新身分证「私人金钥」外包恐泄全国个资 学者轰:非常可怕危及国安
▲行政院拍板定案明年10月起换发新式数位身分证。(图/翻摄自内政部官网)
行政院22日拍板定案内政部推动数位身分识别证(New eID)换发,预计109年10月起以2年半时间提供国人全面免费换发作业,此案全权交由中央印制厂负责。对此却有相关学者提出质疑,New eID恐遭包外厂商外泄个资疑虑,台大电机系教授林宗男直言「这是一个非常危险的计划」,严重恐会涉及国安危机;成大电通所教授李忠宪则强烈反对政府作法,建议在未能消除这些疑虑前,包括资安、国安等问题应暂缓实施。
内政部预计明年10月起开始换发新式数位身分证,却遭爆料中央印制厂未经公开招标程序,就拿到印制数位身分识别证(New eID)标案,甚至传出中央印制厂于8月底另开标案转包,并开出得标者要有销售12亿元以上PC晶片卡、护照等相关经验,被质疑已选定特定承包外商,消息传出后,也引发全台2,300万人个资外泄疑虑。
▲行政院长苏贞昌日前带大家了解新版身分证。(图/翻摄苏贞昌脸书)
对此,台大电机系教授林宗男直言:「政府是把全国人民的个资当儿戏!」原因是晶片身分证中攸关全民个资,却委托给外包厂商印制厂产生私人金钥,而厂商可以在中央印制厂产生私人金钥,也可以在家里制造,林宗男进一步说明,一般大众在网路上进行安全传输工作时,所使用的都是非对称加密演算法,且会产生公钥、私钥。
所谓的公钥是可以公开拿来做验证,而私钥则是属个人需要传送加密讯息时的一组密码,以新式数位身分证为例,每组晶片中都会产生一组每一人的公、私钥,私钥代表个人在数位世界的代表,因此一旦私人金钥被掌握,身份恐怕将会被取代,等于私人密码全被曝光。
林宗男表示,政府推动数位身分识别证,要求民众透过数位ID做验证,在系统上是一个非常危险的单一缺口设计,质疑根本只考虑到方便性,却毫无能力做后续相关稽核动作,根本是「是外行人做外行事、小孩子玩大车」,尤其若外包厂商若是为大陆掌握,就可获取我国所有人民个资,最后再三强调,全国民众的身分证若掌握在民间企业中是非常危险的计划。
成大电通所教授李忠宪也表达强烈反对意见,他指出全国人民个资属机密、敏感资料,政府在推出新数位身分证时,本就应该有资安配套措施,尤其身分证晶片涉及每个人的对应身份,若要提供很多方位的服务容易让个人留下「数位痕迹」,若遭有心人士利用或是公、私钥被破解,不仅有个资曝光问题甚至牵涉国安问题,认为政府做法实在太不严谨。
尤其我国对于数位身分证这部分,并没有立法也无咎责机关,过往出现任何资料外泄问题,政府只要求外包厂商负责,却没有任何公务人员受到惩罚,实在过于不合理;李忠宪也反问:「没有晶片身分证真的有不方便吗?」认为政府花好几十亿做数位身分证,却必须冒着极大风险牵扯国家安全以及全民利益,强烈建议政府在未消除种种疑虑前,绝对不能草率去实施。
针对此案,内政部日前则曾澄清说明,有关New eID的印制案,是依政府采购法第22条第1项第2款规定,采限制性招标委由该厂承作,一切招标程序均依政府采购法规定办理;至于发包问题,内政部强调,数位身分证发行囊括系统、制卡、行政作业、法规、宣传等面向,中央印制厂仅负责制卡面,系统面将会等细部规划出来后再对外招标。