新身分證「私人金鑰」外包恐泄全國個資 學者轟:非常可怕危及國安
▲行政院拍板定案明年10月起換髮新式數位身分證。(圖/翻攝自內政部官網)
行政院22日拍板定案內政部推動數位身分識別證(New eID)換髮,預計109年10月起以2年半時間提供國人全面免費換髮作業,此案全權交由中央印製廠負責。對此卻有相關學者提出質疑,New eID恐遭包外廠商外泄個資疑慮,臺大電機系教授林宗男直言「這是一個非常危險的計劃」,嚴重恐會涉及國安危機;成大電通所教授李忠憲則強烈反對政府作法,建議在未能消除這些疑慮前,包括資安、國安等問題應暫緩實施。
內政部預計明年10月起開始換髮新式數位身分證,卻遭爆料中央印製廠未經公開招標程序,就拿到印製數位身分識別證(New eID)標案,甚至傳出中央印製廠於8月底另開標案轉包,並開出得標者要有銷售12億元以上PC晶片卡、護照等相關經驗,被質疑已選定特定承包外商,消息傳出後,也引發全臺2,300萬人個資外泄疑慮。
▲行政院長蘇貞昌日前帶大家瞭解新版身分證。(圖/翻攝蘇貞昌臉書)
對此,臺大電機系教授林宗男直言:「政府是把全國人民的個資當兒戲!」原因是晶片身分證中攸關全民個資,卻委託給外包廠商印製廠產生私人金鑰,而廠商可以在中央印製廠產生私人金鑰,也可以在家裡製造,林宗男進一步說明,一般大衆在網路上進行安全傳輸工作時,所使用的都是非對稱加密演算法,且會產生公鑰、私鑰。
所謂的公鑰是可以公開拿來做驗證,而私鑰則是屬個人需要傳送加密訊息時的一組密碼,以新式數位身分證爲例,每組晶片中都會產生一組每一人的公、私鑰,私鑰代表個人在數位世界的代表,因此一旦私人金鑰被掌握,身份恐怕將會被取代,等於私人密碼全被曝光。
林宗男表示,政府推動數位身分識別證,要求民衆透過數位ID做驗證,在系統上是一個非常危險的單一缺口設計,質疑根本只考慮到方便性,卻毫無能力做後續相關稽覈動作,根本是「是外行人做外行事、小孩子玩大車」,尤其若外包廠商若是爲大陸掌握,就可獲取我國所有人民個資,最後再三強調,全國民衆的身分證若掌握在民間企業中是非常危險的計劃。
成大電通所教授李忠憲也表達強烈反對意見,他指出全國人民個資屬機密、敏感資料,政府在推出新數位身分證時,本就應該有資安配套措施,尤其身分證晶片涉及每個人的對應身份,若要提供很多方位的服務容易讓個人留下「數位痕跡」,若遭有心人士利用或是公、私鑰被破解,不僅有個資曝光問題甚至牽涉國安問題,認爲政府做法實在太不嚴謹。
尤其我國對於數位身分證這部分,並沒有立法也無咎責機關,過往出現任何資料外泄問題,政府只要求外包廠商負責,卻沒有任何公務人員受到懲罰,實在過於不合理;李忠憲也反問:「沒有晶片身分證真的有不方便嗎?」認爲政府花好幾十億做數位身分證,卻必須冒着極大風險牽扯國家安全以及全民利益,強烈建議政府在未消除種種疑慮前,絕對不能草率去實施。
針對此案,內政部日前則曾澄清說明,有關New eID的印製案,是依政府採購法第22條第1項第2款規定,採限制性招標委由該廠承作,一切招標程序均依政府採購法規定辦理;至於發包問題,內政部強調,數位身分證發行囊括系統、制卡、行政作業、法規、宣傳等面向,中央印製廠僅負責制卡面,系統面將會等細部規劃出來後再對外招標。