晶片身分證發行暫緩是國安系統失能導致的序曲

真是鬧劇啊

本日 (1/21) 行政院院會後的記者會正式宣布「晶片身分證全面換發」計畫暫緩 [a]。對很多人來說,這是鬧劇一齣,而且上檯面「鬧了」還不止三年。不過總是要等到選舉年的前一年,才是被迫宣布「暫緩」的時機。這結局對從頭開始就關心的利益攸關者而言,不只是「鬧劇」,幾乎可以說是某種國家安全決策「悲劇」的序曲。

也是喜劇啊

當然,事情的發展也不是如此悲觀。難得有涉及數位足跡、隱私、資料、資訊系統、資訊安全、系統工程、風險管理和政府角色的議題,會被如此熱烈的討論。各路人馬都要抓個角度來討論,連不少 YouTuber 也製作短影片介紹此事的爭議點。這當然算是喜劇一齣。不過,在此分享不同面向的看法。

有人說要對事不對人,但決策都是人在做的,因此我會提到幾個人,或是在這件事上從常理推斷應該有責任的幾個單位。我目前有興趣的是事情怎麼會發展到這樣,到底是哪些決策的環節出了問題。

稍長的前情提要

現行「晶片身分證」概念,常常被拿來和愛沙尼亞的 “eID“、“e-Estonia” 和 “X-Road®” 做比較。我們不能說愛沙尼亞就是台灣「晶片身分證」全面換發計畫的啟蒙者,但愛沙尼亞確實是2016年後在台灣被最常引用,盛讚為「成功案例」的國家樣本(編按:早期可能是瑞士有些邦的電子投票,中選會知道這些事)。內政部研究這些議題(如身分證晶片化)不是這兩三年才開始的事 [b]。在蔡英文總統的第一任之前,內政部戶政司、內政部資訊中心等單位,早就著手進行研究作業 [c]。所以我們說這政策(編按:晶片 + 身分證 + 全面換發)有某種「跨黨派」、「跨不同時期政府」的延續性,這篇評論的說法 [d] 是貼近事實的。

剛好很巧的是,距離我第一次申請愛沙尼亞的 e-Estonia 電子居民身份,已經超過六年(2014年),所以我還有保有些記憶。在那個時間點,內政部可能還沒有把愛沙尼亞的 X-Road® 看在眼裡。原因很簡單,其一是根本還沒有看到。其二是,e-Estonia 整體的構築範疇根本就不可能是內政部的業務。內政部資訊中心是頗有規模沒錯,但沒有大到什麼都能通吃。

我當時的想法很單純,是從個人和跨國經商的便利度出發這動機和很多主張透過「晶片身份證」的普遍換發來開啟各種綑綁個人身份,讓資訊服務擁有充足使用人口基數的團體來說,是很類似的。如果我還停留在那個狀況,我就算沒舉雙手,也會舉一隻手贊成我自己要換發晶片身分證。

不過在2016年初之後,我卻完全改變了想法,那個時間點也是蔡政府上任的第一年。就像很多使用網路超過二十年的朋友一樣,當初網路充斥了某種自由、信任和開放的精神。但到了2015年底,從各種跡象都可以看到,網路早就不是以前的那回事。對網路還充滿稚嫩的發展想像,大概是在網路社會還沒有「轉大人」轉過去。

換幕的準備

eID 晶片身分證全面換發計畫,到底後來是怎麼變成幫 “T-Road” 鋪陳跑腿的?目前可考的有兩個公開的時間點:

這一段的想法在《國土及治理公共月刊》第六卷第四期(107年12月)某專篇文章 [g] 描述的比較完整 。台灣想模仿 X-Road® 的「始作俑者」,可考的資料是源自於國家發展委員會。而開啟 T-Road 的「鑰匙」,也就是附加「晶片」的「國民身分證」。因此,若不全面換發晶片身分證,強力拉抬普及率,後面整批「智慧政府發展藍圖」就會出不了場,倒在「囧途的路上」。

在「智慧政府發展藍圖」出爐後,就有了以國發會為主責機關所擬定的:

以上只是提供必要的背景資訊,不是政策考古案。這部分要交由公共行政的學者著手研究。國民健保卡因為肺炎被「意外」「挪用」作為國民實名制領取口罩的身份識別證件,可說是去年 (2020) 加大上述政策發展決心的主要推力之一。

劇情急轉直下

規模如此宏大,各種需要晶片身分證作為某種前導計畫的後續計畫,當然不是說要改就能改(路徑依賴)。不幸的是,2016年甫上任的美國總統川普,間接改變了台灣在世界的各種能見度。能見度的提升不會只讓台灣顯露出好的一面,也會更快的暴露出不堪聞問的另外一面。

台灣作為「民主燈塔」「自由堡壘」,早就是各種網路「威脅樣態」的實證地。換句大多數朋友都聽得懂的話,台灣就是遭受各種網路攻擊的「前線」。

不過,台灣政府機關的資訊系統遭致網路攻擊,也不是2016年美國第45任總統川普之後才開始發生的。網路普及所帶來的威脅樣態,帶來了各種已公開和不能解密的「系統滲透」「資料外洩」的大小事件。2020年從總統府(疑案)、國防部(舊案)、關鍵基礎設施業者慘遭勒索病毒大規模攻擊成功(中油)、竹科不敢說的秘密(一樣是勒索病毒,包含中標的台積電)、家用監視器癱瘓各電信業者網路,還是高達2000萬筆疑似國民身份個資等級的資料在暗網流通一案,隨手數來都說不完。104人力銀行之舊案超大量求職者個資被流通也記上一筆 [j]。去年台灣整體社會,可說是每個月在某個環節都被成功「駭侵」「攻破」「勒索」[k]。

所以,資訊安全不是「有疑慮」,個資外洩也不是有疑慮。個人的權利飽受侵害都是「進行式」,然後很遺憾的是,我們一直沒有管道得知清楚的實情。有些案例太過敏感,故事太驚悚,甚至是不能說,不知道該怎麼說,最後總是不了了之。受害者是遍佈全國各地。

這是非傳統的國家安全急要課題

一邊是地緣外在衝突的急遽升高,一邊是資訊技術快速發展所帶來的新威脅(編按:還沒提到人工智慧誒)。擺在眼前的結果已經是整體社會和國民受害甚深,而在另外一方面,卻希望透過全面換發晶片身分證,加速發展「數位國家」。

技術的進步不是社會的進步,技術進步的導入和普及,也不是社會進步的唯一指標。單純崇拜技術先進性的風潮,不是21世紀應該在台灣繼續發生的事 [l]。技術越進步就越有風險,這風險並不是說不能承擔,不要承擔,而是我們不容易想像。而且全面換發如此全面,風險當然是比天高。在高度產發指導(戰略產業?)和飽受數位安全威脅之下,這幾個互相衝突的因子要如何調和?哪個才是最為優先的?這個正視技術所帶來的「產業發展機會」和「國民安全威脅」辯證,是要放在哪一個平台研析和討論?可以不討論就邁入實證嗎?

這些都是很好的問題,也是不能避免的問題。

我相信早在2018年底,就有人隱約感覺晶片身分證全面換發會有不少的「資安疑慮」,資安有不少問題,就算一般民眾沒有能力討論晶片身分證的技術細節,也大概能感受到把資安做好不是一件簡單的事。但這一次的換發規模如此之大,在政府的「安全體制」之內,到底是什麼單位應該「負責」?或是我們有什麼樣的機制可以早一點看清楚此案所必然面臨的問題?這些機制在什麼時間點被如何運用?誰能正式啟動這個機制?這個安全機制被啟動之後,是否能發揮作用?如果已經發揮作用,為什麼到去年年底,還會有內政部部長協同政委想透過直播來解釋的荒唐鬧劇 [m]?

晶片身分證在歷經長久規劃之後的暫緩決定,是國安決策系統展現失能症頭的序曲,而且我認為這個「序曲」尚未被正視。此案大幅度暴露出台灣政府在國家安全體系決策的缺陷。尤其是當有計劃經濟產發思維深刻介入之際,這個缺陷是可以被很巧妙不當利用 (exploit) 的。此外被不當利用所造成的大規模威脅 [n],不一定來自於特定國家。這個缺陷,也並非台灣獨佔,但台灣因為此缺陷所導致的決策弱點,肯定會比其他國家帶來更棘手致命的結果。

(待續)

[a] https://www.ey.gov.tw/Page/9277F759E41CCD91/e80e55a2-0102-4031-b6d3-a7c40f4cac6a

[b] https://www.ris.gov.tw/app/portal/789

[c] https://report.nat.gov.tw/ReportFront/ReportDetail/detail?sysId=C10503621

[d] https://udn.com/news/story/11091/5192325

[e] https://www.ey.gov.tw/Page/4EC2394BE4EE9DD0/82c0fc39-6e54-4d93-8249-0023782fad65

[f] https://www.ey.gov.tw/Page/4EC2394BE4EE9DD0/332fdaac-9e11-463d-b183-d62e1f2522fb

[g] https://www.ndc.gov.tw/Content_List.aspx?n=D6BFBA0DC30F0D68

[h] https://www.ndc.gov.tw/Content_List.aspx?n=589F7971894A9B51

[i] https://ws.ndc.gov.tw/Download.ashx?u=LzAwMS9hZG1pbmlzdHJhdG9yLzEwL3JlbGZpbGUvMC8xMjI2OS85Yjk4ZjJjZC01ZmNmLTQ3ZDAtYjFkNS05NmJhMWIxZGM0ZWYucGRm&n=5pm65oWn5pS%2F5bqc5o6o5YuV562W55Wl6KiI55WrX%2BaguOWumi5wZGY%3D&icon=..pdf

[j] https://corp.104.com.tw/index1767.html

[k] https://blog.schee.info/2020/06/04/nation-under-cyber-attack/

[l] https://zh.wikipedia.org/wiki/%E8%B2%A8%E7%89%A9%E5%B4%87%E6%8B%9C

[m] https://blog.schee.info/2020/12/21/eid-security-over-live-streaming/

[n] https://infolaw.iias.sinica.edu.tw/?p=4002

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.