內政部欲推行新版數位身分證,然而資訊安全相關爭議頻傳,其實包括政府各類公共服務,甚至是本土金融科技能否順利發展,都關係到二個重要議題,即蔡總統過去曾宣示成立的數位發展部,以及《個人資料保護法》能否與時俱進,二者是一體兩面,同時也是迫在眉睫、刻不容緩的工作。
蔡總統在本次任期之初就已經宣示,要開始研議設立橫跨資訊、資安、電信、網路及傳播等五大領域的數位發展部,統籌基礎建設、數位應用及數位市場管理等面向。不論是從市場的角度或公共利益的角度來看,數位發展部的成立必須是愈快愈好,甚至早就該設立。
今年新冠肺炎疫情爆發之初,政府在處理口罩議題時,要推動實名制販售,就在資訊及資安議題上面臨很大的困境,疫情爆發當下,多數國民手上都沒有自然人憑證,若不是由於數位政委唐鳳出手,協調讓健保卡也加入數位身分認證工具,恐怕數千萬人都會因為身分認證卡關,沒辦法運用無接觸的寄送服務,得以買到實名制口罩。
然而只有一個數位政委是遠遠不夠的,同樣以口罩實名制販售為例,即便加入健保卡做數位認證,這也是在疫情救急之下所為的對策,以「健保卡+手機號碼」作為組合,在資訊安全技術上,其實安全性仍然存疑,缺少一個主責的單位進行縝密規畫。
放眼世界各國,談到數位政策,都必須涉及數位身份的判別與認證,但這項工作並不存在於我國政府既有的組織分工當中,譬如面對數位身分證,內政部會自覺是身分證的主管機關,然而身分證的數位化進程,卻又非內政部所主責,這就是為什麼需要數位發展部的存在、其角色必要性,以及必須解決的問題。
目前金融業有被授權取用一定程度身分資料,但是金融科技業並沒有主管機關協助,如果有業者發展數位合約、智能合約,但是進到司法部門,只要一個判例說不行,那是整個產業都會受創。
為協助企業數位轉型、鬆綁金融科技所面對的枷鎖,第二項重點議題則是個資法的修正,這點若參考歐盟《資料保護一般規則》(GDPR)的規範,就能瞭解我國個資法所面臨的困境。
GDPR的核心精神之一,是要求各國應有獨立的單位,來進行個資監理及保護,相對而言,我國個資法的行政管理,卻是採分散式管理,由各事業的中央目的事業主管機關進行管理,這讓整個政府在資安管理上沒有一致的標準。
如果沒有主管機關,產業處理個資出現爭議時,在整個政府中就找不到對應的窗口得以援助。數位時代需要一個有專業技術的主管機關,即將成立的數位發展部,可說是一個適合的角色,同時也責無旁貸。
因應網路及數位科技的特性,GDPR的影響力遍及全球,當中還有二個重要的措施,我國個資法應參考跟進修正,首先是「遺忘權」的強化,像現在常用的通訊App,可能對於個資的取用都是包山包海,甚至有些網站想取用資料,個資法也允許採默許的方式授權。
但是依據GDPR的精神中,這些資料取用,每一次都應當取得使用者授權,使用者亦有權要求取用方「遺忘」,完整刪除不留痕跡,當企業、政府機關違反以上規範時,將會面臨重大罰則。
第二項重點在於「資料可攜權」,讓使用者得以將過去提供給A企業的資料,完整帶到B企業享受新的服務,這是我國個資法中完全遺漏的權利,需要一個有專業技術的主管機關去完善相關法治。(本文由中華金融科技產業促進會理事長楊瑞芬口述、記者程士華採訪整理)