內政部宣布明年10月全面換發新式身分證(New eID),卻引發人權團體的質疑,也有學者認為新式身分證攸關全民個資,政府卻將關鍵技術「私人金鑰」發包給民間廠商,恐將成為「全民資安危機」;此外,更有學者指出,新式身分證的晶片、系統將提供駭客絕佳攻擊對象,質疑政府是否有能力維護民眾個資安全。對此,內政部澄清指出,New eID是在晶片自行產製私密金鑰,無法匯出、重製,任何人都無法取得,並在封閉隔離的環境製作,確保資安無虞。
內政部表示,私密金鑰產製是公開金鑰基礎建設的程序之一,依據自然人憑證CPS(內政部憑證管理中心憑證作業基準)規範,金鑰對是在通過安全評估共通準則(Common Criteria, CC)國際安全認證的晶片中自行運算產生的,確保其私密金鑰無法匯出、重製,任何人都無法取得該私密金鑰,因此不會有被製卡廠商掌握私密金鑰的情形。
內政部強調,私密金鑰產製時尚未結合個資,且在百分百國營、非私營且絕無中資的中央印製廠安全封閉環境,由專人執行,確保資訊安全,其作法與現行自然人憑證相同,都是在卡片內產製金鑰對。
內政部指出,New eID 發證系統的建置,只是為了製發數位身分證,是在封閉隔離的製發環境下運作,不會連結網際網路,且會有嚴格的安全管理與監控機制,能有效防止駭客的攻擊。另New eID並未儲存或記錄個人地域、人際網絡或其他數位痕跡等資料,不會有隱私資料外洩的疑慮。
內政部進一步說明,於開發New eID相關系統服務時,亦要求導入安全軟體開發相關原則進行,針對晶片本身、資訊傳輸、感應設備、應用服務等項目上,將委請資安廠商進行檢測,相關程式原始碼在不涉及安全原則的條件下,將開放讓公眾進行檢測,檢測項目包含:基本弱點掃描、滲透測試、紅隊演練等,以挖掘出針對New eID與相關服務的各種可能攻擊手法。
此外,內政部指出,New eID發行前,將研議規劃針對New eID晶片卡、讀卡程式、感測設備及相關使用情境等規劃賞金獵人競賽,透過駭客社群驗測New eID相關項目之資訊安全等級和防護能力。而且New eID沒有保留全民「數位痕跡」,民眾使用New eID的紀錄,是留存於提供服務的機關,其依法不得做「目的外之利用」,內政部也沒有蒐集這些紀錄,並在保護個資運用的法律框架下,任何目的以外的利用,均受到嚴格限制,公、私部門若要使用民眾個人資料,也均受到個人資料保護法的規範,應盡資料保護之責,以嚴密保護民眾隱私及資訊自主權。
至於,在個人隱私、資訊安全的保護方面,內政部表示,透過個人資料保護法、資通安全管理法、電子簽章法等法規,就可以建構嚴密的保護網,無需再另訂專法。
有關中央印製廠招標公告所載晶片追蹤的議題,內政部解釋,New eID是一張晶片卡,就像晶片護照、信用卡、健保卡、悠遊卡、手機晶片卡一樣,不會主動發送訊號,所以不會洩漏位置,無法追蹤。中印的招標公告是針對一般製卡生產流程,系統在追蹤卡片生產的作業狀態,其文字為避免外界誤解將進行更正。
