eID 數位國民身分證

--- title: eID 數位國民身分證 tags: eid,ocf --- # 法規 / 釋憲 * [戶籍法](https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=D0030006) - 第五章第 51 - 63 條講述到國民身分證及戶口名簿 * [資通安全管理法](https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297) * [電子簽章法](https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=J0080037) * [個人資料保護法](https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021) * [內政部憑證管理中心憑證實務作業基準](http://moica.nat.gov.tw/moica//upload/law/14f723f7831000008dc6.pdf) * [全民健康保險保險憑證製發及存取資料管理辦法](https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=L0060029) * [大法官釋字第603號（戶籍法第8條第2、3項捺指紋始核發身分證規定違憲?）](http://cons.judicial.gov.tw/jcc/zh-tw/jep03/show?expno=603) * [「國民身分證及戶口名簿製發相片影像檔建置管理辦法」](https://join.gov.tw/policies/detail/7a344557-c944-460f-acb8-a4bd9e2f8308) - 提及「（三）有關建議新增新一代國民身分證之密碼的配發及設定1節，本辦法（草案）係依據戶籍法第59條第1項授權訂定，主要係規範全面換發國民身分證期程及作業程序，本建議將納入研議修正「國民身分證及戶口名簿製發相片影像檔建置管理辦法」。」 - 提及「（五）有關建議明定晶片損壞時，該卡片是否仍屬有效1節，晶片損壞僅無法提供數位資料及簽章，惟仍可以作為身分識別之用。本建議納入研議修正「國民身分證及戶口名簿製發相片影像檔建置管理辦法」。」 - 但實際上「國民身分證及戶口名簿製發相片影像檔建置管理辦法」尚未修法。 # 投書/新聞(國內) * [尤美女／數位身分證明年上路　不該用隱私換便利](https://www.ettoday.net/news/20191106/1573677.htm) - 公私鑰安全性漏洞： - 2017年，德國跟愛沙尼亞的身分證晶片發生的安全災難，就是因為「無法從公鑰推敲出私鑰」這個前提出了問題。當年這批由廠商英飛凌（Infineon）的晶片，裡面韌體的函式庫演算法設定不當，出現安全性漏洞，讓這批晶片所製作的一部分公私鑰出現了問題，可以從公開的公鑰逆向推敲出存在晶片上的私鑰。專家估計最糟糕的狀況是，運用Amazon雲端提供的計算服務，花費17天與40,300美元就可以從一支有問題的公鑰逆向推敲出對應的私鑰。 - 內政部至今並未說明相關應對方案，不過如果按照內政部強調，New eID的安全性、晶片資料不容竄改，那麼勢必就無法像愛沙尼亞一樣讓國民線上自己更新身分證晶片，而必須換發2,300萬份國民的身分證。內政部可以應付這麼龐大的行政作業嗎？換發期間內所有的線上身分驗證，在法律上是否有效，安全性上是否足以信賴？ * [數位人權誰來把關？政府就是洩漏個資的兇手](https://udn.com/upf/newmedia/2019_data/digital_privacy/government/) - 個資法爭議 - 歐盟GDPR（一般資料保護規則）要求歐盟各國都應成立「獨立的個人資料保護專責機關」，從人事任命、財務上保持獨立性。但目前《個資法》的主管機關是設在國發會之下，人事、預算都非獨立，也沒有法規定出權責。 - 國發會原本是規劃國家發展，尤其是經濟發展，這與保護民眾個資矛盾。 - 個資法落實標準不一，過去法務部都推說資源不足、無能為力，現換成國發會，問題就會消失嗎？ * [再轟內政部新式身分證具追蹤機制　許毓仁：哪條法律授權政府在人民身上放eTag？](https://www.storm.mg/article/1716278) - 「許毓仁指出，RFID最早是被用於物流管理，例如eTag就是最明顯的案例，根據《戶籍法》第56條規定，國民身分證應隨身攜帶，政府強行發放具RFID功能的新式身分證，等於強迫在每一個人民身上安裝eTag，如此深的資安疑慮，卻沒有法律授權，且照目前內政部的規劃，卡片路徑追蹤在『非接觸式介面（RFID）』晶片卡的架構下，內政部根本無法管控使用目的。」 - 戶籍法第 56 條 - 國民身分證應隨身攜帶，非依法律不得扣留。 * [晶片身分證明年十月將發行，上路倒數前3大疑慮待解](https://www.bnext.com.tw/article/53925/eid-change-concerns) - 系統安全性 - 「開放文化基金會的Pellaeon Lin則認為，政府開發晶片身分證的相關程式碼應該要對大眾公開。他說，雖然政府表示新身分證將會遵循相關的國際標準，但更好的方法應該是透過公開的方式，讓民間的資安人員可以一同檢驗其安全性。」 - 假外資、真中資 - 「新的晶片身分證也牽涉到了國防安全的議題。席間有人質疑，政府要如何確保晶片及硬體的供應商是安全無虞的？雖然《政府採購法》規定不能有中資，但很多時候政府未必能看透廠商背後複雜的投資關係與多層資金來源，使「假外資、真中資」的廠商有漏洞可鑽，將人民的個資暴露在風險中。」 * [自由共和國》林宗男、李忠憲／數位身分證的資安風險](https://talk.ltn.com.tw/article/paper/1318140) - 公私鑰問題 - 「晶片的公私鑰雖然是在晶片內產製，但是需將公鑰資料讀出才能產生個人憑證申請檔（CSR）。公鑰能匯出當然私鑰也能匯出。但是內政部卻告訴國人無法匯出，明顯與事實不符。全體國民公私鑰key pair只有廠商知道如何產生，公務機關無法驗證，憑空製造國家安全的治理危機。」 * [李忠憲專欄》晶片身分證的資安問題](https://taronews.tw/2019/09/10/461431/) - 資訊安全 - 「大規模政府認證的身分資料，非自願而且每個人都牽涉到裡面去，招標書裡面還有晶片追蹤的功能，要核可才可以追蹤，公務機關有能力可以判斷追蹤的功能有沒有打開嗎？到目前為止沒有被破解的加密演算法？身份證要用 10 年，沒有被破解，是沒有公開有被破解吧！」 * [非政府組織籲政府暫停推動晶片身分證](https://tw.news.yahoo.com/%E9%9D%9E%E6%94%BF%E5%BA%9C%E7%B5%84%E7%B9%94%E7%B1%B2%E6%94%BF%E5%BA%9C%E6%9A%AB%E5%81%9C%E6%8E%A8%E5%8B%95%E6%99%B6%E7%89%87%E8%BA%AB%E5%88%86%E8%AD%89-082049651.html) - 缺乏公民參與的行政程序 - 「行政院應落實公民參與的行政程序：我國行政程序法於第164條已有規定，建立重大公共設施時，應經公開及聽證程序，方能做計畫的裁定。但行政院政策推動至今，不僅計畫已經核定，且僅有過一次毫無法律效力的公民審議，未曾有過公聽會甚至聽證會等公民參與的機制。因此我們呼籲行政院，應儘速規劃落實公民參與的法定行政程序，將公民社會納入政策擬定的環節之中。」 - 行政程序法第164條 - 「行政計畫有關一定地區土地之特定利用或重大公共設施之設置，涉及多數不同利益之人及多數不同行政機關權限者，確定其計畫之裁決，應經公開及聽證程序，並得有集中事權之效果。前項行政計畫之擬訂、確定、修訂及廢棄之程序，由行政院另定之。」 * [發行晶片身分證請政府停看聽](https://view.ctee.com.tw/social/15062.html) - 個人資料保護法 - 「加上沒有獨立的隱私專責機關，當前《個人資料保護法》僅由國發會擔任主管機關，若未來「國家發展」與「個資保護」出現矛盾之時，缺乏獨立性的國發會如何使人民信服將公正地保護個資？」 - 之前爭議事項回顧 - 1998年國民黨政府提出「國民卡」的構想 - 2005年立法委員曾聲請大法官解釋「戶籍法第8條第2、3項，指紋核發身分證規定是否違憲」 * [【晶片國民身分證計畫草案終於出爐】十年最大變革，數位身分證要來了](https://www.ithome.com.tw/news/116946) - 法源不足 - 「德國晶片身分證法源依據的是《身分證及電子識別法案》，內文總計35條。而愛沙尼亞則是《身分證件法》，內文亦有43條。現階段臺灣用於規範晶片身分證應用的法條，只有《戶籍法》及《國民身分證及戶口名簿製發相片影像檔建置管理辦法》。根據內政部所比對，現階段臺灣法規，若與德國《身分證及電子識別法案》相比，還欠缺20條法規，方能跟上該國專法的完整度。而與愛沙尼亞的《身分證件法》比對，則欠缺29條相關規定。」 - 個資法2012年正式施行上路後，甚至在2015年個資法再次修法後，政府才開始擬定晶片國民身分證全面換發計畫（待查） - 戶政司也計畫修訂《戶籍法》，以及《國民身分證及戶口名簿製發相片影像檔建置管理辦法》，並公布了增修要點，修正重點在於加強臺灣民眾對於該卡的使用自主權（待查）　 # 投書/新聞(國外) * [資安仍「無法」保障肯亞「生物辨識」身分證喊卡](https://m.ltn.com.tw/news/world/breakingnews/3054019) - 生物辨識問題 - 「肯亞高等法院31日宣判，在資料保護新法實施以前，應暫停新型「生物辨識」身分證的實施，肯亞政府去年開始蒐集的聯絡人、指紋、相片、職業等民眾資訊，目前都禁止使用。」 - 「據悉，肯亞去年通過了個人資料保護新法，依法政府將成立資料委員會進行統一管制，但目前並未公布詳細成立辦法和權責，也未有確切時程傳出。」 # 立法院質詢 * 尤美女立委 / 2019-09-25 12:14:19 - 12:27:28 * 影片：https://ivod.ly.gov.tw/Play/VOD/115496/1M/N * 簡報：https://reurl.cc/yZnRZy * 本次質詢針對數位足跡，現行自然人憑證使用 OCSP 與 CRL，OCSP 會留數位足跡，CRL 不會留數位足跡。 # 政府相關檔案 * [內政部108/8/22簡報](https://www.ey.gov.tw/Page/9277F759E41CCD91/773969ed-1f9d-40be-8546-6746b2b3a97a) # 其他 * [買個口罩　為什麼要給販賣機看我的身分證？](https://www.digitimes.com.tw/iot/package_show.asp?cat=158&id=0000579269_GLO1XTRR7A8A5J8IL2AXM&packageid=13863) - 「此次的口罩販賣機事件若循同樣的機制拆解，大致可以將民眾反彈的原因整理如下，第一為對成立不久的新創缺乏信任，畢竟在身分認證的應用上，相關驗證資料的安全與維運責任必須由該民間業者一力承擔。站在使用者角度，委實難敵台灣民眾長久信任的健保系統；其次，民眾對將實體信物身分證轉為數位憑證的流程與應用的理解尚在陌生階段；第三，或可歸因為處於防疫關卡，社會大眾的焦慮與緊張更甚以往，口罩作為稀缺物，難免被放大檢視。」