新冠肺炎教我們的事:一旦留下個資,政府隨時都能用| 台灣該推數位身分證嗎(下)

新冠肺炎教我們的事:一旦留下個資,政府隨時都能用| 台灣該推數位身分證嗎(下)
中研院法律所研究員邱文聰認為,台灣想推行數位身分證,絕不能忽略外國政府為了數位化所建立的法律制度基礎。圖片來源:中央研究院法律學研究所
2020-07-24
文・何琳潔、許慧瑩、趙若漢 圖・中央研究院法律學研究所
10102
「最大的原因就是數位足跡的問題。」

邱文聰指出,「紙本」資料看過之後,除非另抄錄內容,否則不會留下任何資料;但在數位環境下,一定會產生使用紀錄(log),也就是「數位足跡」。

當數位足跡因我們在日常生活中不斷使用身分證而逐漸累積,就能分析一個人的行為,知道他什麼時候、在哪裡、做了哪些事,進一步做出人格剖繪(profiling)。這種作法最壞的後果,就是產生類似中國「社會信用評分系統」的監控機制。

「這是身分識別制度的根本變革,不是單純格式轉變那麼簡單,」邱文聰解釋,這涉及國家權力與個人權利保護的平衡。現行《戶籍法》第52條當初想規範的,只是背景圖案用玉山還是蝴蝶、姓名要擺左上角或右下角這種不涉及權利義務的東西,「第52條並沒有辦法處理數位化這件事。」

沒有蒐集民眾個資,所以沒有國家監控?

依照目前政府公開的資料,看起來確實沒有一個負責所有資訊交換、並留下紀錄的單一中央伺服器存在。然而,這不表示沒有問題。

「這次COVID-19疫情告訴我們一件事:當你資料留在那邊時,政府哪天想開始蒐集時,很簡單就能做到。」邱文聰指出,以原本在電信公司資料庫中的手機位置資料為例,只要政府有需要,就算資料一開始不在手邊,他們一樣能拿得到。

當政府把從電信公司取得的手機位置資料,與政府原本就掌握的內政部出入境管理局的資料、及衛服部疾管署的資料互相串聯後,一套完整的入境者數位追蹤系統就此完成。

這些資料原本並沒有全數掌握在政府手中,彼此也沒有串聯;但因為資料在第一步就留下了數位足跡,後續是否串聯,只是要不要去做的「選擇」問題而已。(延伸閱讀|中國紅綠黃「健康碼」監控手機控疫情,西方國家為何不跟進?

內政部所謂「沒有在做國家監控」,在法律沒有明確規定什麼能做、什麼不能做的情況下,不過是裝糊塗的回答罷了。今天或許我們還能說是因為防疫需求而不得已,一旦系統建置完成,隨時都能因其他目的進行轉用。

「不要忘了,民主社會的特色就是會有政權輪替,」邱文聰強調,即便現在的政府不會做國家監控,也不能保證未來沒有主張國家監控的政治人物上台,「到時我們已經幫他們把所有的路都鋪好了,後果其實不難想像。」

中研院法律所研究員邱文聰認為,一旦留下數位足跡,後續就有遭串連、監控、轉為他用的風險。中研院法律所研究員邱文聰認為,一旦留下數位足跡,後續就有遭串連、監控、轉為他用的風險。

國外處理身分識別數位化議題的現況:愛沙尼亞、德國與日本

各國情形其實不盡相同。接下來,就用內政部推動身分證數位化時,經常用來舉例的愛沙尼亞和德國,以及出於歷史因素戶籍制度與與台灣相近性的日本來說明。

首先是德國。德國跟台灣不太一樣,他們是有身分證,但沒有身分統一編號。

這跟納粹集中營的歷史有關。「當過兵的男生都知道的,編號是在大規模管理人員時非常方便的工具,而當時這被納粹用來執行種族滅絕政策,」邱文聰解釋。

不過,德國雖沒有「統一編號」這種可直接串聯所有資料的工具,但因強制發行的身分證上仍有卡片序號,所以還是有資料庫串聯的可能。只不過,德國有非常嚴格的法律,限制什麼人、有什麼權限、在什麼事上可以串聯資料(例如警察進行犯罪調查),所以侵害人民權利的可能很低。(延伸閱讀|這國家研究數位身分證資安20年,駭客只花1小時就破解?|城市冷知識#17

愛沙尼亞跟台灣的情況比較像。他們有證有號,而且數位化的程度比台灣高不少,因此內政部很喜歡拿愛沙尼亞當例子。

但邱文聰指出,愛沙尼亞除了一樣有嚴格的法律規範身分證的用途,更重要的是,他們有一種源自北歐文化的社會共同體的傳統——這種支撐社會民主福利國家的文化傳統,崇尚資訊透明公開,好讓社會大眾能有效地互相幫助。

此外,愛沙尼亞政府也非常重視個人權利保護。例如,為尊重當事人資訊自主權,愛沙尼亞允許當事人查詢其個資被政府調用的所有紀錄;而除在GDPR生效前,愛沙尼亞早已有傲視全歐的個人資料保護法;2007年大規模政府資料外洩時,愛沙尼亞政府當下就承認疏失,並換發全國身分證號碼。因此,愛沙尼亞人民高度信賴政府。

「這跟我國政府去年30萬公務員個資、今年2,000萬民眾個資外洩後,不斷推卸責任的態度相比,大相逕庭,」邱文聰說。(延伸閱讀|讓駭客決定數位身份證的發行日吧!

最後是日本。日本的狀況正好跟德國相反,他們有一個統一的個人編號,但並沒有強制要求全民都要有一張身分證。而日本的個人編號專法規定,個人編號只能用在法律明文規定的社福、稅務與防災三方面的行政事務處理,對利用者身分也有嚴格的資格限制。

簡而言之,「外國制度的共通特色,就是都有專門的法律,嚴格規範身分證的使用範圍與限制,以取得人民信賴,」邱文聰認為,台灣不能只強調「外國數位化多好多棒,我們應該趕快去學」,卻忽略了他們為數位化辛苦建設的法律制度基礎。 

透過重視資訊自主的專法規範,建立人民對政府的信賴

「現在最重要的,就是要有一套合於法治國原則的法律規範設計,」邱文聰說,前文提到外國都有專法規範,但重要的是,不只要有法律,法律的實質內容才是重點,「否則對我國政府來說,形式上隨便丟一部專法出來,不是什麼難事。」

15年前,〈大法官釋字第603號解釋〉已說明,人民的資訊自主權受到憲法保障。因此,除了像國外一樣,法律內容必須對身分證的使用範圍予以限制,數位化的授權要有明確規定外:另一個重點就是:應該讓人民保有選擇的自由。

是否要使用數位化身分證,或保留紙本身分證,應該由本人自行決定,而非由政府強制全都要數位轉型。如此一來,才能符合我國憲法秩序下「資訊自主權」的要求。

政府想成功推動數位化身分證政策,最重要的是建立人民對政府的信賴;這個信賴,「關鍵在於政府能否設計出適當的法律規範,來避免數位時代下的數位風險,並尊重個人權利,」邱文聰做出結論。

(本文獲作者授權轉載


【延伸閱讀】

為防疫登記身份?中研院學者:遊走法律邊緣|台灣該用數位身分證嗎(上)

【活動預告】

中研院法律所資訊法中心將於7月29、30兩日,舉行「數位時代下的國民身分證與身分識別研討會」,除了邱文聰研究員談到法制面的問題,也會針對政府對於晶片身分證的應用規劃(T-Road)、數位智慧政府的建置、趨勢等相關議題有所討論。

馬上前往:研討會報名連結

其他人也在看

你可能有興趣

影音推薦

#廣編企劃|【2023 天下城市高峰論壇 #9】新竹市交通處長 倪茂榮:改善交通,必須先做出優良示範道路|天下雜誌✕未來城市

已成功複製連結