閱讀更多
數位身分證資訊

彙整目前蒐集的投書/新聞/法案資料
展開每篇文章皆有重點摘要,供閱聽者輕鬆瀏覽

官方相關資料整理

立法院質詢

倡議期間,OCF 做了什麼

或獨立推行、或與其它組織合作, OCF 以系列發文、舉辦活動等方式,設法與民眾釐清問題、與政府溝通觀點。

投書與新聞彙整區

(展開看文章重點摘要)

主題一:系統與公私鑰安全性問題

[公私鑰安全性漏洞] 尤美女/數位身分證明年上路 不該用隱私換便利

新聞連結:🔗尤美女/數位身分證明年上路 不該用隱私換便利

【文章重點摘要】

  • 2017年,德國跟愛沙尼亞的身分證晶片發生的安全災難,就是因為「無法從公鑰推敲出私鑰」這個前提出了問題。當年這批由廠商英飛凌(Infineon)的晶片,裡面韌體的函式庫演算法設定不當,出現安全性漏洞,讓這批晶片所製作的一部分公私鑰出現了問題,可以從公開的公鑰逆向推敲出存在晶片上的私鑰。專家估計最糟糕的狀況是,運用Amazon雲端提供的計算服務,花費17天與40,300美元就可以從一支有問題的公鑰逆向推敲出對應的私鑰。

  • 內政部至今並未說明相關應對方案,不過如果按照內政部強調,New eID的安全性、晶片資料不容竄改,那麼勢必就無法像愛沙尼亞一樣讓國民線上自己更新身分證晶片,而必須換發2,300萬份國民的身分證。內政部可以應付這麼龐大的行政作業嗎?換發期間內所有的線上身分驗證,在法律上是否有效,安全性上是否足以信賴?

[公私鑰安全性漏洞] 自由共和國》林宗男、李忠憲/數位身分證的資安風險

新聞連結:🔗自由共和國》林宗男、李忠憲/數位身分證的資安風險

【文章重點摘要】

  • 公私鑰問題

  • 「晶片的公私鑰雖然是在晶片內產製,但是需將公鑰資料讀出才能產生個人憑證申請檔(CSR)。公鑰能匯出當然私鑰也能匯出。但是內政部卻告訴國人無法匯出,明顯與事實不符。全體國民公私鑰key pair只有廠商知道如何產生,公務機關無法驗證,憑空製造國家安全的治理危機。」

主題二:政策與程序問題

[程序問題]【新身分證有詭7】標案疑為外商量身訂做 內政部:符合採購法

新聞連結:🔗【新身分證有詭7】標案疑為外商量身訂做 內政部:符合採購法

【文章重點摘要】

  • 關於媒體報導,質疑中央印製廠未經公開招標程序,即取得印製數位身分識別證(New eID)標案一事,內政部鄭重澄清,依政府採購法第22條第1項第2款規定,機關辦理公告金額以上之採購,屬專屬權利、獨家製造或供應、藝術品、祕密諮詢,無其他合適之替代標的者,得採限制性招標。基於嚴謹、安全控管國民身分證製作,將New eID以限制性招標委託中央印製廠印製,完全符合政府採購法的規定。

[政策與程序問題] 非政府組織籲政府暫停推動晶片身分證

新聞連結:🔗非政府組織籲政府暫停推動晶片身分證

【文章重點摘要】

  • 「行政院應落實公民參與的行政程序:我國行政程序法於第164條已有規定,建立重大公共設施時,應經公開及聽證程序,方能做計畫的裁定。但行政院政策推動至今,不僅計畫已經核定,且僅有過一次毫無法律效力的公民審議,未曾有過公聽會甚至聽證會等公民參與的機制。因此我們呼籲行政院,應儘速規劃落實公民參與的法定行政程序,將公民社會納入政策擬定的環節之中。」

主題三:法律爭議與法源不足問題

[法源不足/程序爭議] 莊庭瑞:拼裝的晶片身分證 能安全上路嗎

新聞連結:🔗莊庭瑞:拼裝的晶片身分證 能安全上路嗎

【文章重點摘要】

  • 該辦法(國民身分證全面換發辦法)最後一條說,「自中華民國一百零八年一月一日施行」,但辦法發布時,已經是109年3月,也非常奇特。

  • 國民身分證的製發,僅在《戶籍法》提到,如「國民身分證用以辨識個人身分,其效用及於全國」(第51條),「國民身分證應隨身攜帶,非依法律不得扣留」(第56條)。這些單向且嚴格的監管措施,跟智慧政府想要運用科技,縮短公民與政府間雙向往來距離的想像,相當不同。

  • 用以推行智慧政府的「數位身分識別證」,涉及多個部會權責,是不是需要搭配格局高遠的政策與法律?或者至少要修訂《戶籍法》,以專章方式明確規範數位身分證的使用?剛成立不久的身分證換發工作小組,顯然沒打算也無法處理這個層次的問題。

  • 雖然預算被凍結,3000萬張晶片卡以及印製設備的招標案,已於今年2月27日決標。最核心的資訊系統建置及維護案,細節繁複且多次流標,內政部依然想要勉強走下去。

[法源不足] 【十年大變革!數位身分證要來了】人權組織台權會:eID應訂專法,建立法源,也避免數位足跡遭濫用

新聞連結:🔗【十年大變革!數位身分證要來了】人權組織台權會:eID應訂專法,建立法源,也避免數位足跡遭濫用

【文章重點摘要】

  • 按照現階段《戶籍法》,當中規範發放身分證相關條例為第五章第51至62條。雖然當中並無強制規範身分證必須是以紙本或內嵌晶片的塑膠卡形式發放,但何明諠表示,推動晶片身分證之所存在法源爭議,「《戶籍法》並不能規範eID後續衍生的數位服務。」

  • 針對eID所產生的風險,除了目前《戶籍法》不敷使用外,規範個人資料蒐集、處理、使用的《個資法》也無法管轄晶片身分證的應用,「目前《個資法》並沒有列出這些細項規定。」何明諠表示,《個資法》對於國民隱私保護的範疇在於,當隱私資料被公務機關、非公務機關蒐集、使用時,必須經過當事人同意,或是其使用理由具備足夠的公共利益正當性、用於學術研究。

[法源不足] 發行晶片身分證 請政府停看聽

新聞連結:🔗發行晶片身分證 請政府停看聽

【文章重點摘要】

  • 「加上沒有獨立的隱私專責機關,當前《個人資料保護法》僅由國發會擔任主管機關,若未來「國家發展」與「個資保護」出現矛盾之時,缺乏獨立性的國發會如何使人民信服將公正地保護個資?」

[法律爭議] 轟內政部新式身分證具追蹤機制 許毓仁:哪條法律授權政府在人民身上放eTag?

新聞連結:🔗轟內政部新式身分證具追蹤機制 許毓仁:哪條法律授權政府在人民身上放eTag?

【文章重點摘要】

  • 「許毓仁指出,RFID最早是被用於物流管理,例如eTag就是最明顯的案例,根據《戶籍法》第56條規定,國民身分證應隨身攜帶,政府強行發放具RFID功能的新式身分證,等於強迫在每一個人民身上安裝eTag,如此深的資安疑慮,卻沒有法律授權,且照目前內政部的規劃,卡片路徑追蹤在『非接觸式介面(RFID)』晶片卡的架構下,內政部根本無法管控使用目的。」

主題四:綜合性論述

[綜合討論] 數位人權誰來把關?政府就是洩漏個資的兇手

新聞連結:🔗數位人權誰來把關?政府就是洩漏個資的兇手

【文章重點摘要】

  • 個資法爭議

  • 歐盟GDPR(一般資料保護規則)要求歐盟各國都應成立「獨立的個人資料保護專責機關」,從人事任命、財務上保持獨立性。但目前《個資法》的主管機關是設在國發會之下,人事、預算都非獨立,也沒有法規定出權責。

  • 國發會原本是規劃國家發展,尤其是經濟發展,這與保護民眾個資矛盾。

  • 個資法落實標準不一,過去法務部都推說資源不足、無能為力,現換成國發會,問題就會消失嗎?

[系統安全性 / 硬體供應商] 晶片身分證明年十月將發行,上路倒數前3大疑慮待解

新聞連結:🔗晶片身分證明年十月將發行,上路倒數前3大疑慮待解

【文章重點摘要】

  • 開放文化基金會的 Pellaeon Lin 則認為,政府開發晶片身分證的相關程式碼應該要對大眾公開。他說,雖然政府表示新身分證將會遵循相關的國際標準,但更好的方法應該是透過公開的方式,讓民間的資安人員可以一同檢驗其安全性。

  • 新的晶片身分證也牽涉到了國防安全的議題。席間有人質疑,政府要如何確保晶片及硬體的供應商是安全無虞的?雖然《政府採購法》規定不能有中資,但很多時候政府未必能看透廠商背後複雜的投資關係與多層資金來源,使「假外資、真中資」的廠商有漏洞可鑽,將人民的個資暴露在風險中。