首頁 要聞 焦點

eID分包不違法 究責困難恐藏資安危機

文/特約記者吳靖文
內政部推行新一代國民數位身分證(New eID)換發,東元電機得標後傳出轉包多家境外卡廠,其中竟有與中國關係密切廠商,雖然廠商澄清並無違法「轉包」情事,但依現行法律規定,若因「轉包」出現問題,招標機關只能對得標廠商追責,恐對資安造成潛藏危機。

內政部辦理eID換發,將48億預算分案委外,其中採購3,000萬張數位晶片卡業務,引用《採購法》第22條第一項第二款,以限制性招標方式,直接找中央印製廠議價承攬。

而中央印刷廠於3個月後再以「PC晶片卡及印製設備乙式」標案以最有利標公開招標,決標金額高達32.93億元。而得標廠商東元電機又將相關業務轉給子公司東元捷德科技、宏通數碼、法商IDEMIA,以及美商Entrust Datacard等公司。

由於New eID規格含無線射頻辨識(RFID)技術,暗藏大規模監控的功能,東元分包之國際大廠又涉紅色供應鏈,承攬中港澳eID業務,因此爆發國安、資安、廠商資格問題等爭議;而內政部、中央印製廠以及得標廠商對各方爭議的說明內容,更是越描越黑,引發民間團體、專家學者,以民眾對該案更多不信任意見。

分包廠在中國都有設廠 增加潛藏風險

根據《採購法》精神,機關在辦理招標時,應預先評估產業專業分工的供應鏈,對廠商組織標案執行之相關分工、進度做規劃,如有需要規範分包權責,應於招標須知明確標示「主要部分」業務,以求如期、如質、如量達到標案要求。

因中央印製廠並未在「PC晶片卡及印製設備乙式」標案中明確羅列「主要部分」,因此給予東元電機「分包」的合理性,並技術性的規避了採購法第65條禁止「轉包」的規定。

民間團體質疑,東元電機應執行的主要項目中,分包3,000萬張空白身分證給IDEMIA公司,個人化印製設備(含系統)則分包予設備廠DataCard,分包內容金額龐大,且對本標案成敗影響甚鉅,而分包廠商卻不須承擔公共工程的契約責任,台灣政府更無法直接管控和追責分包廠商。

專家建議,像New eID這種關鍵技術必須依賴跨全球國際大廠的巨額採購,可根據《採購法》第25條,鼓勵廠商共同投標,所有得標廠商須共同具名簽約,連帶負履行採購契約之責。萬一廠商延遲交貨或發生危害國安或資安的事件,政府才能依契約進行履約管理控管風險,或依《民法》第224條規追究相關責任。

據公開資料顯示,參與New eID標案之廠商DataCard集團及IDEMIA集團在亞洲唯一的eID卡片或個人化設備的生產基地,都是設置在中國境內。

孟加拉原定法國製 產能不足改中國製

IDEMIA公司雖公開聲明表示,沒有參與中華人民共和國國家eID卡的製造,並保證所有中華民國(臺灣)的eID卡,均在歐洲的IDEMIA工廠製造,並且獨立於為亞太地區其他客戶提供的其他ID產品的工廠。

但是,面對全球數位晶片需求孔急,以及全球中共肺炎(武漢肺炎)疫情影響,IDEMIA公司能保證產能和交期,但是台灣能賭上多少運氣呢?

據國際媒體報導,DataCard集團及IDEMIA集團,曾經承辦孟加拉政府身分識別證標案涉及違法,都被世界銀行公告列為禁止投標的黑名單廠商。

此外,根據世界銀行報告指出,嵌入式安全軟體產品提供商歐貝特科技(Oberthur Technology,2017合併為IDEMIA)與孟加拉簽約印製之身分證識別證,原約定在法國維特雷(Vitre)製造,然因產能不足延遲交貨,一度申請將深圳作為第二製造地,但最後交貨一再延展,始終無法如期履約,影響甚鉅。

分包廠若出包 政府只能對得標廠究責

殷鑑不遠,原本內政部規劃在109年10月開始全面換發新一代數位身分識別證的業務,就疑似第一批晶片因中共肺炎(武漢肺炎)疫情影響延遲交貨,相關換發進度也就跟著遞延。

2021年之後,國際間將有更多國家推動eID,未來,台灣會不會重蹈孟加拉事件的後塵呢?建議內政部應該審慎評估潛藏的危機,防患未然。

由於我國目前數位晶片產業在關鍵技術仍須倚賴國際大廠輸入,跨國合作在所難免,但是在契約承攬的權責上,實在無法以「合法分包」一語帶過,萬一廠商出包或延誤交期,招標機關也只能對得標廠商追責。

得標廠商一定會再對分包廠商追責,但數位晶片卡換發是我國未來十年極重要之施政,對承攬廠商的履約管理的風險控管,不應以一般公共工程採購案看待,實應該從資安即國安的政策面更審慎重新評估。

轉包VS分包問題

採購法條文

適法性說明

採購法第65條

得標廠商應自行履行工程、勞務契約,不得轉包。

指將原契約中應自行履行之全部或其主要部分,由其他廠商代為履約者,若違反視同違約,須列入黑名單

東元電機於本案無違法轉包問題,分包的事實由主辦單位中央印製廠認定

採購法施行細則第87條

本法第65條第二項所稱主要部分,指下列情形之一:一、招標文件標示為主要部分者。二、招標文件標示或依其他法規規定應由得標廠商自行履行之部分。

招標文件之『需求書』需於『主要部分』清楚標示。

共同投標VS個別投標

採購法條文

追責說明

採購法

第25條

機關得視個別採購特性,於招標文案規定與許依定家數內之廠商共同投標…並於得標後共同具名簽約,連帶負履行採購契約之責…共同投標以能增加廠商之競爭力或無不當限制競爭者為限。

分包廠商並不需對招標的政府機關負責,而採共同招標者,就民法第224條規定,債務人之代理人或使用人,關於債之履行有故意或過失時,債務人應與自己之故意或過失負同一責任。

單獨投標之東元電機需負全責,分包廠商再對東元電機負責。

政府無法直接對分包廠商追責。

備註:

PC晶片卡及印製設備乙式(標案)本案共計2家廠商投標廠商,東元電機股份有限公司為單獨投標廠商,Mühlbauer ID Services GmbH、Mühlbauer GmbH & Co.KG、Mühlbauer d.o.o. Banja Luka及第一美卡事業股份有限公司等4家廠商為共同投標廠商。(資料來源:公共工程網站公告)