【數位身分證系列】國內篇
1月21號,爭議多時的數位身分證(New eID)換發計畫,在行政院長蘇貞昌拍板下確定暫緩執行。這場台灣數位身分證換發、走向智慧政府的摸索之旅,除了衍生的賠償與財務損失,為何引來民間如此大的反彈:一場訴訟、來自中研院百位學者的集體聲明、民間團體的連署抗議?
《報導者》專訪20年前就參與「反國民卡行動」的學者、第一手為內政部測試數位身分證安全的資安專家,和曾經破解台灣政府系統的白帽駭客,記錄這場長達兩年數位風暴迷航中,台灣需記下的幾堂課,重修人民與國家間的信任。
「以前是『秀才不出門,能知天下事』,未來則是『秀才不出門,能辦天下事』。」2019年6月,行政院核定數位身分證換發計畫之後,行政院長蘇貞昌在Facebook發表影片,大力推廣數位身分證的好處:「政府未來將以『人生事件』為軸心,聚焦提供國人從出生協助、就學補助、就業輔導,到終老關懷等面向的個人化服務。」
「全世界已有128國使用晶片數位身分證,台灣要急起直追,跟上世界潮流。」行政院祕書長李孟諺當時如此強調,數位身分證將成為一把開啟政府各項線上服務的鑰匙,推動台灣數位國家、智慧政府的發展。
行政院沒有料到,迎來的是一波波反對聲浪。先是長期耕耘數位人權議題的台灣人權促進會、來自科技社群的開放文化基金會等團體發起連署,要求政府在換發數位身分證之前,先行制定專法、設立個資保護專責機構;民間司法改革基金會義務律師團也對政府提起行政訴訟,狀告新政策恐有危害人民權利之虞;中研院更是召開兩日研討會,並於會後撰寫政策白皮書建議暫緩;立法院甚至在2020年11月凍結身分證換發計畫的4億元預算。
原訂在2020年10月台灣全面換發數位身分證的時程,在因疫情延宕後,原訂試辦的三地方政府全數退出,在1月21號行政院的記者會畫上暫時的句點,數位身分證換發計畫宣告暫緩。
記者會上,內政部長徐國勇解釋,政策暫緩有許多原因,首先,是美中台關係和國際情勢變動之下,駭客攻擊更為頻繁;資安界、學界、議題團體、地方政府、法界,都對數位身分證的換發仍有疑慮;疫情下健保卡的使用,衍伸出民眾個資的問題,凸顯了目前無保護機制等現象,所以原定兩年內達成、超過48億經費的數位身分證換發計畫必須暫緩,待專法頒布後依法執行。只是徐國勇自行坦承,這個法的主管機關將是誰、需不需要另設一個新的專責機關,目前沒有答案。
一年半之間從胸有成竹到坦承各項不足,當時政府強打數位國家願景的宣傳影片背後,有多少準備、多少把握?台灣政府的數位之路究竟有沒有辦法走?《報導者》在爭議暫時落幕之時,訪問多位相關人士,進一步理解這場政策迷航為何發生?該做什麼才能讓台灣走出迷霧,向數位國家前進?
事實上內政部此次提出的數位身分證政策,並不是晶片式身分證首度叩關。1998年,國民黨政府也曾計畫推行身分證與健保卡合一的「國民卡」。在國民卡的規畫裡,除了存有身分證基本資料外,更包含戶政資料、健保資料、指紋資料與電子簽章等,旋即引發眾人對於隱私與資安的疑慮。而晶片卡的關鍵技術都掌握在國外廠商,更是讓人擔心會對國家安全帶來無法恢復的傷害,國民卡在抗議聲中無疾而終。
20年過去,台灣經歷了兩次的政黨輪替,科技的發展已遠遠超過20年前的想像。借鏡他國的經驗,這次數位身分證在隱私與資安上有所改進,加上防偽功能與金鑰技術的成熟,而晶片式的健保卡、銀行卡已普及,這些因素都讓政府更有信心數位身分證的推行。
「內政部本來只是想發一個有自然人憑證的身分證,他們也有發自然人憑證的經驗,但後來有其他的想像加了進來(指智慧政府),就變得比較複雜,」一位曾參與內政部政策推動小組的小組成員說,內政部戶政司雖有身分證換發、自然人憑證的經驗,但若要加上國發會的T-Road計畫,讓數位身分證成為通往跨部門公共服務的鑰匙,便會遇上資料取得規範、資料保護、存取安全、隱私權等一連串的問題。
「紙本身分證對人民的隱私侵害是有限的。一旦轉為數位,就會有數位足跡的問題,容易被流通、加值運用的可能,」圓矩法律事務所律師、同時協助司改會訴訟的林煜騰說明,按原本規劃,晶片卡還包括高解析度的照片,便提供了臉部辨識等生物資訊,他認為,萬一控管不佳,人民的個人資料與生物特徵會四處流通。「台灣從威權過渡到民主,對隱私議題相對謹慎,數位身分證可以是智慧政府的基礎,也可以是一個威權政府的基礎建設。好跟壞之間,就是問責制度的重要性。這就是為什麼我們需要專法跟專責機構,」林煜騰語重心長地說道。
當時,在數位身分證政策宣告暫緩之前,內政部曾表示,現有的《戶籍法》、《電子簽章法》、《資通安全管理法》、《個人資料保護法》已經足夠。但放眼幾個行政院取經的國家,專法仍是必須。
中央研究院法律學研究所研究員邱文聰解釋,以其他國家為例,推行晶片身分證,一般採取兩種方式來確保個人資料不會被濫用。其一,是在法律中明定身分證的用途,並制止或限制收集及使用身分證形成的數位足跡,像是日本與德國。其二,則是讓人民可以反過來監督收集資料的人,如愛沙尼亞。人們可以隨時檢查是誰,在何時,為了什麼查看了自己的資料,若有異常活動,便可馬上反應、甚至提告。相比之下,台灣目前無任何法律能規範數位足跡的利用,也沒有個人對政府的監督機制。
愛沙尼亞除了以法律提供監督機制以換取人民信任之外,也以透明、直接的溝通方式,讓人民提高對數位政府服務的信任。在接受《報導者》專訪時,3位官方與民間的愛沙尼亞受訪者不斷強調信任的累積──事實上,愛沙尼亞在推行數位身分證和公共服務時,出現過多次的錯誤,有的是硬體的資安缺陷,有的是外來的資安攻擊,政府不僅第一時間公布所有內容,也依法按照程序處理,才累積起世界第一的數位參與率。
2019年6月,內政部赴愛沙尼亞參訪後於報告中寫道:
「在eID card推動計畫過程中的各種內容是非常透明的,進而讓人民信任電子服務。同時人民也清楚的知道要考慮到未來的需求,對未來所有可能的解決方案皆抱持著開放態度,⋯⋯ eID card的執行,政府當以最慎重縝密、嚴謹態度推動,惟遇百密一疏情形發生時,政府應勇於認錯,承擔責任,不隱瞞事實,妥善解決問題,才能更取得民眾對政府的信任。」
如今回顧台灣在推動數位身分證的過程中,不但沒有累積信任,政府卻幾乎反其道而行。
內政部早在2017年,即委託政治大學辦理晶片身分證開放決策工作坊,會中邀請了專家、學者和一般民眾共同商議,參與者也就專法及個資專責機構提出不少建議。這個公民審議的紀錄原本在內政部網站上可供查閱,卻在2018年,以「因時空變遷,實際規劃內容已有調整,避免民眾混淆」為由,被悄悄下架 。邱文聰認為,公民審議的結果本應在政府網站公告,讓人民比對審議的意見是否被處理了,如今會議紀錄被刪去,顯示了政府根本沒有與人民對話的誠意。
另一項不公開的關鍵資訊,是2019年初「新一代國民身分證換發工作小組」的成員名單。抹去受爭議的晶片二字更名之後,數位身分證的4個外包案也在此時陸續發包。
數位身分證換發計畫一共分為4個採購案。第一案規劃案,在2019年4月由國巨管理顧問公司得標;第二案製卡案,在調整規格後共32.9億元,由東元電機得標;第三案系統建製及維護案,經數次流標後,由中華電信得標;第四案是驗證案,由迪悌資訊得標。其中,國巨規劃案中,關於系統的規畫、發放的流程、憑證的管理等等,都一直處於不公開的狀態。2020年初,在細節未明朗下,政府便開始後三案的招標。一直到11月中,數位身分證試辦前兩個月,卡片都已經接近完成,相關文件才釋出。
一位工作小組成員告訴我們,「程序來講是有瑕疵,一邊做(印製身分證),一邊做規劃,在沒有完全考慮清楚之前,就發包給後面(的廠商),」他回憶,「卡片標案都已經標完了,才在問我們說規格書有沒有什麼意見?中央印製廠都已經弄完之後,我們才審(整體規劃),而且規劃裡面完全沒有包括後面資料串接的方式跟管理機制。」這位資安背景的專家,作為替內政部評估數位身分證政策的小組成員,不但無法看到整體規劃,還得接受標案已發、無法影響卡片規格與後續規劃的事實,「很多人認為推動小組就是橡皮圖章,沒有那麼直接地去參與,」有的成員後來公開反對,有的拒絕出席後續會議,這位工作小組成員曾私下詢問內政部,「他們內部是說底下有一個規劃,只是沒有拿出來給我們看到。」
如果連推動小組成員都得不到透明的資訊、無法給出實質有影響力的建議,只能以缺席表達抗議,外界引起的強大反彈,也就不意外了。
這位小組成員說,「可能是因為政策規劃的時程本來是去年(2020)就要發,中華民國公務員有這個政策規劃,如果沒有做到,就是自己不好的績效,會想辦法讓它達成,可能就按照那個時程先走,有些程序就後續再補了。」
程序上的「瑕疵」,除了破壞信任,也實質上的影響到數位身分證最重要的「安全」。據了解,在宣布暫緩之前,內政部提供了測試卡片給幾位資安專家進行測試,希望在得標廠商做出的既有軟硬體規格上,測試可能的風險,進而滾動式調整數位身分證的使用方式、乘載數據等。
台灣科技大學資通安全研究與教學中心主任查士朝是其中一位測試專家,他在我們面前解釋了數位身分證透過遠端存取可能被盜用的風險和方式。他提出的建議,包括在考量智慧型手機只能透過非接觸式方式讀取卡片的情況下,評估需要提供非接觸式存取的功能或資料,以兼顧安全和便利;避免一定要讀取新國民身分證才可以使用證件的情境,以保留人民不使用國民身分證數位功能的選擇;針對需要進行高風險操作的機關,採用金鑰資料不落地的方式,對新國民身分證進行存取。
查士朝告訴我們,卡片的規格,已讓複製身分證的難度提高,但以目前的規畫來看,「因為在規劃案還沒充分討論並核定之前,就已經完成了卡片標的招標,而卡片程式功能也就被確定了,之後如果在規劃上有調整,系統標得標的人,就很辛苦了。」他含蓄地說數位身分證的換發,除了卡片的印製之外,後續才是挑戰;負責管理卡片串接和數據管理問題的中華電信,是在流標多次後被迫投標的廠商,位處下游的他們,只能以軟體開發來補強規劃上的不足。
資安是此次數位身分證爭議中最受矚目的議題。蔡英文總統曾在2016年宣示「資安即國安」,將資安視為「六大核心戰略產業」。面對中國近來頻頻發動資訊戰,資訊安全已然成為兩岸交手的第一個戰場。數位身分證得標廠商在中國的業務關係,在本次事件即成為討論焦點:進行規劃案的國巨管理顧問,公司代表人律師幸大智,同時也是中國上海市的君悅律師事務所合夥人;負責提供塑膠卡的捷克卡廠Idemia,在中國深圳有製卡廠;得標系統與維護案的中華電信,則將業務分包給旗下的資拓宏宇,資拓宏宇和Idemia皆有承包中國業務。「如果資拓宏宇的員工同時有台灣、中國業務,在中國做生意時被中國用《國安法》要求提出晶片細節、參數等等呢?」邱文聰問。
面對中國因素及技術上的風險疑慮,行政院強調作業系統與應用程式將在台積電晶圓製成時直接寫入,避免被植入惡意程式,更採用符合軍規等級的安全認證等等說法,希望提高人們的信心。
「政府更多的數位化,意味著你會有更多資安領域的風險存在,」他解釋,按照行政院拋出的藍圖,台灣在換發數位身分證之後,公部門接上T-Road系統,將提供更多元的數位服務,每個人使用數位身分證作為識別之後,就能完成所有公民享有的權利跟服務。這個過程中,第一個風險是使用者所使用的硬體設備、網路連線可能會有的資安漏洞;接著,不管是臨櫃還是線上辦理,登入身分、讀取晶片之後,連上的網站、伺服器,或是臨櫃辦理時連上的終端電腦,是否有安全性監控,來避免資料串接過程中被入侵、盜用身分,衍生出異常的資料存取行為。
此外,這個透過數位身分證和T-Road搭建出的巨大資料庫,有沒有良好的管理來對抗資安威脅;各政府單位要求存取資料時,有沒有辦法規範並確保各部門只拿到該拿到的資料,取得資料的過程有沒有辦法被記錄、被監督;有異常行為時有沒有通報系統等等,都是資料安全需要考慮的層面。
Howard解釋,除了看資訊系統的架構跟技術規格之外,整個生態系統、使用流程、伺服器資料庫的處理等等,都是政府在思考提供數位服務時,須一併考量的;數位身分證的安全問題,也不僅僅是晶片卡片本身而已。「用網頁提供服務,可能就要架一個網站,當你的架構愈龐大,攻擊面(Attack surface)也就愈大,」Howard指出,台灣政府很多外包的資訊服務,常常出現因外包廠商資安意識低落,而留下資安漏洞的狀況。他曾經在政府提供的資訊服務系統中找到一項程式漏洞,透過5秒鐘的破解運算,就能夠解開多因素身分驗證的其中一項,出現數位身分被盜用的風險。未來,若台灣有更多的數位服務網頁,勢必會面臨更多的攻擊,網頁後端連結的資料庫也就暴露於風險之中。2019年,被列為資通安全責任等級A級機關的銓敘部,就被發現流出59萬筆公務人員個資的資安漏洞。
「我自己認為外包本身不是這件事情(管理不佳、資安風險高)的原因,我覺得根本原因是在於,政府裡面承辦人員不懂技術,資安的管理沒辦法落實。因為當承辦人員不懂這些的時候,不管在外包規格書,還是在驗收的時候,(即使)你正常的外包環節流程走完,你也是沒辦法驗證裡面有沒有資安問題存在的,」Howard說。
我們翻開行政院自己的評量報告,證實的Howard的擔憂。行政院於2019年抽樣針對10個中央及地方公務機關進行資安稽核,發現在技術檢測上有高達6個機關不及格,10個機關稽核結果總平均僅69.3分。不僅如此,政府內部的資安人力也爆出嚴重不足。日前在「數位發展部」的公聽會上,行政院資通安全處處長簡宏偉指出,行政部門內負責資安的專職人力缺額高達6成、逾千人。
「台灣雖然有《資通安全管理法》這些東西的存在,但是就我看下來是沒有辦法解決這些東西,⋯⋯要做這樣子資安的稽核,其實成本是很高的。學校面、公務人員的進修,提升不管是開發商還是公務人員對於資安的理解。這是一個結構性的問題,」Howard指出,《資通安全管理法》中有規定公務機關需指定一名資通安全長,但「資安的水很深,必須對組織的上下游通盤了解,並且對資安的管理、技術都要熟悉,這些是需要特殊的經歷跟背景才做得來的事情。⋯⋯如果沒有這些,就算你是自己開發(不是外包),也是有一樣的問題。」
Howard搖搖頭說,不管是政府現行的公務人員考試機制,或是公部門能夠給出的薪資,都讓這樣的人才難以成為體制內的人員。年初,調查局釋出高級資安分析師與資安分析師的招募訊息,前者要求博士學位,還列出9大項要求,包括「發展滲透測試作業方法、流程及平台」、「研究、建立及管理惡意程式分析等相關技術資料庫」、「加密貨幣之金流分析及追蹤」、「協助測試系統弱點、軟體及網頁漏洞等滲透測試作業」等技能與經驗,卻只提供月薪5萬8千元,成為網路上眾人討論的事件。
我們進一步詢問公務人員,他們不只認同自己的資安與資訊能力需要協助,更告訴我們延伸出的隱私風險。
台灣公務革新力量聯盟理事長蔡明翰直言,公務部門的資安能力不足,不只造成資訊風險,也讓《個人資料保護法》的實質成效不彰。台灣公務革新力量聯盟早在前年(2019)函文向國發會及內政部說明,基層公務人員具備的專業領域知識經驗都不同,只有「學習」個資保護相關課程的能力,並無足以勝任「掌管」個資保護主管機關權責之專業能力,但現行的《個資法》,主管機關是各別資料庫所在的機關,「機關如何利用手上的人民個資,實際情況就是幾乎不受監管,」蔡明翰從公務體系的角度向我們說明,「機關可以自己決定如何利用手上的人民個資,比如說透過身分證號,把兩個不同資料庫的資料串接在一起。做這個串接的動作前,有沒有什麼禁得起外部考驗的評估程序?這過程中並沒有一個類似金管會、運安會、通傳會的外部單位在監管。」
近年來,已有不少公、私部門資料大規模外洩的案例。除了銓敘部59萬筆公務人員個資在國外網站上被揭露,今年初則爆出超過兩千萬筆的戶政資料被賣到暗網上。依照《個資法》,被外洩的機關有義務一一告知受害者。但實際上並沒有執行,內政部也只是否認外洩資料來自政府。受害者不知道自己的資料外流,更無從採取法律救濟的手段。
「這造成什麼結果?或許是政府機關自己沒有掌管《個資法》的能力,民間也不知道政府對個資保護的作為是什麼、如何一致性的遵守規範,」蔡明翰遺憾地表示。以個資保護最嚴格而聞名的歐盟,在2018年通過了《一般資料保護規範》(General Data Protection Regulation),要求各會員國設立個資專責獨立機關,來保障數位時代下人民的隱私權與資料自主性;同時,台灣政府卻遲遲沒有具體的規畫,與推動數位身分證換發之「積極」,成為諷刺的對比。
在一波波的質疑、批評和地方政府不願試辦中,行政院終於在1月懸崖勒馬,宣布暫緩發行數位身分證。但除了專法之外,顯然,台灣要真正成為數位國家、智慧政府,還有太多必須面對的不足。
比起20年前的國民卡推動,這一次,或許台灣更加有了自信,面對數位競爭力的追求,社會更有共識,如同內政部強調,電話訪問調查中有7成民意支持數位身分證的換發。但透過第一線的公務員、工作推動小組成員和資安專家們的實際經驗,人民對數位便捷和智慧政府的渴望,代表了政府必須加緊腳步、上緊發條的完成該補的課。除了專法,設立個人資料保護專責的獨立機關,補強公務體系的資安能力與素養,以監督外包廠商和標案成效等等,都是來自第一線的關鍵提醒。
林煜騰指出,接下來專法制定的過程,或許是另一次社會溝通的機會,「制定法律是溝通跟取得共識的過程。數位轉型會帶來很多議題,所有人都在適應,法規也在調整。我們需要全國一起想像這個藍圖。透過專法的制定、國會的討論、利害團體的折衝,讓人民去理解數位轉型的過程。」在按下暫停後,數位身分證政策下一步該怎麼走,將持續考驗執政者的智慧,也決定了台灣能不能在這場數位化浪潮中,成為一個擁有社會信任和高度公民參與的數位強國。
用行動支持報導者
獨立的精神,是自由思想的條件。獨立的媒體,才能守護公共領域,讓自由的討論和真相浮現。
在艱困的媒體環境,《報導者》堅持以非營利組織的模式投入公共領域的調查與深度報導。我們透過讀者的贊助支持來營運,不仰賴商業廣告置入,在獨立自主的前提下,穿梭在各項重要公共議題中。
你的支持能幫助《報導者》持續追蹤國內外新聞事件的真相,邀請你加入 3 種支持方案,和我們一起推動這場媒體小革命。
