【雪花新闻2019年09月11日讯】（雪花新闻记者袁世钢台湾台北报导）新式电子身份证（New eID）攸关全国人民个资安全，据媒体11日报导，有学者质疑，政府将关键技术“私人金钥”发包给民间厂商，恐有“全民资安危机”；若留下“数位痕迹”，将成为资讯战破口，是骇客绝佳的攻击对象。对此，内政部强调，政府确保资安绝对无虞。

据媒体报导，台大电机系教授林宗男指出，尽管政府要求“私人金钥”的承包厂商必须到中央印制厂进行作业，但厂商如果掌握关键技术，到其他地方重制并非难事，“考量目前两岸处境，恐将成为国安危机。”

“政府高阶资讯主管通常没什么资安概念，唯一做法就是外包厂商，发生问题交由厂商解决。”成大电通所教授李忠宪也质疑，资讯安全的生命周期，从高阶设计、低阶设计、生产制造、交通运送、使用、销毁都有非常高规格的要求，政府提出在中央印制厂制造，仅重视其中一个环节；更缺乏严谨的法源依据。

针对资安问题，内政部表示，私密金钥产制是依据自然人凭证规范，确保其无法汇出、重制，任何人都无法取得，因此不会有被制卡厂商掌握私密金钥的情形；且私密金钥产制时尚未结合个资，其作法与现行自然人凭证相同。而目前透过《个人资料保护法》、《资通安全管理法》、《电子签章法》等法规，可建构严密的保护网，因此无需再另订专法。

曾在国家高速网路中心工作的李忠宪认为，中国有大量超级电脑，一旦新式身份证上路，“系统、晶片一定会遭中国全力弱点扫描、旁通道分析攻击。”若保留全民“数位痕迹”，恐成为资讯战破口。

对此，内政部强调，New eID 发证系统的建置是在封闭隔离的制发环境下运作，不会连结网际网路，且会有严格的安全管理与监控机制，能有效防止骇客的攻击；New eID也并未储存或记录个人地域、人际网络或其他“数位痕迹”等资料，因此不会有隐私资料外泄的疑虑。

内政部进一步说明，开发New eID相关系统服务时，针对晶片本身、资讯传输、感应设备、应用服务等项目上，将委请资安厂商进行检测，相关程式原始码在不涉及安全原则的条件下，将开放让公众进行检测，检测项目包含基本弱点扫描、渗透测试、红队演练等，以挖掘出针对New eID与相关服务之各种可能攻击手法。

另外，有关中央印制厂招标公告所载晶片“追踪”议题，内政部解释，招标公告是针对一般制卡生产流程，是系统在追踪卡片生产的作业状态，而New eID是一张晶片卡，就像晶片护照、信用卡、健保卡、悠游卡、手机晶片卡一样，不会主动发送讯号、泄漏位置，更无法追踪；为避免外界误解将进行更正其文字。◇

责任编辑：陈玟绮