內政部欲推行新版數位身分證，然而資訊安全相關爭議頻傳，其實包括政府各類公共服務，甚至是本土金融科技能否順利發展，都關係到二個重要議題，即蔡總統過去曾宣示成立的數位發展部，以及《個人資料保護法》能否與時俱進，二者是一體兩面，同時也是迫在眉睫、刻不容緩的工作。

蔡總統在本次任期之初就已經宣示，要開始研議設立橫跨資訊、資安、電信、網路及傳播等五大領域的數位發展部，統籌基礎建設、數位應用及數位市場管理等面向。不論是從市場的角度或公共利益的角度來看，數位發展部的成立必須是愈快愈好，甚至早就該設立。

今年新冠肺炎疫情爆發之初，政府在處理口罩議題時，要推動實名制販售，就在資訊及資安議題上面臨很大的困境，疫情爆發當下，多數國民手上都沒有自然人憑證，若不是由於數位政委唐鳳出手，協調讓健保卡也加入數位身分認證工具，恐怕數千萬人都會因為身分認證卡關，沒辦法運用無接觸的寄送服務，得以買到實名制口罩。

然而只有一個數位政委是遠遠不夠的，同樣以口罩實名制販售為例，即便加入健保卡做數位認證，這也是在疫情救急之下所為的對策，以「健保卡+手機號碼」作為組合，在資訊安全技術上，其實安全性仍然存疑，缺少一個主責的單位進行縝密規畫。

放眼世界各國，談到數位政策，都必須涉及數位身份的判別與認證，但這項工作並不存在於我國政府既有的組織分工當中，譬如面對數位身分證，內政部會自覺是身分證的主管機關，然而身分證的數位化進程，卻又非內政部所主責，這就是為什麼需要數位發展部的存在、其角色必要性，以及必須解決的問題。

目前金融業有被授權取用一定程度身分資料，但是金融科技業並沒有主管機關協助，如果有業者發展數位合約、智能合約，但是進到司法部門，只要一個判例說不行，那是整個產業都會受創。

為協助企業數位轉型、鬆綁金融科技所面對的枷鎖，第二項重點議題則是個資法的修正，這點若參考歐盟《資料保護一般規則》（GDPR）的規範，就能瞭解我國個資法所面臨的困境。

GDPR的核心精神之一，是要求各國應有獨立的單位，來進行個資監理及保護，相對而言，我國個資法的行政管理，卻是採分散式管理，由各事業的中央目的事業主管機關進行管理，這讓整個政府在資安管理上沒有一致的標準。

如果沒有主管機關，產業處理個資出現爭議時，在整個政府中就找不到對應的窗口得以援助。數位時代需要一個有專業技術的主管機關，即將成立的數位發展部，可說是一個適合的角色，同時也責無旁貸。

因應網路及數位科技的特性，GDPR的影響力遍及全球，當中還有二個重要的措施，我國個資法應參考跟進修正，首先是「遺忘權」的強化，像現在常用的通訊App，可能對於個資的取用都是包山包海，甚至有些網站想取用資料，個資法也允許採默許的方式授權。

但是依據GDPR的精神中，這些資料取用，每一次都應當取得使用者授權，使用者亦有權要求取用方「遺忘」，完整刪除不留痕跡，當企業、政府機關違反以上規範時，將會面臨重大罰則。

第二項重點在於「資料可攜權」，讓使用者得以將過去提供給A企業的資料，完整帶到B企業享受新的服務，這是我國個資法中完全遺漏的權利，需要一個有專業技術的主管機關去完善相關法治。（本文由中華金融科技產業促進會理事長楊瑞芬口述、記者程士華採訪整理）