真是鬧劇啊
本日 (1/21) 行政院院會後的記者會正式宣布「晶片身分證全面換發」計畫暫緩 [a]。對很多人來說,這是鬧劇一齣,而且上檯面「鬧了」還不止三年。不過總是要等到選舉年的前一年,才是被迫宣布「暫緩」的時機。這結局對從頭開始就關心的利益攸關者而言,不只是「鬧劇」,幾乎可以說是某種國家安全決策「悲劇」的序曲。
也是喜劇啊
當然,事情的發展也不是如此悲觀。難得有涉及數位足跡、隱私、資料、資訊系統、資訊安全、系統工程、風險管理和政府角色的議題,會被如此熱烈的討論。各路人馬都要抓個角度來討論,連不少 YouTuber 也製作短影片介紹此事的爭議點。這當然算是喜劇一齣。不過,在此分享不同面向的看法。
有人說要對事不對人,但決策都是人在做的,因此我會提到幾個人,或是在這件事上從常理推斷應該有責任的幾個單位。我目前有興趣的是事情怎麼會發展到這樣,到底是哪些決策的環節出了問題。
稍長的前情提要
現行「晶片身分證」概念,常常被拿來和愛沙尼亞的 “eID“、“e-Estonia” 和 “X-Road®” 做比較。我們不能說愛沙尼亞就是台灣「晶片身分證」全面換發計畫的啟蒙者,但愛沙尼亞確實是2016年後在台灣被最常引用,盛讚為「成功案例」的國家樣本(編按:早期可能是瑞士有些邦的電子投票,中選會知道這些事)。內政部研究這些議題(如身分證晶片化)不是這兩三年才開始的事 [b]。在蔡英文總統的第一任之前,內政部戶政司、內政部資訊中心等單位,早就著手進行研究作業 [c]。所以我們說這政策(編按:晶片 + 身分證 + 全面換發)有某種「跨黨派」、「跨不同時期政府」的延續性,這篇評論的說法 [d] 是貼近事實的。
剛好很巧的是,距離我第一次申請愛沙尼亞的 e-Estonia 電子居民身份,已經超過六年(2014年),所以我還有保有些記憶。在那個時間點,內政部可能還沒有把愛沙尼亞的 X-Road® 看在眼裡。原因很簡單,其一是根本還沒有看到。其二是,e-Estonia 整體的構築範疇根本就不可能是內政部的業務。內政部資訊中心是頗有規模沒錯,但沒有大到什麼都能通吃。
我當時的想法很單純,是從個人和跨國經商的便利度出發 — 這動機和很多主張透過「晶片身份證」的普遍換發來開啟各種綑綁個人身份,讓資訊服務擁有充足使用人口基數的團體來說,是很類似的。如果我還停留在那個狀況,我就算沒舉雙手,也會舉一隻手贊成我自己要換發晶片身分證。
不過在2016年初之後,我卻完全改變了想法,那個時間點也是蔡政府上任的第一年。就像很多使用網路超過二十年的朋友一樣,當初網路充斥了某種自由、信任和開放的精神。但到了2015年底,從各種跡象都可以看到,網路早就不是以前的那回事。對網路還充滿稚嫩的發展想像,大概是在網路社會還沒有「轉大人」轉過去。
換幕的準備
eID 晶片身分證全面換發計畫,到底後來是怎麼變成幫 “T-Road” 鋪陳跑腿的?目前可考的有兩個公開的時間點:
這一段的想法在《國土及治理公共月刊》第六卷第四期(107年12月)某專篇文章 [g] 描述的比較完整 。台灣想模仿 X-Road® 的「始作俑者」,可考的資料是源自於國家發展委員會。而開啟 T-Road 的「鑰匙」,也就是附加「晶片」的「國民身分證」。因此,若不全面換發晶片身分證,強力拉抬普及率,後面整批「智慧政府發展藍圖」就會出不了場,倒在「囧途的路上」。
在「智慧政府發展藍圖」出爐後,就有了以國發會為主責機關所擬定的:
- 智慧政府行動方案(推出日期不明)[h]
- 《智慧政府推動策略計畫》(核定本)2019/1/10 [i]
以上只是提供必要的背景資訊,不是政策考古案。這部分要交由公共行政的學者著手研究。國民健保卡因為肺炎被「意外」「挪用」作為國民實名制領取口罩的身份識別證件,可說是去年 (2020) 加大上述政策發展決心的主要推力之一。
劇情急轉直下
規模如此宏大,各種需要晶片身分證作為某種前導計畫的後續計畫,當然不是說要改就能改(路徑依賴)。不幸的是,2016年甫上任的美國總統川普,間接改變了台灣在世界的各種能見度。能見度的提升不會只讓台灣顯露出好的一面,也會更快的暴露出不堪聞問的另外一面。
台灣作為「民主燈塔」「自由堡壘」,早就是各種網路「威脅樣態」的實證地。換句大多數朋友都聽得懂的話,台灣就是遭受各種網路攻擊的「前線」。
不過,台灣政府機關的資訊系統遭致網路攻擊,也不是2016年美國第45任總統川普之後才開始發生的。網路普及所帶來的威脅樣態,帶來了各種已公開和不能解密的「系統滲透」「資料外洩」的大小事件。2020年從總統府(疑案)、國防部(舊案)、關鍵基礎設施業者慘遭勒索病毒大規模攻擊成功(中油)、竹科不敢說的秘密(一樣是勒索病毒,包含中標的台積電)、家用監視器癱瘓各電信業者網路,還是高達2000萬筆疑似國民身份個資等級的資料在暗網流通一案,隨手數來都說不完。104人力銀行之舊案超大量求職者個資被流通也記上一筆 [j]。去年台灣整體社會,可說是每個月在某個環節都被成功「駭侵」「攻破」「勒索」[k]。
所以,資訊安全不是「有疑慮」,個資外洩也不是有疑慮。個人的權利飽受侵害都是「進行式」,然後很遺憾的是,我們一直沒有管道得知清楚的實情。有些案例太過敏感,故事太驚悚,甚至是不能說,不知道該怎麼說,最後總是不了了之。受害者是遍佈全國各地。
這是非傳統的國家安全急要課題
一邊是地緣外在衝突的急遽升高,一邊是資訊技術快速發展所帶來的新威脅(編按:還沒提到人工智慧誒)。擺在眼前的結果已經是整體社會和國民受害甚深,而在另外一方面,卻希望透過全面換發晶片身分證,加速發展「數位國家」。
技術的進步不是社會的進步,技術進步的導入和普及,也不是社會進步的唯一指標。單純崇拜技術先進性的風潮,不是21世紀應該在台灣繼續發生的事 [l]。技術越進步就越有風險,這風險並不是說不能承擔,不要承擔,而是我們不容易想像。而且全面換發如此全面,風險當然是比天高。在高度產發指導(戰略產業?)和飽受數位安全威脅之下,這幾個互相衝突的因子要如何調和?哪個才是最為優先的?這個正視技術所帶來的「產業發展機會」和「國民安全威脅」辯證,是要放在哪一個平台研析和討論?可以不討論就邁入實證嗎?
這些都是很好的問題,也是不能避免的問題。
我相信早在2018年底,就有人隱約感覺晶片身分證全面換發會有不少的「資安疑慮」,資安有不少問題,就算一般民眾沒有能力討論晶片身分證的技術細節,也大概能感受到把資安做好不是一件簡單的事。但這一次的換發規模如此之大,在政府的「安全體制」之內,到底是什麼單位應該「負責」?或是我們有什麼樣的機制可以早一點看清楚此案所必然面臨的問題?這些機制在什麼時間點被如何運用?誰能正式啟動這個機制?這個安全機制被啟動之後,是否能發揮作用?如果已經發揮作用,為什麼到去年年底,還會有內政部部長協同政委想透過直播來解釋的荒唐鬧劇 [m]?
晶片身分證在歷經長久規劃之後的暫緩決定,是國安決策系統展現失能症頭的序曲,而且我認為這個「序曲」尚未被正視。此案大幅度暴露出台灣政府在國家安全體系決策的缺陷。尤其是當有計劃經濟產發思維深刻介入之際,這個缺陷是可以被很巧妙不當利用 (exploit) 的。此外被不當利用所造成的大規模威脅 [n],不一定來自於特定國家。這個缺陷,也並非台灣獨佔,但台灣因為此缺陷所導致的決策弱點,肯定會比其他國家帶來更棘手致命的結果。
(待續)
[a] https://www.ey.gov.tw/Page/9277F759E41CCD91/e80e55a2-0102-4031-b6d3-a7c40f4cac6a
[b] https://www.ris.gov.tw/app/portal/789
[c] https://report.nat.gov.tw/ReportFront/ReportDetail/detail?sysId=C10503621
[d] https://udn.com/news/story/11091/5192325
[e] https://www.ey.gov.tw/Page/4EC2394BE4EE9DD0/82c0fc39-6e54-4d93-8249-0023782fad65
[f] https://www.ey.gov.tw/Page/4EC2394BE4EE9DD0/332fdaac-9e11-463d-b183-d62e1f2522fb
[g] https://www.ndc.gov.tw/Content_List.aspx?n=D6BFBA0DC30F0D68
[h] https://www.ndc.gov.tw/Content_List.aspx?n=589F7971894A9B51
[j] https://corp.104.com.tw/index1767.html
[k] https://blog.schee.info/2020/06/04/nation-under-cyber-attack/
[l] https://zh.wikipedia.org/wiki/%E8%B2%A8%E7%89%A9%E5%B4%87%E6%8B%9C
[m] https://blog.schee.info/2020/12/21/eid-security-over-live-streaming/
T.H. Schee 