數位身分證很安全?愛沙尼亞曾遭駭,德國反個資存手機

數位身分證很安全?愛沙尼亞曾遭駭,德國反個資存手機
數位身分證的資安風險引疑慮。圖片來源:Shutterstock
2019-09-30
文.曾彥菁
12814
內政部宣布自2020年10月起,台灣將發行數位身分證,並預計在兩年內全面換發完成,期待提升數位治理與民眾辦事的便民度。

許多公民團體,如台灣人權促進會提出反對,認為政府在資安保護、資訊自主上配套不足,應謹慎規劃再推行。

其實,全球已有許多國家與地區,使用含有智慧晶片的數位身分證,像是德國、愛沙尼亞、比利時、西班牙等。

【延伸閱讀】該不該有國旗?設計評審還原現場:身分證不應成國族認同決戰點

愛沙尼亞設全球首座「數位大使館」備份個資

根據國家發展委員會資訊管理處的報告,愛沙尼亞有99%的政府服務都已數位化,除了結婚與離婚須親自辦理登記外,出生登記、電子病歷、稅務、就職、創業、補助申請、駕照換發、就學登記等,都可以透過網路平台,並搭配數位身分證,輸入兩組PIN碼驗證後完成程序。

愛沙尼亞更早在2007年便實施電子投票,成為全球第一個開放全民網路投票的國家;公民即使不在國內,只要憑數位身分證即可上網投票。2014年的歐洲議會選舉中,已有三分之一的愛沙尼亞公民,從98個不同國家上網投票,顯見民眾對於電子投票系統相當信任。

愛沙尼亞並沒有集中的大型中央資料庫,各個公、私部門都有獨自的資料庫,但彼此的資料可藉由通訊協定互相分享。國家資訊基礎架構中的X-Road資料庫,貫穿各個政府與私人企業,個人資料可匯流到X-Road資料庫中,只要民眾授權,不必反覆填寫相同的資料,政府或民間單位就能從X-Road存取各式數位服務。

儘管如此,愛沙尼亞仍在2007年遭受來自俄羅斯的駭客攻擊,導致許多政府網站停擺;後又在2017年,發現部份身分證中的晶片存有安全漏洞,可能造成76萬人的個資遭竊,便緊急停止數位身分證的服務,確認修復漏洞後才重新開放。

幾次被攻擊的慘痛經驗,也促使愛沙尼亞在2018年於盧森堡設置世上第一個「數位大使館」(digital data embassy),備份重要的國民資料如身分證、稅金、年金、不動產、企業登記等,以達到雙重保障。

【延伸閱讀】為何我們反對內政部的數位身分證政策?

德國將用手機作身分證與護照

德國在2010年即開始換發數位身分證,並於晶片上存放姓名、生日、照片、指紋等個人資訊,民眾可使用數位身分證做報稅、事務登記等服務,或利用晶片中的電子數位簽章做各式認證。

進行認證時,會要求使用者輸入PIN碼,以確認由本人授權;但在2018年11月,有一組德國研究人員發現系統漏洞,可繞過認證伺服器的保護,並且修改身分證上的姓名與地址,相關單位才緊急修復了這個漏洞。

今年德國政府宣布將與Apple合作,運用Apple iOS13作業系統中的近場無線通信技術(NFC),將身分證、護照、居留證等資訊整合進iPhone中,未來民眾可將手機當身分證件使用。

不過一向重視個人隱私安全的德國民眾,對此仍採保留態度;畢竟若手機被偷,等於個人重要資料都外流。

【延伸閱讀】區塊勢 X 未來城市|換發數位身分證,是拿隱私換便利?

專家憂個資遭濫用

索羅門(Brett Solomon)是捍衛數位權益的非政府組織Access Now的執行董事,他曾在科技媒體WIRED上發表一篇評論,直指:「數位身分證比你想像的還要危險。」擔憂未來太容易取得的個人資訊,將遭嚴重地濫用。

索羅門提倡,數位身分證只需存取最小化的個人資訊,並且將資訊分放在不同機構,設置嚴格限制的資料讀取權,並需經過當事人的同意才能授權使用。

索羅門認為,應開放民眾選擇是否使用數位身分證,或保留傳統的紙本文件,這是基本的權益。政府的資料庫使用與資安措施,也應該受到民間單位的監督,甚至加入立法的討論,以從公民的角度提出保障權益的措施。

最後,資料運用的過程應公開透明並留下紀錄,民眾可檢視個人資料在什麼狀況下、被誰取用、做何用途,以確保個人資訊沒有遭到濫用。

從各國的經驗來看,即使是已發行數位身分證多年的國家,仍有遭到駭客攻擊的風險,所以資訊安全的加強應是政府最需重視的事。資安的保障措施永遠不嫌多,公民也應注重個人資訊隱私權,才能安心地享受便利生活。

其他人也在看

你可能有興趣

影音推薦

#廣編企劃|【2023 天下城市高峰論壇 #9】新竹市交通處長 倪茂榮:改善交通,必須先做出優良示範道路|天下雜誌✕未來城市

已成功複製連結