【內政委員會】新式數位身分識別證-停、看、聽! 質詢稿
鄭秀玲 委員
2019/09/25
在數位化趨勢下,世界上已有越來越多國家採用數位身分識別,例如德國和愛沙尼亞。而我國則由國發會規畫。內政部辦理全面性的「數位身分識別證」換發作業,計畫整合報稅、各種政府補助、車籍資料、勞健保等各種橫跨財政部、內政部、交通部、衛福部等各個不同部會的服務作業。
但在參考歐盟執行經驗,以及考量我國推動現況上在法令與技術層面仍有需要加強之處,我希望數位身分識別證在補強後再予以發行。說明如下。
一、歐盟經驗
歐盟推動eID上,訂定〈電子身分認證與信賴服務法〉(the EU electronic identification and trust services (eIDAS) Regulation)規範,而在該法中明定主管機關要與個人資料機構合作,並要確保符合個資相關法令,亦即〈歐盟一般資料保護法〉(EU General Data Protection Regulation, GDPR)。
以愛沙尼亞為例,根據法律由各相關部會如資訊部、內政部、經濟事務與通傳部等,隨時機動因應。他們的eID本身並未存取任何資料,並建立備援機制。
在我國目前New ID的規劃裡,雖然內政部表示並沒有保留全民數位痕跡,也就是紀錄留存僅於提供服務的機關,並且依法不得作「目的外之利用」,內政部也沒有蒐集紀錄。
但國內對於發行New ID,仍對「現行法規完備程度」,以及「隱私保護與資安防護」有所疑慮。
二、 現行法規不夠完備
現行法制對可能發生的損害,無法提供令人滿意的答案。例如〈戶籍法〉並無明確條文限制身分證及身分證在公、私領域的使用範圍與條件。若個人資料遭公部門以個資法為名進行目的外利用,而人民亦不具有退出「目的外利用」的「拒絕權」,讓該法喪失保障人民資訊安全的精神。除此之外,我國並未設立〈個資法〉保護專責機關的安全閥,而〈個資法〉對於每人每一事件又僅有最高2萬元賠償。
二、隱私保護與資安防護疑慮
正當國發會正為歐盟GDPR適足性修〈個資法〉,根據GDPR,對個人自由權利可能帶來重大風險的資訊作為,在採行之前應進行「隱私影響評估」。政府推動New eID是否完成隱私影響評估與建立因應措施?
再者,以數位身分識別證進行政府跨部門的各個網絡服務的憑證,「方便性」確實讓人心動,但是這種集中式設計所帶來的單點失效資安風險,使得數位身分識別證將可能成為造成國家級的資訊安全風險。也就是說,當單一民眾的數位資產受到駭客攻擊、竊取,受害的可能不只是單一個人,當然也為國家級駭客滲透竊取全國民眾的個資隱私開啟便利門。
為消除上述疑慮,我建議政府應速採取下列補強措施:
首先,進行小規模發行與測試(如當年於澎湖測試健保卡),確認資安風險與管理面問題再全面實施New eID 。其次為釐完善法源,或參酌歐盟作法,發展專責法規與成立獨立專責機構,以回應國人疑惑。
面對數位科技的創新發展,我們肯定政府積極推動國家數位轉型與發展的用心與努力、積極規劃為民服務之創新作為,但是必須基於完善的法規與堅強的資訊安全基礎之上,才有可能達成智慧政府的目標、提升民眾滿意度與國家競爭力。
