巫靜宜、呂麗琴、李鴻璋

淡江大學資訊管理學系

1. 緒論

政府以提高行政效率、加強便民服務為目的乃於87年展開「國民身份健保合一智慧卡」【簡稱國民卡】委外專案，其目的在以整合目前使用多種國民識別方式，以資訊電子化加速為民服務，進而建構出資訊化應用的社會環境。然而其規劃方向或因橫跨面太廣，或因目前法令以及現今的社會環境或民眾觀念難以配合以至於推動過程爭議不斷。本文試以綜合正反兩面的論點，並擬定國民卡推動策略與其運作安全與法源規劃修正的問題，以期對國民卡的推動與目的的達成有實質的幫助。

1. 政府推動國民卡概況

行政院研究發展考核委員會於86年7月21日設立「IC卡規劃及推行小組」，其目的為「加速推動IC卡在政府部門之整合運用，以提高行政效率、加強便民服務及促進國內IC卡產業之發展」。經一年研議，行政院資訊推動小組於87年6月決議展開國民卡專案，將身份證及健保卡合而為一，並決定採用安全性高的晶片，除此之外也研擬將納入指紋資料及電子商務規劃等並採以電子數位簽章的可能性。此小組於87年6月10日公布「國民身份健保合一智慧卡（簡稱國民卡）」專案徵求建議書，以整體委外(out sourcing)之方式，公開徵求資訊業者承作「設計及製發符合現行國民身份證、健保卡、電子簽章機制等應用需求之IC卡，並建置相關作業程序及軟、硬體環境，其他約定營運項目由承作業者提出建議」(專案徵求建議書第一章第三節)。此專案徵求於87年6月30日截止收件。

參與國民卡評選的有『中華智慧系統服務聯盟』、『中華國民卡經營團隊』、『億通智慧卡聯盟』、『先進國民智慧卡籌備處』等四家經營團隊。由行政院研考會邀集四位政府機關首長與七位學者所組成的國民卡評審委員會，於87年8月10日公佈國民卡議約權的公司名單。根據評審結果，由中華國民卡經營團隊獲選。業者必須在三月內完成議約，第一張「國民卡」最快可於明年底發出，並預定於民國90年6月底前全面換發完成。[87/8、9 工商，中國，聯合，自由]

87年11月25日由於部份學者、立委對於國民卡的功能、資訊業務整體委外作業強烈質疑，行政部門和中華國民卡經營團隊在議約過程各有堅持中華國民卡經營團隊在成本及商機上的考量，亦恐致營運虧損，因而自動放棄議約權，國民卡議約宣告失敗。[87/11/26 自由，工商，聯合，中國]

截至目前，行政院資訊推動小組初步決定未來仍將繼續推動國民身份健保合一智慧卡（簡稱國民卡），但改採政府預算編列方式進行，仍採兩卡合一模式，卡片以識別功能為主。[88/1/15 工商、經濟、聯合、中國]

2. 其他國家使用國民IC身份識別卡情形

或許是對政府應有之功能認知上的不同，目前許多資訊科技先進的國家並無身份證制度，如美、日、加拿大、紐西蘭、澳大利亞、愛爾蘭、瑞典等【1】 、故截至目前為止，尚未有國家實施晶片裝置之「國民卡」。但由於資訊科技的發達，晶片形式之「國民卡」，在技術層面上絕對可行，但在觀念、法律等管理層面，將會帶來較多的問題，所以許多國家不敢貿然實施。現在世界上規模最大的匿名現金儲值卡，為在比利時所實施的Proton卡，自由參與的使用者約一百萬人左右。而菲律賓與韓國政府亦曾嘗試類似我國民卡計畫，但前者由於其實施的計劃可能觸犯該國憲法，後者在金大中就任總統之後也停止該計劃【2】。

法國在87年3月啟用智慧卡儲存每位國民的健康保險資料。法國目前所採用的智慧卡原是用來解決法國迫切想控制醫療支出的一環。法國在九０年代中，公共醫療支出增長率是國家稅入增長率的兩倍，但除了社會局直接管轄的所屬醫院外，政府無法了解經費的去處。因此法國政府想利用此智慧卡收集保險給付及醫療使用率的詳細資訊。

在法國最初的使用設計，智慧卡存有國民的基本個人資料、社會安全號碼及保險資料，新的卡片將有一些基本醫療病歷。每次病人帶著智慧卡去看病時，此卡會自動產生一個保險申請單，並將病人的個人資料及保險資料填入， 醫療工作人員僅需將診斷及治療手續號碼填入，然後經由批次作業及加密手續後再透過全國醫療資訊網送至保險公司處理。政府發放給全國每個醫療工作者一個安全認可智慧卡，憑此卡工作人員才能讀取病人智慧卡上的資料、電子簽章及與全國資訊網連線。法國健康部希望能以這些新且完整的資訊幫助他們確定那一種疾病治療的花費最大，並且也可以縮短保險給付所需時間，爭取時效及節省經費。

雖然法國主管衛生當局大力推廣，但是仍然有許多障礙存在：第一即是私人醫生診所的電腦使用尚未普及，能與國家醫學資訊網連線的則更在少數；第二是醫生排斥，因為在推廣智慧卡的同時，法國政府也同時考慮控制醫療資源的使用，而這直接或間接影響到醫生(尤其是專業醫生)的收入及獨立自主能力；第三則是病人隱私權的保障問題受到質疑。雖然政府以法律嚴格禁止將這些健保資訊商業化，但限於通訊法律的限制，有許多技術的規章尚須重新審核。在醫療資訊網上傳遞的資料很容易被有心人解密，這將嚴重侵犯病人的隱私權。直到現在法國各有關部會仍在商討如何才是最適當的加密、解密步驟【3】。

3. 國民卡運用前瞻

依研考會規劃國民卡的資料分成外顯式與晶片儲存的內儲式兩類。外顯式的資料如同現有之身份證顯示在外如身份證號、相片、姓名、出生地等較永久的資訊、一些較具爭議的是如配偶、及戶籍地住址的資訊缺乏。而晶片儲存的內儲式的資料目前規劃分成四種：分別為(一)個人基本資料(如現有身份證的所有資料: 配偶、戶籍地住址皆有)、(二)健保資料、(三)個人特有之識別資訊(現規劃為指紋特徵) 、(四)電子商務應用資訊。其配置如下:

依現今規劃的理念是把較可能變更的資訊，移至晶片儲存的內儲式以避免對國民卡表面的破壞。這樣的規劃會對沒有讀取設備的使用者在一般文書表格的填寫上產生問題，研考會應考慮全盤的資料登錄或階段性增加外顯式的資料如配偶、及戶籍地住址的資訊等。

事實上國民卡最大的功用是把登錄其上的資訊電子化，這樣的設計要有後端配套設備以及資訊運用環境才能使其發揮最大的功效，甚至於是電子化政府建立的基石，但這也是一些學者專家異論之處。為了讓國民卡應用有一些構像(Vision) ，以及後續的討論基礎，我們建構國民卡應用的通用情景。假設甲先生要到政府機構辦理戶政事務，下圖說明現有系統與國民卡系統的差異:

在國民卡系統運作系統上，依運作環境可分成電子化及輔助電子化兩種。電子化運作假設虛擬社會與政府電子化公文處理、輔助電子化運作為傳統作業程序下增加獨立運作設備並搭配人工與電腦雙可讀文件；輔助電子化運作可視為電子化運作的過渡期或是傳統運作下所附加的電子文件與運作輔助。構像(Vision) 運作如下:

電子化運作:

1. 感應國民卡、點選申請服務

2. (結合步驟2與3)在電子化身份驗明後

3. 開立證明書(可能以電子化的形式)

　

輔助電子化運作:

1. 感應國民卡、點選申請服務

2. 列印人員與電腦可讀之申請書

3. 傳統的人員身份驗證(輔助以電 子化身份驗證)

4. 開立人員與電腦可讀之證明書

兩者運作機制對申請者而言就如同自動提款機的便利而整個驗證與處理流程也將加速。其中電子化運作更可運用虛擬的概念從事全時全地的服務，是一個理想的運作驅勢。然而，電子化運作需龐大的投資、資訊電信社會運作環境的配合以及較大幅度的法令修改、輔助電子化運作則是基傳統作業程序下增加獨立運作輔助設備，投資較小且可搭配現行之臺灣社會以及較小幅度的法令修改，並以此為基石作為踏入電子化運作。

4. 研究目的

如上所述，國民卡在整個推行過程中，所引起的運作機制與資料安全、個人隱私權及政府相關法源依據等爭議，並提出我們的看法與建議。再者，則是探討，在保障個人隱私權、國內資訊安全技術及管理能力，以及對相關資訊政策及法制等因素的考量評估之下，擬定國民卡推動策略與其運作安全與法源規劃修正的問題，以下就政府所提倡的國民卡規劃方案中，引出最大爭議的「身份健保合一」、「指紋辨識功能」、「電子商務」及「國民卡專案整體委外經營(BOT) 」四部份進行更進一步的探討。

1. IC智慧卡的探討

一、IC卡的分類

依國際標準組織(ISO)的定義，只要封裝有積體電路的磁卡一律通稱為IC卡。若依IC卡的積體電路功能加以分類，則可分成下列三種：

1. 智慧卡(Smart Card)：卡片內所封裝的積體電路是由微處理器(MCU)和記憶體所組成。
2. 記憶卡(Memory Card)：卡片內所封裝的積體電路只含記憶體的單晶片卡片。
3. 特殊功能卡片(Super Smart Card)：除在卡片內封裝有含MCU和記憶體的積體電路外，並在卡片表面上附有按鍵和顯示功能。

2. IC卡的硬體架構

封裝在卡片內的積體電路包含MCU和記憶體，並對外提供八個金屬接點(依ISO)規格。接下來對MCU及記憶體的功能加以介紹：

1. 微處理器(MCU)內包含了

n 作資料傳輸用的I/O

n 儲存程式的ROM

n 處理資料用的RAM

n 執行程式的CPU

2. 儲存資料的資料記憶體(一般稱為EPROM和EEPROM，目前容量約為2~8K bytes)

2. IC卡的軟體架構

IC卡是以接收外界的一個命令，依據命令執行適當的程式處理資料，最後將結果回應給外界。晶片作業系統(COS)是燒在MCU內部ROM上的程式，以便控制IC卡的各項運作。IC卡包含下列四種功能的常式程式，組成各種不同的命令：

1. 通訊傳輸：IC卡利用一個I/O接點作為和外界通訊傳輸的管道，而ISO也訂定了IC卡的通訊傳輸協定標準。
2. 記憶體管理：諸如資料的讀取、寫入或更新都需要常式程式的管理。
3. 檔案系統：由於IC卡的資料記憶體容量較磁卡大的多，因此一般是以檔案結構的方法來分配使用該記憶體。每個應用擁有自己的檔案，如此便可多個應用期用一張IC卡(一卡多用) 。
4. 安全控管：透過CPU執行各種安全控管的演算法，如驗證(Verify)、認證(Authenticate)、加密(Encipher)、解密(Decipher)、電子簽章(Digital Signature)等。

2. 國民卡的硬軟體架構與資訊安全

依目前國民卡規劃依採記憶卡的形式，儲存上述四種純原始資訊(明文)。 如此規劃是低單價，但對重大個人資訊無法進行保護。理想安全國民卡設計應是智慧卡(Smart card)的形式以主動的方式進行儲存資訊的讀、寫、或加/解密進出控管(Access control) ，並對儲存上述四種資訊(明文)採用對稱式或非對稱式加密的形式以保護重大個人資訊。

1. 國民卡方案之功能面探討

如圖四所示，研考會規劃國民卡的資料分成四種：分別為(一)個人基本資料(如現有身份證的所有資料: 配偶、戶籍地住址皆有)、(二)健保資料、(三)個人特有之識別資訊(現規劃為指紋特徵) 、(四)電子商務應用資訊。其中較以身份健保合一後作業流程與社會環境配合程度、[個人特有之識別資訊]採指紋資料錄存方式、電子商務應用範圍及國民卡資訊作業的委外經營方式等四個議題備受爭議，故以下就這四點進行更深一層的探討。

1. 身份證與健保卡合一

1. 國民卡專案規劃情況：

1.IC卡記憶體規劃：

國民卡是採「兩證共同發卡」的方式，把身份證及健保卡同時存放在同一張ＩＣ卡的不同記憶空間上，而不是把兩張證卡的資料混在一起。

在國民卡專案的規劃內預計運用卡片登載之顯隱資料辨識確認持卡人之身份屬性。其中顯性資料(如圖三)包含有姓名、身份證字號、出生日期及照片影像。隱性資料在戶政資料部份分別包括了性別、出生地、發證日期、發證機關、初補換註記、照片影像、戶籍地址、役別、父母名、配偶姓名、領票記錄等；在全民健康保險資料部份分別包括了保險人代碼、健保有效期限、保險對象身份註記、遺失補發註記、重大傷病註記、重大傷病有效期限、健保就醫限制次數、健保就醫累計次數、預防保健累計次數、特定診療累計次數、就醫記錄十二筆、預防保健、特定診療項目等。

2.國民卡使用流程描述：

未來國民卡在當作就醫憑證使用時，在各相關機構的應用大致如下：

• 民眾於特約醫事機構就醫時，於所持之國民卡寫入就醫記錄，同一份記錄透過國民卡之押碼後，存於特約醫事機構之讀卡設備後批次傳回健保局。
• 民眾在就醫滿十二次或每年持國民卡至各讀卡設備進行重新啟始之動作，該讀卡設備將線上查詢持卡人是否為有效被保險人。
• 民眾在取得投保資格後，能持國民卡至各讀卡設備進行開卡啟用健保功能。
• 由健保局授權之讀卡設備寫入國民卡健保有效期限、保險對象身份註記及重大傷病註記。

(2)技術面探討：

• 讀卡設備設計: 依上述流程推之規劃之讀卡設備有健保資料有讀出(read)與寫入(write)的權限，如此設計會有就醫之行政處理(如就醫掛號)中，洩漏重大資訊以致侵犯個人隱私。可修正為只對建保行政處理相關的資料只有讀出(read)權利，對欲寫入之就醫資料如果要更加強對個人隱私的保密，可採用非對稱性加密方式(下節說明)防止就醫資料外洩。
• 線上查詢設計: 要合乎線上查詢的要求，讀卡設備就要長時間在連線狀況(on line) ，如此設計對就醫機構而言是經常維持費的支出，費用不少。可增加設計一些降低其功能但能離線獨立作業的設備，供備用或小型就醫機構使用。
• 就醫身份驗證設計:如圖五，一般驗證流程是採用傳統外顯式相片資料的驗證方式，若要加強驗證可採用如個人特有之識別資訊的驗證方式，或是民眾慣用之密碼保護方式。
• 資料需求與設備防護: 內儲健保資料中最具爭議的是重大傷病資料，原始規劃是想幫助醫生對病友有身體狀況的了解，或是緊急狀況的處理。雖說可以特定授權方式(如醫生卡)只讓醫生讀出(read) ，但如此設計是強迫性(即任何醫生皆可知道)且增加運作的複雜性可考慮棄之。其次達更好的防護、讀卡設備的防護可由具有公信力的機構定期檢驗，以確保讀卡設備的安全。並使用類似防止大哥大被盜打的安全技術，必須插入政府認可的安全晶片(security access module，SAM)以及依照不同使用目的的身份控制卡片才能啟用。

(3)法律面探討：在國民卡規劃方案中將身份及健保功能合一引起的法律問題，以下乃相關討論：

• 健保法

國民卡規劃方案：國民卡專案，是將現行之國民身份證及健保卡兩者合一在ＩＣ智慧卡上。國民卡是採「兩證共同發卡」的方式，把身份證及健保卡同時存放在同一張ＩＣ卡的不同記憶空間上，不是把兩張證卡的資料混在一起，國民卡上會印有「中華民國國民身份證」字樣，也會有健保醫療憑證的圖樣設計，因此是一張中華民國國民都可以擁有的「國民卡」。

與現行法律相違背處：健保法第三條規定『被保險人至醫療機構就醫時除須出具保險憑證外，並應出具國民身份證或其他足以證明身份之文件』。此法並無授權行政機關以晶片卡取代保險憑證和身份證及相關身份證明文件；更無授權行政機關製發國民身份證與健保卡兩卡合一的國民卡。

(4)具備身份及健保功能之優缺點討論：

1. 優點：

• 與現有系統比較可提供民眾更方便，風險更低的的身份識別證卡。
• 兩證共同發卡，簡政便民，使民眾享有卡證簡化、戶政單一窗口全程服務、健保卡一卡到底之便利。
• 運用IC記憶體之儲存特性，便利個人資料之處理，將有助於政府及民間各界以插卡讀取基本資料達到免填書表之目標，進而促進流程簡化。
• 可收集醫療資源使用的詳細情況，對醫療資料作有效的控制，避免不必要的浪費。
• 帶動IC卡產業之興起。

1. 缺點：

目前規劃:

• 個人資料外洩風險。
• 個人隱私的侵犯。
• 國民卡成本高。
• 連線讀卡設備普及與費用高。

擬定之規劃:

• 國民卡(智慧卡級)成本較高。
• 多種類國民卡讀卡設備 。

1. 指紋資料的錄存

任何一張的識別卡，安全防護上的最嚴重問題是持卡人與卡上所載之人是否相同的人卡合一問題。金融卡利用四位密碼與最多嘗試三次的方式來解決，雖不滿意但也可接受(自由意願下) 。傳統身份驗證是靠第三者實施相片驗證，然而，如此方式有相片老舊及第三者因故意或像貌相似而誤判。所以[個人特有之識別資訊]是一種相當適合的驗證方式。[個人特有之識別資訊]依學者研究有指紋特徵、語音、視網膜、與DNA等具有唯一性。其中若考慮經濟與實用性，就以指紋特徵為最佳。如下是規劃之狀況與爭議討論處:

1. 國民卡專案規劃情況：

在國民卡規劃專案中，預計放入國民卡的內隱資料除了人民的基本資料外，另外將是納入兩枚指紋特徵檔，但不會納入整個指紋，亦即不會是整個指紋圖案，而是有左右兩拇指指紋特徵的文字介紹，可以避免指紋被盜用的問題。國民卡存放的指紋特徵資料，只限定做為治安等少數單位使用，做為無法從照片上直接辨識當事人身份時的輔助性工具，絕不會成為所有政府機關辨識國民身份的主要工具。

2. 技術面探討：

政府是要把指紋特徵而非指紋影像，放置於IC卡內，以輔助身份辨識的工作，所以辨識的精確度就相當重要。

衡量指紋機的辨識準確度的指標有兩個：錯誤排斥率【False Rejection Rate， 簡稱 FRR】，與錯誤接受率【False Acceptance Rate， 簡稱 FAR】。錯誤排斥率是指紋機辨識不出我的指紋的機率，而錯誤接受率則是指紋機把別人的指紋錯認為我的指紋的機率。研考會的『「國民身份健保合一智慧卡」專案徵求建議書文件』中要求的規格是 FRR < 0.5% 2 trial；FAR <1/100000。根據這個規格，指紋機連續兩次誤判我的指紋與我的國民卡上的「指紋特徵」不符的機率達200分之一。

3. 法律面探討：

• 戶籍法

1. 政府發給國民身份證的法源依據係依戶籍法第七條第二項：「國民身份證及戶口名簿之格式，由內政部訂定」之規定。至於身份證上應該包括哪些類型資料，事關憲法所保障的隱私權，必須由立法機關透過立法來決定。
2. 戶籍法第八條規定『人民年滿十四歲者，應請領國民身份證，未滿十四歲者，得申請發給。依前項請領國民身份證，應捺指紋並錄存。但未滿十四歲請領者，不予捺指紋，俟年滿十四歲時，應補捺指紋並錄存。請領國民身份證，不依前項規定捺指紋者，不予發給。』。此法並未授權行政機關將指紋放入國民身份證中，亦無授權將指紋放入國民卡中，在其解釋上，此項規定是指在戶政機官按存指紋，作為人民請領身份證的前提條件，而非要求在身份證上也得存放指紋。(資料來源：國民卡專案RFP，87/6/10)

1. 國民卡加指紋特徵驗證之運作:

政府機構對民眾申請之重大事項，需輔以指紋特徵的驗證以輔助或加強傳統相片驗證的錯誤，如果辨識產生錯誤排斥率(FRR) ，則必要經過另一第三者作驗證，或增加額外文件來加強驗證。此外指紋特徵的驗證加上下節所提之電子簽章更可安全地利用網際網路來處理事務。

國民卡採用指紋特徵而非指紋影像，就在記載指紋特徵與登錄指紋特徵比對上或許可以，但對犯罪疑犯比對上(多對1)因指紋特徵精準度不夠，而至幫助有限

2. 指紋資料存錄之優缺點討論：

1.優點：

• 將指紋同時建置於國民卡內，建立全民完整指紋資料庫，有助於國內治安整治與科學辦案。
• 對民眾申請之重大事項，加強驗證。
• 為24小時辦公的政府，提供更安全的條件。

2.缺點：

• 將指紋納入國民卡內，就法律的觀點而言，會對人民人格造成侵害。
• 傳統罪犯才捺指紋的觀念較難突破。
• 指紋特徵所能表達之精準度不夠。

1. 電子商務

訊息的加/解密，除了不為第三者所知外，最重要是訊息要所聲稱的人或事的正確性。RSA在對稱性的加/解密外，提出非對稱性的加/解密方式，這種方式對每一個人有兩個鑰匙分別是私有鑰匙(secret key)及公眾鑰匙(public key)。一方要傳訊給另一方時，使用對方的公眾鑰匙加密產生所謂電子簽章，在收訊時只能用自己的私有鑰匙解密(如此可確保所聲稱的事的正確性) ，而用自己的私有鑰匙加密之訊息，在收訊時只能用自己的公眾鑰匙解密(如此可確保所聲稱的人的正確性) ，而管理這些公眾鑰匙的地方就是認證中心，非對稱性的加/解密在非專有網路(如Internet)從事商業上的行為有其重要性，然而，規劃中的國民卡又如何?

(1)國民卡專案規劃情況：

卡片內至少應存放一份專為電子化政府業務個人網路上身份識別用的電子憑證(如私有鑰匙)，且其認證中心必須由政府有關單位監督。

1. 卡片除提供電子簽章的功能外，應該再提供電子憑證驗證(verification)功能。
2. 卡片應提供資料加解密(encryption/decryption)功能。
3. 卡片應提供數位信封(digital envelope)功能。
4. 卡片應提供金鑰自行產生(key generator)功能，也可由外界產生再寫入，且金鑰是不允許被讀出的。
5. 資料加解密用的金鑰，包括數位信封用的金鑰，應具有金鑰代管(key escrow)的工作，並且此代管機構必須由政府有關單位監督。

(2)技術面探討：國民卡包含電子商務功能涉及之相關技術有:

1.資料加／解密技術(Encryption／Decryption)：

加密(encryption)技術經常牽涉到使用一組密碼與受加密資料的混合運算，將該密碼摻入資料中，以產生受加密的資料，未加密前的資料稱作明文(plaintext或cleartext)，加密後資料稱作暗文(ciphertext)。無論對內或對外的各類通訊，在公眾網路，資料加密是唯一可令覬覦者不得其便的妙法。

目前常見的技術有對稱性的加/解密與非對稱性的加/解密方式。利用對稱性的加/解密時，雙方皆須持有相同的鍵值(鑰匙)對所傳送的資料加密、解密(如圖6a)，缺點在於任一方皆不能完全確定另一方是否已有意、無意將鑰匙透露予第三者。利用非對稱性的加/解密方式則無此缺點，一方要傳訊給另一方時，使用對方的公眾鑰匙加密，在收訊時則使用自己的私有鑰匙解密，公眾鑰匙雖無一把 鑰匙共享的問題，但它的缺點在於它須要較高的運算能量(如圖6b)。

2.公開金鑰(Pubic Key)演算法

國民卡使用到的加解密技術，是以國際上各界公認相當安全的RSA密碼方法為主，它的鑰匙長度不定，普通是512 bits，若考慮效率，可選擇較短的鑰匙，若考慮安全，可使用較長的鑰匙，其基本運算區塊長度也是可變的，但明碼區塊須小於鑰匙長度，暗碼區塊則等於鑰匙長度，由於RSA速率較一般的秘密鑰匙演算法還慢，故較常用於加密較短的訊息，或對秘密鑰匙加密保護，再以秘密鑰匙加密訊息或用於數位簽名。國民卡專案中，規劃的金鑰長度為1024 bits，同時為了因應今後密碼安全技術的創新，政府也規劃預留升級的空間。

RSA演算法的基本概念是，任意選擇兩個極大的質數p及q，並令：

n = p · q

Φ(n) = ( p – 1 ) · ( q – 1 )

再選擇一個與Φ(n)互質的值e，並尋找一值ｄ，且滿足：

e · d = 1 mod Φ(n)

如此，公眾鑰匙即是n、e的配對，標記為 ( n , e )，私有鑰匙為n、d的配對 ( n , d )，在產生了鑰匙對之後， p、q兩值已無用處，應予以拋棄。

加密時，假設m為明碼訊息，可將它視為一極大數，則暗碼訊c的求法是：

c = m ^ e mod n

解密時：

　　　　　　 m = c ^ d mod n

RSA演算法就是這樣。

3.電子數位簽字技術(Digital Signatures)：

乃是祕密鑰匙演算法對訊息的驗證值加密的技巧，除了可防止訊息遭竄改外，該加密後的驗證值也成為一種數位簽名。數位簽名的功能有三，它證明了信的來源、檢測信件是否遭竄改，及發信人無法否認曾經發過信。

假設某用戶A剛完成了一封電子信件，收件人是B，A根據該信件的內容產生一組驗證值，接著以自己的私有鑰匙對該驗證值加密，產生一組數位簽名，之後用B公眾鑰匙再加密並將該密文附信末(通常信件的內容亦利用對稱式加密)，之後寄出，B收到信後先利用自己的私有鑰匙先解密，之後再用A的公眾鑰匙解開該信的數位簽名，若順利無誤，B即可確定該信的確是來A，接著B計算該信的驗證值，若發現與數位簽名內附的值相同，表示該信內容未遭竄改，由於僅私有鑰匙的持有者可發出這樣的簽名信件，故發信人亦無法否認該信確是他發的這事實。

1. 法律面探討：在國民卡規劃方案中有和電子商務相違背之處，以下乃相關討論：

• 憲法

國民卡規劃方案：「國民卡」專案係依「行政院所屬各機關資訊業務整體委外作業實施辦法」規定辦理，政府不投入財力資源，以公開評選方式，選擇一個經營團隊提供整體性的技術服務，由承作業者負責建置相關軟硬體系統，涉及公權力者仍由政府人員負責。國民卡整體委外案，只是政府以無償方式把資訊技術服務業務委外，並非把公權力委外（例如身份認證、戶籍登記等），並未違背稽察條例的規定，也符合將於八十八年五月一日正式實施的政府採購法精神。

與現行法律相違背處：憲法第一百四十四條『公用事業及其他有獨佔性之企業，以公營為原則』。國民卡委外業務由單一業者承攬，由於國民卡上剩餘的IC記憶空間隱藏了太多的商機，可能引發電子商務和簽章壟斷問題。如果只由一家業者經營IC卡上的剩餘空間，可能會發生獨佔或壟斷的情形。同時如果企業有機會接觸到個人資料，對民眾而言太過危險，政府若要委外經營，至少要由己有信譽的財團法人來執行。

• 電腦處理個人資料法

國民卡規劃方案：根據國民卡規劃方案主要目標之一〝透過發行國民卡整合相關之識別證卡，達到全民一人一卡〞。

與現行法律相違背處：(1) 電腦處理個人資料法第七條『公務機關對個人資料之蒐集與處理須有特定目的，同時符合1.法令職掌必要範圍內2.經當事人書面同意3.對當事人權益無侵害之虞等情形』。目前國民卡計劃將分屬於不同行政機關掌管之個人身份、健保、指紋和簽章資料，未經當事人同意納於一卡，己有違反電腦處理個人資料保護法之嫌疑。(2) 電腦處理個人資料法第十七條『公務機關保有個人資料檔案者，應指派專人依相關法令辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或遺漏』。然而在目前資訊科技下是否能夠獲得完整之保障，相當具有爭議性可言。

• 電子簽章法

國民卡規劃方案：根據國民卡規劃方案之系統應用原則之一〝除國民身份證及健保卡所需記憶空間之外，其餘空間可作為發展電子商務之基礎〞。

與現行法律相違背處：政府所研擬的『電子簽章法』草案才剛出爐，預定明年二月送立法院審議，法未行前電子簽章己規劃為國民卡可選擇的功能，正面看來是具前瞻性，但是卻是決策欠缺周詳。並且遺失國民卡所導致的公務瑕疵，以及個人財產損失，在相關法制闕如的現狀下，恐是由當事人自行承擔風險。(資料來源：國民卡專案RFP，87/6/10)

1. 具備此項功能之優缺點討論：

1. 優點：

• 作為進入網路社會的安全橋樑，讓民眾安心享用網路帶來的便利。
• 帶動電子商務的發展，提升我國資訊應用能力。

1. 缺點：

• 民眾尚未養成上網報稅、購物、申報戶籍等電子商務功能的習慣。
• 認證中心與資料加密安全性問題尚未成熟。
• 電子簽章只能證明所聲稱的人或事正確性、但無法證明使用人與所聲稱的人是否合一。
• 政府功能與電子商務的應用的關係緊密度不足。

國民卡電子商務應用的規劃是一個理想高於現實的規劃、除了有上述缺點外、最重要的是其功能與民眾與政府互動使用的情況緊密度不足、故所能應用的時候亦不多(也許是一年一次上網報稅)、更何況有些狀況在特定網路上(如中華電信上)可以更簡單方式來運作(如電話語音、E-mail或是對稱式加/解密) 。

1. 資訊作業委外經營(BOT)

「國民卡」專案係依「行政院所屬各機關資訊業務整體委外作業實施辦法」規定辦理，採整體委外方式並由民間投資建置營運，政府不投入財力資源，以公開評選方式，選擇一個經營團隊提供整體性的技術服務，由承作業者負責建置相關軟硬體系統，涉及公權力者仍由政府人員負責。國民卡整體委外案，只是政府以無償方式把資訊技術服務業務委外，並非把公權力委外（例如身份認證、戶籍登記等），並未違背稽察條例的規定，也符合將於八十八年五月一日正式實施的政府採購法精神。

雖說將「國民卡」整體委外建置並由業者營運，符合相關辦法。但考量「國民卡」運作，需要常態性營運與維護，乃屬電子商務應用部份，這部份牽涉獨佔與有機會接觸到「國民卡」其他資料的疑慮。如憲法第一百四十四條『公用事業及其他有獨佔性之企業，以公營為原則』，「國民卡」電子商務應用營運委由單一業者執行，由於國民卡上剩餘的IC記憶空間隱藏了太多的商機，可能引發電子商務和簽章壟斷問題。如果只由一家業者經營IC卡上的剩餘空間，可能會發生獨佔或壟斷的情形。

再則如果企業有機會常態性接觸到個人資料，雖說有所規範，但對民眾心理與認知上會對資料安全有所疑慮。所以「委外營運」並不是一個好的策略，若要政府基於財政的考慮，「委外營運」至少要由準政府機構(信譽的財團法人)來執行。

1. 採資訊作業整體委外建置並營運之優缺點討論：

1.優點：

• 採政府業務委外經營，政府不需增設組織及人力，可降低政府財務支出。

2.缺點：

• 電子商務的應用有與政府功能上不配合及獨佔的疑慮。
• 由於「國民卡」關係到所有國民基本資料，其功能涉及隱私及安全，採取委外經營方式惟恐資料外洩。

1. 國民卡策略與運作規範

經過上述的討論後，我們提出新「國民卡」規劃：內儲資料刪去電子商務的應用、健保資料上刪去重大傷病註記資料、外顯式資料可增加戶籍地址。另外可考慮增加駕照資料以達三合一的境界。國民卡內儲資料可採對稱性的加/解密與非對稱性的加/解密方式、並進行內儲資料與讀卡機構的進出權限管制(Access Control) 、運作規範規劃如下:

至於推動國民卡的策略應考慮就醫機構的配合程度與民眾的觀念，在現有資訊環境基石上推動一小步然後在反覆修正與推動，基於此我們擬定如下推動策略:

• 先推動個人基本資料與健保資料「國民卡」整合，設計降低功能獨立作業的讀卡設施(有些功能類似打卡鐘)或連線式讀卡設施等多樣「國民卡」進出(access)設備，加強宣導「國民卡」上個人特有識別資訊方面對個人保護，並在時機成熟時加入的在採用指紋或密碼保護。
• 另因考慮「國民卡」為政府監管功能的整合，所以應增加整合性質類似的駕照的監理功能。
• 內儲資料可採對稱性的加/解密與非對稱性的加/解密方式，並進行內儲資料與讀卡機構的進出權限管制

如果加入駕照則國民卡外顯式的資料如下圖身份證號、相片、姓名、出生地、戶籍地住址、及駕照資訊等較。而晶片儲存的內隱式的資料目前規劃分成四種：分別為(一)個人基本資料(如現有身份證的所有資料: 配偶、戶籍地住址皆有)、(二)健保資料、(三)個人特有之識別資訊(階段性為指紋特徵) 、(四) 駕照資訊。

1. 結論與建議

政府所規劃的「國民卡」專案，這樣的政策將對全國國民身份、戶政、甚至金融交易都將產生重大的影響，尤其在個人隱私和社會環境方面更引起莫大的反彈，試探究其反對聲源主要是來自於以下幾方面：資料登錄範圍及方式、指紋資料錄存方式、資訊安全及資料保護、資訊作業的委外管理、專案執行之監督、電子商務應用範圍及市場兢爭、相關法令等。

以目前的技術而言要克服資訊安全及資料保護並不是不可能之事；目前政府也規劃將此一專案承攬由政府全盤負責；而違反法律之處，正有待於立法機關加緊腳步，修正法條以配合國民卡專案的實行。然而主要面臨的問題點仍在於要如何克服國人對於個人隱私資料公開的不安全感，且我國國民上網人數雖已突破300萬大關，但真正有上網購物、報稅等經驗者實在是少之又少。因此本研究在此針對國民卡提出幾項建議：

• 「國民卡」結合身份及健保功能的確能夠為民眾本身及政府行政方面帶來許多的方便之處，但是根據政府原先規劃的資料登錄範圍有其須修改之處，其登錄資料內容需在個人隱私及政府所需個人資料中尋求一個平衡點。
• 「國民卡」結合電子商務功能方面:由於國人對於電子商務的應用功能缺乏以及且相關環境技術也尚未完全成熟。最重要的是電子商務的應用與「國民卡」的識別為主的功能結合性太差，與政府所要伸展的管理功能亦有很大的差異因此要審慎考慮。
• 「國民卡」中的個人特有之識別資訊設計中，規劃指紋特徵可能因能表達之精準度不夠，不能有助於其應用可考量使用指紋影像，並且在採納民眾指紋中採用非紙上(機器上)採納方式，以降低民眾排斥。
• 「國民卡」考慮增加駕照的監理功能以增加其整合功能。
• 整個建置「國民卡」的作業，應由政府編列預算，採委外方式(Outsoucing) ，且委外過程與作業設計，皆要有政府相關人員與公正第三者專家參與。

• 「國民卡」考慮增加駕照的監理功能以增加其整合功能。

• 應加強宣導「國民卡」的便利性、安全性以讓大眾都能夠對此一型式的國民卡深具信心。

國民卡要實際的推行，並非不可能之事，而是在於這張國民卡具備的功能及內容是否為國民真正需要的，且能夠達到為民、便民的目的。也期透過完善、嚴謹的國民卡規劃，將一卡多功能的設計，能徹底發揮功效，使卡證簡化、戶政單一窗口全程辦理，並經由IC記憶的功能，更能促使政府、民間普遍利用國民卡，揚棄煩瑣填寫書表的要求，達成電子化、網路化政府的目標。

參考文獻

【中文書籍雜誌資料】

[1]“聰明的卡片──IC卡徹底剖析”，新電子，民國83年7月，頁163~169。

[2]洪成勳，“卡〝通〞片中的傳奇──IC卡”，新電子，民國83年7月，頁170~179。

[3]“台灣IC卡發展概況（上）”，產業經濟，第139期，頁1~26。

[4]“台灣IC卡發展概況（下）”，產業經濟，第141期，頁19~36。

[5]國民卡專案徵求規劃書(RFP)，民國87年6月。

【網站資料】

[6]陳正然等六人，“國民卡計畫的是與非：我們的十大質疑”，http://nature.csie.ntu.edu.tw/。

[7]王大為，“我們對「國民卡」的看法及建議”， http://www.newimage.com.tw/safe/

[8]傅立信，“廿年研發，法國智慧卡仍難保病人隱私，我們的國民卡呢？”，87/8/25聯合報。

[9]行政院研考會，http://www.gsn.gov.tw/eng/ICcard/

[10]反國民卡討論區 Protest against Citizen Cards：http://www.newimage.com.tw/

[11]反國民卡行動聯盟：http://nature.csie.ntu.edu.tw/

[12]中央研究院反國民卡相關資訊：http://www.iis.sinICa.edu.tw/~hoho/bookmarks/ccard.html