eID資安風險疑慮大 臺教會:勿倉促上路
針對數位身分證(eID)的資訊安全、隱私保護、權責機構不明等疑慮尚未釐清,臺灣教授協會12日召開「反對數位身分證倉促上路」記者會,呼籲政府應先透過立法或修法程序,並公開透明與社會對話,釐清各種資安及隱私風險疑慮,並設立個資專責機構後,再推動數位身分證。
交大應用數學系教授李育杰指出,eID最大隱憂在資安與隱私。資安包含硬體、軟體、人,每個環節都很可能造成治安漏洞。內政部強調eID晶片卡安全,卻對軟體與系統的安全著墨甚少,也沒提到未來eID觸及資料管理的人員考核與規範。
李育杰認為,資訊安全很難保證,政府更不該為敵國駭客創造聖杯,只要能入侵eID系統,全國人民在敵國眼中都是透明的。個資被偷也很不容易察覺,2012銓敘部公務員個資外洩,並不是銓敘部發現,而是2019年被放在網路論壇公開販售資料,才得知這些資料曾經外洩。
中興大學資工系教授廖宜恩呼籲,暫停推動New eID。他表示,eID推動程序不合理與不合法,3月19日才公布《國民身分證全面換發辦法》,生效日卻追溯至2019年1月1日。New eID除了公開區的資料密碼,還有讀取祕密區資料的pin1密碼,以及啟動自然人憑證的密碼。民眾可能用自然人憑證報稅或處理財產、金融等業務,在推動New eID之前,應先調查有多少人使用該憑證。此外,政府大部分系統都是委外開發、營運,存在滿大的資安風險,應該清點所有政府單位委外的資訊系統,強化資安風險管控。
臺北科技大學智慧財產權研究所副教授江雅綺說,數位身分證可串聯所有資料庫,等於打造一把通向完整數位個人資料庫的金鑰匙。目前換發數位身分證的依據是《戶籍法》,只有短短一條(第59條),對資料使用、知情同意權等,法律上沒有任何明確構成要件。
臺灣社會滿習慣要求人民出示身分證或身分證影本,江雅綺表示,如果全面換發數位身分證,相當於每人每次使用身分證都會提高資訊安全與隱私的外洩風險,國內還沒有建立個人資料專責機關,未來如果發生資訊安全、隱私外洩事件,由哪個機關負全責?
中研院資訊科學研究所研究員何建明指出,使用習慣是資安最大風險,例如:出國旅行,很自然地就把護照交給旅行社代辦,未來如果eID也可以當作護照,把eID交給旅行社,要不要一起交出密碼?將來財產轉移時,或許又要使用同組密碼。數位身分認證一定要多卡,有些事情也絕對不能用同一張eID卡,內政部卻說eID卡提供16個不同應用,必須做適當調整。◇