我們對「國民卡」的看法及建議
王大為 (E-mail: wdw@iis.sinica.edu.tw,電話:(02) 27883799 轉 1729。)
PhD, Yale University
中央研究院 資訊科學研究所 助研究員
黃世昆 (E-mail: skhuang@iis.sinica.edu.tw,電話:(02) 27883799 轉 1307。)
PhD, National Chiao Tung University
中央研究院 資訊科學研究所 助研究員
莊庭瑞 (E-mail: trc@iis.sinica.edu.tw,電話:(02) 27883799 轉 1608。)
PhD, New York University
中央研究院 資訊科學研究所 助研究員
一九九八年七月中旬 初稿
一九九八年八月十三日 再稿
一、政府部門推動「國民卡」情形
行政院研究發展考核委員會於去年七月廿一日設立「IC卡規劃及推行小組」,其目的為「加速推動IC卡在政府部門之整合運用,以提高行政效率、加強便民服務及促進國內IC卡產業之發展」。經一年研議,此小組於今年6月10日公布「國民身份健保合一智慧卡(簡稱國民卡)」專案徵求建議書,以整體委外(out sourcing)之方式,公開徵求資訊業者承作「設計及製發符合現行國民身份證、健保卡、電子簽章機制等應用需求之IC卡,並建置相關作業程序及軟、硬體環境,其他約定營運項目由承作業者提出建議」(專案徵求建議書第一章第三節)。在不到三個星期後,且未經社會大眾廣泛討論,此專案徵求於6月30日截止收件。
據八月十一日報載,行政院研考會已由四家投標廠商中,選出一家進行議約。研考會表示,業者必須在三月內完成議約。第一張「國民卡」最快可在明年底發出,並於民國九十年六月底前全面換發完成。
二、「國民卡」內儲存之個人資料
「國民卡」內儲存之個人資料將包括姓名、身份證字號、出生日期、出生地、照片影像、戶籍地址、父母姓名、配偶姓名、選舉領票記錄、健保保險人代碼及有效期限、重大傷病註記、就醫記錄,以及二枚拇指指紋等徵點資料。其中姓名、身份證字號、出生日期、及照片影像以顯性(肉眼可辨識方式)及隱性(存於卡上晶片)兩種方式儲存。其他資料為隱性資料,存於卡片中之晶卡記憶空間。隱性資料非經特定讀卡機不能被當事人讀取,以驗證資料是否無誤。此外,根據該專案徵求建議書第二章第三節,國民卡上「一、除國民身份證及健保卡所需記憶空間外,其餘空間可作為發展電子商務之基礎。二、應於符合個人資料保護原則下,提供可供各界讀取有關個人基本資料及電子簽章機制部份的介面欄位」。此種以強制性方式,要求國民以數位化方式將個人隱私資料記錄於卡片,並以其為個人於社會中各種公私活動的憑藉,世界上各國尚未有前例。我們對其實施後,對個人、社會、以及國家之影響,甚感憂心。以下分別就技術層面之安全性、隱私權之保護,以及現行法令之適用性,提出我們的看法及建議。
三、先進國家使用智慧型儲值卡情形
現今為何沒有一個國家實施晶片裝置之「國民卡」,而我國必須率先實施?答案非常簡單,因為其他國家主其政者知道,晶片形式之「國民卡」,雖然在技術層面上絕對可行,但在管理層面,絕對會帶來許多問題;對社會更有巨大影響,所以不敢貿然實施。即使是僅作電子商務之匿名智慧卡,也僅是由民間業者各自推展,由市場機制決定何種智慧卡較為適用。我國政府反其道而行,以慣有御民思想,將原本已非絕對必要之國民身份證轉而為侵犯個人隱私更甚之晶片裝置。先進國家少有實施國民身份證情形,而我國政府視全民為罪犯,強制國民將指紋等隱私資料存於其上,可隨時檢查,更異想天開,想以具強制性之數位化身份證來推行電子商務,意圖以全體國民之不便和隱私,以及壟斷性的經營方式,免費換取業者軟、硬體之投資。
現在世界上規模最大的匿名現金儲值卡,為在比利時所實施的Proton卡,自由參與的使用者不過一百萬人左右。據去年四月二十六日「經濟學人」週刊報導,此項受比國政府鼓勵推行的智慧卡技術,已有跟不上其他更方便型態儲值卡的憂慮。法國政府貼補實施之「電信迷你終端機(minitel)」,十年前被譽為資訊時代的先鋒,如今卻苦於數百萬舊式裝置無法上網繼網路(Internet),深怕無法跟上此波資訊洪流。我國政府所欲推行之「國民卡」,其技術數年後必然過時。適時,業者以兩千多萬國民為人質,實施其不符潮流之電子商務技術,於我國人民何益?此種必然後果,已令人無法接受。而強制性、全國性之數位國民卡,對國家安全之危害,更是令人擔憂。
四、「國民卡」之技術層面及其對國家安全之影響
「國民卡」全面採用是資訊社會基礎建設極為重要的一環,其影響層面不亞於實體建設如高速鐵、公路等的開發。一旦日常應用高度依賴此電子認證體系之後,將帶動整體國家資訊流通的效率,使經濟蓬勃發展,為民眾帶來無限福址。但也同時潛藏著危機,也就是讓此資訊基礎建設成為戰略目標,一如七月六日香港新機場啟用,原是契機卻帶來經濟災難。
為何會存有此疑慮?在行政院研考會提供之資訊安全準則中對政府機關資訊安全及網路安全的考量仍以普通「善良」入侵者(或稱為「駭客」)的角度來看待。但「國民卡」是以網際網路為流通管道,將成為國際戰略目標,國家整體入侵的力量遠比一般善良駭客來得可怕,這方面的警訊我們有足夠準備嗎?答案決不是肯定的。今年五月間警政署刑事局偵破第一宗網路犯罪案件,將號稱網路教父首謀繩之以法,令國人為國內網路安全偵防信心大增並雀躍不已。同時當記者採訪銀行業者對此事件看法時,相關人員信心十足宣稱因已擁有私有網路及防火牆的保護完全無懼於此類似的網路入侵事件。然而,我們曾有機會了解國內一些可能被視為「資訊戰略目標」機構的網路安全現況,不禁對國內防衛體系之脆弱及輕忽感到憂心不已。以下我們再對「國民卡」全面採用後,其在電子憑證管理、軟體弱點分析及補綴措施、以及整體風險評估方面,提出我們的疑慮。
在電子憑證管理方面,全國2170萬人之電子認證體系不可謂不大。而國內目前憑證管理能力夠嗎?現在委託中華電信經營之政府電子憑證才發出約三萬張,短期內政府可能妥善經營此「國民卡」大型國家級電子認證嗎?若請國外電子憑證管理廠商移植其管理辦法是否妥當?
另一疑慮是此一超大型電子憑證管理業務將獨佔國內市場造成隴斷。目前電子憑證管理法源何在?可想見貿然實施後將加重政府機關負擔及造成國民不便。
「國民卡」晶片之上操作系統一旦發現安全漏洞,2000萬張如何同時補救?2000萬張具有管理完整電子簽章、憑證驗證、加解密、數位信封、自行產生金鑰等功能之作業系統,一旦發現嚴重安全缺失該如何補救?令人憂心的是政府對此方案側重加解密方面的安全問題,徵詢之學者專家也以此居多。但是整體性的安全漏洞卻最可能發生在軟體系統的製做上,而不是在加解密演算法上。例如時下流行套裝軟體元件的組裝,其安全性常被忽視。網際網路駭客破解系統通常不會從破解密碼上著手,軟體弱點才是最好的攻擊目標。
在整體風險評估方面,目前政府機關以裝設網路防火牆及出入以專屬網路為防護重點,並請國外計算機系統安全專家(即所謂 tiger team service)來進行世界級駭客程度入侵測試。但網路安全含概面極廣,管理層面引起之安全弱點方為大患。而管理缺失更包含文化差易,絕非世界級專家所能輕易檢測,除非要他們長期駐台為我們設防。若是,這豈不是駐台長期傭兵?舉例來說,電腦病毒 (Virus) 危害為人熟悉, 但網際蠕蟲之滲透 (Worm Penetration)對重要資料之侵害更加嚴重,因其不易查覺,也不會對本地系統造成顯著破壞,但私密性資料卻一點一滴經網際網路流失。此隱憂亦不見於政府頒布的網路安全法則之中,將是網際政府服務可怕之威脅。其它風險疑慮及建議包括以下。
(1)計算機系統危機處理能力的疑慮。主要金鑰被破解,演算法有缺失,主伺服器遭到入侵等事件一旦發生,政府可有準備方案應對?我們認為這是一些現代化程度高的國家仍不敢貿然全面採用「國民卡」的很大原因之一。
(2)一卡多用之疑慮(詳見第五節:對個人隱私之侵害)。國內多少民眾已受教育,教導這一卡每一刷的風險?
(3)定期資訊戰演習。倘若真得要全面實施此一先進的資訊建設,定期演習是必要的工作。政府部門及全國百姓可有如此準備?
(4)漸進試用不能輕言全面採用。資訊基礎建設必須是漸進的,須衡量國內科技水準、管理能力、民眾所受教育程度等因素配合之下才可施行。並要分析世界先進國家不敢做的原因。要「世界第一」即必須擔負極高風險,同時也是駭客極大的覬覦目標。
五、「國民卡」對個人隱私之侵害
社會裡的人際互動,並非都需要建立在彼此身份的確認上。適當的匿名性是必要的,甚至是一個活潑社會所不能少的。將「電子商務」建構於具身份憑藉及存有個人隱私的「國民卡」之上,絕對是行不通的。舉例來說,今天我們購票看電影,售票員不會也不需要詢問購票者之姓名及身份證字號。我們搭車、打電話,同樣的也只需使用具匿名性質的錢幣或儲值卡。如果「國民卡」上之晶卡兼作電子商務所需之儲值或憑證之用,以上活動之匿名性可
能將盪然無存。
目前之「國民卡」專案徵求建議書中,第二章第三節表示,允許業者「應於符合個人資料保護原則下,提供可供各界讀取有關個人基本資料及電子簽章機制部份的介面欄位」。此段文字涵意不明,似有個人「基本」資料可被妥協,於交易活動中被讀出之意味。對於個人資料之保護,徵求文件中未再有任何規範。於是,以「國民卡」之儲值能力購買電影票時,購買機可知看此影片者之身份;以其撥公用電話時,電話機可知撥號者之身份;以其支付大眾捷運車資時,讀卡機可知旅人之身份及其行程。購票機、電話、讀卡機並可以連線到後端主機,完整記錄持卡者整天、整月、整年之日常活動。此種對個人隱私之全面侵犯,絕對是可能的。
或許說,此等用於電子商務之購票機、電話、讀卡機等將被嚴格限定為不能讀取任何「國民卡」上之任何個人資料,故個人隱私不會有被透露之可能。然而,持卡者如何能確定,政府如何能保證,業者所提供此等電子商務之讀卡機果真不會讀出個人隱私資料。甚至政府要如何來驗證,提供關鍵技術給台灣業者之外國科技公司不會暗留一道後門,用以透過任何讀卡機讀取其上任何卡片上之任何資料?
再退一步想,假設業者、國外科技公司以及政府皆秉保護持卡人隱私之原則(這是一個非常大的假設),用「國民卡」消費時,其功能如一般匿名儲值卡,消費者身份不會被透露。即使如此,仍有兩項重大缺失。第一,國民卡遺失時,不僅卡片上個人隱私資料有可能流出(例如拾獲者假冒至戶政機關要求讀取卡中戶籍資料),卡片中之儲值金額也可能被讀出。此金額越大(例如說高達數萬元台幣),對持卡人人身安全之影響也越大。別忘記,卡片上有持卡人的姓名、身份證字號、生日、照片等顯性資料,肉眼即可辨識。這比遺失一張數萬元額度之信用卡還嚴重。信用卡上只有持卡人之姓名,並沒有身份證字號、生日或照片等可充份確認持卡人身份之資料。遺失信用卡,只有財物可能損失。遺失國民卡,財物及人身安全,都可能失去保障。
使用匿名性質之通用「電子商務」卡尚有一項侵犯個人隱私的方式,為一般人所難查覺。亦即此卡片上可被卡片發行業者鉅細靡遺記載持卡者的消費習慣及方式,而消費者恍然不知。這些即時記載的極為詳細的消費記錄甚至可以用來描繪持卡者的身份,而使其喪失匿名性。例如,若卡片上記載持有者固定搭乘306號公車於早晚往返南京西路圓環與中研院之間,經常使用中研院內之公共電話撥號到2369xxxx,且定時購買某一類重大傷病所需之藥品。此持卡人之身份,不需記載在此卡上,絕對可被有心人士由以上消費記錄拼湊而出,甚至作進一步利用。
病歷資料可說是個人最私密的資料,在電子病歷日漸成為事實或可預見事實的今日,對電子病歷最大的疑慮便是個人隱私權的保障問題。許多有關這方面的辯論與研究近年來越來越多。例如日前美國「全民健康識別號碼」(National Health Identifier)的全國大辯論即是一例。美國此「全民健康識別號碼」計畫,即在隱私權的考量上,宣布暫緩進行。
無庸置疑的對個人的隱私權的尊重與保護,是一個合理文明社會的必要條件。當我們的社會逐漸文明,當我們的國人逐漸學會了尊重別人隱私的重要性。我們的政府卻決定把在「國民卡」中儲存個人的重大傷病註記與就醫紀錄,並把這當作推動電子化政府的一項重要措施。這無疑是做了一個非常負面的示範,我們以為這個決策是在沒有全盤考慮利弊得失下所做的一個倉促的決定。當然這樣的資料在提供醫療服務時會有幫助,但是負面的影響遠大於所得之利。我們就下列幾點,再次提出質疑:
(1)根據個人資料保護法,個人有存取與修改自己的資料的權力。國民卡如何提供這項功能?
(2)如何保證個人的隱私不會被為授權的個人或機構所侵犯。尤其是和個人健康有關的資料是最私密的,而這樣的資料被洩漏也是最容易造成個人的傷害的。舉例來說保險業者會用這樣的資料來篩選被保人。雇主以此來聘用新人或解雇員工。如果「國民卡」沒有辦法提供機制來保障個人的權益。實在不應在開始實施時就貿然把這樣需要高度隱私保證的資料放進來。
(3)如果你每一次買瓶可樂付錢時都會把你的就醫記錄也掏出來。你會不會覺得很不舒服?當然,對「國民卡」讀卡機功能並不清楚的人,不會有這樣的感覺。但我們的政策是植基於人民的無知嗎?
(4)美國的一個研究委員會針對電子病歷的隱私問題,做出如下建議:「聯邦政府應與業者就患者之隱私保護與醫療機構之資訊需求,鼓勵公眾進行辯論,以尋得兩者之間之平衡」。請注意這裡談的,只是醫療院所對電子病歷的安全性的問題。我們現在要把一些個人重要的醫療記錄納入「國民卡」,難道不需要讓所有人民瞭解並有表達意願的機會?利用人民訊息的匱乏來推動政策實非民主的精神。
(5)在沒有讓大眾有檢視的機會,便貿然用公權力來強制所有的人來參與「國民卡」,實在是非常危險的行為。政府大可讓業者在市場競爭下推動他們的「電子商務卡」,但不介入。這樣,不但可審慎評估「國民卡」的利弊得失,也可藉此提高社會對這項科技的瞭解。我們沒有必要傾全國之力成為晶片卡廠商的白老鼠。時間並非那麼急迫,我們應該「戒急用忍」。
六、「國民卡」適法性之疑慮
民國84年公佈實施之「電腦處理個人資料保護法」第七條規定:「公務機關對個人資料之蒐集或電腦處理,非有特定目的,並符合左列情形之一者,不得為之:一、於法令規定職掌必要範圍內者。二、經當事人書面同意者。三、對當事人權益無侵害之虞者。」
現今法令未有規定身份證與健保卡上之資料必須與電子商務合存以晶片之方式強制植於「國民卡」之上。也未見國民公開討論此種作法是否可以實施,更不用說取得每人之書面同意。且「國民卡」實施後對個人隱私權益之侵害,可能如本文所言鉅細靡遺。「國民卡」在適法性上有相當大的疑慮。
七、結語
我們所憂心的是,在逐漸數位化的社會中有許多新的人際互動方式,以及其未必顯見的影響。引進強制性、全國性、數位方式的「國民卡」,其對個人隱私的侵犯、社會活動的引導,以及國家安全的影響,將有很大的衝擊。此衝擊未必一時可見,但只要此項機制 —— 可讀寫且連線操作之晶片裝置於每人之國民卡 —— 存在,我們就不能不每天憂心它有被誤用的可能。當然業者及政府可以信誓旦旦保證其不會被誤用,但此種保證在現今國內相關管理法規不彰,技術能力不強,民眾未明其利害關係情形之下,到底有多少意義?
我們呼籲政府部門不可再推動此項「國民卡」業務。