立法院第9屆第8會期內政委員會第2次全體委員會議紀錄 時  間 中華民國108年9月25日(星期三)9時4分至12時39分 地  點 本院紅樓202會議室 主  席 林委員為洲 繼續開會 主席:現在繼續開會。 進行報告事項。 邀請內政部部長徐國勇就「新式數位身分證之法律授權,及其招標程序與個資安全維護之必要措施」進行專題報告,並備質詢。 主席:請內政部徐部長報告。 徐部長國勇:主席、各位委員。今天大院第9屆第8會期內政委員會召開全體委員會議,本部承邀列席就「新式數位身分證之法律授權及其招標程序與個資安全維護之必要措施」提出專題報告,深感榮幸,敬請各位委員不吝惠予指教。 壹、法律授權 戶籍法第52條及第59條分別對於「國民身分證之格式、內容、繳交之相片規格」、「全面換發期程及其他應遵行事項」,授權本部訂定相關辦法辦理。至於將身分證之個人資料存放在晶片內以電子文件方式保護,有電子簽章法為依據。依電子簽章法第11條規定訂定內政部憑證管理中心憑證實務作業基準(CPS),作為自然人憑證發行之依據。故本部規劃將國民身分證結合自然人憑證,成為數位身分識別證(New eID),作為實體及網路世界個人身分識別工具,係依上揭戶籍法及電子簽章法之規定辦理。另全面換證及初領者均不收取規費,屬授與利益的行政行為。 New eID在法律規範方面,除戶籍法及電子簽章法已有授權之依據外,個人資料保護法及資通安全管理法亦分別對於New eID涉及之個資保護及資訊安全等事項,有明確規範,並經該等法律之主管機關檢視均無須配合修正,於108年9月10日函復大院在案,New eID將在該等法律基礎上進行製發及應用。 貳、招標程序 依107年12月27日行政院第3632次會議決議,New eID為實現智慧政府各項措施之基礎,請內政部妥善規劃全面換發相關工作,於109年順利啟動全面換發作業。 本部爰於108年1月31日擬訂「數位身分識別證(New eID)─新一代國民身分證換發計畫」函報行政院審議,奉行政院同年6月6日核復原則同意後,本部提報編列109年度預算,並於108年8月22日行政院院會提報New eID之辦理進度。 考量New eID換發工作有製卡、管理系統、行政作業、法規、宣傳等面向,均由本部統籌。為爭取時效,周延換發工作,於108年4月11日委託廠商辦理細部規劃案,其中製卡工作因涉及場域安全、卡片防偽、秘密諮詢、專屬權利,且德、法等國家亦基於安全考量委由國家級印製廠辦理,爰依政府採購法第22條第1項第2款規定,採限制性招標於6月14日委由國家級中央印製廠辦理,並將細部規劃案初步產製之「卡片(含晶片)規格及需求」、「製卡中心規格、管理規範及安全規劃」、「製發管理規劃」等階段性成果提供中央印製廠參考,同時要求細部規劃廠商提供中央印製廠研擬「PC晶片卡及印製設備乙式」購案招標文件之諮詢服務,以爭取時效。 至New eID管理系統,將建置於本部安全管理機房,俟細部規劃完成後(預計108年10月)由本部自行辦理對外招標作業。其他法規面、行政作業面及宣傳面等細部規劃報告亦同步與相關機關、各直轄市、縣(市)政府進行討論修正。 有關New eID之各項招標案,均依政府採購法規定辦理,且依規定過濾投標廠商資格,不允許大陸地區廠商、第三地區含陸資成分廠商及在臺陸資廠商參與,以符招標程序規定。 參、個資安全維護 一、卡片個資最小化 卡面公開個資降至最低,由現行11項減為姓名、國民身分證統一編號、出生日期、結婚狀態及相片5項;晶片內資料不多於現行紙本身分證。 二、卡片防偽提升 採用聚碳酸酯(Polycarbonate,PC)材質,以多層膜高溫融合製成,無法被剝離,可雷射雕刻個人資料,為多數且先進國家製作身分證明文件使用,可搭配高階防偽變造技術,防止偽、變造,保障人民身分安全。 三、晶片安全及資料保護機制 晶片硬體、作業系統及應用程式須符合國際標準,取得共同準則(Common Criteria,CC)驗證、評估保證等級(EAL)4+以上安全認證,並遵循國際民航組織(ICAO)之電子防偽機制及存取控制機制,防止非法讀取及竄改。接觸式通訊介面須符合ISO 7816-3,非接觸式通訊介面須符合ISO 14443。 New eID晶片的安全管理規格與現行晶片護照相同,都有單一識別碼(Unique ID, UID),用於生產履歷管理使用,避免晶片外流、盜用或不當使用,此乃製程中必要之安全控管機制。單一識別碼在前陣子被誤會是內政部對於人民使用數位身分證要予以追蹤,事實上不是這個意思,這是有關晶片在製造裡面,必須要有一個單一識別碼來防止其外流、盜用或不當使用等機制,也就是所謂生產履歷,所以在上上禮拜大家誤會中央印製廠的招標規定裡面,提到可以追蹤我們人民使用數位身分證的各個經歷,譬如曾經向哪個機關做過資料等等,我們再次強調,沒有這一回事,我們不會去追蹤、蒐集,也不會去處理這些使用數位身分證的資料。另中央印製廠在製卡作業寫入個人化資料後,啟動晶片之隨機亂數序號,每次感應都重新產生不同的隨機亂數,無法連結個人資訊,自無法追蹤使用軌跡。 晶片內存放之個人資料依性質分區加密保護且設定讀取權限,本部將審核服務機關讀取加密區特定欄位之必要性及讀取期限,且服務機關需民眾輸入讀取碼或密碼始能讀取晶片資料,資料傳輸時建立一次性使用之安全通道,並動態加密保護,避免被側錄,確保機密性,資料接收後進行資料驗證,確保資料未被竄改,如輸入錯誤密碼達3次時,晶片自動保護機制將會自動鎖卡,確保隱私個資不外洩。 四、自然人憑證之使用及金鑰對產製 自然人憑證適用於網路身分識別與資料保護,以確保線上交易完整性與不可否認性,網路應用及介接均由應用機關視其身分認證要求決定是否使用自然人憑證。 使用New eID之自然人憑證功能確認個人身分時,服務機關應負擔身分認證的責任,須依「公鑰憑證處理安全檢查表」檢查相關憑證項目是否完整,以確保系統安全。 另New eID私密金鑰對產製依內政部憑證管理中心憑證實務作業基準(CPS)規定,須在晶片中自行運算產生,確保私密金鑰無法匯出、重製,與現行自然人憑證之金鑰產製作法一致,製卡廠商絕不可能掌握私密金鑰,以確保資料安全。 五、卡片即時掛失 New eID遺失的掛失作法與現行國民身分證掛失流程一樣,可撥打內政服務專線1996、戶政司全球資訊網或到任一戶政事務所進行掛失,自然人憑證將一併停用,且卡面資料精簡,晶片資料也有加密保護,不用擔心被盜用或隱私個資外洩。 卡片掛失後將自動提列至廢止清單供各界查詢,需用機關即可利用機器判讀卡片有效性,避免遺失卡片遭人冒用,讓保護更即時、更安全。 六、中央印製廠集中製卡 New eID規劃於中央印製廠嚴格管制的安全製發場地集中製卡,系統採封閉式作業,資料以專線加密傳輸,它們之間是intranet不是internet,所以不會跟外面網際網路做連結,這點請委員們放心,不會因為跟我們internet連結而產生資料外洩或是被駭客駭進來的問題,因為它是專線,所以不對外連結。 另外,並由本部監督中央印製廠專責人員進行印製工作,又該廠人員為國營事業員工,受相關法規之拘束比民間更加嚴格;舉個例子,如果有些錢財不當使用或侵占等等,民間頂多只是侵占罪,可是公務員是貪污罪,整個刑罰的刑責差太多了。同樣的道理,中央印製廠人員都是國營人員,所以他們要負的責任會更重。 此外,整個製程均有層層安全管控、專人保全運送至戶政單位,單單這個專人保全運送,也請委員們放心,它就像我們在運送鈔票一樣嚴格,沒有一家印製廠能夠像運送鈔票一樣嚴格來做相關的運送工作,這部分中央印製廠是可以做到的,我相信這樣更能保障民眾個人資料安全。 七、系統導入資安規範 New eID各系統(New eID管理系統、自然人憑證系統、戶役政系統修改)皆須符合資通安全管理規範,資安防護達到A級標準,並導入資訊安全系統制度(ISMS)、資安監控中心(SOC)、第三方獨立驗證及確認(IV&V)等,並納入本部資通安全維護計畫,確保資訊安全。 八、建構整體資安聯防機制 行政院資通安全處與各機關皆已建立資安聯防機制,規範相關資安防護作為,未來New eID的使用,各機關應依循其防護規範,妥善保管取得之個人資料。本部將務實面對,持續提升資安防護技術,同時落實自我管理,降低各類資安風險。 另各部會均已設置個資保護小組,由常務次長以上擔任召集人,定期開會追蹤落實各項個資保護作為。行政院亦已成立資通安全處,督導各項資通安全作業,落實資通安全管理法。 九、規劃辦理賞金獵人活動 針對New eID晶片、讀卡程式及設備、相關使用情境,規劃賞金獵人競賽,透過駭客社群驗測,強化New eID資訊安全防護能力。 十、不留使用軌跡無監控 New eID使用時跟現行自然人憑證一樣,不會連回憑證中心,本部不會留下任何紀錄;晶片已存有個人身分基本資料,無須連回本部取用個資,使用紀錄均留存在服務機關,這個服務機關不是內政部;譬如我們現在還沒有介接,假如有一天介接健保,那你的資料只會留在健保單位,內政部不會有;如果介接國稅局,只有國稅局有你使用的資料,內政部不會有,這樣就不會有被監控的問題,所以只有民眾才知道使用歷程,本部無法知悉。 晶片之無線射頻(RFID)功能採用ISO 14443國際標準,感應距離為數釐米內,何況我們加密區都要再經由密碼,這些密碼還要有些動態驗證,所以不可能像在網路影片上看到的,一個讀卡機稍微接近你的牛仔褲,結果你的資料就被取走了,我們再次強調,不會有這種狀況;因此,我們晶片身分證與晶片護照一樣,不會主動發送訊息,無法被追蹤。 十一、公開透明建立信賴 民眾可透過本部提供之New eID網頁專區讀取卡片內容,確認其晶片內之個資。 本部將公開可讀取New eID加密區的機關(構)名稱及應用系統清單,並公開讀卡程式原始碼(除核心控制外),供各界檢視,以確認安全無虞。 十二、自主選擇使用晶片功能 民眾可選擇停用或廢止自然人憑證功能,亦可不提供晶片予服務機關讀取,不強迫民眾使用電子化服務,可以戶口名簿影本(自103年2月5日起可於網頁查驗該資料是否最新),或自網頁選擇New eID晶片內之欄位資料列印為紙本身分證明(同電子謄本)辦理相關業務,不影響其權益。 十三、違反個資安全之處罰 New eID的使用由民眾自主同意,使用紀錄由各服務機關自行保管。公務機關或非公務機關對於民眾個資蒐集、處理、利用均受個人資料保護法之規範,任何目的外之利用,均受到嚴格限制,不得任意擴大利用,須善盡資料保護之責,如有違反法律規定,即應負民、刑事及相關行政責任。 New eID若遭不法攻擊或惡意使用,依其不法行為態樣,可分別依戶籍法第75條規定處五年以下有期徒刑,或刑法妨害電腦使用罪專章第358條至第362條規定最重處五年有期徒刑。 自然人憑證機構違法營運或違反相關作業規範,依電子簽章法第12條最重可處新臺幣500萬元罰鍰並得按次連續處罰,且須依第14條負損害賠償責任。 肆、結語 政府施政要能迎合時代脈動及民眾需求,依國家發展委員會網站公告107年個人家戶數位機會調查報告顯示我國12歲以上民眾曾經上網人數為86.5%,有98.2%使用過無線或行動上網,顯示我國已邁入數位時代,民眾對數位化使用有殷切的期待。另依本部106年辦理開放決策計畫所做之民調顯示,約近7成民眾支持換發數位身分識別證。因此,在國家發展委員會「智慧政府發展藍圖」規劃下,由本部規劃國民身分證結合自然人憑證之「New eID」,提供實體及網路世界之個人身分識別,並在遵循法律規範、符合作業程序、落實資訊安全及個資保護的基礎上,推動New eID,是順應民意及符合民眾期待之作為。 本部承大院各委員之指教及監督,在此敬致謝忱,並祈各位委員繼續予以支持。 主席:請國發會法制協調中心林參事報告。 林參事志憲:主席、各位委員。今天承蒙貴委員會邀請,針對「新式數位身分證之法律授權,及其招標程序與個資安全維護之必要措施」涉及個人資料保護事宜,本會謹提出說明,敬請指教。 一、New eID為智慧政府服務的基礎架構,是在保護個人隱私與資訊自主下運作 New eID是智慧政府服務的基礎架構,可使政府加速將創新科技導入客製化民生服務。New eID係作為身分辨識之鑰匙,並採行「eID版面個資揭露最小」、「隱私資料加密保護,需民眾同意及需內政部授權方能讀取」等做法保護隱私及資訊自主。 運用New eID,民眾可在免臨櫃、免奔波、免提書證、免填寫、不受時空環境限制下,隨時辦理業務,享有各項智慧政府個人化數位優質服務,可大幅提升政府服務效能。 二、New eID不儲存多於現行紙本身分證之資料,相關蒐集、處理及利用皆需依個人資料保護法規定辦理 New eID係一張結合國民身分證及自然人憑證,兼具實體世界及虛擬網路世界身分識別之證件,單純作為身分識別,並採取最小資訊揭露原則,晶片不儲存多於現行紙本身分證之資料,並依資料敏感程度分區儲存。 New eID透過減少卡面記載之個人資料,並將晶片內儲存之資料分區儲存、加密,不僅能兼顧未來生活上使用的便利性,也能減少民眾每次使用身分證,所有記載於卡面上之個人資料即被一覽無遺的困擾,對於民眾之個人資料更有保障。 又各公務機關在推動New eID之製發及應用過程,應確實依個人資料保護法等相關規定辦理,如有違反該法規定,即應負民、刑事及相關行政責任。 三、New eID儲存之民眾個人資料,須依個人資料保護法規定採取必要之安全維護措施 個人資料保護法第18條規定,公務機關應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏;同法施行細則第12條第2項規定,公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施,該措施得包括「配置管理之人員及相當資源」、「界定個人資料之範圍」、「個人資料之風險評估及管理機制」、「事故之預防、通報及應變機制」、「個人資料蒐集、處理及利用之內部管理程序」、「資料安全管理及人員管理」、「認知宣導及教育訓練」、「設備安全管理」、「資料安全稽核機制」、「使用紀錄、軌跡資料及證據保存」及「個人資料安全維護之整體持續改善」等事項。 考量對於個人資料之保護,New eID儲存之民眾個人資料,相關公務機關須循上開個人資料保護法及其施行細則之規定採取必要之安全維護措施,以保障民眾個人資料之安全。 四、結語 隨著資料驅動經濟發展之時代來臨,世界各國已意識到推動政府數位轉型之重要性,紛紛規劃「智慧政府」之藍圖,秉持「以民眾為核心」的服務理念,以「資料」驅動為主軸,應用創新科技,提供民眾個人化之數位優質服務,以滿足民眾需求,並落實個人資料保護。 主席:其他機關有無補充說明?(無)無補充說明。 報告結束,現在開始詢答,本會委員發言時間為6分鐘,得延長2分鐘;非本會委員發言時間為4分鐘,得延長2分鐘;10時30分截止發言登記;11時截止提出臨時提案,於詢答完畢後處理。 請蔣委員絜安發言。 蔣委員絜安:(9時33分)主席、各位列席官員、各位同仁。新式數位身分證(New eID)明年10月即將要上路,雖然還沒有上路,但是內政部陳宗彥次長已經有提到,新式身分證下階段還要結合綁定手機,未來應用上結合APP的功能,用條碼確認身分證的資訊,強調不用帶數位身分證就可使用,讓民眾在使用上更為便利。 但是本席想要請教部長,個資保護是大家的疑慮,現在開始要結合手機,增加民眾使用上的便利性,雖然是立意良善,但會不會有更容易讓駭客入侵的問題? 主席:請內政部徐部長說明。 徐部長國勇:主席、各位委員。使用更多,駭客入侵的機會一定會更大,這是必然的,但每一個APP的介接是在國發會,不是在內政部,內政部就是單純做身分確認的數位身分證,以後數位身分證包括綁定手機等等,接下來這些結合國發會做相關的審核,也會請各個部會一起來研究。這部分是數位身分證換發以後的階段,當然每個階段都可能會產生資安,我們也了解資安就是要用最壞的打算去做最好的防範,沒有人可以保證資安以後統統可以100%,就像民眾也有很多地方在進步,以前印個相片一定要去照相館,但是現在自己在家就可以印,所以我們要隨時精進。 我剛才在報告的時候,也跟委員報告我們要隨時精進有關資安的問題;同樣的,剛才委員提到新式數位身分證也許可以跟手機綁在一起,的確可以這樣,但是不是要這樣,以後要綁定之前會有相關的規劃跟資安的測試、檢驗,最後才有可能達到這個階段,所以現階段還沒有,但是以後可以這樣,這部分我們一定會做資通安全的檢驗。 蔣委員絜安:你雖然強調新式數位身分證只是一個身分識別的功能,但是到目前為止,一些民眾以及人權團體還是充滿疑慮,尤其反對數位身分證的人還是質疑資料會外洩,甚至數位身分證套用在人民身上就像裝設eTag,認為政府是藉由數位身分證,用國家機器來監控人民,有這樣的指控。 徐部長國勇:eTag跟這個安全機制是完全不一樣的。 蔣委員絜安:我現在指的是一般人權團體有這樣的疑慮,資安就是國安,我們當然希望把關能夠做到最好…… 徐部長國勇:是,我們應該要這麼做。 蔣委員絜安:不要造成民眾的恐慌跟擔憂…… 徐部長國勇:是。 蔣委員絜安:本席想要請教部長,現在數位身分證是一個介接性質的鑰匙,它是一次性登入嗎?還是…… 徐部長國勇:它不可能一次性登入獲得所有資料,因為它要介接的時候,還要再經過每一個審核;譬如介接健保局,數位身分證全面換發以後可不可以介接?必須健保局跟國發會申請,我們再看它可不可以介接、它的資安怎麼樣。所以也是跟健保局,它是使用機關,必須確保民眾的個資,這部分不會一次性登入即所有資料全部都進去,不可能啦! 蔣委員絜安:對,如果是一次性登入,那就是非常危險。 徐部長國勇:不會。 蔣委員絜安:因為在今年6月銓敘部曾爆發過60萬筆個資外洩,還囊括8大情治系統,所以提醒部長這部分要特別注意。 徐部長國勇:當然。 蔣委員絜安:下一個要關心的重點是,我看過109年預算書,本席發現未來數位身分證總經費需要48億元,分4年來進行換發,其中第1年經費大概是四億多元,對不對? 徐部長國勇:對,4億2,000萬元。 蔣委員絜安:這些經費包括購買高階雲端伺服器、主機、雲端儲存系統,以及巨量的資料庫等高階設備。本席想要提醒部長的是,中資背景滲透政府的採購,之前有臺中市政府以及臺大等單位監視器都採購到「中國天網」的海康威視監視器,如果民眾登入數位身分證會留下紀錄,這是大家擔心的。 臺灣有資安專家曾經講過,如果經由監控技術來取得個資,再配合生物特徵整合到身分證等資料留下紀錄,一旦淪入中共掌控,隱私跟人權將會受到嚴重侵犯,這部分我們是不是有因應對策呢? 徐部長國勇:我們在標案裡面排除所有中國的廠商,我們不會使用中國的,我個人家裡的電腦也不用中國的,我以前的律師事務所也絕對不會用「聯想」這些牌子,所以這一點請委員放心,我們在標案裡會特別排除中國,包括中國的資金,我們都會排除。 蔣委員絜安:我們從媒體上的資料有看到,行政院及總統府國安會也有達成共識,要擴大禁止公務機關採購中國等地危害國家安全的產品,針對新式數位身分證這麼龐大的案子,新的國家政策真的要特別提醒…… 徐部長國勇:一定,我們一定這麼做。 蔣委員絜安:你們要特別把關。 徐部長國勇:是,感謝委員,我們一定這麼做,我會遵照指示。 蔣委員絜安:事實上,臺灣朝野、產官學研及民間各界對於中共撲天蓋地的天網的危機意識,顯然還是不足的,所以這是一個潛在的危機。本席建議政府,內政部可以帶頭尋求國際聯防來應對中共的威脅。其實現在美國、英國、加拿大、澳洲、紐西蘭等有組成一個國際的情報組織─五眼聯盟,他們已經二度提醒臺灣要做這樣的警戒。 資安就是國安,對於民眾,我們當然是站在便民、利民的角度,但是便民、利民也要以國家安全與社會安全為最大的前提,所以本席真的要提醒你們,數位身分證這麼大的議題,更要小心來應對,防止中共的滲透跟威脅。 徐部長國勇:是。 蔣委員絜安:好,以上是本席的質詢,謝謝。 徐部長國勇:感謝委員,委員所講的,我們都會遵守。謝謝。 主席:請陳委員怡潔發言。 陳委員怡潔:(9時42分)主席、各位列席官員、各位同仁。部長早!本席想請問部長,高雄直播主之亂算不算是結束了?因為內政部對於這次的事件,從部長、次長、警政署長及刑事局都南下坐鎮了。屏東也有擄人事件,也是直播主被砍手砍腳,桃園一樣也連續爆發挾持人質、角頭殺人等案件,可是並沒有看到你們有這麼大的陣仗,到底未來是不是各縣市只要有同等級的治安事件,中央都要比照辦理?。 主席:請內政部徐部長說明。 徐部長國勇:主席、各位委員。以屏東跟桃園的情況來說,桃園的案件早上發生下午就破案了,4個人都抓到,而且一發生我就立即以電話跟局長聯絡。高雄這個則是發生已經連續三天,到第三天深夜的時候開了5槍,所以顯然在制止上可能有某個地方或是在法律上有一些問題,所以警政署就派了刑事警察局下去。我是隔天下去的,我一方面是去了解整個狀況,看看在法律上有什麼需要,一方面是大家彼此意見的交流,我想這都是很適當的行為。 陳委員怡潔:所以部長的意思是,其實這不是所謂的政治操作,也不是因為人家要選總統,所以你們就下去打壓人家。 徐部長國勇:講政治操作這句話的才是政治操作啦! 陳委員怡潔:基本上,大家看起來好像你們大陣仗的下去是因為人家要選總統,才得的到中央的關愛,如果沒有要選總統的縣市發生治安事件,你們就不會關愛了嗎? 徐部長國勇:委員,桃園發生的挾持人質事件,嘉義發生的時候,其實在第一時間,保一總隊、特勤都下去了,全部都下去啊! 陳委員怡潔:對啊!所以這樣聽起來,感覺好像是高雄沒處理好,才需要輪到你們下去壓陣,所以就變成是高雄處理不好…… 徐部長國勇:中央、地方要一起配合來處理這個…… 陳委員怡潔:這樣聽起來就變成是中央好棒棒、地方亂糟糟,你剛剛說的讓本席聽起來好像是這個意思,好像外界誤會你們是政治操作還是…… 徐部長國勇:委員,如果他要這樣解讀,他自己去承受嘛!我沒有這樣解讀,我第一天就沒有這樣解讀啊!我不是講…… 陳委員怡潔:你說三天了你才下去,是逼不得已…… 徐部長國勇:也不是逼不得已啦!向委員報告,我們發生任何事件,譬如說昨天…… 陳委員怡潔:所以是認真拚治安,不是拚作秀就對了,是不是? 徐部長國勇:只要任何一個縣市發生任何的重大刑案,尤其是像殺人、毒品案等等,一律在第一時間,所有的警察局長都會馬上傳給我。我也曾經半夜一點多接到電話,分局長跟我講有開槍事件,我問他是誰開槍,他說是警察開槍要制壓,像這些我都知道。 陳委員怡潔:部長,我的意思是從剛才你的回答聽起來,感覺是因為高雄沒有處理好。我想要跟你講的是,今天拚治安歸拚治安,你說沒有政治操作,但外界看來是相對的政治操作。 徐部長國勇:也許外界看的是說他在政治操作也不一定啊! 陳委員怡潔:所以是韓國瑜在政治操作? 徐部長國勇:也許啊!為什麼要解釋是我在政治操作呢?人家…… 陳委員怡潔:我們還是希望從過去以來應該要有一個相對的統一標準嘛,屏東的擄人事件我剛剛也說了…… 徐部長國勇:標準都一樣啦! 陳委員怡潔:標準都一樣? 徐部長國勇:中央、地方要一起把治安工作做好,才能夠提升形象,這個委員也知道啊! 陳委員怡潔:對,部長,我一而再再而三強調的是,我希望你們是拚治安大過於拚作秀啦! 徐部長國勇:不是大過於拚作秀,我本來就在拚治安啊! 陳委員怡潔:我覺得應該要認真的,不要到最後…… 徐部長國勇:不會啦,委員…… 陳委員怡潔:我絕對反對把治安事件變成藍綠惡鬥的祭品…… 徐部長國勇:不會啦!請委員放心,治安是不分藍綠的。 陳委員怡潔:因為大家也說,像徐部長這樣處理高雄直播主之亂,好像是撿到槍,這樣的說法或是看在民眾的眼裡,其實是無法接受的。 徐部長國勇:會不會看到我下去,他才撿到槍呢?因為他說部長來幹什麼?我是警政機關的直屬長官,我去看、去慰問員警也是應該的,怎麼會質疑我去幹什麼呢?所以這個東西是兩面的解釋,民眾都看在眼裡。委員,我這樣說你應該瞭解我的意思。 陳委員怡潔:我瞭解你的意思,你也覺得他處理不好,我聽起來是這樣的。 徐部長國勇:你當然可以這樣解讀。 陳委員怡潔:這跟你覺得中央好棒棒、地方很糟的道理是一樣的,但是無論怎麼樣,我們希望在實質上還是要去做拚治安的工作才是當務之急。 徐部長國勇:這句話說得對,委員這句話是正確的。 陳委員怡潔:不是變成藍綠惡鬥的祭品,好像因為高雄市長要選總統,中央就特別關愛他、禮遇他,對於沒有選總統的其他縣市如果發生重大治安的案件,中央就不管,這個是我們不希望…… 徐部長國勇:委員,對於每一個地方,我們都很關心,像嘉義,刑事警察局、保一總隊等,我們全部都下去了。 陳委員怡潔:部長,你真的很實在,也很優秀,不過如果到最後是作秀拚治安,讓人家誤認你是在幫蔡總統助選,跟地方首長別苗頭,我覺得這樣你就被扣分,我們也會捨不得啦! 徐部長國勇:不會啦。治安不分藍綠,不分中央地方,我們一起來。 陳委員怡潔:另外,警政署好像已經下令要求各警局對全國的直播主造冊,這個造冊什麼時候可以造冊完畢? 徐部長國勇:沒有,據我現在所了解的是,對於可能會有黑道背景的部分,他們會加強注意這個部分。 陳委員怡潔:每個縣市的直播主…… 徐部長國勇:我在這裡要講的是,大部分的直播主,他們都是正當的,所以不能…… 陳委員怡潔:你們現在掌握的呢?現在沒有各縣市的直播主造冊?也就是說,對於現在比較火紅的直播主,會去關愛,然後發現有幾個是有黑道背景的,你們才會特別關注? 徐部長國勇:我們會對有黑道背景的做清查,清查以後,我們當然會做一些相關的注意。 陳委員怡潔:所以現在已經在掌握當中? 徐部長國勇:有一些刑事警察局當然有在掌握當中。 陳委員怡潔:會不會公開?會不會公布? 徐部長國勇:這個我們不會隨便公布的,因為人家還沒有犯罪行為,當然也許以前他有前科、有幫派背景或是有組織犯罪,但現在我們不能隨便把人家公布啊! 陳委員怡潔:所以目前掌握的有幾個?有人說…… 徐部長國勇:有關掌握幾個,如果有必要、有需要的話,由事警察局來做相關的判定以後,是不是怎麼樣…… 陳委員怡潔:最快什麼時候可以公布? 徐部長國勇:怎麼樣做適度公布?我們再來決定,現在沒有什麼最快的時間。 陳委員怡潔:所以現在只是在進行當中? 徐部長國勇:我們一直在進行當中。 陳委員怡潔:是做什麼樣的買賣或是產品,或者是在哪個縣市,有沒有完全掌握?是不是可以給予相對的透露? 徐部長國勇:貨物只要不違法都可以賣,當然不可以在直播上賣醫療用品,那是違反醫療法的,這是不可以的,也不可以賣仿冒品。報紙不是也有刊登,現在被收押的直播主可能涉及有一些東西是仿冒的,我們現在正在送鑑定。所以不能賣違法的物品,至於合法的當然都可以賣。 陳委員怡潔:所以沒有所謂針對全國的直播主去造冊?這件事情是沒有的? 徐部長國勇:大部分的直播主都是正常的,都是正當的…… 陳委員怡潔:會不會有像一些直播主反映的,在造冊的同時,有可能也會叫國稅局去查稅? 徐部長國勇:國稅局不是我主管的,我跟他們沒關係。 陳委員怡潔:對啊,所以我問你啊!會不會有這種狀況?你們蒐集好這些直播主的相關資料造冊以後,再叫國稅局去查稅,會不會有這種情況? 徐部長國勇:警察不會做這種事情。 陳委員怡潔:不會做這種事情? 徐部長國勇:不會啦!委員放心啦! 陳委員怡潔:所以現在只針對所謂掌握到黑道背景的部分會去加以關心跟追蹤? 徐部長國勇:對,我們會特別注意。 陳委員怡潔:你們會多加注意? 徐部長國勇:譬如說在直播上,有一些不是賣東西的直播主,但本身有在直播,比如說那邊可能有小朋友遭遇到虐童事件,他就呼籲大家過來,然後就造成治安事件…… 陳委員怡潔:對,有可能就會發生治安事件。 徐部長國勇:這些我們都會列冊並隨時注意,我們在網路上巡邏的人員就會在網路上監看,一個事件發生後,他會不會再去召集民眾等等,如果有的話,委員可以看到,只要有任何這一類的事件發生,第一時間我們就會知道。刑事警察局或是各縣市的警察局,如果他有這種號召行為,民眾還沒有到,我們警察就先到了,就是要防制這些…… 陳委員怡潔:所以目前警方就是以具有黑道背景的為事先、優先處理、也就是追蹤的對象? 徐部長國勇:不是事先、優先,我們就是針對這些…… 陳委員怡潔:就是現在已經針對這些對象優先正在處理,你們完全掌握? 徐部長國勇:就針對這些啦!其他正當的人,我們不會去針對他們啦! 陳委員怡潔:對,這就是我們所討論的,如果有可能會滋事造成治安隱憂的部分,應該要全權的掌握啦…… 徐部長國勇:是。 陳委員怡潔:但是目前的法律看起來應該是沒有辦法規範,沒有錯吧? 徐部長國勇:你說的是規範哪一部分?是指直播嗎? 陳委員怡潔:對啊!直播主這個部分…… 徐部長國勇:他直播若是合法,我們當然不規範;但是如果直播的內容有涉及違法,我們還是照辦啊! 陳委員怡潔:如果滋事的話,警方也有絕對的把握可以迅速地處理? 徐部長國勇:我們隨時都在注意這些,委員也可以看到,虐童事件當時他在號召群眾要去自力救濟,要私法自力去報復等等情事發時,我們警察都比他們早到,所以我們都有在注意。 陳委員怡潔:我認為這是要迅速查辦的。另外,部長知道我們臺灣最大的毒梟是誰?比如過去我們都有列十大槍擊要犯,蔡政府就任後也曾把掃毒列為政府的重要政策。 徐部長國勇:報告委員,全國最大的一個毒梟,以前那個案子是我辦的,我知道,但是現在因為有個資法的規範,我沒有必要在這裡講這些案子。 陳委員怡潔:不是,我現在的意思不是叫你公布個資,而是譬如過去我們都有列出十大槍擊要犯等等,對於毒品,因為這方面過去也是蔡政府一直非常在意的政績,所以有沒有列出十大毒品要犯等等?主要的毒販是誰?到底有沒有抓到? 徐部長國勇:有啦!都有。包括涉及毒品被通緝,還有以前那些製毒師等等,有這些前科的人…… 陳委員怡潔:我問的就是有沒有在你們的掌握當中?到底這一些最主要的十大毒販有沒有…… 徐部長國勇:當然他們……有啦!有啦!委員,你跟警察也很熟,請你相信我們的警察,我們的警察能力很好的。 陳委員怡潔:我當然相信,不過我要相信我們的政府啦! 徐部長國勇:會啦!我們政府…… 陳委員怡潔:有時候基層員警要聽也是聽上級的,難道是聽我們的,對否? 徐部長國勇:報告委員,犯罪的偵辦不分藍綠、不分任何色彩啦!都會努力處理。 陳委員怡潔:所以部長上任以後,毒品的整體數量是增加還是減少? 徐部長國勇:其實毒品案件有很多種指標,其中如果以人來講,有兩個指標最重要,一個是少年犯;一個是初次吸毒的人數,這兩個指標都有顯著下降,我可以把數據提供給委員。 陳委員怡潔:請把數據提供給我,好不好? 徐部長國勇:沒問題,委員看過之後會覺得比較安心,瞭解其實現在的緝毒成果非常好。 陳委員怡潔:像我剛才所講的,譬如十大槍擊要犯,我們一定都會知道有哪一些…… 徐部長國勇:他們有啦! 陳委員怡潔:因為真的有很多毒品已經透過不同的方式進入校園。 徐部長國勇:沒有錯。跟委員報告,我還交代移民署,針對以前有製毒經歷、前科的製毒師,如果他要出國,一看到他出國的地方是東南亞或是哪裡,我們移民署就會跟他說一句話「好好玩喔,不要去搞東搞西喔!」 陳委員怡潔:不是啦!這個嘴上講話…… 徐部長國勇:這樣對他的心理也會有一點制約作用啦!我們都從各方面在做啦! 陳委員怡潔:制約作用?如果他懂得自律或制約,今天他就不會被列為十大,就不會成為一個毒販嘛! 徐部長國勇:沒有錯,但是這樣做會讓他知道他不能出去亂搞,我們各個方向都在做啦! 陳委員怡潔:部長,我覺得我們不要樂觀看待啦!針對這些毒販的狀況,我們是不是應該仿效過去使用的方式,讓社會大眾能夠更為瞭解,不要用個資等等,思考應該用什麼樣的方式讓大家可以防範也好,因為現在毒品真的已經走入校園了啦!所以我的意思是要怎麼樣從大方向去加以防範…… 徐部長國勇:瞭解,我瞭解委員的意思。是。 陳委員怡潔:就像我講的以前會列出十大槍擊要犯,現在是不是要列出十大毒販? 徐部長國勇:委員的建議,我放在心裡,跟警察開會的時候,我一定會跟他們講,說這是陳委員的交代。 陳委員怡潔:所以還是要讓我瞭解一下,好否? 徐部長國勇:一定,好。 陳委員怡潔:因為當我在基層走動時,真的有很多民眾在反映這件事,很多家長也都很擔心這一塊。 徐部長國勇:好。相關的資訊跟數據,我再提供給委員參考。 陳委員怡潔:好,我知道你好棒棒啦,但還是老話一句,如果要拚作秀,部長,你不是number one啦,你這個人很實在,要替別人背黑鍋、演戲、拚作秀,還輪不到你啦! 徐部長國勇:不會,這個真的不是作秀啦!委員,多謝你。 陳委員怡潔:好不好?拚治安啦! 徐部長國勇:謝謝。 主席:請鄭委員秀玲發言。 鄭委員秀玲:(9時55分)主席、各位列席官員、各位同仁。我今天主要是針對換發數位身分識別證可能產生的一些問題來就教於部長,希望執行此案的單位,不管是國發會或是內政部,請你們停、看、聽。雖然數位身分證是一個世界性的趨勢,有些國家已經採用了,但本席在此呼籲政府部門,最好能夠參考諸如德國、愛沙尼亞等已經實施過的國家,去瞭解歐盟的作法是怎麼樣,因為他們走在我們前面。 就歐盟的經驗,我今天要講三個重點,他們已經實施數位身分證了,他們做了哪些配套措施;還有國內的現行法規是不是完備;第三,從技的術層面來看,一些資安學者、專家提出的一些看法。我今天發言的內容主要是參考歐盟的官方文件、賴中強等幾位NGO團體法律人在蘋果日報的投書,還有臺大電機系林宗男教授、成大電機系李忠憲教授在自由時報的投書,所以基本上是參考了國內外極具代表性的資訊來質詢,並非我個人主觀的意見。 我們先看一下歐盟怎麼做呢?他們在推數位身分證(eID)之前先訂定專法,諮詢專家小組並重視資安。歐盟訂了什麼法呢?為了推數位身分證,他們通過了電子身分認證與信賴服務法,在法規內明定主管機關要與個人資料機構合作,要符合所謂的GDPR,也就是個資的法令。當然目前國發會也正在研究GDPR,是比較嚴格、嚴謹的個資法。在成立專家小組方面,以愛沙尼亞為例,各個相關部會一起合作,隨時檢視有什麼問題。針對資安的部分,再以愛沙尼亞為例,eID本身並未存取任何資料,並非作為存取資料之用,另外並建立備援機制,所以待會再一起問部長,我們做了備援機制沒有? 請看下一頁,就現行法令而言,涉及的法律一個是戶籍法,一個是個資法。如果要安全的推動數位身分證,一定要修戶籍法,因為目前的戶籍法並未規定或限制我們的身分證在公、私領域使用的範圍及條件,所以如果身分證的資料被不當使用,我們的國民針對目的外的使用並無拒絕權,亦即取得資料者拿去做別的使用,我們無可奈何。這部分一定要先修戶籍法,界定身分證的使用範圍及條件,以及如果違法使用又該如何處理。另外,現行個資法的規範其實也是不夠的,亦即若違反個資法,對於每人每一個事件最高只罰2萬元的賠償,萬一數位身分證出現個資無法保護的問題,個資法的罰則也是不夠的。 對此,資安專家提出的意見是,我們怎麼樣做到隱私保護以及資安的防護。在國外、在歐盟,他們會先做隱私影響評估,也就是評估這個推行之後,隱私會受到什麼樣的影響;另外,還有針對資安,技術上的風險是什麼。所以歐盟GDPR規定,一定要實施所謂的隱私影響評估。針對資安的風險部分,臺大電機系與成大電機系的2位教授認為,我們現在這個做法雖然在技術上很方便,但是屬於集中式的設計,它所帶來的是單點失效的資安風險,也就是說,一旦某一個國人的身分證受到駭客攻擊或竊取,可能殃及其他部分的個資,即某一個人被駭客攻擊,將影響到其他人的個資也被洩漏,這個是我們不願看到的。 因此,我們最後的結論是,雖然推動數位身分證是必然的趨勢,希望政府要加強法令的規範、完善法規,並進行小規模的發行與測試。目前雖然已經發包,金額好像是三、四十億元,然而根據資安會報專家的建議,希望像當年推健保卡的時候,有在澎湖做測試,所以建議先做小規模的發行與測試,確定沒有問題了,再做全面的推行。以上是我的建議,上述的補強措施希望政府能夠採納。 主席:請內政部徐部長說明。 徐部長國勇:主席、各位委員。感謝委員的建議,委員的建議都非常有參考價值。首先,有關委員所提到關於補強措施的部分,即進行小規模的發行測試,就是我們所謂的賞金獵人這部分,我們會做,我們的報告也有提到。 鄭委員秀玲:除了那個之外,我是說要選某一個地區,實際上…… 徐部長國勇:這部分我們也會研議,我想委員的這個建議就是要把那個可能的bug找出來,這是好事情,我們會研議。像賞金獵人就是一個最好找的方式,因為有獎金,大家就會衝。 鄭委員秀玲:我知道。 徐部長國勇:第二點,針對法源的部分,當然每個國家的法制不太一樣,有的國家是立專法,但是事實上現在根據各機關,我在報告中有提到我們的個資法、電子簽章法、戶籍法等等相關法令…… 鄭委員秀玲:目前戶籍法足夠嗎? 徐部長國勇:例如我們現在到私人診所,他還是要你填所有的資料,所以你要不要把資料交給他,同意權是在個人,而不是在於這個…… 鄭委員秀玲:如果我們交給業者之後,他做了目的外的使用…… 徐部長國勇:這就涉及個資法,個資法是相當重的。 鄭委員秀玲:可是個資法只罰2萬元。 徐部長國勇:還有刑法的問題,有的個資使用會產生刑法的問題,例如集中就會產生刑法的問題。 鄭委員秀玲:可是金額太少了。 徐部長國勇:涉及刑法就會坐牢,所以有這些相關的問題。其實立專法也是一樣,就是把刑法的規定搬過來,結果也是一樣。當然我不是完全反對用專法,我意思是,在現階段來講,這些法律也是足夠的,也經過相關機關及一些法學專家的探討。至於要不要立專法,其實我們也都尊重委員的意見,因為立法權是在委員。 鄭委員秀玲:但是戶籍法和個資法的罰責是不是應該優先修正、修改? 徐部長國勇:如果覺得罰責太輕,我們可以來討論,當然可以來討論,就像酒駕一樣。像酒駕,我們8月1日才剛開始實施,到現在大家都覺得又太輕了。 鄭委員秀玲:另外,你有提到印製的部分交給中央印製廠,由專人執行。我聽了那幾個字覺得有點害怕,專人執行,這個專人如果出了問題怎麼辦? 徐部長國勇:任何的步驟都可能有人會出問題,所以這就是控管的問題。 鄭委員秀玲:所以在個資的部分要有專法,還要有專責機構,如果不當使用或不當洩漏要做怎麼樣的…… 徐部長國勇:委員的這個建議我們可以參考,但事實上現在包括行政院也認為這個已經足夠,所以在這一部分來講,法源是可以的,是沒有問題的。針對我們發行身分證的內容格式、發行的辦法,在戶籍法中也有規定。縱然我們現在是使用紙本的,其實在很多地方我們還是會把個資交給人家,譬如你去申請信用卡,還是用身分證去申請,並且填了一些資料,這部分戶籍法沒有規定,可是也是在用。 鄭委員秀玲:我們目前的個資法真的不夠,這是國發會在研究歐盟GDPR的原因,目前推動數位身分證比較成功是德國和愛沙尼亞,所以真的呼籲我們的政府…… 徐部長國勇:我們可以參考委員的意見。 鄭委員秀玲:儘量要做到安全,不然的話會…… 徐部長國勇:針對資安,講實在話,駭客一直在精進,我們的資安如果沒有跟著上去,那就是被駭走了,所以我們也要繼續精進。 鄭委員秀玲:臺灣的資安問題很多,前一陣子有幾十家醫院才被駭客勒索,還有銓敘部的資料也都洩漏了,所以我不認為我們的資安做得很好,你現在推動數位身分證,我覺得可能要會同其他的…… 徐部長國勇:我們的數位身分證只是身分識別,我們並不是把你的健保資料、什麼資料全部都放到身分證的晶片裡面,一旦晶片被駭,什麼資料統統過去了,不會這樣子。 鄭委員秀玲:可是你是跨部會使用,是不是? 徐部長國勇:到時候使用要介接的話,要等到發行以後,例如要介接健保局,還要經過衛福部、健保局一起跟國發會和我們來商量、討論,最後讓民眾了解,整個會做相關的配套。 鄭委員秀玲:介接的部分還沒做? 徐部長國勇:還沒,都沒有。 鄭委員秀玲:還沒做的話,為什麼要開始印製呢? 徐部長國勇:我們現在是要先換這個身分識別的身分證,其實我們的身分證已經14年沒有換了,我跟委員報告,我們破獲很多偽造身分證的案件,網路上在淘寶網就可以買到相關的紙本,回來自己製造,很多人就這樣被騙了。我們的身分證14年都沒有換,紙本的防偽措施都已經被破解,真的要加強。 鄭委員秀玲:徐部長,不要為了換身分證而換身分證,OK? 徐部長國勇:不是。 鄭委員秀玲:既然我們花了四十幾億元,就要做到方便又安全。 徐部長國勇:當然,我們一定是往這裡走。 鄭委員秀玲:除了國發會、內政部之外,應該多和資安的專家、科技會報的專家、學者…… 徐部長國勇:應該這樣。 鄭委員秀玲:所以不用急,做得好比較重要。 徐部長國勇:這些人要找我,我從來沒有拒絕過,只要每個人找我,我立即排時間,就算是晚上,我也跟他們見面,我從來沒有拒絕過。 鄭委員秀玲:不是見面,而是去action,就是要聽他們的意見。 徐部長國勇:當然,因為我不是電腦專家,他們的意見我都交給專家,包括我們的資通安全處,拜託他們來幫我評估、評析。 鄭委員秀玲:我今天聽起來的感覺是,徐部長就一直拍胸脯說沒問題,可是對法律專業的賴中強律師,還有臺大電機系的林宗男專家、成大電機系的教授都覺得很有問題。我覺得你們要虛心的來推這個東西,不要急,做得好比較重要。 徐部長國勇:好,謝謝委員。 主席:請張委員宏陸發言。 張委員宏陸:(10時8分)主席、各位列席官員、各位同仁。部長,大家都知道,對這個新式、數位的身分證很多人認為這是一個進步的趨勢,當然很多人也會有一些擔心。我在這邊要請問部長,新式的身分證是把我們所有人的資料都放在裡面,還是它只是一把鑰匙,可以打通……。比如他要去看醫生,以後的介面都弄好後,它應該是類似一把鑰匙,打開之後我可以拿到健保的資料,如果你平常沒有連線上的話,這些資料不在身分證裡吧? 主席:請內政部徐部長說明。 徐部長國勇:主席、各位委員。當然,身分證的容量只有144kb,不可能把這些資料存進來,所以它就是一個單純的身分識別。當然它是一把鑰匙,以後如果有一些部分經過國發會、經過相關機關共同同意,民眾也可以接受了以後,才有可能介接到這些相關機關,例如健保就是一個最好的例子。至於現在有沒有介接健保?沒有,那還要等以後再處理,所以不是把所有的資料都放在這裡。 張委員宏陸:我認為你們應該要跟所有的民眾說清楚,這個身分證裡面其實沒有很多的資料,你要介接健保或是要做什麼,如果以後你要讓這張數位身分證可以代替駕照,可以代替健保卡等等,做一個整合的功能,我認為是可行的方向,而且你們本來就是要朝這個方向去做,對不對? 徐部長國勇:是,沒錯!是應該這樣子。 張委員宏陸:是嘛!重點是在這個數位身分證裡面的基本資料根本就沒有很多。 徐部長國勇:比紙本還少。 張委員宏陸:它類似一把鑰匙,政府機關如果需要用到個人資料,可以利用它打開。 徐部長國勇:身分認證。 張委員宏陸:身分認證確定是你,政府機關就可以拿到所要的資料,大致來講是不是這樣子?是不是要跟民眾講清楚? 徐部長國勇:就是這樣子,沒錯,感謝委員剛剛都幫我講了。第一、不是把所有的資料都放在身分證裡面。第二、身分證裡面所含有的資料,其實比現在的紙本還少。舉例而言,如果現在去申請一個東西,政府機關要求提供身分證影本,那所有的資料就都洩漏出去了。再舉個例子,遊樂園如果提供附近的鄉民、里民免費入園的優惠,數位身分證一過卡就知道這個人是不是里民或鄉民,但是不會洩漏他住在哪一家,因為這張身分證上的戶籍地區只有到里、鄰,看不到地址。 張委員宏陸:現在紙本看得到。 徐部長國勇:所以保護是比紙本更好。 張委員宏陸:對啦!這就是要跟大家說清楚。 徐部長國勇:是,感謝委員。 張委員宏陸:另外,有人問過我一個問題,假使他身分證掉了,現在電腦技術這麼發達,如果有人從身分證晶片去篡改基本資料,對於這樣的情況,內政部有沒有什麼防範的方法? 徐部長國勇:報告委員,我們使用的晶片防複製、防篡改,所以不會這樣。 張委員宏陸:部長,再怎麼樣精密的設備都有可能被破解,我們必須要有這種想法。重點是就算我掉了,這把「鑰匙」如果和內政部、各戶政事務所後端主機所建立的資料不一樣,應該第一時間就可以查出來,以後有人身分證掉了,如果被人冒用,政府機關應該第一個知道,還可以立即通知當事人,是不是應該要這樣? 徐部長國勇:當然,只要打1996掛失,別人就無法冒用了;另外,撿到別人身分證的人沒有密碼,也沒有辦法查看資料;同時,大家也要有共識,把自己的密碼保護好,大家長期使用信用卡、使用電腦上網,一定都有這個認識,自己要注意。數位身分證不能篡改,也一定要有密碼才能進去,防止複製,最重要的是數位身分證剝離以後就不可能再貼回去,基本上是相當好的機制。 張委員宏陸:部長,我相信這些設計,但是你要知道「道高一尺,魔高一丈」。 徐部長國勇:當然。 張委員宏陸:你不知道厲害的人在哪裡。 徐部長國勇:我們當然會想到這些。 張委員宏陸:而且我認為全臺灣應該有這麼厲害的人。我的意思就是說,我們要讓人民有一個觀念,就是時代進步到這個地步,身分證掉了,可能兩、三天之後才發現,在這種情況之下,如果有任何人利用數位身分證假冒他人去做違法的事情,我相信以現在的技術來講,等所有介面連接完成之後,所有戶政事務所應該可以第一時間知道某張身分證非本人使用,在第一時間就可以切斷資訊,並且在第一時間通知當事人身分證被冒用。 徐部長國勇:可以,譬如輸入密碼三次錯誤就鎖卡,我們馬上就會知道。所以委員講的都有機制在。 張委員宏陸:我的意思是,我們的宣傳不夠,有些人就會擔心。 徐部長國勇:我們來加強。 張委員宏陸:對啦!有些人會擔心掉了被冒用或資料曝光,剛剛部長講得很清楚了,告訴民眾這只是一把鑰匙,不會讓所有資料曝光,即使掉了,內政部也有很多防範機制,總之,讓人民安心就好。 徐部長國勇:感謝委員提醒,我們來加強這方面的宣傳跟文宣,這是第一點。第二、我也考慮請戶政司在發放身分證的時候夾帶一個小紙條,把委員講的這些寫在一個小紙條上,等於是提示事項。用這個方式來提醒大家。 張委員宏陸:這樣大家就放心了。 徐部長國勇:2,359萬人領身分證的時候,每個人都有這張提醒的小紙條。委員提醒以後,我們就這麼來做,應該不錯。 張委員宏陸:這樣大家也都放心了啦! 徐部長國勇:當然我們要從現在開始加強宣傳。 張委員宏陸:對,其實人家問我,我解釋之後,大家都可以接受。我在板橋選區遇到的人最多,但是內政部可以直接宣傳讓大家都知道。在小紙條還沒有做出來以前,各地的戶政事務所現在就可以做海報宣傳。 徐部長國勇:包括跑馬,我們用各種方式來處理,謝謝委員。 張委員宏陸:謝謝。 主席:待會李委員俊俋發言完畢,休息5分鐘。 現在請黃委員昭順發言。 黃委員昭順:(10時16分)主席、各位列席官員、各位同仁。今天在討論新式的數位身分證,其實大家最擔心的就是人權、個資及國家安全。我記得兩年前對岸提出第二代臺胞卡的時候,民進黨的委員包括羅委員致政、黃委員偉哲、趙委員天麟,甚至陸委會的官員都講可能有監控的功能,會涉及洩漏個資和人權上的問題。其實跟我們現在在討論的這個問題有一點點類似,也就是個資、人權和國家安全要如何兼顧?現在全世界大概有幾個國家在做,你當然都說有好多國家在做,可是擺在眼前的英國、美國、法國都沒有做,尤其是美國,美國在推公民身分證時,他們的自由意識主義者和保守派政治家非常反對,他們認為會有一些控制。今天我看你們已經開始推動了,在推動的過程當中,怎麼樣給我們的人民信心、讓我們的人民安心?德國就有針對這個部分立法,愛沙尼亞也一樣,特別制定了專法規範。我想請教部長,我們現在大概就是用戶籍法第五十一條到第六十二條來規範,你認為這部分是不是應該有一個專法來處理? 主席:請內政部徐部長說明。 徐部長國勇:主席、各位委員。有關法律的部分,其實我們也跟法規會等相關機關探討過,他們也認為根據戶籍法五十二條、第五十九條就可以發行身分證。 黃委員昭順:我想請教部長,針對這個部分有沒有舉行過公聽會? 徐部長國勇:我記得有其他單位辦過。 黃委員昭順:哪一個單位?因為這是內政部主辦的。 徐部長國勇:委員會也有舉辦過。 黃委員昭順:委員會也有舉辦過? 徐部長國勇:我要提到的是,因為我們有電子簽章法和資通安全管理法,所以相關的法律是足夠的。雖然我們沒有將盤整成一個專法,可是事實上,將這些法律聚集起來也不輸給一個專法。 黃委員昭順:那我們要不要盤整成一個專法? 徐部長國勇:現在行政院並沒有這個規劃,因為法規會認為有這些法律就足夠可以來處理了。 黃委員昭順:我們要不要把它整個整理出來? 徐部長國勇:當然,把它整個整理出來也是一個方向,並不是說不行,但現在行政院並沒有這個規劃。 黃委員昭順:例如:可不可以綁定手機?這好像是要由個人來決定要或不要?你說那是一個鑰匙,那本席要請問部長,有些人或許很了解數位,但有些年紀偏大的人對數位的認知確實是有一定程度的落差,你現在要把身分證換成數位身分證,但有些老人家對數位身分證確實完全沒有概念,他根本不知道這把鑰匙到底要使用在什麼地方才是安全的。 徐部長國勇:他可以臨櫃辦理,如果你不要使用數位身分證的話,你就不要開通自然人憑證,你可以停用或廢止,你也可以臨櫃的來處理。 黃委員昭順:不是,問題是在什麼樣的狀況下才可以保證它是不會被打開的? 徐部長國勇:不會,我們這邊鎖住了,把它停用或廢止了,這些資訊只要連上我們的專區就都可以看到。另外你也可以選擇用紙本,你可以用戶口名簿的紙本臨櫃的來辦理相關的業務,我們並沒有停止臨櫃辦理或停止紙本,這些方法你都可以使用,並不是以後就不能使用了。 黃委員昭順:部長,我們要使用數位身分證的目的就是希望以後不要再使用紙本來辦理相關的業務了。 徐部長國勇:對。 黃委員昭順:我們的目的是這樣嘛! 徐部長國勇:但是他有疑慮,他要使用紙本,我們也尊重。 黃委員昭順:這不是他的疑慮,而是我們要使用什麼樣的專法來規範這些東西,萬一有不肖份子,比如櫃檯的某些人,因為你並沒有辦法保證在換發的過程中,大家都沒有任何的……,因為公務人員也是有不肖份子的,如果他們利用這些東西來做一些事情的話,你們要怎麼樣規範?本席覺得這部分是我們必須要預作準備的。 徐部長國勇:所以我們才會提到,我們並沒有禁止臨櫃辦理。 黃委員昭順:部長,你要不要考慮將整個罰則弄得更清楚一點,這樣對所有的人民…… 徐部長國勇:現在已經有罰則了,就是電子簽章法。 黃委員昭順:但本席就是覺得不夠,本席希望能夠有一個專法讓我們針對這個部分再好好的討論,看在這個專法裡要怎麼處理,否則一旦有犯罪的行為,但我們卻要引用另外一個法律來處理,這是不盡公平、也不盡理想的,這就像當時我們在質疑二代臺胞卡一樣。 徐部長國勇:二代臺胞卡跟我們的數位身分證完全不一樣,它有使用生物特徵的人臉來辨識,但是我們沒有。 黃委員昭順:這個本席知道,但不管怎麼辨識,大家現在就是對這個有疑慮,包括我們也是一樣,因為不管你走到哪裡,或是你要買車票幹什麼的…… 徐部長國勇:那個我們不會追蹤。 黃委員昭順:這不是你們會不會追蹤的問題,而是信任的問題,你綁定手機,只要你有買票,萬一這個個資外洩?拜託!部長,你不要跟本席拗這點,你拗這點沒有意思。 徐部長國勇:我不是要拗這點,我的意思是說我們不可能這麼做。 黃委員昭順:部長,本席還有其他的問題要問,你一直占用本席的時間是沒有道理的。 徐部長國勇:沒有。 黃委員昭順:因為這個道理很簡單,萬一個資洩漏了,那情況就會很悽慘,像本席今天跑去哪裡…… 徐部長國勇:委員,是這樣的,包括…… 黃委員昭順:你不用講得那麼小聲,這樣好像…… 徐部長國勇:我們的健保資料什麼的並沒有涵蓋在身分證裡面,身分證只是身分的證明而已。 黃委員昭順:但只要有綁定手機就可以使用了。 徐部長國勇:不是,現在也沒有要綁定手機,只是說可以綁定,但那還要經過一番程序及認證。 黃委員昭順:本席今天要跟你提的是,的確,現在外界對此還是有這些疑慮。 徐部長國勇:這個我們了解。 黃委員昭順:所以我們要如何降低民眾的這些疑慮?這是必要的。 徐部長國勇:是,我們會加強溝通。 黃委員昭順:第二個題目,本席要對你剛才說我們高雄的治安不好這點提出抗議。 徐部長國勇:我沒有講高雄的治安不好,我是說發生這件事情我們必須要處理。 黃委員昭順:你有講高雄的治安不好,高雄的治安在六都裡面排名第2,這點本席要特別的跟部長講,因為你在這裡講高雄的治安不好,這樣我們高雄的觀光就會…… 徐部長國勇:我是說這件事情有問題,所以必須要壓制,因為已經發生3天了,必須要壓制,現在兩個幫派都已經要火拼了。 黃委員昭順:部長,那你就講這件事情就好了,你不要說我們高雄的治安不好,我們高雄的治安在六都裡面排名第2,這是本席第一個要講的。第二個,本席要請問部長,你說現在直播主都有造冊。 徐部長國勇:是指有幫派背景的,其他的沒有。我剛才也特別的講了,絕大部分的直播主都是正常、正當、相當好的,但是有幫派背景的在我們知道後,我們就會做相關的注意。 黃委員昭順:只針對有幫派背景的? 徐部長國勇:對。 黃委員昭順:好。那本席現在要請問,有幫派背景的這個部分,因為本席那天有看到那則新聞,新聞報導說這2個人後來是用組織幫派犯罪…… 徐部長國勇:組織犯罪防制條例。 黃委員昭順:你們是引用這個條例去申請羈押他們,對不對? 徐部長國勇:我們只有羈押一個,另外一個交保了。 黃委員昭順:另外一個是以30萬元、還是35萬元交保?這個本席忘了,但大概就是這樣。本席現在要請問你,有幫派黑道背景的這些直播主,我們除了可以用組織犯罪防制條例去規範之外,我們還有沒有其他什麼樣的法律可以來規範他們? 徐部長國勇:譬如有販賣仿冒品,那這就牽涉到商標法的問題,類似這樣的問題。 黃委員昭順:現在有問題的這些部分,當然,我們是把這些列為少部分,但這個部分除了會涉及仿冒、幫派之外,我們還有什麼東西可以…… 徐部長國勇:像他還涉及開槍及殺人未遂,所以這就可能會有殺人的問題,這些在我們做完相關的調查後,證據…… 黃委員昭順:你們要不要再訂定一些相關的規範來處理這件事情? 徐部長國勇:委員指的是什麼樣的規範? 黃委員昭順:因為你剛才有提到幾個,例如開槍及恐嚇。 徐部長國勇:這些刑法上都已經有相關的處罰了。 黃委員昭順:所以你還是會直接的從刑法上來做處理? 徐部長國勇:對,我們當然是要從相關的刑法和特別法裡來做處理,當然是這樣。 黃委員昭順:本席那天還有看到新聞報導說,他叫大家要把麵包都吃掉?是不是? 徐部長國勇:那個就涉及強制罪,是刑法第三百零四條。 黃委員昭順:所以你完全都會從刑法那部分來做處理,我們沒有另外的法律可以規範? 徐部長國勇:現在這部分當然是要由刑法來做規範,或跟刑法相關的一些特別刑罰,比如都在商標法裡面,類似這些的;組織犯罪防制條例也是特別刑罰。 黃委員昭順:換句話說,針對有問題的直播主,我們是沒有辦法可以用專法來做處理?你要不要考慮用專法來做處理? 徐部長國勇:說實在話,這部分有刑法就已經相當足夠了,你現在說要針對直播主專門的來制定一個專法,就是他可能會犯什麼罪…… 黃委員昭順:本席不是針對直播主,你現在這樣子講,等一下直播主就全部都來抗議了。 徐部長國勇:你不是這個意思,你不會這樣子的。 黃委員昭順:你不要隨便回答我。 徐部長國勇:委員不會這樣啦!我講的是,如果要類似這樣的把它集中的話,像組織犯罪防制條例針對的就是有組織幫派,且從事不法,有暴力性及集團性的這些,我們當然就是要…… 黃委員昭順:部長,本席建議一下,我們要不要找交通委員會一起來討論?就是針對直播有問題的部分,我們要不要用什麼樣的規範來做處理? 徐部長國勇:其實直播最主要的問題是在NCC和網路平臺。 黃委員昭順:對,NCC,就是交通委員會。 徐部長國勇:網路平臺業者本身的自律比什麼都重要。 黃委員昭順:部長,你要不要把這幾個單位都找來討論看看? 徐部長國勇:可以研議一下,但如果現階段要成立這樣的專法,我要跟委員報告,以我讀法律的立場來講,現階段應該是比較…… 黃委員昭順:部長,我跟你講,他這次是跑到我們高雄,所以你們才會趕快南下去羈押他,你們之前都沒有羈押他。 徐部長國勇:其實我們都有處理,只不過是…… 黃委員昭順:你們之前全部都沒有羈押,對不對?所以才會引起大家的注意。部長,本席要再次跟你抗議,其實我們高雄的治安還不錯。 徐部長國勇:高雄是一個很好的地方,我也常去高雄,我有說高雄是一個很好的地方。 黃委員昭順:高雄是一個好地方,高雄的治安在六都裡面排名第2,如果你不放心,你可以來高雄,我可以帶你到處走走,這樣好不好?我可以帶你到處走走,讓你放心,因為你這樣說會對我們高雄的警察…… 徐部長國勇:委員,我的姐姐和妹妹都住在高雄,高雄當然是一個好地方。 黃委員昭順:好,沒關係,你有空可以去看你姐姐和妹妹,但你不要說我們高雄的治安不好,因為我們高雄的治安在六都裡面排名第2。 徐部長國勇:我沒有說高雄的治安不好,我是說這件事情要處理。 黃委員昭順:這個事件當然要處理,如果你有空,本席可以帶你到高雄走走。 徐部長國勇:我們的情資很清楚,兩派都要火拚了,所以我當然要處理。 黃委員昭順:本席可以跟你保證,我們高雄的治安很好,晚上11點或凌晨2點出去也都還是很安全。 徐部長國勇:我也要跟大家說,歡迎大家到高雄去觀光。 黃委員昭順:你一定要來。 徐部長國勇:委員,我這樣子講…… 黃委員昭順:你不要直播主出亂時才來,你可以到高雄去找你姐姐或妹妹,或找本席,本席可以帶你四處走走。 徐部長國勇:好啦!你也是姐姐。 黃委員昭順:這樣大家才會知道其實我們高雄的治安還是不錯的,好不好?謝謝。 徐部長國勇:好啦!我會常常去高雄觀光,請放心。 主席:高雄要拚觀光,這個大家都有共識。 請李委員俊俋發言。 李委員俊俋:(10時30分)主席、各位列席官員、各位同仁。部長,我們來研究一下eID的問題,其實它是根據戶籍法相關的規定,包括第五十二條和第五十九條。第五十二條是規定它的相關內容;第五十九條則是規定全面換發的期程與遵行的事項。來,本席問一下,我們上次全面換發身分證是在什麼時候? 主席:請內政部徐部長說明。 徐部長國勇:主席、各位委員。14年前。 李委員俊俋:14年前,也就是民國94年,上次是第六代換發。 徐部長國勇:對。 李委員俊俋:這次是民國109年,平均都是每15年換發一次嗎? 徐部長國勇:其實也沒有。 李委員俊俋:沒有固定啦! 徐部長國勇:我要跟委員報告,其實如果真的要講的話,這應該是要配合聯合國的戶口普查,就是當戶口普查結束後,那也就是應該要換發身分證的時候了。我記得很早以前,當然,這部分法律沒有規定,但過去政府是每10年換發一次。 李委員俊俋:人口普查應該是每10年做一次? 徐部長國勇:每10年就應該要做一次,但我們臺灣最近這幾年都沒有做,問題就是出在這裡。 李委員俊俋:對,所以這部分內政部以後也應該要考量,但我們今天的重點是在身分證,因為這是15年來首次更換身分證,這沒有錯吧? 徐部長國勇:可以這麼說沒錯。 李委員俊俋:好,這15年來變化很大,對不對?很多東西我們都應該要適應新的環境。 徐部長國勇:我也胖很多啊!我的照片都已經跟14年前不一樣了。 李委員俊俋:你不用提醒我,這個我已經很自責了。好,我們來看,這個規範規定得相當清楚,這個從以前就開始規劃了,你們從民國105年就開始規劃了。 徐部長國勇:跟委員報告,其實這個在馬總統執政的時候、民國102年的時候就開始規劃了。 李委員俊俋:對,那個時候本席也在內政委員會,所以本席知道這件事情。 徐部長國勇:是,民國102年就開始規劃了。 李委員俊俋:民國102年就開始規劃,智慧政府計畫與現在要換發的數位身分證,這些早就對外宣稱了,只是要一樣一樣的把它做起來,而到了今年你們才正式的把那個樣張拿出來讓大家看。 徐部長國勇:跟委員報告,現在還沒有樣張,那個只是示意圖而已,真正的樣張要等到明年4月才會出來。 李委員俊俋:對,所以現在準備要換發的時程大概是落在明年10月? 徐部長國勇:是的。 李委員俊俋:所以你們的規劃和期程都規劃得很清楚。 徐部長國勇:是。 李委員俊俋:好,我們繼續往下看。簡報上的這兩張身分證樣張分別是第六代與第七代,差別在哪裡? 徐部長國勇:差別就是數位化。 李委員俊俋:除了數位化以外。 徐部長國勇:差別就是資訊更加隱密,也保護得更好了。 李委員俊俋:其實這裡面有一個重點,就是原來紙本的資訊有11項,但現在eID只有5項,所以它的資訊是減少了,而不是增加了。 徐部長國勇:對,而且資訊保護得更周全了。 李委員俊俋:資訊保護得更周全了,這也是身分證的目的,我們希望能夠給國民更多的保障。 徐部長國勇:是。 李委員俊俋:好,我們繼續往下看。現在所謂的New eID其實有幾個功能,第一個主要還是身分上的識別。 徐部長國勇:是。 李委員俊俋:第二個就是未來可以線上處理,不需要什麼東西都要當場臨櫃的來處理,也不用再把身分證拿出來讓你看。 徐部長國勇:而且還要抄。 李委員俊俋:恐怕也來不及抄。 徐部長國勇:而且還把「徐國勇」抄成「徐國男」,我就碰到過這樣的情況,身分證數位化後就不會抄錯了。 李委員俊俋:把「林國慶」抄成「徐國勇」,這件事情你已經說過好幾次了,這件事情本席知道。 徐部長國勇:不是,是把「徐國勇」抄成「徐國男」;「林國慶」抄成「林國勇」。 李委員俊俋:好,所以這些現在線上就可以處理了? 徐部長國勇:是。 李委員俊俋:還有一個很重要的因素,那就是這個資訊可以自主,如我是eID的所有人,我的身分證要不要跟自然人憑證或是其他的連線,這個自主權在於我。 徐部長國勇:是的。 李委員俊俋:好,所以這是最基本的概念。我們往下看,更重要的還有身分識別與普及化,其中身分識別的等級會越來越高,現在要求ISO要達到最高等級,這個沒有錯吧? 徐部長國勇:是,沒錯。 李委員俊俋:還有數位簽章的問題。我們繼續往下看,可是這個過程還是有很多人對程序和經費有所質疑,甚至還擔心會影響到個人的權益。這個經費總共預計要48億元,現在我們要求中央印製廠,其實中央印製廠是印製任何東西最安全且最有保障的一個地方。 徐部長國勇:應該也是最專業的一個地方。 李委員俊俋:對,它最專業,因為連鈔票都是他們在印的。 徐部長國勇:對,他們連鈔票都在印了。 李委員俊俋:但現在公民團體有這樣的質疑,第一、不公布規劃報告就先製卡,但好像沒有這回事,這點我們剛才已經講得很清楚了,這個規劃報告從民國102年就開始了。 徐部長國勇:其實這個從民國102年就開始規劃了,但是某些細部的規劃,我們會晚一點再公布。 李委員俊俋:那當然。第二、沒有規劃報告就先核定,應該也沒有這回事。第三、法制規範不足,政策先推行再說,這點好像也沒有。我們現在碰到的是如果未來要介接的話要怎麼處理的問題。 徐部長國勇:是。 李委員俊俋:其實大家最擔心的是這幾個問題,第一、資安的妨礙;第二、確保隱私;第三、如何擴大應用;第四、規費調整與否。我們看一下這幾項,其實資安是大家最擔心的問題,臺灣被駭客攻擊是全球有名的,因為我們對岸有一個中國,他們一天到晚攻擊我們,這幾年來他們攻擊我們是以「億次」來計算,而中國網軍攻擊的對象當然也是我們臺灣,所以資安這部分非常非常的重要,這個剛才也有講過,所以這部分未來會不會做很多的資安測試? 徐部長國勇:這個我們會做「賞金獵人」的資安測試,也就是我們會提供獎金請駭客來攻擊我們,來測試一下我們還有哪裡有bug、有問題與漏洞,然後我們再來填補。 李委員俊俋:好,所以這部分非常的重要,請部長要嚴格的來執行。 徐部長國勇:這個我們一定會做。 李委員俊俋:其實大家都很重視隱私,我們剛才也已經提過了,其實它顯露的資訊比以前少很多。 徐部長國勇:是。 李委員俊俋:其實現在有很多誤會都是因為這張圖來的,這張圖請部長看一下,其實這張圖最重要的是要告訴大家這個New eID只是一個鑰匙,至於未來要不要串連這些資訊,包括健保、自然人憑證或是其他的東西,這都是由個人、擁有者所決定的。 徐部長國勇:沒錯。 李委員俊俋:意思就是我有一把鑰匙,但我要插在哪一個門?我要不要把這個門打開?這些都是由我在決定的。 徐部長國勇:對。 李委員俊俋:但這樣就會產生疑慮,為什麼?因為大家會疑慮這個什麼都可以,那未來會不會更麻煩?資訊會不會揭露得更嚴重?資安會不會被駭得更嚴重? 徐部長國勇:它只是識別身分的一把鑰匙而已,根據這個識別你才能夠進去,但進去之後我們還是會有相關的配套與資安的處理,我們會有一個管控。 李委員俊俋:其實如果我要進入我的健保卡,我進入健保卡後還會有健保卡的識別與相關的密碼。 徐部長國勇:當然。 李委員俊俋:對嘛!所以我覺得你們現在的重點應該要把這張圖宣導清楚。 徐部長國勇:我們會再做相關的解釋和宣傳,讓大家了解。 李委員俊俋:它可以做介接沒有錯,但重點還是在於個人要怎麼決定,我到底要開哪一個門?要怎麼做?而且,雖然這些門都可以打開,但還是有密碼的設定,而且密碼是由本人來設定的。 徐部長國勇:而且縱然開了門,所使用的資料也只有那個機關才有,我們內政部跟大家都不會有。 李委員俊俋:內政部沒有,未來的管理中心也沒有。 徐部長國勇:對,沒有,我們不會有這些資訊。 李委員俊俋:所以這個東西必須要加強的去跟民眾說明清楚。 徐部長國勇:是,感謝委員的提醒。 李委員俊俋:它確實是有這樣的功能,但這並不表示這樣的資訊就統統都在我們的身分證裡面。 徐部長國勇:是,感謝委員的提醒,我們會加強宣傳。 李委員俊俋:這個才是真正的重點。 徐部長國勇:是。 李委員俊俋:其實大家最關心的還是未來它是否會和駕照、手機、健保和社福這些東西結合在一起,但這些都是在正式的發放後,才要跟相關的部會討論。 徐部長國勇:但是介接也不是我們的職權。 李委員俊俋:對,當然。 徐部長國勇:那是國發會要統合相關的機關,一個個的去處理。 李委員俊俋:對,國發會要統合各部會的狀況,一個個的處理。 徐部長國勇:對。 李委員俊俋:那這個就會碰到我們剛才已經提到過很多次的問題了,那就是規費。部長,本席問你一下,如果未來我要換發New eID的話,那大概需要多少錢?第一次是免費嘛! 徐部長國勇:免費。 李委員俊俋:但如果遺失了? 徐部長國勇:如果遺失了,現在是要250元,但New eID的成本比較高。 李委員俊俋:New eID的成本比較高,所以這個價格還會調整? 徐部長國勇:以前紙本身分證遺失的話是一定要charge的,因為你的不小心會讓它產生風險,而且他們還要做相關的查證等等,所以相關的作業費就會比較高,不過我們會盡全力的把它壓在250元。 李委員俊俋:這個請你們考慮一下,費用不要太高,不然民眾會很擔心。 徐部長國勇:一定,當然,不過…… 李委員俊俋:不然大家又會指責內政部換發New eID是為了要賺錢。 徐部長國勇:不是,委員,我要向你報告,電腦會越來越便宜,但它的性能卻會越來越好。 李委員俊俋:對,當然。 徐部長國勇:以前一臺電腦要10萬元,但性能卻只有286或386而已,但現在呢? 李委員俊俋:486都不到10萬元。 徐部長國勇:對啊!現在的性能是越來越好,現在最好的電腦只要3萬元就「嗄嗄叫」,會越來越便宜。 李委員俊俋:我是提醒內政部要注意一下。最後一個問題,這也是我關心很久的問題,本席在5月18日的時候曾經在這裡問過你,當時我請內政部去盤點與身分證有關的法規,看相關的法規到底要怎麼修法、怎麼處理,這個要配合,你們盤點完了沒有? 徐部長國勇:是,我剛剛在書面報告有提到盤點的結果,我們各個部門都認為現階段這個法律是可以的,是夠的。 李委員俊俋:沒有,本席的意思是說,我要你去盤點,那有沒有必要整合專法?我不認為有必要,我認為現在的戶籍法就夠用了,但是跟新的身分證有關的法規我們就要處理。來,往下看,我替你盤點好了。 徐部長國勇:感謝委員。 李委員俊俋:戶籍法是你們內政部的,電子簽章法是經濟部的,資通安全管理法現在是行政院主管,個人資料保護法則是國發會,相關的法規如果和New eID有關係的話就要配合處理,今天內政部還有國發會都在這裡,我請你們把未來的法規先送到立法院來配合辦理,先配合處理。 徐部長國勇:我會和他們做相關的研議。 李委員俊俋:對,因為New eID出來,相關法規一定要配合改嘛!我們就先來改。 徐部長國勇:可能以後在介接才有,身分證這部分在現階段是夠的。 李委員俊俋:我查過條文,有一些有,所以提醒你們還是要先處理,法規如何盤整,盤整完以後由國發會來協調各個部會,該送立法院的就送立法院,趕快來處理。 徐部長國勇:好,是。 李委員俊俋:大家擔心的還是介接所引發的問題,請內政部多加宣傳,好不好? 徐部長國勇:是,感謝委員。 李委員俊俋:好,謝謝。 主席:我補充說明,李俊俋委員剛剛提到很多法規都應該要修改,因為紙本的「身分證」3個字,它的定義會跟電子身分證不一樣,在法律裡面,比如說牽涉到身分證影本什麼的,以後影本這件事情就變得沒意義了,所以應該有很多的法律條文要修改。 李委員俊俋:要彙整。 主席:現在休息5分鐘。 休息 繼續開會 主席:現在繼續開會。 請林委員麗蟬發言。 林委員麗蟬:(10時55分)主席、各位列席官員、各位同仁。部長早,針對社會暴力事件頻傳,也產生很多的不實消息,影響民眾對於實或不實訊息的判斷,如果散發不實的消息,算不算是假新聞? 主席:請內政部徐部長說明。 徐部長國勇:主席、各位委員。應該是假訊息,因為「假新聞」的界定對媒體可能…… 林委員麗蟬:好,沒關係,因為我還有很多問題要問,你就告訴我,如果散播不實的消息算不算是假…… 徐部長國勇:我們現在都不用「假新聞」這3個字,我們都用「假訊息」。 林委員麗蟬:所以是假訊息。好,我們先來談數位身分證,在內政部拋出這個政策之後,其實本席是不反對,要如何去規劃,然後在不違法的範圍內安全的來做。當然很多民眾認為會洩漏個資,或是有追蹤功能,或是有更多的疑慮,不過也有民眾覺得不反對,只要安全就好。我要請教部長,數位身分證目前有哪些功能? 徐部長國勇:數位身分證目前的功能就是身分的識別,網路和實體兩個…… 林委員麗蟬:有哪些東西加在一起? 徐部長國勇:就是自然人憑證和身分證的資料。 林委員麗蟬:所以是兩項嘛? 徐部長國勇:對。 林委員麗蟬:只有兩項而已。健保的部分有嗎? 徐部長國勇:健保的資料不可能放裡面。 林委員麗蟬:還沒有加進去。 徐部長國勇:也不可能放裡面。 林委員麗蟬:那駕照有嗎? 徐部長國勇:現在是這樣,幾乎都是用身分證字號在查你的駕照,駕照的號碼就是身分證的號碼。 林委員麗蟬:所以目前就是自然人憑證和身分證嘛? 徐部長國勇:對。 林委員麗蟬:好,我們看下一張投影片。在內政部的宣傳裡面,提到數位身分證有這些功能,內政部是不是在散播…… 徐部長國勇:就是可以用鑰匙開到這裡來。 林委員麗蟬:散播所謂的假訊息?還是假新聞?還是假消息? 徐部長國勇:這哪是假訊息、假新聞?不是啦! 林委員麗蟬:到底這些功能是不是全部都有?所以大家會煩惱啊! 徐部長國勇:剛才講得很清楚了,這就是一把鑰匙,可以打開到那裡去而已,至於要不要接是以後的事情,怎麼會是假訊息呢? 林委員麗蟬:好,你不承認你散播假訊息,沒關係…… 徐部長國勇:委員不能這麼說,這不是假訊息啦! 林委員麗蟬:是定義的問題,民眾跟我…… 徐部長國勇:你這個定義不對啦! 林委員麗蟬:你的定義更不對啦!部長,你上面寫了那麼多,民眾…… 徐部長國勇:你要看有一把鑰匙在中間啊! 林委員麗蟬:我代表民眾來向您提出疑慮,我代表民眾來提出我們的擔憂,你跟我說只有自然人憑證和身分證,那民眾問我說:「這些都有嗎?」我要怎麼回答?你是部長,這就是你的責任,你沒有說清楚就是你失職,部長,你解釋就好。 徐部長國勇:我們來加強宣傳。 林委員麗蟬:第二點,你說鑰匙,好,我們就回來說鑰匙,如果只是一把鑰匙的話,現在的身分證紙本達不到這把鑰匙的功能嗎? 徐部長國勇:身分證紙本沒有辦法數位化。 林委員麗蟬:只有把它轉成數位化,去到哪裡也一樣要帶著,那為什麼要花這四十幾億元? 徐部長國勇:不是去到哪裡都要帶著,至少你可以用網路,你不必臨櫃,你免登打、免填寫,不容易產生錯誤,節省時間,有很多的地方啊! 林委員麗蟬:很安全嗎? 徐部長國勇:不是,任何東西都有可能的危險,這是一定的嘛! 林委員麗蟬:你這樣很不負責任。沒關係,我們往下看,我覺得要負責任,您認同推數位身分證要有法源嗎?因為戶籍法第五十一條規定:「國民身分證用以辨識個人身分,其效用及於全國。」我們現在要把它擴大到那麼多的範圍,已經超過本來的辨識,我們有法源嗎? 徐部長國勇:這就是辨識啊! 林委員麗蟬:有法源嗎?我知道辨識啊! 徐部長國勇:看第五十二條嘛!第五十二條裡面的格式、內容已經在第五十九條授權內政部了。 林委員麗蟬:我現在跟你談的是第五十一條。 徐部長國勇:是啊!所以這些格式什麼的,就是授權內政部啦! 林委員麗蟬:那你剛剛回答李俊俋委員說要朝修法的方向。 徐部長國勇:不是,他是說有需要的話我們來檢討,我說可以再來檢討,有需要就來修。 林委員麗蟬:好,沒關係,到這裡為止。 徐部長國勇:難道我能夠回答說有需要不必修嗎? 林委員麗蟬:部長,請你回座。第一個,我們覺得沒有這麼多的功能,你說只有鑰匙,但是這上面寫了一堆,民眾問我到底有沒有這一堆,你說只有鑰匙而已,散播不實的相關訊息,這是民眾給我的資訊。 第二個,請教張參事,在沒有法源的狀況之下我們先去推,有沒有違法? 主席:請法務部張參事說明。 張參事春暉:主席、各位委員。大概分兩個層次,第一個就是涉及到人民權利義務,要嘛就是有法律的規定,要嘛就是要有法律授權的法規命令。 林委員麗蟬:對,那有法律規定跟授權嗎?這兩個規定目前在數位身分證上有嗎? 張參事春暉:因為戶籍法第五十九條有規定…… 林委員麗蟬:你先回答我第五十一條,你幫我解釋一下目前戶籍法第五十一條,你說明這一條就好了。 張參事春暉:是。我們有提到,因為…… 林委員麗蟬:第五十一條怎麼說?你現在統統要根據第五十一條來回答哦! 張參事春暉:是。因為第五十九條可以規範換發,但是在換發過程中,假設它有涉及到其他要遵守的法律規定,那是當然要遵守的道理。 林委員麗蟬:對,第五十一條本來只是單純的身分辨別而已,現在增加了很多功能,那這個部分您覺得有要修法的必要嗎? 張參事春暉:第五十一條去規範的一個格式…… 林委員麗蟬:我是問你第五十一條說的只有身分的辨別,現在要擴散到全部,有沒有修法的必要?你回答我要不要修法就好了! 張參事春暉:好。報告委員,法律授權是…… 林委員麗蟬:法律授權,我現在是問有沒有要修法嘛! 張參事春暉:法律授權是沒有問題,但是假設你在執行的過程中有牽涉到其他的法律…… 林委員麗蟬:擴大嘛! 張參事春暉:那當然是要遵守其他法律的規定,假設在做的過程中…… 林委員麗蟬:如果範圍已經擴大,不是只有身分辨別的話,需要修法嗎? 張參事春暉:報告委員,這個…… 林委員麗蟬:要不要?我問您,如果範圍擴大,不是只有身分辨別的話,需要修法嗎? 張參事春暉:假設在實際的推行過程中超出法律規定,當然是法律要不要修的問題,但是這個…… 林委員麗蟬:那沒有修是不是違法?如果法律規定的範圍只有辨識,我們要做我都認同,可是如果超過這個範圍的話,我們是否要先修法,不要造成在推動的公務人員有違法的疑慮? 張參事春暉:是,我也認同法源的看法,但是我的意思是說授權沒問題,只是在將來的執行過程中,牽涉到其他法律有不足的時候,會有適法的問題。 林委員麗蟬:所以就是授權完,如果要加一項再來說我們要修法,這樣事情是顛倒做欸!您覺得在一個正常的範圍是不是要先修法?你規劃完了,確定要做這些東西,是不是要先修法再上路? 張參事春暉:委員,不是這個意思,就是已經有授權它可以做…… 林委員麗蟬:站在我的立場是保護我們的公務人員,我們的公務人員不管是司長也好,部長可能是任命制啦!其他的職位,你不能讓他們違法哦!你如果走到這裡才想到要修法,這樣不是顛倒做嗎?我們看到的是功能擴大,那如果沒有的話,只有身分辨別而已,你只是把本來的紙本換成卡片,要花40億元。如果它的範圍有包括那麼多的功能,卻沒有法源讓它可以這麼做,那我們是不是研擬先修法再上路? 張參事春暉:報告委員,因為這個有授權,只是說將來你在執行過程中,目前法律有些不足的時候,假設有委員所提到的這種情形,那當然是法律要不要去修法的問題,但是這個授權已經有一個依據,是可以做,只是做的過程中假設法律有不足…… 林委員麗蟬:對,可以做,就辨識而已嘛! 張參事春暉:那當然要去思考要不要修法的問題。 林委員麗蟬:就可以做辨識身分嘛!擴大辨識身分就是要有法源,現在我們所宣傳的是擴大,用這把鑰匙每一項都可以,結果呢?你如果要開交通監理的話就要去修法,否則你不能隨便去開,開鎖要修法,如果是這樣的話,你為什麼不修法?修法完所有的鎖一次打開,所以真的是倒著做啦!我不知道,我看到的是第五十一條,擴散的話就是要修法,您是法律的專家,所以今天請教您,如果你們內部開會的時候請提出來,保護我們的公務人員,謝謝您。 張參事春暉:是,對於將來的修法,我們會提供一些法律的建議。 林委員麗蟬:好,謝謝。 主席:請許委員毓仁發言。 許委員毓仁:(11時06分)主席、各位列席官員、各位同仁。針對eID的事件,我想部長也知道本席關注了很久,也感謝部裡面針對我每一次提出來的問題都一一的答復,今天我們就整體的把這件事情就事論事的討論一次。部長,你記不記得上個會期在內政委員會,何時就新式數位身分證有一份臨時提案?做出了什麼樣的決議內容?你記得這份臨時提案嗎?那一天我們在內政委員會開會開了很久,這一份提案有經過你的核可,你有核准哦! 主席:請內政部徐部長說明。 徐部長國勇:主席、各位委員。大概是提到了法規的盤點。 許委員毓仁:你可能忘記了,就是108年…… 徐部長國勇:沒有,我在想你大概是提到…… 許委員毓仁:沒關係,我們來看看。在2019年5月16日,就是上個會期,這個提案是跟您討論過的,「我國現行戶籍法、電子簽章法及個人資料保護法之相關規定並未針對數位身分證有相關規範與運用限制」,請內政部「於下會期開議前提出相關法律修正案」,請問部長,現在開議了,相關的法律修正評估在哪裡? 徐部長國勇:現在是這樣子,根據我們跟各個部會研究的結果,各個部會認為現階段這個法律是足夠的,所以不必要修正。 許委員毓仁:那你有給本委員會一個報告嗎?這個是本委員會做出來的臨時提案…… 徐部長國勇:應該是有。 許委員毓仁:當時的召委林為洲也有要求你們給本委員會一個報告,目前有嗎? 徐部長國勇:9月10日有函復貴院。 許委員毓仁:好,有函復。第二個,在2017年9月23日,那時候你可能還沒當內政部長,當時內政部有做一個重大宣示,兩年前內政部戶政司要修戶籍法,而且媒體有揭露,因為戶籍法及國民身分證相關的辦法需要針對該卡的使用自主權來修法,為什麼兩年前的決定到兩年後改變了?是不是有點自打嘴巴? 徐部長國勇:因為他們是在計畫研議嘛!那相關的法規會認為在第五十九條已經有授權,第五十二條對於身分證的規格和內容已經有規定,第五十九條有授權,所以他們認為沒有必要。 許委員毓仁:好,也就是說兩年前原本有規定要修,現在就是研議之後不用修了。 徐部長國勇:它沒有規定要修,它是說計畫研議。 許委員毓仁:沒關係,我們繼續看投影片。有關於eID招標的程序,本席一直有提出一個質疑,部長,你知不知道這個招標過程有瑕疵?有什麼樣的瑕疵?你可不可以講一下? 徐部長國勇:沒有瑕疵啊!哪有瑕疵? 許委員毓仁:沒有瑕疵?沒有瑕疵? 徐部長國勇:我們用限制性招標,然後給中央印製廠,這個都合乎規定。 許委員毓仁:所以下面的人在糊弄你,你都不知道。沒有瑕疵?你都不知道這個程序有什麼問題?規格標還沒有出來就先截標,然後透過限制性招標給中央印製廠,後來外界才知道,而且這個規格早就訂好,那請問一下,你當初做這個規格標的意義在哪裡? 徐部長國勇:不是,那個是細部規劃,譬如製卡的過程、印製場域的安全等等…… 許委員毓仁:對啊!但是那些細部的規格,還有相關的技術規範,這個規範還沒有出來啊!那你為什麼可以用限制性招標給中央印製廠呢? 徐部長國勇:這個可以並行不悖,並沒有任何問題。 許委員毓仁:為什麼可以並行不悖?所以現在國家的重大採購案,一個工程出來,你可以說這個東西要幹什麼,然後你就先用一個私下招標的方式,委給一個政府單位…… 徐部長國勇:因為它這個是製卡面…… 許委員毓仁:你根本沒有在做你的工作! 徐部長國勇:我做了很多。 許委員毓仁:你到底知不知道這件事? 徐部長國勇:我知道,沒有瑕疵。 許委員毓仁:沒有瑕疵? 徐部長國勇:你認為有瑕疵是你的認為,我認為沒有瑕疵嘛! 許委員毓仁:我覺得你硬拗!我覺得你在袒護! 徐部長國勇:我袒護誰? 許委員毓仁:我跟你講,我之前質詢你的時候,你口口聲聲跟我說:「如果下面的人有問題,我就要辦!」 徐部長國勇:我袒護誰?你指出來我就辦啊!你指出來我一定辦。 許委員毓仁:這有沒有瑕疵? 徐部長國勇:這有什麼瑕疵?你指出來啊! 許委員毓仁:這個標案誰負責的? 徐部長國勇:沒有啦!沒有瑕疵啦! 許委員毓仁:這個標案誰負責的? 徐部長國勇:這個是限制性招標。 許委員毓仁:這個是限制性招標,程序沒有問題?你騙我3歲小孩啊? 徐部長國勇:你不是3歲小孩,你是立法委員。 許委員毓仁:你騙我3歲小孩啊?還是你騙全民是3歲小孩? 徐部長國勇:我不會騙全民。 許委員毓仁:我們再來看,部長,你知不知道ISO 14443是什麼?這個寫在你們標書裡面!你知不知道?你不知道嘛!我問你,你知不知道是什麼? 徐部長國勇:不是,它是一個通訊的規範啊!你說我不知道,到底要問什麼你就直講。 許委員毓仁:ISO 14443就是RFID,各位好好看清楚啊!在內政部招標的文件裡面,明確的說我們的身分證要具有數位追蹤身分的功能,而且要把RFID晶片放在身分證裡面! 徐部長國勇:這個我們已經解釋清楚…… 許委員毓仁:好,沒關係,我們再來看…… 徐部長國勇:是中央印製廠它的規劃裡面…… 許委員毓仁:你再硬拗沒關係啊! 徐部長國勇:這一句話產生誤解,請他們改…… 許委員毓仁:來,誰負責撰寫標書內容?上來!內政部相關的單位全部都上來。 主席:請相關人員上台備詢。 許委員毓仁:包括資訊中心副主任、戶政司司長、國發會法調中心林志憲、行政院公共工程委員會企劃處陳處長、簡處長宏偉等。你們在第一版8月26日的標書裡面公開寫到,第3點,具備支援Random UID功能,以保障持卡人個人行蹤安全。第4點,具備追蹤機制,方可執行晶片之追蹤,經過內政部核定。我開了記者會之後,你們才改的啦!請問這到底是誰寫的?部長,你要不要辦? 主席:請內政部戶政司張司長說明。 張司長琬宜:主席、各位委員。跟委員報告,其實這部分是中央印製廠參考國際的標準規範寫的。 許委員毓仁:請問具備追蹤機制…… 張司長琬宜:跟委員報告,追蹤的部分是針對整個製卡過程專案的生產履歷管理…… 許委員毓仁:你騙我不懂啊!什麼叫做製卡過程可以追…… 張司長琬宜:跟委員報告…… 許委員毓仁:在我提出來之後,你們才改的! 張司長琬宜:委員,這個部分其實是跟晶片護照當初晶片招標的規範是一樣的,中央印製廠認為我們的晶片的規格跟護照的規格是一樣的,就是它要有一個安全的管控機制,而且未來製發之後,它會啟動隨機的認證…… 許委員毓仁:部長,你下面的人在糊弄你,你都不知道耶!我看到你在回答這個問題、媒體在問你,你轉頭就走,你還說你有在工作。 徐部長國勇:我哪有轉頭就走?拜託!不要講這種話,我今天從頭回答到尾,什麼叫做「轉頭就走」? 許委員毓仁:好,我們講清楚啊!請問這件事情你要不要追究責任? 徐部長國勇:我已經講過,我已經問過他們,中央印製廠指的是晶片製作的生產履歷嘛! 許委員毓仁:那這樣寫沒有問題嗎? 徐部長國勇:這個由中央印製廠來解釋,他們也解釋清楚了嘛!不能不給人家解釋,你就用你自己的想法,對不對?他已經解釋,你要給他機會嘛! 主席:請中央印製廠鄧總經理說明。 鄧總經理延達:主席、各位委員。我是中央印製廠總經理,跟委員解釋一下,這是一個草案,是公開徵求的草案,並沒有定案,今天已經定案了,我們已經把讓大家覺得很不舒服的字眼…… 許委員毓仁:今天我看到你們已經公告上標了。 鄧總經理延達:是的。 許委員毓仁:部長,我們好好來討論,我們不要有太多情緒。我跟你說,因為這是一個40幾億元的標案,且攸關國民新式數位身分證的發行,我們都看到大陸在做什麼,就是用各種方式去追蹤人民,我相信中華民國政府不會做,我相信在內政部長任內你也不會做這種事。 徐部長國勇:絕對不可以,我可以向委員保證,絕對不可能這樣做。 許委員毓仁:所以這是一個重大缺失嘛!我就跟你說,我們國家的重大標案、40幾億元的標案發生這種錯誤,部長,你應該誠心去檢討你下面的人為什麼會犯這個錯誤,這是不應該犯的,我今天不是來跟你吵架。 徐部長國勇:我也不是要跟委員吵架,我知道你是好意。 許委員毓仁:部長,你要知道你下面的人在幹嘛,怎麼會出這種錯誤? 徐部長國勇:中央印製廠這個語意產生錯誤,所以我第一時間請他們把語意弄清楚,這是生產履歷,他們要講清楚讓大家了解,他們讓委員產生誤會,委員也沒有錯,是他們這個部分產生誤會了,所以他們要趕快改過來,那你要給他們機會啦,所以他們改過來,這也沒有錯。 許委員毓仁:部長,這是40幾億元的標案,你的螺絲不要鬆掉,大家都在看,之前還有更誇張的事,包括晶片的製造,在第一版的標案裡面是說要放到國外去製造,只能外國廠商可以標得到的規格,這件事情我們都沒有來說。 徐部長國勇:我問過他們,他們說是在徵求意見,我說不可以這樣,所以現在改過來了。 許委員毓仁:沒關係,我現在就跟你說,你的螺絲要上緊,好不好? 再來,部長,剛剛有提及RFID這個問題,你的新聞稿上說,這些晶片像健保卡、悠遊卡、手機晶片卡一樣,不會主動發送訊號,不會洩漏位置,但是我們的法律沒有強制規定我們要攜帶這些卡片在身上,可是戶籍法第五十六條有規定國民身分證應該隨身攜帶。 徐部長國勇:這個沒有罰則,法律上稱為訓示規定。 許委員毓仁:那我們是否也有修法的必要?剛剛就是有說這是有問題的嘛! 徐部長國勇:這是訓示規定,因為訓示規定沒有罰則,你沒有帶也不會處罰你。 許委員毓仁:這樣很像我們放了一個eTag在人民身上。 徐部長國勇:這個跟eTag不一樣,委員是專家應該知道,這個不一樣啦! 許委員毓仁:大家也有這種疑慮啊! 徐部長國勇:不會啦!你是專家,所以你知道,你就跟他解釋一下,兩者是不同的。 許委員毓仁:你沒辦法說服我啊! 徐部長國勇:這個跟eTag就不一樣啊! 許委員毓仁:包括現在新版身分證上面埋有RFID線圈,是無法取消RFID的辨識功能,這個細節你都沒有督導好,那張司長你來說明。 張司長琬宜:其實這個感應式的讀卡,它的感應距離要數釐米內才有辦法,而且我們還有讀取碼的限制,所以不可能像eTag這樣,整個安全的管理規範比eTag嚴格非常非常多,所以完全沒有辦法做追蹤。 許委員毓仁:我覺得這部分大家會有疑慮啦,這也不是我空穴來風,很多做技術的人就是認為目前有這樣資安上的疑慮。關於這個部分,在接下來招標的過程裡面,針對這些技術資安的部分,我們可以加強嗎? 徐部長國勇:我們一定要加強,所以我們會用賞金獵人的方式,也讓大家來檢測。 許委員毓仁:因為這在資安上是有風險的,不知道你知不知道有一個案子,2017年愛沙尼亞的eID發生資安事件,2個月之後才緊急回復。愛沙尼亞這個國家全國只有130萬人,清查後有卡片問題的有40萬張。請問現在內政部的編制有辦法負擔全國2,300萬張晶片身分證的資訊安全業務嗎? 徐部長國勇:所以在資安的部分,我們是要加強的。 許委員毓仁:你們現在在資安的部分是怎麼做的?你們是自己做還是委外? 徐部長國勇:我們有自己的資安部門──資訊中心。 許委員毓仁:你們資安部門的編制有多少人、預算多少?有辦法做這些事嗎? 主席:請內政部資訊中心嚴副主任說明。 嚴副主任文常:主席、各位委員。目前資安組有4個人,而資訊中心的資安預算,今年大概有1,000多萬元。 許委員毓仁:你有辦法做這些事嗎?還是資安的能量不足?你現在講嘛,我們內政委員會會支持嘛! 徐部長國勇:感謝委員。 許委員毓仁:這是一個問題嘛! 徐部長國勇:我曾經也希望能增加這部分的人員,當然行政院資安處、資安小組也會支援我們,如果能夠增加這部分的人員,我們會更高興。 許委員毓仁:部長,你清不清楚今年6月銓敘部有一個60萬筆個資外洩的案子? 徐部長國勇:我知道,我有看到這個新聞。 許委員毓仁:這60萬筆個資包括國安局、軍情局、調查局等八大情資系統。我們假設一個情境,如果今天爆發600萬筆個資外洩是在我們的數位身分證上,請問是內政部、國發會還是經濟部要來扛這個責任?請問簡處長,我們如果發生大規模的資安事件,大規模的資安資料外洩的時候,請問是哪個部會要來扛責? 主席:請行政院資安處簡處長說明。 簡處長宏偉:主席、各位委員。跟委員報告,就是以資料的蒐集、保存的機關為主。 許委員毓仁:所以是內政部?部長,你現在有沒有這個能量可以做這件事? 徐部長國勇:所以我們要加強能量,我們也希望能加強這個能量。 許委員毓仁:以你們現在的編制來說,你們有沒有辦法做? 徐部長國勇:其實我們希望能夠擴增我們的編制。 許委員毓仁:你就沒有考慮到嘛! 徐部長國勇:有考慮到,所以我們一直在要這部分的人力。 許委員毓仁:本席要提醒你,臺灣公部門每個月有2,000萬筆到4,000萬筆的駭客攻擊,簡處長也點頭了,這是真實的,所以這是一個重要的事情,在這個40億元的標案裡面,請問有多少比例規劃給晶片身分證的資安?有沒有編列一個特別預算給晶片身分證的資安系統? 張司長琬宜:報告委員,按照規定,整個資安設備的規劃,必須在這個計畫經費5%的部分來作處理。 許委員毓仁:5%是2億?你去查清楚好不好?今天我們的專報是個資安全維護及資安這件事情,你們都答不出來!主席,我強烈建議內政委員會應該針對數位身分證資安問題請他們提出特別計畫,因為我現在看不到如果數位身分證發現大規模資料外洩問題時誰要負責。剛剛行政院資安處簡處長說有所屬部會負責,但我問了,現在就是搞不清楚狀況啊!根據資通安全管理法第十一條規定,資通安全長由副首長兼任,請問現在內政部是哪一位副部長兼任資安長? 徐部長國勇:我們的常次邱昌嶽。 許委員毓仁:哪一位?有來嗎? 徐部長國勇:沒有,他今天沒有來。 許委員毓仁:今天這麼重要的報告,他沒有來? 徐部長國勇:因為他有另外的工作,我們的事情滿多的,所以大家必須分頭去處理。 許委員毓仁:部長,因為大家對這件事情有疑慮,所以我們提出來。相關的製作技術講清楚就好,可是後面最重要的是到底有沒有辦法防範資安的潛在危險,結果你今天跟我說目前你們不清楚,這個我很失望。 徐部長國勇:我沒有說不清楚啊!我什麼時候講過不清楚? 許委員毓仁:你們現在沒有一套對策啊! 徐部長國勇:我什麼時候講過不清楚?沒有啊!你不能把我沒有講過的話掛上去,這個都有紀錄的。 許委員毓仁:部長,剛剛有幾位委員質詢過,你也說是不是有修法的必要,你是不是應該重新再評估? 徐部長國勇:我沒有說有必要,我是說我們回去研議,我不是說一定要修法,我們認為現階段第五十二條及第五十九條是夠的,至於你提出第五十六條的應隨身攜帶身分證,那現在有人沒有攜帶身分證該怎麼辦?所以我們說現階段沒有處罰的規定,要修這一條我也沒有意見,但事實上現在也沒有這個處罰。 許委員毓仁:有關RFID的事情,我覺得還是要對外講清楚,好不好?根據上面所產生的數位軌跡應該可以查詢並且刪除。最後,身分證的存取及儲存功能必須經過持卡人同意,服務者所提供的服務不得強制讀取晶片身分證,未經過法院、當事人同意,服務提供者亦不能對外提供當事人使用紀錄,這個你同不同意? 徐部長國勇:這個本來就是有相關個資法的保護。 許委員毓仁:所以你同意嘛!我希望可以秉持這樣的原則這樣做。 徐部長國勇:當然。 許委員毓仁:我剛才提出來資安方面的問題,請你們回去好好規劃。 徐部長國勇:這個一定的,一定會加強。 許委員毓仁:部長平常比較忙,針對這個議題司長和簡處長是不是再找個時間來和我們仔細談一下? 張司長琬宜:好。 許委員毓仁:因為現在中共就針對我們即將換發數位身分證埋了很多駭客的洞在裡面,這個是掌握到的情資。部長,這個很重要,我們的標書都是公開的,他們看不到嗎?他們當然看得到,而且每個月都在嘗試,我們的健保資料已經被突破了,戶政資料也有被入侵的可能性,所以資安的漏洞是國安問題,請注意,謝謝。 徐部長國勇:當然。感謝委員。 主席:請鍾委員佳濱發言。 鍾委員佳濱:(11時25分)主席、各位列席官員、各位同仁。輕鬆一下,請問部長,身分證掉了怎麼辦? 主席:請內政部徐部長說明。 徐部長國勇:主席、各位委員。掛失啊! 鍾委員佳濱:撿起來啦!你看人家都知道,身分證掉了撿起來就好。 徐部長國勇:這個是腦筋急轉彎。 鍾委員佳濱:2020年10月數位身分證要上路,你們這裡說現在的紙本身分證揭露11項個資,以後數位身分證只有5項個資,其中有沒有包括照片? 徐部長國勇:有照片。 鍾委員佳濱:可不可以沒有照片? 徐部長國勇:現在的規劃是有照片。 鍾委員佳濱:那我們來看這個圖片,這已經秀過好多次了,那個美女是虛擬的,但右邊這個新聞事件是真實的,有人去國外整型之後回國,臉包成這樣,他說是本人,像這樣子照片可以識別嗎? 徐部長國勇:基本上我們不做人臉辨識。 鍾委員佳濱:你知道我要問什麼,照片的目的就是要看出本人,對不對? 徐部長國勇:追蹤功能我們不做。 鍾委員佳濱:別人的身分證掉了,我撿起來可以說成是我的嗎?你的身分證掉了我撿起來說是我的,可以嗎?其實看得出來我們兩個長得不一樣。 徐部長國勇:所以我們不做數位人臉辨識。 鍾委員佳濱:其實靠容貌做身分辨識是最近有照相技術才有的,在照相技術沒有發明之前,以前朝廷捉拿逃犯是用畫的,縣太爺在審案的時候,草民何人都是自報年紀、姓名的,也沒有照片可以核對。現在不一樣了,說到人臉辨識,我們說人在做天在看,但是在中國是人在做黨在看,海康威視的人臉辨識到處都可以識別,根本不需要身分證。在臺灣,現在已經有136支海康威視的監視器入侵臺中,今年行政院發布「各機關對危害國家資通安全產品限制使用原則」,結果馬上就有人爆料臺中的地下道有這些,市政府就很緊張趕快換掉,表示在臺灣這個民主自由的國家大家對於人臉辨識及隱私的侵犯很在意,都怕被追蹤,怕被知道個人行蹤,部長,是不是這樣?所以今天很多對數位身分證的關注,其實我覺得現在根本不需要數位身分證,只要有一張臉就夠了。現行辨認身分的方式與法規大概有這些,第一個是戶籍法第五十一條,國民身分證用以辨識個人身分,但是有了海康威視之後不用身分證也可以辨識了。戶籍法第五十二條規定需要貼照片,相關辦法由主管機關定之,戶籍法也規定相關主管機關可以定期換發,因為3歲和33歲的長相不一樣,對不對?部長,定期換發要不要換照片? 徐部長國勇:所以我們對於14歲以下,以及14歲到20歲會有一些不一樣的做法。 鍾委員佳濱:我可不可以每10年換發時都拿20年前的照片? 徐部長國勇:我們當然會稍微對一下,長相差太多當然不可能。 鍾委員佳濱:你怎麼知道差太多,我若堅持沒差太多呢?我就是堅持我和40年前一樣英俊呢?戶籍法還規定應該隨身攜帶身分證,因為警察職權行使法有規定警察查問時要出示身分證明文件,身分證是其中一種,其他還有駕照、健保卡等等都是,只要有照片的ID都是,所以不要忘了,內政部管的不是只有戶籍法要隨身攜帶身分證那一條規定,雖然那一條是訓示性的規定,但是如果民眾拿不出來怎麼辦?到旁邊罰站嗎?大法官釋字第603號解釋說個人生物特徵有獨特、不易改變之特質,具有高度人別辨識功能。請問部長,你的臉、我的臉算不算一種個人生物特徵? 徐部長國勇:人臉辨識本身就是用生物特徵。 鍾委員佳濱:我先問你,臉部是不是? 徐部長國勇:它本身就是生物特徵。 鍾委員佳濱:是生物特徵,但是大法官說必須以法律定之。你知道大法官釋字第603號是什麼時候做成的嗎?是在2005年9月28日,距今將近14年前,大法官做成這個解釋的時候有沒有人臉辨識功能?我先問你,你用過iPhone手機吧?你知道第一代iPhone手機什麼時候問世的嗎?是在2007年,大法官做成這個解釋的時候還沒有iPhone手機,但你知道iPhone手機有人臉辨識功能是什麼時候出品的嗎?在2017年,是2年前出品的。所以2017年出產具有人臉辨識功能的照相手機,大法官做成釋字第603號的2005年是沒有的。所以我們看到個人資料保護法說到,個人資料當中不得逾越特定目的,要有合理正當性,請問一下,我的臉部算不算個人資訊? 徐部長國勇:我們沒有蒐集臉部的特徵啊! 鍾委員佳濱:什麼叫臉部特徵?照片算不算特徵? 徐部長國勇:照片本來是從…… 鍾委員佳濱:我先問你,個資法裡面的特徵包不包含照片? 徐部長國勇:你要使用機器去辨認照片裡的人才適用這樣子。 鍾委員佳濱:我先問你,在個資法當中,特徵是個資法保護的項目,特徵包不包括臉部特徵?相片算不算? 徐部長國勇:譬如剛剛海康威視…… 鍾委員佳濱:部長是念法律的,現在法規有一個是個人生物特徵識別資料蒐集管理及運用辦法,這是誰訂的你知道嗎?內政部有沒有人知道?這是入出國及移民法第九十一條的授權規定。入出境及移民是誰管的? 徐部長國勇:我們移民署。 鍾委員佳濱:是貴部所管,貴部訂了一個入出國及移民法第九十一條授權訂了這個辦法,這個辦法用來處理誰?處理誰?處理外國人!對不對?內政部很清楚,你們要蒐集個人生物特徵時,第一個就是要依法,所以根據入出國及移民法第九十一條才訂了這個辦法,而且針對的還是外國人或無國籍人士,對不對?所以內政部的法制作業有注意到這一點,因為這是後面才訂的。 好,我們再往下看,根據這個部分,身分證要有臉部特徵的照片規定在哪裡?規定在第十條,初領國民身分證要附照片一張或數位照片。至於數位照片的格式、解析度如何、有沒有到達iPhone手機的人臉辨識系統等,這些有沒有寫在法律上? 徐部長國勇:沒有,這個沒有。 鍾委員佳濱:沒有寫在法律上,對不對?好,那請問寫在哪裡?國民身分證的照片規格寫在哪裡?寫在法律上嗎? 徐部長國勇:但是那個有授權啊! 鍾委員佳濱:部長,回去請你們法制單位研究一下。我不是支持大法官釋字第603號,第603號的背景是在2005年,那時候連iPhone手機都沒有,也不曉得有朝一日,會有一個iPhone X,在2017年可以開始用人臉辨識,但是他認為生物特徵是需要被保護的,對生物特徵的蒐集需要有法律規定,如果擴充解釋的話,基本上照片也是生物特徵,蒐集照片要法律規定,蒐集照片的規格…… 徐部長國勇:我們沒有蒐集生物特徵,我們沒有蒐集啦! 鍾委員佳濱:唉呀!部長,有關照片的內容,你在行政院公報裡把解析度改高一點,我請問你,現在如果我去換發身分證,我要帶照片去?還是當場拍?你覺得怎樣才合理? 徐部長國勇:當然啦!最好能夠當場拍那是最好。 鍾委員佳濱:當場拍要不要寫在法律裡?還是你們行政命令就可以規定? 徐部長國勇:這個第五十九條就有授權。 鍾委員佳濱:對嘛!沒有錯…… 徐部長國勇:規格、內容在第五十二條…… 鍾委員佳濱:沒有錯!沒有錯!規格、內容,你們的授權是在後面,你們的法律是規定在底下。好,再往下走下位法,戶籍法第五十二條規定相關規格由中央主管機關定之。下位法是辦法,不是法律,你用法律授權下位法去訂定辦法,結果這第二十一條還只是規定相片部分,有沒有規定要當場攝製?還是繳交就可以?我拿40年前的照片來繳交,並堅持說是我本人,你可以拒絕嗎?又或者說,內政部規定以後換發國民身分證要以現場拍照為主?你知道全臺灣現在有多少照相館嗎?很少了啊! 徐部長國勇:現在照相機就可以了,幹嘛要照相館! 鍾委員佳濱:好,所以換發身分證要繳交照片,如果我沒有帶,那就現場拍攝,可不可以? 徐部長國勇:當然可以啊! 鍾委員佳濱:可以嘛!那戶政機關的人拿iPhone手機拍照,就可以把臉部識別儲存起來!我要告訴部長…… 徐部長國勇:這個存起來,就違反個資法啊! 鍾委員佳濱:不對!不對!這個是違反個資法,你們的法律…… 徐部長國勇:不是!個人存起來,當然是違反個資法,如果是國家…… 鍾委員佳濱:如果是國家,算不算違反個資法? 徐部長國勇:國家存起來,那當然是合法的啊! 鍾委員佳濱:好,部長,這句話記錄下來,國家存起來是合法的…… 徐部長國勇:但要使用還是要按照法律規定,不能隨便啊! 鍾委員佳濱:很好,你這句話要記下來,這句話我們要聲請大法官釋憲。你說國家可以在目前法律位階之下,把人民的臉部特徵存起來,但使用要限制,我個人支持這樣的做法,但這樣合不合憲?我不清楚,因為我認為國家要對人民施以其行政權時,要給予其福利救濟、救援,包括我們的健保卡,健保卡上為什麼要有照片?我可不可以替人家去領藥?或是我去看病,然後拿感冒藥給你吃,可以嗎?不行啊!那為什麼有人不會這樣做?因為我怎麼會去看病拿別人的藥,不會嘛!因為這涉及到自身安全,我不會去冒用別人的身分嘛!所以國家在做很多事情的時候,我們不用擔心人民會覺得政府識別身分是侵權,有時候他還擔心你把我當作別人,通緝犯不抓卻抓我,對不對?我是李四去看病,你把我當作張三,結果開錯藥!所以國家掌握人民的人別識別是必要的,但是現行的法律規定,有沒有給予行政機關必要的權限去做蒐集?目前內政部針對外國人的部分是有,因為你們的層次很清楚,個資法第二條,以及入出國及移民法第九十一條,授權你們在入出境的規定上,可以去拍外國人,你要用他的虹膜、他的臉孔識別都可以。 基此,我希望部長可以做幾件事情,其實我在這個會期已經詢問過內政部4次了,你們司長也在這裡,我對數位身分證的問題已經問了4次,關鍵就在這裡,就是我們要與時俱進,大法官釋字第603號是2005年做出的決定,要來拘束2019年的科技進步是有困難的,你們要試著重新思考大法官的解釋,關於個人的生物特徵未來運用在國家行使公權力的人別識別時,國家可以掌握到什麼樣的程度?今天我們著眼在數位身分證的晶片,怕晶片可以追蹤,我告訴你啦!我沒有晶片身分證也會被追蹤,如果國家全部都裝了海康威視之後,全部都可以被追蹤,我到哪裡都會被追蹤,而且不需要我同意,不需要我把身分證掏出來,馬上可以知道我是誰。其實照片本身也會隨著時間變化,所以你們10年要換一次身分證,一方面是因為人口普查,二方面也是因為容貌會改變,你們趁這個機會,10年繳交一次相片,以便於識別人別。識別人別是國家機器在行使公權力必要的手段,我並沒有反對,只是希望把這個事情講清楚,你們好好去思考。 GDPR在2018年通過,今天國發會派了兩位參事列席,我覺得不夠,因為GDPR國發會要負責告訴我們先進國家的做法,臺灣要怎麼做才能跟世界接軌,但是又能保障到我們的民主、自由、人權,這個事情個資法第二條夠不夠?個資法第二條在用詞定義上的規定,所謂個人資料,包括特徵、指紋、病歷、醫療等等,但是我覺得這裡提到的特徵非常籠統,臉部是特徵,我的隱私處長個痣也是特徵,會不會被寫進去?我覺得最容易被判斷的特徵就是臉部,你不可能每天戴著面具走來走去,所以臉部的特徵,在未來法體制之下,行政機關基於國家公權力行使之必要,應該確切的以合乎法制化的方式,或者重新提請大法官釋憲,2005年做的那個解釋合不合乎現在科技發展的需要?以後如果我們真的跟中國一樣,那根本不需要做什麼數位身分證,每個地方裝個監視器,用海康威視人臉辨識,誰都逃不掉!部長,了解嗎? 最後給你一個結論:請你盤點因應數位身分證發行所帶來的隱私、資安保障問題,檢討修正相關法規,如何在不違背釋字第603號之意旨保障個人隱私,及因應GDPR影響之前提下,確保未來數位身分證確實為本人所用。這個題目我從5月16日問到現在,你們沒有告訴我你們的照片怎麼蒐集?你們蒐集的照片規格是什麼程度?這在法體制上允不允許?有沒有涉及到個人隱私或個人特徵的蒐集?有沒有牴觸釋字第603號法令的規定?這些內政部從5月16日到目前為止都沒有回應。部長,我很誠懇的告訴你,我是支持要做這件事情,但是行政機關要勇於面對社會上各個階層、人民,對於個人的人權和國家行使公權力必要的平衡點,我要拜託部長三點,第一,儘速盤點;第二,擬定合乎隱私、資安保障且具高度人別識別的方式;同時,防範中國監控科技入侵臺灣,可以嗎? 徐部長國勇:我們來研議。 鍾委員佳濱:好,謝謝。 主席:請鄭委員天財發言。 鄭天財Sra Kacaw委員:(11時41分)主席、各位列席官員、各位同仁。我們來換個議題,雖然不是探討法律問題,但卻是一個非常重要的議題。部落聚會所是我們原鄉部落非常重要的文化祭儀場所,譬如像豐年祭,另外,聚會所也是我們結婚喜宴的一個很重要場所,因為鄉下沒有餐廳、沒有喜來登、沒有什麼大飯店,所以就是在我們的部落聚會所舉辦。如果沒有聚會所,在豐年祭時,大家可以看這張圖,真的是非常簡陋,而且那天剛好下大雨,每個人的頭髮都是濕濕的,地板也都是雨水,所以今天我們就來討論長濱鄉的樟原部落。 長濱鄉樟原部落在哪裡?在八仙洞的旁邊,大家比較知道八仙洞,部長也知道原鄉地區要找平地很不容易,因為都是山坡地,好不容易有這樣的場地,該場地後面是一個活動中心,前面是廣場,部落每次的豐年祭都在這邊,結婚及喜宴也在這裡。行政院在這裡已經核定要蓋你剛才已經看到的聚會所,我們的部落聚會所只有柱子且沒有牆壁。長濱到底發生了什麼狀況?他們沒有辦法蓋聚會所,這是因為該活動中心是在早期蓋的,沒有建築使用執照,但是並沒有一條法律規定,沒有建築使用執照就不可以蓋,不過前面的一大塊空地卻不能蓋我們的聚會所。現在的行政機關包括營建署,今天營建署不在,請部長能夠交代他們。我問過是沒有法律的規定,因為這塊土地有違章建築,然後這塊土地的空地就不能蓋,這是很荒謬的,部長覺得呢? 徐部長國勇:這個我請營建署來瞭解一下,好不好? 鄭天財Sra Kacaw委員:不是瞭解,我們現在要探討,他們會告訴你,就是不能蓋。部長學法律,你也是律師,我們就以你是律師來討論這件事情。一塊土地有房子,被列為違章建築只有一小塊,可是一大塊空地,現在我們的鄉親要蓋部落聚會所,竟然因為這塊土地有違章建築,然後就不能蓋我們的部落聚會所。我認為這是很荒唐的。 徐部長國勇:你提的這個原因,我回去再跟營建署來瞭解一下,他們不給蓋的原因是不是只有這個,或是還有地目或其他的問題。 鄭天財Sra Kacaw委員:地目不是問題。 徐部長國勇:我來問清楚,也會請他們去瞭解。現在你突然問,他們的人不在,我也不知道裡面的內容。 鄭天財Sra Kacaw委員:我沒有要你回答要怎麼樣,首先,這是一個非常不合理的行政規則。法律及法規命令並沒有規定,只不過是行政慣例而已。地目沒有問題,因為行政院核定這個地方要蓋部落聚會所,他們可以申請為特定目的事業用地,就可以符合興建部落聚會所的用途。這絕對可以符合,但重點在於改為特定事業目的用地或改為建築用地之後,它仍然不能蓋,這在我們原鄉地區有很多這種情況,比如一所學校有一間教室當初沒有建築使用執照,在旁邊的土地就不能再蓋球場等,這在原鄉地區常常會遇到。因此我請部長要很明確向營建署說,這種不是法律或法規命令的規定,就算是法律規定也應該可以修,對不對?就算是法規命令也可以修,何況只不過是一個行政慣例而已。我不想說全國全部都要改,是不是請部長要求營建署,針對原住民地區另作解釋呢?這只要透過解釋就可以了。 徐部長國勇:我來向他們瞭解一下,也請他們來研議。 鄭天財Sra Kacaw委員:部長,不是請他們研議,而是要告訴他們,如果法律及法規命令沒有規定說不可以,這種行政慣例請營建署就原住民地區先放寬。 徐部長國勇:這我來瞭解,我不瞭解整個狀況,現在來答應你,那就太草率了。 鄭天財Sra Kacaw委員:我沒有要你答應。 徐部長國勇:我來瞭解。 鄭天財Sra Kacaw委員:我沒有要你答應,而是要將我剛才的建議轉達給…… 徐部長國勇:委員,這都有紀錄,當然我會告訴他們,委員有這種說法及建議,我們會去瞭解一下。 鄭天財Sra Kacaw委員:你們要往這個方向去推動,好不好? 徐部長國勇:好,謝謝。 主席:請鍾委員孔炤發言。 鍾委員孔炤:(11時48分)主席、各位列席官員、各位同仁。今天大家都特別關心身分證具劃時代意義改良的這件事情,畢竟對新身分證都會有不同的看法及見解,在這段要發新身分證的時間,部長已經作過很多說明,民眾相對也有很多疑慮,還透過委員來表達不同的意見、見解及看法,而部長也率同相關官員作了一些解釋。身分證從2000年研發的第六代,到現在已經經過20年,這段時間因為防偽技術的進展及科技時代的要求,政府希望在2020年能正式換發第七代的身分證。第七代身分證的重要意義,大概是重視身分證外顯的個人資料,也加入資訊社會的需求,並將現行自然人憑證與身分證做結合,未來也將支援交通監理、稅務通關、國民年金,甚至是社福及健保等16項服務,所以對這樣的便捷會有一種期待。我們要肯定內政部的努力,但是在各方面的情況下是否存在風險呢?今天早上這麼多委員提到的都是「風險」兩字,新身分證所帶來的方便,相對也帶來風險,包括所謂的資安,我想資安也是國安,部長同意吧? 主席:請內政部徐部長說明。 徐部長國勇:主席、各位委員。資安當然是國安。 鍾委員孔炤:有關身分證晶片的製作是外包或由你們這邊來承製呢? 徐部長國勇:整個晶片的製作是給中央印製廠。 鍾委員孔炤:中央印製廠是自己來印製晶片,還是要委外給所謂的其他國外部門來設計晶片呢? 徐部長國勇:當然要買原料及機器,我們請中央印製廠來作一個說明。 鍾委員孔炤:中央印製廠是買NSP的晶片嗎?由於事涉安全,只要有差錯或萬一有內鬼的話,如果晶片不是臺灣自己製造而是委外的,這會不會像外面所傳言的,就如銓敘部一樣,很多資料都被偷了,到後面反而是無法補救。剛才某位委員提到愛沙尼亞的案子,這些都是中央印製廠必須要說明的地方。 主席:請中央印製廠鄧總經理說明。 鄧總經理延達:主席、各位委員。向委員報告,現在這個晶片是外購。 鍾委員孔炤:外購就牽扯到安全性,既然是外購,那晶片應該是在臺灣設計和生產啊!你懂我意思吧? 鄧總經理延達:這樣的晶片在國際上大概…… 鍾委員孔炤:但是臺灣也有這個能力啊,臺灣的半導體在全世界非常有名啊,我們排行也很高,為什麼對我們自己生產的晶片沒有信心呢? 鄧總經理延達:我們沒有排除任何廠商的能力,只是我們有規範的規定。 鍾委員孔炤:請教部長,這個晶片可不可以在臺灣生產和設計? 徐部長國勇:就我所瞭解,中央印製廠對於廠商購買晶片,在購買晶片之後還是要經過驗證和洗卡,洗卡就是要做檢驗,把它變成完全空白,國內外廠商都可以來投標這個材料的標案。 鍾委員孔炤:身分證進入網路時代,個資安全是最重要的考量,如果是委外,臺灣可以設計和生產。 徐部長國勇:不是,後來整個客製化的部分,建置資料就是中央印製廠自己要做的。 鍾委員孔炤:「量子電腦」已經問世,可以在幾秒鐘的時間內破解現有的公鑰系統,威脅資安。現在我們規劃新式身分證,即將使用的非對稱加密演算法,產生的公鑰、私鑰,透過量子電腦不需要幾秒鐘的時間就可以解密。量子電腦還可以破解數位簽章,甚至有竄改的風險。量子電腦近年迅速發展,美國政府也在研發「後量子加密技術」,創造一套新的加密系統,抵擋量子電腦的攻擊。我要請問部長,我們新式身分證是否有考慮過量子電腦的攻擊? 徐部長國勇:所以資安單位會隨時且每年至少會做一次相關的檢驗、測試等,他們都會做相關的資安檢查。 鍾委員孔炤:如果受到量子電腦破解民眾的身分證私鑰,未來再結合勞保、健保、駕照等電子資料,整個國家的資安會受到嚴重的威脅。 徐部長國勇:是否結合健保等等,我們只負責發卡,至於介接的部分,到時候每個單位要去跟國發會申請,所以我們每一項都會處理,不是說…… 鍾委員孔炤:請問部長,我們目前新式身分證是否有達到「歐盟CCEAL5+」或是「美國FIPS 140-3」的國際標準檢驗?我們都有達到嗎? 徐部長國勇:有達到。 鍾委員孔炤:確定嗎? 徐部長國勇:都有達到標準。 鍾委員孔炤:我們有這個信心? 徐部長國勇:有,我們一定要達到這個標準啦! 鍾委員孔炤:最後我還是要提醒部長,方便不是最新,不是很新的東西就是要方便,不必然方便就是進步,那也不是必然。大家都喜歡說中國的電子支付多方便,其實電子支付是進步還是落後?專家學者各有不同的見解和看法。電子支付有其盛行的原因,電子支付的盛行是因為中國基礎建設不足,現金提款系統不像臺灣這麼方便,所以他們才會用電子支付,對吧?我想中央印製廠廠長應該也清楚。再加上中國的假幣也非常盛行,假幣如果盛行的話,相對的就不太會使用現金,就會使用電子支付了。電子支付是因為很多相關提款的系統不夠便利,反觀我們臺灣太便利了,所以電子支付在威權的政府體制之下,相對的會有不同的見解和看法。所以我還是要跟部長講,我們都期待換發新的身分證,但是新的身分證的資安問題非常重要,不能躁進,包括是否能夠達到美國和歐盟的相關規範和標準,這都是我們要特別注意的。謝謝部長。 徐部長國勇:謝謝委員。 主席:請葉委員宜津發言。(不在場)葉委員不在場。 請沈委員智慧發言。(不在場)沈委員不在場。 請江委員啟臣發言。 江委員啟臣:(11時57分)主席、各位列席官員、各位同仁。本席想要問一個最根本的問題,這個問題如果不釐清,我覺得我們在討論很多事情都會雞同鴨講。第一,從紙本到數位身分證,部長認為最大的差別是什麼? 主席:請內政部徐部長說明。 徐部長國勇:主席、各位委員。我想它是結合網路跟實體,以後如果經過相關機關核准,審核了以後,它可以介接。此外,它沒有紙本身分證的缺點,比如交出身分證影本會有暴露所有資訊的風險,而數位身分證…… 江委員啟臣:部長講得太過detail,也太深入了。我再問一個最根本的問題,請問身分證的目的是用來幹嘛? 徐部長國勇:做身分的辨識。 江委員啟臣:對,辨識,身分證一開始只是辨識。國民身分證及戶口名簿製發相片影像檔建置管理辦法開宗明義就對身分證和戶口名簿的用途有清楚的規定,所以如果只是做身分的辨識,其實紙本就可以了,對不對?當然我們現在要把它電子化不是不行,可是電子化以後,它涉及到電子化有可能擴充或者介接的這些功能。所以回到法律的規範和討論,為什麼很多委員主張應該要有另外的法律來加以規範?最大的原因就是原本法律的建構,如果我們只有身分證的管理辦法或是戶口名簿的管理辦法,它的目的都是辨識、證明,它不是功能,所以在法律的內涵上面,其實目標是不一樣的,你們不能說已經有既有的身分證相關規範或辦法,或者戶口名簿的規範辦法,就可以合理或理所當然的認為,只是把它電子化而已,還是身分證。沒有錯,它還是叫「身分證」,可是它的功能完全不一樣,它已經跳脫原本只是辨識的功能。雖然內政部一再強調,要不要架接自己選擇,這是你的自由。沒有錯,可是它不純粹只是辨識功能。我們原本那一張身分證的確就是辨識功能而已,不能插進去領錢,也不能插進去看病,也不能當做自然人憑證,統統都不行,不是嗎?在這樣的情況下,內政部一直拒絕修法,或拒絕另外有一個配套的法案來規範晶片化的電子身分證或是ID,我認為這是卸責,為什麼?站在法律的角度,部長是學法律的,其實原本那個法律規範的就不是晶片化的ID,它規範的就是身分證明(ID)而已,但是現在晶片化的ID不是只有身分證明,不是只有辨識,它可以自願式的擴充。甚至當國家因為政府的公共目的而強迫開啟特定功能的時候,可不可以?是可能的,不是不行的。這個就違背了憲法上對於個人隱私權的相關解釋,所以我認為你必須要有法律,否則你有可能會牴觸憲法,或者牴觸相關的釋憲說明。這些都不是沒有釋示在案,其實現在相關的釋憲案都已經說明個人資料、個人隱私保護這一部分,如果你沒有重新立法或是修正辦法的話,你有可能違憲,你絕對有可能違憲。大法官釋字第603號就已經講,個人有權決定是否接受他的個資,在何種範圍、何種形式、什麼時間、向何人揭露的決定權,因此人民應該有權決定以何種方式揭露他的身分識別之用。這是釋憲文裡面寫的,所以我要求你們立法,很多委員也要求要立法。你必須立法,在不牴觸相關的憲法原則下處理這個晶片身分證。你可以晶片化,因為時代潮流、網路的發明,我也同意應該有晶片化的選擇,但是即便是自由選擇,你都應該有法律的配套。你們說已經有相關法令,不管是我剛剛提到的國民身分證及戶口名簿製發相片影像檔建置管理辦法,或者其他你說的中央主管的法律,都是過去紙本時代立的法,或者辦法,這些都不是現在晶片化的時代。我站在你不違憲的角度上,請你們立一個法,規範將來晶片化之後的ID不是只有辨識的作用,所以晶片化ID的管理辦法開宗明義就必須講,這不是只有作為辨識之用,它有其他的附加跟架接功能,你要附加跟架接功能的情況下,政府機關要做,應該符合什麼條件,你才能夠啟動這個功能。換句話說,我們未來領到晶片化的ID卡不是只有辨識,它有啟動的功能,我要啟動其他在哪一方面個資的揭露,它有附帶這樣的功能,不用再另外去申請其他的卡,所以法律規定非常重要,否則你將來會遇到很多違憲的問題,很多人可能會拿這個出來告政府。再來,我這樣講好了,現在你們講的第二十一條規定身分證記載事項共十五項,可是新式的晶片卡,你們只揭露五項,其他十項呢?有沒有在晶片卡裡面? 徐部長國勇:有,在加密區裡面。 江委員啟臣:像這個規定也沒有重寫,你也沒有拿來跟大家講辦法要怎麼改,都沒有啊。你們今天報告,應該拿出草案啊,這些變更,在法律上連帶修訂了哪一些?就算不是法律而是辦法,你是怎麼修的?沒有啊,你們只是一再辯解,說不需要修法,不需要更改現有的法律。你們連這個最基本的,違反現在辦法的部分都沒有改。剛剛部長說在加密區裡面,其實你們的報告並沒有寫那個在加密區裡面,這樣子你說要換發,我們會安心嗎?我們不會安心的。站在法律的角度,我認為這是不周延的。你可以做這件事情,可是你給我法律上的保障。部長,你作為一個律師,是專精於法律的專家,這個是最基本的,你應該要知道。再來,你們的報告裡面提到自主選擇使用晶片功能,這個跟我們的法律規定要全面換發這件事情實際上又牴觸,因為你說自主選擇使用晶片功能,而且這裡面有提到,不強迫民眾使用電子化服務,可以用戶口名簿影本,或者從網頁選擇New eID晶片內的欄位資料,列印為紙本身分證明辦理相關的業務。這樣的意思是要告訴大家可以選擇要不要來領取這一張eID嗎?或是你還是要來領?你懂我的意思嗎?今天你告訴大家自主選擇,自主的意思是,要領電子化的身分證也可以,不來領也可以。如果是這樣的話,請問48億元是怎麼算出來的?48億元是你們要換發的經費嘛。根據我的推估,你們認為所有14歲以上的人全部都換發所需的經費要48億元。 徐部長國勇:14歲以下也包括在內。 江委員啟臣:你算的是所有的人都來換嘛。 徐部長國勇:對。 江委員啟臣:可是你的作法是告訴大家,要換可以,不換也可以,自主選擇。 徐部長國勇:都要換。 江委員啟臣:所以我就是被強迫要拿到這一張。 徐部長國勇:但是有關自然人憑證的部分,你不想用當然可以選擇停用。 江委員啟臣:所以這個又回到法律,法律如果沒有規範清楚,你的法源在哪裡?完全都相互牴觸嘛。 徐部長國勇:這些法律有跟相關機關研議過了,行政院認為現階段暫時不用…… 江委員啟臣:今天你來修這個法,立法院不至於杯葛,而是你要立一個法出來,這才是負責任的作法。今天如果草案寫出來,立法院不分清紅皂白反對你們提出的法案,這個是立法者的問題,不是你們行政部門的問題。現在是立法者苦苦哀求,要你們把辦法或法律寫出來,可是你們連提都不提,你們認為反正現在不同部會主管下的法律足以因應。No,我覺得不是,我覺得完全不一樣,這是一個新的東西,它不是跟舊的一模一樣,它完全不一樣。部長,你可以說新ID跟舊ID一模一樣嗎?不會吧。 徐部長國勇:基本上…… 江委員啟臣:如果這樣就不用換了嘛,就是因為完全不一樣…… 徐部長國勇:因為防偽等各方面,還有進入數位化時代的身分辨識也要處理。 江委員啟臣:我現在不是講防偽,我是講它已經超出身分辨識的功能。 徐部長國勇:它是網路的身分辨識,跟實體世界的身分辨識,就是這兩個。 江委員啟臣:他絕對不是這樣,它除了網路辨識、身分辨識,還可以啟動很多其他的功能,對不對? 徐部長國勇:網路辨識還要介接,還要經過國發會那邊,還要再經過驗證。 江委員啟臣:啟動跟驗證就需要法律上的約束,這是權利義務的問題,不然到時候出問題是誰的責任?出事情怎麼辦?你有想過嗎?我今天如果出事了,我的身分證不管是丟掉,或者被政府機關用國家機器濫用的時候,難道不能啟動電子足跡的功能嗎?絕對可以做到。一張ID卡、晶片卡以後甚至可以跟手機結合,絕對可以。部長,你的知識不可能落後到這種地步。所有的ID只要跟手機、網路、雲端一結合,你去哪裡都清清楚楚,你也不需要開啟,政府可以直接幫你開啟,否則政府幹嘛告訴大家不要用華為或是大陸製造的手機,因為你的資料有可能被retrieve回去,對不對?我認為,很多委員也認為,應該要有一個清楚的法律規定。我請主席、內政委員會召委留意,這個要對全民負責。政府可以換發新的身分證,可是請你把配套跟法律講清楚,因為權利義務一定要講清楚,否則將來這個換發下去,發生問題的時候,大家都推卸責任,最後遭殃的是誰?是人民,因為我的個資有可能被洩漏,人有可能被跟蹤。就算要拿這個東西作為追查犯罪或政府公共目的使用,也要有法律規定。比如說,現在連檢察官要去監聽電話都要法院批准,不是嗎?這已經到這種地步了,更何況是一個晶片?部長站在一個法律人的立場接任內政部長,照理講,這方面你應該更謹慎。我誠摯的建議你,雖然我是在野黨,但是我要告訴部長,法律人帶領的內政部應該要有最基本的法律素養,要做這件事情可以,法律上請備齊,否則你將來會面臨很多問題,權利義務為何?再來,有沒有違憲?真的不是只有發一發就算了,如果只是編列經費給你們發不難,可是發了以後產生的問題真的才是大問題,可能會發生很多人拒領的狀況,如果他拒領你怎麼辦?你要罰他嗎?會不會有人到時候抗議說我就不領,我為什麼要領?我一簽字領了之後,代表所有的資訊發生問題我要負責,因為這裡面沒有清楚的法律保障,很多人可能會因此不敢領。誰負責?如果有很多人不領新式身身分證呢?那怎麼辦?他要不要被罰? 徐部長國勇:換身分證的話全民統統都要換,沒有換的話,投票可能都會產生問題,所以一定要換。 江委員啟臣:這衍生出的問題就來了,一定會有人跟你打憲法官司。政府不能逼迫我做這件事情,因為這件事情對我的個資造成風險,因為這件事甚至對我個人的自由造成威脅。我在憲法上絕對可以伸張,我就不領,你能拿我怎麼樣?你說我不領就不能行使公民權的話,我反過來告你。國家剝奪我的人身自由,國家剝奪我的公民權,我絕對可以告你。這件事不是你們愛怎麼做就怎麼做,後面的問題是會發生的,所以我還是勸你們好好的把配套的法案寫出來,讓立法院通過,這樣所有行政部門的官員也能免於未來挨告的風險,包括部長自己在內。我非常誠摯的呼籲你們,要做這件事情,否則到時候可能會有一批人拒領。謝謝。 主席:請尤美女委員發言。 尤委員美女:(12時14分)主席、各位列席官員、各位同仁。我們要發行eID,民間團體及大家都非常擔心,剛剛很多委員的質詢其實一直透露裡面隱私的風險,我們沒有專法也沒有專責單位把關,所以人民會擔心。大家其實不是要阻止eID上路,而是希望能夠保護隱私,到時候不會被駭客進去,導致愛沙尼亞發生的問題,那是很難收拾的。事實上,我們都不是這一塊的專家,我也學了很久之後才知道問題出在哪裡。針對我們的數位身分證(eID),內政部製作了非常便利的eID的應用場景,剛剛部長一直講,我們不會無限擴張,但是從你們的宣傳來看,根本是超強大,是新身分證7.0來了,未來還可以綁定手機,還有支援憑證,不管是報稅、交通、公投、所有的採購、工商等等,它的功能有這麼強大,可以解決所有的不便,所以非常好用。社會在走,eID應該要有,沒有錯,但是我們來看看,既然eID的便利讓人民這麼好用,民間也想要用。 我們舉一個例子,張小明二十五歲,去購物網站,他今天拿了eID,這時候要不要驗證?因為他拿出這一張eID,我怎麼知道這個eID是真的還是假的?另外,我也必須驗證,比如到了成人網站,我也要看看你的eID,確認到底有沒有超過年齡,所以我要先驗證是不是真的憑證;再者,有沒有過期?這裡要問的是,第一個,eID是不是內政部核發的?是不是真的?第二個,eID是不是仍然有效?我們知道內政部已經招標,去規劃eID,因為這是一個非常龐大的計畫,所以你們要先規劃,規劃出來之後,依照這個規劃書開始發包,然後再去執行。 部長在報告裡面有提起,有內政部憑證管理中心憑證作業基準,我們拿這個基準,徵詢專家的意見之後來看看。我要使用eID就必須驗證,驗證就有所謂的分區簽章,作為驗證資料正確性的依據。這時候怎麼驗證呢?第一個是看看這一張是不是內政部發出的;第二個是看看是不是有效。是不是真的這個部分,當然你們有一個API會驗證這是真的,下面就看是不是有效。你們用什麼方式驗證它是不是有效?你們有這兩個方式,一個數位憑證機構(CA)去認證這一張是真的;另外一個是線上憑證狀態協定(OCSP)來認證這一張沒有過期,可是線上憑證狀態協定(OCSP)會造成什麼影響呢?我們來看看,魔鬼就藏在細節裡,這個就是大家所擔心的,它會發生衍生性資料,什麼叫「衍生性資料」?就是所謂的數位足跡。剛剛部長一直講,我們對身分證資料的內容絕對保密等,這個都沒有錯,因為所有的資料在晶片卡裡面已經很清楚了,所以我不需要再去問,但是這一張卡是不是真的、是不是仍然有效,這個必須經過驗證,驗證一定是透過電腦自動化回到內政部來,問是不是真的,然後確認是真的,是不是有效。這裡面的作業有兩個作業方式,一個就是OCSP,它裡面就會留下足跡。譬如某一個人曾經進入成人網站,這個足跡就留下來,或是我曾經到百貨公司血拼,裡面有很多都是名牌等等。大家知道大數據,我從這些大數據就能夠找出你的性癖好是什麼、你經常上什麼樣的網站、你經常血拼、血拼的錢從哪裡來,以及有沒有違反洗錢防制等。事實上,這些足跡可以推算出很多東西,這也就是人民在害怕的東西,也正是大家要求你們要去立法規範的東西。由於衍生性的資料裡面可能就會被做目的外的使用,或是犯罪偵察及加值應用,而企業體最喜歡的就是加值應用。如果被駭客駭進去,像資安被境外勢力盜取,假使去做大數據分析,全部數據都會出來,比如這個人在什麼位子、平常往來者等均會在這裡可以清清楚楚看到。 人民所擔心的是不希望用這種高科技的東西,讓他們覺得曝光或成為透明人,所有的一舉一動都在國家的掌控中。因此有沒有什麼技術可以不留下所謂的數位足跡呢?有,就是CRL,所謂的CRL在你們自己公布的內政部憑證管理中心憑證實務作業基準裡有提到,即儲存庫負責公告由憑證管理中心所簽發的憑證,將憑證廢止清冊就是CRL,比如今天公告哪些憑證憑證已經廢止了,就可以上網去看看這張是否被廢止了,所以根本不會留下這些足跡。如果你們用CRL,大家就不會擔心了。然而在你們這次的招標規範裡並沒有提到這個部分,在你們內政部憑證管理中心憑證實務作業基準裡是可以用CRL,也可以用OCSP,這兩個同時都存在。 現在人民擔心的是你們用OCSP,這會留下所有的數位足跡,因此在你們的規範書中,是不是可以規定只能用CRL,就是不留任何數位足跡,你們要用其他什麼方式都可以,但是不留任何數位足跡,這部分可不可以做到呢? 主席:請內政部徐部長說明。 徐部長國勇:主席、各位委員。剛才委員提到他要上什麼網站,甚至是上成人網站,這就是架接,現階段是一種身分識別,不管是架接到任合一個應用單位,這還需要相關單位的審核。基本上,像成人網站等是不可能審核通過的,因此在這裡不會產生這種問題。至於,比較會產生的問題,比如架接到健保局,我們已經講得很清楚,內政部不會留下你的任何使用紀錄。你上過健保局去看過病,我們內政部不會留下任何紀錄。如果你去報稅,我們內政部也不會留下紀錄。有關您提到我們內部要用哪種方式,我回去會請教一下我們的專家,但是我們絕對不會留下任何紀錄。有關他真正的使用紀錄,只有跟他相對應的使用機關才會有紀錄,這部分必須依個資保護法不得洩漏出去。如果會洩漏出去,其源頭都是在使用機關,因此我們相關介接的規劃就是這樣子,即不會留下任何紀錄,或是去使用這些紀錄,內政部不會這樣做,所以就不會有這樣的問題。 尤委員美女:我們都是這一塊的門外漢,請簡處長說明,你應該很清楚什麼叫OCSP等。 主席:請行政院資通安全處簡處長說明。 簡處長宏偉:主席、各位委員。剛才委員所提,在New eID裡可以分成兩部分來看,第一,有關eID本身;第二,就是串接其他服務,在New eID裡,部長一直提到整合自然人憑證的部分。剛才委員提到內政部的MOICA,其實現在就是照這種方法在做,即在確認一個憑證是否有效,其實是透過CRL,而整個授權是來自電子簽章法,因此憑證本身是有法律授權的。在這種情況之下,未來的eID裡,民眾啟動自然人憑證時,這是有法律授權的。現在的作法就是依照MOICA整個電子簽章法所授權的依據及規範在做,而且這不會留下紀錄。以上報告,謝謝。 尤委員美女:剛才你講得很清楚,CRL不會留下數位足跡,所以自然人憑證應該依照CRL。事實上,你們看看內政部憑證管理中心憑證實務作業基準裡的4.4.12,即線上憑證狀態查詢服務可以用所謂的OCSP。 簡處長宏偉:是,現在有提供兩種方式,一是如同委員說的OCSP,另外一個是CRL的部分。現在政府在應用自然人憑證時,通常是採用CRL的方式來做。 尤委員美女:部長,處長已經講得很清楚,在這次的招標規範裡是不是全部都用CRL呢? 徐部長國勇:我請他們回去馬上做這方面的…… 尤委員美女:這就是人民所關心的,人民不希望留下數位足跡。 徐部長國勇:你的建議,我們回去會處理。 尤委員美女:其次,現在不管是個資法,何況到目前為止本法還沒有主管機關,因此根本不夠,而電子簽章法也不夠,戶籍法更不用說了。 徐部長國勇:國發會現在有在處理個資法。 尤委員美女:我們要的是你們配套法律的規範,就如健保卡在之前的設計,並不知道會做這麼多連結,現在健保卡已經可以存放半年的就診資料,卡片本身也不斷再擴充功能。你們在第一頁所宣導的,就是身分證將來的功能超強大,以後會連結很多東西,這正是人民在關心的部分。即使沒有人會阻擋,臺灣本來就要科技立國,所以就要往前走。在我們往前走的同時,有關法律的配套及大家擔心的數位足跡,如果後者將來被中國駭客拿走時,我們全部一起曝光,而這正是大家所擔心的地方。我們希望部長能讓專家進來,將這部分防堵起來,並把法律弄好。 徐部長國勇:您說的我們會去研議及處理,這部分都相當有參考價值。 主席(林委員麗蟬代):請部長再把相關資料給尤委員。 尤委員美女:謝謝。 徐部長國勇:謝謝委員。 主席:接下來登記發言的童委員惠珍、呂委員玉玲及羅委員明才均不在場。 請林委員為洲發言。 林委員為洲:(12時28分)主席、各位列席官員、各位同仁。今天我們討論eID,歸納一下的話,大家最擔心的就是資安及個人隱私被不當使用或發生洩露等情事。有關洩露或不當使用而影響到個人權益,這有兩個方向,第一是怕外部駭客的攻擊或竊取,甚至是敵國或任何商業上的駭客。第二就是國家機器不當使用,或是國家裡的公務人員的不當使用,這也是大家擔心的,也都可以想像到。現在是分散式的,即健保卡歸健保卡、身分證歸身分證及自然人憑證歸自然人憑證,上述均沒有結合在一起,然而被駭客攻擊還是時有所聞。 有關內部不當使用的部分,比如不肖業者與警政人員勾結而洩露個資,這是非常少數的害群之馬,也是多年來一直都有,現在你們規定得很嚴格,如檢視資料都要留下紀錄,將來才能追查是不是有不當使用,像是人民的犯罪紀錄或刑事紀錄等。 主席:請內政部徐部長說明。 徐部長國勇:主席、各位委員。相關的個人個資。 林委員為洲:對,不當去查也是犯罪,這需要有法律依據及必要性。 徐部長國勇:對。 林委員為洲:大家擔心這些事情是有道理的,因為這張eID將來可以架接或介接到其他領域的卡,因此可以說是萬用卡。未來的可能性非常大,你也列出幾大功能,所以這是一張強大的卡,也可以通到各資料庫。 針對大家擔心的問題要如何處理呢?針對相關的對策,首先是檢視法律授權的問題,部長一直提到主要的法律授權是戶籍法第五十一條及第五十二條。第五十一條規定國民身分證用以辨識個人身分,其效用及於全國。第五十二條規定國民身分證及戶口名簿之格式、內容、繳交之相片規格,由中央主管機關定之。然而主要是在第五十一條,現在要換發成eID,到底是依第五十一條規定國民身分證用以辨識個人身分嗎?由於要變成eID,就會還有其他功能,你們依據的法律授權到底夠不夠呢?這還在爭議中。由於功能變強大了,不是只有辨識,還可以上網去做其他功能。 我要向部長表示,我們擔心外部駭客的攻擊及竊取資訊,也擔心國家機器及不肖公務人員不當使用個人資料,並侵犯到個資及人權。由於政府會輪替,現在是民進黨執政,將來由國民黨執政,這都有可能,國家機器是一個整體概念,並不分政黨。不管是哪個政黨,我們都不希望國家機器在沒有法律充分授權之下來違法使用個資,因而影響到人民的權利。我的意思是既然它那麼強大,而且可以提供那麼多資訊,我們立法當然要很嚴謹。第一點,你們有沒有法律的明確授權呢? 第二,其他委員也都講到,由於時代的進步,鍾佳濱委員特別提到,有關人臉辨識的生物特徵訊息,如果沒有經過當事人同意,就不能使用或蒐集,否則就會違憲,類似這樣的問題,你們也要去處理及解決。 最後,我們要好好檢討法律授權,還有其他法律與身分證有關部分的盤點,你們都還沒有做出來,當時我們已經要求你們要去盤點。法律的層次是母法的授權夠不夠,如果戶籍法的授權不夠的話,就要訂定母法。另外,其他法律提到身分證均是指紙本的身分證,只有辨識身分的功能,可是將來的身分證不是只有辨識而已,其他法律提到身分證的地方是不是要去做盤點一次,包括要修改的部分呢?法律盤點也要做,我們應更慎重來處理這件大事情。 剛才有委員提到萬一有人因擔心而拒領,像有人就不申請自然人憑證,本席就沒有使用自然人憑證,這是大家可以選擇用或不用。如果不用的話,可能比較麻煩一點,就必須跑到稅捐處臨櫃去報稅。由於這是我可以選擇的權利,不過eID就沒有選擇的權利,介接時也許可以選擇,但是換發eID就沒有選擇的權利,剛才部長已經說得很清楚,舊有的會被停用,當然就沒有身分證了,等於是強迫式的,大家都要用eID。對此我們更要慎重來找到法律的授權,除了訂定相關母法之外,即有法律授權不違法的觀念。 還有一點也有其他委員在討論,就是將來資安的維護能量不足,剛才聽到你們有4位資安人員,一年只有一千多萬元的經費,顯然不足嘛!由於主管機關是內政部,將來如果有任何資安問題,你們要負全責,可是這樣的資安維護能量、人員及金額都不夠,恐怕也需要有一個法律依據,你們才有辦法去擴充組織、編制、人力及經費。我們認為這部分你們確實需要一個法,不是改一下辦法而已。 我們在內政委員會還是會針對這些問題提出質疑,當然不是要找麻煩、挑毛病,而是要立一個大家將來都能安心及可以接受的法,除了接受科技帶來的進步,也不希望產生資安的危機。以上都是大家期待的,希望未來在審查預算的過程當中,我們都可以朝繼續修訂母法授權的法律方向來討論。謝謝。 徐部長國勇:謝謝。 主席(林委員為洲):接下來登記發言的陳委員明文、孔委員文吉、管委員碧玲、高金委員素梅、何委員欣純、邱委員志偉、周陳委員秀霞、林委員德福及陳委員歐珀均不在場。 所有登記發言委員除不在場外,其餘均已發言完畢,詢答結束。 委員吳琪銘、趙正宇、洪宗熠、呂孫綾、劉世芳及余天所提書面質詢列入紀錄,刊登公報,並請相關機關另以書面答復。 本日會議委員所提質詢未及答復部分,亦請一併書面答復。 委員吳琪銘書面質詢: 問題一 數位身分證最終的目的就是一卡多用,為減少民眾攜帶多張證件的麻煩。貴部為了達成一卡多用的目標,需要整合相關部會。請貴部針對跨部會的整合及具體規劃,以書面方式回覆本辦公室。 問題二 內政部的報告中雖然提到不用擔心資訊安全,但民眾還是會有疑慮,擔心個人資料遭到竊取,一個政策要順利推動並執行,需要取得民眾的信任。請貴部針對消除民眾疑慮之具體規劃及方案,以書面方式回覆本辦公室。 問題三 數位身分證明年10月就要上路了,民眾更換身分證需要備齊相關資料至各地的戶政事務所辦理。請貴部針對民眾更換數位身分證應備資料提出書面回覆。 為了防止民眾資料準備不齊全,貴部針對應備資料之宣導規劃及方案,以書面方式回覆本辦公室。 政府於明年10月開放更換身分證後,恐造成民眾湧入導致戶政事務所大排長龍。若不幸發生上述之狀況,貴部有何應變措施?請貴部以書面方式回覆本辦公室。 委員趙正宇書面質詢: 根據網路資安公司賽門鐵克(Symantec)2017年的報告指出,臺灣個資外洩嚴重程度是全球排名第五,在亞洲更是排名第一;行政院資通安全處也表示,臺灣公部門每個月遭受網路資安攻擊2千萬至4千萬次,且多數來自對岸,去年遭攻擊成功有360件。 根據新聞報導,2018年3月,司法院的主機被駭客入侵,導致帳號密碼外洩;銓敘部在2019年6月也外洩了24萬筆公務人員的個資。試問,在政府的資安措施已經漏洞百出的情況下,要民眾如何信任政府把關資安的能力? 內政部已經正式宣布,將於2020年10月全面換發新式的數位身分證,事關全國人民重大權益,但針對各界所關心的資安問題,以及因應身分證數位化設立個資保護專法、成立資安三級獨立機關的要求,內政部卻從未給出正面回應。 為此,本席希望藉由這次的專題報告,請內政部回覆並說明之: (一)未來數位身分證將朝一卡多用的功能來規劃,結合駕照、健保卡、自然人憑證,看似方便,但若身分證的資料不幸外洩,其他證件的資料是否也會跟著一併外洩? (二)據媒體報導,內政部在尚未公開新式數位身分證的規劃成果之前,就已經先招標了33億元的卡片印製標案,試問,為何此關乎全民、金額又高達33億元計畫,不能公開先讓社會討論、凝聚共識過後再進行開標? (三)根據媒體報導,新式數位身分證的印製是由中央印製廠負責,但是部分的關鍵材料和技術卻又外包給國外廠商,如此是否會有跨國的資安風險? (四)今年11月,臺灣將和美國合作舉行「大規模網路攻防演練」,屆時將有近15國的資安團隊模擬進攻臺灣政府網路,由臺灣資安團隊防守,檢視政府的資安到底有沒有問題,若屆時發現臺灣的資安技術有瑕疵的話,內政部是否會待確定資安確定無疑慮之後,再行推動新式數位身分證? (五)新式數位身分證的卡片造價昂貴,卡片上的個人相片是用「鐳射」的方式印製,但如此恐將大量增加換補發卡片作業的難度和時間,若民眾未來申請換補發新卡時,可能要過一個星期以上才能取件,一定要跑兩趟戶政事務所,比起目前當天申請當天就可以拿到,是否過於不便民? 委員洪宗熠書面質詢: 主旨:本院洪委員宗熠,鑒於2019年9月25日內政委員會「新式數位身分證之法律授權,及其招標程序與個資安全維護之必要措施」進行專題報告,提出書面意見如下: 一、內政部最近宣布我國將從2020年10月起全面換發數位身分識別證,其功能含括自然人憑證、健保卡、駕照等多種功能,為多卡合一的數位身分識別證(稱作New eID)。內政部宣稱New eID卡面資料比現行國民身分證更少,防偽功能較現行身分證更高,沒有國家監控疑慮,比紙本身分證更能保護民眾隱私及資訊自主權。但在革新的同時必然帶來相對應的風險,若不嚴加管控恐釀成更多問題。 內政部在整合各項資訊的同時,更應該正視背後所帶來的資安風險。因為,內政部認為New eID減少卡面記載之個人資料,將可避免被一覽無遺的困擾,可是外界質疑晶片的公私鑰雖然是在晶片內產製,但是需將公鑰資料讀出才能產生個人憑證申請檔,因此公私鑰皆有可能匯出,仍有個資洩漏之疑慮。但內政部卻公開表示資安並無疑慮,因為New eID是在晶片自行產製私密金鑰,無法匯出、重製,任何人都無法取得。由於政府部門與民間各說各話,讓民眾無所適從,請內政部針對資安之疑義,對內應立即檢視其資訊安全,避免個人資訊洩漏之風險,對外更應積極進行溝通,向民眾進行宣導,讓該政策能獲得民眾之支持,更能確保換發之後民眾能安心使用。 二、內政部今年推動「協助單身青年及鼓勵婚育租金補貼試辦方案」,只要收入在各縣市最低生活費二點五倍以下,且家庭成員沒有自有住宅者,能申請租屋補助,補貼期間最長可達一年,申請期限至9月27日止,試辦一年,希望有助青年「敢婚、願生、樂養」,請內政部儘速整理本次各縣市申辦人數、核定人數與經費等相關資訊,於一個月內以書面方式回覆。 三、現行租屋市場房東並不願意主動報稅或進行公證登錄,而且頂樓加蓋、非法隔間之租屋型態的「租屋黑數」比比皆是,內政部應與相關部會設計相關機制,遏止職業房東逃漏稅,針對非法加蓋隔間之租屋進行查緝,才能避免弱勢租屋族群被剝削,內政部應積極研議如何減少「租屋黑數」的具體執行方案減少各項補貼政策,讓居住正義不能只是口號,而是具體可達成的目標。 委員呂孫綾書面質詢: 行政院於今年8月22日通過將於明年全面換發「數位身分證」(New elD);本次所換發之數位身分證初期將是整合了原有的國民身分證與自然人憑證的功能,未來將加入綁定手機、研擬結合健保與駕照等功能,預計將於2023年全面換發完成。由於新式身分證變革幅度很大,又涉及資訊科技,使國人都非常關注其換發的內容,以及未來個人資料的數位安全,故本席特提出以下質詢。 一、換發數位身分證預計將從明年(2020)開始到2023年3月,換發全國2,359萬人之證件;由於上一次換發身分證已是近20年前,加以新式數位身分證涉及的功能更多,換發程序是否較為複雜,戶政單位工作能量是否足夠,皆為政府必須預先思考之問題,以避免屆時換發過程之紊亂;故此,內政部請就目前規畫之換發新式數位身分證相關程序、時程等,提供資料予本席。 二、身分證涉及人民行使各項權利之認證,其中重要一部分即為投票權之行使;根據中選會預告的「全國性公民投票電子連署及查對作業辦法」草案第5條,公民投票案連署人在電子連署系統進行連署時,必須以自然人憑證簽署。是以,換發新式身分證後,自然人憑證將結合為一,內政部是否有就此和中選會商討相關措施,未來新式身分證如何與電子連署系統嫁接,避免發生系統整合之問題?請內政部就此提出相關作為之規劃進度。 三、同上,數位身分證將可用於公投電子連署;然若有失能者之數位身分證件被有心人士代管,甚且遭受特定外部勢力之運用,例如收買身分證進而冒用於連署公民投票,如何進行防制? 委員劉世芳書面質詢: 有關直轄市長與直轄市議會相關事宜係由地方制度法規範。高雄市議會第三屆第二次定期大會於今(25)日開議,然高雄市長韓國瑜同時身兼中國國民黨推薦之總統候選人(今年7月27日經中國國民黨全國黨代表大會通過,正式代表該黨參加第15任總統選舉),有鑑於2016年第十四任總統選舉中國國民黨推薦之朱立倫候選人亦身兼新北市市長之殷鑑,是以韓國瑜市長未來恐涉請假之相關事宜。 就當時媒體報導所述,朱立倫市長從2015年10月20日開始請假,而請假之假別,「行政院人事行政總處今天下午火速回函,指朱立倫今年原有30天年假,加上前2年累計32天未休年假,今年可休62天年假。[……]進一步分析,朱立倫預計請假3個月,而年假最多能抵62天,未來勢必要再請病假或是事假;若超過休假上限,可用『扣薪假』方式處理,並無違法疑慮。」1爰此,就高雄市長身兼總統候選人乙節,有鑑於其恐請假,故就下列疑義就教內政部: 第一、直轄市市長請假之法源依據與程序為何? 第二、韓市長國瑜今(2019)年至九月廿五日止,請假天數為何?並依據下表回覆之: 請假 類別 可請 天數 已請假 之天數 已請假 之日期 是否需 扣 薪 若需扣薪, 一日扣薪 金額為何 第三、韓市長國瑜今(2019)年至九月廿五日止,請公假之日期時間及事由為何? 第四、倘韓市長國瑜請假需由副市長代理職務時,指派代理之法規依據及程序為何? 委員余天書面質詢: ˙部長好,今天內政委員會請您就「新式數位身分證之法律授權,及其招標程序與個資安全維護之必要措施」進行專題報告,月初週刊報導新式數位身分證,指控政府將整個標案交給中央印製廠得標,雖然內政部澄清過很多次,本席還是要請部長再澄清一次,中央印製廠在新式數位身分證印製過程中,到底是扮演什麼腳色?究竟為什麼要為限制性招標?限制性招標跟中央印製廠有什麼關係? ˙部長,整起標案媒體說是中央印製廠得標,而且還轉包給臺灣銀行,臺灣銀行再轉包給外面廠商,為什麼要轉這麼多手?究竟是媒體或是爆料廠商誤解?還是真有些讓外界詬病的採購程序? ˙部長,接下來本席要請問您,這家向媒體爆料的廠商提出很嚴厲的指控,說新式身分證這個標案,今年五月向立法院報告預算的時候,只有新臺幣40億元,六月的時候就追加到48億元,但是八月底才公告規格書,為什麼在六月的時候就追加了8億元?這8億元究竟是要花在哪裡? ˙目前智慧晶片卡國際上主要兩大廠商,分別是英飛凌與恩智浦半導體,目前國內在健保卡、機器可判讀護照的晶片上都有合作過的經驗,但週刊報導,八月底臺灣銀行的規格書公告,要求廠商要有新臺幣12億元的實績,這是否就排除了國內廠商投標的可能?照這樣的規格,是否就只有這兩家國外廠商可以投標? ˙部長,根據本席了解,新式身分證將置入智慧晶片,目前臺灣共有六代身分證,十年前為什麼沒有倒入晶片身分證?健保卡都早已經是晶片卡了,究竟十幾年前我們對身分證晶片卡的擔心,十幾年後就消失了嗎?究竟目前世界各國政府印製的身分證件,使用智慧晶片的國家有多少?這是不是目前世界的潮流? ˙根據內政部的規畫,未來新式數位身分證還可以透過手機APP,變成行動身分證,但是隨著載具的轉移,設計行動APP的廠商或是機關,是否有可能成為另一個個資洩漏的漏洞?未來內政部要如何化解民眾對於個資洩漏的疑慮? 委員林德福書面質詢: 問題一、 身分證換發從很早就開始規劃討論,但推動到今日,似乎有越來越多人民團體,對個資安全,與人權議題產生質疑。 明年適逢選舉年,如此重大又有爭議的政策推動,內政部與行政院有沒有考慮延後推動,以避免爭議擴大? 目前規劃109年10月開始換發數位身分證,預計到112年換發完成,將橫跨111年地方選舉,對於投票身分上確認是否會產生大混亂? 問題二、 目前,已知在特定頻段的RFID(無線射頻辨識)最遠可達5公尺的傳輸距離。 雖然說,內政部已對外說明數位身分證的RFID(無線射頻辨識)功能感應技術是ISO 14443標準,感應距離不遠,但民眾還是擔心,未來在外面行走時,經過特定場所或範圍會被政府蒐集自己的資訊。 因此,市面上開始出現可以遮蔽訊號的卡片保護套商品,以避免卡片資訊在不知情的情況下被讀取! 請問內政部,如果,在有法令授權下,且合乎政府機關目的之利用,政府機關是不是有能力蒐集民眾使用數位身分證歷程,並追蹤晶片使用軌跡? 問題三、 本席要問未來實務上操作問題,未來「數位身分證」上路後,警察臨檢請民眾出示身分證時,是否會提供警方機器去感應數位身分證的真偽?未來會有哪些「個人資料」會被臨檢的基層員警看到?若沒辦法說明清楚,則會後提供書面資料說明給本席參考。 問題四、 另外,本席想了解,數位身分證如果只保留「接觸式通訊介面」,移除「非接觸式通訊介面」功能,對未來推動數位身分證有何影響?請會後以書面資料向本席說明! 主席:本次會議到此結束,現在散會,謝謝大家。 散會(12時39分)