數位身分證安全疑慮 中研院學者提三大解方
〔記者簡惠茹/台北報導〕數位身分證安全有疑慮,中研院法律學研究所資訊法中心號召院內外學者組成政策建議書研議小組,本月初公布建議書,除了點出問題呼籲暫緩,也提出三大解方,包含建立身分證數位化法制基礎、立法確保數位身分證的資安國安,以及建立跨機關資料交換的可課責性。
報告提出解決問題的三大政策建議,第一,建立身分證晶片化與數位化的法制基礎、提供個人權利保障;第二,立法確保晶片身分證的資安與國安;第三,建立跨機關資料交換與智慧政府的可課責性和社會信賴。
研議小組建議,晶片化與數位化應該要允許個人選擇保留不含晶片的紙本或塑膠卡形式身分證,或至少允許人民選擇關閉晶片功能或部分功能,而且不應為了換發身分證蒐集高解析度相片,國家提供合憲身分識別制度前,為避免侵害人民權利,不應強制個人換發晶片身分證並宣告舊證失效。
報告也強調要立法確保晶片身分證的資安和國安,包含立法禁止可用於多重目的之單一數位身分證識別驗證方法,應該改為分散式設計,改為不同目的使用不同數位身分證的識別驗證方法。院士李德財說明,要想辦法防止同一人的資料可以不經同意持續給其他機關使用。
對於廠商的安全疑慮,小組建議,應以法律規範晶片身分證晶片系統設計、空白晶片卡製造、資料寫入設備製造、作業系統與應用軟體等廠商,均需要揭露最終資金來源、接受廠商適格性審查,以避免在中國具利益者成為承包廠商,涉及機敏資訊人員也應該受到限制赴中出境管制,並立法規定關鍵設施的關鍵元件以專用為原則。
此外,報告建議資通安全處下應設立各類資安技術委員會;立法要求發行前進行資安風險評估,內容不應侷限晶片端,而要包含晶片身分證為媒介的整體智慧政府應用,以及轉換成量子密碼標準的成本。
針對建立跨機關資料交換與智慧政府的可課責性和社會信賴,小組建議應於發行晶片身分證與推動跨機關資料交換前,立法設立專責個資保護主管機關,組織層級、人員配置要能規制主要個資使用機關;以法律確保資料一次性原則、完整記錄公部門蒐集的數位足跡供個人查核、建立各機關外部資料治理機制等等。