本預計2020年換發,新版數位身分證設計亮點
為更換使用已超過十幾年的身分證樣式,內政部為此研擬晶片國民身分證換發計畫,希望能將自然人憑證與國民身分證做出結合,並於2018年初發起「身分證明文件再設計」徵選投票活動,而最終由設計師魯少綸的作品「形|SHAPE」從1,109件投稿中脫穎而出,獲評審青睞奪下設計獎。
「形|SHAPE」為何脫穎而出?評審認為其將設計藏在細節中,透過設計將版面梳理整潔,且欄位具有足夠延展性,易配合姓名長度調整,在雙語排版上亦明瞭易讀,具有高度實行可行性。而過往常見且直白的台灣島圖形,則進一步以台灣玉山山脈高線圖用隱約的底紋作為詮釋。內政部也表示這款設計相當前衛又具現代性,並不置入過多風格,亦無性別、文化上偏好,充分構成國民身分證的理想條件。
新式身分證的設計雖並不與「形|SHAPE」的作品全然一致,但樣式確實是以該作品做為參考。正反面的卡面圖紋設計採用台灣玉山山脈的等高線圖,有防偽效果,正面右方則是持卡人的大頭貼照。而國旗標誌則出現在卡片正面的左上角;下側為台灣全島型狀的光影變化箔膜,亦作為防偽用。
一張小小的晶片數位身分證,為何掀起逾2,000位的中研院學者、大學教授及資安從業人員連署反對換發?以下為《數位時代》2021年6月採訪報導:
過去政府單位曾形容,數位身分證就像一把開啟政府各項線上服務的「萬能鑰匙」,推動台灣朝向數位國家、智慧政府發展。參與內政部進行數位身分證測試任務的台科大資安中心主任查士朝表示,原本政府只是單純想發一張有自然人憑證的身份證,但後來將T-Road(政府機關資料交換與介接機制)納入,又想整合駕照、健保卡等一卡多用功能,「政府野心太大了,一但這把萬能鑰匙出問題,後面衍生的問題就會很多。」
雖然內政部長徐國勇曾說,「卡片的晶片是台積電做的」,請大家安心,但民眾黨立委高虹安指出,數位身分證會產生的資安問題,不是只有晶片本身,背後還牽涉到後端的資料庫、讀取系統,以及傳送民眾個資的過程及保存,都需考量資安風險。
資安面防駭能力不足、應用面不夠便利,數位身分證的2大困難
回顧身分證發展史,現在人手一張的第六代身分證為2006年換發,但防偽造保固早在2016年已過期,2017年政府著手規畫換發第七代身分證——數位身分證,並從紙本接軌到國際潮流的晶片身分證。
晶片身分證的防駭能力,首先受到專家挑戰。查士朝表示,數位身分證的晶片技術行之多年,要被攻破不是容易的事,但晶片有NFC(近距離無線通訊技術)功能,無線讀取確實有風險。
在內政府規畫的數位身分證,晶片內個人資料分成4區保護,分別是戶籍地區、公開區、加密區、自然人憑證區,前兩區開放插卡及感應讀取,後兩區僅能插卡讀取。
在「公開區」存有姓名、統一編號、出生日期、戶籍地址等資料,透過輸入卡號或機讀碼即可讀取個資,且無連錯3次鎖卡的保護機制,「當駭客只要用超強功率的無線電,透過暴力破解,就可以知道你家裡住哪裡、叫什麼名字,這是蠻高的資安風險。 」查士朝經重重測試,才發現此漏洞,不過要一般人要破解沒這麼容易,光是取得設備可能就需要數百萬元以上。
在國外,即便是全球數位身分證典範國愛沙尼亞,2007年曾受到俄羅斯駭客的大規模攻擊,導致當時政府、銀行及許多網站停擺;德國也不例外,2018年被資安業者發現,數位身分證的線上驗證程序有漏洞,駭客可以假冒他人身分存取網路服務。
第二個問題在應用與系統設計的摩擦。
查士朝提到,由於銀行需KYC驗證(Know Your Customer,認識你的客戶),需要出生地資料,若是代繳父母保費,還要身份證配偶資料,但這些資料都存在晶片內「加密區」,必須插卡讀取,無法感應讀取。這意味過去翻開身分證就可驗證的資料,但變成數位身分證後,只能臨櫃插卡讀取,「若不用手機,哪叫什麼先進的技術?」查士朝說。
不只如此,加上開發程式需要時間,甚至是無法使用手機感應讀取,都對金融業產生頗大的衝擊,無法達到公私部門合作的效果。
解方:先建立資安風險框架與信任基礎
未來若還要繼續推動數位身分證,KPMG安侯數位智能風險顧問公司董事總經理謝昀澤建議,導入歐盟的資料隱私衝擊分析(Data Protection Impact Assessment,DPIA),在做數位推動時,應先設計資安加隱私保護的架構,再去設計系統、實測並上線,而不是先開規格,才加入加密、防火牆等設計,先具有邏輯性資安風險分析的方法與架構,才能在該框架下做資安評估討論,否則資安的問題永遠討論不完。
高虹安則認為,數位身分證引發的資安風暴,最大的問題在於社會對這件事缺乏了解與信任,以及政府官員對資安的了解不足。目前無論公、私部門,在資安的人才培養及資源都是供不應求的狀態,「光公部門的資安人力缺口就高達1.000多位。」高虹安說,資訊安全應被政府視為基礎的數位建設,而不是case by case來做。
數位身分證就像一個天秤,一方面訴求便利性,另一面有資料外洩的隱憂,政府如何扮演好服務提供者令民眾放心,以及展現公私合力協作,都是接下來值得思考的方向。
