中華印刷科技學會名譽理事長 黃義盛
9月10日,台灣人權促進會、民間司改會及台灣受試者保護協會在立法院中興會館共同舉行「沒程序、沒隱私的數位身分證,民間團體訴請監委調查」記者會,他們訴求的重點是,內政部沒有完成數位身分證印製發細部規劃報告、完善民主參與程序外,就貿然的以限制性標案方式,委由中央印製廠(簡稱CEPP)得標,這有程序瑕疵疑慮,他們也憂慮數位身分證變成特洛伊木馬,有資安疑慮等問題。
同日內政部發出新聞稿解釋,New eID經過長達六年的研議與討論,並非倉促上路,而揭示New eID為智慧政府之基礎建設,僅結合自然人憑證,單純做身分識別,與個資蒐集、處理、利用脫鉤,據此原則進行細部規劃;而就採購程序,內政部也再次澄清,New eID有系統面及製卡面併行處理,基於安全考量,製卡面依採購法,標案屬專屬權利、獨家製造,沒有其他合適的替代標的者,採限制性招標,由中央印製廠進行卡片材料及製卡設備採購作業,完全符合政府採購法的規定。
我是支持新數位(eID)身分識別證換發的,因為數位時代的來臨,我們是沒有迴避的權利,看看電子媒體、網購、電子支付、網路銀行、維基百科等數位服務的快速發展,都改變了傳統的生活與經濟環境,這確實跟國家競爭力有很大的關係,即使印刷業也受到數位技術的衝擊是很大的。而就隱私及資安的觀點來看,政府就新數位(eID)身分識別證應用,限制在身份辨識與數位簽章上,而新身分證內個人資料已單純化,顯性與隱性資料都有明確,由個人自主性的登錄,我們覺得是可以被國人所接受的,而就卡片上的資安來言,台灣過去累積發行IC晶片卡共約3億張,若有嚴重的資安疑慮早就上頭版新聞了。
圖1:內政部及CEPP同口徑的把PC晶片卡變成材料,掩蓋轉包說法
但內政部提到標案屬「專屬權利、獨家製造,沒有其他合適的替代標的者」,採限制性招標,由中央印製廠進行「卡片材料及製卡設備採購作業」,完全符合政府採購法的規定。這看出內政部對台灣的製造晶片卡產業及其製程,要嘛沒有專業調查及了解,要嘛一直以CEPP要採購卡片材料,來掩蓋CEPP不自己生產eID晶片身分證(沒個人資料),全部轉包給國外廠商,而且與個人化製發卡設備綁在一起招標,也排除國內的現有製卡廠商,這不是在哄騙全體國民嗎?
台灣在2000年前,IC晶片卡應用就已開始,而IC晶片製發卡產業在亞太區國家中是先驅,以下我儘量使用圖表及內容說明,讓大家認識台灣的IC晶片製發卡產業。
在亞太區國家是先驅/認識台灣IC智能卡產業
台灣的晶片IC卡應用是亞洲的先驅,即使到現在,台灣IC卡產業鏈還是完整且是先進的。1998年政府就規劃全球第一個把「國民身分健保合一智慧卡」(簡稱國民卡),計畫也要提供電子商務等多功能服務,最後由於隱私權、人資保護及資訊安全等爭議而停擺,但在2000年以前,台灣的卡廠就有IC卡作業系統(COS)的開發、IC卡學生證、會員卡、銀行金融IC卡,EMV信用卡、公共電話IC卡、澎湖健保IC卡的試辦、手機SIM IC卡、金鑰認證IC卡(PKI)等卡片製作、系統集成及應用系統開發的經驗。
表2:台灣IC晶片卡綜合發展與市場概況
接著2001年中央健保署發行2,300萬張的健保卡、同年台灣開始使用EMV晶片信用卡,這是亞太區第二個信用卡晶片化的國家,迄今流通的晶片新用卡總量約4,500萬張,2002年開始使用捷運悠遊卡(非接觸式IC卡),迄今包括四大票證總發卡量超過1.08億張,2003年開始全面換發晶片金融卡,現有金融卡流通量超過9,600萬張,同年,內政部也開始發行自然人憑證卡,作為公開金鑰認證(Public Key Certificate)及辦理個人網路申辦服務用途,現流通量約660萬張,還有其他如市民卡、敬老卡、學生證、門禁卡、居留卡、軍人識別證卡、外僑卡、儲值卡等IC晶片卡,全部總流通量肯定超過千萬張,統計現有台灣不同用途的IC晶片卡總流通量應接近3億張,所以台灣對IC晶片卡的生產、製造、操作及應用系統建置、發卡及個人化作業、資訊安全機制等相關技術基本是成熟的,只是台灣市場規模較小的,沒法形成很大的產業聚落,對國際市場通路推廣較弱,外銷市場的擴展還是有空間的。
表3:IC智能卡生產流程
IC晶片卡產業鏈中,包括有作業系統(COS/Applet)研發設計、晶片、天線模組及封裝、卡體材料、IC卡生產製造、相關應用系統開發、讀卡機/POS設計組裝、發卡設備、個人化及發卡作業、防偽材料與設計、系統集成等,而一般IC晶片卡製造廠商都需要經過ISO 9001、ISO14001、ISO 27001資訊安全管理系統認證、BS 10012個資保護管理體系、五大信用卡公司(VISA、MASTER、JCB、銀聯、美國運通等)製卡及個人化服務認證、手機SIM卡的GSM SAS認證、非接觸卡Mifare製卡認證、OHS職業安全認證、Mondex Bureau個人化認證、ISO 14298安全印務工廠等認證。
通過這些認證,才讓卡廠的安全管理無論人員、物流進出、製程安全及品質管理、原物料數量監控、全廠區域及人員分級管理、全廠內外廠區無死角的監控系統、24小時警民連線、資訊安全管制的作業流程、卡片的儲運安全管理(安全金庫)等都有標準作業程序,這些都是要確保卡廠製作的品質與安全性全部都能達到100%的客戶需求。台灣現有EMV認證合格的製卡公司有四家,分別是宏通數碼科技公司、台灣銘板公司、東元捷德公司、第一美卡公司,估計年製卡及個人化產能達到一億張左右,而台灣一年智能卡外銷約有8,000萬美元。
表4:IC 智能卡產業
簡單的說,IC智能卡產業鏈分為卡體製造解決方案(含卡體構思、防偽設計、印前處理、卡材印刷、貼膜、定位貼合、熱壓、模切、壓燙貼作業、品檢、計數管控、包裝等),晶片模組(IC Module)解決方案(含晶圓、研磨、切割、黏晶、打線、封裝、檢測等),鑲嵌(Inlay)解決方案(含天線設計、天線製作、晶片崁入、壓合、檢測等),植晶解決方案(含鑿孔Milling、晶片檢測、COB沖型Punch、COB崁入Chip Embed、檢測等),個人化發卡服務解決方案(含資料準備、磁條資料錄碼、晶片資料寫入、個人資料列印、彩色相片列印、護膜貼覆、凸字打印、凹碼打印、雷雕、序號及個人號碼打印貼卡、貼卡含摺疊、裝封、郵寄等)。
表5:IC晶片卡產業供應鏈
在軟件開發及系統集成相關的業務,包括資訊系統安全控管能力、個人化相關軟體開發能力(如金鑰系統、資料準備、安全控管、發卡軟體…等),而最關鍵的競爭力則來自卡片作業系統(COS)及應用系統(Applet)的開發,其核心技術包括晶片專業知識與Java Card/ Global Platform專業能力、COS開發專業能力、產業標準專業知識與開發能力(如FISC II、ECC、PBOC、MOC 、ETC 等)、相關認證取得能力(如 CC、BC、PBOC、MOC、ETC…等)。
表6:台灣主要IC卡廠商概況
資料來源:僅由筆者評估僅供參考,各公司實際技術及服務內容可能有誤
●表示有實務經驗。●有能力
在台灣,信用卡、金融卡、電子憑證卡等,大多使用聚氯乙烯(PVC)材質,健保卡則以非結晶型共聚酯(PETG)為材料,但新式eID晶片卡材質卻以聚碳酸酯(PC)為材料,這材料過去在台灣的卡片市場是沒使用過的,但據了解,幾乎所有的卡廠都有測試過,沒大量使用過,並不代表台灣卡廠就不能生產PC材質卡片:PC雖然是大部分政府用於身分證的材料,但在中國、印尼及泰國等國的身分證則使用PETG的材料。
新式eID晶片身分證的卡體生產與個人化製發卡流程
製作新eID晶片身分證的材料除了PC卡體材料外,還包括晶片、天線、防偽油墨、光影變化箔膜(OVD)等材料都需進口,由於這些材料都屬於特殊用途或安全防偽性原因,如果沒有ISO 14298安全印務工廠認證,或是政府印鈔廠等單位,一般廠商是很難直接採購到的,因此,這些材料也就會很容易變成壟斷性或獨厚特定廠商的招標規範。
• 新eID晶片身分證卡體製作
新eID晶片身分證的製作流程前,先要有製作卡體版面、防偽設計與製作流程的構思,再進入印前作業及正面、背面PC板印刷,再依卡片設計需要,將部分材料先貼膜,再依順序將天線、正背面印刷層板材、光影變化箔膜(OVD)、其他特殊防偽材料、正反面保護膜等做定位配頁(Collating),後再將配頁後的材質以特定溫度、壓力與時間將卡體半成品完全融合成一體,再將融合一起的PC板模切(Punching)成單張卡片,一般的成品卡片生產作業要先初檢品質;初檢過的成品卡片,再進入做壓紋、壓燙OVI或浮凸金屬膜、貼簽名條(身分證沒有)等,後一般必須再作100%的全面性品檢,不能有刮傷、印刷色差、汙點及安全印刷相關的瑕疵等,同時卡片生產過程中,很重要的是數量管控,前後製造部門的數量都必需確認且吻合,成品卡片的裝盒及交運流程都要標準化,並在不同且區隔的作業空間監控。
表7:IC晶片卡片生產流程圖範例
品質沒問題的PC成品卡,就送入植晶設備進行鑿孔(Milling)、晶片帶沖型(Chip Punch)、點膠、崁入晶片(Chip Embed)、機上檢測後,新eID晶片卡成品就完成了。
• eID晶片卡的個人化製發卡作業
新eID晶片卡使用前,必須先經過個人化製發卡作業,製程包括晶片初始化後,資料準備、磁條資料錄碼、晶片資料寫入、單色或彩色列印、護膜貼覆、凸字打印、凹碼打印、雷雕、序號及個人號碼打印貼卡、貼卡含摺疊、裝封及郵寄等作業。這次新eID晶片身分證是採取集中式發卡作業,將製發卡中心設在CEPP獨立的廠區,但這種作法將會造成未來民眾換發申請的不方便,當然也減少空白晶片身分證的流出,但採用集中式發卡真正的原因,是eID晶片卡設計,是使用表層彩印+雷雕融刻+塗佈技術來印製個人照片,這設備是很貴的,各地的區公所不可能都擁有這設備,其投資成本是很高的。
表8:IC卡個人化作業流程圖範例
大家看看上列的新eID晶片身分證卡體製作流程(表8),內政部及CEPP官員們,怎麼把eID晶片卡稱做材料?而CEPP目前沒有設備可以生產eID晶片卡體,又不願意投資新設備生產eID卡,全部對外採購,這怎麼不叫轉包外製?再看看台灣相關卡廠的規模與經驗,怎麼可以說,沒有其他合適的替代標的者?而內政部及CEPP提到的製發卡設備,一般業界則成為個人化發卡設備,很少提到「製」這個字,這是很容易與卡體製造混淆在一起,讓人產生誤解,我都合理懷疑,他們是在混淆、誤導及蒙騙全體國民。
請把新數位身分證(eID)PC晶片卡生產留在台灣
CEPP在國內製作證劵品質、防偽產品、安控機制等,全國人民絕對可以放心且有目共睹的,對於新數位身分證(eID)PC晶片卡,CEPP在過去6年間,也派很多人到國外參訪及學習製卡、個人化處理、防偽、資安及相關設備考察,相信對數位身分證(eID)PC晶片卡的生產技術絕對不會陌生。
但想不通的是CEPP不自己生產晶片卡,也不考慮找國內廠商探討合作生產的可行性,又把eID晶片卡稱作材料,且由供應個人化發卡設備廠商綁在一起進口,生產IC晶片卡及個人化發卡設備商,但這是兩家經營業務全然不同的供應商,是應分為兩個標案來實現才對。且依照CEPP公告的標案預算,採購eIDPC晶片卡約29.4億元,而個人化發卡設備約3.5億元,金額有這麼大的差異,這讓人懷疑是針對某特定廠商(應該是設備商),以生產eID晶片卡的條件,來定設備的規範。
表9:新數位身分證(eID)PC晶片卡換發的作業模式
請把新數位身分證(eID)PC晶片卡生產留在台灣,讓台灣換發數位身分證的作業能圓圓滿滿,如果能由CEPP帶頭整合國內製卡產業,共創繁榮的晶片卡產業生態圈,共同完成新一代eID國民身分證的製作、發卡及換發作業,這才是國家之福氣,也是全體國民樂意見到的事,對台灣製卡產業技術提升、國家經濟發展都會有貢獻,內政部及CEPP是應該要思考,「扶植國內廠商」應是政府推動新數位身分證的必要政策。
|