跳到主要內容區塊
mobile_menu
:::

數位身分識別證(New eID)

內政部參採各界意見,經過長期規劃,已全方面規劃數位身分識別證(New eID)(換發計畫並奉行政院108年6月6日核定),首重隱私及資安的保護,民眾可自由選擇是否使用晶片內的各項功能,比紙本身分證更能保護民眾隱私及資訊自主權,重點敘述如下:
 
﹙一﹚New eID單純化:New eID與紙本身分證一樣,只有身分識別的用途,且將國民身分證結合自然人憑證,是一把在實體世界及網路世界中身分識別的鑰匙,單純作身分識別。
﹙二﹚落實隱私保護:
1.New eID採個資揭露最小化,將版面公開個資降至最低,晶片內存放自然人憑證及個人基本身分資訊,提供實體及網路身分識別,晶片內資料分區保護,要民眾同意輸入讀取碼或密碼,才能取用,同時本部依服務提供者依法執行業務之需求,設有權限管理機制。
2.New eID卡面上已有身分證統一編號、姓名、出生日期及相片等最基礎的個人資料,查驗國民身分證機關,如依這些資料已足夠確認當事人身分,便不必使用晶片功能,不會強制要求民眾使用電子化服務。公、私部門若要使用民眾個人資料,也均受到個人資料保護法的規範,應盡資料保護之責。
﹙三﹚資訊安全:
1.晶片:
﹙1﹚晶片卡包含其作業系統、應用系統、讀卡機等資通產品,皆須符合國際標準,且一定要通過國家驗證,如Common Criteria, ISO/IEC 15408驗證,取得EAL4+以上安全認證。
﹙2﹚接觸式通訊介面須符合ISO 7816-3,非接觸式通訊介面須符合ISO 14443(須在數釐米內始可感應)。
﹙3﹚遵循國際民航組織機器閱讀旅行證件的技術規範(ICAO 9303)
甲、被動認證機制(PA)-確保證件資料內容沒有遭到篡改。
乙、主動認證機制(AA)-確保晶片為真品(genuine),且無法被複製。
丙、輔助存取控制機制(SAC)-防止竊取晶片資料,並建立晶片與讀卡機之加密管道。
2.系統:為確保New eID各相關系統(如New eID製發管理系統及自然人憑證管理系統等)將依循關鍵基礎設施安全防護指導綱要提升防護能量,並符合資通安全管理法規範,資安保護採A級規格方式辦理,建置過程將由第三方廠商做獨立驗證,確認系統符合國際ISO 27001國際認證之安全標準,並持續提升資安防護。
﹙1﹚事前安全防護:訂定資安事件處理計畫與風險評估,以及New eID相關軟硬體設備、系統、應用服務、API接口等相關項目之資安防禦作為,並定期持續針對相關項目進行測試驗證。
﹙2﹚事中緊急應變:上線服務期間若遭受資安攻擊事件時,應啟動緊急應變計畫,儘速降低資安事件災損範圍,並就資安事件發生原因、資安威脅防護等級、可能災損範圍進行相關作為。
﹙3﹚事後復原作業:資安事件發生後檢討現有資安解決方案與相關防護流程,執行復原重建工作,並根據資安事件處理狀況適時調整現有機制完備相關流程。
﹙4﹚事後調查處理及改善,並提出報告。
﹙四﹚資訊自主:
1.民眾可選擇自然人憑證是否使用或復用或廢止。
2.民眾可決定是否提供晶片內資料。
3.各機關將來所推出各種的應用服務,民眾也有權選擇要不要使用。
﹙五﹚無進行監控:
1.現行使用紙本身分證辦理任何服務,是否會留下紀錄,均取決於提供服務的機關,其依法不得做「目的外之利用」。
2.New eID是將國民身分證結合自然人憑證,使用時跟自然人憑證一樣,不會連回憑證中心自然不會留下任何紀錄;晶片已存有個人身分基本資料,無須連回內政部取用個資,而且使用紀錄均留存在提供服務的機關構內部,只有民眾才知道使用歷程,內政部也沒有蒐集這些紀錄,不會發生政府監控的問題。
3.將來New eID也是在保護個資運用的法律框架下,任何目的外之利用,均受到嚴格限制。
﹙六﹚法源依據:戶籍法已賦予New eID製發的依據,在個人隱私、資訊安全的保護方面,透過個人資料保護法、資通安全管理法、電子簽章法等法規,可建構綿密的保護網,會在這些法律基礎上進行製發及應用,無需再另訂專法。
﹙七﹚廠商資格:New eID規劃案及建置案均依照政府採購法規定辦理,於採購招標文件載明如採購內容涉及國家安全,不允許大陸地區廠商、第三地區含陸資成分廠商及在臺陸資廠商參與,於開標階段過濾投標廠商資格,以限制廠商資格,同時做好監督控管之責。
﹙八﹚實體卡的必要性:
1.數位身分認證方式以ISO 29115數位身分驗證等級分級,實體憑證為最高等級(等級4)。
2.國民身分證加入晶片後,可強化實體卡防偽變造,並可利用自然人憑證促進機關業務流程改造。
3.數位身分為智慧國家之基礎建設,數位身分識別證能有效提升數位身分的涵蓋率,作為推動智慧政府的基礎。
4.當面臨無電力及網路時,可利用實體卡進行身分確認,讓日常交易活動正常運行,同時實體世界仍有身分驗證之需求(例如警察臨檢),且並非每個民眾都有手機、平板等行動化設備,爰無法由行動身分全面取代實體卡,故換發數位身分識別證始能兼具虛擬及實體世界之身分識別需求。