黃委員世杰：（12 時 40 分）部長好。今天安排內政部的業務報告還要審查法案，我想先針對業務<br />
報告就教。這幾年有一項數位身分證議題，可說在內政部與內政委員會反覆談論，我看到內政<br />
部今年度的施政計畫裡還是有配合數位身分識別證專法推動換發作業這一項以及相關預算，我<br />
想再次向部長確認，關於這件事在這一年內有專法擬定的期程或計畫嗎？<br />
主席：請內政部林部長說明。<br />
林部長右昌：目前沒有。<br />
黃委員世杰：目前沒有，是不是？<br />
林部長右昌：對。<br />
黃委員世杰：所以這筆預算是編來預備而已？<br />
林部長右昌：這筆預算應該是之前一些設備採購的維護費用。<br />
黃委員世杰：好。<br />
這是 2 年前內政部的新聞稿，內容也提到依照行政院會決議，等專法制定後再依法辦理。我<br />
想數位身分證在非常多產業及數位發展方面是很重要的項目，同時也因為個資與資安疑慮，社<br />
會上有相當大的異議。但也不能把這件事情永遠擺著，過了 2 年之後還是沒有任何進度，我覺<br />
得很奇怪，要的話就做；若是不要的話，就不要一直把這件事情留在預算與施政方向裡，因為<br />
等於放了一件空的東西，很奇怪啦！每年都這樣延續，卻都沒有進行。監察院的意思也一樣，<br />
這也是 2 年前已經做的調查報告，督促內政部關於這個題目應該有所作為，不管是釐清之後決<br />
定放棄這項計畫或者把專法完善之後繼續推動。<br />
我覺得大家對於這件事情的疑慮還是集中在資安與個資的管理上，那就會連結到其他範疇，<br />
事實上這件事不只涉及內政部層級，還包含數發部乃至於行政院，當時我們在審查數位發展部<br />
組織法時就談到，個資的專責管理機關與內政部要推動的數位身分證有很大的關聯性，但我們<br />
卻遲遲沒有看到內政部或相關部門針對這項議題有很明確、積極的動作以解決疑慮。<br />
關於媒體所整理的近年來公部門個資外洩事件─是公部門喔！像上次一些民間企業的外洩事<br />
件不算在內，光是公部門的重大個資外洩紀錄，內政部最近就占了 3 件。而且有很多狀況讓我<br />
們覺得非常憂心，第一是內政部一開始好像還搞不清楚狀況，還否認這些資料不是戶政資料，<br />
但調查局釐清之後發現確實就是啊！現在到底有沒有查出是經由什麼管道洩漏的？我們也還不<br />
清楚。特別是大家可以看看下面這些販售的金額，我們可以看到販售金額可說低得離譜啊！如<br />
果這些個資的真實性以及筆數這麼多，竟然還可以用這種價格兜售，就表示這些資料在相關市<br />
場上已經是人盡皆知、大家都有了，難怪詐騙集團得心應手，民眾的財產與交易安全幾乎可以<br />
說是裸露給這些犯罪者看。<br />
我想內政部手上握有最重要的戶役政相關資料庫，大概可比健保資料庫，對於民眾個資保護<br />
第 112 卷<br />
第 27 期<br />
委員會紀錄<br />
來說是責任最重的機關，所以內政部應該拿出態度來。<br />
林部長右昌：我向委員報告，你提到的 3 起戶役政個資外洩事件，其實基本上是同一個資料來源，<br />
所以並不是 3 起。第二個……<br />
黃委員世杰：所以你們已經查到了？<br />
林部長右昌：第二個，其實今天唐鳳部長也提到，戶役政資料外洩並不是因為戶役政資料庫遭駭，<br />
而是有人採用不安全管道，譬如透過光碟片等方式傳遞。所以並不是從內政部戶政系統漏出去<br />
的，而是其他機關單位在使用戶政資料時出了狀況與問題，而這部份我們已經做了整體改正。<br />
黃委員世杰：我知道你們修了相關辦法，但是這樣的說法正是讓我們覺得非常憂心的地方，這就是<br />
內政部在發生這些事件之後幾次對外說明的態度，諸如「不是從我這裡洩漏出去的」、「我們<br />
沒有被駭，所以這不算資安事件」、「我們有做資安通報，沒有關係」。但是民眾要看的不是<br />
這些，民眾要看的是他們的個資握在內政部資料庫手上，內政部要如何確保你們在使用、甚至<br />
開放給其他公務機關或所謂不安全單位使用時，有保護民眾個資不被外洩的手段？因為這些鑰<br />
匙、這些資料庫的管控仍是內政部的權責，你不能說是其他機關造成，因為若是其他機關向你<br />
們取用，應該也只是限定範圍、限定目的，甚至限定筆數的。但依我們所看到的外洩資料─雖<br />
然有點過時，是 2018 年的資料，但事實上大部分資料是不會變動的，譬如說年齡、出生年月日<br />
，這些都是不會變動的資料，這次外洩相當於全部外洩耶！由於是全部外洩，很難說服我們是<br />
經由間接管道流出去的，表示問題出在管控過程。<br />
在資安管理上，進用資料庫都應該留下紀錄，到底 copy 複製了哪些資料出來、access 存取哪<br />
些資料、欄位等等，你們內部都應該有相關資料，所以坊間一直在講，有可能是外包廠商的問<br />
題，也可能是其他機關的問題。可是如果內政部過了這麼久還是沒辦法把到底是經由哪條線洩<br />
出去的查出來，就表示資安管控有絕大的問題。<br />
林部長右昌：其實這部分司法在調查，也有清楚的方向，並不是委員剛才所提到的狀況。第二，有<br />
幾十個機關有使用我們的戶役政資料，過去的作法的確需要檢討，我們已經在行政院的指導之<br />
下統統改正了，包括三重驗證機制、傳遞管道、未來其他機關要向本部申請使用戶役政資料時<br />
的相關檢核，也包括所取得欄位，我們都已經重新檢討與律定。<br />
黃委員世杰：所以表示過去沒有，現在已經做了檢討？<br />
林部長右昌：是的。<br />
黃委員世杰：最後一點也涉及個資法與資安資通法的修法問題，坊間指稱，雖然現在正在司法調查<br />
，但是我們要事前預防、要威嚇，如果亂搞，例如進用不該進用的欄位或資料並傳遞出去，內<br />
政部必須抓得到，而且要有嚴厲的罰則，這部分可能不只是你們修正辦法就能做到的。由於目<br />
前公部門最大筆的外洩就是這個部分，所以內政部應該根據這個教訓提出相關法令的修法方向<br />
向行政院報告，由行政院主導來擬定相關罰則、漏洞及管理機制，還有讓所有可能進用到這些<br />
資料庫的相關人員在事前接受教育訓練時都要很清楚地知道這是非常嚴重的問題，而且絕對是<br />
資安問題，不能說資料外洩不是資安問題，雖然可能不一定是系統的問題，卻是系統性問題。<br />
這點請部長一定要有魄力地做為表率處理這件事。<br />
林部長右昌：是。<br />
第 112 卷<br />
第 27 期<br />
委員會紀錄