記者盧素梅/台北報導
針對有學者擔心數位身分識別證(簡稱New eID)有資安疑慮,對此,內政部今(11)日澄清,New eID是在晶片自行產製私密金鑰,無法匯出、重製,任何人都無法取得,並在封閉隔離的環境製作,可確保資安絕對無虞,請民眾放心。
內政部表示,私密金鑰產製是公開金鑰基礎建設的程序之一,依據自然人憑證CPS(內政部憑證管理中心憑證作業基準)規範,金鑰對是在通過安全評估共通準則(Common Criteria, CC)國際安全認證的晶片中自行運算產生的,確保其私密金鑰無法匯出、重製,任何人都無法取得該私密金鑰,因此不會有被製卡廠商掌握私密金鑰的情形。
私密金鑰產製時尚未結合個資,且在百分百國營、非私營且絕無中資之中央印製廠安全封閉環境中,由專人執行,確保資訊安全,其作法與現行自然人憑證相同都是在卡片內產製金鑰對。
內政部指出,New eID 發證系統的建置,只是為了製發數位身分證,是在封閉隔離的製發環境下運作,不會連結網際網路,且會有嚴格的安全管理與監控機制,能有效防止駭客的攻擊。另New eID並未儲存或記錄個人地域、人際網絡或其他數位痕跡等資料,不會有隱私資料外洩的疑慮。
內政部進一步說明,於開發New eID相關系統服務時,亦要求導入安全軟體開發相關原則進行,針對晶片本身、資訊傳輸、感應設備、應用服務等項目上,將委請資安廠商進行檢測,相關程式原始碼在不涉及安全原則的條件下,將開放讓公眾進行檢測,檢測項目包含基本弱點掃描、滲透測試、紅隊演練等,以挖掘出針對New eID與相關服務之各種可能攻擊手法。
除此之外,於New eID發行前,將研議規劃針對New eID晶片卡、讀卡程式、感測設備及相關使用情境等規劃賞金獵人競賽,透過駭客社群驗測New eID相關項目之資訊安全等級和防護能力。
內政部指出,New eID沒有保留全民「數位痕跡」,民眾使用New eID之紀錄,是留存於提供服務的機關,其依法不得做「目的外之利用」,內政部也沒有蒐集這些紀錄,並在保護個資運用的法律框架下,任何目的外之利用,均受到嚴格限制,公、私部門若要使用民眾個人資料,也均受到個人資料保護法的規範,應盡資料保護之責,以嚴密保護民眾隱私及資訊自主權。
在個人隱私、資訊安全的保護方面,透過個人資料保護法、資通安全管理法、電子簽章法等法規,可建構嚴密的保護網,會在這些法律基礎上進行製發及應用,無需再另訂專法。
有關中央印製廠招標公告所載晶片追蹤的議題,內政部解釋,New eID是一張晶片卡,就像晶片護照、信用卡、健保卡、悠遊卡、手機晶片卡一樣,是不會主動發送訊號,所以不會洩漏位置,無法追蹤。中印的招標公告是針對一般製卡生產流程,系統在追蹤卡片生產的作業狀態,其文字為避免外界誤解將進行更正。