多維TW/New eID是如何夭折的?「數位」依舊無法粉飾的信任問題

●《多維TW》/譚英瑛、黃奕霖

編按:2021年1月21日,行政院正式拍板決議暫停數位身分證(New eID)的換髮,更表示將待相關專法通過,政策取得社會共識後再行推動,形同New eID政策正式按下「剎車」。該政策原被視爲是政府推動「服務型智慧政府」基礎,如今落得「暫緩」局面,此文或能解釋爲何規劃多時的New eID政策,不論是學界、公民團體,甚至是民進黨立委都砲聲連連。

▲即便曾請出唐鳳出來釋疑,但數位身分證終究逃不了「暫緩」的命運。(圖/翻攝自Facebook/內政部

當代各國政府均致力於數位化政府的建置,像是新加坡、澳洲、歐盟、德國均曾端出與數位政府相關的各式政策,臺灣也不自外於這股浪潮,先是行政院於2017年啓動「數位國家・創新經濟推動方案」,國發會也以此陸續推動「服務型智慧政府推動計劃1.0」、「服務型智慧政府推動計劃2.0」等政策,走上以「資料」連結政府與民衆的治理模式,其中電子身分證(New eID)的落實,更被視爲臺灣「智慧政府行動方案」的基礎架構

但這項政策顯然命運多舛,除了「晶片化」的相關配套廣受資安界及公法學界質疑外,連同爲執政黨的民進黨立委也多不買帳,繼第九屆民進黨團立委凍結New eID的部分換髮計劃的預算之後,多位綠委公開表明對New eID的質疑與不安,甚至直指在臺灣法治、資安監管、個資隱私、專責保護機關等方面均嚴重不足的情況下,New eID恐將成爲「中國滲透破口」。

「進步性」象徵 正持續流失

部分綠委對New eID的批判好似不留情面,卻也藉着New eID點出當前政府在推動數位化政策的不足與弊病。

民進黨立委洪申翰便認爲,New eID不是不能做,但此議題牽扯到當前政府「資料治理」與「風險管理」的體質,而臺灣社會對於科技倫理的討論並不充足,民衆不清楚個人數據將被如何使用,對於哪些個資應該被保護也沒有概念,政府在數位發展的同時,對於技術保護、監管分責及相關法令更未與時俱進。在體質欠佳的情況下,若只追求科技進步的方便性,在資安和人權保障方面當然有重重疑慮。

▲New eID的政策,不僅公民團體強烈反彈,連綠委都不太買單。(圖/記者屠惠剛攝)

此外,在「數位化」便形同「方便」、「進步」的觀念下,對於「數位政策」究竟要達成何種目的,政府似乎也有欠考量。以目前備受爭議的New eID的換髮爲例,民進黨立委鍾佳濱認爲,身分證最主要的功能應是「確認本人」,而政府爲了要給予人民福利、懲罰或義務,如:人民領福利金、領選票或是遭到政府處刑,就必須正確識別人民的身分。要驗證個人身分,一來是依靠國家對個人的「社會關係」,再者則是配合個人的「容貌」、「指紋」、「DNA」、「虹膜」等生物特徵進行對比。

過去政府每10年進行一次人口普查,來確保身分證上生物特徵「容貌」的真僞,新式身分證也藉此一同換髮,而此次New eID數位身分證並非透過法律授權換髮,而是政府認爲既然要換髮新身分證,那不如從「紙本」變成「晶片」,但除此之外,似乎並未發揮「確認本人」的功能。

「身分證要做的重點不是晶片,而是要藉由生物特徵的蒐集來確認你的身分是否爲本人,那纔是根本,不做生物特徵蒐集,做其他的幹嘛?國家跟人民的關係,就是確定本人而已。」

▲事前行政院擬採小範圍試辦的方式,試圖以此消除民衆疑慮,但像是政黨光譜系屬泛綠的臺灣基進依舊不買單,最後新竹市政府也出面「喊卡」。(圖/記者陳凱力翻攝)

鍾佳濱強調,臺灣的身分識別做得不好,已無法滿足現在國家對人識別的需求,新版的eID雖然在晶片中放了許多資料,讓身分證變成一把個人的專屬鑰匙,將所有個人帳號和資訊進行整合,但在方便之餘,也使風險倍增。而關鍵在於,這對促進國家確認民衆的身分識別上,其實毫無幫助。

「除非你告訴我,這次換髮的照片有特別規格,要現場拍攝,然後能取走我的虹膜進行辨別,否則就識別功能而言,New eID與先前的紙本有什麼差別?」鍾佳濱指出,採集生物特徵並非不能觸碰的禁地,而是政府進行身分識別時的必要措施,但前提是要符合比例原則、依法而行,且對民衆的個人資訊、足跡做到最小侵害。但New eID在籌劃時似乎沒有想清楚身分證數位化的根本目的,只是如同慣性般,認爲新技術必然比紙本更加「先進」。

▲原定的數位身分證樣板。(圖/翻攝自內政部官網

然而,若臺灣早幾年施行該政策,或許還能稱之爲進步,但現在呢?撇除新穎性外,New eID顯然已不具備原有的優勢與必要性,要帶動數位智慧發展,是否必然要捆綁身分證?不無疑義。

eID的換髮只是數位政策的其中一塊,但其所引發的爭議,也反映出隨着科技的日新月異,政府雖然在數位發展上極力跟上腳步,在方向與目的上卻未臻明確,反而略顯盲目地追求「先進」,在資安技術、相關法規、監管分責及使用倫理上,仍未與時俱進。

中央研究院法律學研究所資訊法中心曾於11月發表了《數位時代下的國民身分證與身分識別政策建議書》,認爲內政部目前規劃的New eID欠缺憲法的法治基礎,與New eID一同推出的「跨機關業務資料共享與整體智慧政府計劃」也尚缺可課責性的設計。其意見似乎也說明了,爲何政府的數位政策總會被外界質疑,不受社會大衆信賴。

官民資訊素養 猶然不足

內政部長徐國勇先前曾表示,這次New eID是由向有「護國神山」美譽的臺積電所生產,故民衆無須就資安疑慮過度擔心,但在科技業者出身的民衆黨立委高虹安看來,晶片只是資安環節的一部分,重點應在於晶片設計、晶片作業系統應用程式開發、寫入設備與資訊應用軟體,並非只聚焦於晶片由誰生產;在業者聽來,徐國勇的說法只讓人感到「不可思議」。

高虹安認爲,以資安角度來看,現行已有很多方法能進行強化,像是安全認證、架構、機構等,但重點仍在於政府的外包管理能力,並不是任何一間廠商外包,政府都可以輕易信任,例如專門研發國防武器裝備,而握有許多軍事機密的中山科學研究院,便遭媒體揭露在網路儲存伺服器採購招標時,將中國大陸的百度雲(Baidu Cloud)作爲備份端的選項,而沒有明確排除這項雲端服務,而還驗收通過。原因在於,採購人員不懂如何寫標案的規格,廠商寫什麼,政府就照單全收,這都顯示政府人員在資訊科技認知的不足。

▲臺灣受到惡意軟體與勒索軟體攻擊的比率都高出全球平均,是資安的風險地區。(圖/微軟提供)

此外,臺灣人權促進會、開放文化基金會等民團的反對聲浪,大多強調應先就New eID設置專法與個資獨立機關,再行推動New eID政策,也就是強調該政策的「配套措施」;高虹安也認爲,當前臺灣將資安規定散落在《資通安全法》、《電子簽章法》、《個人資料保護法》等不同法律規章,確是於分散;再者,《個人資料保護法》的訂定與罰則輕微,實對於泄漏資料者無嚇阻作用,而以New eID這案例來說,一旦政府蒐集了人民的使用數據直接進行相關應用,其間卻無專責機關對此進行把關,民衆對於政府的資料使用自然有所憂慮。

設置獨立個資機關,旨在提供民衆一個資料服務回溯機制,或用於審議民間、政府對於各項民衆個資數據使用的「公益性」,但目前既有的行政院資通安全處,主責資訊政策與制度面的設置,而國發會則僅有個資保護專案辦公室專研個資法,都不足以因應當前數位政策對個資保護或應用的需求,例如醫療AI等業者很難拿到客戶資料,亦沒有明確遊戲規則可供遵守,相較之下,電商平臺、人力銀行等掌握大量使用者數據,目前個資法規的鬆散,也不見得能督促平臺盡到妥善管理個資的義務。

▲內政部於21日表示,專法草案提出並無時間表,也會與政務委員羅秉成溝通,制定專法。(圖/記者李毓康攝)

不論是大方向上的「數位化國家」、「智慧政府」,或是較爲個別政策面New eID的執行,法規的健全度均影響民衆對該類政策的看法,就如鍾佳濱所言,每個人都有維護安全的方法,但當人民將資料交給國家,究竟人民要如何知道國家是否爲人民值得信任的「枕邊人」?其中促進信任的關鍵爲有健全的法規與相應制度,畢竟,「國家不可能是枕邊人,不能因爲感情而信任」。

熱門點閱》

軍事家/對抗中國軍事威脅 亞洲版小「北約」成立?

► 林忠正/北京從制裁澳洲得來教訓:十年內中國經濟依舊仰臺灣鼻息

► 軍事家/解放軍機頻入侵 談臺日兩國機型識別

► 王志鵬/退將林勤經泄密案 不談追不回的退俸 而談軍人的道德操守

● 本文獲授權,轉載自《多維TW》月刊062期,原標題爲「數位ID:一票玩到底的『個資悠遊卡』?」,以上言論不代表本網立場。歡迎投書《雲論》讓優質好文被更多人看見,請寄editor88@ettoday.net或點此投稿,本網保有文字刪修權。