離開
進入防數位身分證風險 鄭秀玲籲:先小規模發行測試
時代力量立委鄭秀玲(右)建議,數位身分證應先進行小規模發行測試。(記者黃欣柏攝)
〔記者黃欣柏/台北報導〕內政部長徐國勇今赴立法院內政委員會進行新版數位身分證專案報告並備質詢,時代力量立委鄭秀玲在質詢時指出,數位身分證是世界趨勢,應先參考愛沙尼亞等國與歐盟的經驗,朝訂定專法、成立專家小組、重視資安的方向加以補強,並比照當年在澎湖測試健保卡的方式,進行小規模發行測試,確認沒有資安風險與管理問題後再全面實施。
鄭秀玲表示,在數位化趨勢下,世界上有越來越多國家採用數位身分識別,考量我國在法令與技術層面上仍有需加強之處,建議數位身分證能在進行部分補強後再予以發行。
鄭秀玲指出,第一個要補強的部分是訂定專法,根據歐盟經驗,歐盟在推動時會先訂定「電子身分認證與信賴服務法」,明定主管機關要與個人資料機構合作,確保符合個資相關法令,也就是所謂的「歐盟一般資料保護法」(GDPR)。
其次則是成立專家小組,以愛沙尼亞為例,根據該國法律,各相關部會如資訊部、內政部、經濟事務與通傳部等,都要隨時機動因應。
其三則是重視資安,同樣以愛沙尼亞為例,其數位身分證本身並未存取任何資料,並建立備援機制。在我國目前的規劃中,內政部表示並沒有保留數位痕跡,也就是紀錄僅留存於提供服務的機關,並且依法不得作「目的外之利用」,但國內對於「現行法規完備程度」,以及「隱私保護與資安防護」仍有所疑慮。
鄭秀玲解釋,現行法制對可能發生的損害,無法提供令人滿意的答案,例如「戶籍法」並未明文確定身分證在公、私領域的使用範圍與條件,且若個資遭公部門進行目的外利用,人民也不具有退出「目的外利用」的「拒絕權」,讓該法喪失保障人民資訊安全的精神。此外,我國並未設立「個資法」保護專責機關的安全閥,且該法對於每人、每案又僅有最高2萬元賠償。
在隱私保護與資安防護疑慮部分,鄭秀玲提到,根據GDPR,對個人自由權利可能帶來重大風險的資訊作為,在採行之前都應進行「隱私影響評估」,政府應在完成隱私影響評估與建立因應措施後再實施。
另外,根據相關專家意見,以數位身分證進行政府跨部門服務,其「方便性」確實讓人心動,但這種集中式設計所帶來的單點失效資安風險,也讓數位身分證將成為國家級的資訊安全風險,因為當單一民眾的數位資產受到駭客攻擊、竊取,也可能會波及其他人,為國家級駭客開啟便利門。
為消除上述疑慮,鄭秀玲建議,應比照當年在澎湖測試健保卡,先進行小規模發行與測試,其次為了釐清法源,或可參酌歐盟作法來發展專法並成立獨立專責機構,以回應國人疑慮。
