數位身分證eID資安議題誰來管?立委范雲呼籲另訂專法,由具備獨立職能的數位發展部來承接!

我國現行的紙本國民身分證已經使用近15年,政府原訂於今年10月開始換發數位身分識別證(New eID),但由於疫情影響,內政部宣布調整換發時程,自明年元月起試辦,將先在澎湖縣、新竹市,以及新北市部分地區,進行小規模試行換發作業,並預計於110年7月全面啟動換發作業。

不過外界擔憂換發數位身分證將引發個資、資安疑慮,該議題也引發多位立法委員關心。

針對數位身分證明年7月將全面換發,在「立法院數位治理委員會」中擔任會長,並長期關數位人權議題的民進黨立委范雲強調,倘若沒有好好處理換發eID衍生的相關風險,不僅會威脅到國人的個資安全,甚至還可能威脅台灣的國家安全!

為何說eID之換發攸關國安?

范雲引述本月初中研院法律學研究所資訊法中心公布之「數位時代下的國民身分證與身分識別政策建議書」內容,其中橫跨資訊科學、法學、社會學、政治學等學者曾共同提出三大質疑:

  1. 規劃中的晶片身分證,將對台灣的自由民主體制,帶來立即而重大威脅。

  2. 現行條件下,強制發行晶片身分證欠缺合憲的法制基礎。

  3. 與晶片身分證同步推動的跨機關業務資料共享與整體智慧政府計畫,欠缺符合可課責性的設計與作法。

其中最讓人擔憂處,莫過於換發eID,將使台灣暴露於來自中國的資安威脅。因為當eID能夠進入介接各政府機關資料的政府資料交換機制(T-Road)時,等於是將所有國民的個資風險集中在一處,中國只要攻破一處,就可能全面掌握國民資料。

除此之外,建議書中也指出,eID不只缺乏法制規範而可能衍生管理上的資安風險,外包廠商資拓宏宇,甚至疑似曾與中國安全部門有合作關係,導致eID可能有後門或共用系統元件而產生的資安風險。

在法制面上,這份建議書也逐一檢視了《戶籍法》、《個人資料保護法》、《資通安全管理法》、《電子簽章法》,發現這些現行法規,仍舊缺乏對eID的授權或規範管制。

因此范雲呼籲,如果真的要推動換發eID,不論是在既有法規中設專章,或另訂新專法,都應該要對相關法規進行全盤檢視。一則是避免違反法律保留原則,二則也是填補資安的風險漏洞、明訂控管機制與救濟方式。

未來eID資安議題誰來管?

范雲指出,內政部一再強調已有超過100個國家換發數位身分證,但綜觀各國在個資保護上的政策趨勢,光是在2017年以前,就已有80多個先進國家,包括歐盟、英國、加拿大、日本、韓國、新加坡等,都已成立個資保護專責機關。

然而台灣現在的狀況,卻是將資安相關議題分散在各機關各自管理,主管法規的國發會也僅具備法規解釋的權責,也就是說政府現有架構中,並無適合的機關來進行eID的獨立監理,亟須另訂組織法成立新的機關專責。

范雲同時建議,未來eID可以放在即將組改成立的數位發展部下,但前提是數位發展部必須要維持獨立的職能。

*推薦你讀:數位發展部「只聞樓梯響」?6立委齊呼籲政府加速組改、完善配套法制

若eID仍強行闖關?

目前內政部數位身分證的相關預算,在立法院有兩個預算凍結案,兩者都要到立法院專案報告經立法院同意後,才能動支。包含今年一月時凍結今年度預算中1/10約4276萬元的預算,以及本月中旬,內政委員會通過凍結明年度1/2約4億元的預算。

范雲指出,作為立法委員,她將繼續在立法院發揮監督、溝通職責,若政府沒有完整解釋eID相關疑慮、建置完整配套法規,立法院就不應同意相關凍結案解凍。預計到明年度預算案進入黨團協商時,還可為換發eID爭取到更嚴謹的監理要求,充分回應各界疑慮。