政府資安缺信譽 數位簽章難推
行政院三月一日通過了數位部提出的「電子簽章法」修正草案,函請立法院審議,修法重點明定數位簽章爲電子簽章的一種類型,也明定電子簽章的法律效力。數位部次長李懷仁表示,數位簽章公信力強,可推定爲本人親籤。並說明數位簽章透過加密私鑰,且是政府審定許可的憑證機構所發出,類似現行實體所謂的印鑑證明,會推定爲本人親籤。
乍看之下,以爲數位部有在做事,其實早在九十年即經立法院三讀通過實施「電子簽章法」,並早就具有法律效力,對何謂電子文件、電子簽章、數位簽章、加密、憑證機構、憑證、憑證實務作業基準、以及資訊系統,都有明確定義與規範。此次數位部修法的六大重點,「電子簽章法」裡面既已有規範,只是冷飯再熱炒一下;數位部長唐鳳強調,已經與臉書、YouTube、LINE等平臺交換意見,數位平臺樂見相關規範程序上路,其實在「電子簽章法」第十五條也早有規範。
數位部的理想是未來網路平臺的廣告在上架前就有數位簽章認證,直接爲該則廣告負責,若該廣告被警調認定爲一頁式詐騙,就會在聯防平臺上公佈相關訊息,其他數位平臺獲悉後,也可以快速下架同一簽署人刊登的其他廣告,降低民衆遭詐風險。這是理想,但大前提是網路廣告業者是否願意配合,向政府申請公鑰及私鑰來使用數位簽章?而且這用網路實名制就可輕易解決,殺雞焉用牛刀?
由內政部憑證管理中心所簽發的自然人憑證,是邁向電子化政府的基礎建設,例如利用網路報稅,但須人人都來申請。自九十二年開辦迄今,總髮證量才約爲九六○萬張,爲何未能全民皆願意申請持有?只因自然人憑證的技術也是使用數位簽章,公、私鑰由內政部制發,公鑰由憑證管理中心來管理,私鑰則是燒錄在IC晶片卡上交個人簽證使用。多年來民衆知悉政府保管的資料都會外泄,對政府保管資料早已失去信心。倘若由政府保管的公鑰也像其他資料一樣外泄,不僅是指駭客入侵的外泄,更擔憂的是內部人員的人爲外泄(如健保資料、檢調資料以及故宮國寶高清圖檔外流遭賤賣、二千三百萬人個資在暗網都買得到等),整個自然人憑證系統就會瓦解。終因申請的人不多,最後用身分證號碼也可以網路報稅。
巧的是,剛喊卡的數位身分證技術也是數位簽章,因想要達到的功能太多,甚至可合併自然人憑證,連參與數位身分證測試任務的臺科大資安中心也認爲,後臺若沒有處理好,恐怕會有大批資料外泄。所謂的後臺沒處理好,就是後臺管理人員的人性弱點,受不了外界的威脅與利誘,絕不是資安設備不夠好或技術問題。試問,若數位簽章公信力瓦解,又如何能推定爲本人親籤?
內政部在網站上安撫民衆,說「現行法律已足夠,會謹慎推動數位身分證。並強調在現行戶籍法、個人資料保護法、資通安全管理法、電子簽章法等規範下,足以推動數位身分證。政府會完善資安防護,做好風險管控」。但最終計劃還是喊卡,只因民衆對政府的資安保障沒有信心,怕被侵犯隱私權及個資外泄。
數位部擬修「電子簽章法」,看得出想扭轉只會做點面線的印象,想要全面推行數位簽章以防堵網路詐騙,但由政府擔任憑證管理機構都已不得人心了,更別提交由政府審定許可的憑證機構來執行,這絕對會讓民衆對「電子簽章法」的疑慮雪上加霜。