📌置頂文章📌 活動記錄:永社2023年轉型正義工作坊(活動已結束)

2020年11月23日 星期一

數位身分證 資安僅是最基本門檻

江雅綺(作者為台北科技大學智慧科技法律政策研究中心主任、永社理事)

蘋果日報/蘋評理 2020.11.22

一張能夠儲存個人資料、並嫁接其他機關個人資料庫的數位身分證(eID),可以想見:它上面能啟用的資料愈多、串接其他資料庫愈方便,它潛藏的資安風險就愈大。尤其資安防護就像犯罪防範,道高一尺,難保駭客不會魔高一丈,無法給予百分之百的安全保證,只能竭盡各種可能的防範措施、盡量將風險控制在最低。

也正因如此,許多資安專家針對啟用eID可能「讓駭客一次打包所有資料」再三示警,加上近年來實務確實發生不少機關資料庫外洩的案例,都讓我們對數位身分證可能造成的資安黑洞,感到心驚膽跳。

須經過法治與人權檢驗

不過,假設eID能做到百分百的安全,難道使用這張eID就已經沒有問題了嗎?中研院資訊法中心於11月初曾提出了一份《數位時代下的國民身分證與身分識別政策建議書》,裡面很清楚的說明了,除了資安,數位身分證所涉及的個資數位化程序、資料蒐集、處理、利用與課責,更必須經過法治與人權的檢驗。

雖然內政部澄清eID實體卡面上呈現的個資將比紙本身分證更少,故比紙本更保護個資,而且可以選擇關閉晶片卡上自然人憑證的功能,關閉了就不會讓晶片卡成為串接個資寶庫的「金鑰匙」。但問題是,單單這張晶片卡上有的公開資料和加密資料,包括姓名、生日、戶籍地、高解析度的個人照片以及父母配偶姓名……就現有的個資規定與實務運作而言,它的力量和危險,很可能遠超過我們能想像。

就以高解析度的照片為例,表面上看來紙本身分證也有照片,因此數位身分證要求照片。但過往人臉辨識的科技和設備沒有像今日發達,今日個人照片數位化之後、儲存於特定數位資料庫中而可隨時取用,其資料能發揮的破壞性,無法同日而語。

今年中,美國舊金山、波士頓接連禁止警察和其他市政機構在公共場合使用「AI人臉辨識」技術,理由是這些技術可能對某些族群有不符比例的影響(如對有色人種更為不利),因而有侵害人權之虞。其後歐盟也開始討論是否在公共場所全面禁用人臉辨識技術。人臉辨識禁用與否雖然尚無定論,但至少人們已經不迷信人工智慧、數位科技只有好的一面,在這個愈來愈「數位」、「智慧」的世界,如何保障人性尊嚴與基本人權,更顯得關鍵。

因此,回到筆者一開始所提出的問題:假設eID能做到百分百的資安,社會就應該依據《戶籍法》規定接受這張eID了嗎?筆者的答案會是,資安要求僅僅是門檻罷了。