【2021资安大预测】趋势8：数位身份证｜数位身份证政策不会喊停，但时程和方式将再评估

原订2020年7月，内政部预计将逐年全面换发数位身份证（New eID）的政策，原先已经因为武汉肺炎疫情之故，导致相关设备无法如期抵达台湾，政策因此顺延。但更重要的关键在于，面对数位身份证的应用，许多立委、学者和民间团体共同提出质疑，行政院对于订定数位身份证的专法、资安与隐私保护议题等都存有疑虑的前提下，为何要坚持推出数位身份证的政策呢？

-此举，不仅引发各界不满，连原本预计在今年一月由澎湖县、新北市和新竹市率先推动数位身份证试办的政策，在彼此信任不足的状况下，澎湖县、新北市率先退出试办活动，而最后一个试办县市新竹市，虽然放宽为小规模、自愿申办数位身份证，能在难抵内部压力下，最后仍决定阵前缩手，决定暂缓新竹市数位身份证的小规模试办活动。

行政院院长苏贞昌日前在面对立委质询时也终于松口，强调数位身份证不一定要在2021年7月正式换发，也会邀请资安专家针对数位身份证平台找漏洞，确认没有资安问题后，才会进行全国换发。而行政院秘书长李孟谚接受媒体访问时则强调，数位身份证政策不会中途喊卡，但在推动时程、方式、规模上会重新评估，未来也会透过小规模试办解除民众疑虑后，再大规模推动。

就算没有数位身份证，也可以推动智慧-

其实在马英九-时代，已经有数位身份证的政策推动，当时也引发许多学者的连署反对，相关政策也没有进一步发展。但是，内政部户政司对于推动换发数位身份证的政策，其实一直都没有放弃。

国发会在2018年12月发表“智慧-发展蓝图”中，正式对外公布数位身份识别证是智慧-基础架构，要推动“智慧-”目标，就必须率先完成“全面换发数位身份识别证”及“建立具安全且可信赖的资料交换机制”（T-Road）等基础架构，并预计于2020年启动数位身份证全面换发作业。

为什么要推动智慧-，就一定得要将现有的纸本身份证换成数位身份证呢？从2020年1月爆发武汉肺炎疫情以来，光是以口罩实名制的政策推动来看，就可以发现，许多民众都能以健保卡的芯片卡，作为串连-服务的界面。从这个政策推动的方式也可以证明，要达到智慧-的目标，民众可以便利使用智慧-所提供的服务，即便没有数位身份证，有健保卡，或者是其他可以证明个人身份的工具，例如行动装置等，也可以达到同样的目的。

严格说来，数位身份证只是民众串连智慧-服务的其中一种工具而已，“有，很方便；没有，不妨碍”的情况下，数位身份证就应该只是其中的一种选项而已。

数位身份证原订由新竹市、澎湖县及新北市3个县市小规模试办，但这些地方-陆续退出，于是，2020年12月初内政部宣布新竹市将是唯一试办地区，然而，到了12月底，新竹市也决定暂缓试办。

关于漏洞检测的部分，12月21日内政部在网络公共政策参与平台网站，公布了数位身份识别证赏金猎人活动计划草案。图片来源／内政部

将纸本身份证转变成芯片身份证明文件，并不等于数位身份证

不可讳言，其他世界各国发行的身份证明文件中，已经有许多是朝向发行芯片式身份证明，根据2017年一份调查报告指出，全球已经有82％国家使用芯片卡作为身份证明文件，预估到2021年，采用芯片式身份证明文件的国家，比例将成长到89％。

像是德国、日本或是爱沙尼亚等国，都有推动芯片身份证，但上述有些国家本身，并没有如同台湾一样同时具备身份证字号、足资证明个人身份，且需随身携带的“身份证”。芯片身份证重点在于识别个人身份而已，像是，德国没有身份证字号，日本不强制领芯片身份证，爱沙尼亚虽然有身份证字号，也有芯片身份证，但该国已经有独立的个资保护机关，一旦出现爆发个资外泄或隐私保护疑虑的事件时，有专责的机关出面负责。

台湾的数位身份证其实是将既有的纸本身份证，转换成芯片身份证外加自然人凭证的功能，纸本身份证的防伪功能不足，转换成具有高规格AES-128或AES-256对称式加密算法的芯片身份证，其实是大势所趋。

但若只是把纸本身份证数字化，转变成加密程度较高的芯片身份证，其实可以就芯片卡的规格本身去做各种安全性的讨论即可，数位身份证更多的应用在于，新增自然人凭证的功能在内——虽然换发时，当事人可以选择不启用，或者是申请后再关闭自然人凭证功能，但民众对于芯片身份证和自然人凭证两证合一的资安及应用上，仍有疑虑未解时，推动数位身份证并无法让民众真正安心。

在国家发展委员会制定的服务型智慧-2.0推动计划当中，数位身份证属于基础架构层级的建设，透过这项身份识别机制的普及，可串连-所有服务，之后，也将建立跨机关的资料共享与介接机制T-Road。图片来源／国发会

数位身份证招标过程重硬件、轻软件

这次数位身份证在推动的过程中，也罕见地先完成印制数位身份证的硬件设备发包，更从原本的公开招标转成限制性招标，原本编列40亿元的预算，直接发包一个大采购案，由中央印制厂负责印制并对外招标，最后并由东元电机得标。

不过，数位身份证不只有芯片身份证的识别功能，还有串连其他应用功能的自然人凭证功能，而这次诡异的发包流程，先是40亿元的硬件发包案，没有对外公开相关的规划案，却快速进行硬件设备发包，但真正决定数位身份证会有多好用的后续相关软件标案，整整历经三次的流标，直到第四次，才强迫由中华电信得标。

台湾向来轻软件、重硬件，明明数位身份证最重要的环节，是提供相关的软件功能和API串连的服务，高价的硬件标案早早发包得标，软件标案却像委屈的小媳妇，迟迟无法获得-和业者的垂青，最后不得不由中华电信低价得标，这样的下场将是未来全体民众必须要共同承受的苦果。

建构完善的数位身份证法制基础是推行的关键

数位身份证是纸本身份证数字化加上自然人凭证的结合，因此相对应的法源依据，则来自于纸本身份证法律授权的户籍法，以及自然人凭证的法律授权依据的数位签章法。

不过，户籍法规范国民身份证是用以识别个人身份，电子签章法则是为了规范自然人凭证作为电子文件签署的身份识别之用，而对于结合两者功用的数位身份证，-宣称其存在的目的是为了可以做到跨机关使用，但这样的目的，台湾骇客协会理事王仁甫认为，内政部推动数位身份证的作法，已经逾越单一户籍法或电子签章法的法律授权范围，以及资料收集的目的。

而数位身份证之后须透过T-Road平台，与-各个部门进行各种个资存取和服务串连，同时，也必须符合个资法的规范，王仁甫认为，如果数位身份证要真正做到有完整的法律授权，应该要制定数位身份证专法，或者是在现有的法律中，另外制定数位身份专章，力求法律授权的完整性。

中研院院士李德财则表示，内政部在推动数位身份证New eID计划时，在缺乏完整的法制规范基础，加上各种包括芯片卡、读卡机、系统面、平台和API等资安考量未完备，也没有独立的个资主管机关下，强推数位身份证成了问题所在。

李德财也认为，尽早完备法制基础、确立个资主管机关，加上针对-具有法规监理的服务项目，提供民众小规模而非地域性的试行-规划的T-Road，进而提升民众的信任度，也有助于-逐步完善推动数位身份证政策的不足之处。