所以,我反而會比較認為試辦的時候,應該是多測幾種不同的方式,看它的可行性及風險,如果認為這個風險在短期內是比較難以排除的,我們就可以在後面建立這一種先不做,所以我認為試辦的重要性在這裡,以上。
我有不同的看法,就是因為試辦才要這樣試,因為透過這樣試,你可以知道可能會發生的問題是什麼;如果試辦的時候,如果採取比較保守的方式在測試時,真正到第二階段,你希望擴大時,你反而要做更多的評估。
原來我是多的,我先走了(笑)。
如果是這樣的話,我具體的建議是,如果以十六個人來講,健保署這邊建議提出的名單,也就是提八個,另外的八個是由其他人去找出來,我覺得這樣子多樣性比較夠、討論會比較完整,再提出來供大家參考,謝謝。
所以原則上就十六個?
初步這樣看,我覺得裡面所列的多樣性是不夠的,像何明諠是臺灣人權促進會,他是技術方面滿容易溝通的,所以這個講完以後,是不是能夠說服台權會技術方面比較不好溝通的,我覺得這個要想一下。
我覺得他們應該要進來,像雷欽隆,PKI加密這一塊他在國內是首屈一指的。
你問我,像中華電信應該要納入,因為所有的這一些憑證都他們在做,我講的是真正的憑證,是他們在做。
我滿贊成雨蒼所講的,像我們看到的技術成本,坦白來說都是署裡面的廠商,所以其實我覺得這樣子聽到都是單方之言。
純粹這個命題是要知道成本而已?而不是協調是否有,意思是這樣嗎?
從我的角度來看,這種設備是很普遍的。
我想問的是,為什麼這邊會提這個問題?關鍵點在哪裡?因為我最近在使用的時候,像國外信用卡來講,其實信用卡可以收非接觸式的,也就是Apple Pay可以刷,也可以做實體接觸、卡片非接觸,這個在國外都有,是很普遍的,我不曉得第一個為什麼會提這個問題?
現在院想提的,這個也是現在可以問的嗎?
我的疑惑是很容易用混淆的term會有溝通的成本。
依照你們剛剛的法規,全名叫做「全民健康保險憑證」,簡稱「健保卡」,如果是這樣的話,就叫「健保卡」,就不要叫「健康憑證」,我的建議是這兩個詞用一個,全名是「全民健康保險憑證」或「健保卡」,不要簡稱,簡稱就用「健保卡」。
抱歉政委,我會這麼敏感,是電子簽章法第2條第1項第6目有定義,憑證指「載有簽章驗證資料,用以確認簽署人身分、資格之電子形式證明」,所以是不能亂用的,這個是有法的,謝謝。
第三,我建議的是,如果你今天要講的真的是要做憑證時,我建議你的行動憑證部分或者是你的CA部分,跟內政部洽談並遵照他的標準,所謂遵照他的標準是指,假設有一天晶片身分證可以推的時候,因為上面有四個slot,可以讓民眾自由選擇要不要整併,這個是我們對內政部長期的態度,對部、署裡面都是一樣的態度並follow這樣的標準,因此我的建議是這樣,我不太清楚你們到底講的是什麼。
第二,你的行動憑證目的能夠做什麼?
我覺得那個部分反而是比較concern的,我的具體是建議是詞要一致,可能要定義清楚,不要用同一個詞,但是大家的解讀不一樣,這樣子整個討論是會發散的。
如果你講的憑證是指這個晶片,然後可以存一些資料,後面有這一些紀錄等等,我擔心的是,當你可以用無線非接觸式的感應來讀取,非接觸式的感應不過是這幾種,資安保護是弱的,我相信各位也有看到,有人利用一些reader可以從手機中把信用卡讀走,你如何說服民眾你有這一張非接觸式的這一些憑證時,你裡面的就醫紀錄並不會被讀走。
接下來談到虛實併行,可以用實體憑證授權為行動憑證為附卡,這個就解決了,並不是一個問題,它的問題是在之前,到底講的憑證是什麼?
另外,如果我們講的憑證是我所談的憑證,如果你的CPS允許行動憑證的話,問題就解決了,那就不是技術問題,那個是行政方面、管理的問題。
Anyway……我的建議是如果要有討論的基礎,我覺得大家的詞要一致、定義要一致,不然你今天找的這幾個專家裡面,像技術、法規、臺灣人權促進會的定義「憑證」是什麼?是電子簽章法的憑證,這個是有法律效力的。
對,那個是X.509。
上面講HCA憑證,下面又寫行動憑證,按照你的講法是不一樣的東西。
如果是這樣的話,前面也寫「憑證」,後面也寫「憑證」,如果兩個不同的事情不要寫「憑證」,因為「憑證」有嚴謹的定義。
接下來,因為剛剛談的,你們所謂行動憑證是指什麼?你們是不是指SSL憑證、軟體憑證,又或者是指HCA的憑證把它做行動化?如果類似HCA或者是實體健保卡也走S509,行動憑證也要放進去,你首先要確定CPS是可以的,我不知道……
如果是HCA的話,我印象中HCA印象中並沒有非接觸式的,可以從憑證當中把HCA讀出來,這個是我比較不確定的。
我想要問一下「實體健保卡:非接觸式感應技術」,後面又提到「建議醫事人員納入規劃」,我想問的是「非接觸式感應技術」做得到的是什麼?是經由非接觸式去讀憑證嗎?如果是的話,憑證是ok的嗎?現在的識別證裡面有一個非接觸式的,其實識別證裡面,跟自然人憑證合一,裡面是有兩個晶片,一個是用接觸式讀取,拿來刷門禁的時候,那個是晶片,並不是憑證,因此我不清楚實體健保卡,你們希望實體健保卡用非接觸的,可以直接把憑證從卡讀出來嗎?我不知道目前誰有這樣的技術?
我比較狀況外,比較白目一點,我就直接問。
