這半年多來,由臺灣人權促進會領頭的社會團體,包括軟體自由協會與開放文化基金會等自由軟體社群,一再呼籲政府單位暫停推動數位身份證(eID)的換發作業,並對資安等面向做更全面的檢視。大家可以參考以下兩個連署網頁:
臺灣人權促進會:【連署】反對全面換發晶片身分證
開放文化基金會:支持修法與公開數位晶片身分證規劃資訊
昨天內政部宣布因武漢肺炎(COVID-19)疫情影響,原訂今年10月要開始換發數位身分證的時程將延後,並視國內外疫情狀況等而定。
在內政部的新聞(如上連結)中,我們想提出幾個地方來做簡短的探討。
不過,目前內政部戶政司只表明因疫情衝擊暫緩數位身分證的時程,對於外界關心的資安議題,他們仍是指出過去一再強調的面向,例如,民眾可以自由選擇數位身分證是否要附加自然人憑證,若是民眾不附加,就不會有相關電子簽章功能,即使附加也可隨時決定停用與復用,或是廢止憑證功能。因此,他們認為這種自主決定的方式,這應可免去部分民眾的疑慮。
較特別的是,在這次發布的訊息中,對於如何確保數位身分證的資安,內政部戶政司提出了兩大說明,包括解釋晶片的安全性,並特別公開程式原始碼。
【略】
同時,這次公告中也說明其核心程式,將交由行政院資安處指定團隊進行資安檢測,並且不會在一開始就要全國民眾全面換發,而是在部分縣市先小規模試行,並透過獎勵計畫讓民間測試。
最後,內政部戶政司則是對民眾喊話,強調數位身分證只是將現行紙本身分證轉換為卡式,自然人憑證的結合也讓民眾有選擇性,相關使用記錄將不會傳至內政部或憑證管理中心,只會存放於民眾所使用的機關,希望民眾能放心,不會被政府掌控民眾的數位足跡。但是,他們這次並未對反對全面換發晶片身分證連署的訴求,以及外界的其他資安疑慮,做出新的回應。
在這兩段文字稿中,我們可以看到幾點:
- 臺灣人權促進會的訴求中,第一條訴求就是「必須保留『無晶片身份證』」的選項,明顯內政部不打算回應。
- 內政部戶政司「解釋晶片的安全性,並特別公開程式原始碼」。然而下方提到的這次公告中的說明是,「其核心程式將交由行政院資安處指定團隊進行資安檢測」。
- 內政部戶政司喊話,「相關使用記錄將不會傳至內政部或憑證管理中心,只會存放於民眾所使用的機關,希望民眾能放心,不會被政府掌控民眾的數位足跡。」但是,「他們這次並未對反對全面換發晶片身分證連署的訴求,以及外界的其他資安疑慮,做出新的回應。」
在新聞與公告中,我們尚不知道內政部戶政司的「公開程式原始碼」是「(只)讓行政院資安處指定團隊進行資安檢測」,還是真正「以開放原始碼授權釋出」。如果並非後者,我們必須指出,在協會所倡議的「用人民納稅錢所建立、採購的軟體與資訊系統,必須自由軟體授權公開釋出」(英文為 "Public Money, Public Code", 即本文標題中的 PMPC)中強調,公部門建置的系統必須採用自由軟體授權並開放源碼的理由,並不是單純「讓資安團隊檢視是否有後門」而已。PMPC 政策的重點包括:
- 以開源授權釋出,讓包含民間甚至全世界的相關專家都能檢視,攤在陽光下是取得信任的最好方式。
- 以開源授權釋出,讓包含民間甚至全世界的相關專家都能檢視,若有任何問題,不需要等待原始開發團隊,一般民間臥虎藏龍之士即可提出修補讓開發團隊檢視。
- 以開源授權釋出,讓其他單位甚至其他國家可以比照參考,在需要建立相同系統時,不需要重新開發,節省大量公帑;原始開發團隊的功蹟也可以因此大幅度擴散。甚至有其他團隊提出創新功能時,也能在開源授權的規範下,確保原始系統可以得到相同的益處。
本次內政部戶政司的公告,其實並沒有解決上面兩個連署所提出的疑慮,也尚稱不上符合協會所推動的 PMPC 政策希望帶來的效益。我們要不斷地呼籲政府與立法單位,我們只要將 PMPC 政策立法,內政部根本不需要不斷喊話強調要民眾有信心,相關紀錄不會被傳到哪裡云云;因為開放源碼授權即提供了讓更多有能力的人檢視並認證的效果。若只是「其核心程式將交由行政院資安處指定團隊進行資安檢測」,那是沒有太大作用的。Zoom 所帶來的爭議與殷鑑尚不遠,不是嗎?