新新聞》從基本個資到行為紀錄，新身分證隱私疑慮有增無減

想像未來的某一天，當我們要預購成人展的票券，售票網站可能會要求我們透過內政部的數位服務認證機制購票；而一旦有人登錄網路彼端的身分證資料庫，就會知道誰參加了成人展……。

「三合一」國民卡方案數度卡關

欣賞成人展並不可恥，但未必每個人都不介意讓政府知道，然而這種事情有可能在未來發生。行政院日前宣布將花費四十八億元，在二○二○年換發數位身分識別證（New eID），整合虛實世界的身分於一張晶片卡，未來民眾可以使用網路身分證進行各種網路線上申辦服務。

台灣平均每十年就換發一次身分證，歷經存錄虹膜提案、設計票選爭議、國旗顯示風波，新式身分證近期於行政院正式拍板定案，除了卡面的公開資訊，晶片分五區儲存資料，第一階段將結合自然人憑證與通關條碼，未來預計綁定手機，且有可能與健保卡、駕照結合。

上一回換發身分證是二○○五年。在此之前，前政委楊世緘於一九九八年喊出的「網際網路用戶達成三年三百萬人口上網」提前一年達標，研考會打鐵趁熱，順勢提出網路化／電子化政府，規畫國民身分、健保合一智慧卡（簡稱國民卡），希望取代紙本身分證，並擴大資訊加值與運用。

據瞭解，當時國民卡最大爭議點是採ＢＯＴ委外辦理，即政府提供個人照片、指紋、戶政及健保資訊系統的資料檔，委由廠商承作，最後由力霸集團得標。然而，當時因蒐集指紋及ＩＣ卡用途可能侵犯人民隱私等問題無法取得社會共識，最後宣告議約失敗。

馬政府時期，前內政部長李鴻與陳威仁都曾提出自然人憑證、身分證、健保卡、悠遊卡與駕照等多卡合一的構想，最後都因憂心健保卡牽涉過多個資而不了了之。蔡政府上任後，前行政院長賴清德早有晶片身分證構想，又逢同婚衍生出的卡面記載資訊爭議，換卡依舊卡關。

缺專法和專責機關真能妥善保護？

如今政策宣告浩蕩上路，個資疑慮消除了嗎？

內政部雖然多次宣稱身分證不會主動蒐集或留下資訊連結與使用紀錄，晶片資料亦透過加密保護不會外流，也就是說，類似成人展購票的敏感行為不會被他人知道。不過，台灣人權促進會（台權會）數位人權專案經理何明諠表示：「只是嘴巴講講而不立法，不算什麼保證。」

換發晶片身分證的法源依據是《戶籍法》，在個人隱私、資訊安全的保護方面，亦有《個人資料保護法》、《資通安全管理法》、《電子簽章法》等法規。內政部次長陳宗彥表示，未來各公、私部門使用、蒐集、處理及應用民眾個人資料，都受到既有法律規範，所以不須另立專法。

不過，何明諠指出，問題就在於「各公、私部門」，雖然國發會成立了「個人資料保護專案辦公室」，但並非主管機關，僅負責法律協調，每個部會仍保存自己的個資，「不管是國發會還是其他機關，主要的業務都不是個資保護，很難相信他們可以妥善處理。」 （相關報導： 數位身分證標案有程序瑕疵、規格爭議、未「根留台灣」？藍委點名徐國勇回答5質疑 ｜ 更多文章 ）

《個資法》規定蒐集、使用個人資料的條件包括「國家安全」、「公共利益」、「公益目的」。何明諠指出，現行的資料功能與載具較固定，但各個單位對於這些必要性的解釋說明與判斷標準不一，各唱各的調，早就有待處理，未來各種資料相互串接又於網路流通，不能沒有明確的規範。

倡議晶片身分證的人士經常以愛沙尼亞及德國為例，指政府可減少行政成本，還能提升國內生產毛額（ＧＤＰ）。且不論台灣與這兩國的政經背景差異，愛、德兩國即分別訂定《身分文件法》（Identity Documents Act）與《電子身分證法》（Personalausweisgesetz）。

台灣個資外洩全球第五、亞洲第一

何明諠補充，愛、德兩國的專法規定晶片身分證本身所存放的資料、可讀取晶片的單位與時機、晶片相關功能的開啟與關閉、憑證資料庫的管理與使用、資安措施等。另外，歐盟去年通過《一般資料保護規範》（ＧＤＰＲ），可以說是目前世界上最嚴謹的個資規範，歐盟各國都必須遵守。

相較之下，台灣沒有專法、沒有專責機關，將無法緩解個人隱私與資訊安全兩大疑慮。台權會會長周宇修表示，隱私權指的是個人可以決定如何處理、利用自己資料，政府全面換發晶片身分證，其實忽略了民眾有選擇不換發的權利。

「身分證記載的事項不是不能討論，過去台灣的身分證曾經註明籍貫，隨著時代變遷就拿掉這個欄位了。」從人權保障的立場出發，周宇修著重換發身分證的正當性，是否取得社會大眾的共識，都願意交出這些資訊給政府，甚至鎖在同一張晶片卡當中。

陳宗彥形容數位身分證是一把鑰匙，可以通往各項政府服務，包括公投連署、護照簽證、稅務通關、勞保健保等十六種權利義務，都可望一卡搞定。不過，何明諠認為，不管公私領域，若藉由一人一號的身分證字號進行活動紀錄串聯，恐怕變成社會監控，這其實就是信用評比的基礎。

從資安的角度來看，技術進步並不代表個資獲得更多保障。網路資安公司賽門鐵克（Symantec）兩年前發布的報告中指出，台灣個資外洩嚴重程度是全球第五、亞洲第一。根據行政院資安處統計，政府部門在一七年每月平均遭攻擊兩千萬至四千萬次，攻擊來源高達八成都來自中國。

最近一起最大的個資外洩案件，當屬今年六月銓敘部爆出近六十萬筆個資外洩，內容包括服務單位與職稱，範圍擴及國安局、軍情局、調查局等八大情治系統。此後，１１１１人力銀行亦傳出二十萬筆個資外洩，內容包括求職者的身分證字號、姓名、生日、地址、電子郵件、電話號碼以及工作公司。

國人對政府個資保護沒信心

近三年來，上至中央部會下至地方政府，都有薪資、就業、就醫、出入境等重大個資洩露事件。周宇修表示：「發生這些事情，很難叫民眾相信台灣政府有辦法保護民眾的個資。」遑論未來晶片卡將發包給什麼公司執行、使用什麼技術儲存，都仍待討論。

「我們的說法聽起來杞人憂天，但我們希望做的就是阻止這些悲劇發生。」周宇修質疑，若未來有愈來愈多服務都要求必須使用晶片卡，究竟誰要承擔個人隱私與資通技術的風險？ （相關報導： 數位身分證標案有程序瑕疵、規格爭議、未「根留台灣」？藍委點名徐國勇回答5質疑 ｜ 更多文章 ）

行政院的數位身分證政策如火如荼推進，如何保障民眾的權利與安全將是一大考驗。➤更多內容請看新新聞