NO.61 | 2019.11.29
banner
title開花結果 友善列印>>
赴新加坡參與Identity Week Asia 2019 Conference學習與心得_資通安全組黃政嘉主任、應用服務組 簡嘉儀助理管理師


  Identity Week Asia 2019 Conference已於10月8日至9日,在新加坡新達城國際展覽中心圓滿落幕,本屆活動有超過150名講者、60家廠商參展,並舉辦超過40場論壇。有鑑於身分識別議題越來越受到國際重視,以及亞太地區身分識別應用市場的快速成長,為推動及實施可信賴的身分識別解決方案,本次會議首次移師亞洲舉行,會議主要圍繞三大主題,分別為數位身分(Digital ID)、亞洲國家文件安全(SDW Asia)及生物識別(Planet Biometrics)。

  為研究及執行本中心所承接之「數位經濟下的身分識別與資訊安全計畫」,研究團隊成員由資通安全組主任黃政嘉及應用服務組助理管理師簡嘉儀代表,赴新加坡參與本次會議,希冀透過世界各國政府及國際組織在數位身分識別之應用、技術及安全防護機制經驗,作為我國在促進數位經濟發展下,於數位身分識別政策面與產業推動面之參考。本次會議除了汲取來自世界各國專家學者分享身分識別應用及生物辨識技術外,很榮幸能與新加坡政府科技署(Government Technology Agency,簡稱GovTech)法律顧問Vincent Kor交流該國在推動數位經濟之過程及經驗,獲得許多寶貴資訊,因此本文特別將新加坡發展數位識別之資訊及交流內容進行分享。

  新加坡政府科技署高級總監Kwok Quek Sin在本次論壇中,發表「與新加坡共建一個信賴的國家數位身分生態系統」,介紹新加坡數位政府及數位身分識別發展之過程,並且說明未來該國在數位經濟之發展趨勢。

  為提供人民便利使用e-Government服務,新加坡中央公積金局(Central Provident Fund Board,簡稱CPF Board)、財政部及資訊通信發展管理局(Infocomm Development Authority of Singapore,簡稱IDA)自2003年起啟動SingPass,新加坡年滿15歲以上的公民,可以透過線上申請SingPass ID後,未來只需輸入這一組帳號密碼,即可登入60個國家入口網站,辦理許多個人相關業務,例如報稅、公共住宅申請、結婚登記預約等,大幅提升民眾申請政府業務時的便利性及即時性,人民不再需要到服務機關排隊辦理,而僅需透過線上入口網站,即可完成許多服務。截至2015年為止,新加坡有超過300萬個SingPass用戶,平均每年有6千萬筆交易透過該系統完成 [1]

  然而為解決民眾資料散亂及存取單位龐雜,2016年新加坡財政局和科技局共同開發MyInfo平臺,將原本已在SingPass註冊的用戶也自動加入到MyInfo資料庫,資料庫所儲存的個人資訊包含身分證字號、地址及驗證碼等,並在2017年開放私人企業得使用MyInfo資料庫。

  有鑑於此,私人企業也可申請使用MyInfo平臺,獲取申請用戶的個人資料,但資料存取必須與私人企業有關的業務,例如民眾在申請銀行信用卡時,MyInfo平臺僅可提供銀行申請人財力證明資料,目前該平臺服務仍持續增加中,且服務範圍也逐漸擴展到私人企業[2]。另外,新加坡也在2017年12月推出CorpPass,政府透過電子化網路系統,提供企業服務所需之各種訊息,該項服務有利於企業對用戶的資料保存管理業務、簡化審核程序、提高企業業務推展效率等。

  隨著行動網路的日漸普及,新加坡在2018年推出SingPass Mobile App,並規劃於2020年全面運作國民數位身分證系統(National Digital Identity System,NDI),使政府與民間部門之間可以進行方便且安全的數位化交易。自2018年10月起實行「國家數位身分框架計畫」,新加坡國民可透過SingPass Mobile App申請、由國家認證頒發機構(National Certificate Authority,NCA)核發身分認證,即可登入各個新加坡政府網站取得所需之服務。SingPass Mobile用戶是經由二階段驗證(2-step Verification2FA),用戶透過指紋辨識、臉部辨識或6位數密碼登入,有別於過去SingPass,採用2FA雙因子認證方式,以強化個人資料保護。SingPass Mobile App可進行線上交易及報稅等,所涉及之敏感訊息不僅有基本加密功能,更可以防止竄改且無法被複製;此外,Singpass Mobile App還為消費者及企業設計了兩套不同的App,用戶可依據自身之需求選擇使用不同的App。
 

圖1:新加坡SingPass Mobile App註冊
(圖片來源:新加坡國稅局網站)

  新加坡政府規劃在2020年擴大使用NDI系統,邀請各國私人企業使用該平臺,並開發更多元化的加值應用服務。
 

圖2:新加坡NDI夥伴開發註冊入口
(圖片來源:新加坡GovTech會議簡報)

  民間企業也能依據NDI所定之API規範設計企業自身之網路服務平臺,一旦獲得批准串接該資料庫,即可與SingPass App連接,存取業者所需資料,進行數位化交易[3]。NDI以四項關鍵要素組合並依序運作,包括可信數據、可信身分、可信近用、與可信賴之服務,其中在可信身分部分,由國家認證頒發機構授予使用者個別的數位身分,用於公部門與民間部門數位服務之身分驗證,並採用公鑰基礎建設(Public Key Infrastructure,PKI)之加密安全技術。
 

圖3:新加坡數位身份大事記
(圖片來源:本研究整理)

  於本次論壇中,有機會與新加坡法律顧問Vincent Kor討論有關該國數位轉型之過程,Vincent表示新加坡政府從建置  SingPass、SingPass Mobile、MyInfo,到後續開發NDI的過程,皆為實現數位政府的施政藍圖。除此之外,推動過程中雖然技術架構及整體維運需要耗費大量的資源成本,但更重要的是國家人才及掌握外部資源。事實上,新加坡GovTech在成立之初,即延攬許多旅外新加坡籍工程師,這些工程師原先在Amazon、Google、Apple等大型跨國公司服務,而新加坡政府希冀借重這些工程師在跨國公司服務之經驗,協助發展相關技術。

  從本次會議及會後與新加坡GovTech討論有關SingPass和NDI技術瞭解到,新加坡對人民的個人資料保護及管理機制相當謹慎,制定有網路安全法、個人數據保護法(Personal Data Protection Act,簡稱PDPA);換言之,相關數位服務應用是基於法制完備下所推行之政策。然而,在新加坡政府仔細及嚴謹的管理下,仍有資安事件發生,例如2018年中新加坡SingHealth遭受到網路駭客攻擊,估計有150萬名患者的個人資料遭竊取[4],經事後調查該事件發現,SingHealth前端伺服器被植入惡意軟體,而新加坡整合健康資訊系統(Integrated Health Information Systems,簡稱IHiS)之網路安全負責人沒有即時回報資安意外事件,因而錯失避免網路攻擊的最佳時機[5],導致駭客成功竊取患者的資料,這案件也是新加坡史上最嚴重的資安事件,相關負責人也依該國《個人資料保護法》分別對IHiS及SingHealth進行開罰。本次論壇World Privacy Forum發表人Pam Dixon也警告各國,在數位經濟發展下建置的數位身分及生物識別的安全疑慮需要審慎防範,Pam Dixon表示,生物識別及數位身分的資料倘若外洩或遭受竊取,都將是一場無法挽回的災難。

  從目前新加坡推出的SingPass Mobile案例來看,未來手機結合數位識別技術,提供線上使用及申請應用服務將成為趨勢。此外,從該國經驗亦可發現,由國家主導將個人數據整合並建置於集中式資料庫,有助於提供單一窗口之服務,大幅提升便利性及即時性,民眾只需登入一組帳號密碼,即可辦理許多政府相關業務。

  由於國家級數位身分識別集中式資料庫儲存大量公民的個人資料,於規劃及建置時須多方審慎考量。以下綜整此次論壇及交流中,各國在規劃及建立數位身分識別系統及平臺時所考量之重點,以作為我國政府之參考:
  1. 普遍使用性:隨著智慧型手機日漸普及,新加坡於推出國家級數位身分識別時,結合智慧型手機App,除有效達到便利性之外,也可提升民眾使用率。
  2. 完整的資安防護機制:此次論壇主要討論數位身分識別系統安全之重要性。某些國家的集中式身分資料庫曾發生個資外洩案例,因系統儲存該國公民的機敏性資訊,故其管理面及系統面須有完備的資安防護機制,以避免人民的個人資料遭受竊取或不當使用。
  3. 厚植國家人才:因該系統為國家重要關鍵基礎設施,新加坡在建置MyInfo及整合NDI時,延攬多名旅居國外的新加坡籍工程師,並招募世界各國人才,共同投入資料庫整合工程,建議我國也可以參考新加坡,除了培育國內資訊安全人才外,也能廣納各國專業人士,以打造我國健全且完備的集中式資料庫。

圖4:與愛沙尼亞eID Domain Manager Margus Arm會後討論及合影
(圖片來源:作者攝影)
 

圖5:與新加坡GovTech法律顧問Vincent Kor會後討論及合影
(圖片來源:作者攝影)
 

圖6:出訪人員會後合影
(圖片來源:作者攝影)
 

[1] SingPass,<Enhanced SingPass:What you need to know and do>,Jul 8. 2015 https://www.singpass.gov.sg/singpass/common/article?newsIndex=7 (最後瀏覽日:2019年11月5日)
[2]財團法人資訊工業策進會,「完備資料開放與自主管理機制,建構數位國家發展基礎」,2016年12月,https://ws.ndc.gov.tw/Download.ashx?u=LzAwMS9hZG1pbmlzdHJhdG9yLzEwL3JlbGZpbGUvMC8xMDExOC8zOTQ2ZGI3NS01MzZhLTQ0MTgtYTdmNy0wZjc2ZWQ4NmVjMzAucGRm&n=5pys5pyf5bCI6aGMMDYt5a6M5YKZ6LOH5paZ6ZaL5pS%2B6IiH6Ieq5Li7566h55CG5qmf5Yi277yM5bu65qeL5pW45L2N5ZyL5a6255m85bGV5Z%2B656SOLnBkZg%3D%3D&icon=..pdf (最後瀏覽日:2019年11月5日)
[3] Smart Nation SINGAPORE, Smart Nation Progress, available at https://www.smartnation.sg/why-Smart-Nation/smart-nation-progress(最後瀏覽日:2019年11月5日)
[4] The Straits times,<Personal info of 1.5m SingHealth patients, including PM Lee, stolen in Singapore’s worst cyber attack>,Jul 21. 2018 https://www.straitstimes.com/singapore/personal-info-of-15m-singhealth-patients-including-pm-lee-stolen-in-singapores-most (最後瀏覽日:2019年11月5日)
[5] iThome,「新加坡SingHealth遭駭案,兩名員工因怠忽職守而被革職」,2019年1月16日,https://www.ithome.com.tw/news/128293(最後瀏覽日:2019年11月5日)