晶片身份證,請由法制面談起

本文同時刊登於2017.07.13蘋果日報即時論壇

文/何明諠(台灣人權促進會專員)


內政部將在7月14日,舉行晶片身份證研討會。這場研討會堪稱高官雲集,從行政院常任顧問、數位政委,資安處處長,到內政部常務次長、戶政司長等,都擔任了會議要角。整場研討會的議程,基本上是圍繞在愛沙尼亞與德國在晶片身份證的推動經驗上進行討論,所邀請的國外講者,也多是上述兩國的技術專家及政策推動者。

簡言之,當前會議的議程,大體是在「必定要發行晶片身份證」去進行規劃。

由於「發行與否」基本上並非會議的討論核心,想當然爾,隨之而來「發行是否需要調整相關法制」的討論,缺如也是正常。而本文的重點很簡單:晶片身份證的「發行與否」,真毫無討論必要嗎?

方便、防偽 v.s 隱私

晶片卡(或智慧卡,Smart Card)近年來被世界各國普遍使用,在信用卡、駕照、或身份證等,都可以見其應用。以身份證為例,相較於傳統的紙卡,晶片身份證最常被提出的優點是方便效率、安全防偽。一個高度電子化的政府,可以透過各種晶片身份證的應用,提升行政效率,降低行政所需花費的成本;此外,由於晶片身份證可儲存生物資料(如指紋、虹膜等),或有自身特殊的加密機制,也被認為可減低身份盜用的風險,並連帶減低因身份盜用後續產生的問題,如恐怖攻擊、金融詐騙等。以上優點,也都是我國內政部近幾年推動政策時所特別強調的重點。

然而方便或安全的取得,往往並非毫無代價,而最常與之交換甚至犧牲的,除了錢,就是個人的隱私。無論是在香港或美國的案例研究中,我們都能發現類似的憂慮。那樣的憂慮主要來自政府建置了晶片身份證的系統後,可能會持續擴充應用,使該卡片逐漸成為市民日常生活不可取代的工具。更甚者,或許短時間內,國家會保留一些彈性,不強制所有人更換成晶片身份證,但問題在於,系統性誘因的建置,是否會使不擁抱新科技的人被邊緣化,甚至污名化,而被迫改變其行為模式,從而釀造了許多隱私侵犯的可能?

什麼是邊緣化,最單純的情形是,倘若因為你堅持不啟用新服務,而造成行政人員的麻煩時,你能忍受多少次隨之而來的臭臉?

至於隱私侵犯的例子更不難設想。好比讀卡機在讀取卡片時,是否會因認證所需,額外產生卡片被讀取的時間、地點、或其他過往不用被得知的資料?而這些過往紙卡不會產生的資料,未來將會被誰蒐集,它們是否可能就足以描繪某個人生活的輪廓?政府機關(間)又是否會有濫用或彼此分享資料的行為?類似的質疑,幾乎是每個發行晶片身份證國家都必須面對的事。

可能喪失的資訊自主權

更別說在台灣,政府忽視人民資訊自主權,企圖以模糊定義的「國家安全」或「公共利益」濫用人民資料的案例,早不是新鮮事。我們是個連悠遊卡消費記錄、ETC行車記錄,都可以被警察當作辦案線索的國家,這樣的國家又要如何擔保晶片身份證的使用,不會成為下一套國家用以監控人民的機制?此外,對於統一的憑證認證機制及其衍生資料的問題,政府真有可能建立一套機制,以記錄所有政府機關(包含國安單位)的資料瀏覽或取用狀況,並提供當事人隨時檢視或申訴嗎?

或許有人已開始認為上述都是危言聳聽,但不妨耐著性子,讓我們再次回頭看看對岸,更加危言聳聽一下。自2015年7月起,中國已全面要求入境中國的台灣人須持新式的卡式台胞證,而在今年年底,更預計將更換為第二版的卡式台胞證。未來卡式台胞證據傳可用來快速地登記旅館、刷進火車或高鐵站、使用各種公共系統等;而誘人的「快速」背後,所犧牲的行蹤或位置資料,甚至與此關聯的交友資訊,可能都是過往相對毋須擔心的風險。

場景再拉回台灣,晶片身份證能有效避免卡式台胞證的風險嗎?甚至更根本的提問是,我們有辦法在「不可知的未來」也免除這種風險嗎?我們還記得就在上個月底,蔡英文總統才跟企業與談,討論是否要建置以指紋、臉型、虹膜等生物特徵為主的「國家級身份識別機構」嗎?還記得蔡英文總統在還未上任前,就拜訪過專長監控科技的大猩猩科技嗎?我們知道自己的國家元首有多熱愛監控科技嗎?

晶片身份證應納入立法或修法的討論

回到本次研討會的愛沙尼亞和德國。且不談愛沙尼亞或德國建置晶片身份證系統的政經背景,針對晶片身份證,愛、德國家其實都各自定有專法(愛沙尼亞:身份文件法(Identity Documents Act);德國:電子身份證法(Personalausweisgesetz))。透過這些法規,晶片身份證本身所存放的資料、可讀取晶片的單位與時機、晶片相關功能的開啟與關閉、憑證資料庫的管理與使用、資安措施等,都得到了相對明確的規範。但反觀台灣,目前與身份證有關的法規,僅有《戶籍法》在紙本時代所構想的第51-62條,而在這幾年有關晶片身份證的討論中,也從未公開聽聞行政機關有立法或修法的打算。

前述的說法當然並不立即指向我們應該立專法。畢竟除了《戶籍法》外,台灣依然有《個人資料保護法》、《電子簽章法》等相關的法律。新的晶片身份證政策是否符合這些法律是一個須考量的重點,但這些法律是否已充分保護民眾的隱私,則是另一個重點。

這些「理應」是我們在思考晶片身份證議題時首先應碰觸的議題,但卻徹底消失在內政部這次舉辦的會議議程中。方便、效率、資安佔據了所有討論,而我們甚至根本還沒提及「為何我們需要一套身份證制度?」這個老掉牙的問題。

隱私權不等於資訊安全

隱私權不等於資訊安全。一直以來,將隱私與資安劃上等號的迷思,一直充斥在晶片身份證,甚至我國政府多數有關隱私權的討論中,這可能也是導致內政部擬出本次研討會議程的主因。

資訊安全雖與隱私有關,但其概念內涵主要是資訊不被未經授權的人取得;而隱私權範圍實則更廣,它包含個人可以決定如何處理、利用自己資料的權利,也包含個人確保自己被蒐集的資料僅為必要資料的權利。而這樣的權利,無疑與數位時代的個人人格自主發展密切相關。

在這樣的前提下,我們想請教內政部,是否該先回頭,嚴肅面對以下這個更根本的問題:台灣是否該發行晶片身份證,如果要,考量可能存在的風險,又該調整哪些法制?

延伸閱讀