安全認證造假 數位身分證爆重大爭議

安全認證造假錄音曝光


預定十月換發的數位晶片身分證( New eID)波折不斷,先是遇上武漢肺炎疫情,得標的東元集團無法向外國廠商進貨製造晶片卡,內政部因此公告無限期暫緩實施,如今再爆出得標爭議。


▲原訂10月換發的數位晶片身分證因疫情延期,如今又傳出招標爭議。(內政部提供)

台北地檢署接獲檢舉,指東元集團涉嫌以不實的證書投標,其中最關鍵的證據是一段錄音檔,為負責防偽安全國際認證的艾爾柏(Alberk)公司負責人與廠商的對話, 內容指東元未通過認證,卻以不實的證書取得標案,明顯先上車後補票,把國人數位身分證資安當兒戲,檢調已積極過濾卷證,不排除近期發動約談行動。


撰文:劉志原 攝影:蘇立坤、翁睿坤 編輯:陳昱潔 設計:趙君豪


▲艾爾柏負責人塗能源遭錄下坦承發給東元的證書涉及不實。(翻攝臉書)

由內政部委託中央印製廠辦理的數位身分證(New eID),今年二月由東元集團得標,原本預定十月就要換發,沒想到卻爆發防偽安全國際認證涉嫌造假的重大爭議。

發證不實 得標才輔導

台北地檢署承辦檢察官日前接獲一份關鍵電話錄音檔,內容提及得標的東元集團(TECO)涉嫌以不實的防偽安全國際認證文件投標,讓東元集團根本沒驗證就取得合格證書,簡直把國人數位身分證的資安當作兒戲,有先上車後補票取得標案之嫌,未來再由認證單位進行驗證輔導。


▲艾爾柏公司發出的ISO14298認證是東元投標時出示的資格文件之一。(翻攝艾爾柏網站)


▲東元電機得標數位身分證案後,將與旗下公司東元捷德(圖)共同承製。(翻攝東元捷德官網)

本刊調查,被錄下對話的是發證給東元集團的艾爾柏(Alberk)公司負責人塗能源(Simon),他在接受客戶電話詢問ISO 14298(Governmental Level)「政府等級」防偽安全國際認證業務時,提到自己的公司曾發證給東元,離譜的是, 在被客戶詢問ISO 14298業務時,塗能源竟然反問:「14298是什麼東西?」

對談中,塗能源提及「東元捷德也是做一個權宜之計」,客戶聽了覺得詫異,在電話中表達希望照著東元的方式取得認證,沒想到塗卻說:「只要你能用得上去,它就是有效力,用不上去,它就是沒有效力」「給你通行證,只要四萬元就好」「我閉著眼睛幫你發」「偷渡啦」「先上車後補票啦」「東元它是這樣,它是上車以後,是馬上補票,馬上輔導喔」,明顯有發證不實之虞,檢調現正釐清中,並將傳喚相關人等到案進行說明。


▲內政部長徐國勇收到國際認證機構「國際印刷產業聯盟」(Intergraf)來信,內容提及東元的證書未經認證。

檢舉揭露 未通過認證

而最誇張的是,檢調接獲檢舉,指艾爾柏公司不僅涉嫌發證不實, 東元電機得標後再由團隊廠商東元捷德公司負責承製,並委託國外廠Idemia公司製作新空白身分證,但Idemia公司被質疑與中國廠商合作,如果將來在中國製造我國的數位晶片身分證,恐引爆更大國安危機。
寄發檢舉信給內政部及檢調等單位的,是全球唯一合法可對數位晶片身分證製造廠商認證的比利時「國際印刷產業聯盟」(International Confederation forPrinting and Allied Industries – Intergraf), 信中指控得標我國數位晶片身分證的東元集團,並未獲得Intergraf認證。


▲台灣人權促進會與台北律師公會都曾質疑數位身分證有資安及違法疑慮,要求暫緩實施。(翻攝台灣人權促進會官網)

檢舉信中提及,一家台灣企業提出不是Intergraf聯盟簽發的ISO 14298「政府等級」防偽認證書,用以承包我國的數位身分證業務,因「政府等級」是由Intergraf進行認證,但得標我國數位身分證的東元公司並未通過Intergraf聯盟的防偽印刷安全認證,因而引起檢調單位的注意。


▲健保晶片卡與數位身分證均由東元捷德承製。(翻攝東元捷德官網)

本刊調查,本案招標須具備的三項國際安全規範中,業界公認最重要、取得輔導驗證難度最高的,就是總部設於比利時布魯塞爾的「國際印刷產業聯盟」 所制定推動的ISO 14298「政府等級」防偽安全國際認證。


▲將承製數位身分證的東元捷德公司,也是健保卡承製商。(翻攝東元捷德官網)

東元聲稱 無涉及不法

知情人士指出,晶片身分證標案採最有利標,評選項目包含ISO國際認證,投標廠商提出的ISO安全認證書越多,就可獲得越高的分數,今年二月決標時,東元集團與第一美卡集團都有提出ISO 14298「政府等級」防偽安全國際認證,最後由出價三十二億餘元的東元勝出,獲得此一標案,第一美卡集團雖然開價僅三十億元,但仍落敗。

對於遭檢舉涉嫌以不實證書投標一事,東元捷德表示,從未宣稱取得Intergraf的ISO 14298認證,東元的ISO14298是由台灣機構認證,且未用於投標,東元集團投標數位晶片身分證是以EMV及ISO 27001二項認證投標,因招標規定有二項符合政府標案資格的要求即屬合格,東元完全符合規定,未涉任何不法。


▲數位晶片身分證未來啟用後,民眾可持舊證到戶政事務所換發。

東元並強調材料及設備不可能來自中國,晶片均由台積電生產;Idemia公司則指出,將來我國的數位身分證將在歐洲製造,不會在中國生產。因東元捷德也是健保卡的得標廠商,對於東元得標數位身分證案後遭檢舉,指控涉及以不實的證書投標,檢調認為影響重大, 將加緊腳步調查。
對手申訴 經審查駁回

此外,公共工程委員會也已接獲落榜的第一美卡集團申訴,經審查後認為,不同驗證機構核發的證書形式容有不同,難據此即認定東元有以不實文件假冒ISO 14298國際認證證書投標; 承辦標案的中央印製廠則認為,本案只有要求投標廠商符合國際認證規範,沒有要求一定要有證書,全案一切合法。


▲調查局台北市調查處( 圖 )日前請來Intergraf 委任律師盧筱筠協助調查。

不過,因這起標案爭議始終不斷, 且攸關國人身分證個資的重要資安是否得以確保,為慎重起見,仍有待檢調單位進一步釐清,儘快公布真相,才能昭公信。

閱讀完整內容
鏡週刊第207期

本文摘錄自‎

安全認證造假 數位身分證爆重大爭議

鏡週刊

2020/第207期