法規未臻周延 數位身分證換發待評估

記者 羅沁然、吳宗興、吳怡璇/採訪報導

因應科技進步與實務所需政府推動全民換發數位身分證計畫,旨在強化數位身分識別功能,並提升行政效率。然而,該計畫曾因疫情影響延遲,後續復因民眾質疑恐侵犯個人權益,且存在資安與隱私風險,導致進度停擺。為確保數位身分證推行的安全性與合法性,政府應充分參考各國經驗,進而完善法規,使現行制度能有效保障民眾的隱私,確保數位足跡安全。

 

強制換發 違憲疑慮

內政部於202010公布換發數位身分證(New eID)計畫內容顯示紙本身分證的防偽措施已過時,且近年變造身分證盜領存款案件層出不窮,換發數位身分證不僅能方便民眾使用政府的網路服務,亦可普及數位身分的識別,期望透過數位化流程改善政府的行政效率、降低成本。

數位身分證(New eID)換發流程。製圖吳怡璇

強制推動數位身分證換發此舉,引起台灣人權促進會(以下簡稱台權會)的強烈反對,該會副秘書長周冠汝認為,政府換發數位身分證的理由並不具備足夠的必要性,卻仍要求全民共同換發,導致部分民眾即使心存疑慮,也無法拒絕。因此,該會發起反對數位身分證換發的連署活動。中央研究院資訊科學所研究員王柏堯對此亦表示,若政府強制全體國民換發數位身分證,做法過於強硬,可能違反憲法釋字第603號中對人民「個人資訊自主控制權」的保障。

數位足跡 資安風險

有關換發數位身分證的優點,內政部在「新一代國民身分證換發規劃案規劃成果重點報告」內容顯示,數位身分證將簡化民間交易中的身分認證過程,現今的雙證件紙本認證模式存在較高的個資外洩風險,而數位身分證可根據不同情境設定存取與驗證權限,讓身分認證更加靈活、安全,且現今許多消費從線下改為線上進行,數位身分證的推動可使線上交易時,大幅提升便利性與安全性。

數位足跡示意圖,圖片為AI生成。製圖羅沁然

至於數位身分證可能產生的資安疑慮,義守大學公共政策與管理學系助理教授吳明孝表示,問題可能來自於駭客攻擊,或使用者個人操作行為,如將帳號密碼設置過於簡單或者交付他人代為操作,因此替換成數位身分證未必能真正保障隱私。

紙本身分證的防偽技術過時,導致以假身分證盜領存款的犯罪行為增加。對此,前內政部長徐國勇曾在直播中向民眾保證,數位身分證將引入最先進的防偽技術,並由「台積電」代工晶片製作,請民眾放心,並期盼能有效降低偽造、冒用的風險,減少相關犯罪發生。

然而,周冠汝指出,隨著數位身分證的普及,民眾在日常生活中的使用時,將導致有權限讀取數位身分證資訊的單位能更全面地掌握個人行為與偏好。這些資訊包括個人在特定時間與地點的活動紀錄、辦理的業務類型、個人的消費偏好與興趣等,這些都屬於敏感的個人資料。一旦這些資料被惡意使用,可能導致嚴重的隱私洩露,進而被不當利用,影響民眾的日常生活安全,甚至引發身份盜用、社會控制等風險。

晶片示意圖,圖片為AI生成。製圖羅沁然

法律與監管問題浮現

數位身分證的另一大隱憂,即為法律與監管問題,國立中正大學政治學系副教授陳尚智指出,歐洲聯盟在數位身分證推行過程中制定了詳細的法律與規範,以保護公民的隱私與資訊安全。他舉例,當德國在推動數位身分證時,設立了《聯邦個人身份證法》和《電子身份識別法》。前者著重於身分證本身的設計規格和生物識別數據的合法使用,以確保數位身分證的基本安全與隱私保護;後者則強調數位身份驗證在網絡上的安全使用,確保身分認證過程中的透明度與安全性。

周冠汝補充,德國民眾普遍對政府串聯個資系統存有戒心,因此德國在設計數位身分證時選擇不設固定的身分證字號,同時針對交易紀錄及個資使用設立了鎖卡碼、資料儲存與刪除的期限,以及專門處理個資問題的部門。

此外,周冠汝也提及愛沙尼亞的數位身分證系統,被視為數位化轉型的典範。愛沙尼亞政府通過《資訊系統安全措施法》對資料庫的安全層級進行分級管理,並且明訂定期核查系統的安全措施,以防止潛在的資安風險。同時,根據《個人資料保護法》,愛沙尼亞明確規定當個資受到侵犯時,當事人可以向政府提出申訴,確保民眾擁有充分的申訴權和資料掌控權。這樣的制度安排不僅有效維護了個人隱私,還增強了政府和民眾之間的互信。

借鏡國際經驗 維護個資安全

陳尚智表示,雖然政府認為現行的《戶籍法》、《電子簽章法》及《個人資料保護法》足以應對數位身分證的需求,但政府尚未規劃具體規範個資的專責單位及法規,因此他對此仍持保留態度。

吳明孝舉例,健保資料做為一項重要的敏感個資,記錄民眾的醫療資訊,如開刀和用藥等,除非有法律的明文例外規定,否則這些資訊原則上應禁止隨意收集、處理與利用。他進一步強調,公部門對於個人資訊隱私權的保護在法規層面上仍缺乏明確的概念和具體規範。

針對政府搜集民眾個資的正當性,吳明孝認為,政府若要強制收集個資,必須先確立收集的目的,而且只能在基於公共利益等合法授權的基礎上進行,不應超出目的範圍外隨意使用。然而,2012年憲判字第13號解釋《健保法》第7980條等相關法律,未明確規範健保個資處理等監督機制,恐遭不當使用,因此更需要警惕數位身分證的個資處理問題。

憲判字第13號揭示民眾個資必須謹慎處理。資料來源/憲法法庭網站、製圖吳怡璇

除了個資處理問題,個資安全性也受到民眾關切,周冠汝強調,德國在數位身分證的設計中融入了多層防護措施,不僅保障了資料的安全,也增強了使用者對數位身分證的信任。數位身分證內部嵌入的芯片具備加密功能,所有的數據傳輸都必須經過加密處理。此外,德國的數位身分證還設置了「選擇性揭露」功能,允許使用者根據不同的情境選擇性地披露個人資訊,有效避免了資料過度洩露的風險。

個資的揭露須避免暴露在高度風險當中,示意圖。攝影/吳怡璇

對於台灣仍未順利推行數位身分證,周冠汝認為,國際上有不少國家已實施多年,台灣可以參考並學習他國的經驗。以愛沙尼亞與日本為例,愛沙尼亞的數位身分證制度,是建立在人民能夠輕易地查詢到政府如何使用自己的個人資料,以及有完善的法律規範;日本則是將是否申請電子身分證的決定權交予民眾,讓民眾能自行決定是否授權個人資料給予政府作為利用。這些法律規範及制度都是台灣目前不具備的條件,也是未來推動數位身分證換發時努力的方向。

完善法規制度 保障民眾隱私

2021年起,因各界對於資安存在諸多疑慮,政府因而暫停數位身分證的換發計畫;然而,在進度停擺的狀況下,政府仍2024年編列了六千多萬的預算,用以維護、保養相關機器。國立政治大學國家發展研究所副教授魏玫娟表示,由此可知該計畫只是暫停並無終止,未來政府依然會繼續推動這項政策。

魏玫娟強調,雖然數位身分證在台灣尚未推行成功,但參考歐盟,數位身分證是建立在嚴格的法規和隱私保護之上。歐盟通過了《通用數據保護條例》(GDPR),該條例被認為是全球目前最嚴格的個人資料保護法之一,對數據收集、使用和儲存提出了嚴格的要求,並賦予個人對其數據的控制權。

魏玫娟解釋,數位身分證的推行不僅涉及技術層面的挑戰,更重要是法律層面的保障。歐洲各國在推動數位身分證時,先制定了健全的法律框架,並設立專門的監管機制,以確保個人資料不會被濫用。同時,GDPR等法規的實施也為數位身分證的推行提供了堅實的法治基礎,確保數據的安全和透明度。

數位時代個資安全尤應重視,示意圖。攝影/吳宗興

台灣在推行數位身分證的過程中,吳明孝認為,必須更加關注如何健全法規,完善隱私保護措施,確保在數位化進程中不損害公民的基本權益。唯有如此,數位身分證才能真正為民眾帶來便利與安全,並獲得社會各界的廣泛支持。政府在推行數位身分證時,能以歐盟的經驗為借鑑,強化法規制定,建立明確的監管與申訴機制,保障民眾對個人資料的控制權,從而推動數位政府的穩健發展。

延伸閱讀:

按下暫停鍵後 數位身分證怎麼走?

數位身分證將上路 一卡在手功能無窮

 

Posts created 2

Related Posts

Begin typing your search term above and press enter to search. Press ESC to cancel.

Back To Top