狠狠撸

網際網路與法律
資安、隱私與數位身分證
網路世界之個資利用與保護
M10515008 林育慈
2020 / 06 / 04

前言
開放文化基金會
公民團體資安暨隱私交流(CSCS)計劃
https://ocf.tw/p/cscs/
就當我在打廣告啦

大綱
OUTLINE
1. 基本資安概念
2. 隱私與數位足跡
3. 数位身分证强制换发议题

01
基本資安概念
聽到「资讯安全」你會聯想到什麼？

聽到「资讯安全」你會聯想到什麼？

基本資安概念
● 沒有 100% 的安全
○ 降低內部引發問題的風險
○ 提高外部入侵的成本
● 越安全的東西，使用的綜合成本越高
○ 使用上不方便
○ 需要特定的軟硬體
○ 需要額外的知識
○ 後續維護
→ 不是找出最安全的方案，而是權衡找出最合適的方案

02
隱私與數位足跡
為什麼 Google 會知道我喜歡什麼？

為什麼 Google 會知道我喜歡什麼？

● 個人資料與個人隱私
○ 會員註冊資料
○ 釣魚與水漥攻擊
● 數位足跡
○ 網站追蹤器
○ 手機定位記錄
○ 防疫期間刷健保卡、身份證、學生證等

● 個人資料與個人隱私
○ 會員註冊資料
○ 釣魚與水漥攻擊
● 數位足跡
○ 網站追蹤器
○ 手機定位記錄
○ 防疫期間刷健保卡、身份證、學生證等
檢視某新聞網站時發現的追蹤器

● 我的時間軸
○ 住哪？
○ 在哪上班？
○ 可能喜歡吃什麼？
○ 交通工具？
○ 上下班時間？

03
数位身分证强制换发议题
數位身分證很現代啊！
為什麼有許多專家學者聯署反對？

数位身分证强制换发议题：政府推動的理由
● 紙本→數位(晶片)
● 紙本已無法滿足數位身分識別的需要
○ 現行政府網路服務以「個資驗證」、「健保卡驗證」、「自然人憑證」使
用為主，新證將以上功能多合一
● 紙本防偽能力已不足
● 對接民間需求
○ 現行以「雙證件驗證」為主，新證可以調整讀卡權限用以驗證
● 卡面揭露資訊過多
○ 舊版本揭露了 11 項個資；
新版本僅會留存姓名、身分證字號、出生日期、相片、結婚狀態

数位身分证强制换发议题：優點
● 尊重資訊自主與個人隱私
○ 晶片內資料分區保護
■ 戶籍地區(僅到村里鄰)
■ 公開區：輸入讀取碼(身分證字號後6碼)才可讀取
■ 加密區：由本人輸入密碼(自訂6~8碼)才可讀取
■ 自然人憑證區：由本人輸入憑證密碼(自訂6~8碼)
■ ICAO 區(供國內通關使用)
○ 服務提供者(公務、金融、醫院等)需向政府申請授權才可讀取加密區
○ 因需輸入密碼，服務提供者僅在本人同意且輸入密碼的情況下才會提供個
資
資料來源：內政部 New eID 簡報

数位身分证强制换发议题：優點
● 無國家監控
○ 個資存在晶片內，資料存取不會連線回內政部
○ 憑證驗證不會在憑證中心留下紀錄
● 更便利
○ 免填寫、登打個資
○ 未來會推出行動身份證 App
● 風險管控
○ 軍事機密級別资讯安全標準
○ 集中製卡
資料來源：內政部 New eID 簡報

数位身分证强制换发议题：疑慮
● 是不是以後網路交易或服務都需要進行數位身分認證了？
● 會不會所有網路平台都會與戶籍系統接軌？
● 使用後衍生的資料(如驗證紀錄)是否被留存並進一步供目的外利用？
● 國人要從何得知這些目的外利用的存在？該如何確保不被濫用？
● 要如何避免使用範圍無止盡地擴大而壟罩所有日常生活領域？
● 多功能合一在被攻破時要如何資料不被外洩？
● 認為現行《戶籍法》、《個人資料保護法》與《電子簽章法》足夠，不需要立
專法來管理？
● 根據《戶籍法》第56條規定，國民應隨身攜帶身份證件，然而數位身份證規格
中卻有著 RFID 讀取功能？

数位身分证强制换发议题：公民團體連署反對理由
● 連署單位：台灣人權促進會、開放文化基金會
● 共同訴求
○ 不應強迫全面換發晶片身分證，保留選擇非晶片卡的自由
○ 成立個資保護與監督機關，保障人民隱私權益（接軌 GDPR）
● 台灣人權促進會訴求
○ 政府應暫停既有的換發作業，先就資安及隱私風險，進行立法或修法（先
立法再換證）
● 開放文化基金會訴求
○ 不強迫隨身攜帶，以避 NFC 任意/惡意讀取風險
○ 開放存取系統之原始碼，公眾監督取信於民

狠狠撸

资安、隐私与数位身份证

More Related Content

Similar to 资安、隐私与数位身份证 (13)

More from Eunice Lin (6)

资安、隐私与数位身份证