數位ID:一票玩到底的「個資悠遊卡」?
當代各國政府均致力於數位化政府的建置,像是新加坡、澳洲、歐盟、德國均曾端出與數位政府相關的各式政策,臺灣也不自外於這股浪潮,先是行政院於2017年啓動「數位國家・創新經濟推動方案」,國發會也以此陸續推動「服務型智慧政府推動計劃1.0」、「服務型智慧政府推動計劃2.0」等政策,走上以「資料」連結政府與民衆的治理模式,其中電子身分證(New eID)的落實,更被視爲臺灣「智慧政府行動方案」的基礎架構。
但這項政策顯然命運多舛,除了「晶片化」的相關配套廣受資安界及公法學界質疑外,連同爲執政黨的民進黨立委也多不買帳,繼第九屆民進黨團立委凍結New eID的部分換髮計劃的預算之後,多位綠委公開表明對New eID的質疑與不安,甚至直指在臺灣法治、資安監管、個資隱私、專責保護機關等方面均嚴重不足的情況下,New eID恐將成爲「中國滲透破口」。
「進步性」象徵 正持續流失
部分綠委對New eID的批判好似不留情面,卻也藉着New eID點出當前政府在推動數位化政策的不足與弊病。民進黨立委洪申翰便認爲,New eID不是不能做,但此議題牽扯到當前政府「資料治理」與「風險管理」的體質,而臺灣社會對於科技倫理的討論並不充足,民衆不清楚個人數據將被如何使用,對於哪些個資應該被保護也沒有概念,政府在數位發展的同時,對於技術保護、監管分責及相關法令更未與時俱進。在體質欠佳的情況下,若只追求科技進步的方便性,在資安和人權保障方面當然有重重疑慮。
此外,在「數位化」便形同「方便」、「進步」的觀念下,對於「數位政策」究竟要達成何種目的,政府似乎也有欠考量。以目前備受爭議的New eID的換髮爲例,民進黨立委鍾佳濱認爲,身分證最主要的功能應是「確認本人」,而政府爲了要給予人民福利、懲罰或義務,如:人民領福利金、領選票或是遭到政府處刑,就必須正確識別人民的身分。要驗證個人身分,一來是依靠國家對個人的「社會關係」,再者則是配合個人的「容貌」、「指紋」、「DNA」、「虹膜」等生物特徵進行對比。
過去政府每10年進行一次人口普查,來確保身分證上生物特徵「容貌」的真僞,新式身分證也藉此一同換髮,而此次New eID數位身分證並非透過法律授權換髮,而是政府認爲既然要換髮新身分證,那不如從「紙本」變成「晶片」,但除此之外,似乎並未發揮「確認本人」的功能。
「身分證要做的重點不是晶片,而是要藉由生物特徵的蒐集來確認你的身分是否爲本人,那纔是根本,不做生物特徵蒐集,做其他的幹嘛?國家跟人民的關係,就是確定本人而已。」
鍾佳濱強調,臺灣的身分識別做得不好,已無法滿足現在國家對人識別的需求,新版的eID雖然在晶片中放了許多資料,讓身分證變成一把個人的專屬鑰匙,將所有個人帳號和資訊進行整合,但在方便之餘,也使風險倍增。而關鍵在於,這對促進國家確認民衆的身分識別上,其實毫無幫助。
「除非你告訴我,這次換髮的照片有特別規格,要現場拍攝,然後能取走我的虹膜進行辨別,否則就識別功能而言,New eID與先前的紙本有什麼差別?」
鍾佳濱指出,採集生物特徵並非不能觸碰的禁地,而是政府進行身分識別時的必要措施,但前提是要符合比例原則、依法而行,且對民衆的個人資訊、足跡做到最小侵害。但New eID在籌劃時似乎沒有想清楚身分證數位化的根本目的,只是如同慣性般,認爲新技術必然比紙本更加「先進」。
然而,若臺灣早幾年施行該政策,或許還能稱之爲進步,但現在呢?撇除新穎性外,New eID顯然已不具備原有的優勢與必要性,要帶動數位智慧發展,是否必然要捆綁身分證?不無疑義。
eID的換髮只是數位政策的其中一塊,但其所引發的爭議,也反映出隨着科技的日新月異,政府雖然在數位發展上極力跟上腳步,在方向與目的上卻未臻明確,反而略顯盲目地追求「先進」,在資安技術、相關法規、監管分責及使用倫理上,仍未與時俱進。
中央研究院法律學研究所資訊法中心曾於11月發表了《數位時代下的國民身分證與身分識別政策建議書》,認爲內政部目前規劃的New eID欠缺憲法的法治基礎,與New eID一同推出的「跨機關業務資料共享與整體智慧政府計劃」也尚缺可課責性的設計。其意見似乎也說明了,爲何政府的數位政策總會被外界質疑,不受社會大衆信賴。
官民資訊素養 猶然不足
內政部長徐國勇先前曾表示,這次New eID是由向有「護國神山」美譽的臺積電所生產,故民衆無須就資安疑慮過度擔心,但在科技業者出身的民衆黨立委高虹安看來,晶片只是資安環節的一部分,重點應在於晶片設計、晶片作業系統與應用程式開發、寫入設備與資訊應用軟體,並非只聚焦於晶片由誰生產;在業者聽來,徐國勇的說法只讓人感到「不可思議」。
高虹安認爲,以資安角度來看,現行已有很多方法能進行強化,像是安全認證、架構、機構等,但重點仍在於政府的外包管理能力,並不是任何一間廠商外包,政府都可以輕易信任,例如專門研發國防武器裝備,而握有許多軍事機密的中山科學研究院,便遭媒體揭露在網路儲存伺服器採購招標時,將中國大陸的百度雲(Baidu Cloud)作爲備份端的選項,而沒有明確排除這項雲端服務,而還驗收通過。原因在於,採購人員不懂如何寫標案的規格,廠商寫什麼,政府就照單全收,這都顯示政府人員在資訊科技認知的不足。
此外,臺灣人權促進會、開放文化基金會等民團的反對聲浪,大多強調應先就New eID設置專法與個資獨立機關,再行推動New eID政策,也就是強調該政策的「配套措施」;高虹安也認爲,當前臺灣將資安規定散落在《資通安全法》、《電子簽章法》、《個人資料保護法》等不同法律規章,確是於分散;再者,《個人資料保護法》的訂定與罰則輕微,實對於泄漏資料者無嚇阻作用,而以New eID這案例來說,一旦政府蒐集了人民的使用數據直接進行相關應用,其間卻無專責機關對此進行把關,民衆對於政府的資料使用自然有所憂慮。
設置獨立個資機關,旨在提供民衆一個資料服務回溯機制,或用於審議民間、政府對於各項民衆個資數據使用的「公益性」,但目前既有的行政院資通安全處,主責資訊政策與制度面的設置,而國發會則僅有個資保護專案辦公室專研個資法,都不足以因應當前數位政策對個資保護或應用的需求,例如醫療AI等業者很難拿到客戶資料,亦沒有明確遊戲規則可供遵守,相較之下,電商平臺、人力銀行等掌握大量使用者數據,目前個資法規的鬆散,也不見得能督促平臺盡到妥善管理個資的義務。
不論是大方向上的「數位化國家」、「智慧政府」,或是較爲個別政策面New eID的執行,法規的健全度均影響民衆對該類政策的看法,就如鍾佳濱所言,每個人都有維護安全的方法,但當人民將資料交給國家,究竟人民要如何知道國家是否爲人民值得信任的「枕邊人」?其中促進信任的關鍵爲有健全的法規與相應制度,畢竟,「國家不可能是枕邊人,不能因爲感情而信任」。
《多維TW》月刊062期