該如何執行?台灣數位身分證識別(New eID)懶人包

2020.06.30 by
黃沛聲
黃沛聲 查看更多文章

創投律師,現任立勤國際法律事務所主持律師,齊威資本執行董事。熱愛創設新企業,參與落實多數台灣創業項目。常擔任加速器股權結構、募資、併購、商業策略導師。

該如何執行?台灣數位身分證識別(New eID)懶人包
內政部
數位身分證識別(New eID)上路背後,是隱私與便利間的拉扯,要達到兩全的最佳平衡,必須在資安與法律規範上審慎評估與規劃。

自2000年起,全球興起「數位身分證(eID)」的浪潮,其宗旨乃為符合數位化及行動世代需求,提供同時可作為實體及網路身分識別的證明文件。

內政部亦於2019年對外公布「數位身分證」發行計畫,預計在2020年將國民身分證,全面改版升級具有晶片功能、內嵌自然人憑證,同時整合健保卡和駕照等多卡合一的新版數位身分證(New eID)。

推薦閱讀:數位身分證即將上路,我們準備好改變了嗎?

eID的數位化整合,提升民眾便利生活

新版身分證將搭配自訂密碼雙重身分認證,提升及強化防偽變造,保障民眾身分財產安全。技術上,民眾與政府藉由New eID及T-Road(政府骨幹網路),可享受免臨櫃、免奔波、免提書證、免填寫、不受時空環境限制,可隨時辦理業務等各項便利服務。

可預見的是,New eID能夠大幅降低民眾向政府申辦各類業務的成本,加速台灣政府數位轉型,然就法規層面與執行面,仍有諸多細節與潛在風險,引起民眾高度討論。

追求進步之餘,我們還有哪些顧慮?

就法規面而言,單以個資法為例,個人資料保護法第5條、第15條、第16條針對「公務機關」蒐集、利用、處理個人資料規範有三大條件:限於公務使用、需取具備特定目的、當事人「同意」。但內政部尚未全面公告eID將記錄與整合哪些個人資訊,此外,換發eID後有多少資料將握在政府手中,如同空白支票一樣,無從掌握,對民眾來說有所疑慮。

現行個資法,允許公務機關援引「組織法」作為資料蒐集、處理、利用的法律依據,也就是說在「法定職務必要範圍內」政府機關就可以蒐集,不用一一檢視;但重要關鍵是,在個資法中也尚未區分蒐集、處理、利用「大規模資料」與「個別資料」的差異。 目前已知eID收集之資料,將可供「跨部會」檢視使用,那麼初始收集的資料,究竟是以哪個機關的「法定職務」作為必要範圍的認定?無法確定。因此,民眾可能暴露在不特定資料被調閱,卻不自知的風險中。

此外,政府並未公開eID具體資安保護技術,實施之規格、標準,甚至改善標準情況下,亦未說明透過eID存取各行政機關資料時,是否「皆」須取得「個人同意」方能為之的保證。

客觀來說,台灣並無eID個人資料專責保護機關與辦法,連個人資料保護法之主管機關也正要由國發會接手啟動,如何落實eID之個資保護與管理,將是人民對政府的一大信任難題。

推薦閱讀:數位身分證10月無法上路了,為何上百位資安專家連署反對全面換發?

就同意推動eID方的意見論述則認為,eID存放個人資料設計上已有分區管制,讀取不同區域資料需輸入不同密碼以存取不同資料,並無不小心洩漏個資之問題。同時eID系統,需符合國際資安規範需求,也公開記載於招標文件,理論上資安無虞。

透過eID僅做為個人身分資料存取之鑰匙,資料實際存取仍有其他保障措施,eID的推行將有效推動政府服務線上申辦,提昇行政效率、便民服務。(詳細正反論述之比較與牽涉之法規可參考表一。)

其實eID本身就像是一種工具,使用者可以自主決定是否使用。就像數位健保卡,國家制度上也可以選擇是否使用。雖然原本健保卡可以選擇使用紙卡,再由診所在背面蓋章的方式執行,個資不被蒐集較易得到保護,但效率也將會無比低落。因此國家決定透過數位卡片之方式增進效率,很合邏輯。

保護個資就是保護人權

以數位健保卡之推動先例,將可以預期eID討論的戰火重點,如同光譜兩端,一端是選擇保護人權,包括隱私權、人格權、選擇自由;另一端則是選擇增進科技運用與經濟發展,當運用先進科技,效率必然顯著提升。

健保卡制度的推行,使台灣可以有效推動健保實施、點數支付、個人醫病紀錄等服務,確保人民可妥善受到健保的保障,相對來說,也讓國家擁有民眾的健保資料。就結果論來看,台灣健保的成功,數位健保卡的實施算是重要因素。不過,雖然資料集中是一種效率的展現,但是也可能造成集體個資一次大幅洩漏,或受不當使用的風險

公開透明、全民參與,也許是解套最好的辦法

數位身分證的案例中,國外也有如愛沙尼亞的先例,愛沙尼亞讓世界上任何人都可以申請該國數位公民。但數位公民並非愛沙尼亞傳統上歸化成愛沙尼亞國籍公民的制度,而是類似「友達以上,戀人未滿」一樣,額外給予一種名義,讓認同愛沙尼亞的人,可以取得類似電商網站上的會員資格,可以享有一些進階權力。

經過研究,註冊成為愛沙尼亞數位公民的民眾,不僅可以取得政府開放資料,同時換得在愛沙尼亞擁有相對便利的生活,如在海關通關、設立公司、銀行開戶與貸款等,都享有較方便快速的識別流程。這其實就是經典的freemium(免費增值)商業模式:從免費到進階收費。 只是國家收費的內容未必是錢,而是個人資料。愛沙尼亞提早取得世界上具有跨國移動商業能力的人民的認同度,進而促進經濟。

此外,以紀律與人權聞名世界的德國,在eID的推行則是採循序漸進的方式。先於2007年先推出電子護照及其系統,該系統在當時已儲存擁有護照之國民相當完整的個人資料。同時,政府認為晶片身分證若要更為普及,須滿足的其中一個重要原則,就是「是否具有法源依據」。因此在電子護照系統推出與實施後的3年間,德國政府根據電子護照的實際運作情況,為日後所要推動的eID,不斷制定與調整法規與施行細項,制定出適合該政策的法規架構,最後在時機成熟的時候,推出eID法案。

除此之外,德國政府認為,當政策有法源做後盾時,仍需開誠布公eID的服務與資料,才有可能贏得民眾的信任。因此德國政府將統一制定的電子身分證製作與技術規格、eID所存取的資料,與eID所有相關周邊,如卡片終端機、讀卡機等技術規格,全部公布在網路上;讓德國民眾了解政府、eID 服務商,可以透過eID掌握什麼樣的資訊,人民可以自由選擇,是否要啟用電子身分證所帶來的服務。

此舉確實贏得了民眾的信任,德國eID推出至今,已發行超過5,500萬張,代表全國超過6成民眾選擇換發新身分證。德國政府發行的eID不僅能用於存取公部門與私人企業的數位服務,甚至能做為歐盟境內的旅遊文件,大幅增加德國民眾在德國境內甚至歐洲的便利性。因此選擇要用數位身分證的人得到便利,選擇不用的人得到隱私,算得上是國際上的成功案例。

便利生活的背後,都是看不見的犧牲

當我們看新聞,欽羨其他國家政府所提供的智慧化服務與制度時,要理解這些便利的制度,背後不可能沒有犧牲。 就像享受高速公路帶來的便捷,背後是犧牲了路上急速移動車輛中乘客的死亡風險。任何我們所期望的便捷個人化服務,勢必都得依靠數位化處理,而犧牲部分或全部的隱私,則是代價。

如今我們面對的問題是,台灣這個社會需不需要、想不想要數位轉型來取得更便利的生活與經濟發展? 相信這對現代社會來說,多數人的回答必然是「要」。只是在實現的同時,如何兼顧光譜另一端的「人權保護」、中間的這一刀又該切在哪裡?

法規設計與個資保護必須周全

周全分兩部分:第一,不能因為國家的系統疏漏導致個資外洩,個資外洩可能導致如信用卡盜刷、詐騙電話等屬於「第三方侵害個資」的狀況。第二,法律必須保護個資不會被特定執政者做不當應用,屬於「內部不當應用個資」的範疇。

這兩點都需要審慎考慮與規畫,系統的資安保護只能保障前者,如何確保後者 ── 個資不會被特定執政者公器私用,才是台灣eID政策實施核心的爭議之處。

【表一】eID之正反論述與相關法律細節

資料來源:黃沛聲/製表:數位時代
資料來源:黃沛聲/製表:數位時代
資料來源:黃沛聲/製表:數位時代
資料來源:黃沛聲/製表:數位時代
資料來源:黃沛聲/製表:數位時代

【表二】New eID影響兩大重點

資料來源:黃沛聲/製表:數位時代

責任編輯:陳建鈞

《數位時代》長期徵稿,針對時事科技議題,需要您的獨特觀點,歡迎各類專業人士來稿一起交流。投稿請寄edit@bnext.com.tw,文長至少800字,請附上個人100字內簡介,文章若採用將經編輯潤飾,如需改標會與您討論。

(觀點文章呈現多元意見,不代表《數位時代》的立場

每日精選科技圈重要消息