香港政府有意為全港市民分階段換領新款智能身份證,據報導新身份證將加入類似 RFID 的無線傳輸技術,有市民就憂慮新技術將有助政府監控市民。其實證件加入 RFID 防偽並不罕見,到底香港智能身份證引入該技術是防偽還是監控?
身份證首次引入無線傳輸技術
據保安局最新交予立法會的文件,當局有意在 2018 年第二季至 2022 年第二季,分階段為全港市民換領加入新防偽技術的智能身份證。整個換領計劃花費預估需花費 29.1 億元,涉及約 900 萬張身份證。據指新身份證會提升晶片的技術水平及加強防偽特徵,其中就包括首次引入的「無線傳輸技術」,以提高保安性能及加快資料檢索速度。雖然詳情尚未公布,但估計是類似於 RFID 的無線射頻技術。
對上一次全港大型更換身份證是 2003 年至 2007 年,換言之大部分智能身份證尚未使用超過 10 年。據保安局宣稱,現時使用的智能身份證物料,在正常使用情況下可使用年期僅為 10 年;另一方面該系統於 2000 年代初開發並推出,軟硬件均快將過時,過時技術的供應及支援不斷減少下,系統保養和技術支援將愈益困難。
此外保安局另一重要理據是有關技術開始追不上最新水平,使用過時技術會對系統穩健性構成威脅。2012 年就撿獲 171 張偽造智能身份證,2013 年增至 186 張,增幅為 9%。保安局指近年偽證水平不斷提升,歐洲已出現類似香港身份證物料和防偽特徵的假證,因此有需要為智能身份證引入新的防偽特徵和晶片建構技術。
全球近百國家護照採用 RFID 防偽
據保安局資料顯示,新智能身份證的晶片容量會比現行的晶片更大,能儲存解像度更高的相片影像,以支援容貌識別技術,並提供平台以作指紋核實以外的生物特徵識別之用,同時也會儲存最新的指紋模版,令核實身份的程序更安全準確。新晶片亦增加了使用其他政府服務的可能性,讓新一代智能身份證有更廣泛及方便的用途。
其實在身份證明文件裡加入 RFID 晶片,並非香港首創,目前全球已有多個國家的護照已使用有關技術。一般護照會在紙質資料頁上列印持照人照片及個人資料,而內置 RFID 的護照其封皮底與內襯裏頁之間會植入非接觸式晶片,用以儲存持照人基本資料及生物特徵。當局可藉由 RFID 讀取晶片中儲存的資料,並透過電子憑證機制驗證護照真偽。
目前全球已有 96 個國家採用內置 RFID 技術的護照,包括美國、歐盟、日本、中國、台灣、俄羅斯、加拿大、印度、澳洲等。至於在一般身份證加入 RFID 亦不罕見,中國、德國、馬來西亞、澳門的智能身份證亦已採用有關技術,因此並非香港獨創,也並非以監控為前提而使用。
網民憂慮可大範圍掃瞄市民資料
不少人均擔心,RFID 身份證會成為政府監控市民的手段,這些憂慮也不是全無道理的。香港市民目前最想接觸的 RFID 應用,應數八達通和快易通系統 Autotoll。但其實 RFID 在日常生活應用甚多,尤其在物流、零售一類行業就應用得更多。
其中一個被網民懷疑可用於監控市民的,是 RFID 的掃瞄器可遠距離一掃便能讀取大量 RFID 標籤的資料,甚至懷疑可像 Autotoll 一樣能在公眾地方設立掃瞄器,只要市民經過就會被紀錄。這懷疑有根據,但卻未事實全部。
目前零售和物流業其中一種使用 RFID 的方式,正是利用這種掃瞄功能輔助管理倉存。只要用一部手提掃瞄器,便能立即讀取貨架上貨品的實際存量,而物流業甚至可監察在貨櫃倉中的溫度濕度,以保持貨物品質。換言之所謂「行過就會讀取」的疑慮是有一定根據的。
那有沒有類似案例?是有的。去年台灣中華電信發生了一宗外人隨便闖入機房任意拍照的嚴重保安事故,因此該公司便引入了 RFID 追蹤的制度,新機房將使用主動式 RFID 通行證,追蹤每位進到大樓內訪客的所在位置,再配合人臉辨識系統來即時定位及追蹤訪客目前所在位置。
須光學閱讀器作二重認證
不過如果因此就認為政府可用一部掃瞄儀器,便能揪出示威群眾的身份,則未免過慮。第一,在保安局呈交立法會的文件中顯示,新版智能身份證會加入「光學閱讀技術」控制晶片資料的存取,並在傳送晶片資料時,將資料轉化成「密匙」。
若要讀取身份證標籤資料,必須物理上取出身份證並放到一個「光學閱讀器」上,兩者不能超過 2 厘米的距離。換言之,理論上是不能隔空就讀取到身份證訊息的。另一方面,每張新智能身份證都有獨特「密匙」(Access key),必須有指定認證才可讀取資料,所以保安程度亦會較高。
第二,要大範圍掃瞄,掃瞄器就需要較大頻率,頻率愈高,作用距離就愈大,數據傳輸率也就愈高。而另一個更關鍵的問題是,要做到大規模的掃瞄,需要的不僅是強大掃瞄器,標籤本身也要支援。目前 RFID 標籤可分為「主動式」和「被動式」,主動式具備定時向感應器輸出訊號的能力,但就必須使用電池,而被動式則不用電池,但就不能主動發出訊號,也不能感應太遠的距離。
被動式標籤有效距離僅兩公尺
換言之實際關鍵其實是採用哪種型式的標籤。像物流業那種大範圍掃瞄是需要使用主動式的標籤才能做到,因為被動式標籤需靠掃瞄器的電磁波作為能量並反射回傳訊號,但因為電波傳播衰減下,令被動式標籤的有效距離僅為兩公尺左右,相反主動式就能達到 5 至 50 公尺。相信智能身份證不可能會內置電池,因此要做到網民疑慮的大規模掃瞄,其實不可能。
若新款智能身份證只能在短距離讀取,那它就真的只能在短距離讀取。因不同頻率的掃瞄器和標籤是不能互相干涉的,正如公司的門匙卡和八達通放在一起也不會互相影響,因此要用大頻率的掃瞄器來讀取被動式標籤也是不可能的。像 Autotoll 那種就是主動式標籤,不僅頻率較高亦必須配合電池才能做到自動交易的效果。
而前面提到的中華電信案例,採用的也是主動式標籤而非被動式標籤,因此才有真正追蹤位置的效果。再舉一實例,像圖書館就有使用 RFID 來管理圖書,若有人偷書便會在門口的掃瞄器發現,但問題是如果出了門外,就不可能再追蹤到失書的位置。如果被動式 RFID 真有此神效,第一個採用的也會是鈔票,平安夜失鈔事件也會容易追蹤得到。
更需提防護照上個人訊息外洩
先撇開會否被政府監察不論,其實利用 RFID 防偽有否必要?會否反而帶來更多的保安疑慮?這都是近年在信用卡、護照和身份證引入有關技術後,很多人討論提及的。其實比起被用於政府監控,反而更多人擔心護照上的個人訊息,尤其是生物辨別訊息外洩。
畢竟一張標籤內容了護照持有人的身份識別資料,包括生理辨別資訊相當敏感,就算有加密也不代表適合能在隔空傳送。由於有很多人都有這種疑慮,因此阻隔 RFID 訊號的銀包、手袋、衣服等產品,都陸續開始面市並得到不少人的支持。
但目前而言這些擔心屬於過濾,一來破解加密的成本太高,二來各種身份證明文件並非只靠該標籤識別身份,還需其他防偽技術配合,因此單從這些 RFID 訊號並不能就此便可盜用身份。但不管技術如何,政府在敏感時刻提出有關文件,難免進一步加劇市民對政府的不信任感。有議員就批評保安局向立法會提交的文件過於簡陋,未有針對技術細節內容向立法會解釋,難免會令公眾產生疑慮。
