eID 48億預算案 5大疑點
內政部原規劃今年元旦在新竹市試辦、7月全國上路的「數位身分證(eID)」,因民間反彈聲浪大,新竹市政府暫停試辦,未來命運未卜。引發民間強烈反彈的原因,不只是因為事涉國人個資安全、推動過程草率,更嚴重的是內政部從2019年4月招標「新一代國民身分證換發規劃案」開始,總共陸續開出6個eID的標案,招標過程疑點重重,質疑聲不斷。
疑點一:法律顧問公司主導規劃案
此計畫的第一個標案「新一代國民身分證換發規劃案」,採購金額4,92萬3,693元,可說是eID風波不斷的源頭。令人疑問的是,影響eID換發計畫甚巨的「規劃案」,卻交由一個以律師法律專才所組成的團隊公司。而該公司資本額規模為100萬,得標前未執行過政府相關標案,其規模、經驗、與本專案相關規畫或建置之實務經驗以及履標能力,如何能從四家競標廠商脫穎而出?
疑點二:規劃未完 已火速標出5案
更令人費解的是,此案完成的履約時間為2019年11月30日。規劃成果報告於2020年2月27日開會討論,3月23日對外公開。
然而,在規劃結果尚未公開前,內政部即馬不停蹄從2019年開始至2020年2月,陸續進行數位身分證識別證印製案、PC晶片卡及印製設備乙式(由中央印製廠招標)、新一代國民身分證換發系統第三方獨立驗證與確認委外服務案、新一代國民身分證換發系統建置及維護案、2020年全面換發新一代國民身分證行銷宣傳專案等五個標案。在規劃未完成之前,就急著完成繼續開出相關標案,視規劃為何物呢?
疑點三:把晶片當鈔票印?
得標者資格的疑慮還不只此案。內政部直接把數位身分識別證印製案交給缺乏晶片製造經驗的中央印製廠,被譏為「把晶片卡當鈔票印」,而且在國內已有成熟並具備晶片卡印製能力廠商的現況下,此舉有違常理,也引發內政部拿中央印製廠當擋箭牌,規避33億元主標案成敗的監管責任。
接著,中央印製廠再開標「PC晶片卡及印製設備乙式」委由東元電機公司辦理,決標金額高達32億9,300萬元。東元電機得標後,遭爆料其國際認證爭議。
除了東元電機公司和競標廠商第一美卡事業公司,對本案招標須具備國際安全規範中之ISO 14298「政府等級」防偽安全國際認證、EMV及ISO 27001等三項認證資格爭議不休。
甚至發生主辦ISO 14298「政府等級」防偽安全國際認證的「國際印刷產業聯盟」(INTERGRAF)寄發檢舉信給內政部及檢調等單位,信中指控東元並未獲得INTERGRAF認證。
疑點四:缺乏資訊科技及資安專家參與
除得標廠商資格爭議,eID的規劃及招標審議過程皆缺乏資訊科技及資安專家的專業經驗,這是外界最感到憂心的。除了規畫案得標的是以法律團隊為主的公司之外,在這六個標案審議委員中,幾乎沒有看到政府方面或民間的資訊科技及資安專家參與審查。
「PC晶片卡及印製設備乙式」一案的評審委員17位。管理職8人、防偽鑑識專長7人、法律專長2人。「新一代國民身分證換發系統第三方獨立驗證與確認委外服務案」的評審委員9
位,其中無資安專長,7位資管專長,亦無國際認證專長委員。決標金額達10億的「新一代國民身分證換發系統建置及維護案」,評審委員9
位,僅1位資安專長,6位資管專長。
疑點五:紅色疑雲罩頂
其中最為攸關國家安全、國人個資安全最鉅大的,就是從規劃到製造過程中,揮之不去的「紅色供應鏈」因素。
得到規劃案的「國巨顧問公司」被公民團體質疑,其負責人幸大智為上海「君悅律師事務所」合夥人,在中共明定執業須擁護共產黨領導的規範下,中共有機會藉此公司存取臺灣人資訊,造成國安破口。
對此國安疑慮,內政部僅回應,國巨為符合我國《公司法》設立的廠商,股東和中資毫無關聯,幸大智個人也非此標案專案主持人,甚至以與國巨專案團隊簽署保密協定為由,拒絕透露業務內容。
至於承包最重要的eID印製及設備的東元電機,則是將相關業務轉給子公司東元捷德科技、宏通數碼、中華電信,以及法商IDEMIA、德商Veridos等公司。
其中,3,000萬張空白身分證「分包」給IDEMIA,個人化印製設備(含系統)則「分包」給設備廠DataCard,兩家廠商在亞洲的生產基地皆設置在中國境內。由於IDEMIA同時也承包香港新身分證,更令人擔心是否可能將香港模式與臺灣套接或串接,造成日後危及國家安全資安缺口。
疑點六:東元轉包商 被世銀列為黑名單
另外,必須注意的是,DataCard集團及IDEMIA集團,曾經承辦孟加拉政府身分識別證標案涉及違法,都被世界銀行公告列為禁止投標的黑名單廠商。
尤其是,根據世界銀行報告指出,法商歐貝特科技公司(Oberthur
Technology,IDEMIA前身,在2017年合併為IDEMIA)與孟加拉簽約印製之身分證識別證,原約定在法國維特雷(Vitre)製造,然因產能不足延遲交貨,改申請將深圳作為第二製造地,最後交貨一再延展仍無法如期履約,影響甚鉅。
殷鑑不遠,臺灣應該提高警覺,避免最後類似事作發生,屆時若承包廠商霸王硬上弓藉各種理由直接在中國境內製造晶片,臺灣政府因在招標契約與之無承攬關係,直接束手無策,還無法索賠。
分包的問題還涉及未來出現延宕或資安漏洞時,是否能究責及索賠的問題,嚴重影響臺灣權益及安全。eID數位晶片卡換發是我國未來十年重要之施政,對承攬廠商的履約管理的風險控管,不應以一般公共工程採購案看待,實應該從資安即國安的政策面更審慎重新評估。
附表一:eID各項標案相關資訊一覽表
「新一代國民身分證換發(New eID)」計畫:合計委辦標案規模約43億2,400萬元 | ||||||
招標單位 | 標案名稱 | 標案號碼 | 決標公告日 | 得標廠商 | 決標金額 | 評選委員 |
內政部 | 新一代國民身分證換發規劃案 | C1080010 | 108年04月19日 | 國巨管理顧問股份有限公司 | 4,923,693元 | 8位。6位出席。無資安專長。 |
內政部 | 數位身分證識別證印製案 | 108SU0603 | 108年06月24日 | 中央印製廠 | 無招標公告 | 無評選紀錄 |
中央印製廠 | PC晶片卡及印製設備乙式 | GF3-108089-1 | 109年2月7日(108年9月25日第一次招標公告) | 東元電機(股)公司 | 3,293,000,000元 | 廢標一次,修正招標公告5次。評選委員17位。管理職8人、防偽鑑識專長7人、法律專長2人。 |
內政部 | 新一代國民身分證換發系統第三方獨立驗證與確認委外服務案 | 108SU1128 | 108年12月27日招標 109年2月14日決標 | 迪悌資訊顧問股份有限公司 | 1,499,449元 | 9 位。無資安專長,7位資管專長,無國際認證專長委員。 |
內政部 | 新一代國民身分證換發系統建置及維護案 | 108SU1127 | 109年6月20日決標。(109年01月31日第一次招標) | 中華電信(股)公司企業客戶分公司 | 1,006,382,000元 | 流標4次。 9 位。1位資安專長,6位資管專長 |
內政部 | 109年全面換發新一代國民身分證行銷宣傳專案 | 109SU0108 | 109年4月13日 | 太乙媒體事業有限公司 | 3,946,800元 |
資料來源:公共工程網站公告 特約記者吳靖文/製表