數位身分證換發案,驚傳廢標再開標
當新的一年來臨第3天,台灣銀行公告PC晶片卡及印製設備採購標案無法決標,同日再公告重新公開招標,新投標截止日是2020年1月31日。數位身分證換發案第一次投標日是2019年11月26日,但由於未達三家廠商投標而流標,再二次公告至2019年12月3日投標,最後是由東元電機集團及德商Muehlbauer各代表兩組團隊競標,對此數位身分證換發招標案,本來大家期待本土廠商終於有一席之地,結果傳出廢標,原因未公開說明,引起業界很大的譁然與質疑。
數位身分證換發案的競標團隊
據了解,東元電機集團結合宏通數碼科技公司、中華電信、德國Veridos卡廠及法國Idemia公司成立投標團隊(簡稱東元團隊),另由德國Muehlbauer為主結合第一美卡公司成為另一團隊(聯合投標),我們來分析這兩個團隊的背景與實力。
東元捷德科技公司是東元集團旗下之IC製發卡公司,2002年與德國G&D集團合資設立,2006年由東元電機公司100%持有,是家有EMV (Europay/MasterCard/VISA)安全生產認證,及資訊安全管理 (ISO 27001)、個人資訊管理系統(BS10012)合格認證的專業卡廠,東元集團在2001年贏得健保卡換發專案後,就有10個月內製發2000萬張的經驗,2005年又承製高速公路eTag小卡及e卡通的生產,也有製發內政部移民署外僑居留證的經驗,同時也提供IC卡系統建置相關的服務。
宏通數碼科技公司成立於1989年,主要股東是永豐紙業公司,為國內知名的防偽印刷民營公司。宏通公司是台灣第一家以IC卡為核心業務之企業,業務包括IC卡片、製發卡設備、製發卡外包服務、應用系統整合服務、晶片COS開發與 PKI資安應用系統之服務,其IC卡廠也擁有EMV、ISO 27001等相關製程及資訊安全認證,在IC卡實績上,宏通現是國內金融IC卡最大的供應商(超過50%),也製作過健保卡、悠遊卡、自然人憑證換發、軍人識別證等,也具備IC卡系統、eCertCA/PKI系統建置經驗,是家集卡片生產、製發卡、系統集成解決方案的專業製發卡公司。
中華電信(CHT)則是台灣政府相關憑證卡(CA)的建置商,包含政府憑證(GCA)、企業憑證(ECA)及自然人憑證(NCA),目前卡片發行超過800萬張,CA應用系統達2000個。在數位身份證eID案,CA建置與應用是很重要的一環,CHT是唯一保證可以順利完成與台灣現有CA系統介接整合的專業廠商。
東元團隊成員之一,德國「Veridos」IC卡廠,是由德國G+D公司與德國國家印鈔廠合組的公司,G+D是全球知名IC卡生產公司,而德國印鈔廠的規模與防偽技術都不輸台灣中央印製廠。Veridos公司具備有國際專利的卡片結合光柵生產技術,可讓eID卡採用Laser Engraving + DOD彩色相片印刷時,不僅品質更好,而且耐用性更佳,可達到ISO24789-3D認證等級,遠超過招標規範的要求。
法國的Idemia公司則是家專門研究安全與身分(ID)解決方案的公司,年營業額約30億美元(維基資訊),其擁有完整及全球最大的生物辨識(指紋、虹膜及臉面等)解決方案,也是全球知名的擴增實境(AR)解決方案領導廠商,其在數位時代下的金融交易、生物辨識系統應用、智能手機、智能卡片應用、身分安全、平台溝通、發卡服務等都有完整的解決方案。
據了解,東元團隊使用的製發卡設備是以美國DataCard為主,DataCard現是全球最大晶片(IC)卡及電子護照個人化設備供應商。在台灣,除了國內專業卡廠的製發卡設備都以美商DataCard設備為主,台灣健保IC卡、外僑居留證及絕大多數銀行發行國際信用卡與金融卡,也都是採用DataCard製發卡設備(以前市占率超過80%),現有二家長久合作的在地經銷商,宏通數碼公司(25年)及柏通公司(18年),都有完整的專業服務團隊,可以即時提供技術支援與售後服務。
再談德國Muehlbauer團隊,Muehlbauer是一家集IC卡、智能標籤、半導體後端及視覺系統領域的公司,2018年的營業額約2.75億歐元,據聞Muehlbauer在台灣業務主要在半導體後端設備,在高雄設有一位服務人員,就IC卡及製發卡設備相關業務中,植晶(Embedding)設備在台灣還是有些客戶,而製發卡設備市佔率,確是沒法與DataCard比較,但中央印製廠(CEPP)第一次招標的卡片印製設備規範,可能就是以Muehlbauer為主,原本是硬要把後端製發卡及封裝設備與品檢設備採用通用卡匣,那這標案可能就只有Muehlbauer才可供應,此事在被抗議後,CEPP才取消了這個有綁標嫌疑的要求。
第一美卡公司成立於1991年,原本以生產塑膠會員卡為主,到2003年後才開始生產SIM卡(手機用IC卡),並以外銷為主要市場,2007年取得EMV製卡及個人化認證,依照該公司網站資料,美卡是台灣晶片卡出貨量最大的公司,但據個人瞭解應是以SIM卡代工為主,而高端晶片卡(金融卡及CPU卡等)則以宏通數碼及台灣銘版公司的出貨量較多。
數位身分證換發招標案評審人員與評審標準
據台銀公開資料,台灣數位身分證換發案評審委員共17人,其中屬於中央印製廠的人員共8位,內政部所屬人員4位(鑑識科學2位、法務及資訊各1位),外部教授3位(印刷、防偽及鑑識科學),外部律師1位、法務部(鑑識科學)1位。
依評選須知,投標廠商必須提送企劃書,內容必須依廠商專案團隊介紹、卡片規範、卡片印刷及安全防偽(變)規劃(以廠商樣品、OVD設計圖案及說明內容綜合評選)、彩印列印技術(以廠商樣品及說明內容綜合評選)、印製設備、PC晶片卡、印製設備及系統保固與維護能力、如期履約能力方案、臺灣生產製造規劃方案、品質管制、安全維護計畫及認證、價格分析(完整性及合理性)等,細部的企劃書內容及計分標準如下表。
|
評選規範
|
重點規定
|
附件
|
配分比
|
|
一.廠商專案團隊介紹
|
1.專案管理經驗及能力。
2.團隊相關技術能力。
3.廠商專案團隊經驗。
|
|
30
|
|
75
|
|
二.卡片規範
|
1.基本規格。
2.卡片耐用度及使用壽命。
3.晶片規格。
4.作業系統
5.應用程序(Applet)
6. PKI金鑰對產製(Key Pair Generation)
7.安全規範
8.加解密功能及規範
9.金鑰管理
10.相容性
11.系統介接整合
12.升級
13.資料儲存
14.國際相關標準規範
15.讀寫效能
|
˙符合ISO/IEC 7810、ISO/IEC 10373及ISO/IEC 24789檢測標準之10年(含)以上壽命。
˙通過Common Criteria EAL 5+(含)安全認證
˙通過Common Criteria EAL 4+(含)安全認證
|
70
|
|
三.卡片印刷及安全防偽(變)規劃
|
1. PC晶片卡印刷色彩規劃及效果
2. PC晶片卡安全防偽規劃及效果
3.光影變化箔膜(OVD)安全防偽規劃及效果
4.安全特徵利於視障者友善使用
5.廠商得提供其他防偽特徵之規劃
|
˙提供PC晶片卡樣品。
˙提供光影變化箔膜(OVD)平面設計圖稿及動態影片檔。
|
10
|
|
100
|
|
80
|
|
40
|
|
10
|
|
四.彩照列印技術
|
1.彩照列印技術
2.彩照保護機制
3.彩照列印品質
4.前揭三項之綜合效果
|
˙使用下可達10年(含)以上使用需求之第三方公正單位檢測報告。
|
20
|
|
20
|
|
20
|
|
65
|
|
五. PC晶片卡印製設備
|
1.製程設備及數量規劃
2.設備產能分析
3.製程安全衛生措施
4.設備操作人力需求資料
5.教育訓練之規劃及執行方式
6.設備場地配置規劃
7.設備軟體系統、資訊硬體及整體生產資訊系統之容錯、備援與安全機制
|
˙圖片及實際生產影片
˙卡片印製及生產相關作業設備配置平面圖
|
40
|
|
10
|
|
20
|
|
六. PC晶片卡、印製設備及系統保固與維護能力
|
1.保固維修規劃及能力
2.保固及維護期限說
3.維護及升級能力
4.技術支援及問題排除
之人力、速度與能力
5.保固期滿後之後續護費用說明
6.駐廠提供技術服務之費用說明
|
|
40
|
|
七.如期履約能力方案
|
1.晶片生產履約能力
2.OVD生產履約能力
3.PC晶片卡生產(含各式防偽元件)履約能力
4.PC晶片卡印製設備生產及建置履約能力
5.PC晶片卡系統及應用程序與內政部New eID相關資訊系統介接整合履約能力
|
|
55
|
|
八.臺灣生產製造規劃方案
|
1.在臺灣生產製造之PC晶片卡數量
2.在臺灣生產製造之PC晶片卡附加價值率
3.國外廠商技術移轉計畫
|
|
45
|
|
九.品質管制、安全維護計畫及認證
|
1.品質要求符合ISO
2.設備及原物料來源安全要求
3.相關安全認證
|
˙ISO
˙ISMS
˙共通性準則
˙國際信用卡認證
|
50
|
|
十.價格分析(完整性及合理性)
|
1. PC晶片卡
2.購置設備
3.租賃設備
4.卡片管理與製程管理系統
|
|
200
|
|
合計
|
|
|
1000
|
依上表資料,我們可以看到評分配比中,經營團隊占105分、卡片生產部分占310分、製發卡占195分、管理及服務占約190分、價格占約200分,共1000分,評估評分的配比與數位身分證換發的製作流程看來是合理的,但我們也發現太重技術規範,尤其是防偽及照片彩印部份,其中OVD一定要外購,供應商也有限(第一版招標規範樣本應該是Kinegram/Kurz的),但這部份規範主觀意識太強,而且專業程度高,沒有絕對性的比較基礎,很容易因看法差異而有爭議,本來這應該是CEPP的專業,所以未來評判將以CEPP的人說了算,如果相關幕僚作業人員心中已有定見,這標案的評審客觀性就可能會有問題了。
其實新身分證晶片卡換發招標案,跟一般的有價證劵或護照招標案是有差異的,晶片卡生產與製發卡製程中,很重要的是在生產流程、資訊安全控管、製發卡系統整合上,尤其在未來換發時的CA憑證與台灣現有CA系統介接整合的問題,這都是未來換發卡案成功與否的關鍵,但這些在這招標的評審規範上有些地方完全被忽略的。
而落實卡片留在台灣生產及技術轉移才僅占45分,落實在台灣提供即時維護及支援服務僅約40分、且沒考慮備援計劃及過去台灣服務經驗的分數,這對在國內製發卡時,擁有備援計畫、系統整合、即時維護的經驗與服務等是至關重要的,但卻都沒有加分的效果,這是非常令人遺憾的事,而這也是外商較難做到的。
廢標後的猜疑與問題
這次新數位身分證招標案的廢標,肯定是兩家競標廠商的競標規劃內容,要嘛資格有問題,要嘛投標企劃書內容沒達到招標規範的要求,要嘛提供的製程或技術內容有瑕疵,但真的原因不明,卻有如下的想像空間:
1. 這標案在2019年12月3日投標,剛好一個月(元月3日)公告廢標,我們當然不知道原因,但對一般的標案的廢標應該都是資格問題,而資格問題(如公司資料不齊等)也應該在很短的時間(很少超過3天)就可以發現,且應該直接要求競標者補件或直接宣布不合投標資格,但這次卻等了一個月才宣布廢標,這很容易造成大家猜疑與爭議。
主要是各競爭者的規畫書現都在CEPP手上,競標規畫書又涉及各競標者細部的作業內容與策略,這一個月可能有很多人都讀過(可能包括17位評審委員),主辦單位如何確保規畫書內容不外洩,一個月是可以做很多事,再加上新的投標日是1月31日,日子漫長,這廢標過程當然是瑕疵,有爭議及猜疑是避免不了的事。
2. 原有新數位身分證的招標規範,或許中央印製廠(CEPP)只有秉持其在防偽技術的專業觀念,對國內廠商製作eID沒有信心,本來是排斥國內廠商參與,且對某些防偽材料、設備也感覺上都已心有所屬,所以在投標資格、防偽材料規範、設備的規格都有很高的門檻,即使後來的招標規範允許多家團隊競標,並限制要有台灣廠商參與,把敏感的特定防偽材料樣張及設備項目部分刪除,但主要的規範還是沒變的。
對競標廠商來言,面對現有eID數位身分證招標規範及資格,存在的可能挑戰如下:
-
競標團隊是否在短時間對招標規範內容理解、如何分工及發揮團隊優勢是很關鍵的。
-
是否能掌握到CEPP心有所屬的安全防偽材料與製發卡設備供應商(如OVD、品檢設備等)合作,或替代的安全防偽材料、設備廠商,這是關鍵。我看Muehlbauer已參與競標,對東元團隊更是一個挑戰。
-
招標規範內容有很多涉及安全認證、專家鑑定、樣卡等,這些都需要時間,除非招標前已掌握招標需求,事先已先準備,否則也難符合招標規範要求。
-
安全防偽技術與材料是很專業及主觀的,每家都有自己的獨特技術(變成專利),只有仿製的困難度,但沒有絕對的標準及數據來判斷絕對性的防偽效果,所以專家講了算會變成關鍵,台灣卡廠在這方面是很吃虧的,所以CEPP的幕僚作業及8位評審委員是主角,其他人都是配角。
-
招標規範中,有涉及得標廠商在系統整合的責任問題,但內容定義是不夠清楚的,尤其內政部的系統整合標尚未確認,這對競標者都是風險。
-
綜觀兩個團隊的競爭差異,東元團隊是具有國內優勢,無論成員背景、政府標案、國內製發卡實績及技術、系統整合及能力,卡片換發作業、未來設備即時維護、備援計劃等都較有經驗及實力,相信東元團隊的國內主導性會較強。而美卡團隊是較沒有國內優勢,但競標團隊曝光後,才確認Muehlbauer確實是有準備競標的,因為新招標規範要求有國內廠商參與,這才找上第一美卡公司,其優勢在CEPP想要的品檢設備、OVD安全防偽材料的掌握、相關認證及樣卡製作上都會較容易解決,所以美卡團隊將會是由Muehlbauer來主導,所以這兩團隊將由誰勝出,還是要看CEPP是否真有心落實扶植國內廠商,或是只要結案就了事。
3. eID身分證換發廢標產生的另一問題應該是時間,內政部對外說明在今年的10月就要開始換發,招標規範也清楚的明確要求,晶片卡身分證的交期與數量,但下一次的投標時間是1月31日,如果沒有決標或決標後再有爭議,那換發的時間再延期是非常可能的。
我們再回顧過去此案的發展,2019年6月14日內政部就以限制性招標方式,由中央印製廠得標,CEPP則在8月20日提出「PC晶片卡及印製設備乙式」購案招標規範,並委託台灣銀行在8月26日,正式辦理「PC晶片卡及印製設備乙式公開閱覽」及未來招標相關事宜,因為爭議,CEPP召開兩次辦理公開說明會,徵求廠商及民眾意見,最後在9月26日委託台灣銀行,正式公告「PC晶片卡及印製設備乙式」採購投標案,截標日在11月26日,後因為只有兩家投標,依採購法再延至12月3日進行第二次招標,今再因廢標而延至2020年1月31日投標,這距CEPP自內政部得標已耗了7.5個月,而且真正換發的系統建置及CA憑證整合問題都還沒考慮在內。
元月3日台銀公告廢標再重新招標,投標日為元月31日,未來的投標者是否能在短短的28天內(含過年假期),準備好投標規劃書也是挑戰,前次招標是給約2個月來準備投標規劃書,這次卻不到一個月。
即使在1月31日廠商如期投標,且CEPP在2月底前完成評審作業順利決標,得標廠商要完成生產設備建置、材料供應、生產調配與安排、團隊間的分工與作業整合都需要時間,真的要達成今年10月換發工作,肯定是一大挑戰。
4. 要能順利在今年10月開始新數位身分證的換發,CEPP除了要確認競標者的資格及能力,是可以來達成生產合格晶片卡、安全製發卡及有能力整合系統,來完成換製發卡作業外,CEPP也要調整心態來協助得標商來解決他們可能面對的問題:
-
以CEPP專業協助業者明確安全防偽材料規範及掌握供應、設計及加工流程作業,還有價格的合理性,否則很容易引起爭議。
-
要了解所有安全認證的期限是否合理要求,讓業者能務實的處理認證的流程,避免引起爭議。
-
要多關注整體專案執行能力與經驗,包含系統整合能力,而不是只關注安全防偽印刷的技術,所以對國內製發卡的經驗、設備維護能力、備援計劃等都值得關注
-
避免讓外界感覺對競標廠商、防偽材料與製發卡設備的供應商,早已心有定見,而造成不公平的競爭。
-
CEPP在招標評審委員中佔有8位,如何避免心有所屬的決定,免除外界的猜疑。
最後談到CEPP是否有要落實協助產業發展政策,也是所有印刷產業業者關注及存疑的問題,即使現在的招標規格有明確要求必須有國內廠商參與,且至少要有35%的晶片卡在台灣生產,但這還不能認為就是有落實協助產業發展,更重要的是如何能讓國內廠商來主導此案,當主角而不是配角,把國內卡片生產量能提高到50%以上,把技術轉移當作關鍵的評審條件,這才能提升國內廠商技術能力,也落實「扶植國內廠商」是政府推動新數位身分證的必要政策。
| 
網站流量:497942
