中華民國內政部民國(下同)108年8月22日新聞稿表示,為了迎向智慧政府時代,將從明(109)年10月開始全面換發數位身分識別證(New eID)。內政部指出數位身分識別證具有諸多優點,譬如卡片外觀個資呈現最簡化,且加密保護最優化;得以「有憑證支援」方式,與眾多資訊(如:健保與社福、通信傳播、交通監理、稅務與通關、勞保)進行整合;未來還可綁定手機等。內政部同時強調該換發計畫,將會在遵循個資揭露最小、隱私保護、資訊自主等原則下進行,預計於112年3月完成全台2,359萬人換證【註1】、【註2】、【註3】。
數位身分識別證雖有諸多優點,但可否如內政部所言,並無侵害國民隱私及資訊自主的疑慮【註4】,若從我國政府對於個資處理政策不透明以及欠缺個資保護專責機關兩點觀察,似不宜抱持過度樂觀的態度,以下分述之。
一、我國政府對於個資處理政策不透明
內政部雖表示現行法規如戶籍法、個人資料保護法、資通安全管理法、電子簽章法等,已足以在各方面向支撐全面換發數位身分識別證的政策,但數位身分識別證預作為一把可與各行政機關資料庫連結的身分識別鑰匙,如遭有心人士濫用,所造成的隱私權侵害,乃至於國家安全問題,恐無法估計。
台灣人權促進會即指出,政府是否有明確規範誰能讀到資料、是否有隱性註記;當越多服務被開通時,是否會有更多的資料被留下,而這些資料又該如何被保護等問題,均有待政府說明【註5】。再譬如於大數據時代下,如民眾被迫在網路上改以數位身分識別證進行認證,民眾該如何確保其資訊自主權、能否拒絕採用數位身分識別證作為唯一認證機制,對此,我國政府個資處理政策究竟為何,也未見有進一步說明。
二、欠缺個資保護專責機關
歐盟一般資料保護規範(General Data Protection Regulation,簡稱GDPR)要求歐盟各成員國皆應成立「獨立的個資保護專責機關」,但我國關於個人資料保護法的落實,目前是交由非屬獨立機關的國家發展委員會負責(簡稱國發會)。台灣人權促進會也質疑,國發會同時肩負「國家發展」與「個資保護」兩個時常有內在扞格的任務時(且國家發展顯然才是主要任務),不具獨立性的國發會將難以讓人民相信,其所推行的政策將會公正地保護人民個資【註5】。是以,我國欠缺公正獨立的機關來監督數位身分識別證未來作各種利用的合法性及必要性時,將難以說服民眾身分識別證的使用無隱私或資安風險。
最後,思及我國近期(108年6月)才發生的銓敘部資安重大疏漏,導致59萬筆文官個資外洩【註6】,倘若我國的數位身分識別證未來因演算法有漏洞等原因,導致大量卡片加密遭破解,政府是否有能力應對,亦讓人憂慮,故政府對於智慧政府時代之推行實應審慎為之。
【註1】https://www.moi.gov.tw/chi/chi_news/news_detail.aspx?type_code=02&sn=16642
【註2】https://www.moi.gov.tw/files/news_file/New%20eID%E6%87%B6%E4%BA%BA%E5%8C%85.pdf
【註4】https://udn.com/news/story/7314/4003342?from=udn-relatednews_ch2