「數位身分證」即將上路,卻有百位學者專家連署反對

作者 | 發布日期 2020 年 04 月 23 日 13:27 | 分類 科技政策 , 網路 , 資訊安全 Telegram share ! follow us in feedly


台灣「數位身分識別證」歷經 4 年規劃,預計要在今年 10 月正式上路,但目前反對新證的學者專家連署人數已經超過百位。究竟新式身分證能帶來什麼好處,又為什麼引來反彈呢?

在這個時代連署似乎不是什麼了不起的事情,但如果看一眼這份連署人的名單,就會覺得事情並不單純,這可不是在路邊發傳單簽個名就能解決的。

▲ 反對換發晶片身分證連署人名單。(Source:台灣人權促進會

名單中大多是中研院、國立大學資訊與法律相關背景的學者,也不乏資訊安全領域的專家,他們連署的目的就是「反對全面換發晶片身分證」。

台灣從 2015 年開始進行身分證數位化(eID)的相關研究,並於 2017 年完成計畫草案,2020 年公布換證計畫,預計用 4 年時間,逐步達成 100% 換證率的目標。

簡單說,數位身分證會增加一枚晶片到我們的證件上,裡面記載了個人資訊,也能夠與戶政、健保等政府網路連結來更新資訊,有點像是把現行的身分證、健保卡跟自然人憑證合一的概念。

數位身分識別有幾個優點:

  1. 晶片防偽
  2. 支援多種憑證
  3. 未來可以朝向無實體邁進

內政部則認為這是一個推動政府數位轉型的指標,雖然兩者之間沒有絕對關聯,但身分識別數位化的確能夠提高政府內部資料檢核與傳遞的效率。對於一般民眾而言,出門少帶一張卡,省下申辦各種業務時,要印一堆身分證影本的麻煩,也算是一些便利。

那這些學者專家為什麼要連署反對呢?核心就在於個資保護議題,始終沒有解決。

有基本資訊安全常識的人都應該知道,這世上不存在無法破解的數位系統,當內政部不斷強調數位身分證「絕對安全、資料絕對不外洩」時,不知道已經有多少人在磨刀霍霍準備挑戰了(小提醒:全球五百大超級電腦裡,中國就有 227 部)。

這樣的喊話甚至也抹煞了相關單位在安全防護上的努力,其實在換證計畫中,安全規格的敘述一應俱全,包括了採用高於護照晶片的 ICAO 9303 機制,硬體架構安全性符合 CC EAL4+ 安全認證(依循  ISO/IEC 15408)或 FIPS140-2(密碼模組安全需求標準)規格。使用時也跟自然人憑證一樣,不會留下紀錄,這些努力其實都值得肯定。

然而空泛的「絕對保證」喊話,恐怕是讓相關專家相當感冒的原因之一,正因此,連署書也要求政府需成立隱私保護專責機關,而不是把責任丟給內政部、財政部、金管會、科技部跟 NCC「集體負責」,同時也急切需要替數位身分證立專法,或是修法,來確保執行法源依據,以免未來無限擴權。

多卡合一,產生單點脆弱環節

此外,儘管數位身分證本身的安全係數很高,但是將各種服務集中在一張卡片上,萬一卡片遺失,其風險就如同其便利性一樣遠大。值得一提的是,晶片本身也能夠設定密碼保護,但是僅有 6 位數字,安全性並不可靠。

更讓人擔心的是未來的相關應用,政府多次強調未來 eID 可以整合到其他多種應用中,像是綁定手機,或是支援金融功能以及支付功能,當eID 成為一個集多種功能於一身的超級 App,雖然便利但風險也更加可怕,就如同中國現在利用微信打造的「健康碼」管理系統,恐怕不是台灣人民所樂見。

▲ 數位身分證的未來規劃中,也包括綁定手機,並加入支付和票券功能。(Source:內政部

而在新證引發的爭論中,不免也讓人開始思考,為什麼我們不趁此機會討論一下,要不要繼續使用身分證制度?畢竟,這是日本殖民時代,為了便於掌控人口而推行的系統,全世界不使用身分證的國家包括美國、英國、丹麥和日本等先進國家,其中英國更是三度「試用」,目前則是維持無身分證狀態,日本則是正在推行中,台灣是否也可以趁此想一想,身分證的意義與用途?

站在生活便利的立場,數位身分證或許可以替我們節省不少時間,然而在資訊安全與個資保護的設計上,仍然有未盡完備之處,期望有關單位能夠在正式上路前,再次審慎評估相關風險,才是比較好的作法。

參考資料:

(首圖來源:內政部