SayIt

  • Home
  • Speakers
  • Speeches

2017-11-10 戶政司及資管處來訪-談晶片身分證

  • 唐鳳

    那就開始。

    Link in context Link
  • 張琬宜

    首先感謝唐鳳政委、李雪津顧問,現在報告這一個案子的規劃狀況。

    Link in context Link
  • 張琬宜

    我們已經開了工作溝通的協調會議,目前評議的結果,大概有6成多的民眾是支持做晶片身分證,有3成多的朋友是比較持保留的。

    Link in context Link
  • 張琬宜

    3成多裡,「非常反對」的百分比是個位數,可能只有3%或4%。

    Link in context Link
  • 唐鳳

    主要還是「有疑慮」?

    Link in context Link
  • 張琬宜

    對,最主要疑慮還是在資安的疑慮。

    Link in context Link
  • 張琬宜

    目前晶片身分證,我們的重點是只結合自然人憑證,也沒有再作其他的資料。

    Link in context Link
  • 張琬宜

    晶片裡面除了資料,也只有現在紙卡身分證裡面一些版面的資訊,也沒有把當事人的健保等等放進來,所以相對單純很多。

    Link in context Link
  • 張琬宜

    因為自然人憑證本來就有一個驗證的作業方式,所以如果未來發晶片身分證的話,整個網路身分的驗證方式,跟現在自然人憑證的身分驗證方式是一樣的。

    Link in context Link
  • 唐鳳

    就是「促進自然人憑證發卡」,就剩這一件?

    Link in context Link
  • 張琬宜

    對。透過這樣的晶片身分證之後,所有的都是附加在這一個身分認證之上,所以用身分來作認證,當事人有沒有勞保跟健保資格,應該是由各個主管機關的資料庫就可以查出來。

    Link in context Link
  • 唐鳳

    現在網路報稅,自然人憑證是這樣用的,你用健保或自然人憑證,系統調出所得資料來,戶政司不知道什麼時候調的。

    Link in context Link
  • 張琬宜

    對,所以沒有一個很大的資料庫,也就是把所有的資料都累積,並沒有的。

    Link in context Link
  • 張琬宜

    我們希望強化實體卡的防偽,所以目前等於是技術的發展,整個晶片卡的成本也降下來了,所以相對來講經費是比之前的估算還要少。

    Link in context Link
  • 張琬宜

    再來,像政委有垂詢過,如果自然人憑證未來是虛擬化的。

    Link in context Link
  • 唐鳳

    簡單來講,這邊開始發,是否表示自然人憑證可能會退場?就是綠色的那一張?

    Link in context Link
  • 潘國才

    現在是紅色。

    Link in context Link
  • 李雪津

    綠色是很久以前。

    Link in context Link
  • 唐鳳

    忽然發現我老了(笑)。

    Link in context Link
  • 施明德

    其實自然人憑證分兩塊,一塊是憑證中心的業務,eID要發的時候還是要有憑證中心,因此還是要運作。

    Link in context Link
  • 唐鳳

    當然。

    Link in context Link
  • 施明德

    民眾要花250元買那一張卡,那就不用再買了,因為已經免費取得、eID上面有了。

    Link in context Link
  • 唐鳳

    你的PKI還是有嘛!但是紅色的卡被eID取代了?

    Link in context Link
  • 唐鳳

    如果現有紅色的卡,還可以用個幾年的話,是多少年?三年或者是八年?

    Link in context Link
  • 施明德

    還可以用7年,最後買的人還可以用7年。

    Link in context Link
  • 潘國才

    不是5加3?

    Link in context Link
  • 施明德

    其實是5加3,其實是8年。

    Link in context Link
  • 唐鳳

    所以8年。簡單來講,你即使停發,現有的還是可以用8年?

    Link in context Link
  • 施明德

    可以繼續用。所以跟政委報告,未來憑證並不是每一個人只會有一個憑證。

    Link in context Link
  • 唐鳳

    至少可以有兩個?

    Link in context Link
  • 施明德

    像會有多元的應用,你的是用在eID,像工作用的憑證,不可能把eID放在電腦上,可能被拔走,工作需要的話,也可以申請一個憑證卡作為一個工作使用。

    Link in context Link
  • 唐鳳

    等於附卡。

    Link in context Link
  • 施明德

    對,等於未來行動化要做的,我們也不排除研發安全的軟體憑證,可以結合到平板或者是手機。

    Link in context Link
  • 唐鳳

    你說的工作證是申請一張卡,或者是自己拿一個YubiKey燒進去?

    Link in context Link
  • 施明德

    那個信賴是來自於對於身分的確認。

    Link in context Link
  • 唐鳳

    也就是MOICA可以發好幾個卡給你?

    Link in context Link
  • 施明德

    好幾個憑證。卡是eID為主,如果是個人有需要,像我現在在企業內部,我做HR,我常常要幫員工報送資料,這個時候可以來申請一張工作上用的卡,主要是跟身分證綁在一起。

    Link in context Link
  • 唐鳳

    那個是什麼顏色?我的意思是跟自然人憑證是一樣的大小?

    Link in context Link
  • 施明德

    像公務人員,我們想說是不是可以跟我們的識別證結合,識別證以後就拿來作電子公文的簽核,不然每一天插在電腦上叫身分證,大家心理會毛毛的。

    Link in context Link
  • 唐鳳

    但是功能完全一樣?也就是簽核、驗證完全一樣?

    Link in context Link
  • 施明德

    對,只是在憑證上會是序號不同,也就是第幾張簽署。

    Link in context Link
  • 唐鳳

    可以用八年?

    Link in context Link
  • 施明德

    一樣。一樣是5+3的方式。

    Link in context Link
  • 唐鳳

    簡單來說,你們也沒有停發自然人憑證,只是改名叫做「個人憑證」?

    Link in context Link
  • 施明德

    對,就是叫做個人憑證。

    Link in context Link
  • 張琬宜

    政委垂詢,如果把憑證雲端化了,如果要發晶片身分證的效益是在哪裡?

    Link in context Link
  • 唐鳳

    至少讓大家有一張自然人憑證。還是會有一個憑證在裡面,也就是讓憑證的發卡量增加。還有別的嗎?

    Link in context Link
  • 張琬宜

    就是數位服務的推動,提供可能會更多。

    Link in context Link
  • 施明德

    跟政委補充,如果未來eID做了,如果要下載憑證到行動載具,這時是可以應用eID本身既有的信賴機制來申請所需要的軟體憑證。軟體憑證的未來等級不一樣,也就是不能作為財務支出敏感性的應用,我們會把等級做區別,也就是別的EPI不一樣。但是比較便利,像以後高鐵會實名制,因為現在訂不到票,如果用實名制的機制就不會有搶票。

    Link in context Link
  • 唐鳳

    就授權高鐵?

    Link in context Link
  • 施明德

    對。

    Link in context Link
  • 唐鳳

    但不包含簽章的部分?

    Link in context Link
  • 施明德

    對,不用簽章。

    Link in context Link
  • 唐鳳

    所以只要高鐵來,就訂得到票;但如果不這樣,就只能坐自由座?

    Link in context Link
  • 施明德

    對,因為有些人要坐飛機去澎湖或者是回台東,會買不到票,類似像這樣的應用就會比較多,可能是在行動應用就可以了,也就是行動載具就可以了,上面就會有一張我們的憑證。

    Link in context Link
  • 施明德

    如果沒有前面eID的信賴機制,又要跑到戶政單位,就會很不方便,剛好身分證要換,大家都要有一個信賴機制。

    Link in context Link
  • 唐鳳

    但人權團體最懷疑的是,在訂票的時候,你們會不會收到任何的訊息?

    Link in context Link
  • 張琬宜

    不知道。

    Link in context Link
  • 唐鳳

    是最初授權的時候才會知道?

    Link in context Link
  • 施明德

    結合我們的API,是拿API檢核這一個憑證,所以不需要回到憑證中心。

    Link in context Link
  • 施明德

    剛剛講說這一張憑證是不是失效,也沒有到我們這邊來,可以事先下載憑證廢止清冊,所以都不會到我們這邊來作記錄。

    Link in context Link
  • 施明德

    我們這邊不會保留任何的使用記錄,只是可以把這一個簽過章的電子文件來跟中心請求跟驗證憑證。

    Link in context Link
  • 唐鳳

    這個道理,就跟GCA不會知道每個HTTPS網站有多少人來,是一樣的道理。

    Link in context Link
  • 施明德

    真的不知道。

    Link in context Link
  • 張琬宜

    大概先跟政委報告,看政委對這一個案子有沒有什麼建議?

    Link in context Link
  • 唐鳳

    這30%的人你們要怎麼辦?我們從頭到尾都是這個問題。

    Link in context Link
  • 施明德

    怎麼樣說服的問題?

    Link in context Link
  • 李雪津

    這張卡經過最近這一、兩年的演變,已經把我們原來認為從我們的觀點,比較高效率的做法回歸到其實是非常單純化,所以這張IC卡的身分證可能會放著,什麼都沒有增加,就非常單純。所以基本上by law十年要換一次就換,所以民眾不在乎發出來是什麼卡。

    Link in context Link
  • 唐鳳

    如果是很疑慮,也可以不要開通自然人憑證。

    Link in context Link
  • 李雪津

    我覺得很簡單,所以沒有特別的concern。

    Link in context Link
  • 李雪津

    但是在實務面要推動,因為被要求要用公務預算來編列,我不曉得你們現在少了多少?30幾億?

    Link in context Link
  • 施明德

    30幾億到40幾億,看是要集中或者是分散,如果是集中,設備就會比較少,但是如果分散到各戶政事務所就會比較貴,是40幾億。

    Link in context Link
  • 唐鳳

    那張憑證,也就是晶片。如果不放晶片的話,每張會省多少?

    Link in context Link
  • 施明德

    其實跟政委報告,就算沒有憑證,以現在這一張身分證,沒有放晶片也是很low的,因為現在所有的資料都放在版面。

    Link in context Link
  • 唐鳳

    這我們都同意。

    Link in context Link
  • 施明德

    其實省的錢很有限,一張省20元。

    Link in context Link
  • 李雪津

    你知道發磁卡的計畫是多少錢?

    Link in context Link
  • 施明德

    現在跟用的雷雕不一樣。

    Link in context Link
  • 唐鳳

    即使不放晶片進去,也是30億變成20幾億而已?

    Link in context Link
  • 施明德

    差不了10億這麼多,因為耗材沒有少這麼少。

    Link in context Link
  • 唐鳳

    那我覺得,花個3、4億來擴大發行自然人憑證,沒有很貴。

    Link in context Link
  • 唐鳳

    問題是那30%的、有疑慮的人,你們要怎麼辦?

    Link in context Link
  • 張琬宜

    其實他們所關心的是資安,我們都透過這一個問卷,其實也有某一個相當程度跟他們說明,也就是資安,但是有的時候其實也是基於對政府的不信任,我覺得這一個部分是很難消除的,因為推了很多的政策,總是有某一部分的人會對政府的一些推動上,有一些不信任的狀況。

    Link in context Link
  • 唐鳳

    可是有人說,好比像每一次憑證發行、發一個新的識別證、有人來問你有沒有被撤銷。

    Link in context Link
  • 唐鳳

    如果是用我自己的憑證登入,我希望可以在網站上,看到所有某一張卡跟我有關的紀錄,信心會增加。

    Link in context Link
  • 唐鳳

    這個是幾次工作坊都提到的事情。

    Link in context Link
  • 張琬宜

    之前有處理。

    Link in context Link
  • 張琬宜

    我們跟主任也討論過,也就是民眾可以知道自己的個資有哪一些機關用過、取用過。

    Link in context Link
  • 唐鳳

    至少從內政部開始。如果看一下這個log,發現昨天我明明沒有使用,但是有人怎麼樣了,至少跟信用卡盜刷一樣的概念。

    Link in context Link
  • 施明德

    跟政委報告,也就是兩邊的思維,一種是有人希望我的使用紀錄,你應該要幫我作管控,不要讓別人誤用我的東西。

    Link in context Link
  • 施明德

    如果要管控,勢必要儲存這些東西,如果有人儲存這一些東西的話,也會造成個資的侵害。

    Link in context Link
  • 施明德

    另外一種方式是,像現在的自然人憑證不存的,你使用的過程我們都不會作任何的紀錄,好處是這一些紀錄都是回歸到你的申請服務的對象,也就是你未來如果要去查你的資料,其實回歸到個別資料服務的擁有者。

    Link in context Link
  • 唐鳳

    我還沒有講報稅。我是說MOICA跟內政部本身的系統,調閱存取紀錄的關係。

    Link in context Link
  • 施明德

    很少有關係。有所謂憑證的廢止清冊,但那個東西其實放在公開的資訊,其實機制本身是可以直接下載,而下載之後直接在系統裡面檢核,所以也不是每一次要去詢問憑證有效性,都要連到MOICA這邊,這個是不需要的。

    Link in context Link
  • 唐鳳

    所以只有在發新卡、附卡跟自己跑來撤銷的時候才會知道?

    Link in context Link
  • 施明德

    你申請的時候才會跟我有關,你申請一張憑證,我要紀錄,你申請這個憑證,我要保存,我要驗證的時候才知道是否偽造或有效,縱然你的憑證廢止之後,我仍然繼續紀錄,因為之前簽署也是有效。

    Link in context Link
  • 唐鳳

    好。但我們拿一張憑證來訂高鐵票,高鐵會有訂票的紀錄?

    Link in context Link
  • 施明德

    對。

    Link in context Link
  • 唐鳳

    內政部會不會有這一個紀錄?

    Link in context Link
  • 施明德

    不會。

    Link in context Link
  • 唐鳳

    那高鐵公司會不會讓使用者看紀錄?

    Link in context Link
  • 施明德

    這個是回到個人資料保護法裡面,有調閱權。如果不提供的話,未來需要一個強力的規範,也就是一定要提供一個讓民眾可以調閱的機制。

    Link in context Link
  • 唐鳳

    但如果每個人的調閱機制不一樣,有的人下載PDF、有人寫信、有人寄光碟到你家,這樣很困難。

    Link in context Link
  • 唐鳳

    愛沙尼亞的做法是給你一個API,也就是去他們那邊調,即使不儲存,它即時幫你調,加密到只有你能看,他們的機制是這樣。

    Link in context Link
  • 唐鳳

    現在G2G的框架有沒有這一個程度?

    Link in context Link
  • 施明德

    我們以前在推電子公文,當時應用的機制是存證的概念,也不是要把紀錄給我,而是在交易的過程中,是不是可以把你的紀錄作保存。

    Link in context Link
  • 施明德

    這個保存其實是在雙方的權限之下才可以看到這一個紀錄,並不是這一個存證就可以看東西。

    Link in context Link
  • 唐鳳

    當然不是,是要加密給我,要當事人才能看,本來就是這樣。

    Link in context Link
  • 唐鳳

    也就是說加密後的紀錄,目前沒有一致的儲存方法,而且也不能調閱。

    Link in context Link
  • 唐鳳

    但是反過來講,Google跟FB都可以做到調閱,所以這個養成大家覺得都可以,也就是可以看的習慣。

    Link in context Link
  • 唐鳳

    所以我們這邊陷入一個最壞的情況:技術上沒有做到Google跟FB的架構,但是在大家的印象裡面,內政部又比Google儲存更多活動紀錄。

    Link in context Link
  • 唐鳳

    雖然這個是不實訊息——並不是真的——但你去問那30%的人,一大半都是這樣想。這個是社會溝通的問題。

    Link in context Link
  • 施明德

    他們對於我們的機制還不夠瞭解,我們可能還要加強宣導。

    Link in context Link
  • 唐鳳

    因為有一個政府一體的概念(笑),大部分的人,是不會覺得你真的什麼都沒儲存。

    Link in context Link
  • 施明德

    其實也跟政委報告,原本我們在推eID,早期是說多卡合一,這個有很多疑慮,也就是包山包海,什麼都拉進來。

    Link in context Link
  • 施明德

    我後來也跟司長報告,不要用多卡合一,而是一卡多用途,也就是未來這一張eID,可不可以直接就醫?

    Link in context Link
  • 施明德

    因為原本比如二代健保或者是健保卡上面是有存就醫紀錄的,我也跟健保署談過,如果要這樣做的話,他們會把就醫紀錄放在自己的雲端,我們就不會擁有個資。

    Link in context Link
  • 唐鳳

    你們現在發所謂的個人憑證,不是自然人憑證,公務員就公務員卡。

    Link in context Link
  • 唐鳳

    如果今天健保署跑過來找你,說健保卡也要內附自然人憑證,這樣你們同意嗎?

    Link in context Link
  • 施明德

    他們有問過。他們原本是要自己去用這一個憑證。

    Link in context Link
  • 唐鳳

    對。但假設他們自己不做,來找你們做?

    Link in context Link
  • 施明德

    他們有驗證本人來申請的機制。比如未來二代健保,留下PKI的模組,讓我把憑證寫入他的卡裡面,如果行政院的政策這樣做,我們就會跟他配合。

    Link in context Link
  • 施明德

    但是我有一個問題存在,這張卡的持有人是否本意來下載這張東西?

    Link in context Link
  • 唐鳳

    概念很簡單,是拿自然人憑證去sign健保卡。

    Link in context Link
  • 施明德

    現在健保卡的申請,並不一定是本人為之。

    Link in context Link
  • 唐鳳

    另外一個可能性是,他用手上有的那張晶片身分證去sign。

    Link in context Link
  • 唐鳳

    用晶片卡去sign他的健保卡,也就是讀卡機放兩次,第一次是說這個是我本人,第二次是我把我的簽章寫進健保卡。

    Link in context Link
  • 唐鳳

    這個時候健保卡雖然沒有我的資料,但是可以證明我的身分。

    Link in context Link
  • 唐鳳

    我的意思是,在密碼學上有這種可能性。

    Link in context Link
  • 施明德

    假設他自己的二代健保卡,上面沒有私鑰的機制,而是要放一個憑證的內容,所以這張是不具有所謂的簽章的能力,因為沒有私密機鑰,要有某一程度的檢核。

    Link in context Link
  • 施明德

    其是寫在二代健保卡裡面,就可以用這個檢核,但是不具有PKI的機制。

    Link in context Link
  • 唐鳳

    我們整個目的是,我插入我的健保卡,讀了一堆資料到我的電腦裡,我再插入我的自然人憑證或晶片身份證,我簽這一些資料,表示是MOICA卡授權說這個是我,我再把這個簽章寫回健保卡裡。

    Link in context Link
  • 施明德

    如果要做這一件事,做法上應該是:未來二代健保卡,這張晶片要能夠genkey,在申請自然人憑證的時候,要genkey私密金鑰或者是保存,再把憑證給他。

    Link in context Link
  • 唐鳳

    對,我就是說這個。

    Link in context Link
  • 唐鳳

    健保卡裡面有自己的私鑰,只是一旦進入信任鏈,至少在做健保相關事務的時候,內政部可以認為是這個人,對不對?

    Link in context Link
  • 唐鳳

    當然還是不能拿健保卡訂高鐵票,但是裡面的私鑰可以簽健保相關的東西,內政部幫忙背書。

    Link in context Link
  • 唐鳳

    我只是問這一個事情,你們會不會同意而已?

    Link in context Link
  • 施明德

    前提是這個人有eID,或者是有自然人憑證才可以做這一件事。這個是ok的!

    Link in context Link
  • 唐鳳

    所以簡單來講,健保卡要先拿到,然後裡面有genkey,當然要求演算法要符合,假設這一些都成功了。

    Link in context Link
  • 唐鳳

    接下來插入eID,然後用key去sign key,然後總這一個時點開始,這張健保卡再去作健保相關用途時,就有MOICA卡的背書,如果revoke這個key,使用就會失效。

    Link in context Link
  • 施明德

    因為這個人的身分轉變,好比像外國人,也就是中國民國的國民已經變成不是中華民國的國民,其實這張卡的效度就要revoke。我們現在跟戶政綁在一起,也就是這個都要建立起來。

    Link in context Link
  • 唐鳳

    對,這個沒有問題。

    Link in context Link
  • 唐鳳

    因為從健保署的角度來看,下次刷健保卡的時候,就知道這一個key的憑證第二段,中間被revoke,所以不能用。

    Link in context Link
  • 唐鳳

    這個是現成的,這個是現在的健保卡有這個可能性。

    Link in context Link
  • 施明德

    還用我們的憑證,等於是附卡。

    Link in context Link
  • 唐鳳

    等於是特定用途的附卡。

    Link in context Link
  • 唐鳳

    如果你們同意的話,我不知道這邊覺得怎麼樣?

    Link in context Link
  • 施明德

    不知道是不是讓外界質疑花兩次的預算?一張是eID的錢。

    Link in context Link
  • 唐鳳

    會,不過那個是衛福部要傷腦筋的事。

    Link in context Link
  • 施明德

    也要30幾億。

    Link in context Link
  • 唐鳳

    他們發這個不會是一次發,genkey的流程是要等到拿到手上了,不然用自然人憑證簽,只有少數人才有,因此至少你們會先發,他們可能滾動式發再留一個空間。

    Link in context Link
  • 施明德

    他們一年換補發200萬張。

    Link in context Link
  • 唐鳳

    有這個可能性,如果已經有自然人憑證就是搶先適用,不然就等eID到你的手上才可以做這一個流程。

    Link in context Link
  • 唐鳳

    從國庫的角度來看是沒差,從健保卡的角度來看,也是沒差。

    Link in context Link
  • 施明德

    一張的成本是60多元,加了是100多元左右。

    Link in context Link
  • 施明德

    現有卡的晶片跟我們的不一樣,等級是不同的。

    Link in context Link
  • 唐鳳

    所以要加40元?

    Link in context Link
  • 施明德

    而且要有規模,像我們是用2,000萬張來算。

    Link in context Link
  • 唐鳳

    不過每一年過去,技術成本就會下降,所以第三年就會剩到30元。

    Link in context Link
  • 唐鳳

    我想不用爭執,因為不是一次換發全部的健保卡。

    Link in context Link
  • 施明德

    假設是用PETG,然後也用一般的印刷,而不是用雷雕,成本是在80元。

    Link in context Link
  • 楊蘭堯

    剛剛政委提到的透過自然人憑證,把key背書健保卡。

    Link in context Link
  • 楊蘭堯

    這張健保卡有什麼用途?

    Link in context Link
  • 潘國才

    沒有key也可以看病。

    Link in context Link
  • 唐鳳

    但可以簽同意書,不是嗎?

    Link in context Link
  • 施明德

    我們問過他們,醫事組那邊有這樣的需求,原因是在於現在很多人到大醫院裡面去看病的時候,都要簽署很多的文件,並不是一張,而是很多張,他們覺得很浪費,醫事組有很多醫院反應,如果健保卡可以簽署這一些電子文件就不用那麼囉嗦。

    Link in context Link
  • 唐鳳

    那一拿來簽這一些同意書,或者是繳費、驗證單,也就是手簽的地方可以用這個簽……

    Link in context Link
  • 施明德

    會覺得這一點需求,要搞成這樣嗎?

    Link in context Link
  • 李雪津

    應該不是那一部分,我要動手術還是會需要同意書,也就是白紙黑字,並不是我的卡出事以後就可以拿去。

    Link in context Link
  • 施明德

    跟顧問報告,也就是會把所謂的同意書變成電子的,然後利用憑證直接簽署在電子,變成電子直接上簽署,也就是無紙化。

    Link in context Link
  • 唐鳳

    以後會拿平板給你簽同意書。

    Link in context Link
  • 李雪津

    手術很多不是我本人簽,而是家屬簽。

    Link in context Link
  • 唐鳳

    一樣。

    Link in context Link
  • 李雪津

    主要的原因是,因為個資的,因為現在被要求在開藥的時候,必須看其他醫生看診開什麼藥,而不能重複開,因為這樣的事而有一個同意書。

    Link in context Link
  • 唐鳳

    可是電子簽章法加密……

    Link in context Link
  • 李雪津

    我只是為什麼他們要做這個?

    Link in context Link
  • 施明德

    跟顧問報告,這個是兩個key,一個是HCA,也就是醫生用的那一把key,那個還會存在,也就是未來二代健保是兩個。

    Link in context Link
  • 李雪津

    現在的問題並不是在二代健保,我們當然對它的期待更多,我覺得是不是可以跳離這一些。

    Link in context Link
  • 李雪津

    因為我們現在仍然是在講衛福部跟內政部,但是對國民來講,我其實就是有一張卡應該可以做很多東西。

    Link in context Link
  • 施明德

    叫「數位國民卡」。

    Link in context Link
  • 李雪津

    或者是「X卡」,我只要是中華民國國民就有這一張卡。

    Link in context Link
  • 李雪津

    而身分證已經簡單到說這個也不要了、那個也不要了,我不要讓你有疑慮,已經簡單到其實健保卡的顯性資料跟別的顯性資料已經是不一樣的。

    Link in context Link
  • 李雪津

    我們要認一個人只要四至五個的欄位,也就是顯性資料。

    Link in context Link
  • 李雪津

    現在已經簡單到那張健保卡,原來為何到銀行開戶?原來拿健保卡就可以上飛機,也就是有識別的功能,就是因為它的顯性資料。

    Link in context Link
  • 李雪津

    現在假如變成eID的時候,其實民眾會說我們要做的事,現在不能。

    Link in context Link
  • 唐鳳

    還是可以登記,沒差。

    Link in context Link
  • 唐鳳

    只要國稅局或者是民航局認可,用健保卡還是可以登記。

    Link in context Link
  • 李雪津

    還是有識別功能?

    Link in context Link
  • 唐鳳

    對,我們現在只是在講簽章而已。

    Link in context Link
  • 李雪津

    這張身分證就一定要。

    Link in context Link
  • 唐鳳

    再不然,也可以廢除MOICA,讓健保卡變成主要的CA,跟另外一組人談。(笑)

    Link in context Link
  • 施明德

    我們比較擔心的是,健保在核發裡面並沒有公務機關的體系,去作完整這個人的身分跟意思表示的確認,因為健保卡並不是這樣發的,自然人憑證都這樣親辦到戶政單位申請。

    Link in context Link
  • 李雪津

    不是啦!我的意思是,我們的思維裡面都還是叫做健保卡,也就是健保怎麼可以這樣、怎麼可以那樣,假設不是叫「健保卡」呢?

    Link in context Link
  • 施明德

    就叫eID。

    Link in context Link
  • 唐鳳

    只是拿MOICA當根而已。

    Link in context Link
  • 張琬宜

    健保卡還是一個資格而已。

    Link in context Link
  • 楊蘭堯

    我剛剛要提的問題,假設sign給健保卡,健保卡到底有什麼特殊的用途?

    Link in context Link
  • 唐鳳

    有兩個單位都可以撤銷它(笑) 。

    Link in context Link
  • 楊蘭堯

    如果是這樣的話,這張健保卡當初講的,純粹只是看病,不能當作其他的用途,如果現在有MOICA已經授予這個權限了,這張健保卡是不是變成安全的漏洞?

    Link in context Link
  • 唐鳳

    不會。這個是他的sub key,它不能拿來買高鐵票。

    Link in context Link
  • 唐鳳

    這就好比像我幫你簽了一個網站的SSL憑證,它限定在單一網站。又或是我可以簽一個wildcard,可以用很多子網域。

    Link in context Link
  • 楊蘭堯

    是限定在醫事用途,這樣會不會有一些相關的醫療爭議?

    Link in context Link
  • 楊蘭堯

    像我們提到的有很多是外勞,或者是其他一些看護幫那一些老先生或者是重病患,如果是這樣的話,這張卡就會說幫他照顧的人去做任何醫療的……

    Link in context Link
  • 唐鳳

    ……可是現在就可以了。

    Link in context Link
  • 潘國才

    對啊!現在就可以了。

    Link in context Link
  • 楊蘭堯

    如果只是在特定醫療用途上?

    Link in context Link
  • 唐鳳

    完全沒有差別啊!只是在醫療過程中要簽署、符合電子簽章法的效力,目前健保卡是沒有的。

    Link in context Link
  • 唐鳳

    等於是這一張卡要不要花30幾塊的台幣,讓MOICA幫它背書。

    Link in context Link
  • 潘國才

    對。

    Link in context Link
  • 楊蘭堯

    也就是你的醫療院所的系統還有一些法規,像現在去辦,也說還要攝影。

    Link in context Link
  • 潘國才

    一個是申辦流程的問題,一個是使用上的問題,我覺得這兩個可以分開來看。

    Link in context Link
  • 潘國才

    像剛剛政委這樣的一個架構,會在使用上,的確會有一些無紙化的便利性;即使很多東西簽署是要當面,因為有一個醫事倫理,現在雖然可能便宜行事,但真正請你簽署的時候,應該要解釋這一個簽署的內容是什麼,應該有一個醫事人員要解釋給你聽,然後再請你簽。

    Link in context Link
  • 潘國才

    即使是這樣,要面對面的過程,但如果有了這一個機制之後,他也不需要去保存那一張現在的紙本的東西,即使拿到平板,跟你做了解釋之後……

    Link in context Link
  • 唐鳳

    ……那一段錄音拿去計算雜湊,然後簽章起來。

    Link in context Link
  • 潘國才

    有健保卡的簽章機制,聽懂、也知道,然後就同意去簽。

    Link in context Link
  • 唐鳳

    對。拿這個簽署證明,就可以還原當時有講,而且你有說好。

    Link in context Link
  • 施明德

    有同意。

    Link in context Link
  • 潘國才

    比現在紙本簽名更有效力。

    Link in context Link
  • 唐鳳

    我是覺得有效益,並不是沒有。

    Link in context Link
  • 施明德

    跟政委報告一下,其實過去身分證是在櫃台辦任何事的時候,就是用身分證來當作證明,如果未來有eID,是不需要把身分證交給你帶走,而是一個非接觸式的機制,可以讀得到,要截取裡面的資料,然後還要經過密碼的同意,要保障我的個資。

    Link in context Link
  • 唐鳳

    非接觸讀取,跟自然人憑證功能是不相干的?

    Link in context Link
  • 施明德

    卡片的晶片有天線。

    Link in context Link
  • 唐鳳

    可以關掉自然人憑證,然後開接觸。可以反過來嗎?又或者是都不能關,只是確定能不能啟用?

    Link in context Link
  • 施明德

    像現在都要有reader,要把卡片拿走跟插在那邊,現在就是把健保卡收進去,未來只要在那個窗口裡面就可以了。

    Link in context Link
  • 唐鳳

    填寫的這張是健保卡、或者是eID,或者是都支援?

    Link in context Link
  • 施明德

    看晶片是什麼規格。

    Link in context Link
  • 唐鳳

    你們現在的自然人憑證有天線嗎?

    Link in context Link
  • 施明德

    從今年8月1日開始就是已經用這張卡(Combi Card)。

    Link in context Link
  • 唐鳳

    可以把天線關掉嗎?還是不行?

    Link in context Link
  • 唐鳳

    如果身分證不啟用自然人憑證功能,天線是不是自然就關掉?或者是天線還在那裡?

    Link in context Link
  • 施明德

    就天線來講,主要不完全為了讀卡面憑證,還要讀取隱性資料。

    Link in context Link
  • 唐鳳

    所以憑證功能就算關了,天線還是在那裡,可以讀到身分證的隱性資料。

    Link in context Link
  • 施明德

    這個部分是必須要經過密碼輸入,就像我們到銀行的時候,都要你輸入密碼。

    Link in context Link
  • 唐鳳

    是不是出生年月日或者是身分證?

    Link in context Link
  • 施明德

    不行這樣,要強迫他改,不能一直是「生日」當密碼。

    Link in context Link
  • 唐鳳

    我很高興聽到這一件事(笑)。

    Link in context Link
  • 唐鳳

    所以天線加密碼這一件事,不管是否開自然人憑證,都在那裡。

    Link in context Link
  • 施明德

    因為資料都在那裡。另外,我們在啟用的時候,會要求他自己建一套密碼,也不要用出生年月日,因為出生年月日太容易猜了。

    Link in context Link
  • 施明德

    我們也跟潘處長講說107年配合智慧型政府,我們來作一個調整,希望品質可以提升。

    Link in context Link
  • 唐鳳

    這個還在規劃嗎?

    Link in context Link
  • 施明德

    這個明年才會有。

    Link in context Link
  • 黃旭初

    因為電子小偷會偷資料,卡片上會印6位數的存取控制碼,放在基本區的,事實上不用輸入密碼,而是輸入卡片的CAN。

    Link in context Link
  • 黃旭初

    我們規劃是不是部分的資料是要放在卡片的保護區內,而是要輸入密碼,這個部分是要經由規劃,到底是一部分的資料放在保護區,或者是全部放在公開區。

    Link in context Link
  • 唐鳳

    保護區有沒有至少要放什麼?

    Link in context Link
  • 黃旭初

    目前的想法是因為卡片上的資料都看得到,除了卡片上的資料放在公開區之外,其他都可以放在其他的地方。

    Link in context Link
  • 唐鳳

    如果背面選擇不放配偶欄,就在保護區?如果背面放配偶欄的話,就在公開區?是這樣嗎?

    Link in context Link
  • 潘國才

    政委只是舉例。

    Link in context Link
  • 唐鳳

    卡面上有可選欄位。你背面不是有可選欄位嗎?

    Link in context Link
  • 黃旭初

    那些都要放在保護區。

    Link in context Link
  • 唐鳳

    所以背面欄位都放在保護區。這一段逐字稿滿重要的,可能疑慮的30幾%可以再減掉2%。

    Link in context Link
  • 唐鳳

    這樣聽起來很完整,我自己覺得沒有什麼問題。

    Link in context Link
  • 唐鳳

    當然有很多人提到法律面,一大堆配合的法規都要去改變一、兩條。

    Link in context Link
  • 唐鳳

    下一步是說資安的疑慮。我們剛剛講的那一大套,是因為坐在這個位置上的人聽得懂,但現在要路上隨便找一個人看這張圖是沒有用的。

    Link in context Link
  • 黃旭初

    這個部分我們想說要製作動畫。

    Link in context Link
  • 唐鳳

    可是那個是一開始對你態度中立的人才會願意去看。現在如果不相信你的人是1%,這樣的動畫、懶人包有用,但是30%的話,我不覺得有用,我說真的。

    Link in context Link
  • 唐鳳

    我們要想某種溝通的方法,讓各界知道這不是比自然人憑證更多的東西。

    Link in context Link
  • 唐鳳

    包含非接觸的部分,即使是變背面的東西都要輸入密碼。

    Link in context Link
  • 唐鳳

    包含訂高鐵票的時候,內政部不知道這一件事。

    Link in context Link
  • 唐鳳

    包含未來會加強,別的功能在使用的時候,留下你的紀錄,而這個是可以加密給你,是可以看得到。

    Link in context Link
  • 唐鳳

    加密的方式是未來再談,但並不是集中式的,如果沒有eID的話,這個都不可能,等等的這一些點。

    Link in context Link
  • 唐鳳

    要想某個公眾溝通的方法,不太可能只靠懶人包解決這一個問題。

    Link in context Link
  • 施明德

    如果政委提到要做數位封存,信賴機制可能要經過本人同意,就要經過剛剛所講的保存的機制,因為是用私密金鑰加密。

    Link in context Link
  • 唐鳳

    嗯。MOICA對使用者做的事看不到,但可以撤回金鑰。

    Link in context Link
  • 施明德

    對,我看不到。

    Link in context Link
  • 唐鳳

    像「區塊鏈」這種技術,還是可以想辦法用信封、鑰匙想辦法讓人家瞭解。

    Link in context Link
  • 唐鳳

    這次是行之有年的PKI,一定可以講出一個故事讓人聽得懂。

    Link in context Link
  • 唐鳳

    第二,沒有辦法用懶人包的方法就做完,還是一定要多開幾次像上次的共識的工作坊。

    Link in context Link
  • 唐鳳

    從一開始我們說講的部分,我覺得就不要再去說什麼節省成本防偽什麼東西,我們都可以說上次的工作坊已經講過了,我們這次是在講資安疑慮跟個資疑慮。

    Link in context Link
  • 唐鳳

    而資安疑慮跟個資疑慮的這一件事,大家還以為生物識別會放在裡面,還以為要按指紋才會拿到——這個是年紀比較大的朋友——所有這一些程度的誤解,就是要點對點說明,也就是以前有這一個想法,而現在沒有。

    Link in context Link
  • 唐鳳

    現在的狀況用一個很簡單的故事來講是這樣,但是聽完之後有沒有聽不懂或者是還要討論的?同樣用這樣的工作坊來做。

    Link in context Link
  • 唐鳳

    上次的工作坊題目太多了、很分散,如果專門只是聚焦在資安隱私的使用方法,去做工作坊,我覺得願意來參加的人比較多。

    Link in context Link
  • 唐鳳

    我們也當然希望30%多的人來參加之後,稍微覺得比較可以了之後,自己願意幫你說服他的親朋好友,沒有比自然人憑證危險。

    Link in context Link
  • 唐鳳

    如果這30%多的人,我們繼續做民調,疑慮慢慢往下掉一個程度,那就來發。

    Link in context Link
  • 唐鳳

    如果不辦這一些溝通,現在會發生的事,因為資通法也發生這樣的情況,有人說是「誰都可以來我家查東西」,雖然資安處的說明都做了,我們可以看到30%多的疑慮會成長到4、50%,不是你放著不管就沒事,而是數字會往上。

    Link in context Link
  • 唐鳳

    這是要一連串的溝通,最後葉部長出來說「已經有90%的朋友理解這一件事,所以從下個月開始推動」。

    Link in context Link
  • 唐鳳

    順序是這樣,並不是下個月發包,然後說這邊才30%,不然資通安全法的故事是一出來之後,就會變成60%的人不相信,我覺得是這樣子。

    Link in context Link
  • 施明德

    可能要有一個有效的溝通for一般的民眾。

    Link in context Link
  • 施明德

    我們的民調是對一般的民眾,並不是對菁英,我們想一想是用什麼樣有效的方式來溝通。

    Link in context Link
  • 李雪津

    民調的樣本數是多少?

    Link in context Link
  • 張琬宜

    還是電話是1,500個。1,200個是室內電話,300個是手機。

    Link in context Link
  • 施明德

    有效的。

    Link in context Link
  • 唐鳳

    很好。你們花多久做這一個民調?

    Link in context Link
  • 黃旭初

    差不多一、兩週,是政大的黃老師。

    Link in context Link
  • 唐鳳

    請先規劃某個溝通的方法,我們來討論一下。

    Link in context Link
  • 唐鳳

    接下來可以實行時,花個兩、三個月,再來看這兩個月有沒有幫助,如果有幫助的話,好比剩25%或者是30%反對,我們就再做一次,然後再過兩、三個月再量一次,如果已經到5%,太好了,我就跟院長講。

    Link in context Link
  • 唐鳳

    這個還滿重要的,因為如果你這邊量完發現反而疑慮還在升高,表示這個溝通是有出問題的,我們就要調整溝通的模式。

    Link in context Link
  • 唐鳳

    我之前也講過,這次工作坊是開始,並不是結束,每一次的溝通都是下一次溝通的開始。

    Link in context Link
  • 唐鳳

    要一直溝通到,一般在街上找一個人,都會跟你說「eID只是自然人憑證擴大發卡」,就成功了。

    Link in context Link
  • 施明德

    (笑)。

    Link in context Link
  • 唐鳳

    我覺得啦!

    Link in context Link
  • 黃旭初

    因為工作坊的部分,因為參加的人還是相當有限,怎麼樣能夠擴散到一般的民眾?

    Link in context Link
  • 唐鳳

    如果第一批邀的人本身就是意見領袖?

    Link in context Link
  • 黃旭初

    就不是隨機來抽?

    Link in context Link
  • 唐鳳

    對,我是說辦工作坊,並不一定是隨機抽人。所有曾經發過專欄或講過這一件事的人,也許專門幫他們辦理一批。

    Link in context Link
  • 唐鳳

    同樣的道理,這個是媒體的部份,而所有曾經質詢過或者是關心過的立委,如果他們不能來,就助理來,有逐字稿、簡報都公開。

    Link in context Link
  • 唐鳳

    這個目的並不是只是留紀錄,而是他們回家之後可以拿這個跟家裡的人講,議員助理可以跟立法委員講。

    Link in context Link
  • 唐鳳

    而且說不定真的找出一些漏洞,那就改啊!表示我們面對問題、解決問題。

    Link in context Link
  • 唐鳳

    我覺得重點還是這一些focus group,你們找到有四、五個人,然後回去會跟人家講,而且會聽。

    Link in context Link
  • 唐鳳

    這一輪之後,再做一個擴大參與的系統,也就是運用這邊累積出來的資料。

    Link in context Link
  • 唐鳳

    也許這邊做完之後,再來弄民調,看懷疑的程度有沒有掉2%下來,那就表示有用。先這樣run幾次。

    Link in context Link
  • 唐鳳

    但是如果大家真的找出什麼破綻,例如:發現我們用的演算法跟愛沙尼亞的一樣,我亂講的(笑)。

    Link in context Link
  • 施明德

    主要是晶片用的演算法,其實有一點漏洞,我們都沒有用那個。

    Link in context Link
  • 唐鳳

    是,他們用的密碼學的程式庫有問題。

    Link in context Link
  • 唐鳳

    你邀的人,向他們第一個說明這個。如果他們提出許多疑慮,就會有一系列的問答集出來、翻譯成一般聽得懂的語言、畫漫畫。

    Link in context Link
  • 唐鳳

    政府比較有誠意的方式,是對他們挑戰的問題有回答,而且挑戰的問題是他用的字來撰寫。

    Link in context Link
  • 唐鳳

    如果問得很不客氣,你也不要修改它,就用很不客氣的問題當問題,然後就寫答案。

    Link in context Link
  • 唐鳳

    我想這樣幾次focus group完了之後,再就去做全民溝通,至少北、中、南、東辦工作坊。

    Link in context Link
  • 唐鳳

    之後再來做民調。如果是降下來了,就有能力去說服同樣的程序再做一次。

    Link in context Link
  • 唐鳳

    如果民調出來反而更多疑慮,那就要調整程序,甚至要調整這一個計畫本身。

    Link in context Link
  • 唐鳳

    但是我們如果不這樣做,我們永遠都不知道,不對……我們已經知道,疑慮只會增加。

    Link in context Link
  • 唐鳳

    不是放棄,就是繼續溝通。

    Link in context Link
  • 潘國才

    就我的認知想要釐清一下。

    Link in context Link
  • 潘國才

    剛剛政委講的是溝通方式,政委是這方面的專家。

    Link in context Link
  • 潘國才

    前面講的架構性問題,我再重複一下,不知道對不對,將來MOICA發的憑證是放在eID,也就是eID會有一個MOICA上,也許啦!也可以不用,如果要的話就可以放。

    Link in context Link
  • 潘國才

    跟健保卡的關係,eID的那張卡跟健保卡的關係是,健保卡中間會有一個空間,將來可以放MOICA所簽的憑證,也就是可以放在健保卡?

    Link in context Link
  • 唐鳳

    健保卡自己也可以產生私鑰,但是必須要由MOICA簽的另外一個私鑰簽署才生效。

    Link in context Link
  • 潘國才

    健保卡會依然存在,也就是實體那張卡?

    Link in context Link
  • 唐鳳

    說不定以後也行動裝置化,但不重要;總之,這一個副鑰還是會存在。

    Link in context Link
  • 潘國才

    好。

    Link in context Link
  • 潘國才

    所以架構是這樣的沒有錯?

    Link in context Link
  • 施明德

    上次跟您說明,未來MOICA是一個變成多元憑證的發展,並不是只發自然人憑證的概念,假設二代健保也要有實體卡可以用手機,我們也可以提供憑證的信賴機制,也就是直接變成行動載具,可以直接就醫,我想政委也是朝這一個方向來看。

    Link in context Link
  • 施明德

    這個部分,那一天我有跟您報告過了。

    Link in context Link
  • 潘國才

    OK,我的理解就是這樣。

    Link in context Link
  • 施明德

    等於是背後PKI的信賴機制還是由內政部來主政,內政部有這麼多的戶政單位可以跟民眾來作洽公。

    Link in context Link
  • 唐鳳

    你們的核心價值,是在做人別確認?

    Link in context Link
  • 施明德

    對,是這樣沒有錯。

    Link in context Link
  • 施明德

    因為身分證本來就要換了,而且現在紙本身分證也有很多一些需要改善的地方,趁這一次要換,我們比較可以容易快速普及這一個機制。

    Link in context Link
  • 唐鳳

    我同意。但每多溝通半年、雖然是拖了半年,但未來的抗爭會比較小。

    Link in context Link
  • 唐鳳

    而且每拖半年,你的總成本又會再減幾千萬(笑)。

    Link in context Link
  • 施明德

    就我個人的立場,我個人比較贊成集中製卡。

    Link in context Link
  • 施明德

    有人說集中卡比較不方便,但以後很多身分證的資料放在晶片裡面,那就不用每一次都換晶片卡,所以以後身分證換證的量會大量減少。

    Link in context Link
  • 唐鳳

    會比現在換自然人憑證少?

    Link in context Link
  • 施明德

    現在都要換一張。

    Link in context Link
  • 張琬宜

    我也贊成施主任的意見。

    Link in context Link
  • 施明德

    相對安全度都會更強,因為我們是會集中來做監管,也就是在發生的過程中,都可以做到不會有失誤。因為我也很擔心未來哪一天戶所被破窗而入。

    Link in context Link
  • 唐鳳

    你這一段,也可以拍成一段動畫短片。

    Link in context Link
  • 施明德

    而且比較便宜,對基層衝擊小,基層不用操作這一些設備等等。

    Link in context Link
  • 唐鳳

    我想那個focus group可以放給他們,他們可以帶回去給長輩及立委看,這個是有幫助;一般民眾溝通的部分,我覺得備而不用,至少他有興趣點得到,就不用每一次再來問你。

    Link in context Link
  • 唐鳳

    所以我覺得凡是這一種單獨判斷,也就是集中分散這一類的,跟大的故事線沒有關係,你就做成短劇。這個成本非常低,你就2分鐘講一件事,至少我們在第一批focus group就可以放。

    Link in context Link
  • 唐鳳

    我們為什麼要拍「沙威瑪」、「大火鍋」?也就是不用一直解釋。

    Link in context Link
  • 施明德

    要讓社會大眾知道,放在Youtube是讓大家看到,以前媒體來找我,我都說不要找我,如何讓媒體引進來,讓他們瞭解我們的安全沒有疑義,他們就幫我們報導。

    Link in context Link
  • 唐鳳

    如果你的短片是CC授權,在Youtube上他們就會拿去用,根本不用問過你。

    Link in context Link
  • 唐鳳

    如果你的東西的製作本來就是跟某個團隊一起做,這樣他在做的過程就會幫你宣導,當然我覺得這個就看你們平常合作的是誰。

    Link in context Link
  • 施明德

    有啦!這個還好。我們儘量運用各種事件行銷,能夠擴大民眾對於eID的認知。

    Link in context Link
  • 施明德

    因為現在30%多的反對是對於eID能夠做什麼是有疑義的,會認為沒有用的,因此會覺得為什麼要花這個錢。

    Link in context Link
  • 唐鳳

    就是要有故事。

    Link in context Link
  • 唐鳳

    故事做完之後,你的第一波的這一些專業參與者,要很明確讓他們知道,我們並不是要來洗腦的,而是看了這一些故事跟說明之後,有疑慮你們會回答,這個會變成問答集。

    Link in context Link
  • 唐鳳

    第二個是,如果他們覺得你的短片哪裡拍錯、並沒有正確的反應出技術,這樣會修改,再給一般的大眾或者是給另外一波工作坊,等於他們是來試映會。

    Link in context Link
  • 施明德

    好。

    Link in context Link
  • 潘國才

    剛剛講到健保卡裡面所放的簽章或者是subkey,是由MOICA再授權給他的。

    Link in context Link
  • 潘國才

    我們這邊有一個問題跟法規有關,是否符合電子簽章法可以再授權給下一層做subkey的功能,可能不是現在就可以回答的?

    Link in context Link
  • 施明德

    我再補充一下,我是民眾,如果有eID或者是自然人憑證,也就是在網路上有這一些意思表示工具的時候,如果未來健保卡希望能夠下載憑證,當然本身的晶片要換成可以genkey。

    Link in context Link
  • 施明德

    另外一個是自然人憑證跟eID跟MOICA申請附卡,好比是第三號憑證卡,下載到他的晶片裡面,其實本身是利用我們既有的信賴機制去完成這一個申請。

    Link in context Link
  • 唐鳳

    也就是「有限制用途的附卡」,對不對?

    Link in context Link
  • 施明德

    對。

    Link in context Link
  • 唐鳳

    像是信用卡有一個附卡,但是只能刷3萬元之類的?

    Link in context Link
  • 施明德

    對,就是利用原來的信賴機制,也就是有eID,然後再申請附卡,這樣的意思。

    Link in context Link
  • 楊蘭堯

    這一塊就變成我們還是想要瞭解一下就電子簽章法的概念,那一張健保卡等於是也可以去簽章了,對不對?

    Link in context Link
  • 施明德

    對。

    Link in context Link
  • 施明德

    能不能限制這一張卡的效力,這個到時候要請教一下。

    Link in context Link
  • 潘國才

    這個可能是經濟部主管的,我們要再跟經濟部確認一下。

    Link in context Link
  • 唐鳳

    有這個可能性,就是衛福部建一個key,內政部只是授權這一個key,等於是簽一個signature來簽一個背書。

    Link in context Link
  • 唐鳳

    這兩個應用上是一樣的,但哪一個合法要再問。

    Link in context Link
  • 施明德

    其實私鑰本身是不能離卡的,也就是在卡片上產生,未來健保卡要有這一個機制,這一個私鑰跟申請要到中心這邊來才會有一個憑證,才會有一個合法的登記再回存,因此這一個機制上來講是可以做到的。

    Link in context Link
  • 唐鳳

    國發會關心的,是MOICA還沒有給憑證,但是衛福部如果給了自己的憑證,如果它也是CA的話,會不會產生這邊已經適用電子簽章法,根本不用內政部發憑證的問題,我聽起來是這樣。

    Link in context Link
  • 施明德

    現在還沒有。

    Link in context Link
  • 唐鳳

    但如果衛福部沒有CA的話……

    Link in context Link
  • 潘國才

    ……這個是另外一個問題,他其實也有CA,只是CA的範圍是醫事人員,他也想要把那個CA擴大,講白一點,等於是要來搶2,300萬人的生意的話——如果我講成生意的話——他也有這樣的想法。

    Link in context Link
  • 施明德

    我們上次開二代健保的會,也就是申請憑證這一個機制是有問題的,也就是沒有辦法符合簽章法。

    Link in context Link
  • 唐鳳

    電子簽章法第11條,如果衛福部不升級到第11條的要件,我們想要說服他們說,MOICA已經適用第11條的要件了,我們還是用你卡的載體,也允許你genkey,但chain一打開,並不會看到MOICA和衛福部CA兩個合簽。

    Link in context Link
  • 楊蘭堯

    就法規面,也就是電子簽章法的適合性。

    Link in context Link
  • 唐鳳

    如果是衛福部來寫系統,可以連到MOICA的網站,就可以簽我的文件,也就是包含我的另外一個subkey。

    Link in context Link
  • 楊蘭堯

    現在是要寫到健保卡裡,未來是要到健保卡來簽章。

    Link in context Link
  • 唐鳳

    對,等於用我的eID來簽健保卡,這個動作可以在我家發生。

    Link in context Link
  • 潘國才

    健保卡key的管理機制會是?

    Link in context Link
  • 唐鳳

    如果內政部撤銷,健保卡的簽章功能就沒了。

    Link in context Link
  • 潘國才

    國發會有一個GPKI,要確保下面的幾個CA的安全機制是比較不容被攻破等等之類的,現在MOICA又可以授權下一個的話,我講實務上的問題,是要稽核這邊還是要稽核衛福部?

    Link in context Link
  • 施明德

    跟處長報告,我剛剛的意思是,剛剛政委講的這一種情境跟機制的話,其實衛福部是不要再去核發憑證的CA,其實只是用內政部憑證的附卡概念,都存在在我們這邊。

    Link in context Link
  • 唐鳳

    衛福部只是產生一對質數而已,自己並沒有CA。有公鑰、私鑰,但沒有CA。

    Link in context Link
  • 施明德

    這張卡自己產生一個key,讓這個卡自己去做簽署,真正的憑證管理是在內政部,並不會有憑證。

    Link in context Link
  • 楊蘭堯

    這一塊我們再確認。

    Link in context Link
  • 唐鳳

    我覺得法遵上還是要確保。

    Link in context Link
  • 唐鳳

    但是我看起來以電子簽章法第11條而言,不需要兩個都符合第11條的單位,並不是國發會底下有兩個,然後這兩個又有從屬關係。

    Link in context Link
  • 唐鳳

    只要有一個符合第11條的單位,但實際製發、使用,拿健保卡的時候,是不是可以直接授權簽署,或者是拿到內政部來及可以在家做完?這個是技術問題。

    Link in context Link
  • 唐鳳

    但是法規上符合第11條的,只有MOICA。

    Link in context Link
  • 李雪津

    可是健保單位看,會覺得這不只是技術問題。

    Link in context Link
  • 唐鳳

    當然。

    Link in context Link
  • 施明德

    面子問題。

    Link in context Link
  • 唐鳳

    這個是使用者經驗的問題。

    Link in context Link
  • 李雪津

    也必須對你們有相當的信任,因為覺得他們的東西很……

    Link in context Link
  • 潘國才

    ……顧問,我覺得這個關聯還是要想辦法打破。

    Link in context Link
  • 李雪津

    當然。

    Link in context Link
  • 潘國才

    不然每一個都只信任我自己家裡的。

    Link in context Link
  • 李雪津

    我們做公務員也不是第一天,哪一個不本位?

    Link in context Link
  • 唐鳳

    我就不本位(笑)。

    Link in context Link
  • 李雪津

    政委不能本位。

    Link in context Link
  • 唐鳳

    我也是公務員啊(笑)!

    Link in context Link
  • 潘國才

    剛剛聽起來還有30%要去溝通,還有一段時間,30%不會是一夜之間就……

    Link in context Link
  • 李雪津

    ……你們也可以檢討一下MOICA將來的定位。

    Link in context Link
  • 施明德

    有,現在就在檢討了。

    Link in context Link
  • 李雪津

    並不是內政部的資訊中心,我隨便講,是變成行政法人的組織,將來所有政府的都可以。

    Link in context Link
  • 唐鳳

    這樣很棒,但這段暫時還不用放到短片裡面(笑)。

    Link in context Link
  • 李雪津

    他們也真的要有一個Q&A。

    Link in context Link
  • 施明德

    針對eID的這一件事?

    Link in context Link
  • 李雪津

    對。

    Link in context Link
  • 施明德

    現在還在做民調跟政策性的溝通。

    Link in context Link
  • 李雪津

    要有一個計劃性的做法。

    Link in context Link
  • 唐鳳

    他們目前的Q&A就是這兩頁。

    Link in context Link
  • 施明德

    現在這個只有高手才看得懂。

    Link in context Link
  • 李雪津

    不管是用短片或者是拍一個微電影,我的意思是還要針對不同的受眾喔!

    Link in context Link
  • 施明德

    我知道,其實那30%之所以這麼高,是因為我們沒有針對這30%認為有需要去作溝通,因為這些民眾認為這個沒有用,會覺得多浪費錢的。

    Link in context Link
  • 施明德

    我也跟司長講說如何讓民眾知道,就算已經65歲,要拿老人卡了,用eID可以取代,並可以做什麼服務,也就是可以申請什麼。

    Link in context Link
  • 唐鳳

    就是各種用途。

    Link in context Link
  • 李雪津

    將來買票,是不是要變成實名制也要討論。不能因為花東的票很難買,然後就變成要實名制,這個要觀光部要討論。

    Link in context Link
  • 唐鳳

    那個不要放在那麼前面。

    Link in context Link
  • 李雪津

    對,不要再有一個新的議題出來。

    Link in context Link
  • 施明德

    好比高鐵或者是台鐵都有一些票,不要給實名制,像他家真的就是在台東,可以優先買得到票。

    Link in context Link
  • 唐鳳

    我個人認為這一個部分的短片,應該由台東縣政府或者是台鐵來拍,並不是內政部來拍,因為他們才知道受眾在意什麼。

    Link in context Link
  • 唐鳳

    而你們內政部在意的,是剛剛所講的防偽跟線上更容易使用資訊,發卡更多的時候,可以有附卡跟各種行政流程簡化。

    Link in context Link
  • 唐鳳

    這個雖然沒有那麼清楚,但你可以保障。如果你幫台鐵保證的話,如果後來沒有兌現,這樣短片就白拍了。

    Link in context Link
  • 施明德

    這個是未來知道哪裡可以做得到。

    Link in context Link
  • 唐鳳

    像這個很需要短片,而且只有你們才懂。

    Link in context Link
  • 施明德

    像護照裡面有晶片,晶片也有,我們叫做BAC,必須要讀到紙片資料,才可以讀晶片。

    Link in context Link
  • 唐鳳

    像這個,就只有你們可以解釋。

    Link in context Link
  • 唐鳳

    一般的駭客跟扒手並不會幫你拍這個,雖然他們也很懂。(笑)

    Link in context Link
  • 施明德

    懂。

    Link in context Link
  • 唐鳳

    請提出一個完整的溝通企劃,這邊提到的疑慮都要切更細、故事化。

    Link in context Link
  • 唐鳳

    在發布給全民之前,明年也要選適當的時機,先辦幾次工作坊,邀請專門做人權、資安,就是所有當年提這一些問題的人,去說這個是我們的試映會,給大家看一下。

    Link in context Link
  • 唐鳳

    看大家覺得有什麼問題、是不是有過分簡化之嫌、是不是有沒有講到的部分,可以多講一些?

    Link in context Link
  • 唐鳳

    用工作坊、焦點討論的方法去收出新一波的問題,這一些再拍短片。

    Link in context Link
  • 唐鳳

    全部做完之後,再給一般人看,我覺得這樣才會work。

    Link in context Link
  • 李雪津

    反正明年一整年還要規劃。

    Link in context Link
  • 施明德

    現在107年來不及了。

    Link in context Link
  • 唐鳳

    沒有關係。每一年成本都更便宜,要這樣想。

    Link in context Link
  • 施明德

    金管會一直催我們趕快補齊。

    Link in context Link
  • 唐鳳

    也可以請他們推薦團隊來做短片,就FinTech的應用來提供。未來討論的執委會,也可以邀請他們推薦。

    Link in context Link
  • 施明德

    我們也說,未來銀行是不是可以幫我們掛布條之類的。

    Link in context Link
  • 唐鳳

    銀行是銀行拍,高鐵的部分高鐵拍。你們把最核心的部分規劃好。

    Link in context Link
  • 唐鳳

    不管是動畫或者是漫畫,像柯P在世大運找的網紅也可以,形式我不介意。

    Link in context Link
  • 施明德

    熊讚?

    Link in context Link
  • 唐鳳

    也不錯。

    Link in context Link
  • 施明德

    她(張琬宜)說要叫我拍。

    Link in context Link
  • 唐鳳

    可以找一個搭檔,你只要負責跑步跌倒、做一些動作,這個程度應該是可以(笑)。加油。

    Link in context Link
  • 唐鳳

    衛福部的部分,請國發會幫忙確認適法的可能性。使用者體驗的部分,還是要約衛福部來。

    Link in context Link
  • 唐鳳

    如果內政部這邊有CA、衛福部沒有CA,還是有一定的體驗,大概是這樣。這樣可以嗎?

    Link in context Link
  • 潘國才

    (點頭)

    Link in context Link
  • 唐鳳

    有一點超時,但是至少大家可以吃午飯了。

    Link in context Link
  • 施明德

    謝謝政委,政委都是問滿焦點的問題,我們可以很清楚。

    Link in context Link
  • 唐鳳

    這個報告很詳細,我每個字都看了。

    Link in context Link
  • 施明德

    謝謝。

    Link in context Link
  • 唐鳳

    謝謝。

    Link in context Link

This site is maintained and operated by PDIS. Unless otherwise indicated, the content is released under the terms of the Creative Commons CC0 license.

Terms of Service Privacy