台灣偵九隊的一則「不實」訊息

新聞稿在這:查獲LINE群組散布不實疫情訊息案

這裡面透露出不少可以討論甚至將「偵九隊」作為教案的狀態。第一眼看到這段落,我的感覺就是「不實訊息」:

警方再次呼籲民眾勿隨意製造、散布或轉傳涉及新型冠狀病毒肺炎疫情之不實、未經查證之訊息,是類案件於抗疫期間必依法速查嚴辦。另請民眾全力配合政府相關防疫措施,相關資訊可上疾管署網站查詢最新公告內容,並可加入衛生福利部疾病管制署之「疾管家」官方LINE帳號,接收最新的疫情及防疫知識;還可透過「美玉姨」、「My Go Pen」等網路訊息查證平臺辨識訊息真偽,全民一體共同防禦新型冠狀病毒感染之肺炎可能帶來之危害。

撇開 typo 不論,「美玉姨」和「My Go Pen」不是「網路訊息查證平台」,自然也無法達到「辨識訊息真偽」的用途。

美玉姨」是一個查詢和半自動化回覆的介面,本身不具有「訊息查證」的功能,要說是「平台」也不盡然正確。「美玉姨」背後所串接的資料庫來自於另外一個網路專案,也就是大家熟悉的「Cofacts」。Cofacts 是不是一個網路訊息查證平台,是否能達到辨識訊息真偽的功能,這當然可以討論,但美玉姨是一個「外掛」的程式,原開發者也有一段時間沒有針對此程式進行「維護」和「改善」。偵九隊建議民眾使用「美玉姨」,這個建議可說是「無所本」或說是「認知有誤」。套句時下流行的話,就是不具惡意但其訊息本質是「不實」「不夠貼近事實」的訊息。

至於「MyGoPen」則是另外一個有趣的案例。「MyGoPen」是一個「網路訊息查證平台」嗎?比較精確的說,應該是:

  • 一個私人單位的網路內容檢核網站
  • 網路內容檢核結果的商業(或非商業)的資料源

MyGoPen 提供資料源的時間早,除了和華視的合作之外,也是其他傳統和電子媒體針對「不實訊息」的「澄清」的內容合作對象之一。套句術語就是內容提供商,也就是我們電信和網路產業所說的 CP (content provider)。至於它所提供的內容是否就是具有「辨識訊息真偽」的事實,這點我不清楚,可能問不同的閱聽眾所得到的答案也不太一樣。套到商業領域,若有 CP 說他們的內容就是事實,那麼我相信這答案聽起會是稍微偏離常識。但我們應該可以詳實確定的部分是,”MyGoPen” 是內容提供商,但怎麼說都還不到「網路平台」的水準。

因此,偵九隊這則新聞稿的這則段落,若用網路平台的標準來看,確有不實訊息的疑慮。


不過,當然是沒人這麼認真在看新聞稿的。所以偵九的訊息,無傷大雅?刑事局偵九隊「高調」「查水表」,防疫演變至今,不啻是加快暴露出在網路時代,更多執法單位在態度、知識和工具的不足?

2020大選後台美資訊戰研究的出路

活動網址:https://schee.kktix.cc/events/disinfo-research

(更新)本活動座位有限,報名已滿。謝謝各位的關心。

前因:https://blog.schee.info/2020/02/05/whats-next-after-tw2020-election/

不過,對任何這方面的研究者來說,若是這一年研究的動能有所大幅增加,那麼研究的經驗累積,總不該只是社群媒體或是報章雜誌的專欄吧?我們看幾個比較長期有聲譽的智庫,包含美國、德國、英國、澳洲等地,無論對台灣的研究水平如何,就算只是想對其國內利益相關者表示「我也有在做台灣研究」,至少都有公開的報告,可讀可閱,可供討論。進一步積極者,還能看到所釋出的資料集,讓其他的研究者能驗證所謂「資訊戰」「假新聞」的指證歷歷和論述。

以及:

對西方世界來說,這方面的研究很重要,台灣當然是一個好的標的。但研究資源缺乏累積,沒有可供驗證的文本,那這兩個領域,可能就不屬於研究範圍。我們可以說是情報工作,也可以說是政治工作,或是外交工作,也可以是服務美國顧問公司的公關工作。但對於研究者而言,若走到這一步,發展當然是最差的。

筆者於2018年11月自瑞士返國,在當年大選「大敗」後的一週內,接受台灣「新境界」智庫邀請,夥同友人一位,分享對於假訊息的觀察。當時第一版簡報的簡要版也公開上傳到 Slideshare 網站。席間有多位重要相關政策的制定人士,其一表示,這已經完全超出他們理解的狀況,此後也不知如何是好。(你沒聽錯)

在2020年的現在,由於幾本相關主題譯書在台灣的出版,大眾已經對這方面的議題比較能夠了解。但僅僅在12個月前,這個理解的深度和關心的程度,是完全不存在的。。。對,即使是對政策的制定者來說,也是成立的。(你也沒聽錯)

是日會後,筆者認為相關研究和觀察經驗,對於台灣和盟邦以及被此事搞到焦頭爛額的平台業者們也是重中之重,議題的討論應該予以公共化。2018年12月底,筆者將原始版本透過台北「哲學星期五」的活動,與幾位專業人士,重新爬梳對於假訊息在台灣網路空間發展現況,背後的網路空間結構等,進行一次大約三小時的熱烈交流。

這場名為「奇怪的戰敗 2.0」的座談,可能是許多研究者第一次聽到,也第一次了解到研究途徑可以和過去在台灣輿論所知所述,擁有迥然不同的研究「進攻」路線。

時序快轉三個月,期間又有幾場比較關鍵的讀書會。但在這場「奇怪的戰敗 2.0」知識饗宴後,台灣也爆發了對這方面研究的「渴望」。渴望的了解主題叫做「資訊戰」,而不少積極的研究人員,到目前為止累積了大約不到10個月研究歷程。

筆者在此階段的觀察,也詳實地記錄在 blog

根據公開資訊,我們得知美國智庫 CSIS 在本月也舉辦了台美在此議題的經驗交流,同時,在美國國務院 GEC (Global Engagement Center) 計劃的支持下,雙方即將在本月(2020年2月)於台北舉辦「美台科技挑戰賽」,作為在東亞區域之資訊技術利益相關者的交流平台。筆者將在此次「盛會」舉辦前,針對過去所接觸超過三百位利益相關者的觀察,包含跨國公司、平台業者、智庫系統、他國和本地研究生態結構等,再次交流對於研究課題可以如何繼續發展的觀察。

本分享會型態為輕鬆嚴謹,具有 “serious fun” 的基調。

座位有限,活動場地為市內會議室,可自行攜帶飲料飲食。有意參加的朋友,請線上註冊方便統計人數。

國家級警報竟然用 Bitly 網址

雖然在收到的兩個小時前透過新聞報導,知道北北基的民眾即將收到 cell broadcast 國家級警報,但我昨天收到的時候簡直嚇呆了。

警報報文所傳遞的訊息,字數控制在一定的數量之下,為的是讓民眾可以看到 Google Maps 上的 POI (point of interest),也方便在有限的手機螢幕上完整顯示武漢肺炎的警示。這則報文用了 Bitly 的短網址做轉址。這串短網址是這樣的:

  • http:// bitly.com/2SpSxeT

除非你知道怎麼拆解網址,但單純在手機上是看不出來這是哪個單位發的,也不知道後面轉址過去所拜訪的網址,是一個網頁還是一個檔案。你可以說你相信 cell boradcast 這個機制是政府才有權限使用,訊息的發送管道做得很好,所以我們想都不想點下去市民應盡的義務。但對有經驗的朋友,一開始不起疑竇,大概不太可能。

我們估算本次發送範圍的北北基民眾,大約有七百到八百萬之譜,這個數量的民眾,持有的手機不一定全然支援 cell broadcast。先估個三百萬好了,有至少三分之一的人在60分鐘內會透過這短網址轉址另外一個地點,這尚稱合理的推斷,也是 Bitly 所公布的統計數據。

  • 11:00 AM, FEB 7, 1,136,286 clicks
  • 12:00 PM, FEB 7, 876,519 clicks
  • 1:00 PM, FEB 7, 451,591 clicks
  • 2:00 PM, FEB 7, 239,410 clicks

到目前為止,這個短網址已經被點擊了超過320萬次。這讓我想起有一位在電信業長期服務的朋友,他說他們做手遊的加值服務,過去也用短網址把原本要使用者點選的網址夾帶在簡訊送出。過去點擊率的表現很好,但後來詐騙事件多了(2015年媒體報導某科技公司2016年的分析),大家也有這個警覺,看到不明網址不會亂點。這也難怪,短網址是方便將很長的網址或是帶有各種參數的網址,縮短為一串好記,甚至是可以直接鍵入的方便途徑。

短網址是各種針對消費者進行網路攻擊最常使用的工具之一。如果政府要用短網址,大約十年前美國前任總統歐巴馬還在任內時,就提供了專門給政府單位使用的短網址服務。你可以看到這個服務目前仍躺在這裡。這不是最好的案例,但比較知名:

這個只提供給政府內有權限的人所使用的政府短網址服務, 實務上可以相當程度的確保:

  • 短網址品牌識別來自於美國政府或授權的僱員
  • 短網址所指向的網頁或檔案,是經過政府授權顯示,或是經檢查沒有資訊安全疑慮的
  • 短網址當初是誰創造的,有使用歷程
  • 短網址轉址時會搜集大量的資料,這些網路載具端的行為資料搜集,政府可以管理(如:留存、研究、刪除等)
  • 短網址服務不至於因為瞬間大量使用,造成轉址服務中斷

這次國家級警報使用 Bitly 的短網址,剛好成為可能是台灣歷史上第一個有趣案例:

  • 利用國家級警報,可能是台灣政府首度大規模使用單一短網址
  • 使用美國 Bitly 公司的短網址服務,Bitly 可以隨時砍掉這個短網址,或是讓它無法運作(他們沒有這樣做)
  • 國家級警報直接「廣告」 Bitly 短網址服務的品牌,送了一個超級大禮
  • 至目前為止所創造出超過320萬次的點擊,讓 Bitly 可以搜集到非常好的台灣北部的使用者行為和使用端點(載具)的資料。我不敢想像這可以創造多少未來的商業利益

我不知道這次警報發送時,在發送系統內有無檢查,例如(純討論用):

  • 跑去其他 ccTLD(例如 .ru)的網址要直接在後台上稿時鎖死警示,或是白名單 TLD
  • 或是做防呆處理,如:鍵入不正確的超連結格式,系統就先行跳出出警示等
  • 拒絕鍵入不安全的格式,例如本次是 “http” 而不是 “https”

台灣的各級政府單位使用短網址非常之頻繁,而台灣做短網址服務的商業或團隊,也在 goo.gl 關閉之後如雨落春筍般的上線。但國家級警報不是網路小編挑文放一個短網址在臉書的文章,只是為了服務之後的統計報表所用。更重要的應該是在緊急狀況準確的傳遞訊息給國民,也避免直接鼓勵國民擷取資訊的過程,「不小心」造成大規模短時間被收集行為資料的事實。

這件事是可說是非常好的「教案」,與陳建仁副總統鼓勵民眾拜訪內容農場的網址同樣是在全國公衛防疫壓力的「失常表現」。很多資訊方面的意識在緊急的時候更加重要,在防疫時期,我們更需要政府的各環節內有人把關。這個把關的機制落在單一個人是不明智的,例如做手遊行銷的,絕大多數會知道短網址的可用和不可用的份際。這樣的知識,要能在政府的緊急作業流程內被鼓勵流通。如果沒有這樣的體認,那麼防疫救災之時,就會是資訊安全,個資安全和隱私的修羅場。

其他關注議題:

口罩供應即時查詢的第三日

第三天講的更少,直接先講結論。有興趣的朋友請回顧第一天第二天的推演。

  1. 接下來一週的防疫重點絕對不在於口罩的即時庫存查詢,穩健放著讓 PDIS 去協調,但要求主管或職務代理每日定時匯整回報狀況。接下來四天要怎麼做,以中央防疫指揮中心的判斷為主。不能直接「放水流」的原因是,PDIS 是政府資源所授權的某種編組,既然是政府資源所授權,那麼政府就有責任,但要「背負」這等責任,完全不是現在的要務。
  2. 庫存既然不是即時也不可能「正確」「無誤」,那麼就讓 PDIS 彙整的網頁上所列的各個計畫,在接下來的一週 “pivot” 到揭露藥局非即時但重要資訊的某個資訊系統群眾外包之實驗運動。
  3. 不要因為這件的「拐彎」拖垮藥局一線的人力和創造出不必要的流程干擾,或是「拐出去」的更大。所謂的流程是還有四天即將到達檢討是否要繼續口罩實名制的一週期限,各單位和前線戮力以赴根據資源,管理,法規和緊急狀態所跑出來的「最佳流程」。接下來要看全國口罩產能的進度是否足以樂觀以及防疫的進展。之後再決定 PDIS 這部分要怎麼處理。
  4. 網路協作的經驗和成果,讓媒體去詮釋和承接發展,畢竟很多人花費了苦心,這些努力值得被記錄(但不是歌頌)。防疫過後,要記得用不同的角度來研究此案,但對外要誠實,對內… 已有媒體之力。重中之重仍是現在的防疫,關鍵資源的供應,還有對大眾溝通時所釋出訊息通路的可控和可信的累積。整件事單獨來看是一件「美事」,但啟動時機稍微不對,一開始若能錯開48小時,必要之需求先行確認,大概就完滿了。(之後再說想法)
  5. 目前這些接取介接衛福部所釋出的群包介面,警語的各種提示,部分開發團隊和人員已自行依照自身的節奏補上。未來三天這些網站的總訪問量應該會降低,緩解大家自願提供運算資源的耗費。
  6. 請記得接下來正式對外的溝通話語,避免提到「即時」兩字。溝通的方向是壓低根據無法同步的公開庫存資訊所造成的焦慮和查詢民眾對政府防疫舉措(尤其是網路資訊管道)不信任之漸次灼傷。
  7. 無法提供「正確的資訊」所大量造成某種貼近傳播「不實訊息」效果的影響,無論如何努力,在緊急防疫期間不是好事。做決定的人要能負責。

冷靜以對,大家保重。

[活動] 武漢肺炎後的台灣國際參與

時間:2020年2月12日(三)19:00-21:00

地點:Treerful 小樹屋科技大樓 601 / 臺北市大安區復興南路二段200號6樓-601室

活動報名(麻煩,要統計人數):https://schee.kktix.cc/events/intl-engagement-after-wuhanvirus

前因:https://blog.schee.info/2020/01/29/icaoblock/

聯合國的正式組織和結構相當龐大,中國政府比較說得上話的領域,基本上有很多的中國籍政府官員、外交人員、學研、記者和共產黨黨員以及其盟邦夥伴,這點是「不方便的事實」,是台灣在美中貿易戰以及武漢肺炎所必須更精確認清的事實。

以及:

以台灣的社會經濟實力,在各國際政府組織 (IGO) 和國際非政府組織 (INGO) 要能確保能順利運作的常駐人力缺口,我猜有三千到五千人之譜。目前完全沒有人才培養和晉升的管道,而且斷層有如大峽谷般的無法銜接。你辦事還是避不開人的,你自己若沒有人,可能怨不得人

筆者將在此次微小的分享會,分享參與聯合國相關生態機構和計畫的一手經驗 (2011-)。目前可以參考的簡報:https://www.slideshare.net/schee/ss-89464500

此簡報的首度公開場合,來自於2018年2月底在智庫「新境界」的邀請之下與內部所分享的內容。隔週 (2018/03/03) 即直接上傳於公開網路。在將近兩年後,我們再來重新檢視武漢肺炎和美中貿易戰之後,台灣在 UN 體系的參與,尤其是在:

  • 新興(例如5G、網路安全和網路空間)
  • 危急領域有什麼空間
  • 無任所大使的角色

…  等該有什麼基礎的認識,如何看待 UN 生態,以及未來的路可以如何推估。商業領域的朋友也不要錯過,因為貿易和新興數位領域,不可能自外於這兩波的大衝擊,也不可能自外於美國國會的意見

本分享會型態為輕鬆嚴謹,具有 “serious fun” 的基調。

本活動不提供口罩,請參與者自行準備。座位有限(僅十位),活動場地為市內空間,但可自行攜帶飲料飲食。

口罩供應即時查詢的思考(第二日)

承前一日的觀察,今日話少點,講精要。

健保署的內部系統

健保署署長在受訪時,特別提到增加運算資源這件事,但有經驗的會說增加「運算資源」,沒資訊系統經驗的可能會說「傳播速度拉快」或是「設備增加」。但不管怎麼說民眾的現場體會和自己用電腦系統的體會是類似的,只知道「當機」,「卡卡」或是「卡頓」。另外一種可能是,主官為了公眾溝通所以不說「運算資源」,這也是很有可能的。通常我們透過採訪的口述,大致可以知道一個主官對於資訊系統或是和其專業顯有差異領域,是否有足夠的經驗和團隊支撐。不過這不是署長的日常業務,而且這是緊急情況,他的團隊在這個時間頂不頂得起來,當然更為重要。就算是資訊領域出身,資訊領域何其大者,真的需要很多不同的專業才能把事情搞得好。

藥局透過 VPN 和健保署相關系統的連線雖然行之有年,但畢竟沒有遇過類似本次武漢肺炎的超大量查詢。沒有公測過的網路資訊系統在公開後幾乎一定會「炸掉」,所以要有很快速的應急方案 (mittgation plan),這可說是鐵律。第一天遇到,第二天就緩解了許多。這是好事一樁!

唯一不是短期內要解決但遺留的問題是,我們看到健保署的說法

李伯璋今天受訪表示,有部分特約藥局因非使用IE系統造成上線困難,但都已即時解決,健保署全省監控上機狀況良好,雖然有特約藥局零星上線問題或驗證速度稍慢,但絕大部分人在1520秒內就能購買完成,若有藥局販售遇到困難,希望能隨時反應給健保署。

對於現代任何一個做 web 資訊系統的團隊而言,還能看到「部分特約藥局因非使用IE系統造成上線困難」,這顯然不是好事。這種遺留系統和環境 “legacy systems” 的條件限制,大概是未來如果要「滿足」「全民」透過「網路」即時查詢口罩庫存的關卡之一。

健保署的對外系統

健保署在204日發布,在206日實名制的第一天,將有口罩即時庫存系統上線。現在想來,這建議不知道是誰建議的,是透過什麼程序通過的。因為要滿足這樣的需求(如昨天本篇所述),是不可能的。技術上就算可能,在實務和操作上也不可能。我本來的推斷是,如果我是健保署,一定是把運算資源優先撥用給內部 VPN AP(藥師用的系統)來使用,而不是對外的系統。這應該是優先權最高,而且要持續解決和優化的項目。

但既然已經公告,很難還沒上線就說不上線了,必應這會大幅減低政府防疫資訊的「信度」。26日上線到現在30個小時,我們也看到了許多不能歸咎於純資訊技術性和開發人員的因素所產生的問題。昨天有提到一些,今天再補充(以下沒有按照時序):

  1. 民眾拿著透過各查詢系統所得出的數據結果(口罩庫存),質詢藥局人員。如:口罩庫存不即時,我開車一趟要跑兩小時(嘉義部分鄉鎮、南投部分部落)
  2. 民眾跑了幾家之後,發現口罩即時庫存數據對不起來,開始打藥局電話(放棄此資訊管道)
  3. 藥師在第一天就必須第一次應付三類狀況:(1) 藥局本身新的營運流程 (2) 內部系統新介面的作業流程,以及 (3) 外部民間口罩庫存系統所帶來的大量電話詢問
  4. 由於各民間「查詢系統」已經分別各自上線,民間的工程師開始在不同環境討論和理解現場藥局的各種實務流程,並且想辦法積極解決
  5. 健保署自己的查詢介面「下架」,直接轉到 PDIS。我猜測健保署應該不會再自行提供檢索介面
  6. 健保署以開放資料的型態,將口罩庫存的數據釋出
  7. 資料集釋出的頻率,透過 PDIS 協調,從30分鐘的間隔縮短到1分鐘之內
  8. 更多的民間開發者(盈利或非盈利)加入開發的行列(案例一
  9. 第一天媒體報導(角度不一),但因為有畫面,畫面讓資訊工程的開發者更清楚了解現場的狀況,健保署相關系統的邏輯,還有現場的各種人因 (human factor) 所造成在資料鍵入的不即時不準確問題,或是庫存進銷存要「即時」而且「正確」,是多麼難的挑戰
  10. 部分有經驗的開發者持續優化本身系統,寫入警語(例如數據僅供參考),或是凍結開發(因為發現源頭的數據和現場實際進銷存的狀況,條件太複雜)
  11. PDIS 協調,請健保署多開欄位,讓口罩庫存的查詢可以更有機會趨向「正確」,例如:銷售開始時間、銷售結束時間、營業期日、休息日等
  12. 各縣市的藥師公會分會在資訊彙整和回報角色被拉起來

從另外一個角度來說就是,這是一個口罩庫存查詢系統持續優化的「巨大實驗」和「嘗試」,昨天是身分證尾數偶數者成為「體驗」的對象,今天是單數者。這種努力的心力和勞力是值得鼓勵的,但在防疫的角度來說,我認為目前實際能幫到忙的,絕大多數還是藥局清單和聯絡方式。至於這30個小時幫到了誰,是怎麼幫到這些人,都需要之後的扎實研究。

到下週一210日口罩實名制的第5天,這場「實驗」可以累積不少經驗,口罩庫存查詢系統優化的腳步大概也到了一個階段。疫情能否控制得宜,整體社會能否得到更正確的訊息,實驗所付出的代價是什麼,在邁向「即時」「透明」就是王道的今日,我們第三天再來看看。

訂閱 Telegram 頻道

「台商」一詞在21世紀武漢肺炎後的適用性

很拗口,但我想到的狀況和「網軍」一詞所投射出來不符合現況的想像,是類似的。

「台商」是什麼時候興起的詞彙?印象中應該是1980年代後期,也就是開放「兩岸探親」前後開始被媒體所使用的詞彙。這時候能被稱為台商者,一來大概不是老兵,二來在香港可能有些生意,三來和美國也有生意往來,四來有做日本生意的,也不在少數。除了因為中國內戰記憶而前往「大陸探親」的老兵和在台親族之外,其他勇於「西進」者,絕大多數肩負商業目的,身份是商人,所以相對於「台胞」,就被稱之為「台商」。用台商來指涉這一群多半是男人的人,可以準確的涵攝其身份和經濟行為。

1993年04月29日海基會在新加坡針對台商赴大陸投資保障落實問題的討論(又稱:辜汪會談),應該是「台商」比較正式進入公部門溝通用語的轉折點?

但撥開這層歷史脈絡想來,「台商」聽起來是很奇怪的,尤其是現在都2020年了,西進中國(大陸)的理由有千百種,身份目的也非常多元。就如同1980年代我們開始到美國因為留學、找工作然後定居的一代「資訊人」來說,到美國可能是留學、依親,也可能是取得相對應的工作簽證,從事藍領或白領的工作。我似乎沒有聽過誰會把去美國的人稱之為「美商」。美商指的應該是美國資本來台所設立的海外子公司或分公司。所以我們會聽到美商XXX公司,或是法商XXX公司。至於「外商」公司內工作者的國籍是什麼,身份是什麼,是不是有一個攏統的詞彙來稱這些受僱受聘的工作者,我暫時想不出來。

現在回來想想,「台商」可能是一種極為聰明所創造出來的階級?如果我們要把「台商」正常化,那麼,我們需要什麼新的詞彙來指涉在中國(大陸)從事各行各業,擁有台灣護照(或是居留證)的民眾?

這可能也是武漢肺炎和徐正文等中介者橋返台班機一事所併發的思考。

口罩供應即時查詢的思考(首日)

純粹留下紀錄,設想的閱讀對象是對政策的發展有興趣的朋友。例如說,你是機構的管理者,或是採購的決定人,或是單位裡面負責整體數位政策的那一位,你可能身在公部門,也可能在私部門獨當一面。面對這麼龐大的口罩供應即時查詢「需求」,要如何在如媒體所稱的號稱48小時之內,「開發」出一個即時查詢的系統?

需求是什麼?

首先是,這需求是哪裡來得?例如說,是每一個人都要能查詢口罩的即時庫存量嗎?需求的定義是很難的,也非常花時間,尤其是對大型的資訊系統而言。這時候,通常的做法是先搞清楚利益攸關者,也就是說,這個對外的資訊系統從討論、需求訪談、啟動、測試、上線和維護等,要先比較清楚的知道會有哪些「角色」會被服務到,或是會被牽扯到。這個「專案」的 “sponsor” 是誰,服務的是誰等。這種思考的路徑,無論如何緊急,最好都不要省略。模模糊糊有概念也好,不用想到很精細,尤其是這個資訊系統要服務的,是這次「口罩之亂」所引起的「需求」。

這次「口罩之亂」和即時庫存查詢需求的出現,源自於實名制的產生。實名制的新聞發布,到實際必須提供系統服務,大概只有不到72小時的作業時間。所以需求是什麼,哪些是剛性的,哪些是假性的,哪些是可以晚一點處理的,哪一些是一定會「被罵的」,哪一些是需要錢的,哪一些是可以「丟出去」的。

我們能看到的是,先有來自台南的工程師團隊,很快的利用 GCP 平台,製作出了「即時口罩地圖」。但那時衛服部主導的中央流行疫情指揮中心,照我們所得知的媒體訊息來看,一開始可能沒有這樣的想法。但在媒體的熱心報導之下,這個「即時口罩地圖」,成了第一個資源條件有限和需求定義不明的「犧牲者」。

中間我們先跳過大約50個小時,看看需求在衛福部的口罩實名制正式於206日上線後,遇到了什麼問題。有幾個比較明顯的:

  • 對外系統全掛(web/app 端),對內系統(藥局端)保持順暢但反應緩慢
  • 庫存量幾乎不可能「即時」
  • 健保特約藥局有不同的營業時間
  • 健保特約藥局不是只有這個業務,還有其他業務(調劑、診所等)
  • 一般民眾對於「即時」的期待,包含資訊的即時性、正確性、可取得性等的需求,不可能「滿足」

這些問題在26日早上各系統上線後面臨了「實證」,而衛福部自己即時庫存的「網頁」,也在幾小時後不得不下線,先轉去 PDIS 手刻的展示頁面,將這個需求和負載先行過繼給「民間」。

哪些是我被授權解決的需求?

這對於外部的「民間」團隊比較沒有這方面的疑慮,但是對於政府各單位以及緊急防疫情境下的公務員,是有很大的不同限制。例如說,所謂衛福部的 app 查詢介面緩慢,到底原因是什麼?根據目前我們與 app 合作業者的採購合約限制來看,我們是否只能「加機器」以解決查詢訪問量大增的狀況?加了機器就能讓 app 查詢時間變快嗎?還是是機器對外頻寬的問題?對外頻寬要加到多少?要花多少錢?如果隔天重新上線要再加,我們能談到比較好的對外頻寬 (outbound) 價錢嗎?下決定的是誰?下決定的人跟我的關係是什麼?如果他是我健保署的上司,我大約知道這些可能發生的狀況,但老闆已經在記者會上說明,我不是這個計畫的編組人員,我該說話嗎?我甚至沒有獲得授權參加相關討論會議。這些會衍生出的需求,我該怎麼辦?

這個系統畢竟不是「媒體資訊系統」,所以在「授權」的層級會有不同的狀況。媒體資訊系統的授權,在這個年代的台灣,大概壓縮得很扁平。要服務的需求,也非常單純。例如說,授權的層級有主編、編輯、記者、設計師、工程師等。一條新聞上到網站,只要能產生足夠的 traffic只要沒有「假消息」的疑慮,這個新聞的網址要如何被散佈,內容如何修改,大概也不會有什麼問題。一篇報導能產生到不重複 IP 數萬甚至到上百萬的訪問量。

但口罩庫存的即時查詢系統,當然不是這麼回事。衛福部有自己的授權層級,負責派送物資的郵局,也有自己的系統(這裡不是單指資訊系統而已)。然後是特約藥局和工會,藥局本身的內部。藥局本身內部還有電話和網路這兩條可能湧入需求的數位「線路」,前者是電信,後者是衛福部趕工上線必須透過 VPN 連接的內部系統,而這系統還牽涉到藥師卡等。而且即時查詢系統,需求方很多,使用系統的各個角色,來來回回比媒體資訊系統複雜許多。藥局和衛福部的內部系統可能還好,但要對外的部分,就一發不可收拾。

藥局應該沒有配置資訊人員,連鎖的藥局可能在總部有資訊團隊的編制。上面提到的幾個角色,都還不是口罩的購買人。每一個人的角色不同,被授權能解決的需求,有些是組織規制,有些是法有明定,有些是資訊系統就把授權做好了。任憑任一個人,都很難跳過授權科層,去處理其他段的問題。

再來是來購買的民眾,民眾就是產生大量的需求,他不需要被授權,而且是產生大量變動的需求。

哪些需求是一定會變動的?

以今天早上來看,可分為幾個環節:

  1. 衛福部:網站掛了,本來希望訊息都從我們這邊發出,但只好呈報主管說,能不能在網頁上直接連去不是衛福部的 PDIS
  2. 衛福部:App 掛了,同上,但沒有 PDIS 可以連,而且軟體市集的上架,不是說要上就要上,還要審的。App 也不是自己人所開發,有合約在,要討論,這等於是當時 app 的需求書內沒寫到,要加「規格」,是需求變動。
  3. 藥局:臨時人調不出來,藥局有人要照顧小孩,只好中午進去再測試昨天被丟出來的教戰守策。能測得好不好還不知道,即時庫存回報跟我沒有關係,店能開起來比較重要。中華民國藥師公會全國聯合前幾天「下令」說一天要服務口罩登記和銷售兩小時,不然會建議衛福部解約。對我的店面來說,這是重大的需求變更沒錯。但我不能不開店,開店就要面臨實體 DDoS
  4. PDISPDIS 有自己順暢和即時的對外溝通管道,看他們的發佈管道會更清楚。

這些需求的變動頻率,樣態,是不是在啟動實名制加上口罩即時庫存查詢系統前可以「預想」的?我認為很難,因為大家的專業不同,就算天縱英才,沒做過沒踩過地雷就是不會知道。踩過能不能快速修正,也取決於需求的重新定義和資源的調配。另外,一天24小時,資訊系統的負載也有高低鋒之別。

哪些需求是透過觀察才發現不是真需求?

這個在第一天各系統上線的幾個小時內,也能觀察到。首先是,透過桌機或是筆電用瀏覽器查詢衛福部或是民間各大即時口罩供應系統網站介面的使用者,很多只是去「逛逛」。打不開頁面之後,就一個一個網站去逛(點)。有些網站嵌入了圖台(地圖),讓檢索的流程有很多線可以走,大幅增加系統的負擔和系統反應的時間。有些網站則是用傳統的下拉式選單,但其設計的作法也讓使用者必須快速切換和送出檢索請求,這當然也是讓網站反應不過來。至於衛福部本身的網站,則由於前一天大肆透過網路媒體將網路連結公開發出,第一時間就大量湧入查詢請求。即使號稱都準備好了(根據媒體所述),不到兩個小時就必須改弦易撤,將資源動態調配。

很多查詢的人是「看熱鬧」的。當然我們不能直接說,這就是看熱鬧的人「壞了事」。網站的拜訪不像騎摩托車去藥局賭賭運氣,任誰都可以拿到連結就開啟網站(也包含全世界的拜訪者和網路機器人)。操作網站介面,大量重複的鍵入相同的檢索條件,這個使用者的行為是可以預期的,尤其是在兩天媒體的推波助瀾下。不過,說這不是「真需求」也不對,倒不如說這不是我們預期希望能服務的需求。

哪些需求是可以透過溝通計畫,讓資訊系統可以服務到更需要的人?

由於大型的資訊系統本來就建置不易,能夠確定需求、快速建立,成本可控可期,且能馬上服務大量訪問的網路系統,通常其服務的目的和需求都比較單一。而我們上面的簡單討論,就跑出了不同軸線,讓我們有機會進一步即時探討當下所發生的事件。為了防疫的努力 ,所有環節的角色都是辛苦的。但資訊系統畢竟不是祈禱就能運作,民眾的使用行為千奇百種,各專業的加入是很重要的。我們也不太可能要求藥局為了要讓資訊系統能即時反應口罩存量,而讓其資訊系統的商業邏輯或是人事作業邏輯做出一次性的大幅改變。或許從另外一個角度來說,從政策、資源、現實和需求考量而出發的整合溝通計畫,才是「緩解」甚至是讓這些努力得以發揮到最好效用的途徑之一。

聽聞衛福部明天系統將重新上線,我們繼續觀察。留些紀錄,讓大家的經驗和記憶能累積,讓未來可以做得更好。

補充第二天的思考

訂閱 Telegram 頻道。

2020大選後台灣資訊戰和假新聞研究的出路

這兩個領域本來差異極大,因為「資訊戰」和「假新聞」要定義起來可就沒完沒了。可是沒定義的東西就很難框定範圍,不能框定範圍就很難做「量測」。無法量測的東西是無法獲得改善的。這對於任何做網路產品的人而言都屬常識範圍。可是為了方便討論和紀錄,我們將這兩個領域姑且先用通俗輿論的說法來探索。

首先是2018年11月24日「奇怪的戰敗」,接下來是2020年1月的「大勝」。中間的歷程不是我們要回顧的,但有幾個一般讀者可能比較沒有關注的因素,成為2020年大選之後的變數:第一個是美國智庫體系的介入,第二個是其他國家智庫體系的介入。第三個是,本地研究者開始和美國為主的利益相關者接觸。而這幾條關係之間,有不等的公開資助和號稱委託研究的關係。

美國的智庫為什麼要研究台灣的資訊戰和假新聞?這裡有些具體的說明,我不再贅述。而在大選前兩週,很多人都被分配到要接待的團體,有不少來是自於其他國家的智庫體系的研究人員(更龐大的記者群不是本篇要討論的)。話說本來台灣在這兩個領域的研究動能,論資源、論研究經驗、論團隊、論跨界的協調,在2018年底之前,並沒有表現出應有的「蓬勃」。喊的人很多,論壇投稿說應該如何如何的研究者也不在少數,但「多虧」2018年底到2020年1月大選的這兩個時間點所爆發的不少事件,促成「資訊戰」成為2019年研究主題的耀眼新興,也真實的成就了幾個領域研究的新星。

但這其實不到一年 (2019/04~2020/02) 的大鍋熱炒,讓接下來關心此事的研究者有什麼出路?研究者不必然是來自學界,有不少的技術愛好者,關心地緣政治的評論人,或是更多在經歷這些現象而發生失語然後感到必須奮起的人士,都算在內。

以美國智庫的角色和台灣接觸的研究人員,身份背景不盡然相同,有些其實是顧問公司,有些是科技公司,有些是受過情報訓練,而目前智庫擔任學人的好手。顧問公司是美方和不熟悉的第三國(台灣在這兩領域的發展,他們很不熟悉)接觸時,必定會出現的中介機構,在新興領域尤然。例如最近不巧遇到武漢肺炎的「美台科技賽」,就是顧問公司穿針引線,美國在台協會名義上在本地聯絡,以及另有本地被授權與美方討論的人士和單位,進行磋商和議題研究而發展得來的號稱「東亞級」的系列活動一環。

不過,對任何這方面的研究者來說,若是這一年研究的動能有所大幅增加,那麼研究的經驗累積,總不該只是社群媒體或是報章雜誌的專欄吧?我們看幾個比較長期有聲譽的智庫,包含美國、德國、英國、澳洲等地,無論對台灣的研究水平如何,就算只是想對其國內利益相關者表示「我也有在做台灣研究」,至少都有公開的報告,可讀可閱,可供討論。進一步積極者,還能看到所釋出的資料集,讓其他的研究者能驗證所謂「資訊戰」「假新聞」的指證歷歷和論述。

那麼台灣在這個時間點,有如此豐富的場域,應該要有極其豐富的研究資源才是?

大選之後,這方面的討論瞬間凍結。一來是武漢肺炎茲事體大,整體社會關注全部往這個方向去,二來是,既然「大勝」了,好些相關志願型態的計畫和團隊,要不進入休息的狀態,要不就是直接解編。照理說,如果狀況曾經如此嚴峻,總不會「大戰」後就無聲無息,連歷史都沒有了吧?

我個人比較擔心的是,這個看似新潮的議題,就像是大潮起落,不到一年之後,轉變成只有幾個人代言獨享的顯學。對西方世界來說,這方面的研究很重要,台灣當然是一個好的標的。但研究資源缺乏累積,沒有可供驗證的文本,那這兩個領域,可能就不屬於研究範圍。我們可以說是情報工作,也可以說是政治工作,或是外交工作,也可以是服務美國顧問公司的公關工作。但對於研究者而言,若走到這一步,發展當然是最差的。

台灣當然不只如此,但眼看就只能再度如此。

訂閱 Telegram

ICAO 社群媒體帳號封鎖智庫和記者一案的思考

主要是三天前的這件事被揭露(關鍵字:武漢肺炎、國際民航組織、台灣、推特)。我可能離聯合國稍微近一點,野人獻曝和先說結論:

  1. 這件事的討論是好事
  2. 台灣缺乏國際能見度,或許透過 “track 2” 的數位參與,有機會大幅提高過去的捉襟見肘
  3. 能幫你公開講話,願意留下紀錄的人越來越多,但有些話要自己講自己來
  4. 但台灣在區域和全球各重要議題的重要性要如何自證且他證,一般積極民眾的參與,是遠遠不足的
  5. 以台灣的社會經濟實力,在各國際政府組織 (IGO) 和國際非政府組織 (INGO) 要能確保能順利運作的常駐人力缺口,我猜有三千到五千人之譜。目前完全沒有人才培養和晉升的管道,而且斷層有如大峽谷般的無法銜接。你辦事還是避不開人的,你自己若沒有人,可能怨不得人

事情的開端來自於本推:

ICAO 是國際民航組織,國際民航組織有推特認證的帳號,也有專門的管理人員。封鎖 Jessica 的這件事,當然不是 ICAO 封鎖在推特上其他人的社群媒體帳號首例。不過這次的時機較為特別,尤其是「武漢肺炎」導致人心惶惶。台灣航空識別區域在東亞航運上非常關鍵,但這不證自明在區域航運的重要性,一直不足以讓台灣獲得聯合國相關國際政府組織 (IGO) 的認可,甚至是排斥有意義的參與行為。

由於「武漢肺炎」的嚴重性不在話下,相關的智庫人員和記者,也接連在推特上表示意見。AEI 智庫的訪問學人 Michael Mazza 立即表示:

接下來如一連串滾雪球般的注意來臨。我就沒什麼好多介紹的。一開始關心的多為智庫成員和記者,但隔了一天,在推特上不少能熟讀英文的用戶,也開始表達意見。這些當然不限於台灣籍人士。當然,ICAO 是國際政府組織,所以有聯絡官和公關管道。直接去信問一下,了解事情梗概來由,是很直覺的下一步。

由於第一時間不少記者也在被封鎖的行列。聯合國的相關機關對這些記者而言,並沒有像是台灣記者會遇到「大門深鎖」的問題。幾次包含透過私人關係或是官方管道的回覆,讓此議題的關注度更加提高。智庫之所以稱之為智庫,就是跟政府關係良好的研究人員。例如說,我們常看到什麼美方智庫又能直接參訪總統府,一般國民,大概這輩子一次拜訪機會都很難。所以智庫的研究人員在社群媒體上談論什麼,如果密集談多了,通常事情會比較「大條」。

時間來到了第二天,幾位推特聞人和媒體的加入,讓幾則推成為「炎上」的開端。不過,光是挑戰 ICAO 的社群媒體帳號和社群媒體使用規範是不夠的,每個組織的每個環節都是有負責人的,有時候直接「對人」的資訊揭露,或許能幫助了解事情的脈絡。

可能很多台灣的朋友不知道,聯合國是一個龐大的組織,光在瑞士日內瓦就有上萬名直接相關的雇員。聯合國每年所出版的人事報告統計有很清楚的比例。中國的影響力不可同日而語。在這些國際政府組織的中國雇員,也是為數龐大的一群。

聯合國的正式組織和結構相當龐大,中國政府比較說得上話的領域,基本上有很多的中國籍政府官員、外交人員、學研、記者和共產黨黨員。這點是「不方便的事實」,是台灣在美中貿易戰以及武漢肺炎所必須更精確認清的事實。

不過,針對 ICAO 極度不合理且用官方帳號公開揶揄其他使用者回覆的部分,這點沒什麼好說的,相當不可取。

事情進行到第四天,ICAO 帳號所收到針對台灣利益、區域安全和公衛防護的「殷切關注」,想必是前所未料。我個人希望在此事稍微落幕之後,還是能回到一開始所談的幾點,尤其是最後一點:

以台灣的社會經濟實力,在各國際政府組織 (IGO) 和國際非政府組織 (INGO) 要能確保能順利運作的常駐人力缺口,我猜有三千到五千人之譜。目前完全沒有人才培養和晉升的管道,而且斷層有如大峽谷般的無法銜接。你辦事還是避不開人的,你自己若沒有人,可能怨不得人

 

Continue reading “ICAO 社群媒體帳號封鎖智庫和記者一案的思考”

科技冷戰下,新科立委的戰鬥力是…(台北市)

先說結論:

  • 科技冷戰下,台灣國會的角色,在2020-2024之間,大概目前非常薄弱,短期內也沒有任何足以樂觀的客觀指標
  • 科技冷戰下,新科113位國會議員,其背景包含以下任二領域:如科技、國關、戰略、外交、國安、數位、網路、安全、貿易者,加上擁有過去的冷戰經驗,又足以勝任和扮演好國會議員角色者,數量可能是:一或二
  • 所以對國會最大黨而言,要實踐「抗中保台」的意念,在科技冷戰下,國會無法自己提供「彈藥補給」。對於其他在野黨而言,可能有些角色可以扮演,但實質戰鬥力,也不容樂觀
  • 因此,行政和國安團隊行不行,在2020-2024年會比2016-2020年來得更為重要

以下為個人意見。我們就直接從區域立委開始點名,然後再來是不分區立委。沒提到的就表示從過去其經歷來看,戰鬥力只有連署和表決一用。當然,有些國會議員可能天縱英才,短時間內或許有機會成為一方專家,兩三年內敏捷精通兩個領域。

我們先從台北市第一選區看到第八選區。

  • 吳思瑤雖相對年輕,但在科技冷戰缺乏判讀的 “capacity”。很多民進黨偏屬中生代的立委,多半和吳思瑤的經歷和專業類似。吳屬於第一選區,只好不幸的被我先挑出來作為範例。
  • 何志偉雖然在數位科技的使用上比較嫻熟,但因為經驗和選區選民結構所限,在消費者端涉及科技冷戰範疇者,敏感度會比較高,但可能僅就如此。
  • 蔣萬安屬於第一大在野黨國民黨陣營。他的經歷讓他的個人網絡,反而比較有機會接觸到科技冷戰的各個專業領域。有時候自己不用很懂沒關係,有一群懂的人和幕僚(甚至是家庭),這就足夠了。國會的在野黨在科技冷戰能扮演什麼角色?這個問題挺有趣的,我們留待下次再探索。
  • 高嘉瑜在數位和網路部分,在其台北市議員任內有不少「問政經驗」,但那些都偏向城市級別的市政議題。當面臨到兩個強權在科技領域的冷戰,她的過去的經驗是否能轉化發揮,以她個人的路線來推估,是有機會可以「期待」,但本人意願和團隊意願,大概很難。
  • 林昶佐主要是國際知名度高於前幾位,但那個知名度是某種形象和音樂背景的「識別度」,和科技冷戰完全無關。他的個人網絡關係(國際部分),在台北市區域立委各席,或許只稍遜於蔣萬安,但他未從政前的關係和科技冷戰的距離,說實在,比蔣萬安遠的很多。
  • 林奕華離得最遠,但和其他本區域的國民黨立委一樣,過去的「冷戰」和「對抗」經驗,來得比前面幾位更為豐富。我當然不是說過去經驗一定能派上用場,只是冷戰結束年代,若我們用1991年柏林圍牆倒塌來算,那麼當時年齡不到十來歲的,大概很難有機會親身體會到冷戰對抗和強權下求生存的強度。
  • 費鴻泰的出身當然是台北市各席「看起來」最有機會和能力談論科技「冷戰」的候選。不過一來他屬於在野黨,二來科技冷戰就是美中兩強,身為國民黨黨員會如何自處兩強之間,我認為不好推定。另外一個費鴻泰的罩門是,現代的科技冷戰與過去的科技冷戰,作用的場域多出了許多,複雜度更高,尤以數位、網路空間這兩大領域為甚。費離這兩個世界,極度遙遠。
  • 賴士葆是比較奇特的。第一個他年紀夠,第二個他是台北市區域立委唯一一位的理工背景出身(大學機械,碩博士南加大工業與系統工程)。但他所處的時代,行政、科技和產發可說是綁在一起,國會偏向是行政機關的橡皮圖章,反正只要選擇美國就對了。賴後來以財經和管理「聞名」,可說是那個年代的不得已。他離開科技如此之久,科技冷戰從財經角度雖然也可窺見不少端倪,但應該不容易派上用場。不過若他要發動什麼事情,應當要注意。

待續。

Continue reading “科技冷戰下,新科立委的戰鬥力是…(台北市)”

國發會說要訂開放資料專法 下場會是…

這件事本來該留給法制研究、律所或是法律學者來談。不過從2010年1月1日就曾經開始「大聲疾呼」的在下來說,分享點意見應該無傷大雅。

除了「資料治理」比較棘手之外,我感覺非技術面的問題有幾點。這幾點有好的解決路徑,「解決方案」就算出的來,我也不太可能支持(甚至是連加入討論都自知聰明不及,敬謝不敏):

  • 國發會陳主委的下一任不知道會是誰。陳主委本人在此領域既無經驗也可能興趣缺缺,這樣的政務官特性會讓在討論和規劃政策時,偏聽和單聽一方之言的狀況更容易發生。當一個人沒有足夠的經驗對一件事的複雜度判斷時,要不就是她是來執行事情的,要不就是她聽誰的會很重要。以台灣相關政策(編按:開放資料)推進的過去十年經驗來判斷,她會聽誰的,不可能會是透過公眾諮詢。
  • 因此,要推動「開放資料」「專法」或是「法制建設」,必然有後設和設想好的解套目標。我們就不隨意臆測要解什麼題目或是誰的題目,但我們從過去三年半推動「資安即國安」和「資安產業」的路線來看,顧此失彼是鐵定的。這顧此失彼不只是人權組織會談的那個層面而已,更多還是美中貿易戰下「國家安全」的範疇。例如,支持的本地業者積極導入具有威脅和侵入性質的監視系統到有商業安全和國家安全疑慮的場域,一方面產業政策支持甚至直接補助此等商業行為,另一方面在國安層面又「號稱」嚴禁該等情事。資訊安全產業發展、台灣業者在產業鍊的角色,還有美中貿易戰下美國在「科技冷戰」對台灣的更多必要關切,這些都是可以預見的。自打嘴巴不應再發生。
  • 政府資訊本身的「數位資料化」和「開放化」牽涉到上揭的「資料治理」。若是不慎或是急於服務某些特定產業和或是想像中的產業,不只會有意料之外的狀況,而且在實質上可能大幅提高整體國民被「監控」的風險。我不太相信沒有長期跟「資料共處」或是沒有「資料手感」的「好人」能夠體會被大規模無差別監控的風險,我也不太相信現任陳主委有足夠的能力啟動討論。所以這問題就留待給下一位國發會的主委。
  • “Hidden agenda” 最好還是要多談,就算不是現在公開講,也要提早談。否則蔡政府「數位無人」的窘境,只是落實更多很有機會長期接觸的人的經驗再證罷了。
  • 國發會現任主委談的 use case 都非常的應用和下游導向,在屢次公開場合談的事情,尤其是和數位相關者,其 “assumptions” 偏向是鸚鵡學舌,大量套用罐頭型的「台式產發術語」。照理說,國發會擁有優良的傳統,不該是這樣才是。

法制部分,留待其他高人。

美中貿易戰:大量美方中間人在台

台灣2020大選來臨,觀察團陸續進駐台灣,有新聞從業,有風險管理,有智庫學人,有商業代表,也有他國的政治人物和退休政務,大量來訪,堪稱是近年來最為盛大。

由美中貿易,台灣在半導體、電子業和製造業供應鏈角色,不可或缺。再加上中國影響力在戰略上是美國的頭排對手,研究台灣民情商情,甚為重要。除卻來訪來參偶一為之,更多是思考如何系統化建立與台灣社會的合作關係。畢竟,四十年來「棄之如敝屣」,或是從北京看台北,或是從香港管台灣,或是藉由新加坡控制台灣市場,這些隱藏的 C2C  (command & control) 關係 ,在產業打滾的,不至於陌生。

先驅研究團隊,多半是商業背景。官方組織,動作緩慢,規矩不少,再加上必須透過國務、外館體系應合招縫,快不起來。但商業公司,無此顧慮。默默有些名不見經傳,拾此機會,順理成章,成為代理機構。

此事本屬正常,可惜的是,多半低估台灣社會廣度,深度,複雜度,能動性,不能動性等各面向。代理中間人初來乍到,對地緣不熟,或因過去訓練導致,或是人際網絡狹窄,能訪能見之人,重複性極高。在這美中貿易戰和大選之際,台灣的媒體曝光度和八年前相比,可說是凌宵直上,天天都有新聞。但中間人卡一層,接觸的人再卡一層,美方因東亞外館人事三年來未曾補齊,也有數層。明明就是急在弦上,要更努力,要更聰明的接觸。但聽到的,都是重複的幾批人。

這對積極的中小企業來說,頗不公平。也對大型上市公司而言,少了一點未來佈局的哨兵訊息。升斗之民,更無從得知。大量美方中間人介入,四十年才這一次。2020會走到什麼地步,我們再看看。

Continue reading “美中貿易戰:大量美方中間人在台”

沈一鳴、網路集氣與情蒐

參謀總長不幸因公殉職,令人惋惜。但雖非台灣特有但卻特稱之「集氣」慰問,卻是有「情蒐」價值的大好「機會」。尤其是軍方人員本就在社群媒體使用上,該有「分寸」「禁忌」。軍職系統人員,無論是否現役退役,使用社群媒體若無「指導方針」「標準」或是「建議方式」,那麼長期所衍生的問題,將令人吃驚。因此,參謀總長與相關將領人員所使用的社群媒體帳號,只要是在台灣特好之 Facebook 平台,都有相當情蒐價值。老派將領或許有所訓練警覺,但一則新聞事件之連結和其留言,卻能將其舊部大量「引出」。

已退役人員針對此事,或許更願意公開表示自己身份過從以及與沈共事之經歷。雖非一五一十詳之載之,但卻能成為資料庫搜集之對象。現職者本應不該「表態」,但長官逝去,人之常情在所難免。不過網路的威力今非昔比,任一動作,尤其軍職人員,其網路行為所留下之「軌跡」,被大量無差別的搜集,不是難事。因此,黑鷹墜機憾事肇生,更是軍職系統人員爭相「集氣」留下可供辨識單位、經歷、從屬關係的重大事件。

此情此狀,相信沒有沈之舊從舊部會濫用,但對於無所不用其極情蒐之不同勢力,可能來自商業,可能來自其他非商業,「集氣」之舉,恰是大好機會。參謀總長之人際網絡,如我等之外人不能也不該得知,但憾事一來,反而讓人有機會知曉通透。這大概是意外中的意外。

美國「2020年國防授權法」網路、台灣、5G 相關章節

今天雖然台灣的通傳會5G頻譜競標開跑,不過美國國防部 FY2020 NDAA 3500頁的預算書更刺激。純粹是做個紀錄。資料來源:美國國會

參議院部分有一份協商後的摘要,我把 “cyber” 和 “5g” 拉出來看。「中國」部分比較敏感,給其他產業先進研究去。

Cyber 部分 

NDAA 加強了國會對網路營運的監督,並增強了國防部的網路安全策略和網路作戰能力。此次會議報告事項:

  • 指示國防部長制定一致,全面的框架,以增強美國國防工業基地的網路安全;
  • 需要製定度量標準以評估「網路任務部隊 (Cyber Mission Forces) 的整備狀況;
  • 建立大學聯盟,就網路安全問題對國防部部長建議;
  • 為每名軍事服務單位 (military service) 建立首席網路顧問 (Principal Cyber Advisors),負責軍事網路力量的事務;
  • 在維運資金 (Operation and Maintenance) 允許軍事部門的主官在調用最多300萬美元的預算,以用於開發支援網路營運的特殊功能,以實現快速發展網路功能的創建、測試、部署和操作;
  • 要求國防部長通知國會國防委員會,報告來自國家的任何授權機構關於軍事網路空間作戰司令單位的各種操作細節;
  • 指導有關軍事網路空間作戰的年度報告;
  • 指導國防部和網路與資訊相關的技術人事預算進行零基審查;
  • 要求進行有關改善海軍網路職業發展生涯晉用管道的研究;
  • 完善化首席資訊官 (CIO) 對企業範圍內的網路安全進行改善;
  • 委託國防科學委員會 (Defense Science Board) 研究未來的網路作戰能力;
  • 指示國防部長對美國的網路態勢 (cyber posture) 進行四年一次的審查;和
  • 延長網路空間日晷室委員會 (Cyberspace Solarium Commission) 的完成日期

5G 部分

  • 會議報告認知到建立第五代 (5G) 通訊相關戰略以增強軍事能力的重要性和緊迫性。NDAA 將:
  • 批准2.75億美元用於新的5G資訊通訊技術研究和開發計劃,以及在整個國防部安裝中建立 5G 測試站點,包括內華達州測試場 (Nevada Test) 和培訓範圍;
  • 要求建立可信賴的微電子供應鏈並進行營運安全標準管理,以改善所取得之商業產品在安全和製造上符合標準,並確保工業基礎對各種風險有足夠的韌性; 和
  • 要求制定國防部 5G 戰略和實施計劃。

此外,國會最新的協商的版本已出爐(報載),初步看來將近3500頁(之前的版本這裡瀏覽)。很多關鍵篇幅,下週再看。

外送員之死 – 被拒談的安全視角

背景不多介紹,直接進入主題,隨手舉這兩週少談的各種由社會環境和安全出發的觀點。

  1. 外送員之死引起如此大的風波,有幾個因素,但最明顯少談的,是機車作為外送普遍載具的這個事實。如果是自行車發生事故、或是電動自行車發生事故(例如中國)、還是小客車發生事故,以安全視角來看,都會不太一樣。整個事件的主要問題,除了不同利益攸關者談的部分,機車安全是不可能也不該忽視的要素。
  2. 台灣機車密度之高,這是想當然耳的感覺。但在看待外送員之死前,我們至少要對相關的基本數據更為清晰。例如台灣地狹人稠,在全球人口超過一千萬的國家之中,密度排行第二。機車數量接近一千四百萬量,輕型機車駕照擁有人口佔總成年人口比等。
  3. 一些社會、地理經濟特性的要素,也必須有所認知,例如商店的營業時間遠較這些網路外送總部母國(如英國、德國)來得更晚、更長。各城鎮每平方公里範圍內街廓之間各種等級道路密度,遠較中國各城鎮更緊密,也幾乎能允許機車直接穿行。智慧手機普及率超高、擁有銀行帳戶的人口比遠高於絕大多數的東南亞各國。
  4. 機車部分,便宜入手、相當可靠、機動性高。但擁有各級機車駕照的人口,在考照和上路後的階段,安全駕駛的訓練幾乎等於零。
  5. 在主要城鎮,複式型態 (multi-modal) 的交通載具相當普遍。機車必須與汽車、自行車、行人、大眾運輸系統(如公車)等共同使用道路。許多網路外送公司的母國,其複式交通的狀況不若台灣複雜、交織且普遍。
  6. 亞熱帶氣候,海島,氣候因素影響交通安全因素甚高,對機車而言,甚至可能有季節性的多發事故型態。

到機車本身的安全特定,我們也簡單說明為何和其他交通載具如此不同。這部分很重要,因為除了檯面上急欲解決的幾個問題之外,傷亡事故會不會大量發生,都取決於這個環節,而不是其他的主題(如所謂的「新型態數位經濟」)。

  1. 一般外送員所自備的機車,多為輕型到重型機車(排氣量低於150cc)。
  2. 機車後面所加裝的保溫袋,材積很大,會影響機車操作。重量不是問題,是保溫袋所佔據的空間。有些外送員腳踏板還會放置另外一個,以提高「積載」的容量。
  3. 一般機車(速克達)至少需要兩手操作,左後煞右前煞,行進間還需要平衡,因此比台灣的自排小汽車,在駕駛難度部分,實際上更高,更需要訓練以保障人身安全。機車行進需要不時動態平衡。自排小客車可完全忽略這部分,一腳一手即可操作,右腳放開油門就是緩行。機車可沒這回事。三輪機車(前二輪後一輪是特例)或有輔助輪(四輪)的機車,我沒看過拿來做外送的。就算有,應該在統計上還不具意義。

另外就是所謂新經濟和網路平台的部分,其實就是一個 app 和手機,作為所有外送員、平台業者和商家的「接觸點」。手機架在機車上,就是現代最大的危險因子。

  • 一般手機螢幕,很難在日光下看得清楚,需要機車駕駛人特別注意(分散注意力給螢幕,而不是給道路和周圍行車環境)。
  • 一般手機螢幕,若使用機車架 (mount),在正常體型的機車駕駛員操作情況,其「視距」並不足以讓駕駛員看得清楚。看得清楚通常表示:要不是屁股坐太前,就是上身整個往前傾。視力三點零我想人數可能不多。這兩個動作都是提高行車風險的操作動作,不正確的坐姿,在途時間一拉長,會造成駕駛的身體疲勞,而身體疲勞是會累積的。
  • 一般手機螢幕,在夜間時會過亮,會影響駕駛的動態視覺。看完手機之後,劃設不良的標線或是後照鏡的車道狀況,駕駛人會有短暫時間失去足夠的視覺辨識能力。
  • 下雨天的狀況,大家可以自己想像。
  • 這些都還沒提到操作的各種狀況和流程。

簡單來說,不管怎麼把手機架在機車上,尤其是在外送的情境之下,要安全風險降低是很難或是幾乎不可能的。要求停等並熄火才操作,實務上也幾乎不可能,對於警政單位而言,也沒有長期穩定執法的可能性。機車行進間操作手機,在外送的情境之下,就是危險中的危險。

以近日出爐的「美食外送平台業者自律公約」來看,雖說強調「安全第一」,但在「外送夥伴安全保障」的章節部分,實則無效。協會有心很好,但人身交通安全並無法如此處理。

至於政府各單位「爭相」被要求處理一連串的事件,各種觀點都有,積極度頗令人意外,或許拜2020大選即將來臨之際,稍能理解。但在「機車安全」最核心的部分,卻是付之闕如。我想目前政府也不敢碰觸此題,因為其解法不是一兩要項列出,或是召開座談會,或是誠懇呼籲即可解決。事涉很多困局(如騎機車看手機)、訓練(安全是需要訓練的),還有數萬以計的外送員,竟然就「不知不覺」被吸引到平台業者所提供的「零工」工作機會。幾個因素加起來都在在都顯示,政府各單位的一時態度積極,但缺乏的可能還是對機車安全特性和整層的勞動力被「挖起來」等這些不方便討論的事實。

LINE訊息查證平台上線一週之後

首先是 LINE 的新聞稿,以及 Web 平台本身。幾點觀察如下,有誤請多指教:

(1) LINE Taiwan 近一兩年來收到不少來自政府各級單位的關切和壓力,在2020大選前半年前推出這個機制,可以說是最後期限了。

(2) 這平台本身號稱跟「4大中立查核機構」合作,但這「四大」可稱之為「大」者,可能尚無一可符合。所謂「四大」機構,僅有一個「事實查核中心」在組織面、工作流程,還有監督機制的部分,比較充分,但「事實查核中心」目前應該還不具法人身份。「真的假的」並非機構,本身也不具法人身份,比較像是某種計畫和機制。「萊姆吐司」和「MyGoPen」的資訊則是比較模糊,但兩者應該有營利型態的組織(如工作室、公司)在支持。在「事實查核」這種具高度爭議和判斷的合作案,這部分可能需要多一點釐清。照理說,LINE Taiwan 和這「四大」的合作一案,應該有某種契約關係。簽約文書的甲方乙方是誰,LINE Taiwan 本身最清楚。

(3) Web 平台本身看起來像是趕鴨子上架的結果,有幾筆數據在觀察一週之後,開始略顯整個計畫即將面臨的困窘端倪。快舉幾例:

  • 「總舉報訊息數」一直停留在1.2k?
  • 「總舉報人數」每日約增加1k,但自7月23日公開上線前,早已累積80k多的人數。不過這裡指的「人數」應該指的是「帳號」而不是「人數」。帳號數和人數兩者意義是不一樣的
  • 「正向影響力」這個指標欠缺完整說明,短期內似乎沒有意義
  • 查核的夥伴,以「萊姆吐司」和「MyGoPen」最為積極,經兩方所查核的訊息數量,也遠居第一和第二。相較於「事實查核中心」和「真的假的」,這兩家也是最為積極和其他電視以及傳統媒體合作的夥伴
  • 至於「事實查核中心」的部分,看起來都是平台上線前就上稿好的內容。而本身是「社群」「機制」但卻被推向肩負「事實查核功能」的「真的假的」,經其查核的訊息則數,目前則是停在零
  • Web 平台的頁面有一些 ranking,但 ranking 的設計和揭露要小心。以目前的狀況來說,有心的研究者可以從每日更新的狀態和從各欄位的資訊,推敲出此合作案是否有用有效的一些推論
  • Web 平台還有一些資訊很有趣,我想積極的研究者應該給予更多的關注

另外,新聞稿本身揭露了很多數字,例如:

  • LINE 在台擁有2,100萬月活躍用戶,每天在群組間傳遞93億則訊息,平均每人每天透過平台更接收及傳送超過上百則訊息

我對這幾個數字是如何介定和算出來的有高度的興趣。另外,還有一份名為「可疑訊息辨別與查證質化與量化」的調查,調查內所透露出的數字,可以推斷出這個「數位當責計畫」的計畫模式,本想要解決的問題的範圍 (scope) 是什麼。

不過我直覺來看,這個計畫可能沒有想像中的那麼重要,但在給各方利益相關者一個「完整的交代」部分,相較於其他跨國的平台業者,則是達到了高標。

開山里事件一點都不好笑 訊息的生命線就這樣遭致誤用

這「開山里事件」不用多介紹,但我們在進入主題之前,盤點一下幾個數字。

  • 台灣幾大電信業者發出去的有效SIM卡數量,約兩千九百萬張(來源:行動通訊市場統計資訊
  • 台灣的人口約兩千三百八十萬
  • 開山里里民約三千兩百人(來源:里鄰人口數

疾管署的說明(新聞稿):

我第一時間想到的是2018年的夏威夷飛彈防空警報誤發事件。第二時間是印象中美國通訊傳播委員會 FCC 有做了後許的檢討報告:

第一份初步檢討報告的結構很簡單,第一步就是先訪問利益相關人,例如授權人員、操作人員、監督人員、系統維運業者、無線通訊業者等。第二步則是把事件發生的時序完整的列清楚。第二份報告比較複雜,不是我們這邊要看的重點。

回到開山里事件,我們在不同的媒體管道所看到的說法是,「這不是人為操作的問題,是系統問題」。系統在升級前沒有問題,但升級後發生的問題。問題在於操作人員在選取訊息廣播範圍時,輸入 “390” 的數值。原有系統應該的鍵入數值單位應該是「公尺」,但系統升級後,卻成為了「公里」。

光看到這段描述就讓人一個頭兩個大。首先是,系統問題就是人的問題,不是操作問題,那就是軟體本身所造成的問題。軟體的問題,當然也是人所造成的。所謂軟體本身的問題又有很多種,以此案來看,至少:

  • 有一個系統
  • 有一個操作介面
  • 有一個操作人員

目前所謂系統的規格、撰寫、升級、測試、上線等,不知是否為國家災害防救科技中心 (NCDR) 所負責。我第三時間的猜測,導致廣發訊息的原因之一,應該是系統介面沒有防呆或安全設計所間接導致。至於軟體系統升級這部分,則是透過媒體的報導才得知。因為「開山里事件」必須設定廣播區域,而實際的操作人員,不太可能是里長,那是否為疾管署?還是訊息派送的操作人,是屬於 NCDR 的人?這要回到此案的原始授權流程和實際授權流程。登革熱的防治和通知,在我們手機所收到的訊息署名裡,有「台南市政府」和「疾管署」兩個單位,那麼在授權此次訊息派送的環節,應該不出於這兩個機關的代表人。

進一步來探討,「誰」可以「對誰」請求訊息派送的授權?是開山里里長?應該也不可能才是,但授權的過程是否會「會到」開山里里長,這部分我們也不清楚。

再來,災害訊息廣播平台 (CBE) 系統介面在選取廣播範圍時,是怎麼操作的?是下拉式選單?還是幾個欄位可供自由填入發送原座標和廣播半徑?或是依照媒體所述,是一個 Google Maps 所嵌入的圖台,所以在操作介面上,允許:

  • 機關使用者透過平台,手繪框選,建立發送細胞廣播的區域範圍
  • 發送範圍形態包含地理區域代碼(Geocode)、多邊形(Polygon)或圓形(Circle
  • 預劃的區域清單

如果登入系統的機關使用者是疾管署的操作人員,疾管署選取一個里和一個全台,這需要取得的授權應該不一樣才合理。系統無論如何操作,如果要選取的範圍達到「390公里」這樣的「距離」,系統應該要有其他的安全管制邏輯介入才對。如果登入 CBE 系統的機關使用者是台南市政府(我猜應該不是),那麼這個機關使用者在系統介面上,能選取超過自己行政區域範圍的區域嗎?

還有其他更大的衍生問題,例如,細胞廣播可以精細到390公尺?「公尺級」的精確度,對細胞廣播這種大區域的訊息系統,是合理的嗎?只是一個里的通知,390公尺範圍,為什麼需要用到這種系統?開山里方圓不過幾百公尺,沒有其他更即時,更局域,更便宜,好操作,不會受到軟體服務設計邏輯不良而造成干擾甚至是大出包的廣播系統?甚至是選用其他非電子的廣播和訊息傳播管道?

在紛紛擾擾的社群媒體年代,細胞廣播系統幾乎是唯一公部門可以即時通知境內國民的最後一個手段。當遭受重大災難或事件,導致全體或大規模範圍的國民,必須靠著某種「訊息的生命線」才能得到即時正確訊息時,這唯一的管道,竟然發生了這個哭笑不得的開山里事件。在政治公關上,或許是一件可以快速應處的幽默話題,但對於未來這個訊息管道的信度和價值,這種等級的大包所造成的深遠影響,是完全笑不出來的。「狼(或是羊?)」來了一兩次,下次妳這個訊息型態和管道,不就整個廢了一半?

「假新聞」在反擊戰術面的勤奮

我一直對台灣中央政府一級單位對於所謂「不實訊息」的反應如此快速,感到很疑惑。到底有效無效,反應這麼快是好還是不好,我們借用前天的一個例子來探討。這個例子是,行政院長蘇貞昌「擲筆」的新聞。行政院的澄清稿在這裏,原始訊息的出處,我們暫先不貼。

Continue reading “「假新聞」在反擊戰術面的勤奮”

今年的台灣網路治理論壇 (2019)

年度盛會,有幾個很棒的議程,速記今年感想。

開幕典禮部分

有新意的是林佳龍(交通部部長)和酈英傑(AIT 處長)兩位。林談5G頻譜和台灣的機會,但這「網路治理」的場合,並沒有電信和頻譜競標的實質利益相關者,例如三大兩小電信營運商等,所以本場合他的發言大概不太適合。不過早期台灣在網路治理的國際參與,交通部郵電司諸君堪稱是先賢先烈。曾任交通部部長的賀陳旦,我記得也出席過往年的台灣治理論壇。至於美國在台協會的酈英傑,自上任之後比前任走得更勤,更公開。本場他談台灣過去在資安的「先行經驗」,當然是以「華為案」的電信核心基礎設施,禁止使用中國產品的「臺灣經驗」為致詞主軸。這基調我印象是在今年度二三月分在其他場合(不只是在台灣)開始被談起。事實如何,也就是「臺灣經驗」哪些是值得美國和美國的盟邦學習的,反而缺少更密集的討論。這點我認為有點可惜。當然,本次網路治理論壇,Google, Facebook, Netflix 等美商也派人出席(另有源自於美國的 Baker McKenzie 律所)。ICANN 註冊地又在美國,AIT 處長致詞,橫刀殺入,是理由充沛的。

專題演講

Akinori Maemura 來自 ICANN 董事會,也算是接下前中華電信獨董 Kuowei Wu 在 ICANN 董事會留下的 ASO (Address Supporting Organization) 的席次。這場專題演講,沒有什麼意見。

大會專題演講 x 2

主要就是 OTT 慘遭境外勢力長驅直入的既成事實的再度確認。但本地 OTT 的危機感,若以網路治理的四面稜鏡觀之:法規、市場、慣例 (norm) 和規範 (control),即使在其他更大的平台,也未曾累積足夠的研究和討論。所以在本論壇被塞入了極高的危機意識。OTT 這一塊和通傳會當然密切相關,但通傳會的「神經現在被抽走了」,在虛位主委的態勢之下,錢大衛諸君可能不免的要面臨一場腥風血雨。

另外就是「提供業者平台的信任度」。這場沒有意見,值得關注的是,這些平台業者對台的窗口和名字要記得。

第一天下午的工作坊

我參加了兩場,都是關注比較久的議題。

  1. 軍方在資安治理的角色(國防安全研究院
  2. 晶片身分證:在隱私或資安上的風險(台灣人權促進會

我自2009年開始參加 IGF/APrIGF/TWIGF 系列和周邊會議,本屆第一場來自國防安全研究院的議題,完全足以排上前三大最值得聽的場次。主要是原因:

  • 議題的新穎度
  • 議題的複雜度
  • 台灣在國際 + 網路 + 政治地緣關係的定位尋覓過程
  • 台灣過去經驗的價值(如災防和義消警等志願者網絡入民防法,推動網路民防的思考等
  • 本議題在網路治理論壇生態圈中的超級稀缺度
  • Panelists 的認真和專業程度

事實上「資安治理」這個命題,可能還低估了這場的意義。裡面談什麼,我就不多說,麻煩關注的朋友,多多按圖索驥,不會失望的。

第二場談 eID,資訊的密度很高。這場也有點奇特,長期關注的朋友也不會陌生。換發 eID 可能牽涉到至少2300萬人,這個的影響和風險層面是台灣政府從未面對過的。好巧不巧,就在這場次的前一週,銓敘部的事件,讓我們有機會近距離觀察到現行大規模資料外洩的風險管理「模型」「流程」為何。這些觀察所累積的經驗,能拿來推敲台灣政府藉由換發 eID,同時「雙軌」努力推動發行 eID,以及後續模仿愛沙尼亞 X-Road 資料基礎共通網絡層的「隱匿」進程上,會有什麼樣光景。

其他都很精彩,只是我沒有多餘的時間。希望下一個年度的台灣治理論壇有更多的新面孔。或許從本身 MSG 執委會的改組,就能讓更好更棒的事情發生。

台灣24萬名公務員的個人資料值不值錢

前一陣子的新聞,這一兩天有更多的細節和後續被不同的媒體所揭露(來源一來源二來源三)。這些被公開洩漏而且可供辨識個人的資料,到底值多少錢呢?根據媒體的報導,大約是八到十塊歐元可以取得,這大約是兩杯星巴克咖啡的價格。根據報載,這次還多虧「五眼聯盟」的通報,否則在明年選舉之後才知道,情況會更為嚴峻。五眼聯盟過去本來和台灣政府就互有「合作」的關係,只是這關係比較不那麼密切。(編按:政府官員表示,情報來自其他管道

資料本身值不值錢,看來單純從資料的供應和需求面來判斷,大概是不怎麼值錢。但台灣公務員24萬人的資料,到底有沒有價值?這就很難說了。對你我而言,幾乎是沒有價值,就算看到了欄位的資料,價值幾乎是零。

  • CNO_CODE
  • ID_NO 身分證字號
  • USER_NAME 姓名
  • ORG_CODE 服務機關
  • PRE_ORG_CODE 機關代碼
  • JOB_NO 職務編號
  • JOB_NAME 職務名稱
  • CRT_USER
  • CRT_DATA
  • CRT_TIME

不過有沒有價值要看從什麼觀點來切入。比如說從台灣媒體所強調的「國家安全」視角來看,某些機關人員編制的人事資料,當然非常有價值,但有些機關並沒有這麼高。所以一筆資料的價值,單從資料本身是很難判斷的。比如說,要看資料所能「連結」和「關聯」的人、事、時、地、物是什麼。以國家安全單位而言,根據媒體報導來推論,要從這份資料來判斷人、時、地等,是很簡單的事情。「人」就是姓名,「時」則是在職期間,地則是所屬單位的駐在地。國家安全的人員,當然不是每一個都是神秘高深不能為外界所知,但透過這幾個能夠互相關聯的資料欄位,我們要拼湊起一個人,一個團隊或是一個單位的「動態」,銓敘部所洩漏的這些資料,是非常有「幫助」的。

這些資料的變動程度,和社交媒體上的資料不同。這些人事資料的變動頻率極低,再加上例如身分證號碼這個可以做為一位個人的唯一識別碼。這些資料相當有助於把各種 (a) 網路行為資料 (b) 個人跨境移動資料 (c) 個人金融和簽帳資料,更進一步的「定位」到某個個人,一個具體的自然人,一個很難「隱藏」和「轉換身份」的自然人。這種資料的價值,和單純在社交媒體平台上,使用者願意大量和不知情所貢獻的個人資料,是非常不同的。

這次銓敘部的資料洩漏事件,當然很嚴重,嚴重程度大概可和《美國聯邦人事管理局資料外洩案》作為比較(後簡稱 OPM breach)。OPM breach 後來在美國眾議院監督委員會 (House Oversight Committee) 的調查之下,出了一份兩百多頁檢討報告,目前已經無法在原始網站取得,但在公開網路取得不難。報告內的13點建議:

  • Recommendation 1 – Ensure Agency CIOs are Empowered, Accountable, and Competent
  • Recommendation 2 – Reprioritize Federal Information Security Efforts Toward a Zero Trust Model
  • Recommendation 3 – Reduce of SSNs by Federal Agencies
  • Recommendation 4 – Require Timely Justifications for Lapsed Authorities to Operate
  • Recommendation 5 – Ensure Accountability and Empower DOD IT Officials Implementing Necessary Security Improvements for NBIB
  • Recommendation 6 – Eliminate Information Security Roadblocks Faced by Agencies
  • Recommendation 7 – Strengthen Security of Federal Websites and Breach Notifications
  • Recommendation 8 – Financial Education and Counseling Services Through Employee Assistance Program
  • Recommendation 9 – Establish Government-wide Contracting Vehicle for Cyber Incident Response Services
  • Recommendation 10 – Improve and Update Cybersecurity Requirements for Federal Acquisitions
  • Recommendation 11 – Modernize Existing Legacy Federal Information Technology Assets
  • Recommendation 12 – Agencies Should Consider Using Critical Pay for IT Security Specialists
  • Recommendation 13 – Improve Federal Recruitment, Training and Retention of Cyber Security Specialists

簡單來說,這次的人事資料洩漏案,可以具體給台灣政府一個警惕,例如說在推動和資料相關的政策之前,要知道風險是什麼,而不是一昧求產業發展。想想如果你單位手上有的資料被以此種方式公開洩漏之時,單位的緊急應變和風險管理機制是什麼,或是死了人誰要負責等。如果這麼重要的人事資料都可以如此輕忽十數年,那麼這一次剛好暴露出了更多不方便的事實,例如對實務理解的單純,在執行面的輕忽,以及對數位世界認知的落後。相關研究的投資,更屬嚴重不足。

後記:GAO 在2017年有一份針對 OPM 的40多頁報告

關於《平台業者不實訊息自律準則》

根據報載:嚇阻假新聞臉書出手了 啟動第三方事實查證計畫

有一段內容是:

此外,台北市電腦公會也將於21日,和FB、LINE、Google、Yahoo奇摩及批踢踢實業坊,聯合舉辦「網路業者防制不實訊息聯合記者會」,借時將公布由民間推出的「平台業者不實訊息自律準則」。

據了解,該內容包括「建立不實訊息機制與相關防護」、「持續提升廣告透明與管理」、「與第三方單位及政府合作,建立和維護獨立、透明、公正的監督機制」、「透過數位素養及媒體識讀相關訓練,協助提升民眾識別不實訊息之能力」四大方向、十三項實踐準則。

這很有趣。新聞裡面提到幾方,台北市電腦公會 (TCA) 的角色很奇特,當然對長期關注的朋友而言就不至於過於驚訝。TCA 在幾年前開始接觸「網路治理」等議題,前幾年從原本的委託經營者手中,拿下 iWIN 機構。TCA 新的這一組人很積極,所以也努力成為 Facebook 在本區域的相關代理單位。至於代理的業務是什麼,有不少公開資訊可供查詢。

各大業者的這份「平台業者不實訊息自律準則」還沒有公開,但 Facebook 自己有不知多少和「假新聞」有關「準則」,也有特別針對歐盟市場和其他主要平台業者(如 Facebook, Google, Twitter 等)所共同簽署的 “Code of Practice on Disinformation“。可是署名歸署名,實際狀況當然沒有這麼樂觀。 Google 則是在今年二月公佈了全球的 “Disinformation Policy”,詳細載明政策所依據的思考路徑,什麼樣的產品線以及地區,是這些政策在2019年實現的最高優先市場。

LINE 則是比較特別,主要是因為 LINE 是唯一一家不是美國的公司。它的市場狀況也不若本次在新聞被提及的 Facebook, Google 等,相關政策一直比較隱晦(這有很多原因)。台灣在蔡政府目前的執政氛圍之下,美國(公司)是不可「損傷」的盟友。Facebook, Google 兩者就算在「假新聞」只做些公關性質的計畫,也有 AIT 和美國商會「照應」。LINE 就沒有這麼好運了。LINE 有三個主要市場:日本、台灣和泰國。日本的總部沒有什麼必須要即時因應 disinformation 的壓力,台灣和泰國反而是其主要的「戰場」。但泰國目前是軍政府執政,軍政府能如何因對,大概也不脫幾種套路。

Yahoo奇摩和批踢踢實業坊要面對的只有單一市場,所以和其他三者又有所不同。五家規模不一的「平台」在 TCA 的「伺候」之下,即將要簽署《平台業者不實訊息自律準則》,這「實踐準則」和 Facebook 各種已公開的政策,或是 Google 全球政策,如果有所不同,那麼,我們應該要看的是那一份為準?對 Google 來說,本地簽署的「實踐準則」,要如何拿來和更上位的全球政策比對?還是台灣不在全球政策之下?從 LINE 的角度而言,這份可能是日台泰三個的市場所簽署的第一份「準則」(我沒有詳細去問泰國的議員朋友),那麼源自於台灣的這份,是否可以拿來對應到未來他們在泰國市場的態度?

幾家業者在今年三月被逼急了開了一堆記者會,現在又聯手,可見壓力不少。很期待明天的公開版本,尤其對廣大的台灣使用者,這三個平台幾乎很難在生活中避開。他們所簽署的《平台業者不實訊息自律準則》,值得業者、非業者、消費者和使用者積極關注。