離開
進入數位身分證爭議多 中研院學者提政策建議書「應立即暫緩」
中研院法律所資訊法中心於今年7月29、30日舉辦「數位時代下的國民身分證與身分識別」研討會。(資料照,記者簡惠茹攝)
〔記者簡惠茹/台北報導〕內政部明年即將全面換發數位身分證(New eID),中研院法律學研究所資訊法中心號召院內外學者組成政策建議書研議小組,本月初公布建議書,直指政策存在三大問題,對台灣的自由民主體制帶來立即而重大的威脅、欠缺符合憲法的法制基礎及欠缺符合可課責性的設計與做法,建議解決解決上述問題之前,應立即暫緩晶片身分證換發。
中研院法律學研究所資訊法中心組成數位時代下的國民身分證與身分識別政策建議書研議小組,研議小組成員、院士李德財指出,建議書指出政策存在三大問題,首先,規劃中的晶片身分證將對台灣的自由民主體制帶來立即而重大的威脅;其次,在現行條件下,強制發行晶片身分證欠缺符合憲法的法制基礎;第三,與晶片身分證同步推動的跨機關業務資料共享與整體智慧政府計畫,欠缺符合可課責性的設計與做法。
李德財指出,數位身份證太多問題沒有考慮,法規沒有到位、資安風險也還沒釐清,加上還有委外廠商安全疑慮,因此呼籲政府暫緩執行,接下來會將建議書給總統府和行政院作為政策考量。
研議小組認為,針對規劃中的晶片身分證將對台灣自由民主體制帶來立即而重大威脅,原因在於晶片身分證資訊安全性嚴重不足,內政部目前只有強調晶片製造安全,卻無視晶片設計、作業系統與應用程序開發、晶片寫入設備、資訊應用軟體均為外包,因此存在系統與軟體安全風險。
此外,小組指出,內政部也不在乎各種可以輕易取得的讀卡裝置,因欠缺安全驗證而存在硬體安全風險,誤認只要晶片資料加密,讀卡機即使外洩資料也不至於造成危害,卻忽略加密資料大量外洩,不僅外洩後覆水難收,更將大幅提高加密系統遭破解的風險;而且個人和私部門與政府目前都欠缺妥適管理資訊安全與維護資訊隱私所需要的習慣與文化。
建議書指出,晶片身分證的晶片設計、設備生產製造與應用軟體存在嚴重國安風險,資訊戰攻擊是以取得大量對象國國民個資為開始,透過人格剖析建立隨時精準投放各類假新聞、假訊息名單,最終達到控制公眾意見與民主目的,晶片身分證擁有完整國人身分個資和數位足跡,將成為新一波資訊戰戰場,但是依照目前委外設計製造模式,一旦發行使用,恐將成為國安破口。
廠商審查過程也有疑慮,建議書指出,承包晶片系統設計、空白晶片卡製造與負責提供晶片資料寫入設備給中央印製廠的兩家國外廠商,疑似與中國安全部門存在合作關係,內政部雖然強調晶圓由台積電生產,兩家廠商承諾提供台灣空白晶片卡和資料寫入設備均不在中國製造,但是晶片模組設計、作業系統及應用程序設計、資料寫入設備都外包給中國政府關係曖昧的國外廠商,存在後門或共用系統元件產生的風險,並不因為晶圓本身由台積電生產而改變。
此外,建議書也分析,負責開發晶片身分證相關應用軟體的台灣公司,在中國也承包多家中國公營金融機構的資通業務,除了存在共用系統元件產生的風險外,更因該公司進入中國受中國國安法法令規範,其人員在中國境內有被迫交出台灣資通系統參數、數位身分證專案等資料的巨大危險。
針對第二大問題欠缺憲法法制基礎,研議小組說明,戶籍法第51條規定身分證的全國性身分辨識效用,不足以作為法定強制身分辨識目的下,強制晶片化的依據;第52條賦予主管機關格式決定權,也不足以作為身分證紙本轉為數位與晶片化的法制依據;強制蒐集高解析度相片儲存於身分證晶片除了欠缺法制依據,也已經超過戶籍管理與配賦權利義務所需。
第三大問題則是點出欠缺符合可課責性的設計與做法,研議小組指出,行政院通過以晶片身分證及跨機關資料交換網路通道T-Road作為智慧政府基礎架構,但是T-Road僅著重公部門間資料介接的技術工程,輕忽資料串接交換所需的法制基礎與管理規範。
