離開
進入憂個資洩漏 形成國安破口 數位身分證 中研院學者促暫緩
(圖擷取自內政部網站)
法研所資訊法中心公布建議書
〔記者簡惠茹/台北報導〕內政部明年即將全面換發數位身分證,中研院法律學研究所資訊法中心號召院內外學者組成政策建議書研議小組,昨日上網公布建議書,直指數位身分證政策存在3大問題,對台灣的自由民主體制將帶來立即而重大的威脅,建議政府解決問題前,立即暫緩晶片身分證換發。
小組成員、中研院院士李德財指出,目前的數位身分證作法有太多問題沒有考慮,法規也沒有到位、資安風險未釐清,加上還有委外廠商安全疑慮,應暫緩執行。
研究小組直指,晶片身分證資訊安全性嚴重不足,內政部只強調晶片製造安全,卻無視晶片設計等應用軟體均為外包,讀卡裝置也欠缺安全驗證。而且,個人和私部門與政府都欠缺管理資訊安全與維護資訊隱私所需要的習慣與文化。
建議書指出,晶片設計、設備生產製造與應用軟體存在嚴重國安風險,資訊戰攻擊透過取得大量對象國國民個資,可隨時精準投放各類假新聞、假訊息名單。
外包商通中國 暴露後門風險
而晶片模組設計、作業系統及應用程序設計、資料寫入設備,都再外包給與中國政府關係曖昧的國外廠商,存在後門或共用系統元件產生的風險。且負責開發晶片身分證相關應用軟體的台灣公司,在中國也承包多家中國公營金融機構的資通業務,除了存在共用系統元件的風險外,人員在中國境內恐也有被迫交出資料的巨大危險。
立法保障資安 允許自由選用
中研院提出解決問題的3大建議,包括建立身分證晶片化與數位化的法制基礎、立法更確保晶片身分證的資安與國安,以及建立跨機關資料交換與智慧政府的可課責性和社會信賴。
研議小組建議,晶片化與數位化應要允許個人可選擇保留不含晶片的紙本或塑膠卡形式身分證,或至少允許可選擇關閉晶片功能或部分功能。
報告也建議立法確保晶片身分證的資安和國安,包含立法禁止可用於多重目的之單一數位身分證識別驗證方法,應改為分散式設計、不同目的要用不同驗證方法。
廠商須受審 揭露資金來源
對於廠商的安全疑慮,小組建議,應以法律規範晶片系統設計、卡片製造等等廠商,均需揭露最終資金來源、適格性審查,涉及機敏資訊人員也應該受到限制赴中出境管制,立法規定關鍵設施的關鍵元件以專用為原則,並立法設立專責個資保護主管機關。
