澄清數位身分證資安疑慮!內政部掛保證:絕對安全
針對有學者擔心數位身分識別證(簡稱New eID)有資安疑慮,內政部11日澄清,New eID是在晶片自行產製私密金鑰,無法匯出、重製,任何人都無法取得,並在封閉隔離的環境製作,可確保資安絕對無虞,請民衆放心。
內政部表示,私密金鑰產製是公開金鑰基礎建設的程序之一,依據自然人憑證CPS(內政部憑證管理中心憑證作業基準)規範,金鑰對是在通過安全評估共通準則(Common Criteria, CC)國際安全認證的晶片中自行運算產生的,確保其私密金鑰無法匯出、重製,任何人都無法取得該私密金鑰,因此不會有被制卡廠商掌握私密金鑰的情形。
內政部說明,私密金鑰產製時尚未結合個資,且在百分百國營、非私營且絕無中資之中央印製廠安全封閉環境中,由專人執行,確保資訊安全,其作法與現行自然人憑證相同都是在卡片內產製金鑰對。
內政部指出,New eID 發證系統的建置,只是爲了制發數位身分證,是在封閉隔離的制發環境下運作,不會連結網際網路,且會有嚴格的安全管理與監控機制,能有效防止駭客的攻擊。另New eID 並未儲存或記錄個人地域、人際網絡或其他數位痕跡等資料,不會有隱私資料外泄的疑慮。
內政部進一步說明,開發New eID 相關係統服務時,要求導入安全軟體開發相關原則進行,針對晶片本身、資訊傳輸、感應設備、應用服務等項目上,將委請資安廠商進行檢測,相關程式原始碼在不涉及安全原則的條件下,將開放讓公衆進行檢測,檢測項目包含基本弱點掃描、滲透測試、紅隊演練等,以挖掘出針對New eID與相關服務之各種可能攻擊手法。
針對所謂「數位痕跡」,內政部迴應,民衆使用New eID之紀錄,是留存於提供服務的機關,其依法不得做「目的外之利用」,內政部也沒有蒐集這些紀錄,並在保護個資運用的法律框架下,任何目的外之利用,均受到嚴格限制,公、私部門若要使用民衆個人資料,也均受到個人資料保護法的規範,應盡資料保護之責,以嚴密保護民衆隱私及資訊自主權。
在個人隱私、資訊安全的保護方面,內政部強調,透過個人資料保護法、資通安全管理法、電子簽章法等法規,可建構嚴密的保護網,會在這些法律基礎上進行制發及應用,無需再另訂專法。
有關中央印製廠招標公告所載晶片追蹤的議題,內政部解釋,New eID是一張晶片卡,就像晶片護照、信用卡、健保卡、悠遊卡、手機晶片卡一樣,是不會主動發送訊號,所以不會泄漏位置,無法追蹤。中印的招標公告是針對一般制卡生產流程,系統在追蹤卡片生產的作業狀態,其文字爲避免外界誤解將進行更正。