數位身分證是否步上孟加拉的命運?

數位身分證外包給境外廠商,卻又因疫情無法完全監管,隱私及資安令人堪慮。圖/Unsplash

文/陳逸南 台灣北社科技組召集人、仲裁人

為迎向智慧政府時代,今年10月將開始換發數位身分識別證(New eID)。為打造這把通往實體世界與虛擬網路的鑰匙─New eID,帶領全民邁向數位國家的新紀元,內政部於去年6月將New eID印製案託付予中央印製廠。中央印製廠將其中3,000萬張空白數位身分證及印製設備含系統的重任,以新台幣33億元預算進行「PC晶片卡及印製設備乙式」採購案。

多年來外界關心New eID資訊安全及隱私疑慮的聲浪不斷,其中,中華印刷科技學會標題「數位身分證換發案,驚傳廢標再開標」之文章,所透露的訊息值得關注。該文指出,東元電機集團是結合宏通數碼、東元捷德、中華電信,與國外卡廠Veridos及Idemia的專案投標團隊。

目前疫情持續擴大之際,東元專案團隊獲得決標,3,000萬張數位身分證全部或大半,可能由國外卡廠Idemia在境外印製?決定台灣New eID未來命運的Idemia,到底是何許人也?在亞洲地區承製數位身分證的實際案例為何?不免令人好奇。

國外有關Idemia及eID的資料當中,世界銀行官網有份公開的書面報告,是貸款孟加拉1.95億美元發展eID的「完成執行與成果報告」,詳盡說明eID專案履約經過情形,或許可作為一種參考。

世界銀行的報告指出,Oberthur Technologies(按即Idemia的前身,在2017年合併成為Idemia)與孟加拉簽約印製身分識別證,約定以法國維特雷(Vitre, France)做為製造地,但因無法解決產能不足、交貨遲延等問題,而申請以中國深圳做為第二製造地。孟加拉同意,且派員至深圳實地查核,但是其後又發生交貨遲延,進而申請延展契約期限,縱使孟加拉同意展期一年,最後仍然無法如期履約。

第三世界國家如孟加拉,都知道事先以契約跟製造商約法三章,詳列製造廠域,並且約定如果製造場域變更時,需事先取得孟加拉的同意,並且派員至當地查核。Idemia在中國設有愛德覓爾(深圳)科技公司,由該公司官網顯示,深圳為Idemia在亞太地區唯一的個人化生產基地,因此讓人不難理解在交貨遲延時,原先履約的製造商無法再捨近求遠,而需將孟加拉eID的製造地,由原約定的法國改為中國。

從世界銀行的這份報告,對照台灣蓄勢待發的10月更換New eID專案。孟加拉發展身分識別證,有世界銀行的金援及監督,但是台灣是世界銀行的孤兒,如果發生問題時,可能沒有那麼幸運。

台灣發展eID已屬起步較晚,受到各地疫情之旅行、檢疫及隔離等限制,尤其是安全考量,主管機關難以派員至國外,境外分包廠商之適任性查核、製造場所安全性測試等等,重要的實地稽查都無法執行,極易淪為無從監管的局面。

台灣同樣是世界衛生組織的孤兒,幸好政府團隊天助自助、超前部署,而能在全球防疫大戰中,贏得國際認同與讚賞。在數位身分證New eID的發展方面,為了避免步上孟加拉eID 一延再延的命運,筆者在此呼籲政府團隊注意下列事項:

一、已有不少廠商以全球疫情、供應鏈中斷、邊境、運輸管制、工廠停工,取得中國當地不可抗力證明做為理由,申請展延履約期限,或試圖免除違約責任。然而,台灣在疫情控制得當,政策備受國際肯定的狀況下,如果無法掌控與落實專案各項測試、核樣及交貨期程,恐怕完全說不過去,更將影響社會觀感及政府威信。

二、New eID空白身分證及個人化印製設備的製造商,究竟是誰?應徹底確認實際製造廠商,掌握其真正的製造場域,更應嚴加要求各製造場域,檢視需具備的ISO國際安全規範及認證。除以契約明文約定,亦應落實各履約事項、規格要求及其他安全事項;

且對於國內廠商仍需持續訪查及稽核,並利用視訊VR等遠端監督境外廠商,以確保製造廠的印製安全及資訊安全。

切莫因疫情影響、監控失周,而有「以次充好」的問題,乃至於變換工廠、產線的狀況,萬一病毒、駭客入侵、污染製程或系統,危殆國安及全民個資隱私,後果不堪設想。

三、由目前防疫團隊記者會的開誠佈公,讓台灣成為防疫典範來看,3,000萬張空白身分證,以及個人化設備含系統,這些通往虛擬世界的鑰匙,究竟從實體世界何處而來?目前國人如墜五里霧中。若無法適時更新說明,恐難避免大眾從疑慮轉為猜忌,甚至變成抗拒。

綜上所述,台灣的New eID有沒有辦法如期換發?引人憂心。如果步上孟加拉後塵,將是全民的不幸。因此,數位身分證New eID能否成功,端視主事者是否發揮智慧政府應有的思維與謀略,及有否邁向數位國家的決心及作為。

>>訂閱名家評論周報,關心全球財經大小事

延伸閱讀