數位身分證的資安疑慮
張鐸／樹德科大副教授（高雄市）

行政院長蘇貞昌日前核定，明年十月起換發「數位身分識別證（New eID）」。但有媒體報導，原訂公開招標，改為限制性招標，由中央印製廠得標，後又傳出中央印製廠將「轉包」的疑團。內政部表示，符合政府採購法規定，而且晶片有多層檢測，絕無資安疑慮。行政院長蘇貞昌也說，「新的身分證非常重要，就像新台幣一樣」。由此可以看出官員們的資安素養有多低。

民國八十七年，當時政府規畫「國民身分健保合一智慧卡」（簡稱國民卡），行政院研考會在當年八月十日即已決標完成，預計民國九十年六月底前完成國民卡換發，卻遭多位目前仍在職的立委及學者以資安為由強烈抵制，致胎死腹中，改發行目前的紙本身分證。

當時抵制理由，至今依然存在，就是「私密金鑰」若被駭，則有心人士可藉此取得民眾個資，甚至到網銀開戶、洗錢等嚴重影響民眾權益。若要將個資及私密金鑰交給民間公司，俾利將這些數位資料一一輸入晶片中，則原本需由國家負責保管的全體國民個資及私密金鑰，一旦外洩將如潑出去的水，即使天價的罰金也無法收回。

凡研究資安的人都知道，資安方面出問題的企業，許多都是安裝頂級資安設備，但資安漏洞百分之八十是出自於「人」，主要在於資訊人員倫理不彰或由人所制定的作業流程有邏輯上的瑕疵，某銀行ATM被盜領鉅量現金案即是一例。所以使用資訊系統的「人」，尤其是有權限蒐集、處理、利用資料的「人」，才是資安環節最核心的關鍵，不論未來身分識別證上的晶片有多少層檢測機制也無法防堵。

「社會工程學」告訴我們，重要的資料、檔案在沒有資訊倫理概念的工程師手中，可以複製成無數的光碟片，然後在保險公司、詐騙集團、網路行銷的族群中兜售，再周延的個資保護法也只不過是亡羊補牢，枉然。

寄望政府能正視個資安全的嚴肅問題，切勿輕率將責任轉移，讓非政府機關經手全民個資。政府可回顧、審視當年抵制國民卡的理由，奉行自己制定的「電腦處理個人資料保護法」，否則換發ＩＣ身分證只會帶來資安浩劫。

數位身分證的資安疑慮
張鐸／樹德科大副教授（高雄市）

行政院長蘇貞昌日前核定，明年十月起換發「數位身分識別證（New eID）」。但有媒體報導，原訂公開招標，改為限制性招標，由中央印製廠得標，後又傳出中央印製廠將「轉包」的疑團。內政部表示，符合政府採購法規定，而且晶片有多層檢測，絕無資安疑慮。行政院長蘇貞昌也說，「新的身分證非常重要，就像新台幣一樣」。由此可以看出官員們的資安素養有多低。

民國八十七年，當時政府規畫「國民身分健保合一智慧卡」（簡稱國民卡），行政院研考會在當年八月十日即已決標完成，預計民國九十年六月底前完成國民卡換發，卻遭多位目前仍在職的立委及學者以資安為由強烈抵制，致胎死腹中，改發行目前的紙本身分證。

當時抵制理由，至今依然存在，就是「私密金鑰」若被駭，則有心人士可藉此取得民眾個資，甚至到網銀開戶、洗錢等嚴重影響民眾權益。若要將個資及私密金鑰交給民間公司，俾利將這些數位資料一一輸入晶片中，則原本需由國家負責保管的全體國民個資及私密金鑰，一旦外洩將如潑出去的水，即使天價的罰金也無法收回。

凡研究資安的人都知道，資安方面出問題的企業，許多都是安裝頂級資安設備，但資安漏洞百分之八十是出自於「人」，主要在於資訊人員倫理不彰或由人所制定的作業流程有邏輯上的瑕疵，某銀行ATM被盜領鉅量現金案即是一例。所以使用資訊系統的「人」，尤其是有權限蒐集、處理、利用資料的「人」，才是資安環節最核心的關鍵，不論未來身分識別證上的晶片有多少層檢測機制也無法防堵。

「社會工程學」告訴我們，重要的資料、檔案在沒有資訊倫理概念的工程師手中，可以複製成無數的光碟片，然後在保險公司、詐騙集團、網路行銷的族群中兜售，再周延的個資保護法也只不過是亡羊補牢，枉然。

寄望政府能正視個資安全的嚴肅問題，切勿輕率將責任轉移，讓非政府機關經手全民個資。政府可回顧、審視當年抵制國民卡的理由，奉行自己制定的「電腦處理個人資料保護法」，否則換發ＩＣ身分證只會帶來資安浩劫。