【參與式前瞻】確立數位專法規範,挽救拙劣的「數位身分證」發行

【參與式前瞻】確立數位專法規範,挽救拙劣的「數位身分證」發行
Photo Credit: Ministry of the Interior

我們想讓你知道的是

政府需要了解,並不是臺灣人不想用數位身分證,而是他們不信任目前政府保障數位身分證資安的方式,他們認為政府沒有聽到他們的擔憂。現在該是政府開始傾聽的時候了。

文:鄞義林(台大風險中心助理研究員)

台灣運用數位資源抗「疫」受到不少讚揚,但是,政府掌握這些大量個資雖有助於應對疫情,卻也令人不安

近期最明顯的例子,正是圍繞在數位身分證推行計畫的爭議。在台灣大學風險社會與政策研究中心(台大風險中心)最近舉辦的工作坊上,聚集了來自新創企業的創辦人、科技業專業人員以及數位隱私倡議者們,一起討論台灣如何克服因數位身分證計畫突顯出來的對資料蒐集隱私保護的不信任。

簡而言之,人們並不反對政府出於公益目的使用資料,他們也意識到這對防疫的功效,他們反對的是資料使用缺乏透明與監督。

本文重點介紹了工作坊參與者提出的台灣當前資料蒐集制度的問題和解決方案。

台灣「智慧政府推動計畫」進展緩慢

過去幾年,台灣啟動了許多數位策略,例如「數位國家‧創新經濟發展方案(2017-2025年)」,此後還制定了「智慧政府行動方案」。

儘管行政院於2019年1月批准了該行動方案,但工作坊的參與者指出,即使在兩年之後,仍然缺乏對資料使用和蒐集的監督以及跨部會數位協調,特別是行動計畫所包含的數位身分證。

數位身分證將整合健保卡和駕照中的資料,也可串連各種政府資料庫。但是,尚不清楚如何確保這些資料安全。

政府的保證讓人不滿

內政部對於數位身分證絕對安全一再保證令人困惑。在回答有關隱私的問題時,內政部表示,數位身分證將僅用作身分辨識,而非資料儲存,並且其「數位身分識別證卡面個資規劃比現行紙本國民身分證少」。這種回答閃躲了問題的癥結:缺乏監管。

儘管政府堅稱晶片不會在中國生產,但由中研院法律學研究所研究員兼資訊法中心主任邱文聰領導的國民身分證與身分識別政策建議書研議小組的法律專家指出:「晶片身分證的資訊安全性嚴重不足,內政部目前只強調『晶片製造』上的安全,卻無視『晶片設計』、『晶片作業系統與應用程序開發』、『晶片寫入設備』、「資訊應用軟體」等均為外包,因此存在系統與軟體安全風險」。

政策規劃缺乏公眾諮詢

去年4月,有超過百位的公民、學者、專家、非政府組織、政黨等,簽署了台灣人權促進會發起的連署,呼籲政府暫緩數位身分證的換發作業。

該份連署呼籲政府「針對晶片身分證可能帶來的風險,應先透過明確的立法或修法予以避免後,再確認本次換發作業的全貌」,而這項立法應類似於「歐盟通用資料保護規則」(General Data Protection Regulation, GDPR)。

工作坊的參與者建議政府採用GDPR作為資料監督的標準。但是,台灣與歐盟的GDPR適足性認定還在談判中。數位政委唐鳳解釋說,台灣缺乏獨立的資料保護機構是阻礙其參與GDPR的主要原因。

不僅如此,就連執政的民進黨的立法委員都說:「在建立數位相關法律專章及設立獨立專責個資保護機關前,相關計畫必須暫緩,以保護全民個資安全為優先」。

數位身分證需要新的治理方法

開放知識基金會台灣代表徐子涵說:在台灣,沒有任何一個機構負責監督資料隱私安全,因此導致資料是由各個機關零散管理的。這意味著企業無法前往一個中央機構來檢查資料使用的合法性。

儘管唐鳳在2020年7月表示她將在下個立法院會期上提議建立這樣的機構,但徐子涵指出,根據政府官員的說法,該機構仍將歸新數位發展部管轄,因此將缺乏獨立的監督。

公民團體還強調,德國和愛沙尼亞等其他國家也制定了嚴格的法律,規範數位身分證的儲存資料類型。台灣大學生醫電資所資訊組研究生何明洋說:「都有好幾條專法在背後支撐,而且不論罰則與申請事項,都有明確的法律規範」。

例如,工作坊的一位參與者也強調,在愛沙尼亞創建的國家資料管理系統下,所有公共資料庫均受法律規範。事實上,台灣也有一個T-Road系統,其功能與愛沙尼亞的跨資料庫集成系統類似,但少有人知道此系統的建立及運作方式。

8E5022FE-92E1-4A97-9B93-00AE8C461B67-102
Photo Credit: 國發會
T-Road資料傳輸通道

必須加強跨機構合作

正是政府對資料保護輕描淡寫的態度,使工作坊參與者們強調監督政府使用個人資料的專法規範不應免除。

實際上,參與者還建議,應要求政府提供類似於谷歌臉書發布的透明度報告,並制訂類似於臉書推特的服務條款,以便用戶了解其資料的使用方式。儘管這些工具並不完美,但它們可以作為更有效的監督機制的發展基礎。數位公司和政府之間在隱私保護工具上的互惠合作能促進這些機制的發展。

工作坊的參與者建議設立兩個獨立的專責機關以監督資料保護。一個類似於國家通訊傳播委員會,保障資料保護和透明度,另一個類似於行政院消費者保護會,以調查處理有關資料不當或非法使用的申訴和報告。

此外,參與者指出,跨部門協調至關重要,因為各部會不同的資料策略混亂且不利於公眾參與。正如數位身分證爭議所顯示,內政部和國家發展委員會等多個機關單位各自參與不同的發展面向。

參與者還指出,數位化策略不僅涉及為蒐集資料而創建資料庫,而且還應理解資料蒐集與公共目的的關連。在數位化、資料保護和隱私安全需求的新時代,也需要新的知識領域,並且政府需要認知到一個事實:政府無法自行單獨解決所有問題,應該讓公民在制訂政策時發揮更大的作用。

來自台灣的開源社群——開放文化基金會的提案,就是一個公眾參與的好例子,他們建議數位身分證應「開放存取系統之原始碼,公眾監督取信於民。匯集學界、產界各方力量檢視安全性,避免系統遭單一廠商壟斷或留後門」。

數位身分證以外的資料規範

風險中心工作坊的參與者還指出,缺乏這樣的資料規範也會影響其他部門。

例如,據一位從事資料庫建設的參與者稱,台灣食品業缺乏資料標準化也導致資料蒐集不全。儘管有規範要求食品公司蒐集資料,但未指定需要蒐集的資料類型,對於如何構建資料庫,也沒有任何規定,導致公司為了削減成本而更改資料庫,或僅使用筆和紙手動收集資料。

儘管如此,參與者還意識到有必要在食品安全資料蒐集與食品公司資料隱私之間取得平衡。因此,應針對企業對消費者和企業對企業訂定不同的規範,以保護商業機密。

新式數位身分證 1020x600_675946491087
Photo Credit: 內政部

幸運的是,人們日益察覺到,缺乏資訊連結是台灣數位轉型和產業發展策略的一個漏洞。在去年12月舉行的第11次全國科學技術會議上,趨勢科技執行長陳怡樺強調說,公司部門間缺乏資訊連結,使黑客易於通過零散的系統滲透公司的資訊系統,威脅網路安全。

參與者討論出了一些解決方案,包括在政府審查研究經費或採購時,將加強資料庫系統納入評估。

放眼大局:透明度和公民參與的必要性

可以這麼說,台灣人反對的並不是數位身分證,而是政府不透明的黑箱作業方式。

對於原計畫在新竹試辦數位身分證,台灣人權促進會秘書長施逸翔表示:「一直無法清楚說明這項政策的完整樣貌,一直處於所謂的『滾動式檢討』中,內政部不尊重新竹市民的公民主體性,堅持推一個沒有法律授權的政策,新竹市民自願買單就好」。

如果政府能在2016年數位身份證計畫啟動早期就進行了開放和參與式諮詢程序,就可以避免此問題,這是許多觀察家的共同看法

實際上,工作坊的參與者是務實的,他們很清楚,只要資料在網路上,就不可能有完全的隱私。因此,他們倡議的並非完全沒有討論餘地的終極隱私,而是當前的法律規範無法確保數位身分證有足夠的隱私安全。唐政委也承認缺乏獨立的監督,有礙台灣實現歐盟GDPR的要求。

自2016年宣布數位身分證推行計畫以來,已經花了五年時間。想像一下,如果公民參與做得好且適當納入公眾反饋。如果政府願意聽取意見,今天耗在連署請願、記者會和集體訴訟上的時間,可能得以轉而花在與參與者進行更富有成效的討論上。

唐鳳:疫情期間晶片化身分證件使用率增逾10倍
Photo Credit: 中央社

最後,政府需要了解,並不是台灣人不想用數位身分證,而是他們不信任目前政府保障數位身分證資安的方式,他們認為政府沒有聽到他們的擔憂。現在該是政府開始傾聽的時候了。

鑑於處理資料安全的新管制框架的複雜性,數位身分證的發展過程提供政府學習納入公民參與的珍貴機會。如果政府在推出數位身分證之前可以採取公民參與的全新思維,它會是將來民主實踐的模範。

(本文原文為〈Digital Regulation Could Have Saved Taiwan’s Botched eID〉,由許令儒譯校)

延伸閱讀

責任編輯:丁肇九
核稿編輯:翁世航


Tags: