記者 彭宬/採訪報導
內政部宣示在2021年7月將全面換發數位身分證,功能整合身份辨識及資料驗證,強調防偽技術升級,更可串聯政府資料傳輸平台(T-Road),讓民眾線上取用政府所有服務。但此計畫遭民間團體質疑缺乏法源依據,多位立委也呼籲內政部應暫緩數位身分證換發,並成立資料安全主責機關,引發應先成立數位發展部會的討論。
資料庫串聯為發展方向 推政府業務全面數位化
內政部近期推動第七代數位身分證(New eID),欲作為推動政府業務數位化的第一步。根據行政院於2018年12月27日第3632次院會紀錄,決議將「資料」做為發展智慧政府創新服務的核心,「T-Road」就是國家發展委員會(下稱國發會)所提出「智慧政府規劃」報告的重要基礎架構,目的是透過區塊鏈技術,串接全國各級機關及跨政府部門業務資料。
開放社群工程師蕭新晟對T-Road樂觀其成,他認為數位身分證及T-Road整合的出發點,是為了提供便利的服務,民眾拿一張卡就可以在網路上驗證身分,並迅速取得所需的服務。他表示,臺灣在政府數位化方面遠遠落後其他先進國家,如德國或芬蘭。數位身分證整合T-Road是必須要走的路。
資安外洩未有主責單位 貿然整合個資恐成漏洞
不過開放文化基金會針對數位身分證的「支持修法與公開數位晶片身分證規劃資訊」公開連署中指出,中國入侵政府公務系統的事件層出不窮,若政府匆促啟用新的「數位身分個資管理與串接系統」,無疑是駭客攻擊的最佳目標。
國立臺灣大學電機工程學系教授、前資策會資安所所長林宗男在公共電視「有話好說」節目上表示,2020年初全國有兩千多萬筆戶政資料在網路上被販賣。對此,美國資安公司CYBLE指出,這些被販賣的個資皆從內政部戶政機關流出。政府管理民眾個資卻被駭客盜取,林宗男直指,應有官員對資料外洩事件負責。
中央研究院舉辦的「數位時代下的國民身分證與身分識別研討會」裡,中研院資訊科技創新研究中心研究員李育杰也說明資料集中管理的風險,資料數位化雖易於編輯與建立資料庫,但同時也方便散佈,集中管理的數位個資恐遭有心人竊取。
資料管理機關未定 尚待數位部會成立
對於數位部會成立的必要性與預期功能,民進黨立法委員洪申翰日前在記者會中提到,台灣需要規劃整合資料的管理機關。他指出,內政部目前標榜數位身分證的許多功能,都必須透過國發會所規劃的T-Road進行,數位身分證只是存取T-Road的金鑰。
「我們在(數位身分證)相關政策推動裡面,發現國發會的角色不見了,內政部只能管這張卡和戶政司下面的資料」,洪申翰說,政府整體資料的許多管理權限,內政部都不得涉入,需要有專責機構管理整合資料及T-Road,按照政府未來的規劃,資安相關的專責管理可交由數位發展部。
民進黨立委范雲在同一場記者會中,也強調應先設立個資保護的專責機構,再來討論數位身分證的發行。
民進黨立委劉世芳則表示,數位轉型衍生的資安風險不容忽視,台灣需要完善的法規及健全配套。他認為,現行法規尚未成熟,成立掌管數位治理政策的數位發展部,並完善相關法規再發行數位身分證,較為妥當。
而針對數位發展部會的首長人選,Mozilla臺灣社群負責人Irvin Chen認為,資訊系統深度影響民眾生活,數位首長除了需要技術背景及數位政策的理解外,更應具備人文素養的關懷,才能通盤考量數位政策對不同世代及族群的包容性。
他國發展數位經驗 值得台灣政府借鏡
臺灣在推行數位政策時經常引用愛沙尼亞作為仿效或學習的成功案例,被標舉為智慧政府標竿的愛沙尼亞所建置的數位系統,就是T-Road建置的參考對象。
中央研究院法律所資訊法中心主任邱文聰認為,「外國法制經驗顯示,身分證晶片化涉及數位時代資料的蒐集、處理與利用,必須以專法予以規範。」邱文聰補充,「愛沙尼亞的規範裡面,有一個很重要,就是他有專法、專責機關,有基本的個人資料保護法。」
曾親身踏上愛沙尼亞的蕭新晟指出,T-Road是封閉原始碼的系統,目前民眾看不到任何技術細節,導致技術專家無法檢測系統內部的構造。他進一步點出,如此一來,T-Road是否安全就變成信任問題。
愛沙尼亞的國家資料庫「X-Road」是開放原始碼的系統,蕭新晟說,任何人都能檢驗系統程式碼,若有疑慮就回報,工程師可以盡快修補。他表示,X-Road已將原始碼公布二十年,品質相對起封閉原始碼的系統來說,更經得起考驗。
蕭新晟也質疑,愛沙尼亞與臺灣同樣長期面臨外部網路攻擊,為什麼政府不參考或使用足以應付攻擊的「X-Road」,而是重新打造資訊系統?
提及處理數位足跡,蕭新晟提到,X-Road的每一個節點都有數位足跡,數位足跡在區塊鏈上運行,無法被竄改或消除。他解釋,若政府或有心人士監看民眾的數位足跡,該行為也同樣會留下數位足跡,因此,若民眾的資料被不當查閱,就能透過數位足跡所儲存的證據進行法律救濟。
蕭新晟表示,科技問題要透過科技解決,如同愛沙尼亞透過區塊鏈上的數位足跡,防止科技監控及資訊濫用,數位發展不能因資安風險存在就因噎廢食,貿然阻止政府數位化。
強推數位政策惹議 民間籲應開放參與
長期關注數位化議題的Mozilla基金會在今年(2020年)初發布「數位身分白皮書」(Digital ID White Paper),當中提到「在英國、法國及澳大利亞等已開發國家中,生物辨識身分系統在諮詢階段遭遇到強烈的反對後,便在實行前止步」,報告中也說到,數位系統要在規劃階段方便公眾參與討論,透明度至關重要。
Irvin Chen說,民間與政策研擬單位的距離很遠,嚴重缺乏聯繫、溝通、協調。國發會規畫數位系統政策長達三年,竟未與長期關注數位發展議題的開放文化基金會進行合作,讓他感到訝異。
「以開放政府的角度來講,應該要將所有的Stakeholders(利害關係人)找出來大家一起談清楚」Irvin認為,討論的形式不拘,無論是以政委唐鳳的公共數位創新空間小組(PDIS)的架構進行,或是辦理研討會都是可行的。
Irvin以國家通訊傳播委員會(NCC)的討論為例,Mozilla日前辦理活動與民眾針對《數位通訊傳播法草案》中,隱私和網路中立性的問題進行討論。當時NCC的草案研擬人不但親自出席,會後也按照現場民眾的意見增修草案內容。Irvin表示,目前數位系統的爭議,政府應該抱持謙卑態度,透過開放政府的架構下與民間進行對話,將問題解決。
國立政治大學公共行政學系的黃東益教授於中研院法研所的研討會當中也提出透過外部公民社會來實現課責的形式,「公民提案課責」(citizen-initiated accountability),就是讓民眾針對政策自主提出問題、建議與解決方法。
中研院法學所副研究員陳舜伶也在同一場會議當中表示,政府應在決策過程中,引進群眾共同協作力量及集體智慧,以貼近民意與增加透明互信,也希望未來在更細部的規劃時,能落實資料治理與審議空間的開放,以促進政府自身的進化。
延伸閱讀: