移至主內容

從臺灣數位身份證(eID)看 PMPC 政策的重要性

Submitted by SLAT.tw on

這半年多來,由臺灣人權促進會領頭的社會團體,包括軟體自由協會開放文化基金會等自由軟體社群,一再呼籲政府單位暫停推動數位身份證(eID)的換發作業,並對資安等面向做更全面的檢視。大家可以參考以下兩個連署網頁:

臺灣人權促進會:【連署】反對全面換發晶片身分證

開放文化基金會:支持修法與公開數位晶片身分證規劃資訊

昨天內政部宣布因武漢肺炎(COVID-19)疫情影響,原訂今年10月要開始換發數位身分證的時程將延後,並視國內外疫情狀況等而定。

在內政部的新聞(如上連結)中,我們想提出幾個地方來做簡短的探討。

不過,目前內政部戶政司只表明因疫情衝擊暫緩數位身分證的時程,對於外界關心的資安議題,他們仍是指出過去一再強調的面向,例如,民眾可以自由選擇數位身分證是否要附加自然人憑證,若是民眾不附加,就不會有相關電子簽章功能,即使附加也可隨時決定停用與復用,或是廢止憑證功能。因此,他們認為這種自主決定的方式,這應可免去部分民眾的疑慮。

較特別的是,在這次發布的訊息中,對於如何確保數位身分證的資安,內政部戶政司提出了兩大說明,包括解釋晶片的安全性,並特別公開程式原始碼。

【略】

同時,這次公告中也說明其核心程式,將交由行政院資安處指定團隊進行資安檢測,並且不會在一開始就要全國民眾全面換發,而是在部分縣市先小規模試行,並透過獎勵計畫讓民間測試。

最後,內政部戶政司則是對民眾喊話,強調數位身分證只是將現行紙本身分證轉換為卡式,自然人憑證的結合也讓民眾有選擇性,相關使用記錄將不會傳至內政部或憑證管理中心,只會存放於民眾所使用的機關,希望民眾能放心,不會被政府掌控民眾的數位足跡。但是,他們這次並未對反對全面換發晶片身分證連署的訴求,以及外界的其他資安疑慮,做出新的回應。

在這兩段文字稿中,我們可以看到幾點:

  1. 臺灣人權促進會的訴求中,第一條訴求就是「必須保留『無晶片身份證』」的選項,明顯內政部不打算回應。
  2. 內政部戶政司「解釋晶片的安全性,並特別公開程式原始碼」。然而下方提到的這次公告中的說明是,「其核心程式將交由行政院資安處指定團隊進行資安檢測」。
  3. 內政部戶政司喊話,「相關使用記錄將不會傳至內政部或憑證管理中心,只會存放於民眾所使用的機關,希望民眾能放心,不會被政府掌控民眾的數位足跡。」但是,「他們這次並未對反對全面換發晶片身分證連署的訴求,以及外界的其他資安疑慮,做出新的回應。」

在新聞與公告中,我們尚不知道內政部戶政司的「公開程式原始碼」是「(只)讓行政院資安處指定團隊進行資安檢測」,還是真正「以開放原始碼授權釋出」。如果並非後者,我們必須指出,在協會所倡議的「用人民納稅錢所建立、採購的軟體與資訊系統,必須自由軟體授權公開釋出」(英文為 "Public Money, Public Code", 即本文標題中的 PMPC)中強調,公部門建置的系統必須採用自由軟體授權並開放源碼的理由,並不是單純「讓資安團隊檢視是否有後門」而已。PMPC 政策的重點包括:

  1. 以開源授權釋出,讓包含民間甚至全世界的相關專家都能檢視,攤在陽光下是取得信任的最好方式
  2. 以開源授權釋出,讓包含民間甚至全世界的相關專家都能檢視,若有任何問題,不需要等待原始開發團隊,一般民間臥虎藏龍之士即可提出修補讓開發團隊檢視
  3. 以開源授權釋出,讓其他單位甚至其他國家可以比照參考,在需要建立相同系統時,不需要重新開發,節省大量公帑原始開發團隊的功蹟也可以因此大幅度擴散甚至有其他團隊提出創新功能時,也能在開源授權的規範下,確保原始系統可以得到相同的益處

本次內政部戶政司的公告,其實並沒有解決上面兩個連署所提出的疑慮,也尚稱不上符合協會所推動的 PMPC 政策希望帶來的效益。我們要不斷地呼籲政府與立法單位,我們只要將 PMPC 政策立法,內政部根本不需要不斷喊話強調要民眾有信心,相關紀錄不會被傳到哪裡云云;因為開放源碼授權即提供了讓更多有能力的人檢視並認證的效果。若只是「其核心程式將交由行政院資安處指定團隊進行資安檢測」,那是沒有太大作用的。Zoom 所帶來的爭議與殷鑑尚不遠,不是嗎?