標榜能讓民眾享受便利服務、接軌國際潮流的晶片身分證,因無法化解資安疑慮,在試辦前夕狼狽喊卡。其實,台灣民意拒絕的,並非身分識別數位化,而是政府不願耐心溝通的草率態度。
一張約5公分長、8公分寬、嵌著鈕釦大晶片的塑膠卡,為何同時承載著與平凡外觀極不相稱的重大責任和巨大爭議?
它是2018年底被時任行政院院長賴清德視為「智慧政府基礎架構」、並責成內政部妥善規畫全面換發事宜的「數位身分識別證」(eID)。
當時,積極推動數位轉型的行政院,期待「運用人工智慧等新興科技,優化決策品質⋯⋯,進而帶來更創新便捷的服務、體現更透明治理的政府」;負責擘畫藍圖的國家發展委員會認為,政府數位轉型的基礎,是讓民眾線上申辦政府服務,因此必須對全民發放一張能在網路世界辨識身分的證件。
但這張被寄予厚望的晶片卡,卻被許多專家學者認定是攻破特洛伊城的木馬,不僅構成資安破口,更可能淪為政府窺探人民隱私的監控工具。內政部在執行政策的過程中,屢屢遭民間團體、專家學者、朝野立委的強烈反彈,導致進度一再延後,試辦範圍也因各界疑慮而大幅縮水。
各界疑慮不止 政策觸礁
儘管內政部試圖頂住壓力,但2020年12月25日,連唯一同意在隔年元旦試行換發數位身分證的新竹市政府,也冷不防宣布「若中央無法針對資安問題釋疑,市府傾向暫緩試辦」;再加上行政院院長蘇貞昌隨後承諾「若資安疑慮未消除,不會貿然推動」,形同宣告政策觸礁,短期內難再有進展。
根據內政部發表的《新一代國民身分證換發計畫》,數位身分證除了能大幅節省民眾與政府機關互動時間,還設計了多道防偽功能、將部分目前印在卡面上的資訊轉存至晶片,得以大幅降低證件遭變造盜用與個資外洩風險;內政部部長徐國勇更多次拍胸脯保證會謹慎處理資安問題,但疑慮為何仍由四面八方蜂擁而來?
為了更廣泛調查專家意見,2020年11月,《今周刊》針對全國各大學資訊工程與資訊管理系等系主任發放問卷。回覆的24位學者當中,雖有近半數的42%認為台灣有必要發行數位身分證,但僅29%支持2021年7月就依內政部規畫的時程開始換發。
持反對意見的17位學者中,有15人選填的理由是「對政府的資訊防護與風險控管能力缺乏信心」。由此可見,「資安疑慮」並非少數極端意見。
疑慮,和台灣長期面對中國國家級網軍的威脅有關。根據官方數據,台灣每月面臨3億次駭客掃描、3千萬次惡意攻擊,這些行動的用意除了鎖定政府與產業機敏資料,也可能是為中國對台灣持續的「認知作戰」蒐集資源。國防部智庫國防安全研究院最新發布的《西元2020中共年報》特別以專章分析「中共認知作戰」,強調這是一場「沒有硝煙的戰爭」,意圖運用民主多元分裂性質製造混亂,進一步消耗民主社會資源。
「台灣面對的敵人有兩種,一種是一般駭客,一種是中國網軍,資安問題本來就比其他國家複雜,需要更高標準的防衛機制。」成功大學電機工程系教授李忠憲說。
恐成資料庫「單一破口」
但,一張輕薄短小的晶片卡,為什麼會對國家資安防衛產生舉足輕重的影響力?
「你可以把政府管理的資料庫,想像成一座座儲存珍貴資料的城堡;這些城堡戒備森嚴,只有獲得許可的人才能進入,國民身分證就是出入的許可證。」交通大學資訊工程系講座教授林盈達形容,「現在民眾申請服務,是拿紙本身分證當面讓政府機關公務員確認身分;數位身分證是讓驗證身分和存取資料的手續,都在網路上進行。」
這段比喻,符合各部會一再強調的「數位身分證只是一把鑰匙,並非將所有個資都儲存在一張卡片上」。依國發會2018年解釋,這把與自然人憑證結合的鑰匙,可以透過「政府骨幹網路」與各部會管理的所有資料庫連結。約2千萬名14歲以上國民,未來都會拿到用來開啟政府資料寶庫的鑰匙。
林盈達進一步說明,國人慣用的健保IC卡、金融卡,性質也類似鑰匙,但分別只能用來進入單一資料庫;結合自然人憑證的數位身分證,卻是可以打開不同城堡的萬用鑰匙,「我寧願拿5張卡,分別存取不同部會管控的資料,也不希望有一張通用卡,因為5張卡很難同時被駭,但數位身分證只要一被駭,我的資料就全曝險了。」
況且,政府骨幹網路可以連結所有資料庫,數位身分證遭盜用的後果,可能不止於個人資料被駭。
「政府骨幹網路就像在每個城堡之間開地道,駭客用偷來的鑰匙進了一座城堡,就有可能找到連結其他城堡的,這叫『單一破口』(Single Point of Failure )風險。」林盈達解釋,「資安沒有百分之百的安全,開發之前,總是要預先設想最壞的狀況。」
▲點擊圖片放大
遭冒用風險高於紙本
這把重要的鑰匙,當然不會毫無防護機制。依內政部規畫,任何人要讀取數位身分證的加密區資料前,必須輸入持卡人自行設定的6位數字密碼;若要取用自然人憑證區資訊(連進政府資料庫),則須輸入另一道8至12位數的密碼。破解不了密碼,拿到再多把鑰匙也無用武之地。
「對專家來說,90%的密碼都很容易破解。」中研院資訊科學研究所研究員何建明分析,大部分民眾、尤其是中高齡人士,傾向將個人生活相關、不易忘記的數字設為密碼,但這類密碼強度太低,很難擋住本領高超的駭客;數位身分證一旦遺失,遭冒用的風險可能比紙本證件更高。
卡片被盜用,還只是諸多風險中的一環。中研院法律研究所資訊法中心2020年11月發表的政策建議書,更直接批評晶片身分證的資訊安全性嚴重不足,具體指出內政部只強調「晶片製造安全」(由台積電製造),卻無視「晶片設計」、「晶片作業系統與應用程序開發」、「晶片寫入設備」、「資訊應用軟體」均為外包,因此存在系統與軟體安全風險。
同樣以鑰匙作比喻,中研院學者的意思是:內政部只強調鑰匙本體是由台積電鑄造,非常安全,卻忽略了這把鑰匙的設計、設計過程用到的工具、拿鑰匙開門會用到的周邊設施,都是外包給民間廠商,當中只要有任何環節出錯,例如設計鑰匙的廠商誤用帶有惡意程式的軟體,造成設計圖外洩,就會讓鑰匙喪失應有的安全性。
「建立資訊系統、尤其是像數位身分證這樣高度敏感的系統,應該有一套嚴格的標準規範。舉例來說,政府要對外部開發廠商做詳細的背景調查、系統原始碼絕對不能隨便讓工程師帶出門⋯⋯,但在數位身分證的系統開發上,我看不見政府有明確規範。」何建明說。
專長軟體工程設計的台灣大學資訊工程系教授李允中建議,政府委外開發戶役政、健保、財稅資料庫等敏感軟體時,應加入技術審查機制;委外的部會應該提供類似Git(一種版本控制工具,可記錄所有人對程式碼的更動)的程式管理機制,當廠商進行備份或轉錄時,應留存登入紀錄;應確保程式碼不落地原則,避免委外開發人員將程式碼留存在個人筆記型電腦中,在下班後攜出。
中研院:eID將成自由民主體制弱點
綜合中研院學者與幾位專家的觀點可以發現,資訊系統從前期軟硬體開發到實際應用、維護管理,就像一條漫長的道路,在「生命週期」中的每一點,都可能成為資安破口。專家所能做的,就只有盡量降低風險,無法確保安全。
事實上,光是過去2年,政府就發生銓敘部59萬筆文官資料外洩、戶政系統當機等意外事件;民間求職網站的會員個資也接連傳出遭竊。由於竊取國人個資,有利於敵對勢力進行「沒有硝煙的戰爭」,在台灣內部製造分化動盪,中研院的政策建議,因而認定數位身分證「將對台灣的自由民主體制帶來立即而重大威脅」。
「既然在台灣,丟資料是『現在進行式』,我們還有必要建一個更大的目標,讓別人更方便偷資料嗎?」何建明提出疑問。
「我並不認為數位身分證『一定』會變成災難,但我也認為中研院學者提出的『威脅』有憑有據,問題出在民間和政府沒有足夠的互信,分別從各自立場出發、各說各話,造成今天的僵局。」一位熟悉政府運作的資訊專家分析,「導入每一項新科技都會同時帶來便利性與風險,但內政部沒有針對利弊得失充分溝通,態度太粗暴了。」
推行失敗原因1:無法律信賴基礎
「缺乏信任,是因為台灣沒有足夠的法律,提供人民信賴政府基礎。」中研院法律學研究所研究員邱文聰指出,德國、日本、愛沙尼亞等國發行晶片身分識別證時,都扎扎實實地訂立專法,以明確遊戲規則爭取國民信任,唯獨台灣不經任何立法程序,行政部門「蒙著眼睛硬幹」。
內政部認為既有法律已充分授權行政機關發行數位身分證的理由是:將現行紙本身分證改為晶片數位身分證,屬於身分證「格式」變更,符合《戶籍法》第52條規定:「國民身分證及戶口名簿之格式、內容、繳交之相片規格,由中央主管機關定之。」
但包括邱文聰在內的眾多法律學者,並不認為身分證由紙本改為晶片,只是單純的「變更格式」。
「內政部一直宣稱擁有的『格式決定權』,是幾10年前地方政府可能各自發行不同的身分證,有辨識問題,所以讓中央主管機關統一格式,但當時的立法意旨不可能預測到現在的『晶片身分證』,內政部的說法完全是擴大解釋。更何況身分證數位化以後的『數位足跡』風險,更不是《戶籍法》可以規範解釋的。」邱文聰說。
所謂數位足跡,指的是換發晶片身分證後,現在每一次進出飯店酒吧、社區大樓、金融機構等需要實體辨識證件的場合,未來都可能改為讀卡形式。在紙本時代,這些登記資料不容易被蒐集彙整,但數位化之後,保留分析讀卡紀錄的方便性大為提高,如果法律未明確規範政府與民間機構保留、運用資料的界線,有侵害個人隱私自主權的疑慮。
對於這項疑慮,內政部不斷強調,國家絕不會監控人民行蹤、讀卡紀錄不會傳回內政部,「這和我們的疑問沒有對焦,我們關心的是,哪些機關有權讀卡確認我們的身分、在權限範圍內它們可以取得哪些資料、能在什麼場合使用、多久之內要把資料刪除?」邱文聰說。
為化解社會疑慮,內政部部長徐國勇(右)請來數位政委唐鳳開直播說明政策,卻仍無法扭轉暫緩上路的命運。(圖/翻攝內政部發言人室影片)
德國人不到3成啟用晶片功能
2009年開始發行晶片數位身分證的德國,就量身打造了《身分證及電子身分驗證法》,其中條文內容,精準對應了邱文聰拋出的各項疑問。
例如這部專法規定,有權讀取身分證儲存資料的公家單位包括「各警察機關、關稅行政機關與稅捐稽徵處、身分證機關、護照機關和戶籍機關」,只能在「查證身分證真實性和身分證領有人身分範圍內」執行這項權力,且所蒐集的資料應於查證後「立即銷毀」;提供服務的私人單位(如金融機構)為驗證身分而要求持證者傳送的資料,同樣也須在達成目的後立即刪除。
德國的身分證專法更明文寫著,無論警察機關、聯邦情報局、關稅稽徵處,每次向身分證機關請求持證者資料時,所有參與單位都必須留下紀錄,且紀錄內容應能讓第三方審查請求資料的合法性。
儘管藉由嚴謹的立法限制政府濫權並維護國民資訊自主,但德國民眾也無法在短時間內接受全新的身分證「格式」。根據2019年一項調查,僅24%德國民眾開啟數位身分證的電子身分識別功能,更只有6%曾藉此傳送資料。
反觀台灣,內政部雖強調法源完整,但自2018年政策定案以來,數位身分證的功能與適用範圍持續「滾動式修正」,例如最初預計連結健保卡與駕照功能,但隨後取消;自然人憑證區也由強制開啟改為「可選擇停用」;原本規畫存放在晶片加密區的解析度600dpi相片,內政部也在2020年12月發布公文以「政策調整」為由,取消這項設計。
「因為沒有一部法令,一切都是行政部門說了算,公眾沒有任何參與討論的空間,信任基礎幾乎不存在。」邱文聰這麼評論。
推行失敗原因2:程序瑕疵
除了沒有專法,政策推動程序也有明顯瑕疵。2019年4月,內政部委託國巨管理顧問公司執行「新一代國民身分證換發規畫案」,預計11月底完成,但規畫案還沒做完,內政部就急著發包印製、第三方獨立驗證、系統建置維護等軟硬體標案,其中印製案在同年6月就完成決標,系統建置與維護則因三度流標,直到2020年6月才由中華電信得標;但最初的規畫案至今從未公開。
一位因監察院調查本案而得以一窺規畫案究竟的專家透露,內政部對外公開計畫和規畫案內容不完全相同,讓他懷疑規畫案只是徒具形式,而非為求嚴謹而執行的事前工程。
正因內政部堅持不走立法程序,推動時又欠缺應有的社會溝通,連同屬執政團隊的民進黨立委都挺不下去。2020年11月,立法院內政委員會協商後,決議凍結數位身分證2021年度預算半數4億元,必須等內政部部長專案報告化解朝野立委疑慮後,才得以動支。
「所有人都同意智慧政府是台灣應該追求的長遠目標,但是在起步之前,是不是應該先凝聚社會共識,把要達成目標所需的條件做一次釐清?」民進黨立委劉世芳認為,在智慧政府的大架構下,數位身分證只是其中一項內容,行政部門應先確認整體方針,進而建構合理的法規框架,而不是只因為是「進步象徵」,強推一項社會充滿疑問的政策。
「便利與安全,原本就是互相拔河、取捨的關係。」李忠憲並不否認數位身分證的便利性,「問題是,台灣需不需要用可能犧牲民主自由的風險,交換一點點方便。這件事情,需要全民共識,不是內政部可以決定。」
不只便利和安全,效率與民主、秩序與自由,這類正面詞彙之間,都存在著程度不一的矛盾性,無法面面俱到。過去2年,推動換發數位身分證的內政部,過度向效率與便利那端傾斜,卻忽略了台灣社會對民主程序與隱私安全的重視,讓一項未必不合理的政策狼狽收場。
事實上,《今周刊》同樣以「是否有必要換發數位身分證」徵詢台灣市值前50大企業,回覆者當中,認為有必要的企業占了多數。
換不換晶片身分證本身,沒有絕對的是與非,重點一直是如何讓台灣人在審慎思考後,做出集體決定。這是無論政府形式如何智慧、進步,執政者永遠無法違逆的鐵律。