New eID建置可能帶來的風險與人權侵害

「個資當懸賞？新竹市民拒當數位身分證白老鼠」記者會

數位身分證試辦區由內政部宣布的新北板橋、中和、新竹市、澎湖，縮減只剩新竹市。內政部不顧學者專家反對，邀請新竹市民「自願」參與將同時進行賞金獵人測試的數位身分證試辦，無異於將資安與隱私風險轉嫁到新竹市民個人身上。

廖子齊議員與台灣人權促進會邀請到新竹市民與民間團體提出疑慮，並發出訴求停止試辦。新竹市議員廖子齊認為，行政院不該將新竹市民的個資作為資安試驗的白老鼠，新式身分證的換發應該先完成立法明確授權，同時從技術與設計上盡可能降低資安風險，即便如此仍應保留民眾選擇無晶片身分證之權利。她特別強調正是因為理解資安沒有百分之百的零風險，才應該思考從卡片設計的源頭就不該把所有的個人資料都電子化且蒐集在一張晶片內，才能降低個資外洩的損失，現在這樣的設計等於是台灣政府自己創造了一個巨大的資料庫標靶，還大方宣傳歡迎各路駭客及國家級網軍來攻，根本不重視民眾的個資安全。

台灣人權促進會秘書長施逸翔作為eID訴訟的近60位原告之一，提醒新竹市民，內政部遲遲未公布新竹市的試辦計畫。事實上，內政部一直無法清楚說明這項政策的完整樣貌，一直處於所謂的「滾動式檢討」中，內政部不尊重新竹市民的公民主體性，堅持政府推一個沒有法律授權的政策，新竹市民自願買單就好。但我們必須要說，這是非常不負責任的政策，我們呼籲新竹市民：如果明年一月eID率先在新竹市試辦，請不要「自願」領取這張政府未來將要「強制」每個人換發的具有資安風險的數位晶片身分證，同時我們也呼籲更多新竹市民呼朋引伴告訴政府，新竹市民不要這張卡，台灣人民也不要這張被中國媒體稱讚的卡。

New eID的建置，背後代表的是資料庫的串接、個人資訊的高度集中化，這是一個涉及大量個人資訊、隱私及資訊安全的龐大計畫，更是一個會對民眾隱私及個資產生威脅的計畫。在這個過程中，台灣政府理應積極的展現他們對保護人權、保障隱私權所做的努力，像是提出New eID的整體隱私風險評估報告、對於串接資料庫的T-raod可能造成的風險提出說明，並提出專法應對可能的風險及人權侵害。

 

國際特赦組織台灣分會秘書長邱伊翎表示

儘管國發會聲稱它們有針對T-road的建置、運作及管理，已經完成了「資料保護衝擊影響評估報告」，當NGO、社會團體想了解資料傳輸平台的運作有哪些風險時，國發會卻完全不願說明；而同樣一個政府，對於New eID整體究竟有多少隱私方面的風險，也沒有做任何的評估，使民眾對於New eID背後的隱私風險完全一無所知。

國際特赦組織台灣分會將在明年發布一份有關New eID的報告，向台灣政府與民眾說明，在推行New eID上，台灣政府應該要遵守的原則，在制度、法規上要如何改善，以及我們期待台灣政府在保障民眾隱私權上，可以有哪些積極的措施。

軟體自由協會常務理事翁佳驥指出，政策推出以來，政府展現出無比的積極與魄力，要推動數位身份證上路 ; 然而面對民間社群的質疑，卻又避重就輕甚至避而不談。軟體自由協會自 2017 年以來致力推動以法律明定「用人民納稅錢所建立的軟體與資訊系統，應以自由軟體授權公開釋出」（Public Money Public Code，簡稱 PMPC）。

翁佳驥只問內政部兩件事： 1. 徐國勇部長 21 日聲明，「內政部絕對不會監控，也不會留下使用足跡，而數位足跡也不會回傳到內政部。」內政部憑什麼保證？拿什麼保證？真正爆出監控情事以後，內政部能如何彌補損失的公民權益？2. 內政部在「NeweID 公開資訊專區」裡，說明簡報第 30 頁中，針對「不開放程式源碼？」的回應是「核心程式交由第三方機構進行資安檢測」。內政部的回應不叫 「開放程式源碼」，而是「拉第三方機構墊背」。把整個系統程式源碼公開，除了可受民間臥虎藏龍之士的監督與修正，也可避免第一個問題的發生。請問內政部，為什麼不敢？ 但凡興一利必生一弊，這道理大家都懂，所以打從一開始這個 eID 的問題就不是「我們要用新科技，還是要留在石器時代」的問題。而是我們在擁抱新科技的同時，對於可能的問題是否有足夠的理解與因應？更何況，這些已經浮上檯面卻被有關單位華麗地無視的弊，有一大半是透過 PMPC 政策將系統的程式源碼（不是「資料」！）開放給大眾檢視甚至提供修補就可以解決。那麼，剩下的問題是：究竟在陽光照不到的地方，有多大的黑洞引力？

開放文化基金會李欣穎執行秘書，呼籲內政部要開放 eID 軟體原始碼，修法保障個人資訊隱私，在上述還沒完成之際，不宜讓新竹市民身先為國數位捐軀。李欣穎指出，政府在發行 eID 的時候，應該「提前」開放 eID 軟體的原始碼，經過時間與安全技術考驗，急躁上路無法大眾多數信任。在比利時，他們的 eID 軟體是 open source 。目前台灣政府開發的軟體時常被廠商綁架，使用人民的納稅錢但技術掌握在廠商手上，缺乏一個透明夠被信任的軟體開發機制。在個人資訊隱私保護方面，先前國外網站在暗網上拍賣一批兩千萬筆以上的國人個資，雖然政府急於澄清非戶政資料外流，且強調那些資料是舊的，但沒有什麼資料是舊的。李欣穎表示， 25 歲時被洩漏出去的姓名、身分證字號、生日，這些並不會在我 30 歲時就變成舊的資料。然而，內政部一再強調：公、私部分對於蒐集之個資應妥善管理，避免個資外洩情形，否則應負相關民、刑事責任，但先前銓敘部洩露大量公務員個資，並未見到長官、承辦或廠商負擔民、刑事責任，另外，人力銀行、電信公司的使用者註冊的資料包含身分證資料外洩於暗網中，也沒見到任何新聞報導他們負起哪些民、刑事責任。因此，希望政府先解決眼前既有問題，並立法明定數位晶片身分證的規範，並成立專責獨立的個資保護與監督機關，保障人民權益。

台灣人權促進會台灣網路透明報告專員周冠汝指出，根據世界銀行的資料，台灣早已被列入具有數位ID的國家。在已經具備數位ID，比如自然人憑證的情況下，政府打算強制換發數位身分證。政委和內政部部長曾在直播中提到，參與試辦換發將領取「正式卡」。這是否表示，新竹市民將自願在沒有法律規範公私部門蒐集數位足跡，且需自行負擔資安責任的情況下，「被國家試用」來測試資安。最後再一次提醒，今日的自願試行，將造就明日的強制換發。根據現行中央宣布的替代措施，人民未來只能在使用晶片，或者「貼膠帶」並列印防偽功能陽春的資料清單中二擇一。中央應該正視人民選擇無晶片身分證的資訊自主權，同時立法修法管制浮濫的個資蒐集，改善現狀，而不是拿新竹市民做實驗，並將責任歸於自願承擔風險的市民。