【參與式前瞻】確立數位專法規範，挽救拙劣的「數位身分證」發行

文：鄞義林（台大風險中心助理研究員）

台灣運用數位資源抗「疫」受到不少讚揚，但是，政府掌握這些大量個資雖有助於應對疫情，卻也令人不安。

近期最明顯的例子，正是圍繞在數位身分證推行計畫的爭議。在台灣大學風險社會與政策研究中心（台大風險中心）最近舉辦的工作坊上，聚集了來自新創企業的創辦人、科技業專業人員以及數位隱私倡議者們，一起討論台灣如何克服因數位身分證計畫突顯出來的對資料蒐集隱私保護的不信任。

簡而言之，人們並不反對政府出於公益目的使用資料，他們也意識到這對防疫的功效，他們反對的是資料使用缺乏透明與監督。

本文重點介紹了工作坊參與者提出的台灣當前資料蒐集制度的問題和解決方案。

台灣「智慧政府推動計畫」進展緩慢

過去幾年，台灣啟動了許多數位策略，例如「數位國家‧創新經濟發展方案（2017-2025年）」，此後還制定了「智慧政府行動方案」。

儘管行政院於2019年1月批准了該行動方案，但工作坊的參與者指出，即使在兩年之後，仍然缺乏對資料使用和蒐集的監督以及跨部會數位協調，特別是行動計畫所包含的數位身分證。

數位身分證將整合健保卡和駕照中的資料，也可串連各種政府資料庫。但是，尚不清楚如何確保這些資料安全。

政府的保證讓人不滿

內政部對於數位身分證絕對安全的一再保證令人困惑。在回答有關隱私的問題時，內政部表示，數位身分證將僅用作身分辨識，而非資料儲存，並且其「數位身分識別證卡面個資規劃比現行紙本國民身分證少」。這種回答閃躲了問題的癥結：缺乏監管。

儘管政府堅稱晶片不會在中國生產，但由中研院法律學研究所研究員兼資訊法中心主任邱文聰領導的國民身分證與身分識別政策建議書研議小組的法律專家指出：「晶片身分證的資訊安全性嚴重不足，內政部目前只強調『晶片製造』上的安全，卻無視『晶片設計』、『晶片作業系統與應用程序開發』、『晶片寫入設備』、「資訊應用軟體」等均為外包，因此存在系統與軟體安全風險」。

政策規劃缺乏公眾諮詢

去年4月，有超過百位的公民、學者、專家、非政府組織、政黨等，簽署了台灣人權促進會發起的連署，呼籲政府暫緩數位身分證的換發作業。

該份連署呼籲政府「針對晶片身分證可能帶來的風險，應先透過明確的立法或修法予以避免後，再確認本次換發作業的全貌」，而這項立法應類似於「歐盟通用資料保護規則」（General Data Protection Regulation, GDPR）。

工作坊的參與者建議政府採用GDPR作為資料監督的標準。但是，台灣與歐盟的GDPR適足性認定還在談判中。數位政委唐鳳解釋說，台灣缺乏獨立的資料保護機構是阻礙其參與GDPR的主要原因。

不僅如此，就連執政的民進黨的立法委員都說：「在建立數位相關法律專章及設立獨立專責個資保護機關前，相關計畫必須暫緩，以保護全民個資安全為優先」。

數位身分證需要新的治理方法

開放知識基金會台灣代表徐子涵說：在台灣，沒有任何一個機構負責監督資料隱私安全，因此導致資料是由各個機關零散管理的。這意味著企業無法前往一個中央機構來檢查資料使用的合法性。

儘管唐鳳在2020年7月表示她將在下個立法院會期上提議建立這樣的機構，但徐子涵指出，根據政府官員的說法，該機構仍將歸新數位發展部管轄，因此將缺乏獨立的監督。

公民團體還強調，德國和愛沙尼亞等其他國家也制定了嚴格的法律，規範數位身分證的儲存資料類型。台灣大學生醫電資所資訊組研究生何明洋說：「都有好幾條專法在背後支撐，而且不論罰則與申請事項，都有明確的法律規範」。

例如，工作坊的一位參與者也強調，在愛沙尼亞創建的國家資料管理系統下，所有公共資料庫均受法律規範。事實上，台灣也有一個T-Road系統，其功能與愛沙尼亞的跨資料庫集成系統類似，但少有人知道此系統的建立及運作方式。

Photo Credit: 國發會

必須加強跨機構合作

正是政府對資料保護輕描淡寫的態度，使工作坊參與者們強調監督政府使用個人資料的專法規範不應免除。

實際上，參與者還建議，應要求政府提供類似於谷歌和臉書發布的透明度報告，並制訂類似於臉書和推特的服務條款，以便用戶了解其資料的使用方式。儘管這些工具並不完美，但它們可以作為更有效的監督機制的發展基礎。數位公司和政府之間在隱私保護工具上的互惠合作能促進這些機制的發展。

工作坊的參與者建議設立兩個獨立的專責機關以監督資料保護。一個類似於國家通訊傳播委員會，保障資料保護和透明度，另一個類似於行政院消費者保護會，以調查處理有關資料不當或非法使用的申訴和報告。

此外，參與者指出，跨部門協調至關重要，因為各部會不同的資料策略混亂且不利於公眾參與。正如數位身分證爭議所顯示，內政部和國家發展委員會等多個機關單位各自參與不同的發展面向。

參與者還指出，數位化策略不僅涉及為蒐集資料而創建資料庫，而且還應理解資料蒐集與公共目的的關連。在數位化、資料保護和隱私安全需求的新時代，也需要新的知識領域，並且政府需要認知到一個事實：政府無法自行單獨解決所有問題，應該讓公民在制訂政策時發揮更大的作用。

來自台灣的開源社群——開放文化基金會的提案，就是一個公眾參與的好例子，他們建議數位身分證應「開放存取系統之原始碼，公眾監督取信於民。匯集學界、產界各方力量檢視安全性，避免系統遭單一廠商壟斷或留後門」。

數位身分證以外的資料規範