換發身份證與全民指紋資料庫之疑慮（李德財院士）

在工作忙碌之中，實在沒有心力去跟隨台灣媒體對於倪夏的狂熱。但是總也有時刻反省自己是否已經都脫離社會太遠？接下來我將貼出兩篇文章，都是工作環境中敬佩的研究員在工作之餘提筆論述，將自己的終極關懷（ultimate concern）與社會結合的例子。也算是期許自己不要埋在象牙塔的沙堆中，遺忘了社會。

換發身份證與全民指紋資料庫之疑慮

李德財（中央研究院院士，中央研究院資訊科學研究所所長）
2005年5月15日

最近因為內政部要換發國民身份證，對於是否要按捺指紋一事，弄得沸騰一時。行政院以「依法行政」為由，堅持如期實施。引發了不少爭議。

其實，行政院曾經提送戶籍法第八條修正案，要求刪除按捺指紋的規定。早在2003年4月7日立法院內政及民族委員會審查「戶籍法部分條文修正草案」時，當時的立法委員陳其邁、蔡煌瑯、徐中雄等39位委員也對該法條規定提出了修正案（詳立法院公報第92卷第25期）。不過迄今戶籍法第八條尚未完成修法。據此，內政部正規劃於今年7月1日國民身份證換發的同時，「依法」要求全民按捺指紋並錄存。

據報載，針對這項措施，不但行政部門（例如內政部與研考會），還有總統府與行政院，看法不一致（「換身分證捺指紋政院「拔刀」攔阻」），民間輿論（「大家一起來拒按指紋」）也有不同的聲音。支持者多以科技已經成熟，可以利用指紋辨識系統協助犯罪偵查維護治安，有助於災害事件中受害人的身份辨識等。這些「正面」的好處，雖然不盡然如此，我們大致表示某些程度的「認同」。過去有不少個案顯示指紋有助於破案，但這些個案只證明了『前科犯』指紋資料庫之好處。前科犯指紋資料庫和全民指紋資料庫之間，是有很大落差。即使法律明確規定警察可隨時查詢和利用，全民指紋資料庫能夠比目前已有的前科犯指紋資料庫多帶來多少邊際效益？是否真正能夠達到打擊犯罪？重大犯罪現場都會留下清晰可辨識的指紋嗎？警政署會因為有了指紋資料庫，就能夠有所作為，將一些懸疑之重大刑案破案嗎？層出不窮的詐騙案會因全民按捺指紋而煙消雲散嗎？我們能收錄到偷渡客的指紋嗎？他們不會構成治安的隱憂嗎？如果說，這些問題都得不到正面回覆的話，那麼，究竟什麼叫做全民指紋資料庫可以改善治安呢？我們對於把維護治安與建置指紋資料庫「劃上等號」之論述抱持保留的態度。

而建置全民指紋資料庫的「負面」論點，其可能帶來的後患，更值得我們深入探討。由於這是屬於全民的「生物特徵」資料，是無法取代的。一旦有資料管理上的「漏洞」，或資料安全的保護措施不當，遭人複製盜用，所造成的後果，可能不是我們可以想像，其法律責任也不是政府可以承擔的。用公權力強制要求按捺指紋除了有違反人民基本人權之虞以外，我們在此提出一些看法，請主事者慎重考慮。

一、指紋資料庫控管問題。

2004年的蕭榮祥案牽涉到警察、海巡人員、還有電信業者集體盜賣客戶資料。媒體和社會才警覺到我國在個人資料保護上有嚴重的漏洞。接踵而來的2005年假退稅和假綁票等詐財案層出不窮，這些詐財案都肇因於個人資料外洩，讓歹徒有機可乘。由於保護個人資料的觀念和作法不足，業者在個人資料管理上有漏洞，社會付出了相當慘痛的代價。

資訊安全科學的研究早就指出，人員的管理問題，是資訊系統的安全罩門。再縝密周詳的資安系統，也難以因應人員的管理失當，更何況資訊人員、資料管理鬆散的單位呢？2004年資訊安全科學一項重大的消息，是一套幾乎所有系統都賴以保護資料安全的機制，被中國山東大學的幾位學者破解！這項消息令全世界的資訊安全人員，人人自危。是否能有絕對安全的資訊保密系統的問題，也在資訊學術社群當中，引發相當多的討論。

政府透過公權力蒐集全民指紋資料並建檔，就附帶有責任必須要承擔管理風險，絕對不能流失。政府主管單位（例如健保局全民健保資料之保管），或者持有人民個人資料的民間單位（例如電信業者、金融證券業者）對於個人資料的管理能力不彰，全民對資料的保全沒有絕對信心。身份證件資料遺失，可以補發，指紋特徵資料如果流失被盜用，如何補救？透過公權力蒐集的資料流失，保管不當的法律訴訟，政府如何承擔？資料管理問題除外，政府對於資料庫系統之安全、資料本身之保密，資料透過網路傳輸之安全等措施是否具備齊全？

二、身份證資料、指紋資料之使用問題。

身份資料、指紋資料一旦建立電子檔，其建置、使用理當遵循「電腦處理個人資料保護法」的使用規範。我們個人資料保護法雖然通過有年，但是落實的情形卻是非常不理想。甚至政府單位也「違法」。「戶政司」掌管的戶籍資料，其目的原本是戶籍行政管理，何以警政署可以任意拿來協助處理犯罪偵查？電信業者的通聯記錄，都得經過法院授權，才能交給警察單位，更何況是全民指紋資料庫？在沒有訂定指紋資料的使用規範，沒有配套措施之前，就強制要求全民按捺指紋並「錄存」，令人質疑其適法性。如果以後政府部門，甚至民間金融單位，由於有指紋等生物特徵資料可以作為身份辨識，考慮將其納入處理業務的認證資料之一，要求民眾繳交指紋資料做身份確認，就像現階段要求民眾繳交身份證正、反面影印本的案例，比比皆是。萬一資料保管不當有流失，仿冒、盜用的情事必然發生。甚至犯罪集團也可能為了盜取「指紋」資料，而有「砍手指頭」的犯罪傷害行為，這絕對不是內政部強制要求全民按捺指紋所預料的到的！是否還有其他預想不到的使用行為，我們不得而知。但是這種讓無辜百姓受害的風險，政府如何承擔？

三、失智老人協尋、性侵害防制、犯罪偵查、失蹤人口協尋，飛機失事等重大災變受害人員身份確認等與指紋關係。

這些事務要使用指紋資料，也必須立法明確授權，而且也必須遵守比例原則，不應該強制全民指紋建檔。即使立法，也應該讓百姓充分擁有自主選擇權，選擇是否願意提供個人指紋資料，以利意外事件的處理。讓民眾有自主選擇，是民主法治國家尊重人權的基本觀念，我們希望政府建立此一機制，明訂指紋等生物特徵資料之使用辦法，讓民眾充分自主。

結語

我們對警政署和內政部維護治安和維護弱勢同胞的權益等目標所做的努力感到佩服與欣慰，但是對於警政署和內政部官員屢屢對媒體誇大全民指紋資料庫之效益的作為感到很不以為然。身為一個科學家，我們必須指出，在訂了「打擊犯罪，維護治安」的目標之後，就得接著明確訂出績效指標。例如，降低犯罪率和提昇破案率。我們不曾見過內政部就建置全民指紋資料庫這項手段，如何有助於提昇這些績效指標，提出明確的證據。利用指紋辨識之高科技系統，固然可以完成身份辨識，進而帶來「便利性」與可靠度。但是，其前提是我們的指紋資料庫建置必須完整，指紋辨識系統不會誤判。我們憂心的是，指紋是無法更改的「生物」特徵資料，但是科學卻證明它可以輕易地被複製，並騙過為數眾多的指紋辨識系統。也就是說，有心人可以誤用或濫用別人的指紋，卻讓老實單純的老百姓背負後果。我們籲請行政院，除了注意到手段的正面效益，也要弄清楚手段的負面代價。在配套措施不完整的情況下，貿然執行此一「法律」，既看不到明確的效益，卻又可能帶來無法彌補的後患，主事者能不慎乎？

附錄：目前戶籍法相關規定

戶籍法第八條規定「人民年滿十四歲者，應請領國民身分證，未滿十四歲者，得申請發給。依前項請領國民身分證，應捺指紋並錄存。但未滿十四歲請領者，不予捺指紋，俟年滿十四歲時，應補捺指紋並錄存。請領國民身分證，不依前項規定捺指紋者，不予發給」

戶籍法施行細則第二十二條：「依本法第八條規定捺指紋，應以全部手指捺印。但無手指者，不在此限。」