Author: T.H.

前情提要：

• 數位發展部會之籌備 不該如情報機關之如此隱密 (2020/09/28)
• 寫在劉世芳召開的數位發展部公聽會之前 (2020/11/16)

劉世芳的公聽會出席人數眾多，會前、會中、會後也各有大量訊息在席間交換。撇開公聽會會後之「十大法」結論，在思量之餘，卻發現另有新聞報導追擊探討此事。

• 郭耀煌赴綠營黨團報告 數位發展部仍是空泛之言 (2020/11/22)

以及一場本日下午的活動：

• 台灣數位經濟大會 (2020/11/24)

這場由「中華金融科技產業促進會」舉辦的活動，是郭耀煌首度公開現身。預料他會針對規劃中的數位發展部進行演講。此場應該具有指標意義，而且場地選在奇特的中經院。這讓我就想到了幾件過去的事：

• 新政府【五大創新產業】簡報 (2016/06/03)（編按：來自已作廢之政府科技計畫資訊網）
• 郭耀煌／跨出一專責部會設計思維 全面賦能國家數位治理生態 (2020/06/08)

我貼的這五個連結應該還挺關鍵的，一是2016年政府交接之際由他的名義發出，第二是郭耀煌被任命為科技政委之前還是「自由身」的投書。郭兄歷練豐富優秀，此時被委以重任，是符合台灣政府挑選科技產發代表人的邏輯。

Continue reading “數位發展部之上上下下左右左右BA” →

是小事，也是大事。我們把幾件事串起來看，我把事件的時間點標在後頭。標題寫的驚悚，但在「數位發展部」遲遲不見下文的當時，這些細膩的事，聰明的你我應該都要多多了解。

1. sci-hub.tw 被封鎖然後揭露 (2020/11)
2. 楓林網被查扣 (2020/11)
3. TWNIC 談 DNS RPZ 政策 (2020/09)
4. 31t.tw 復活 (2020/4)
5. 31t.tw 被封鎖 (2019/3)

另外也要看去年修法偷過的國安法第2-2條，我們再複習一下內容。

國家安全之維護，應及於中華民國領域內網際空間及其實體空間。

以上五件事情都牽涉到 .tw 域名。但這五件事情（其實是四件）性質不太一樣。我們從最早的來看。

Continue reading “全球最大最知名 .tw 網站一指被封” →

比情報組織更隱密，比國防機關更難窺其堂奧。堂堂一個數位發展部在籌備階段就能搞到如此匿蹤，對於不少人來說簡直是不可思議。不知者遠遠觀之，還以為回到清帝國末期，圖法願自強，但終究是自己玩自己。

Continue reading “寫在劉世芳召開的數位發展部公聽會之前” →

幾點心得：

• 今年能在疫情期間，能舉辦到這樣已是高標。秘書長、秘書處的貢獻，可說是成功的關鍵因素。
• 通常這種規模的會議不可能吸引外商聯手贊助，但在科技冷戰氛圍之下，反倒促成 AIT、陳耀祥、劉世芳、羅秉成和謝繼茂等蒞臨致詞。科技冷戰是外在助力，但會議本身籌備，顯然在跨過不穩定的承辦結構之後，浮現新的隱憂。明年是否有「科技冷戰」此風可乘，目前不得而知。
• 在東亞社會，「治理」一向是有權力者才能奢談的古典潮詞。絕大多數僅是各言爾志的治理研討大會，或是年輕學子模擬開會的場域。對已在水深火熱的利益攸關者而言，若非秉持心裡有愛，大概甚難長期持續參與。台灣網路治理論壇有其發展的依賴路徑，在 (a)「開放」的部分有所堅持，但在 (b) 實然政策流程影響的部分，不見進展。而在 (c) 跨域專業交流部分，起了極佳的示範，但在 (d) 會議本身的靈活和吸引度，則是越來越不樂觀。
• 「數位發展部」顯然是本次關切重點，但可惜的是，承襲良好的「傳統」，雖然現場講者和觀眾都是老手和一流之選，但對於提出影響政策規劃之人，卻是不敢公開「點明」。我們當然可以依法不依人談公共行政、組織改造、監理業務和諸多過去難以解決之事，但此事本就有人有政務官、事務官負責。在台灣談政策發展，尤其不能脫離「政策依據」和「人」等兩回事，否則就是鬼打牆。我在第二天「短講」時刻，根據所談的議題維度，提出幾位應該對此事（案：數位發展部籌備）公開有所說明的人名，包含科技政委郭耀煌（任務為數位發展部規劃）、談判代表鄧振中（如數發部職能控幅牽扯到 RCEP 相關章節）和國發會主委龔明鑫（綜規）等。台下學生不敢不知提人名，情有可緣。但現場諸多網路耆老，有身份，有經驗，有話語權。（否則如何借到中華電信總部大樓頂樓超高級會議室？）諸君應撇除心魔，要多多精準的針對人事物提出建議。你們不提，難道要手無寸鐵的書生提？
• 應注重世代傳承，台灣傳產早已面臨二代不接手無以為繼的現象級困境。網路一日三變，三年一大變，應注重傳承，該放就放。否則壓抑幼苗成長，最後輸的是台灣網路環境和本就應該有的自己的舞台。耆老應有自我認識，不要成為「永遠領袖」，在歷史洪流享受備受保護的溫存。今年議程內容極度精彩，但來客特別短少。明年若不改，將會落入殭屍之淵。「領導」的結構若是經歷太單一，整個結構就很 vulnerable。這不是網路組織該有的現象。三十年一直都在前線，就是時代的悲劇。有傳有承，互有輝映，榮榮向生，生生不息。

以上，今年僅以路人身份，貢獻一場主持和一場短講以及兩個整天，也邀請了美國智庫的朋友（應該是現場唯一的外國人）還有不在網路此行的某董事朋友。貢獻度當然還不若其他勞苦功高的 MSG 成員，因此由衷感謝秘書處的付出。超高興利用這機會見到很多老友，謝謝。

TWIGF2020又來了

時間為11月11日和12日兩天，地點是台北中華電信總公司。

• 議程：https://www.igf.org.tw/twigf2020/2020_agenda/
• 報名（有門禁管制）：https://www.igf.org.tw/twigf2020/2020_signup/

應朋友之邀，主持第一天上午的一場，題目是：網路主權：政治、經濟至安全，內容請詳說明。摘要……

自中國於烏鎮舉辦世界互聯網大會，至今已第六屆，其網路主權之論述從擴大掌握資通訊關鍵設施，到提 倡建立「網絡空間人類命運共同體」，其網路主權論述不斷演進，且持續於國際空間推動、落實。主權概念在國際關係理論已有許多討論，並有政治、經濟與安全等不同面向，然而台灣對於延伸至網路空間之 「數位國土」，以及與單一網路（one Internet）概念之競合，暫未見較深入之探討。本次研討希望能由主權概念始，就既有案例討論其於網路空間的政治、經濟與安全意涵。

精彩可期，歡迎闔家來現場交流。現場有很多不同領域的高手。除了老生面孔之外，這更是少數能有機會認識在不同地方貢獻己力的生力軍場合。

小結感受

很少有一個部會的籌備如此隱密，隱密到如建置情報機關，也很少有一個部會的籌備，到現在連「願景」都眾說紛紜。即便是2010年行政院的組織改造，也未嘗見到如此隱密之情事。

關心的人，並不在少數。

Continue reading “數位發展部會之籌備 不該如情報機關之如此隱密” →

「一打網站就掛」，是台灣中小企業數位轉型不可說的痛。

Continue reading “網站都「活不下去」了，還談數位轉型？” →

這件事很大條，而且對台灣有影響。你會好奇說，不就是兩個 app 從兩個主要的 app 市集「下架」而已，怎麼會影響到台灣？這時候就要訴諸原文和經驗，很快的針對商務部的禁令原文來研析。

9月20日生效的有兩點，第一點是 WeChat 和 TikTok 的 mobile app 要從 app 市集的美國區域下架，這一點很好理解，影響的會是誰？例如：

• 主要當然就是美國境內的用戶不能再從兩個主要市集下載和更新 app。
• 這兩個 app 在美國境內應該已經屬於飽和的狀態，大概對「市占率」成長的影響不大。但騰訊和 ByteDance 在後續任何針對安全或是軟體服務的更新，都也在禁止之列。
• 連帶的，任何透過 WeChat 和 TikTok 提供「美國境內使用者」服務的所有第三方合作商和軟體開發者，也要在兩天之內做出反應。這部分對台灣整體社會的影響比較難用一篇短文說明，但透過  WeChat 經營顧客關係管理和提供服務，如透過「小程序」的任何商家，如果有客戶在美國境內，都在影響之列。
• 在美國境內透過 WeChat 和其他國家保持社交關係和聯繫的使用者。這點也很好理解，對台灣的影響是，不少台灣在美就業的朋友，要重新思考 P2P (peer to peer) 的社交訊息流要如何快速重新建立。

對商業領域來說，你只要想想公司內部只剩兩天要判斷、處理、開發、轉移和度過此等商業風險，規模越大的會越頭痛，尤其是下週一開始辦公的時間。

Continue reading “[初探] 美國商務部針對微信和 TikTok 禁令對於台灣的影響” →

主要是這件事，今天在松菸有場發佈活動。幾點看法：

（一）此場合是一系列美方拉抬台灣（或是台灣拉著美方）的動作之一，有所上手之繼承和下手之鋪陳。一來是《布拉格提案》已在美方、歐盟、北大西洋公約組織等國之間起了個頭，但類似的「倡議」「宣言」「準則」等一向為台灣政府束之高閣偶爾遇其事才拿來膜拜祭旗，絲毫沒有進入國內政策討論的空間。根據過去經驗，若不是有非營利組織多方長期遊說，國際發生什麼事到台灣一概都不會有什麼事發生。但在「科技冷戰」領域如5G，戰在火上已燒屁股，台灣非營利組織顯然是沒有角色的，所以能說上嘴的全部是政府概念股蜂擁而上。這由本次出席人士名單即可得知。

（二）美方在兩週前才由國務卿 Pompeo 再度前往捷克遊說，加強排除以中國為首之不安全的科技生態圈和供應鏈。對台灣而言，美方作業形式和節奏，還是有可學之處，這點我們從AIT發布的訊息和文字即可得知。反倒是台灣政府代表說得很多，但訴諸正式文字可考著實在太少。完整文字不知如何取得，還要利益相關者東找西找從媒體節錄吉光片羽，政策說帖沒有官方文字落定，多偏新聞花絮，只能說台灣的文官訓練在數位時代還有很多基本功夫應該加強。

（三）通傳會在此場合的態度也很強勢，通傳會對於資訊安全政策的指導地位顯然被拉得很高。未來所謂的5G「安全」「信任」確保是否都將由通傳會統一協調，這點可多做了解。政策各機關自身安全範疇出包的案例不少，而在資訊安全領域出嚴重大包得更多。由政府來主導政策統合和資源分配甚至是到下游的資訊安全確保，台灣的電信業者想必已有深切體認，屆時可能要「送檢」不少東西。此等台美之間合作經驗對於其他簽署《布拉格提案》的各國各方是否有學習價值，也要列入觀察目標。

（四）在宣言內提到了：「為推動5G生態系統的健全和蓬勃發展，在審慎評估時應將法治、安全環境、供應商道德規範、供應商是否遵守安全標準與業界最佳實務等納入考量」。「供應商道德規範」在台灣的電信和網路業界，可能絕大多數還不知道要如何上手評估進入實務、工作準則和管理技術範疇，這部分實屬有趣的範疇。

其他觀察，就待有機會再聊了。小結以上。

一點觀察：

大概主要政府機構都派員參加，我想這也和國安單位的推動有關。五月以來堪稱「動搖國本」和「國人信任」的資訊安全事件層出不窮，至今仍無堪讀堪用的公開檢討報告。實質 CyberSec 2020 延後舉辦，此會議恰是鼓勵公部門面對產業和利益相關者的極佳場合。這可由多人的出席和蔡英文總統的致詞得見一番。

有些政府單位也準備了比較豐富的題材上台報告，若安排得宜，則有公開交流，例如針對《資通安全管理法》施行細則和未來修法方向之交流。但有些單位因為業務屬性屬於機敏範圍，雖說聽眾興趣爆棚，但演說品質猶如清水。調查局即是其中之一。落差過大，有點可惜。

無論如何，走一趟 Cybersec 2020 台灣資安大會都能學習到不少。iThome 有不少精彩報導。

Continue reading “Cybersec 2020 台灣資安大會” →

這幾天客委會提供旅遊券登記和發送一事，網路服務時好時壞，網路服務的使用者旅程 (user journey) 也再三更佚（站點一、站點二、站點三），堪為台灣政府在疫情後數位發展的經典案例之一。

此案有幾個特徵，造成在服務規劃、系統分析、程式開發、專案執行、客服除錯、公眾溝通等面向非常難以「順全緩平」：

• 急：準備時間少，可能低於一般作業時程，前後起心動念，我估算差不多一個月到一個半月（更正：接近三個月）。這時間期程對客委會而言已是急如星火。
• 變：在三天之內，服務的提供型態一再變更，國民也必須從「紛亂」的各種媒體管道得知不完整的服務訊息。
• 大：客委會的服務對象並不是一般國民，主要所服務的客家族群也不若本次對所有國民開放登記。為這個數量級國民提供網路即時服務，本來就是客委會沒有經驗的領域。從選擇 LINE 平台竟然由單位自陳沒有想到峰值人潮的估算背景知識，更證實了很多在數位時代不堪的決策品質。
• 亂：這是此案的上述條件因素在執行後三天給國民的體驗。

縱整一句就是：遇急變則大亂。

為什麼客委會所提供的網路服務會淪落至此？我想還是有兩個長期未解的難題：

1. 政務官體系缺乏基本的相關背景知識：期待政務官在各領域都有專業專才是不切實際的期許，但有些屬於基線 (baseline) 的背景知識是有必要知道的。例如服務在短時間內會湧入多少人，所以我們要如何估算、預留多少的運算資源等。這些運算資源是否符合採購程序？如果採購程序不允許，如何控制在可負擔的成本之內？如果服務藉由它方的資訊系統來支持必要的服務流程（本案為 LINE），那麼在對公眾宣傳大量發放旅遊券之前，是否在系統介接和責任歸屬等合作條件上已經談妥，甚至有基本服務限制的認識？網路服務「人潮」湧入的估算方式和實體服務據點的差異頗大。我們這次看到客委會單方表示由於 LINE 基於系統安全，在短時間內若有「超過1700個帳戶加入」，則會自動啟動防護的措施。這在任何超大型資訊系統都是屬於正規的做法，客委會難道在討論階段沒有這樣的警覺？峰值同時湧入「20萬人」和「1700人」的差距是超過一百倍。一個數值的估算如果超過一百倍，那已經不是單純的錯誤，而是根本不知道該怎麼估算的後果。
2. 單位本身缺乏能判斷風險的幕僚和作業文化：在數位時代，自己的單位不用甚麼都做，但至少要有足夠的幕僚人力在決策過程扮演關鍵的角色。目前台灣政府各部會的主官（如部長、主委等）和副主官（如政次），多半和數位世界離的很遠，因此主官本身必然要有培養相關幕僚的決心和體悟。但「網路資訊服務」的提供又不是「善用社群媒體」等時下興盛的潮流族群能有所貢獻，傳統單位內的 IT 幕僚在處理 “web scale” 的經驗也多半不足（原因不一而足）。客委會推出「旅遊券」的服務流程若內部會議有幕僚，很多問題並不是這麼難遇見和預留解決的路徑（技術、合作、採購等）。總不能每次都要外部派「消防隊」來支援，這畢竟是自己單位的事。

時間都2020年了，很多人最不樂意見到的就是每次「網站卡卡」，問題的根源就歸咎於「駭客入侵」「流量太大」，解決的手法就是「加大頻寬」「增加機器」。 從規劃、分析端就預留了各種出包的風險，更遑論更精細的指揮調度 (command & control) 檢討與優化。這些疫後的案例，很誠實的暴露出台灣政府在提供數位服務大致是什麼樣的光景，而這些「遇急變則大亂」的癥結點又是在哪裡。

這一陣子的發展相當有趣，有趣的是很多界線被打破，而這些界線的打破是快速、大規模，而且是政府經意或不經意的鼓勵。這一路的「振興」「登記」「抽籤」走下去，大概很難有所「回頭」。你的身分證字號、身分證的影像、戶籍地址、手機號碼等，都成為上網交付個資，取得各種振興「資格」的必要條件。不只如此，為了方便為由，在不少流程我們也可以看到「代領」允許，創造出某種廣泛個人資料交付的便宜性。

這些透過網路交付個人資料的政策措施非常值得檢討的原因在於，它所涉及的行為人超過一半的國民，而且經手個人資料的流程端千奇百怪，複雜到光是把現況搞清楚寫一本簡冊專書都不會為過。大規模鼓勵國民上網交付個資的這個夏天，可以說是台灣「數位國家」發展最為奇妙的一個夏天。

「隱私」這個概念，在很多的語言是沒有 “privacy” 對應的意涵。妳在街上訪問十個人，十個人如何回答說什麼叫做「侵犯隱私」或是「放棄隱私」，會讓我們更驚訝這個概念的難以定義。但在每個社會當中，或是在一個社會不同的年齡層之間。對於「隱私」的保護和警覺的意識，是有很大的差距的。這在行動網路普及之後更是明顯，而最為人所能裡解的是諸如「自拍」或是大方將家庭成員的高解析照片，公開放在「網路上」。 已退休的國民可能不會將大頭照曬在社群媒體，但在「空間感」「看似幽閉」的通訊軟體，則是會毫不避諱傳遞高解析家庭成員照片，甚至是將辦理旅行證件、處理地籍稅務所必須的個人資料無斷提供。而年輕的在學學子沒有這些資料，所以不致有類似樣態被侵害隱私的案例。但隨時隨地將個人可供生物識別的資料（如照片）透過公開的社群媒體長時間的免費提供，讓生命的歷程紀錄遠比他們前幾代人來得更為透明，這點想起來也不是什麼「進步」的表現吧。

有些涉及「隱私」的問題可以從交談之間警覺，例如你問同事的家庭狀況，在台灣可能無傷大雅，在有些國家這可是相當不妥。工作履歷上貼上大頭照看似是台灣常態，但在更多國家這是某種完全不必要的揭露。給出哪些資料、給什麼人資料、資料可以如何運用、資料在搜集目的外的用途是否允許等，這些在每個國家都有一些文化習俗。有些習俗來自於法律的規定，有些是社會常規的制約。但在這個數位時代，政府身為最大宗個人資料搜集和運用者之一，振興政策的短時間大規模推展，會將整個社會隱私概念的光譜推到一個新的境界。

對於負責網路服務有實務經驗的朋友們都知道，國民所看到的一個政府單位（如文化部）的一個網站，背後的系統維運環境和資料流的走法，並不是想像中的那麼直接。同樣一個網站，但國民找到網站，拜訪這個網站，填寫資料，傳遞資料，收到通知，覆核確認，交付電子憑證等，每個環節都有問題要銜接克服，確保安全無誤。以台灣政府過去「優良」的個人資料洩露記錄來看，在短時間內要大量服務百萬到千萬等級的國民，網路服務的持續、穩定提供絕對不會只靠自己。那麼主管機關如何在這些狀況百出只是窮於應付網站能否被拜訪之外，還有心力顧及系統安全、資料安全、服務親和度 (accessibility) 等政府網路服務必須具備的要件？

答案恐怕是否。講句白話，要讓網站不會掛掉就用盡吃奶的力氣了，其他還有辦法擔心？鼓勵國民上網交付個資，政府網站是可以相信的嗎？為什麼可以相信？資料的留存和處理的通用原則是？網站掛了上不去，是不是要重複上傳個人資料？有些網站根本不是 .gov.tw 結尾，我應該相信這些網站和政府機關是有合作的嗎？如何進一步確認？打客服電話？還是反正填了拍了身分證影像上傳再說。抽籤抽不到就算了？

今年的夏天不只是大規模搜集個人資料的好季節，而且是國民網路安全使用習慣被強化鼓勵大步退的季節。通常一整個社會的隱私習慣需要數十年好好的培養，但我們卻在一季之內因為武漢肺炎疫情控制得當，反而加速了退步的節奏。這個「防線」的退步所暴露出來一個社會的脆弱性，在承平時期不容易被利用。但在「新科技冷戰」之際，地緣區域衝突提高，台灣社會的這個脆弱性，可是可以好好被「利用的」。