評論》報稅完要收好!自然人憑證的資安問題

前言

提起「自然人憑證」這張卡片,應該是每年報稅季節大家都不陌生的工具。其實,申辦自然人憑證並不太困難,既無戶籍地限制,又可跨縣巿辦理,民眾可至鄰近有接受此項業務之戶政事務所辦理即可取得,應該是一項親民的措施。然而,令人不解的是,這張自然人憑證卡除了報稅之外,為何很少人會把此一憑證去做更多別的用途,確是一件值得探討的事。

自然人憑證如何常被使用

就現有自然人憑證的用途,政府為了提供民眾需求,各地戶政機關已開放法院判決離婚登記、死亡登記等服務;只要使用自然人憑證,在家上網就可申辦,可節省民眾臨櫃辦理戶籍登記所需的時間與交通成本,尤其是一站式服務,更可免去在不同機關之間的奔波。

例如攸關長照的簡便化出診流程、帶長者或小孩就診的授權機制,以及住院需要簽署同意書等,都已納入服務內容。在面對數位轉型的當下,企業界早就積極轉型,開始結合人工智慧(AI)、推動客戶關係經營(CRM)、精進標準流程(SOP)、大數據分析(BDA),公司員工單一憑證管理的機制,原本就是既合理、效率又方便的事;公部門要面對多元服務,在人力不足的情況下,更應視為當急之務。

根據個人分析,自然人憑證不常被使用應該有兩個原因,首先是目前此一憑證主要是民眾用來對公部門申辦與登錄,並無法如信用卡或悠遊卡,可以融入大家的日常生活;其次,社群資訊流通之後,一般人對隱私權的保護皆較為謹慎,加上民眾對目前的憑證或有晶片資安等級不足或卡片讀寫速度稍慢的疑慮。為了改善這些問題,主管機關於七月宣示,先將新一代健保卡、定額電子錢包和綁定手機的虛擬化卡片,再處理憑證多卡合一的議題,只要各部會有共識,屆時,自然人憑證的多功能化將指日可待。

其他國家可藉鏡之處

自然人憑證的推動,較為成功的國家是僅有130萬人口的愛沙尼亞。該國是歐洲E化程度最高的國家,更是全球第一個透過核發網路居留證(e-Residency ),讓世界各國的人都可在該國簽署官方文件,期盼在其國內做到「世界網路公民」的推動;其最終目的就是,期望能藉此一措施大量徵求外來人口加大國力。目前該國所提出的電子公民計畫,就是將所有事都能在雲端處理,因為該國政府非常清楚,投入IT是科技國力延伸的唯一出路;並計畫在2025年全球將有上千萬名愛沙尼亞的網路公民。

對資安有所研究者應都理解,愛沙尼亞就是曾於2007年4月,疑似來自俄羅斯所發動阻斷式網路攻擊,癱瘓了該國包括政府、議會、財經、媒體,以及重要的關鍵基礎設施。有了此一慘痛經驗,才造就愛沙尼亞開始破釜沉舟在資訊安全上的投入甚多資源。為保障網路居留的需要,該國使用安全性較高的公鑰基礎建設(PKI)為鎖碼機制,包括保密、身分認證、交易資料、交易不可否認性在內的安全設計;以及憑證序號與有效期限的控管,以取得使用者的信任。

既非技術問題當然是宣導問題

由愛沙尼亞的經驗得知,自然人憑證發展至今,技術相關元素大多可以排除,一切還是回歸觀念溝通的問題。根據科技創新擴散理念,通常一項新的觀念、事物、技術剛開始導入社會體系時,都須經歷知曉、勸服、決策、實證四段過程。換言之,自然人憑證這項創新技術、觀念或新事物,是否能獲得一般人的採納,都取決於使用者的相對利益與現有價值觀,尤其是預期採用者的需求程度有密切關聯;其次,該技術操作的複雜性與經驗的可觀察性,皆將成為自然人憑證能否為民眾所接受的關鍵。

由愛沙尼亞推展自然人憑證的經驗得知,該國是曾遭受駭客攻擊導致癱瘓案例的國家,因此,該國主事者認為只要能把資安的議題解決,讓民眾對國家的信任與共識,落實自然人憑證所需面對的諸多問題,當然可迎刃而解。

結語

再以「科技的必然、產業的應然、社會的偶然、政策的使然,必須避免市場的未然」為前提,本文所探討自然人憑證的議題,在今日科技如此發達的世代,其實資安技術根本不是問題。然而,一般民眾所擔心的是,公部門可以輕易藉由憑證的路徑,串入民眾個資與生活,讓自己的隱私無法完全受到保護才是最重要的顧慮。總結而言,自然人憑證無法暢行的主要原因,仍是起因於「徒法不足以自行,徒善不足以為政」的問題。

※作者為世新大學副校長

原文刊載於Yahoo論壇

隨時補充新觀點,《立報傳媒》Line→http://bit.ly/2YyjUW1