離開
進入學界質疑數位身分證有3大問題 內政部回應了
內政部推動換發新版數位身分證,遭學界質疑有資安、法制及管理問題。(資料照,取自內政部網站)
〔記者黃欣柏/台北報導〕中研院法律學研究所資訊中心在本月初公布政策建議書,直指內政部換發數位身分證的政策存在資訊安全、法制基礎等3大問題,呼籲暫緩換發。對此,內政部組成的產官學研團隊今做出完整說明,並強調政府對於各項資安問題均有對應的風險控管作為,亦已向專業法律事務所諮詢,釐清法源依據沒有問題,籲請國人放心。
根據該份政策建議書,學者認為數位身分證換發有3大問題。首先,數位身分證的晶片設計、作業系統及應用程序開發及晶片寫入設備等均為外包,資訊安全性不足;其次則是欠缺法制基礎;其三是政府通過使用T-Road作為智慧政府的基礎架構,但T-Road僅著重在公部門間的資料介接,輕忽資料串接所需的法制基礎與管理規範。
對於資安問題,內政部團隊回應指出,數位身分證的晶片模組設計、作業系統及應用程序設計,分別通過國際安全認證Common Criterial EAL6+(軍事安全等級)、作業系統Common Criterial EAL5+與Common Criterial EAL4+以上,並由台積電以ROM形式燒錄於晶圓中,無法變更或植入後門,而卡片讀取程式則是由國內廠商撰寫,並由第三方獨立機構驗證及出具安全性檢測報告,可有效管控安全風險。
團隊亦提到,晶片寫入設備是由中央印製廠專案團隊在封閉環境中操作,資訊應用軟體則由中華電信開發,空白卡及製卡設備廠商均無法接觸到國人個資,而卡片讀取時也會以一次性加密金鑰來加密傳輸,即使被側錄也只會側錄到亂碼,縱使能破解亂碼,呈現的資料也只與現行紙本身分證提供影印的資料相同,不會有大量資料外洩的情形。
團隊也說明,未來民眾的使用紀錄不會存放在晶片中,內政部無從掌握民眾數位足跡,而相關廠商更必須經過查核,不能使用中國大陸的團隊及程式碼,且必須在內政部監督的封閉環境下進行開發。
在法制基礎上,內政部團隊表示,已委託專業法律事務所提供法律意見,確認「戶籍法」第52條足以作為法源依據,該條文授權內政部得就國民身分證的格式、內容及相片規格訂定法規命令進行補充,而本次只是將紙本換發為數位身分證,仍保留其便攜性、可識別性,僅屬於格式變更,並未逾越該條文授權範圍,無須再另訂專法。
另外,過去有學者質疑國民身分證結合網路身分識別功能,恐違反司法院大法官釋字第603號解釋,但內政部團隊表示,釋字第603號解釋的意旨,是指國家不得以人民拒絕被蒐集指紋或其他國家政策,而否准製發其國民身分證,而本次政府雖規劃附加網路身分識別功能,但即使人民拒絕申請此功能,國家仍會發給身分證,不會造成人民在法律或事實上的不利益,因此沒有違憲問題。
對於中研院研究小組質疑政府以T-Road架構作為基礎,輕忽了法制基礎與管理規範,內政部團隊則指出,國發會表示已訂定相關管理規範,要求每個介接T-Road進行資料傳輸的機關,都應遵循相關法令要求並履行告知、安全維護及公示等義務,未經資料提供機關同意,不得任意移轉或申請目的以外之用途,亦不得把這些個資拿來做其他比對、辨識或串聯分析。
內政部團隊表示,T-Road平台建置已導入資料保護影響評估 (DPIA),評估面向包含「法規調適」、「隱私保護」與「資安防護」,且透過T-Road傳輸的資料全程採加密方式進行,在T-Road上僅會留存傳輸紀錄,不會紀錄傳輸內容,而國發會也會依照「資通安全管理法」及「個資法」來建置各項防護機制,確保各機關在安全可靠的T-Road環境下傳輸資料。
