數位身分證技術探討(一):數位身分證的多元服務和個資安全保障─資策會 FIND科技報─智邦公益電子報
enews.url.com.tw · December 19,2024數位身分證技術探討(一):數位身分證的多元服務和個資安全保障
FIND研究員:李啟榮
全球約有百餘個國家地區推動電子身分證(Electronic ID Card,簡稱eID),2002年首見於歐洲愛沙尼亞,並陸續獲得比利時(2003)、義大利(2006)、西班牙(2006)、德國(2010)等其他歐盟成員之採用,隨後擴及包含香港(2003)、以色列(2013)、日本(2016)等,逐步導入電子身分證的採用。我國預計2020年10月起全面換發數位身分識別證(New eID),藉由New eID提供民眾一證多用、免排隊等便利服務,並採用國際標準、安全密碼、防偽機制、身分最小化來提升民眾個資安全保障。
【藉由整合自然人憑證,未來提供一證多用、區域性服務等便民措施】
行政院會於108年8月22日通過新式數位身分證(New eID),預計109年10月起全面換發,且預定於112年完成全國2,350萬人New eID換發作業,同時新身分證將與自然人憑證結合,增加晶片防偽功能、憑證支援。根據內政部規劃,數位身分識別證結合國民身分證與自然人憑證,日後將考量健保卡、駕照等未整合之功能。
引述內政部之說法,民眾透過數位身分證在臨櫃或網路上識別身分後,以政府骨幹網路連結各機關後端資料庫,即可享用各機關單位所提供的服務;例如健保、駕照監理等服務,即可辨別是否為當地居民,享受戶籍地縣市提供的福利,增進當地居民福祉。
【藉由簡化個人資訊顯示、導入國際安全標準,來加強保障民眾個資隱私】
我國數位身分識別證(New eID)卡片正面資訊有照片、姓名、統一編號、出生日期,背面欄位資訊為結婚狀態,將個資最小化。
內政部表示,數位身分識別證結合「國民身分證」及「自然人憑證」,單純作為身分辨識之用,只有辨識功能,沒有儲存其他資料,不會侵害個人隱私,並以提升防偽機制、個資最小化、隱私保護與資訊自主、全面發行等原則進行。
內政部接著表示,數位身分識別證卡面,將依據資訊最小化原則,比現行紙本國民身分證少,卡體防偽較紙本國民身分證更強,可透過晶片辨識卡片真偽,具有防篡改、複製及破解;數位身分證也採用國際標準身分識別最高等級,使用者可藉由自訂密碼,即便他人拾獲身分證,仍無法經由輸入密碼,取得持有者的父母、配偶等隱私資料,以保障使用者隱私最後一道防線。
【結語】
數位身分證藉由整合自然人憑證,提供比傳統身分證更多元、更便利的功能,可省下使用者須攜帶多種證件、臨櫃排隊等困擾;同時藉由簡化身分證個人資訊、增強安全設計,減少使用者隱私資訊外流與盜用之虞,使民眾有感獲得政府服務之便利,從而獲得全世界100多國的採用,令臺灣方面有跟進的呼聲,促使政府方面開始推動New eID全面換發,為民眾提供更便利的線上服務、進一步保障民眾隱私安全性和完整性。
參考來源:
1.內政部戶政司. (2019年8月22日). 迎向數位時代 內政部:明年10月起換發新式身分證. 2020年2月18日 擷取自 內政部新聞稿:
https://www.moi.gov.tw/chi/chi_news/news_detail.aspx?sn=16642&type_code=02&pages=2&src=news
2.行政院. (2019年8月22日). 行政院第3665次院會決議. 2020年2月19日 擷取自 行政院: https://www.ey.gov.tw/Page/4EC2394BE4EE9DD0/cff13970-812f-46df-b23f-0626b86d078c
數位身分證技術探討(二):資安隱私議題和安全防護機制
FIND研究員:李啟榮
自行政院108年8月核定、內政部預定109年10月全面換發「數位身分識別證(New eID)」後,New eID未來提供民眾便利服務的同時,也可能帶來資安和隱私等隱憂,引起社會公民團體的關注和爭論;為減少New eID對民眾資安和隱私的衝擊,並兼顧民眾使用New eID的便利性,本篇藉由歸納New eID面臨的各項隱私及安全議題,同時探討New eID的各項防護機制,使民眾更為了解New eID在提供便利的同時,如何設法保障民眾自身個資隱私和安全性。
【New eID隱私和資安議題,受到公民團體關注】
根據內政部長徐國勇108年5月16日於立法院就「數位身分識別證」之報告,宣示將於109年10月起全面換發後,引起了各界對民眾隱私、便民服務等關注和爭論,例如臺灣人權促進會等公民團體對於內政部New eID政策表達關切和顧慮,擔憂New eID是否能保障民眾隱私安全管控和資訊完整,表達3大顧慮議題並引述如後:
1.New eID目前無法證明有保護隱私、資訊自主的功能:內政部雖表示New eID依循「eID版面個資揭露最小、隱私資料加密保護需民眾授權開啟、自然人憑證可自由選擇開啟與否」三項作法,但公民團體仍對於司法/執法機關是否無視使用者許可跨機構調閱表達擔憂。
2.現行法規配套不足,換發New eID缺乏立論基礎:內政部雖表示「現行的法規如《戶籍法》、《個資法》、《資通安全管理法》、《電子簽章法》等,已足以在各面向支撐全面換發New eID的政策,毋須修訂現行法規或另立專法」;但公民團體認為New eID換發若僅有行政規則而無專法配套,人民要如何確保行政機關當前所有關於權益保障的承諾(例如晶片資料最小化、允許人民選擇自行開啟與否等)。因此公民團體也希望政府能仿效歐盟GDPR一般資料保護規範,為New eID建立足以保護持有者隱私的專法,避免未來政府以行政力量逕行介入干預民眾隱私之可能性。
3.不應強制性全面換發New eID,同持保留紙本身分證效力:內政部於立院質詢時表示「當前政策不存在領取紙本卡的空間,民眾可以在領到晶片卡後,選擇是否要開通自然人憑證,如無開通,則那張晶片卡其實就等同於紙卡」,但公民團體仍有所質疑,呼籲政府方面應暫緩New eID的全面強制換發、保留現行紙本身分證之使用,並讓民眾選擇性停用New eID自然人憑證功能。
【New eID安全防護機制和政府骨幹網路安全架構設計】
有鑑於我國數位身分識別證New eID的隱私和安全議題,探討技術面之可行解決方案,使New eID的隱私及資安防護機制加以改良,維護民眾資料完整性,也保障民眾資料私隱性,減少被惡意第三方窺探、盜取與破解。
在此引述內政部108年9月,針對公民團體New eID關注隱私及資安議題之回應,New eID在安全機制和隱私保障法規有如下作法:
1.New eID與紙本身分證一樣,只有身分識別的用途,卡面資料比現行國民身分證更少,防偽功能較現行身分證更高,晶片資料會透過加密保護,要民眾同意輸入讀取碼或密碼,才能取用,且New eID只是單純作為身分辨識的鑰匙,將國民身分證結合自然人憑證,民眾可選擇自然人憑證是否停用、復用或廢止,各機關將來所推出各種的應用服務,民眾也有權選擇要不要使用。
2.New eID卡面上已有身分證統一編號、姓名、出生日期及相片等最基礎的個人資料,查驗國民身分證機關,如依這些資料已足夠確認當事人身分,便不必使用晶片功能,不會強制要求民眾使用電子化服務。公、私部門若需使用民眾個人資料,均受個人資料保護法的規範,應盡資料保護之責。
3.戶籍法已賦予New eID製發的依據,在個人隱私、資訊安全的保護方面,透過個人資料保護法、資通安全管理法、電子簽章法等法規,可建構綿密的保護網,會在這些法律基礎上進行製發及應用,無需再另訂專法。
4.現行使用紙本身分證辦理任何服務,是否會留下紀錄,均取決於提供服務的機關,其依法不得做「目的外之利用」,內政部也沒有蒐集這些紀錄,將來New eID也是在保護個資運用的法律框架下,任何目的外之利用,均受到嚴格限制,比紙本身分證更保護民眾隱私及資訊自主權
另由於New eID持有者可經由國發會的T-Road政府骨幹網路,存取各項政府網站服務,使用者以New eID登入T-Road政府入口網站,並依據使用者的需求與個別政府機關連線,辦理不同用途的政府網站服務;而使用者的資料只會單獨留存在個別政府機關,且個別政府機關後台資料不互通,也不會連線回憑證中心,以減少政府逕行跨部門調閱、干預民眾個資隱私的情形。
【結語】
我國數位身分識別證New eID雖旨在提供民眾便利服務、加強防偽防盜、保障個人隱私和資料完整等用途,但因為社會公民團體仍對政府如何保障New eID隱私和安全的作法感到隱憂,並擔心政府對New eID公開資訊不完整、不透明,造成政府和民眾之間的資訊不對等,導致對民眾個資隱私的侵害。
故政府應針對New eID上路前需改善的安全和隱私議題,對社會大眾進行溝通及說明,並將New eID安全防護機制透明化使民眾更容易了解,也能用明確的個資隱私保護法規,限制政府公權力逕行調閱和干預民眾個資隱私,進而依法保障民眾權益。
參考來源:
1.內政部戶政司. (2019年9月10日). 內政部:數位身分證程序嚴謹 重資安. 2020年2月19日 擷取自 內政部:
https://www.moi.gov.tw/chi/chi_news/news_detail.aspx?type_code=02&sn=16737
2.何明諠. (2019年5月22日). 為何我們反對內政部的eID政策. 2020年2月4日 擷取自 臺灣人權促進會:
https://www.tahr.org.tw/news/2435
數位身分證技術探討(三):去中心化身分管理與驗證流程
去中心化身分(De-centralized Identification,DID)識別機制的主要目的,乃鑑於傳統集中式身分管理模式賦予管理者的最高權限,對一般使用者的個資介入調閱和干預,因而侵害一般使用者的個資主控權和隱私權;因此,隨著使用者資安和隱私意識日漸抬頭,使用者身分管理模式應分散集中管控的風險,將使用者個資主權從中樞管理者,逐漸歸還給個別使用者,以保障使用者自身的資料主控權和隱私權,不被任何人得知或掌控。>
車輛一鍵救援-先鋒雲端派遣智慧服務平臺
在趕時間的時候,最怕車子突然拋錨,心慌意亂不說,不知道從叫修到修好究竟要花掉多少時間?這時候如果有一鍵救援系統能使用就好了,只要按下APP就可以開啟一連串的道路救援服務,徹底縮短救援時間,讓你即使發生了意外也能事半功倍的解決。>