5月16日,內政部長徐國勇於立法院就「數位身分證」(又稱晶片身分證、數位身分識別證、New eID、eID等,下文皆以「eID」稱之)進行報告。在當天的報告中,內政部共列舉了八項eID的功能(註一),並宣示將於2020年啟動全面換發作業。
內政部長在質詢中多次強調,發行eID不會保留領取紙本的空間,也不需立法或修法,現行法律如《戶籍法》、《個人資料保護法》、《資通安全管理法》、《電子簽章法》等已足夠完備。這也是近年來,內政部首次在此政策上,公開宣示不修法或立法。
這一波eID的推動,從2015年迄今已逾四年。這個政策雖歷經國民黨、民進黨兩個政府,但我們發現,無論是哪個政府,行政機關都嚴重低估了這個議題在隱私保護、資訊自主、及資安上所具有的風險,這也反應在內政部當天的報告上。
過去幾年,台權會持續就此政策提出質疑,認為全面換發eID,將有嚴重侵害人民隱私及資訊自主的疑慮。在這次立法院的質詢前,我們也與台灣守護民主平台合作,首次提出了一份有關此政策的建議書,供所有內政委員會的委員們參考。
儘管內政部在5月16日報告中,也宣示了eID將具有「保護隱私」、「資訊自主」的功能,但整體而言,我們認為這仍是一個無法被支持的政策。本文接著將就下述三個面向,逐一說明為何我們反對這個政策。
一、eID目前仍無法證明有保護隱私、資訊自主的功能
保護隱私及資訊自主,是內政部所提的其中兩項eID的功能。根據報告,這兩項功能一共由三個做法構成:(1)eID版面個資揭露最小(2)隱私資料加密保護,需民眾同意及需內部授權方能讀取(3)自然人憑證可自由選擇開啟與否。
內政部上述三項做法確實是促進隱私保護、資訊自主的做法沒錯,但問題是,僅憑這三項作法,真的就能宣稱已「達成」保護隱私、資訊自主的功能嗎?舉例來說,eID與政府骨幹網路T-Road間的關係,就是其中一個明顯有隱私疑慮,卻未獲得清楚說明的例子。
T-Road是由國家發展委員會建置,串接各級行政機關資料庫的網路基礎建設。內政部長徐國勇在報告中表示,eID將成為開啟T-Road上各式資料庫的鑰匙。但問題是,內政部卻並未在報告中釐清,透過eID存取T-Road所串接的各行政機關資料時,是否皆須取得「個人同意」方能為之?或者,其實可能有部分的行政機關(例如檢警調機關),可以在不須個人同意的前提下,也能以eID取得個人存放在其他行政機關的資料?如果有,那又是何時能允許這類的自行取用?
除了T-Road以外,以下這些攸關隱私及資訊自主的問題,也悉數不在內政部目前的回答範圍內:
■ 個人是否能「完整檢視」eID晶片內存放的資料?
■ 在欠缺「個人同意」的前提下,是否有它人或單位依然能讀取eID的資料?
■ 使用eID認證,內政部(或認證機關)是否會留存請求發送方的紀錄?留存的目的和時限為何?
■ 個人是否能檢視eID「被使用」或「資料被讀取」的相關紀錄?
■ 未來是否預計要串接更多各級政府的資料庫(如健保資料),以擴大eID的應用範圍?
■ 未來是否預計要串接私人機關的資料庫(如電信業資料),以擴大eID的應用範圍?
■ 未來是否有規劃要蒐集個人的生物資訊,並存放於eID或集中式的資料庫中?
■ 誰去評估eID做各式利用時,可能造成的隱私或資安風險為何?
■ 誰來判定與eID有關的功能擴充、資料利用等的合法性及必要性?
■ 誰來監督eID有關的隱私保護機制是否有被落實?
上述當然仍非一份完整的問題清單,但我們認為,至少在清楚回答這些問題後,eID是否可能達成保護隱私、資訊自主的功能,或許才會更明朗一些。
【延伸閱讀】該不該有國旗?設計評審還原現場:身分證不應成國族認同決戰點
二、內政部不願修法,但現行法規亦無法支撐換發eID的政策
內政部長徐國勇在5月16日的質詢中反覆宣示,現行的法規如戶籍法、個資法、資通安全管理法、電子簽章法等,已足以在各面向支撐全面換發eID的政策,因此不需再修法或立(專)法。這同時也是內政部首次對外宣示全面換發eID,不需修法或立法的立場。
從過去至今,台權會都認為,只要換發eID,無論是部分換發或全面換發,都必須要考慮修法甚至立法。理由很單純:我們認為身分證是人民生活的必備證件,而晶片與紙本又存在功能上的巨大落差,因此若無法律位階的授權,僅以行政規則作為換發晶片卡的法源依據,人民要如何確保行政機關當前所有關於權益保障的承諾(例如晶片資料最小化、允許人民選擇自行開啟與否等),不會在未來又遭行政機關任意修改?
台灣的《個資法》雖有規範公、私部門蒐集、處理、利用個資的要件,但《個資法》不僅規範本身即有缺陷,在規範的落實上,也長期欠缺可被信任的機制;至於《資通安全管理法》,固然有要求公務機關應訂定「資通安全維護計畫」,但其主要目的是降低公務機關資訊系統被入侵或資料外洩的風險,而非避免特定資訊系統成為監控人民的工具(例如系統是否會儲存卡片使用者的認證紀錄、系統是否會未經使用者授權而讀取晶片資料、系統是否暗藏特定的後門等),這也是為何我們在給立法者的建議書中,要求必須開放原始碼(open source)的原因之一。
德國、愛沙尼亞皆是受到《歐盟一般資料保護規則》(GDPR)所規範的國家,且其國內都還建置有獨立的隱私專責機關及該國自身的個人資料保護法,倘若連隱私保護制度相對完善的歐盟國家,都認為發行eID須修法甚至立專法時,為何內政部會認為僅是援引既有法規,就已充分了呢?
在5月16日的質詢中,有來自不同政黨共約十位的立委,皆表示內政部應通盤檢討現行法規是否有缺漏,並應儘速構思如何進行修法或訂立專法,以保障人民的權利。我們樂見立法者往這個方向努力。
三、內政部所提的eID八項功能,即使不強迫人民領取eID,甚至即使維持現有的紙本身分證制度,也都能實現
內政部長徐國勇在回答質詢時多次指出,當前政策不存在領取紙本卡的空間,民眾可以在領到晶片卡後,選擇是否要開通自然人憑證,如無開通,則那張晶片卡其實就等同於紙卡。
我們並不認同內政部這樣的說法,因為我們認為:
■ 即使不開通自然人憑證,領取eID和領取紙本身分證,依然是截然不同的兩件事。
■ 即使不強迫人民領取eID,甚至是維持現有的紙本身分證制度,內政部所提的八項功能依然都可以實現。
相較於個人持有一張功能單純的紙本身分證,若個人握有的,是一張隨時能開啟附加功能的eID,這對人民、企業、或政府在思考如何形塑自身的生活時,將有著截然不同的影響。
我們過去已一說再說,技術或科技產品的存在若無受到妥適規範,相當容易在各式需求的交雜下,逸脫出其原先的設計目的,從而成為侵害人民權利的工具,這並不只是「理論上」的疑慮,而是「現實上」已存在的問題。
而內政部所提的八項功能,除了多半是現有自然人憑證本身就已具備的功能外,有關公民社會過往十分在意的版面資訊過多的問題(亦即內政部在「資料最小化」功能所回應的對象),坦白說,縱然是換發紙本身分證,內政部也依然能刪除現有不必要的欄位,例如父母、配偶等,這根本與換發晶片卡無關。
其他有eID的國家(如德國、愛沙尼亞)、或是持紙本卡的國家(如法國),無論是在其卡片外觀或晶片裡,也都沒有存放這些資料。因此政府在「資料最小化」上該做的,並非鄉愿地認為存在晶片裡的資料較不易直接曝光即可,而是應實質減少身分證上(無論是存在外觀或晶片)不必要的個人資訊。
我國是強制一人一號身分制度、以該號碼貫穿公私服務、且每人皆須持有身分證的國家,這樣的身分制度,本就已經非常便於政府整合人民不同面向的生活於單一身分之下。內政部真的可以避而不談這樣的風險,而強迫人民領取這個更「便民」的證件嗎?
結論:別讓eID成為侵害你我隱私的工具
內政部在5月16日的報告中,幾乎沒有針對可能造成的隱私風險進行說明。而根據目前的時程規劃,預計在2019年7~8月間,換發eID的細部規劃就會定案;2019年9月,內政部就會招標eID的系統建置;2020年底,就啟動全面換發的流程。按這樣緊湊的流程規劃,內政部是否有可能謹慎評估並解決可能的風險,十分讓人憂心。
我們在先前給立法委員的eID建議書中,一共提出了六點建議,我們希望行政機關能正視這份建議,並與社會大眾進行更多的對話:
■ 保留領取紙本身分證的可能,不全面換發eID
■ 應立專法保護eID使用者權益
■ 明確限制eID的用途、資料蒐集樣態
■ 明定重要的公、私服務,仍須提供暢通的實體服務管道
■ 提供可被驗證的資訊安全機制及強化資安教育
■ 公開、完整揭露研究成果及規劃資訊,並給予社會一定時間討論及修正
我們也呼籲所有人,無論你是立法者、公民社會、企業、政府,無論你是否希望能有一張帶有晶片的身分證,都應正視內政部當前換發eID計畫可能帶來的隱私及資安風險。並一齊努力監督,避免這套全民都須使用的制度,反成了可能傷害人民權利的工具。
註一:八項功能如下:虛實世界身分識別、一卡多功、數位簽章、保護隱私、資訊自主、智慧政府基礎建設、防偽雙重保障、帶動創新應用及產業發展
