政府資安缺信譽 數位簽章難推

行政院三月一日通過了數位部提出的「電子簽章法」修正草案，函請立法院審議，修法重點明定數位簽章爲電子簽章的一種類型，也明定電子簽章的法律效力。數位部次長李懷仁表示，數位簽章公信力強，可推定爲本人親籤。並說明數位簽章透過加密私鑰，且是政府審定許可的憑證機構所發出，類似現行實體所謂的印鑑證明，會推定爲本人親籤。

乍看之下，以爲數位部有在做事，其實早在九十年即經立法院三讀通過實施「電子簽章法」，並早就具有法律效力，對何謂電子文件、電子簽章、數位簽章、加密、憑證機構、憑證、憑證實務作業基準、以及資訊系統，都有明確定義與規範。此次數位部修法的六大重點，「電子簽章法」裡面既已有規範，只是冷飯再熱炒一下；數位部長唐鳳強調，已經與臉書、YouTube、ＬＩＮＥ等平臺交換意見，數位平臺樂見相關規範程序上路，其實在「電子簽章法」第十五條也早有規範。

數位部的理想是未來網路平臺的廣告在上架前就有數位簽章認證，直接爲該則廣告負責，若該廣告被警調認定爲一頁式詐騙，就會在聯防平臺上公佈相關訊息，其他數位平臺獲悉後，也可以快速下架同一簽署人刊登的其他廣告，降低民衆遭詐風險。這是理想，但大前提是網路廣告業者是否願意配合，向政府申請公鑰及私鑰來使用數位簽章？而且這用網路實名制就可輕易解決，殺雞焉用牛刀？

由內政部憑證管理中心所簽發的自然人憑證，是邁向電子化政府的基礎建設，例如利用網路報稅，但須人人都來申請。自九十二年開辦迄今，總髮證量才約爲九六○萬張，爲何未能全民皆願意申請持有？只因自然人憑證的技術也是使用數位簽章，公、私鑰由內政部制發，公鑰由憑證管理中心來管理，私鑰則是燒錄在ＩＣ晶片卡上交個人簽證使用。多年來民衆知悉政府保管的資料都會外泄，對政府保管資料早已失去信心。倘若由政府保管的公鑰也像其他資料一樣外泄，不僅是指駭客入侵的外泄，更擔憂的是內部人員的人爲外泄（如健保資料、檢調資料以及故宮國寶高清圖檔外流遭賤賣、二千三百萬人個資在暗網都買得到等），整個自然人憑證系統就會瓦解。終因申請的人不多，最後用身分證號碼也可以網路報稅。

巧的是，剛喊卡的數位身分證技術也是數位簽章，因想要達到的功能太多，甚至可合併自然人憑證，連參與數位身分證測試任務的臺科大資安中心也認爲，後臺若沒有處理好，恐怕會有大批資料外泄。所謂的後臺沒處理好，就是後臺管理人員的人性弱點，受不了外界的威脅與利誘，絕不是資安設備不夠好或技術問題。試問，若數位簽章公信力瓦解，又如何能推定爲本人親籤？

內政部在網站上安撫民衆，說「現行法律已足夠，會謹慎推動數位身分證。並強調在現行戶籍法、個人資料保護法、資通安全管理法、電子簽章法等規範下，足以推動數位身分證。政府會完善資安防護，做好風險管控」。但最終計劃還是喊卡，只因民衆對政府的資安保障沒有信心，怕被侵犯隱私權及個資外泄。

數位部擬修「電子簽章法」，看得出想扭轉只會做點面線的印象，想要全面推行數位簽章以防堵網路詐騙，但由政府擔任憑證管理機構都已不得人心了，更別提交由政府審定許可的憑證機構來執行，這絕對會讓民衆對「電子簽章法」的疑慮雪上加霜。