資安即國安綠委學者反對數位身分證倉促上路臺灣人個資別讓中國整包偷走

發佈時間11/17/2020 09:34:13
最後更新11/17/2020 09:34:14

數位身分證(eID)原本將在明年 7 月全面換發,更要在新北等地小規模試辦,卻一直無法止息民間的資安疑慮。今(17)日民進黨立委范雲等人與學者召開記者會,呼籲內政部在無專法及專責機構前必須暫緩發行。范雲表示,eID 甚至有相關廠商跟中國政府關係曖昧的疑慮,她認為不該冒風險把全民個資奉送給中國,讓「資安即國安」努力付諸流水。臺北大學犯罪學者沈伯洋也表示,本來這些個資都要中國駭客耗費心力分開進入各個資料庫偷,但 eID 卻整合好,讓人能一次整包偷走。昨日內政委員會也已凍結 4 億經費,待內政部專案報告才能凍結。

內政部將在明年 7 月全面換發預算 48 億的 eID,更計畫先在部分縣市地區試辦,但連自家立委都不挺。民間對於 eID 資安、中國滲透疑慮也不曾停過(攝影/廖昱涵)

內政部將在明年 7 月全面換發預算 48 億的 eID,更計畫先在部分縣市地區試辦,但連自家立委都不挺。民間對於 eID 資安、中國滲透疑慮也不曾停過(攝影/廖昱涵)

臺北大學犯罪學研究所助理教授沈伯洋表示,本來中國駭客竊取臺灣人的時候很麻煩,比如要入侵健保資料庫、戶籍資料庫,還要買一些特定通路公司,並在雙十一的時竊取偏好資料。他說,這些東西本來要慢慢、一次一次分開偷,但 eID 現在就整合好,讓這些駭客偷一次就解決。他也十分不解,在專家學者都如此反對下,內政部為何質疑推行?

臺灣大學電機工程學系教授林宗男指出,極權國家如中國,為了要做大規模的監控,都會發行具有追蹤功能的數位身分證,也因此極權國家發行數位身分證,通常走在世界前端。他質疑,臺灣的 eID 規格居然和中國一樣,也具有 RFID,即類似 eTag 功能。他質疑,為什麼會發行具有這種監控人民功能的數位身分證?

「我是做資安的專家,這種東西我不敢用。」林宗男說,他不相信內政部的保證,因為完全就是廠商講什麼就信,沒有基本的專業知識、數位素養,以為裝了防毒軟體就懂資安。

針對內政部長徐國勇以「晶圓將由台積電生產」替 eID 資安掛保證,林宗男更是痛批:「華為的東西也都委託台積電生產啊!委託台積電生產就沒有後門的邏輯,當內政部長講這句話時,就知道說他對資訊安全或者數位素養是零分。怎麼放心將資安交給這樣子完全不懂的官員來掌控?」

臺大電機工程學系教授林宗男表示,eID 的資安不僅有晶片製造問題。像是讀卡機本身就可能成為竊取個資的破口(攝影/廖昱涵)

臺大電機工程學系教授林宗男表示,eID 的資安不僅有晶片製造問題。像是讀卡機本身就可能成為竊取個資的破口(攝影/廖昱涵)

台灣人權促進會網路透明報告專員周冠汝指出,一般人使用數位服務時,會在不同的服務中使用不同的密碼並定期更換。以免使用同一組帳密,當被駭客盜用時其他服務全遭殃。她形容,eID 政策是建立一套單一數位身分識別方法,用於不同的目的,就是個鼓勵人民「把雞蛋放在同一個籃子裡」的政策。

周冠汝抨擊,內政部不只是鼓勵人民持有這樣的高風險 eID,更要全面換發、強制人民持有。因為舊證失效的話,就無法投票。她要求,政府應該仿照日本,讓人民有權選擇 ,不要的人就拿沒晶片的紙本或塑膠卡。

周冠汝表示,對於選擇持有和使用 eID 的人民,政府更應該要立法保護。德國、日本都有專法規範,但臺灣等同在沒訂交通規則下,就鼓勵人民安心上路。她表示 eID 總預算高達 48 億,對數位足跡需要立法管制,從資安管控、採購端的廠商在中國的利益、後續管制、相關罰則跟救濟都要討論。

台權會網路透明報告專員周冠汝(右一)說,臺灣身分證制度特殊,這種終身不變、方便追蹤、無法律限制的身分證字號,不僅很多國家沒這種制度,甚至在德國是違憲(攝影/廖昱涵)

台權會網路透明報告專員周冠汝(右一)說,臺灣身分證制度特殊,這種終身不變、方便追蹤、無法律限制的身分證字號,不僅很多國家沒這種制度,甚至在德國是違憲(攝影/廖昱涵)

民進黨立委范雲引述中研院法律學研究所的資訊法中心公布的政策建議書,指出 eID 包含跨機關業務資料共享跟整體智慧政府的計劃,但欠缺符合可課責性的設計跟做法。她解釋,也就是對於其中的機關濫用個資無法申訴、也沒有專責的機構負責。她指出,連數位首長、政委唐鳳也強調應先設立個資保護專責機構。

民進黨立委洪申翰也特別指出,目前談到 eID 都只聚焦在內政部責任,但其實內政部只能管卡片跟戶政司下所屬的資料。而 eID 被廣為宣傳智慧政府的「金鑰」功能,其實事涉國家資料管理的重要單位「國發會」,但目前卻沒有看到國發會的角色。他認為,內政部目前都在回答一個不是它能處理的業務,這也是大家很難被說服的原因。

民進黨立委洪申翰(左起)、何欣純、劉世芳、范雲皆表態反對 eID 政策倉促上路(攝影/廖昱涵)

民進黨立委洪申翰(左起)、何欣純、劉世芳、范雲皆表態反對 eID 政策倉促上路(攝影/廖昱涵)

民進黨立委何欣純也質疑,未來 eID 管理、監理必須跨部會整合所有的系統,一個內政部的戶政的層級夠嗎?她也指出,常被視為數位身分證典範的愛沙尼亞,也曾在 2017 年發生駭客入侵事件,他們痛定思痛發展備份系統,但內政部可以告訴國民目前對駭客入侵的配套嗎?

eID 政策爭議不斷。除民團「經民連」質疑 eID 得標廠商代表人同時也是中國律師事務所的合夥人。中研院先前舉辦相關研討會中,學者吳介民也指出,「系統建置維護」得標商中華電信,其子公司曾在 2014 年爆出將戶政系統軟體程式外包給中國公司,也在中國承攬許多政府標案。資策會資安所策略總監王仁甫也指出,eID 「PC晶片卡及印製設備乙式」標案,由東元團隊結合國外廠商 Idemia 得標,但 Idemia 前身曾遭世界銀行因違約制裁 ,甚至有委由中國深圳公司製造的紀錄。