卡片被盜用,還只是諸多風險中的一環。中研院法律研究所資訊法中心2020年11月發表的政策建議書,更直接批評晶片身分證的資訊安全性嚴重不足,具體指出內政部只強調「晶片製造安全」(由台積電製造),卻無視「晶片設計」、「晶片作業系統與應用程序開發」、「晶片寫入設備」、「資訊應用軟體」均為外包,因此存在系統與軟體安全風險。
同樣以鑰匙作比喻,中研院學者的意思是:內政部只強調鑰匙本體是由台積電鑄造,非常安全,卻忽略了這把鑰匙的設計、設計過程用到的工具、拿鑰匙開門會用到的周邊設施,都是外包給民間廠商,當中只要有任何環節出錯,例如設計鑰匙的廠商誤用帶有惡意程式的軟體,造成設計圖外洩,就會讓鑰匙喪失應有的安全性。
「建立資訊系統、尤其是像數位身分證這樣高度敏感的系統,應該有一套嚴格的標準規範。舉例來說,政府要對外部開發廠商做詳細的背景調查、系統原始碼絕對不能隨便讓工程師帶出門⋯⋯,但在數位身分證的系統開發上,我看不見政府有明確規範。」何建明說。
專長軟體工程設計的台灣大學資訊工程系教授李允中建議,政府委外開發戶役政、健保、財稅資料庫等敏感軟體時,應加入技術審查機制;委外的部會應該提供類似Git(一種版本控制工具,可記錄所有人對程式碼的更動)的程式管理機制,當廠商進行備份或轉錄時,應留存登入紀錄;應確保程式碼不落地原則,避免委外開發人員將程式碼留存在個人筆記型電腦中,在下班後攜出。
中研院:eID將成自由民主體制弱點
綜合中研院學者與幾位專家的觀點可以發現,資訊系統從前期軟硬體開發到實際應用、維護管理,就像一條漫長的道路,在「生命週期」中的每一點,都可能成為資安破口。專家所能做的,就只有盡量降低風險,無法確保安全。
事實上,光是過去2年,政府就發生銓敘部59萬筆文官資料外洩、戶政系統當機等意外事件;民間求職網站的會員個資也接連傳出遭竊。由於竊取國人個資,有利於敵對勢力進行「沒有硝煙的戰爭」,在台灣內部製造分化動盪,中研院的政策建議,因而認定數位身分證「將對台灣的自由民主體制帶來立即而重大威脅」。
「既然在台灣,丟資料是『現在進行式』,我們還有必要建一個更大的目標,讓別人更方便偷資料嗎?」何建明提出疑問。
「我並不認為數位身分證『一定』會變成災難,但我也認為中研院學者提出的『威脅』有憑有據,問題出在民間和政府沒有足夠的互信,分別從各自立場出發、各說各話,造成今天的僵局。」一位熟悉政府運作的資訊專家分析,「導入每一項新科技都會同時帶來便利性與風險,但內政部沒有針對利弊得失充分溝通,態度太粗暴了。」