中華印刷科技學會名譽理事長 黃義盛
9/26日,中央印製廠(簡稱CEPP)委託台灣銀行,正式公告「PC晶片卡及印製設備乙式」對外採購投標案,預算金額為32.93億台幣,且提到後續擴充將以限制性招標方式與得標廠商議價,未來再採購PC晶片卡上限為3000萬張,後續增購規格是否含KPI金鑰對產製(Key Pair Generation)相關作業,由CEPP決定,投標截止日期為11/26日10點,開標時間是11/26日10點10分,押標金為5000萬台幣或等值外幣。
投標廠商資格限制,要在過去五年內,完成晶片卡同型質ID1(即一般卡片規格)尺寸的實績在12億台幣以上,或完成PC晶片卡印製設備(至少具有雷射融刻及晶片寫入功能印製設備)等銷售實績1.2億台幣者,也開放共同投標,且投標者至少一家為國內廠商,而國內單獨投標廠商得以分包廠商代之,分包廠商家數則以4家為限,招標廠商必須具有在台技術支援能力之證明。
在8月下旬,CEPP提出對eID數位身分證對外招購規範及招標規格,引起媒體及國內業者很多的質疑,經過三次的公開說明會及與國內業者溝通後,CEPP已技術性的納入國內製卡業者能參與標案外,原有的招標規範內容幾乎沒有太大變動,但媒體聲音少了,這並不代表外界的質疑就消除了。
韓、郭、柯等總統候選人還是國內的焦點話題,而eID數位身分證換發案的專業技術性太高,又介於特殊安全印務與資訊安全作業的領域上,媒體人很難找出關鍵的問題,國內IC卡產業的市場規模不大,也較不引人注目,所以沒持續報導是正常的,但隨著年底總統大選日期愈近,eID數位身分證換發案的爭議,是否會被重新提起,而成為年底大選的未爆彈?會嗎?
內政部完全不支持晶片卡國產化的「扶植國內廠商」政策
內政部是推動新eID數位身分證換發的主辦單位,在還沒完成新身分證換發規劃案時,就以限制性招標給中央印製廠(6/24日)承製,但CEPP就在8/26日公告對外招標規範(草案),引起媒體及國內製卡廠商對CEPP轉包、排除國內廠商、量身訂製給特定廠商等質疑,即使CEPP經過3次的公開說明會後,才開放共同投標內至少要有一家國內廠商,也要求PC晶片卡至少要有1050萬張(35%)留給國內廠商生產,且在國內生產的晶片卡必須要有35%的附加價值。
至今,內政部從不承認CEPP是不生產晶片卡,不承認轉包,不承認沒完成新身分證換發規劃案就標給CEPP,更沒想過晶片卡要在國內生產,只承認招標過程一切合法,且經過審慎評估,CEPP又是國家印鈔廠,防偽技術及安全控管是很讓人放心的,但卻不知道晶片卡及個人化製發卡作業,最重要的是資訊安全技術與認證,而CEPP是沒有資安認證的。而內政部一度要把PC晶片卡(未個人化的eID身分證)進口說成製發卡材料進口,這樣CEPP就沒有轉包的問題,類似呼嚨大眾的說法,太沒腦了。
如果以現在CEPP的招標作業,內政部基本就可以扮演真正的主辦單位,因為晶片卡生產可以外包,個人化的製發卡可以在內政部原規劃的場地作業,這也吻合戶籍法規定,身分證製發作業要由戶政人員處理,但在CEPP的場地從事身分證發卡作業,就會存在一些法規上的爭議;資安在未來的數位身分證換發過程是很被關注的問題,除了晶片及作業流程的安全標準外,未來在CEPP的製發卡作業過程,又涉及介接內政部憑證管理中心(MOICA)及卡片發放作業,這對資料傳輸安全及未來責任歸屬爭議還是有風險的。
智慧政府與新eID數位身分證換發是很好的構想,但內政部在執行過程中,卻臨時改變原有規劃,外界不知原因,只有猜測是不想擔負完整責任,沒想到卻製造了不少的爭議。內政部處理此案,也完全忽略國內IC卡廠商的實力,也不會想到把這30至60億元的換發預算,作為扶持國內IC卡產業發展的政策,並要求CEPP一定要在國內生產,這種不支持晶片卡國產化政策的政府單位,怎麼不會有人當選舉議題來質疑,本來是可展示美好政績的機會,卻變成有瑕疵及被爭議的議題。
CEPP的「PC晶片卡及印製設備」採購規範處處玄機
CEPP對「PC晶片卡及印製設備」採購條款及規範,經過三次的公開說明及投標廠商的溝通後,新公告的版本在採購條款上,已取消有護照實績(ID3)並納入國內製卡廠商參與是必要資格(但A43.3頁,規格還是含ID1至ID3尺寸,應該是忘記改了),也允許國內廠商聯合投標,並要求至少有1050萬張晶片卡(35%)必須在國內生產,且要求在國內生產的卡片,至少要有35%的附加價值,這讓有意投標外商已開始尋求國內合作對象。
而在招標規範上,CEPP也調整光影變化箔膜(OVD)的特殊規範,這避免了獨家專利問題,而在個人化製發卡設備的卡匣已刪除共用性,這稍微消除由晶片卡檢測、個人化、雷雕融刻、彩照列印、個人化檢測及卡片封裝等設備,以卡匣來綁獨家供應的疑慮,這些調整值得向CEPP拍拍手,能接納相關廠商的意見來調整採購條款及規範,而我們也覺得因為過去持續的質疑,讓國內製卡廠商能有參與數位身分證生產的機會,這是感到欣慰的。
eID晶片身分證部分國產化政策,是否就完全消除對採購條款及規範的質疑,或表示政府有心扶持國內產業的政策,我個人看這是不夠的。就採購條款來言,晶片卡採購及個人化發卡設備採購是來自兩家不同的公司,為何不分兩標而綁成一標,因為PC晶片卡與發卡設備的投標條件互綁的玄機,是比較容易形成壟斷及排除相關供應商的。而這次投標條款雖然開放共同投標(最多5家),並要求至少要有一家國內卡廠,但招標條款還是要限制在過去5年有晶片卡實績12億台幣,及PC晶片卡印製(個人化)設備實績1.2億台幣,這對台灣IC卡廠還是很高的門檻,所以未來的招標過程,國外PC晶片卡及個人化發卡設備廠商還是主角,國內製卡廠商還是配角一個。
依CEPP的招標規範要求,2020年8月卡片需求量50萬張,全年總需求僅約450萬張,2021年每月需要300萬張(年3600萬張),如果CEPP真的有想到國內製卡產業,就應該帶頭整合國內卡廠(這類似共同投標),以CEPP專精的印刷防偽技術結合國內卡廠製卡經驗(CEPP沒有製造晶片卡設備及經驗),共同完成晶片卡生產,至於個人化發卡設備,CEPP可購買設備在規劃場內作業,這樣外界爭議就會變很少。另方面,身分證晶片卡跟鈔票、護照一樣,非常不適合在國外生產,真的怕國內技術沒法達到要求,也可以要求第一年由國外進口生產(450萬張),第二年以後全在台灣生產,這才可達到落實技術轉移至國內廠商或扶植國內產業的目的。
這招標規範還有其他伏筆,3000萬張採購標案外,未來CEPP可以不開標由得標廠商再持續供應3000萬張,這表示這個得標者,是統包了未來20年中華民國數位身分證的生產、製卡設備的維修與耗材,如果有一天在國外生產的中華民國在國外外流,那怎麼給國人交代,而國內生產的那1050萬張晶片卡身分證,也成為晶片身分證國產化的背書。
在PC晶片卡及印製設備招標規範上,這次CEPP依製程需求,要求廠商依晶片卡正背面片卡品檢、卡片晶片品檢及金鑰對產製、晶片個人化處理、雷雕融刻、彩色列印、線上個人化品檢及晶片卡封裝等相關設備提出報價,同時要提供可移動式卡匣(取消通用卡匣),據了解,擁有含PC晶片卡檢測及其他全製程的全球設備商只有Muhlbauer一家,但提供晶片卡個人化製程設備(除了品檢設備外)的廠家就有好幾家,限制通用卡匣就很明顯成為獨家供應的規格,就這是為何三次說明會中,相關廠商對通用卡匣及晶片卡檢測設備都很有意見,也沒法理解中央印製廠為何委外生產晶卡片,卻要買品檢設備自己品檢卡片。
加入國內廠商為招標必要條款後,國外的PC晶片卡廠商也陸續尋求國內夥伴,但CEPP卻把國內廠商的資格條款,放寬為只要具備EMV(晶片卡安全認證), PCI-DSS (預付卡安全認證), ISO14298(安全印務工廠認證)及ISO27001(資訊安全管理認證)等其中一項安全規範的廠商都可以,這又太寬鬆了。也就是說國外卡廠是不用找國內現有專業卡廠,只要找一家有ISO27001認證公司(台灣至少有50家以上)或ISO14298認證的印刷公司就可以陪標,這種要求可以看出投標條款的考慮是不周全的。
在PC晶片卡及印製設備招標規範上,由晶片、操作系統(COS)、PKI、應用程序及應用介面(API)、應用系統(Applet)等,經過Common Criteria EAL 4+(含)以上安全等級認證是必要的招標條件,但投標廠商卻會遇到很多實務上的困難。如現行自然人憑證應用程式(Applet),是非公開技術文件,投標廠商無法取得該技術文件,來進行研讀/開發/測試,進而申請Common Criteria EAL 4+(含)以上安全等級認證是需要時間的,這對投標廠商要符合投標規範時間是很難達成的。而要介接自然人憑證(MONICA)且經過CC認證的2顆晶片,要同時符合招標規範時間準備好認證也是很困難的,這些問題在正式決標前,CEPP就必須對招標規範的內容再修改、放寬或重新解釋是跑不掉的。
另外戶政司現有的戶役政系統,有關New eID管理系統架構尚在評估階段,也未公開招標建置,但此次採購條款的得標廠商,須於決標日起算120個日曆天內,完成系統介接與測試作業且有逾期違約金,這怎麼可能?我要說的是,由內政部突然轉折以限制性開標由CEPP得標,希望借重國家印鈔廠在防偽及安全控管的環境下,來生產數位身分證PC晶片卡及個人化製發卡作業,但2個月後,CEPP就公告PC晶片卡轉包及購買製發卡設備,相關的招標條款又明顯排除國內廠商,招標規範也明顯有偏向特定廠商,這才招來輿論及國內廠商很多的質疑。這麼多的質疑,我猜是因為CEPP接觸國際廠商,如Muhlbauer、Gemalto、台灣代理商達州科技公司、Verdidos、Mezer等公司簡報,加上CEPP相關人員國外參訪也以這些歐洲廠商為主,相關的招標規範也因此被影響是很正常的,而內政部及CEPP急於在2020年10月前,能如期換發新數位身分證也是另一個原因,匆促的想完成數位身分證換發,當然會造成招標作業很多的瑕疵及爭議。
「突破框架、勇於創新」是公務人員的學習典範
蔡英文總統在2018年年底表揚公務人員大會時提到,「突破框架、勇於創新」是公務人員的學習典範,但就eID數位身分證換發案來看,內政部及CEPP相關承辦人員卻沒達到此標準。內政部開始就沒有確實扮演好主辦單位應有擔當及責任,僅僅訂下換發時間,就單純把後續作業及預算撥給CEPP就沒事了,也不會顧慮到數位身分證規劃案還沒完成就完成招標了,他們認為國家印鈔廠是很好的委託對象,爭議不會太多,是合法但合理嗎?
而CEPP拿到這案後,則相信以國際廠商簡報資料及CEPP出國參訪資料,整理出「PC晶片卡及製發卡設備採購」條款及規範,他們也是急於想完成任務,2個月後就公告招標相關條款及規範,但卻被質疑成轉包、排除國內廠商、偏向特定廠商及有規範內容的矛盾等,這就很正常了,因為由國外有經驗的廠商承製PC晶片卡,依照國外設備廠商提供個人製發卡設備就解決問題了,CEPP只要控制好預算,這也是用最簡單及風險最低來完成內政部託付的目標,認為以國家印鈔廠的地位,防偽技術及安控的專業,即使別人質疑是很容易被解釋的,但不會想到把國家身分證在國外生產,那國家印鈔廠的面子就很掛不住了。
以現在數位身分證的招標方式,絕不是國家公務人員的學習典範,也沒有「突破框架、勇於創新」的擔當。CEPP如果能達成新身分證換發目標外,再把PC晶片卡都留在國內生產,對國內IC卡廠商的技術提升及國際競爭力絕對有幫助的,尤其是CEPP如果能站出來整合國內卡廠,把CEPP防偽的專業經驗結合國內卡廠製卡的資源與經驗,共同完成新數位身分證換發,這才是「突破框架、勇於創新」的公務人員學習典範。但如果像在CEPP舉辦的說明會中,面對國內業者對招標規範的質疑, CEPP的官員居然站出來質疑,這還不是為了自己利益才反對,這是甚麼樣的公務人員,居然拿納稅人薪水,反對數位身分證在國內生產,這不叫「養老鼠咬布袋」,那要叫甚麼?這種態度,「官威」還是存在的。
數位身分證換發案是否會變成年底選舉,成為在野黨攻擊執政黨的未爆彈嗎?那就不知道了。
|