自107年12月27日行政院決議推動數位國民身分證(New eID)全面換發相關工作以來,內政部規劃內容及採購方式引起社會大眾對於個人資料保護、隱私權及資通安全等高度疑慮,引起監察院高涌誠委員、王幼玲委員及葉宜津委員重視並立案調查。監察院於110年3月16日內政及族群委員會通過調查報告提出相關缺失,並促請內政部及國發會加以檢討改善。
監察委員高涌誠、王幼玲、葉宜津首先指出,國民身分證換發引起重大社會爭議已非首次,87年研考會規劃國民卡即曾遭監察院糾正,94年內政部規劃強制捺指印又遭司法院第603號解釋指為違憲,而內政部對於本案卻仍未能記取教訓、重蹈覆轍,令人遺憾。且國民身分證已成為我國人民經營個人及團體生活辨識身分之重要文件,其發給與否,直接影響人民基本權利之行使,縱然本案在110年1月21日由行政院於第3736次院會宣布俟法制完備後始賡續推動,但已付出互信基礎不足等重大社會成本,內政部身為主管機關,難辭其咎。
監察委員質疑,雖內政部一再宣稱法律授權完整,惟以實體經濟跨越到數位經濟政策為例,政府制定相當多相關法制配套,諸如「信用卡業務機構管理辦法」、「電子支付機構管理條例」、「電子票證發行管理條例」等;反觀New eID政策,內政部卻聲稱停留在紙本時代的身分識別法制環境可以無縫接軌數位時代,其相關理由洵不足採,令人民無法信服。再者,New eID所產生之風險係由人民直接承擔,且在人民權利遭受侵害時,只在事後經由民、刑事訴訟處理,欠缺事前及事中風險管理機制,實為規避政府所應承擔之責任。況且,我國個資法管理強度已落後長期關注隱私權議題並遵行GDPR(註)之歐盟國家,內政部卻仍自認既有機制周妥無虞,顯非妥適。
三位監察委員進一步指出,內政部於實際執行New eID政策之態度避重就輕、方式不得要領、程序流於形式,未就行政院核定New eID計畫「公開透明」原則切實辦理,以致於遲遲無法與社會有效溝通,致使大眾疑慮不減反增,爰該部應就組織面及作業面之行政責任全盤檢討。
調查意見並指出,內政部或國發會對於New eID多元使用情境及環節所潛藏之資通安全、個資洩漏及隱私權侵害相關風險,欠缺從使用者角度進行完整評估及說明。三位監察委員也憂心,內政部所謂個資法及資通安全管理法已有相關規範一節,從交通部鐵道局在豐原站擬引進人臉辨識技術一事,就足以證明現行機制不足以保障民眾隱私權。而對於New eID關鍵規劃內容一改再改,監察委員認為,內政部雖名為「滾動式調整」,實為前期政策評估階段未臻精準,以致於New eID在脫離政策評估階段,進入政策執行階段才引發社會爭議,無論其原因為何,內政部都有必要詳加檢討。
至於採購方面的爭議,本案雖未有違反政府採購法之明確事證;但經調查發現,內政部在遴選採購評選委員會外聘委員時,將篩選條件設定為「公務人員」,導致建議名單在根本上排除其他身分人員參與評選的機會,顯不適當;另外監察委員也質疑內政部有部分工項既不採納委外規劃內容,又不等到廠商交付規劃再發包,則究竟為何要委外規劃?監察委員也就New eID的系統開發基礎─戶役政系統進一步調查,發現該系統於103年2月新版上線服務時發生嚴重當機,109年下半年改版時又陸續發生數次全國性當機,內政部雖說明是「偶有系統不穩定緩慢或異常情形,需進行相關參數調校」,行政院資安處卻點出實情為「結構設計不良」,這要人民如何充分給予信賴?
最後,在人臉辨識爭議部分,監察委員調查發現交通部鐵道局於106至108年間於豐原站推動試辦之「智慧型影像監控系統」部分項目涉及在公開場所執行人臉辨識功能,引起隱私權爭議;復以交內政部警政署M-Police亦有部分人臉辨識功能之法制未臻完備,均凸顯目前個資法對人臉辨識規範有待強化,且各機關對個資法解釋亦有歧異,更對外界隱私疑慮欠缺敏感度,將使各潛在應用機關容易陷於爭議,爰該法法規解釋機關國發會宜於法制、組織及宣導等面向,如推動GDPR、人臉辨識納入特種個資、個資獨立機關等積極推動,始符隱私權保護之國際標準。
註:GDPR:隨著數位經濟科技發展與全球化影響,個人資料保護議題帶來許多新的挑戰,歐盟為提升個人資料保護規範密度,並建立歐盟境內一體適用之管理規範,於2016年5月24日通過「一般資料保護規則」(General Data Protection Regulation, GDPR),以取代歐盟1995年個人資料保護指令(Data Protection Directive),並自2018年5月25日全面施行。(資料來源:國發會個人資料保護專案辦公室網站 https://www.ndc.gov.tw/Content_List.aspx?n=2A22E5DEB45D2552)