**身分證 卡片名稱 陰文 ROC後面多個TAIWAN
也就是 中華民國台灣 --綠ㄚ想要的
趕在XXX前完成換發 !
只有台灣島 ? 澎湖金馬哩 ???
晶片裡的其他資訊除了父母、配偶、性別欄
還有哪些 ?
*****************************************************
數位身分證很安全?
愛沙尼亞曾遭駭 德國反個資存手機
中華民國108年10月12日
2019-10-12 14:12未來城市@天下 未來城市天下編輯部
內政部宣布自2020年10月起,台灣將發行數位身分證,並預計在兩年內全面換發完成,期待提升數位治理與民眾辦事的便民度。
許多公民團體,如台灣人權促進會提出反對,認為政府在資安保護、資訊自主上配套不足,應謹慎規劃再推行。
其實,全球已有許多國家與地區,使用含有智慧晶片的數位身分證,像是德國、愛沙尼亞、比利時、西班牙等。
愛沙尼亞設全球首座「數位大使館」備份個資
根據國家發展委員會資訊管理處的報告,愛沙尼亞有99%的政府服務都已數位化,除了結婚與離婚須親自辦理登記外,出生登記、電子病歷、稅務、就職、創業、補助申請、駕照換發、就學登記等,都可以透過網路平台,並搭配數位身分證,輸入兩組PIN碼驗證後完成程序。
愛沙尼亞更早在2007年便實施電子投票,成為全球第一個開放全民網路投票的國家;公民即使不在國內,只要憑數位身分證即可上網投票。2014年的歐洲議會選舉中,已有三分之一的愛沙尼亞公民,從98個不同國家上網投票,顯見民眾對於電子投票系統相當信任。
愛沙尼亞並沒有集中的大型中央資料庫,各個公、私部門都有獨自的資料庫,但彼此的資料可藉由通訊協定互相分享。國家資訊基礎架構中的X-Road資料庫,貫穿各個政府與私人企業,個人資料可匯流到X-Road資料庫中,只要民眾授權,不必反覆填寫相同的資料,政府或民間單位就能從X-Road存取各式數位服務。
儘管如此,愛沙尼亞仍在2007年遭受來自俄羅斯的駭客攻擊,導致許多政府網站停擺;後又在2017年,發現部份身分證中的晶片存有安全漏洞,可能造成76萬人的個資遭竊,便緊急停止數位身分證的服務,確認修復漏洞後才重新開放。
幾次被攻擊的慘痛經驗,也促使愛沙尼亞在2018年於盧森堡設置世上第一個「數位大使館」(digital data embassy),備份重要的國民資料如身分證、稅金、年金、不動產、企業登記等,以達到雙重保障。
德國將用手機作身分證與護照
德國在2010年即開始換發數位身分證,並於晶片上存放姓名、生日、照片、指紋等個人資訊,民眾可使用數位身分證做報稅、事務登記等服務,或利用晶片中的電子數位簽章做各式認證。
進行認證時,會要求使用者輸入PIN碼,以確認由本人授權;但在2018年11月,有一組德國研究人員發現系統漏洞,可繞過認證伺服器的保護,並且修改身分證上的姓名與地址,相關單位才緊急修復了這個漏洞。
今年德國政府宣布將與Apple合作,運用Apple iOS13作業系統中的近場無線通信技術(NFC),
將身分證、護照、居留證等資訊整合進iPhone中,
未來民眾可將手機當身分證件使用。
不過一向重視個人隱私安全的德國民眾,對此仍採保留態度;畢竟若手機被偷,等於個人重要資料都外流。
專家憂個資遭濫用
索羅門(Brett Solomon)是捍衛數位權益的非政府組織Access Now的執行董事,他曾在科技媒體WIRED上發表一篇評論,直指:「數位身分證比你想像的還要危險。」擔憂未來太容易取得的個人資訊,將遭嚴重地濫用。
索羅門提倡,數位身分證只需存取最小化的個人資訊,
並且將資訊分放在不同機構,設置嚴格限制的資料讀取權,
並需經過當事人的同意才能授權使用。
索羅門認為,應開放民眾選擇是否使用數位身分證,或保留傳統的紙本文件,這是基本的權益。政府的資料庫使用與資安措施,也應該受到民間單位的監督,甚至加入立法的討論,以從公民的角度提出保障權益的措施。
最後,資料運用的過程應公開透明並留下紀錄,民眾可檢視個人資料在什麼狀況下、被誰取用、做何用途,以確保個人資訊沒有遭到濫用。
從各國的經驗來看,即使是已發行數位身分證多年的國家,仍有遭到駭客攻擊的風險,所以資訊安全的加強應是政府最需重視的事。資安的保障措施永遠不嫌多,公民也應注重個人資訊隱私權,才能安心地享受便利生活。
「全文轉載自未來城市(數位身分證很安全?愛沙尼亞曾遭駭,德國反個資存手機),欲了解更多智慧科技,請上未來城市官網。
*********************************************
工商社論》新式數位身分證(New eID)引發的疑慮
中華民國108年9月16日
04:10 2019/09/16 工商時報 主筆室
國民黨立委許毓仁等人於上周四(9月12日)召開記者會,質疑數位身分識別證(簡稱New eID)有追蹤機制,恐侵害人民隱私。對此,內政部立即澄清,說明New eID不會主動發送訊號,
也不會洩漏位置,更不會蒐集民眾使用軌跡,晶片一旦寫入個人化資料就會啟動亂數序號機制,根本無法追蹤,民眾大可放心。
新式數位身分證的換發,業經行政院8月22日院會通過。新身分證確定保有國旗(許多民眾對此十分關切),預計明(2020)年10月開始全面換發。新身分證增加晶片防偽功能、規劃未來可以綁定手機,不用攜帶實體卡片。新式數位身分證有支援憑證的功能,
民眾可以選擇是否啟用自然人憑證功能;
若啟用自然人憑證功能,就具備了網路身分辨識及電子簽章的功能;可以支援健保與社福、交通監理、育兒津貼、護照簽證、通信傳播、公投連署、就學與教學、防災資料、貿易與產業、工商登記、國民年金、不動產交易、生前契約、稅務與通關、車駕籍資料、勞保等16項服務。
雖然新式數位身分證功能強大,可以給民眾帶來許多方便的服務,但也引發各界對於資訊安全及侵害人民隱私的疑慮。
早於立委許毓仁等人召開記者會之前,台灣人權促進會、民間司法改革基金會、台灣受試者保護協會等民間團體於9月10日共同召開記者會,除要求內政部應立即公開數位身分證細部規劃的報告、完善民主參與的程序外,也宣布將向監察委員陳情,要求監委調查行政機關在推動數位身分證時,是否有程序瑕疵?
並請監委要求行政院、內政部廢棄有程序瑕疵的相關決議、招標案,並追究相關人員的法律責任。
民間團體台灣人權促進會認為僅程序上就至少存在五處爭議:
第一,今年3月招標的「新一代國民身分證規劃案」,
其外部委員全為已退休公務員,
長期身處機關內部的已退休公務員,其公正性讓人無法信任。
第二,規劃案成果迄今仍未公開、討論、修正風險,
卻已逕行在6月辦理33億元的卡片印製招標案,
有以巨額標案綁架全民的嫌疑。
第三,在規劃案尚未公開公告前,
內政部卻已在8月22日,將此案送入行政院院會核定。
第四、內政部全然無視我國個資法規範模糊,而且欠缺主管機關, 在尚未完成法制規範修正之前,
就辦理數位身分證的招標,顯有不當。
第五,內政部於2017年曾委託政治大學團隊舉行公民審議,
然而公民審議的會議紀錄卻在最近這一年由內政部網站移除,
且經民間團體多次請求,至今依然不肯重新上網,
公民審議儼然成為替政策擦脂抹粉的工具。
民間司法改革基金會則認為新式數位身分證將人民的隱私置於高風險的環境之中。該基金會質疑新式數位身分證
到底會蒐集多少個人資料?又將如何使用,
才能發揮「一卡多功」及「帶動創新應用及產業發展」的效果。
當人民不清楚自己的資料會被政府如何使用,自然會產生隱私侵害的疑慮。這些隱私侵害的疑慮,乃源自於內政部在推行數位身分證過程中程序的躁進與不透明。
台灣受試者保護協會表示,行政院推動換發數位身分識別證的政策,攸關人民的隱私權與資訊自主權,
而社會上贊成與反對的意見並未有共識,
卻未見內政部依行政程序法辦理聽證會,或其他的民眾參與機制。
內政部針對各界的疑慮,做了相關的回應。首先強調New eID只具有身分識別功能,是自然人憑證的升級版;晶片內已存有個人的基本資料,使用時跟自然人憑證一樣,不會主動發送訊號,連回內政部憑證中心去取用個資,也不會留下任何紀錄。並且,晶片設有分區加密保護機制,提供相關服務的機關必需先得到民眾同意與內政部許可才能讀取。內政部也強調,民眾使用New eID的紀錄,會留存於提供服務的機關,但各機關依法不得做「目的外之利用」,因此民眾的隱私會得到充足的保障。
有關New eID的製作,在晶片資安管理的規格方面,是依據ISO 14443及ICAO之國際安全標準規範訂定。每個晶片都會有其專屬識別碼(Unique ID,簡稱UID);負責承製的中央印製廠,會在內政部核可下,以UID資訊記錄卡片的生產履歷,避免晶片外流、盜用或被不當使用,未來亦可用來辨識晶片卡是否是偽變造卡,是重要的管控機制。至於晶片寫入個人資料,則採用ICAO對隱私保護之建議,會啟動隨機亂數序號機制,每次感應都會重新產生隨機亂數,根本無法追蹤晶片的使用軌跡,這與現行晶片護照相同。
從而,內政部認為無論是在資安管理或個人隱私保護,New eID都無懈可擊。至於中央印製廠招標公告所提到的「追蹤」是針對一般製卡生產流程中,系統追蹤卡片生產的作業狀態,為避免文字被外界誤解,將進行更正。
我們認為,儘管內政部認為無論是在資安管理或個人隱私保護,New eID都無懈可擊;但要消除社會大眾疑慮,
應儘速辦理公聽會,邀集正反雙方的意見代表,坦誠溝通,
才能使美事不致成為憾事。
*******************************************
身分證資安疑雲
藍委批追蹤功能如回到戒嚴
中華民國108年9月12日
12:422019/09/12 中時 趙婉淳 、 姚志平
國民黨立委許毓仁上午偕同黨籍立委林麗蟬
、開放文化基金會董事李柏鋒
、資深工程師劉宇庭
、中研院資訊所研究員莊庭瑞等公民團體共同舉行記者。(趙婉淳攝)
預計明年上路的數位身分證(New eID)再掀爭議,
藍委許毓仁今天披露,
內政部標書明確要求廠商製作具有追蹤功能的身分證,
痛批「濫用行政權監控人民行蹤,難道是回到戒嚴時代?」
在內政部說清楚前,將祭出凍結預算反制。
國民黨立委許毓仁(左三)、林麗蟬(右)12日舉行
「數位身分識別證 具備追蹤機制?
內政部暗渡陳倉、大開後門?」記者會。(姚志平攝)
國民黨立委許毓仁上午偕同黨籍立委林麗蟬、開放文化基金會董事李柏鋒、資深工程師劉宇庭、中研院資訊所研究員莊庭瑞等公民團體共同舉行記者,質疑數位身分證恐有資安疑慮。
許毓仁先前就曾披露內政部未經公開評選發了巨額採購給
「中央印製廠」製作數位身分證,質疑程序有重大瑕疵,
今天他再踢爆,內政部標書明載,要求廠商製作具有追蹤功能的數位身分證,大辣辣動用行政權,監控人民行蹤。
許毓仁表示,香港目前換發數位身分證,被質疑為配合全民監控,上週香港眾志秘書長黃之鋒拜會他,直指此舉比中共還要倒退,比香港更糟糕,甚至把台灣降為香港特區,聲援香港反送中的蔡政府,卻大開民主倒車,光天化日下監控人民。
許毓仁激動地說,然而內政部卻澄清是「追蹤卡片生產狀態」,
僅是文字錯誤,砲轟「當我們是3歲小孩耍,根本胡扯」,
可惡至極,呼籲檢調盡速查辦,
監察院也要介入調查並糾正內政部。
許毓仁指出,上會期內政委員會決議,內政部須於本會前開議前,提出戶籍法、電子簽章法、個人資料保護法、晶片安全資安措施等修法草案,如今內政部強行硬幹,藐視國會,合理懷疑選舉操控, 因為上層指導下層要盡速通過新式數位身分證。
國民黨立委林麗蟬質疑,這是否意味回到戒嚴時代,隨時監控國民去哪裡、做什麼,未來內政部發放新式身分證,找不到小孩的家人可請求內政部幫忙,還是民主自由國家嗎?內政部務必說清楚,此設定規範的疑慮和理由,不然絕對會凍結預算。
************************************************
數位身分證資料恐外洩?
內政部:封閉隔離環境製作
中華民國108年9月11日
11:30 2019/09/11 工商 彭媁琳
內政部將於明年10月全面換發數位身分證(簡稱New eID),
遭外界批評 數位身分證上的晶片
可能在製作過程中遭外包廠商洩露個資。
內政部今日重申,New eID是在晶片自行產製私密金鑰,
無法匯出、重製,任何人都無法取得,
並在封閉隔離的環境製作,可確保資安絕對無虞,請民眾放心。
有資安學者認為,數位身分證上的晶片外包給廠商製作,
「私人金鑰」恐被外洩,有心人士就會利用私人金鑰進行網路銀行開戶等不法行為,雖然統包給中央製幣,仍無法防範這個問題。
內政部表示,私密金鑰產製是公開金鑰基礎建設的程序之一,
依據自然人憑證CPS(內政部憑證管理中心憑證作業基準)規範,金鑰對是在通過安全評估共通準則(Common Criteria, CC)國際安全認證的晶片中自行運算產生的,確保其私密金鑰無法匯出、重製,任何人都無法取得該私密金鑰,因此不會有被製卡廠商掌握私密金鑰的情形。
私密金鑰產製時尚未結合個資,且在百分百國營、非私營且絕無中資之中央印製廠安全封閉環境中,由專人執行,確保資訊安全,
其作法與現行自然人憑證相同都是在卡片內產製金鑰對。
內政部指出,New eID 發證系統的建置,只是為了製發數位身分證,是在封閉隔離的製發環境下運作,不會連結網際網路,
且會有嚴格的安全管理與監控機制,能有效防止駭客的攻擊。
另New eID並未儲存或記錄個人地域、人際網絡
或其他數位痕跡等資料,不會有隱私資料外洩的疑慮。
內政部進一步說明,於開發New eID相關系統服務時,亦要求導入安全軟體開發相關原則進行,針對晶片本身、資訊傳輸、感應設備、應用服務等項目上,將委請資安廠商進行檢測,相關程式原始碼在不涉及安全原則的條件下,將開放讓公眾進行檢測,檢測項目包含基本弱點掃描、滲透測試、紅隊演練等,以挖掘出針對New eID與相關服務之各種可能攻擊手法。
除此之外,於New eID發行前,將研議規劃針對New eID晶片卡、讀卡程式、感測設備及相關使用情境等規劃賞金獵人競賽,透過駭客社群驗測New eID相關項目之資訊安全等級和防護能力。
內政部指出,New eID沒有保留全民「數位痕跡」,
民眾使用New eID之紀錄,是留存於提供服務的機關,
其依法不得做「目的外之利用」,內政部也沒有蒐集這些紀錄,
並在保護個資運用的法律框架下,任何目的外之利用,均受到嚴格限制,公、私部門若要使用民眾個人資料,也均受到個人資料保護法的規範,應盡資料保護之責,以嚴密保護民眾隱私及資訊自主權。
在個人隱私、資訊安全的保護方面,透過個人資料保護法、資通安全管理法、電子簽章法等法規,可建構嚴密的保護網,會在這些法律基礎上進行製發及應用,無需再另訂專法。
有關中央印製廠招標公告所載晶片追蹤的議題,
內政部解釋,New eID是一張晶片卡,就像晶片護照、信用卡、健保卡、悠遊卡、手機晶片卡一樣,是不會主動發送訊號,
所以不會洩漏位置,無法追蹤。
中印的招標公告是針對一般製卡生產流程,
系統在追蹤卡片生產的作業狀態,
其文字為避免外界誤解將進行更正。
*******************************************
人權團體要求監院查數位身分證換發
內政部回應了
中華民國108年9月10日
13:33 2019/09/10 中時 張理國
內政部指數位身分證程序嚴謹,重資安,
不需立專法(內政部網站擷圖)
台權會等團體質疑數位身分識別證(簡稱New eID)
疑有程序及隱私問題,
內政部特別澄清,數位身分證程序嚴謹、重資安;
現行紙本身分證辦理服務是否留下紀錄,取決於服務機關,
內政部也未蒐集這些紀錄,將來New eID使用同樣會受嚴格限制;且戶籍法已賦予New eID製發的依據,不需再訂專法。
內政部表示,New eID與紙本身分證一樣,只有身分識別的用途,卡面資料比現行國民身分證更少,防偽功能較現行身分證更高,
晶片資料會透過加密保護,
要民眾同意輸入讀取碼或密碼,才能取用,
且New eID只是單純作為身分辨識的鑰匙,
將國民身分證結合自然人憑證,
民眾可選擇自然人憑證是否停用、復用或廢止,
各機關將來所推出各種的應用服務,民眾也有權選擇要不要使用。
內政部指出,New eID卡面上已有
身分證統一編號、姓名、出生日期及相片等最基礎的個人資料,
查驗國民身分證機關,如依這些資料已足夠確認當事人身分,
便不必使用晶片功能,不會強制要求民眾使用電子化服務。
公、私部門若要使用民眾個人資料,也均受到個人資料保護法的規範,應盡資料保護之責。
內政部說,戶籍法已賦予New eID製發的依據,在個人隱私、資訊安全的保護方面,透過個人資料保護法、資通安全管理法、電子簽章法等法規,可建構綿密的保護網,會在這些法律基礎上進行製發及應用,無需再另訂「專法」。
此外,現行使用紙本身分證辦理任何服務,是否會留下紀錄,均取決於提供服務的機關,其依法不得做「目的外之利用」,內政部也沒有蒐集這些紀錄,將來New eID也是在保護個資運用的法律框架下,任何目的外之利用,均受到嚴格限制,比紙本身分證更保護民眾隱私及資訊自主權。
內政部指出,後續還有New eID的系統面,
這會建置於內政部的安全管理機房中,要等細部規劃完成後,
另對外招標,細部規劃報告正由外部專家學者審查中,
內政部將於審查修正完竣後,適時對外公開,
未來各項作業也將依照細部規劃的內容進行。
對於外界質疑
2017年曾委由政治大學舉行公民審議的會議紀錄被移除網站,
內政部也解釋,公民審議的意見已納入後續的規劃考量,
因時空變遷,實際規劃內容已有調整,為避免民眾混淆,
因此於去年關閉該區網路資料,以確保提供民眾最新正確資訊。
**************************************
數位身分證的個資安全疑慮
中華民國108年9月11日
2019-09-11 23:56聯合報 張鐸/樹德科大副教授(高雄市)
中央印製廠承製數位身分製別證,
外界質疑中央印製廠又發包,
央行回應是依需求購入相關設備及材料,並非「轉包」。
圖/聯合報系資料照片
行政院長蘇貞昌日前核定,
明年十月起換發「數位身分識別證(New eID)」。
但有媒體報導,原訂公開招標,改為限制性招標,
由中央印製廠得標,
後又傳出中央印製廠將「轉包」的疑團。
內政部表示,符合政府採購法規定,而且晶片有多層檢測,
絕無資安疑慮。
行政院長蘇貞昌也說,
「新的身分證非常重要,就像新台幣一樣」。
由此可以看出官員們的資安素養有多低。
民國八十七年,當時政府規畫「國民身分健保合一智慧卡」
(簡稱國民卡),行政院研考會在當年八月十日即已決標完成,
預計民國九十年六月底前完成國民卡換發,
卻遭多位目前仍在職的立委及學者以資安為由強烈抵制,
致胎死腹中,改發行目前的紙本身分證。
當時抵制理由,至今依然存在,就是「私密金鑰」若被駭,則有心人士可藉此取得民眾個資,甚至到網銀開戶、洗錢等嚴重影響民眾權益。若要將個資及私密金鑰交給民間公司,俾利將這些數位資料一一輸入晶片中,則原本需由國家負責保管的全體國民個資及私密金鑰,一旦外洩將如潑出去的水,即使天價的罰金也無法收回。
凡研究資安的人都知道,資安方面出問題的企業,許多都是安裝頂級資安設備,但資安漏洞百分之八十是出自於「人」,主要在於資訊人員倫理不彰或由人所制定的作業流程有邏輯上的瑕疵,過去某銀行ATM被盜領鉅量現金案即是一例。
所以使用資訊系統的「人」,
尤其是有權限蒐集、處理、利用資料的「人」,
才是資安環節最核心的關鍵,
不論未來身分識別證上的晶片有多少層檢測機制也無法防堵。
寄望政府能正視個資安全的嚴肅問題,切勿輕率將責任轉移,讓非政府機關經手全民個資。政府可回顧、審視當年抵制國民卡的理由,奉行自己制定的「電腦處理個人資料保護法」,否則換發IC身分證只會帶來資安浩劫。
---------------------------------------------- 新身分證未刪配偶欄 相關個資加密存晶片
中華民國108年8月26日
2019-08-26 21:09中央社 台北26日電
數位身分證初稿。 聯合報系資料照片/記者賴于榛翻攝
網路謠傳數位身分證將刪除父母、配偶與性別欄,內政部長徐國勇今天表示,這是錯誤訊息,這些欄位並未刪除,而是將這些資料加密後儲存在晶片中,保障民眾的個資。
行政院已通過,數位身分證將結合國民身分證與自然人憑證,
預計明年10月起換發;為保護個資,
卡面將只留下照片、姓名、統一編號、出生日期,
其他資訊儲存在晶片加密區。
FB臉書粉絲專頁「守護台灣」指數位身分證將刪除父母、配偶與性別欄,對此徐國勇晚間在臉書發文表示,「勿輕信錯誤訊息!」
徐國勇指出,新版數位身分證並沒有刪除父母、配偶、性別欄,
而是將這些資料加密後儲存在晶片中,讓民眾的個資更有保障。.
******************************************************
也就是 中華民國台灣 --綠ㄚ想要的
趕在XXX前完成換發 !
只有台灣島 ? 澎湖金馬哩 ???
晶片裡的其他資訊除了父母、配偶、性別欄
還有哪些 ?
*****************************************************
數位身分證很安全?
愛沙尼亞曾遭駭 德國反個資存手機
中華民國108年10月12日
2019-10-12 14:12未來城市@天下 未來城市天下編輯部
內政部宣布自2020年10月起,台灣將發行數位身分證,並預計在兩年內全面換發完成,期待提升數位治理與民眾辦事的便民度。
許多公民團體,如台灣人權促進會提出反對,認為政府在資安保護、資訊自主上配套不足,應謹慎規劃再推行。
其實,全球已有許多國家與地區,使用含有智慧晶片的數位身分證,像是德國、愛沙尼亞、比利時、西班牙等。
愛沙尼亞設全球首座「數位大使館」備份個資
根據國家發展委員會資訊管理處的報告,愛沙尼亞有99%的政府服務都已數位化,除了結婚與離婚須親自辦理登記外,出生登記、電子病歷、稅務、就職、創業、補助申請、駕照換發、就學登記等,都可以透過網路平台,並搭配數位身分證,輸入兩組PIN碼驗證後完成程序。
愛沙尼亞更早在2007年便實施電子投票,成為全球第一個開放全民網路投票的國家;公民即使不在國內,只要憑數位身分證即可上網投票。2014年的歐洲議會選舉中,已有三分之一的愛沙尼亞公民,從98個不同國家上網投票,顯見民眾對於電子投票系統相當信任。
愛沙尼亞並沒有集中的大型中央資料庫,各個公、私部門都有獨自的資料庫,但彼此的資料可藉由通訊協定互相分享。國家資訊基礎架構中的X-Road資料庫,貫穿各個政府與私人企業,個人資料可匯流到X-Road資料庫中,只要民眾授權,不必反覆填寫相同的資料,政府或民間單位就能從X-Road存取各式數位服務。
儘管如此,愛沙尼亞仍在2007年遭受來自俄羅斯的駭客攻擊,導致許多政府網站停擺;後又在2017年,發現部份身分證中的晶片存有安全漏洞,可能造成76萬人的個資遭竊,便緊急停止數位身分證的服務,確認修復漏洞後才重新開放。
幾次被攻擊的慘痛經驗,也促使愛沙尼亞在2018年於盧森堡設置世上第一個「數位大使館」(digital data embassy),備份重要的國民資料如身分證、稅金、年金、不動產、企業登記等,以達到雙重保障。
德國將用手機作身分證與護照
德國在2010年即開始換發數位身分證,並於晶片上存放姓名、生日、照片、指紋等個人資訊,民眾可使用數位身分證做報稅、事務登記等服務,或利用晶片中的電子數位簽章做各式認證。
進行認證時,會要求使用者輸入PIN碼,以確認由本人授權;但在2018年11月,有一組德國研究人員發現系統漏洞,可繞過認證伺服器的保護,並且修改身分證上的姓名與地址,相關單位才緊急修復了這個漏洞。
今年德國政府宣布將與Apple合作,運用Apple iOS13作業系統中的近場無線通信技術(NFC),
將身分證、護照、居留證等資訊整合進iPhone中,
未來民眾可將手機當身分證件使用。
不過一向重視個人隱私安全的德國民眾,對此仍採保留態度;畢竟若手機被偷,等於個人重要資料都外流。
專家憂個資遭濫用
索羅門(Brett Solomon)是捍衛數位權益的非政府組織Access Now的執行董事,他曾在科技媒體WIRED上發表一篇評論,直指:「數位身分證比你想像的還要危險。」擔憂未來太容易取得的個人資訊,將遭嚴重地濫用。
索羅門提倡,數位身分證只需存取最小化的個人資訊,
並且將資訊分放在不同機構,設置嚴格限制的資料讀取權,
並需經過當事人的同意才能授權使用。
索羅門認為,應開放民眾選擇是否使用數位身分證,或保留傳統的紙本文件,這是基本的權益。政府的資料庫使用與資安措施,也應該受到民間單位的監督,甚至加入立法的討論,以從公民的角度提出保障權益的措施。
最後,資料運用的過程應公開透明並留下紀錄,民眾可檢視個人資料在什麼狀況下、被誰取用、做何用途,以確保個人資訊沒有遭到濫用。
從各國的經驗來看,即使是已發行數位身分證多年的國家,仍有遭到駭客攻擊的風險,所以資訊安全的加強應是政府最需重視的事。資安的保障措施永遠不嫌多,公民也應注重個人資訊隱私權,才能安心地享受便利生活。
「全文轉載自未來城市(數位身分證很安全?愛沙尼亞曾遭駭,德國反個資存手機),欲了解更多智慧科技,請上未來城市官網。
*********************************************
工商社論》新式數位身分證(New eID)引發的疑慮
中華民國108年9月16日
04:10 2019/09/16 工商時報 主筆室
國民黨立委許毓仁等人於上周四(9月12日)召開記者會,質疑數位身分識別證(簡稱New eID)有追蹤機制,恐侵害人民隱私。對此,內政部立即澄清,說明New eID不會主動發送訊號,
也不會洩漏位置,更不會蒐集民眾使用軌跡,晶片一旦寫入個人化資料就會啟動亂數序號機制,根本無法追蹤,民眾大可放心。
新式數位身分證的換發,業經行政院8月22日院會通過。新身分證確定保有國旗(許多民眾對此十分關切),預計明(2020)年10月開始全面換發。新身分證增加晶片防偽功能、規劃未來可以綁定手機,不用攜帶實體卡片。新式數位身分證有支援憑證的功能,
民眾可以選擇是否啟用自然人憑證功能;
若啟用自然人憑證功能,就具備了網路身分辨識及電子簽章的功能;可以支援健保與社福、交通監理、育兒津貼、護照簽證、通信傳播、公投連署、就學與教學、防災資料、貿易與產業、工商登記、國民年金、不動產交易、生前契約、稅務與通關、車駕籍資料、勞保等16項服務。
雖然新式數位身分證功能強大,可以給民眾帶來許多方便的服務,但也引發各界對於資訊安全及侵害人民隱私的疑慮。
早於立委許毓仁等人召開記者會之前,台灣人權促進會、民間司法改革基金會、台灣受試者保護協會等民間團體於9月10日共同召開記者會,除要求內政部應立即公開數位身分證細部規劃的報告、完善民主參與的程序外,也宣布將向監察委員陳情,要求監委調查行政機關在推動數位身分證時,是否有程序瑕疵?
並請監委要求行政院、內政部廢棄有程序瑕疵的相關決議、招標案,並追究相關人員的法律責任。
民間團體台灣人權促進會認為僅程序上就至少存在五處爭議:
第一,今年3月招標的「新一代國民身分證規劃案」,
其外部委員全為已退休公務員,
長期身處機關內部的已退休公務員,其公正性讓人無法信任。
第二,規劃案成果迄今仍未公開、討論、修正風險,
卻已逕行在6月辦理33億元的卡片印製招標案,
有以巨額標案綁架全民的嫌疑。
第三,在規劃案尚未公開公告前,
內政部卻已在8月22日,將此案送入行政院院會核定。
第四、內政部全然無視我國個資法規範模糊,而且欠缺主管機關, 在尚未完成法制規範修正之前,
就辦理數位身分證的招標,顯有不當。
第五,內政部於2017年曾委託政治大學團隊舉行公民審議,
然而公民審議的會議紀錄卻在最近這一年由內政部網站移除,
且經民間團體多次請求,至今依然不肯重新上網,
公民審議儼然成為替政策擦脂抹粉的工具。
民間司法改革基金會則認為新式數位身分證將人民的隱私置於高風險的環境之中。該基金會質疑新式數位身分證
到底會蒐集多少個人資料?又將如何使用,
才能發揮「一卡多功」及「帶動創新應用及產業發展」的效果。
當人民不清楚自己的資料會被政府如何使用,自然會產生隱私侵害的疑慮。這些隱私侵害的疑慮,乃源自於內政部在推行數位身分證過程中程序的躁進與不透明。
台灣受試者保護協會表示,行政院推動換發數位身分識別證的政策,攸關人民的隱私權與資訊自主權,
而社會上贊成與反對的意見並未有共識,
卻未見內政部依行政程序法辦理聽證會,或其他的民眾參與機制。
內政部針對各界的疑慮,做了相關的回應。首先強調New eID只具有身分識別功能,是自然人憑證的升級版;晶片內已存有個人的基本資料,使用時跟自然人憑證一樣,不會主動發送訊號,連回內政部憑證中心去取用個資,也不會留下任何紀錄。並且,晶片設有分區加密保護機制,提供相關服務的機關必需先得到民眾同意與內政部許可才能讀取。內政部也強調,民眾使用New eID的紀錄,會留存於提供服務的機關,但各機關依法不得做「目的外之利用」,因此民眾的隱私會得到充足的保障。
有關New eID的製作,在晶片資安管理的規格方面,是依據ISO 14443及ICAO之國際安全標準規範訂定。每個晶片都會有其專屬識別碼(Unique ID,簡稱UID);負責承製的中央印製廠,會在內政部核可下,以UID資訊記錄卡片的生產履歷,避免晶片外流、盜用或被不當使用,未來亦可用來辨識晶片卡是否是偽變造卡,是重要的管控機制。至於晶片寫入個人資料,則採用ICAO對隱私保護之建議,會啟動隨機亂數序號機制,每次感應都會重新產生隨機亂數,根本無法追蹤晶片的使用軌跡,這與現行晶片護照相同。
從而,內政部認為無論是在資安管理或個人隱私保護,New eID都無懈可擊。至於中央印製廠招標公告所提到的「追蹤」是針對一般製卡生產流程中,系統追蹤卡片生產的作業狀態,為避免文字被外界誤解,將進行更正。
我們認為,儘管內政部認為無論是在資安管理或個人隱私保護,New eID都無懈可擊;但要消除社會大眾疑慮,
應儘速辦理公聽會,邀集正反雙方的意見代表,坦誠溝通,
才能使美事不致成為憾事。
*******************************************
身分證資安疑雲
藍委批追蹤功能如回到戒嚴
中華民國108年9月12日
12:422019/09/12 中時 趙婉淳 、 姚志平
國民黨立委許毓仁上午偕同黨籍立委林麗蟬
、開放文化基金會董事李柏鋒
、資深工程師劉宇庭
、中研院資訊所研究員莊庭瑞等公民團體共同舉行記者。(趙婉淳攝)
預計明年上路的數位身分證(New eID)再掀爭議,
藍委許毓仁今天披露,
內政部標書明確要求廠商製作具有追蹤功能的身分證,
痛批「濫用行政權監控人民行蹤,難道是回到戒嚴時代?」
在內政部說清楚前,將祭出凍結預算反制。
國民黨立委許毓仁(左三)、林麗蟬(右)12日舉行
「數位身分識別證 具備追蹤機制?
內政部暗渡陳倉、大開後門?」記者會。(姚志平攝)
國民黨立委許毓仁上午偕同黨籍立委林麗蟬、開放文化基金會董事李柏鋒、資深工程師劉宇庭、中研院資訊所研究員莊庭瑞等公民團體共同舉行記者,質疑數位身分證恐有資安疑慮。
許毓仁先前就曾披露內政部未經公開評選發了巨額採購給
「中央印製廠」製作數位身分證,質疑程序有重大瑕疵,
今天他再踢爆,內政部標書明載,要求廠商製作具有追蹤功能的數位身分證,大辣辣動用行政權,監控人民行蹤。
許毓仁表示,香港目前換發數位身分證,被質疑為配合全民監控,上週香港眾志秘書長黃之鋒拜會他,直指此舉比中共還要倒退,比香港更糟糕,甚至把台灣降為香港特區,聲援香港反送中的蔡政府,卻大開民主倒車,光天化日下監控人民。
許毓仁激動地說,然而內政部卻澄清是「追蹤卡片生產狀態」,
僅是文字錯誤,砲轟「當我們是3歲小孩耍,根本胡扯」,
可惡至極,呼籲檢調盡速查辦,
監察院也要介入調查並糾正內政部。
許毓仁指出,上會期內政委員會決議,內政部須於本會前開議前,提出戶籍法、電子簽章法、個人資料保護法、晶片安全資安措施等修法草案,如今內政部強行硬幹,藐視國會,合理懷疑選舉操控, 因為上層指導下層要盡速通過新式數位身分證。
國民黨立委林麗蟬質疑,這是否意味回到戒嚴時代,隨時監控國民去哪裡、做什麼,未來內政部發放新式身分證,找不到小孩的家人可請求內政部幫忙,還是民主自由國家嗎?內政部務必說清楚,此設定規範的疑慮和理由,不然絕對會凍結預算。
************************************************
數位身分證資料恐外洩?
內政部:封閉隔離環境製作
中華民國108年9月11日
11:30 2019/09/11 工商 彭媁琳
內政部將於明年10月全面換發數位身分證(簡稱New eID),
遭外界批評 數位身分證上的晶片
可能在製作過程中遭外包廠商洩露個資。
內政部今日重申,New eID是在晶片自行產製私密金鑰,
無法匯出、重製,任何人都無法取得,
並在封閉隔離的環境製作,可確保資安絕對無虞,請民眾放心。
有資安學者認為,數位身分證上的晶片外包給廠商製作,
「私人金鑰」恐被外洩,有心人士就會利用私人金鑰進行網路銀行開戶等不法行為,雖然統包給中央製幣,仍無法防範這個問題。
內政部表示,私密金鑰產製是公開金鑰基礎建設的程序之一,
依據自然人憑證CPS(內政部憑證管理中心憑證作業基準)規範,金鑰對是在通過安全評估共通準則(Common Criteria, CC)國際安全認證的晶片中自行運算產生的,確保其私密金鑰無法匯出、重製,任何人都無法取得該私密金鑰,因此不會有被製卡廠商掌握私密金鑰的情形。
私密金鑰產製時尚未結合個資,且在百分百國營、非私營且絕無中資之中央印製廠安全封閉環境中,由專人執行,確保資訊安全,
其作法與現行自然人憑證相同都是在卡片內產製金鑰對。
內政部指出,New eID 發證系統的建置,只是為了製發數位身分證,是在封閉隔離的製發環境下運作,不會連結網際網路,
且會有嚴格的安全管理與監控機制,能有效防止駭客的攻擊。
另New eID並未儲存或記錄個人地域、人際網絡
或其他數位痕跡等資料,不會有隱私資料外洩的疑慮。
內政部進一步說明,於開發New eID相關系統服務時,亦要求導入安全軟體開發相關原則進行,針對晶片本身、資訊傳輸、感應設備、應用服務等項目上,將委請資安廠商進行檢測,相關程式原始碼在不涉及安全原則的條件下,將開放讓公眾進行檢測,檢測項目包含基本弱點掃描、滲透測試、紅隊演練等,以挖掘出針對New eID與相關服務之各種可能攻擊手法。
除此之外,於New eID發行前,將研議規劃針對New eID晶片卡、讀卡程式、感測設備及相關使用情境等規劃賞金獵人競賽,透過駭客社群驗測New eID相關項目之資訊安全等級和防護能力。
內政部指出,New eID沒有保留全民「數位痕跡」,
民眾使用New eID之紀錄,是留存於提供服務的機關,
其依法不得做「目的外之利用」,內政部也沒有蒐集這些紀錄,
並在保護個資運用的法律框架下,任何目的外之利用,均受到嚴格限制,公、私部門若要使用民眾個人資料,也均受到個人資料保護法的規範,應盡資料保護之責,以嚴密保護民眾隱私及資訊自主權。
在個人隱私、資訊安全的保護方面,透過個人資料保護法、資通安全管理法、電子簽章法等法規,可建構嚴密的保護網,會在這些法律基礎上進行製發及應用,無需再另訂專法。
有關中央印製廠招標公告所載晶片追蹤的議題,
內政部解釋,New eID是一張晶片卡,就像晶片護照、信用卡、健保卡、悠遊卡、手機晶片卡一樣,是不會主動發送訊號,
所以不會洩漏位置,無法追蹤。
中印的招標公告是針對一般製卡生產流程,
系統在追蹤卡片生產的作業狀態,
其文字為避免外界誤解將進行更正。
*******************************************
人權團體要求監院查數位身分證換發
內政部回應了
中華民國108年9月10日
13:33 2019/09/10 中時 張理國
內政部指數位身分證程序嚴謹,重資安,
不需立專法(內政部網站擷圖)
台權會等團體質疑數位身分識別證(簡稱New eID)
疑有程序及隱私問題,
內政部特別澄清,數位身分證程序嚴謹、重資安;
現行紙本身分證辦理服務是否留下紀錄,取決於服務機關,
內政部也未蒐集這些紀錄,將來New eID使用同樣會受嚴格限制;且戶籍法已賦予New eID製發的依據,不需再訂專法。
內政部表示,New eID與紙本身分證一樣,只有身分識別的用途,卡面資料比現行國民身分證更少,防偽功能較現行身分證更高,
晶片資料會透過加密保護,
要民眾同意輸入讀取碼或密碼,才能取用,
且New eID只是單純作為身分辨識的鑰匙,
將國民身分證結合自然人憑證,
民眾可選擇自然人憑證是否停用、復用或廢止,
各機關將來所推出各種的應用服務,民眾也有權選擇要不要使用。
內政部指出,New eID卡面上已有
身分證統一編號、姓名、出生日期及相片等最基礎的個人資料,
查驗國民身分證機關,如依這些資料已足夠確認當事人身分,
便不必使用晶片功能,不會強制要求民眾使用電子化服務。
公、私部門若要使用民眾個人資料,也均受到個人資料保護法的規範,應盡資料保護之責。
內政部說,戶籍法已賦予New eID製發的依據,在個人隱私、資訊安全的保護方面,透過個人資料保護法、資通安全管理法、電子簽章法等法規,可建構綿密的保護網,會在這些法律基礎上進行製發及應用,無需再另訂「專法」。
此外,現行使用紙本身分證辦理任何服務,是否會留下紀錄,均取決於提供服務的機關,其依法不得做「目的外之利用」,內政部也沒有蒐集這些紀錄,將來New eID也是在保護個資運用的法律框架下,任何目的外之利用,均受到嚴格限制,比紙本身分證更保護民眾隱私及資訊自主權。
內政部指出,後續還有New eID的系統面,
這會建置於內政部的安全管理機房中,要等細部規劃完成後,
另對外招標,細部規劃報告正由外部專家學者審查中,
內政部將於審查修正完竣後,適時對外公開,
未來各項作業也將依照細部規劃的內容進行。
對於外界質疑
2017年曾委由政治大學舉行公民審議的會議紀錄被移除網站,
內政部也解釋,公民審議的意見已納入後續的規劃考量,
因時空變遷,實際規劃內容已有調整,為避免民眾混淆,
因此於去年關閉該區網路資料,以確保提供民眾最新正確資訊。
**************************************
數位身分證的個資安全疑慮
中華民國108年9月11日
2019-09-11 23:56聯合報 張鐸/樹德科大副教授(高雄市)
中央印製廠承製數位身分製別證,
外界質疑中央印製廠又發包,
央行回應是依需求購入相關設備及材料,並非「轉包」。
圖/聯合報系資料照片
行政院長蘇貞昌日前核定,
明年十月起換發「數位身分識別證(New eID)」。
但有媒體報導,原訂公開招標,改為限制性招標,
由中央印製廠得標,
後又傳出中央印製廠將「轉包」的疑團。
內政部表示,符合政府採購法規定,而且晶片有多層檢測,
絕無資安疑慮。
行政院長蘇貞昌也說,
「新的身分證非常重要,就像新台幣一樣」。
由此可以看出官員們的資安素養有多低。
民國八十七年,當時政府規畫「國民身分健保合一智慧卡」
(簡稱國民卡),行政院研考會在當年八月十日即已決標完成,
預計民國九十年六月底前完成國民卡換發,
卻遭多位目前仍在職的立委及學者以資安為由強烈抵制,
致胎死腹中,改發行目前的紙本身分證。
當時抵制理由,至今依然存在,就是「私密金鑰」若被駭,則有心人士可藉此取得民眾個資,甚至到網銀開戶、洗錢等嚴重影響民眾權益。若要將個資及私密金鑰交給民間公司,俾利將這些數位資料一一輸入晶片中,則原本需由國家負責保管的全體國民個資及私密金鑰,一旦外洩將如潑出去的水,即使天價的罰金也無法收回。
凡研究資安的人都知道,資安方面出問題的企業,許多都是安裝頂級資安設備,但資安漏洞百分之八十是出自於「人」,主要在於資訊人員倫理不彰或由人所制定的作業流程有邏輯上的瑕疵,過去某銀行ATM被盜領鉅量現金案即是一例。
所以使用資訊系統的「人」,
尤其是有權限蒐集、處理、利用資料的「人」,
才是資安環節最核心的關鍵,
不論未來身分識別證上的晶片有多少層檢測機制也無法防堵。
寄望政府能正視個資安全的嚴肅問題,切勿輕率將責任轉移,讓非政府機關經手全民個資。政府可回顧、審視當年抵制國民卡的理由,奉行自己制定的「電腦處理個人資料保護法」,否則換發IC身分證只會帶來資安浩劫。
---------------------------------------------- 新身分證未刪配偶欄 相關個資加密存晶片
中華民國108年8月26日
2019-08-26 21:09中央社 台北26日電
數位身分證初稿。 聯合報系資料照片/記者賴于榛翻攝
網路謠傳數位身分證將刪除父母、配偶與性別欄,內政部長徐國勇今天表示,這是錯誤訊息,這些欄位並未刪除,而是將這些資料加密後儲存在晶片中,保障民眾的個資。
行政院已通過,數位身分證將結合國民身分證與自然人憑證,
預計明年10月起換發;為保護個資,
卡面將只留下照片、姓名、統一編號、出生日期,
其他資訊儲存在晶片加密區。
FB臉書粉絲專頁「守護台灣」指數位身分證將刪除父母、配偶與性別欄,對此徐國勇晚間在臉書發文表示,「勿輕信錯誤訊息!」
徐國勇指出,新版數位身分證並沒有刪除父母、配偶、性別欄,
而是將這些資料加密後儲存在晶片中,讓民眾的個資更有保障。.
******************************************************
沒有留言:
張貼留言