針對「數位身分識別證」換發一事,時代力量立委鄭秀玲今(25)日表示,數位身分證配套法令完整性不足,執行技術層面可能違害資安,應參考歐盟等經驗,宜先停、看、聽,先仿效當年健保卡上路前,進行小規模發行測試,確認沒有資安風險、管理問題等再實施。
立法院內政委員會今天邀請內政部長徐國勇針對「新式數位身分證」進行專題報告,並備質詢。
鄭秀玲質詢時表示,就歐盟目前所推動的「電子身分認證與信賴服務法」 (eIDAS),明定主管機關要與個人資料機構合作,並要確保符合個資相關法令,也就「歐盟一般資料保護法」(EU General Data Protection Regulation, GDPR),以愛沙尼亞為例,根據法律由各相關部會如資訊部、內政部、經濟事務與通傳部等,隨時機動因應,他們的eID本身並未存取任何資料,並建立備援機制。
鄭秀玲說,即使內政部表示,目前的規劃裡沒有保留全民數位痕跡,也就是說,紀錄留存僅在提供服務的機關,並且依法不得作「目的外之利用」,而且內政部也沒有蒐集紀錄,但她仍對「現行法規完備程度」,以及「隱私保護與資安防護」有所疑慮。
鄭秀玲指出,現行法制對可能發生的損害,主管機關無法提供令人滿意的答案,如「戶籍法」並無明確條文限制身分證及身分證在公、私領域的使用範圍與條件,若個人資料遭公部門以個資法為名進行目的外利用,而人民亦不具有退出「目的外利用」的「拒絕權」,將讓該法喪失保障人民資訊安全的精神,此外,我國並未設立「個資法」保護專責機關的安全閥,而「個資法」對每人每一事件又只有最高2萬元賠償。
其次,在隱私保護與資安防護方面,她說,雖然使用數位身分識別證進行政府跨部門的各個網絡服務的憑證,「方便性」確實讓人心動,但是這種集中式設計所帶來的單點失效資安風險,使得數位身分識別證將可能成為造成國家級的資訊安全風險,也就是說,當單一民眾的數位資產受到駭客攻擊、竊取,受害的可能不只是單一個人,當然也為國家級駭客滲透竊取全國民眾的個資隱私開啟便利門。
鄭秀玲呼籲,「數位身分識別證」,可先進行小規模發行與測試,如當年於澎湖測試健保卡,確認資安風險與管理面沒問題後,再全面實施;其次,為具備完善法源,可參酌歐盟作法,發展專責法規與成立獨立專責機構,以回應國人疑惑。
