口罩實名2.0到底有沒解決問題

同學們,目前到了一個階段,看看「口罩實名制2.0」的第一階段有沒有解決當初所設想的問題。

根據政府公開訊息和媒體報導,我們大致可以說要解決的問題有三:

  1. 口罩分配不均(或是銷售的涵蓋率不均勻)
  2. 上班族買不到口罩(所以有了網購系統)
  3. 藥局庫存問題

2的部分是我們關注的,我們來看一些基本的人口數字:

  • 台灣總人口(內政部戶政司):2360萬
  • 台灣15歲以上總人口(內政部戶政司):2060萬
  • 台灣20至49歲人口(內政部戶政司):1042萬
  • 台灣持有智慧型手機滲透率(通傳會):約7成多,我們先用73%來算,所以有1722萬人擁有智慧手機
  • 台灣總上網人口 (TWNIC):1898萬

然後是口罩的銷售數字,先來藥局端:

  • 販售據點:6000家
  • 口罩銷售數字(成人):一個週期7天約2993萬(衛福部食藥署),平均每天約為428萬

口罩網購 (Cycle 1) 的數字:

  • 時間:3月12日至4月1日(共21天)
  • 取貨通路:11000家
  • 成功預購人數:117萬
    • 約總人口4.96%
    • 約總上網人口6.16%
  • 成功繳費人數:99萬
    • 約總人口4.19%
    • 約總上網人口5.22%
  • 預計領取口罩數量(成人):297萬(21天)
  • 實際領取口罩數量(成人):還未有數字

Cycle 1 口罩網購小結(成人口罩):

  • 網購通路21天累計銷售量,大概是實體通路1天銷售量的69.39%
  • 網購通路平均每日銷售量,大概是實體通路的3.27%

Cycle 2 口罩網購的變化是:

  • 預購時間從7天縮短為2天(3月25日到26日)
  • 繳費看來是:3月27至29日
  • 最快取貨時間為4月2日(一直到4月8日)
  • 預計本次網購週期天數為:15天

問題來了:

  1. Cycle 1 網購銷售數字算好還是差?
  2. Cycle 1 有無解決本來想解決的問題?
  3. Cycle 2 網購銷售數字會更好、平盤,還是更差?
  4. Cycle 2 是否可以進一步解決本來想解決的問題?
  5. 我們是否可以直接說:「虛擬通路不超過實體通路的5%」是屬於合理且正常的狀況嗎?
  6. 當初喊了「700萬口罩」,是不是真的以為會有200萬人上網訂購?

小結,我們是不是應該再回來看本來的三個大問題:

  1. 口罩分配不均(或是銷售的涵蓋率不均勻)
  2. 上班族買不到口罩(所以有了網購系統)
  3. 藥局庫存問題

想想看,實體通路的銷售目前仍佔了96%以上,實體通路在口罩實名制施行了7週之後,還有什麼巨大的問題?在浩浩大大的口罩實名制2.0首輪之後,還會有什麼問題?

以上供茶餘飯後閒聊用,真實的各種數據在財政部關貿公司和其他相關政府單位,既然要完全管制,那這就是政府單位要完全傷腦筋的。至於各種關於人民的資料庫串來串去本身是不是問題,這是另外一個問題。

對於台灣調查局接受《今周刊》採訪報導的個別意見

調查局這篇來自台灣《今周刊》的採訪很有趣,先說小小結:

  • 其 threat modeling 過程過於簡化,難以被檢證,也有諸多問題
  • 所採用的 threat model 繼承自何方,目前不得而知
  • 21人小組的背景可能過於單一(不是平均30歲資工資訊博碩畢就是OK)
  • 文內看不出來在 attack surface 的 reduction,到底 MJIB 做了什麼
  • 時間點很特別,最後結論都是來自境外IP(這表示無法破案),但又大張旗鼓揭露所發現的 threat model(只有一種?)
  • 幾個所揭露的數字,其定義和單位 (unit) 不明。Attack threshold 和 impact baseline 相當模糊(不是看到威脅就是等同於網路瘋狂轉傳必須介處)

簡單以上。

正確認識「加大頻寬,CPU要變大」說法

今天週五的教案是健保署在受訪時所提到的「加大頻寬」「CPU要變大」(影片)。這個案例很有趣,我們一步一步來推敲。

在網路公司待過的,無論什麼世代,聽到健保署這講法肯定是莞爾一笑。一來是,網站「塞車」「當機」不是「加大頻寬」就能解決,二來是「CPU要變大」到底是什麼東西?這點再問下去大概會很難為情,我也不知道英文要怎麼說。這一連串由台灣政府技術官僚(尤其是主官階級)所說出來的話,顯示了另一個哭笑不得的狀況。

他們不太知道自己在說什麼,而且對於網路只有很模糊的概念,即使已經很努力了

由於腦袋裡的概念很模糊,事情的嚴重程度和需要什麼專業才能解決,也只能矇著眼睛做。運氣好的,身旁剛好有勝任並且得到良好授權的團隊,能代為解決燃眉之急。運氣不好的,被拐去做什麼沒有用的事情,最後被問到非技術層面的「價值等級」問題,連搭理的機會都不存在。


有幾位朋友問到同樣的問題,我用一個譬喻來講好了。比如說一個在公共衛生相對落後的T國,我們A國希望做醫療經驗輸出,要派一個醫療團進駐。醫療團內的醫療成員,不需要每個成員都是不同領域醫科的佼佼者。對於這個地區,我們應該派什麼人,需要什麼樣專業知識組合,只要團隊成員有熱忱,有來自T國完整和持續的資源,長期就能幫這個A國慢慢建立起公衛的概念和公衛政策的框架。這部分屬於長期打底的工程。至於在短期的任務部分,大概就是保健課程、衛生宣教,以及衛生所等臨時性的醫療行為。

這個T國的居民在過去從來沒有機會在本國享受到如此溫暖專業的問診,即使是一個小咳嗽也會蔓延到整個地區疫情不止。經驗輸出的A國醫生,雖然熱忱和專業有餘,而且也很年輕,但這個T國畢竟不是他的母國。時間到了,他自然要走。T國的文官系統能不能因為醫療團的離開而繼續維持好不容易建立的公衛水平,目前看來不樂觀。

原因我們都知道,來自A國的醫療團水平夠紮實,而且在面臨醫療資源稀缺和補給線過長的狀況下,腦筋靈活動得快,通常能快速部署不是怎麼正規(又稱敏捷)的手法,目的是為了屢次解決T國的燃眉之急。可是,T國沒有自己的人才培訓,所以T國從過去到現在,都把醫療團當成是來自於天空之神的福音的一般看待。就算是看不懂,反正知道多少會有效,T國人民會額手稱慶(奇)。

這個A國的醫療團在回國解編之後,陸陸續續回到了自己的崗位。由於A國雖然醫療人員和醫事機構龐大且先進,但這年頭願意追隨類似無國界醫生組織 (MSF) 前往艱難地區的人不多了。大家都興高采烈聽著各種神奇的故事,閒暇飯後也會嘖嘖稱道。醫療團成員的出路,多半就是回到自己專業領域的位子,繼續發展。


另外一個譬喻就是,一個成熟的領域,各領域自然有專精厚實的人才堆棧 (stack)。我們都可以理解柯文哲是葉克膜的專家,但要找柯文哲來看我們的牙齒,倒不如問問陳時中比較上道。就算巷口的牙醫診所,也絕對在看我的牙周病比柯文哲來的專業。正常人應該都不會認為柯文哲什麼都懂,什麼都要懂。只要男女感情身體有病,都要找柯醫生出面(?!)吧。

不過,若柯文哲年輕時候自願來到了T國,穿上白袍,他可能在T國的歷史記載上,成為那「神來也」的人之一。

這大概就是口罩實名制2.0(網購)在台灣的狀況,更準確來說,是健保署在說出「CPU要變大」「加大頻寬」背後所隱藏的意義。台灣可能是某些資訊技術的大國,但說是離真正的大國,尤其是現代意義資訊大國(不是製造),還有非常遠的距離。否則就不會有這些事發生了。


「請中華電信把流量從1G加大到4G」,這兩個數字一直在腦袋裡迴轉。

「對政府科技防疫超有信心。」

這次台灣政府的防疫相當高水準,但這是建立在很多不能言說的代價之上。在公衛部分的水平堪稱亞洲一流,但在網路和數位部分,我們也可以「相信」政府過去的「優良表現」:

2018 北市政府衛生局發現設籍台北的所有個人戶籍資料全部外洩

https://www.ithome.com.tw/news/127981

2019 銓敘部發現全台灣70%以上公務員個人資料全部外洩查達七年

https://www.rti.org.tw/news/view/id/2052495

2019 年抓漏小天使發現全台800萬筆個人資料外洩,揭露此訊息方法之有爭議後,遭調查局約談,專案控制權轉移到香港公司

https://breach.tw/

這些資料並不難取得,利用的途徑和彌補的管道也無人知曉。我們在武漢肺炎期間願意給予政府完全的信任,我想這是歷史的不得不然、集體無意識的選擇,還是另有其他更好的生路?

從政策面看口罩預購 emask.taiwan.gov.tw

Screenshot as of 2020-03-11 13:17:24 (UTC +0)

自距離我們上次推斷之後又過了兩天(中文英文),先說本日「小結」:

媒體宣傳缺乏現代資安意識

由蘇貞昌社群媒體帳號所釋出的影片來看,媒體拍到太多細節了,例如內網IP、流量監測儀表板、公開的網址等。今日由於政府相關單位公佈的口罩網購方式細節更多,我們可以從各種採訪當中得知來自不同主管機關肩負此次重大任務的主機名稱,使用用途等資訊。這些資訊很容易被有心人移作他用,就算不是現在用,也是某種資訊搜集的好管道。

打的是選舉模式的節奏,但不是現代戰爭模式的節奏

根據媒體報導,我們得知健保署資訊組科長約聘副研究員的說法,他們是上週五下班 (3/06) 才知道有這件事,本週一 (3/09) 上班才知道細節。我的判斷是,蘇內閣不經意的把這事當成「選舉作戰模式」的節奏在打,而不是真的在具有「現代軍事戰爭意義上」的調度作戰。這和他自陳「聽不懂」以及行政院資安長陳其邁不是此背景出身都習習相關。細節不懂很正常,但幕僚要協助要能「問到對的問題」,預想可能的情境。

健保署需要很多不為人知的幫忙

轉了幾圈之後,最後是健保署的 app 成為第一入口。支撐健保署的 app 能順利運行有一些公開的標案資訊可以回推。有些和「健保快易通」有關的支援服務可能不是透過健保署招標的,但我們至少可以有一些訊息,得知維護的業者是哪些。

關於已經公開的網址

既然第一入口是健保署的 app,但網站 emask.taiwan.gov.tw 的憑證所屬單位,卻所屬單位卻是外交部國際傳播司(截圖)。這表示事情真的很急,急到就算送公文的人坐計程車也來不及?我們寧願相信這只是一時權宜,但其安排令人比較不解。

關於國民的身份認證

TWID 所扮演的角色吃重,去年和郵局的合作,這次採取這種「服務流程途徑」來解決口罩分配的問題,以及未來的 T-Road 和 eID(參考一參考二)等,應該有不等的牽連關係和鋪陳。

關於傳說中的大數據和藥局端的回收作業

政策公告的管道和變動的時間太過頻繁(例如 3/10-12 的兒童口罩回收或是停止配送清單的作業等),第一線的藥師,我想已經崩潰大半。

到底入口歸誰管,客服要找誰

從媒體紛擾的訊息和沒有整合溝通的說法,一般民眾一定搞不清楚,但大概只要知道網址和下載 app 就好了。目前看來整個「網路服務」至少在面對使用者的「前端感受」會有:(a) 健保署的 App (b) 財政部報稅服務改作的網頁介面 (c) 付款流程的金流服務介面 (d) 身份認證的介面。不清楚「1922」是不是可以期待的客服專線,還是「口罩預購系統」會有專屬的客服團隊?

物流

中華郵政24小時運轉,我看他們給拍的倉庫其實有點陳舊。(這表示自動化程度不高,勞動條件不理想)

幾個從政策面思考的問題

  • 為什麼會選擇透過「網路訂購」?
  • 為什麼在幾天之內又改成了「預購」又變成了「登記」?
  • 為什麼會選擇一定要綁定手機和 TWID?
  • 健保卡或憑證的使用很多人有經驗,留待其他專家發覺。
  • 如果試了兩週發現成效超出預期(如有效將口罩取得管道順利分流),那麼下一步是什麼?
  • 如果試了兩週發現成效遠低於預期,那麼下一步是什麼?
  • 決定每週「上版」是怎麼決定的?那個機制現在是誰在協調?
  • 這個為期兩週的「社會創新」實驗,值得全國關注和動員嗎?值得和不值得的判斷標準是什麼?
  • 如果我們可以回到上週,如果真的要提供網路訂購,那麼你會怎麼安排?
  • 如果我們可以回到上週,是不是有其他不要涉及「複雜系統」的解決途徑?

以上作為教案討論。

First glimpse: emask.taiwan.gov.tw

Here’s one particular interesting case as it gets so much attention over the last few days in TW. The government kind backed off from over-promise:

You can order your mask online!

Detail on emask.taiwan.gov.tw (to be launched as promised by the Cabinet):

  1. Starting from March 12 you can “pre-order” your masks.
  2. The mask rationing scheme is real-name based so you have to go through one of the service flows:
    • National Healthcare Insurance Card on a pc/laptop, or
    • Natural Person IC Card on a pc/laptop, or
    • an App on your mobile devices (tablet not supported)
  3. You’ll be notified if you’ve secured your masks on March 19.
  4. Starting from March 26, you can pick up masks at your designated convenient stores.

For the specific eMask site:

  • Web Service: TradeVan (SI)
  • Payment: Bank of Taiwan, FISC
  • App: Ministry of Health and Welfare
  • SMS: Chunghwa Telecom
  • Logistics: Post Office
  • Customer service: unknown… maybe 1922 hotline service staff?
  • Pickup locations: 7-11, Family Mart, OK Mart, Hi-Life

All companies owned by the government except the last mile. In short:

  • It’s an experiment
  • You have to go thru lucky draw process if pre-orders exceed supply
  • Pre-order on March 12, and the soonest date you get 3 masks is March 26
  • Assuming everything works fine
https://twitter.com/eballgogogo/status/1237007922464354307

推想口罩實名制2.0

這件事不好想,尤其是當你不是負責團隊,手上缺乏關鍵數據。但朋友們,我們再來把這件事當成教案來討論。

首先是:

  1. 現在遇到了什麼問題?
  2. 這些問題的嚴重程度?
  3. 解決這些問題是否能讓口罩更有效的分配?
  4. 網路訂購是否會解決這些問題?
  5. 網路訂購會併發什麼新的問題?誰去吸收這些新的問題和成本?

幾個預設前提我們先不考慮對錯也不挑戰(雖然有些預設我有不同看法):

  • 口罩是防疫最重要的事
  • 口罩透過網路販售要顧及數位包容(感謝某君提醒,如不方便行動者、年長者等購買)
  • 新增的成本估算和吸收
  • 法規有牴觸者不討論(例如把國民相關的資料庫在無法源依據之下串來串去)
  • 政府可以(值得)完全信任

G2B, G2G 還是 G2School 的配銷也先不管,我們開始。

(一)現在遇到了什麼問題?

上週為止的實名制口罩,到底遇到什麼問題?由於口罩從訂製到交到消費者手上的路徑拉的非常長,我們先切出幾個環節:

  1. 政府訂製端(不管它)
  2. 工廠製造端(不管它)
  3. 物流端(要管,因為增添網路訂購管道,會牽涉到物流)
  4. 進銷存端(要管,無論是本來的通路或是新通路,都會被影響)
  5. 顧客端(也就是買口罩的人)

訂製端和製造端跟我們消費者比較沒有關係,但從物流端開始,目前的物流是由中華郵政所肩負。之前有個數字,但現在實際負責物流配送的人力安排不知如何。這部分現在有沒有出什麼問題(例如效率、成本、勞工安全),我們不得而知。我們先假設沒有問題好了,因為我們沒辦法透過公開的管道得知。但「物流端」的任何問題,銷售端(藥房和衛生所)畢竟累積了一整個月的經驗,應該有些彙整的報吿才是。我想像中可能的問題是,例如進貨的時間趨於穩定或是不穩定。如果穩定,那對銷售端而言好預期,如果不穩定,那就是在人力安排上會有額外的支出和消耗。

進銷存端的問題大概是最多的,因為銷售的狀況在流程每一段的人都有不同的感受。我們先看銷售狀況怎麼往上游影響,也就是進貨的物流這一段。我們看到媒體所描述的調整方向是:例如賣不完的藥局考慮在隔日減少進貨量(由政府端控制,可由內部庫存系統得知),賣得完的就沒事(但最好不要加量,這反而會讓「績優者」背更多的進銷存責任)等。

進銷存端的第二個問題,也是最少被討論的,就是藥局在銷售本身所遇到的問題。我相信在這一段有很多原來政策制定者沒有想到的各種「例外狀況」。這些例外狀況通常第一線如果有管道可以早點知道政策會如何更動,很多問題是本來可以避免的,也能讓第一線藥師的耗損不至於如此快速和龐大。比如說:面對每週加量供應的口罩,分裝時間和作業空間都不夠,多餘的庫存哪裡擺等。

進銷存端的第三段就是往顧客端走的這一段。這一段由藥師執行,是直接面對銷售者的最後一哩。很多問題也浮現了,例如在「金流」部分的找零(需要很多零錢),因為資訊流所帶來的壓力(怎麼網路上某網站所顯示庫存和現場不一樣)等。

最後是顧客端,這點也不用我多說,有實際經驗和現場/網路體會的人數,遠大於前面四者。

(二)這些問題的嚴重程度?

這部分的評估就是科學和政治藝術了,但我們同樣先以上面的「五端」來看,再加上一個「輿論端」:

  1. 訂製端:沒問題,政府搞定(要面對的利益相關者有高度的控制力)
  2. 製造端:沒問題,政府搞定(要面對的利益相關者少,溝通成本低且可政府內部自行吸收)
  3. 物流端:可能沒問題,中華郵政目前使命必達都可以搞定
  4. 進銷存端:問題很多,壓力鍋已爆,只是畢竟有六千多家,爆的方式不是我們想像中的全爆
  5. 顧客端:問題更多
  6. 輿論端:在台灣,這通常是上述問題是否嚴重的判準之一

顯然,4和5是目前已經發現問題很多,政府端必須在分配政策做出即時因應,否則會更惡化往輿論端發酵,造成民意「反撲」。問題當然很多,有些可以不用解決,有些問題讓藥局自己找解決方法,有些問題很關鍵但現在還不知道怎麼解決,有些問題雖然很嚴峻但要直接解決的配合要件還不充分,有些問題時間到了自然會開始解決。有些現在不能忽略了,要嘗試放到「口罩實名制2.0」去解決」。實務界有很多框架、技巧和手法,可運用到問題「威脅」程度以及解決方(政府)需要如何安排其優先次序。如果政府團隊這麼快就能宣布新的政策(包含細節的敲定),顯然團隊有自己很熟悉的框架。

(三)解決這些問題是否能讓口罩更有效的分配?

這就是媒體、國會(如高虹安)和政府相關人士口中念茲在茲的「科技防疫」「大數據」等概念想解決的問題。這題太大,而且現在也沒有任何政策的細節和數據。這邊就不瞎猜,給內部的大數據專業人士去解決。

(四)提供網路訂購是否會解決這些問題?

這個等「口罩網購」服務上線再來學習和討論。

(五)提供網路訂購會併發什麼新的問題?

這部分的推想會比較精彩,我們再把上面「六端」拿來用,並且把「三個流」列出:

  1. 訂製端
  2. 製造端
  3. 物流端
  4. 進銷存端
  5. 顧客端
  6. 輿論端

三個流是:

  • 貨物流
  • 資訊流
  • 金流

但在推想之前我們要做人物的擬定,人物我們就抓幾個大家都會看到遇到的人物來做代表:

  • 政府(行政院、衛福部、CECC 等)
  • 中華郵政(或新的既有物流)
  • 藥局和新的通路(除了網路之外,如果還有)
  • 顧客端

我們從最後一個顧客端開始推想,因為這和大家息息相關。有兩種推想的方式,其一叫做「使用者旅程」(User Journey Map),其二是使用者經驗歷程 (User Experience Journey)。

「期待管理」也是至關重要的。有了新的網路通路,我相信大家腦袋想的都是「電商」的「網購平台」。比較有規模的電商網購平台,除了貨物流、資訊流和金流都必須具備之外,讓這三流運轉順利,還需要有開發、測試、系統管理、系統安全、產品、營運、客服、內容管理、設計、帳務等編制。我們目前無法得知「口罩實名制2.0」的網站會以什麼樣的型態呈現,但如果給民眾的想像是可以直接透過網路購買口罩,那這個網站顯然必須肩負非常多的任務。

在短短的時間內是否可以安全上線且承受首日因為好奇或是有需要的大流量,目前我們暫時無法得知,但這會是挑戰。比較可能的做法大概是下列幾項:

傳說中的口罩網購服務是:

  • 某種「預定商品」的系統
  • 會員和帳戶的建立,依賴的就是讀取你的健保卡
  • 系統需要你填寫或選擇一些必要的欄位,主要是和物流配送有關,也可能會要求消費者填入額外的個人資料
  • 短期內付款請到指定取貨的通路處理(社區藥局,或是新的通路)
  • 未來大概會推出「訂單記錄」功能
  • 可能無法透過系統取消訂單、修改訂單
  • 「放鳥」系統沒去結掉訂單也不會有「罰則」
  • 當然也不會有商家對你下「負評」
  • 「出貨狀況」和「訂單追蹤」大概不會有,因為你要自己去通路領

可能的狀況還不少,但「口罩實名制2.0」網路服務系統的「產品設計」和「功能」,應該盡可能取一些保守的設計原則,而不是去將就不可言說而且沒有對外開放的系統,或是無法定義明確的「大數據分析」 。

此外,這個「網購平台」的客服,就是新政策所創造出來的新問題。網購平台一定要有客服團隊,否則消費者有問題要誰回答?要通路(藥局藥師)自己回答嗎?還是配送口罩的中華郵政郵務士要回答?還是要大家去 CECC 團隊的臉書問?還是問陳其邁的社交媒體帳號問?或是架站的工程師自己到處主動尋找問題回答?

接下來,我們從藥局端來想。如果社區藥局被「派了這個單」,這是什麼意思?藥師可以有介面或是後台看嗎?例如,某社區藥局A今天成人口罩庫存累積有一千個,口罩訂購網站顯示了庫存。有一位消費者三更半夜透過網站查詢,下單和訂購,選擇了某社區藥局A作為今日的取貨地點。請問:

  • 消費者應該幾點去取貨?
  • 消費者可以在口罩銷售的時間之外去取貨嗎?
  • 消費者不去預定的時間取貨會發生什麼事?還是沒有預定取貨時間這回事?
  • 消費者應該還是去藥局取貨和付錢,對吧?
  • 藥師如何得知今天會有幾個消費者透過口罩網購要來付款取貨?
  • 如果消費者今天沒有來取貨,那麼這筆訂單要如何處理?藥局端要做什麼?
  • 如果消費者來取貨的時間和平常現場排隊買口罩是一樣的,那麼藥師是否必須要先把流程都搞清楚?
  • 到底什麼時候上線?藥師這次又有多少時間可以「學習」?
  • 藥師在使用口罩訂購網站的後台(如果有)發生問題,要向誰問?
  • 消費者在現場問網站問題,藥師應不應該回答,甚至是協助消費者現場下單?

我先隨便舉幾個現場的問題,提供大家參考交流。

如果網購口罩的物流選項多了下列兩個,那麼相對應所產生的問題是?

  1. 郵局的「i郵箱
  2. 郵務士直接投遞到指定地點(進入一般網購的領域)

今天的推想就先到此為止。

台灣調查局針對網路空間的查處能力

今天的教案是台灣調查局的此案:揭發大陸網軍收購臺灣網域散布假訊息真相。先說結論:

  1. 此案宣布「揭發」過急,不揭發還好,一揭發反而完全暴露出調查局在專業度上仍有大幅零到一的進步空間
  2. 調查局對於網路空間的所有描述和詞彙不只不夠準確,而且毫無基本概念
  3. 認定這13個網址的標準是什麼要更清楚
  4. 這篇新聞稿有經典教案的味道,有志關心網路社會和注意力經濟的朋友們,建議可花時間推敲

首先是這張圖(來自調查局):

以及聯合報的描述

法務部調查局資通安全處主任張尤仁表示於調查新冠肺炎疫情假訊息時發現,臉書社群某粉絲專頁因疏於維護,在「關於」中所放置的網址連結,竟連向中國之內容農場,且自今年起即針對我國政府發表爭議訊息及施政評論,經調查局積極溯源調查,發現該臉書專頁除高度爭議性文章外,更循線查獲該專頁係串聯大量外部網站,以中共「內容農場」模式,疑似在疫情緊繃期間意圖藉此操控我國社會與論,短期內高頻產製不實訊息,並投放至我國臉書社群中加以散布,進行統戰。

嗯,不是很好理解,而且有「滑坡謬誤」推論之嫌疑。我們花點寶貴的時間,一個一個詞來說明。

  • 臉書:沒有疑義。
  • 粉專頁:沒有疑義。
  • 網域:稍有疑義,我們可以用台灣過去習慣稱的「網址」,或是中國習慣稱呼的全稱「網路域名」,或是簡稱「域名」來稱呼。「網域」也是有人用的,但比較不精確。基本上講的就是 domain 或是 domain name。以此案來看,用「網址」比較適合。
  • 遭置換:這點大概是判讀錯誤的關鍵點之一。我們花點篇幅來解釋。

對一般沒有「購買」過網址的朋友而言,網址似乎是很特別的產物。網址要怎麼購買?網址的購買可以透過「合規」的註冊商 (registrar) 或經銷商 (reseller) 所取得。比較正確的講法是「註冊」一個網址,而註冊網址的費用,通常是以年費的型態產生。例如註冊一個 .com 的網址要多少錢?這要看你在哪一家註冊商或是經銷商註冊來決定。而網址的註冊由於是一次性的年費,大部分的人比較常見的網址「後綴」,例如 .com .net 時會一次繳一年,有些網址後綴允許一次以複數年的單位繳納,例如兩年,三年或十年,有些則不允許,例如至多兩年。

如果網址到期沒有繳交年費會怎麼樣?基本上這網址就不會是原註冊人的網址了。實際的狀況非常複雜,但原則是這樣沒錯。以調查局此案所列之13個網址為例,全部都是 .com .net 為後綴。這些網址只要原註冊人沒有續約,在一定期限之後,任何人都可以再次註冊拿來使用。因此,購買網址的概念比較偏向是有「租用期限和使用權」,而不是「擁有權」。

好了,網址的基本概念有了,那麼我們來看「置換」。根據調查局的新聞稿、台視新聞(影片)、聯合報(文字描述),我們可以很清楚的知道,這並不是「網域遭置換」,而是:

  • 原持有人網址沒有續約(原因不論)
  • 新註冊人透過不同途徑和機制,註冊原有網址
  • 相關臉書粉專頁面的原留網址,被導引到新的網頁和網站

白話來說,就是網址沒用了(行業術語叫做掉網址),新的註冊人註冊來使用。到這個階段,我們可以比較確認的是:

  • 上列13個網址沒有被續約
  • 調查局主動積極約談了6人(應該是透過 WHOIS 找到原註冊人聯絡資訊)
  • 目的是「釐清是否遭不肖中共網軍收購」

到這邊又有一個點需要討論,一般的讀者可能看到了一個專業術語 “WHOIS” 的出現。WHOIS 是什麼?簡單來說就是一個網址註冊人聯絡方式的全球性資料檢索協定 (protocal) 和服務。對網址註冊人而言,WHOIS 在什麼階段會遇到呢?我們簡單以下列步驟來告訴大家:

  • 小萌去 GoDaddy(全球最知名的美國網址註冊商)檢索希望註冊的關鍵字 “smallming”
  • GoDaddy 告訴小明有哪些網址後綴可以註冊,小明覺得 .com .net 都還不錯(而且沒有人註冊),不過 .com 聽起來耳熟能詳,就是它了
  • 小萌覺得 smallming.com(以上為虛構)很好,一年只要繳美金12.99元,於是啟動註冊和購買程序
  • 要結帳的時候,GoDaddy 系統告訴小朋說需要填寫四筆資料,這四筆分別是:註冊人 (Registrant)、管理人 (Administrator)、帳務連聯絡人 (Billing)、技術聯絡人 (Technical)

這四筆資料就是 WHOIS 的基礎資料之一。在「過去」對於任何人而言,只要知道如何使用基於 WHOIS 協定所發展出來的各種檢索服務,很容易就可以知道某個網址後面的註冊人、管理人、帳務聯絡人和技術聯絡人是誰。不過現在是2020年,美好的資訊如此公開的往事,早就一去不復返。因為有些欄位會被因為各種原因而被「遮罩處理」(被隱藏),或被置換為無法溯源到原始註冊人是誰的狀況發生。對了,這邊所謂的「人」可以是「自然人」(例如小萌)也可以是法人(小萌股份有限公司、小萌文教基金會),也可以是虛構的人(蒙奇D魯夫)。請務必記住這一點。

我們在這裡不對全世界上千個主要的網址後綴「規矩」做分析,只是簡單說明調查局在這個年代只透過 WHOIS 要反查這13個網址的「上手」(被約談的台灣民眾)和「下手」(調查局所稱之邪惡網軍)註冊人是誰,會需要有合作一起溯源的對象,因為 WHOIS 的資訊絕對不是唯一拿來判斷註冊人是誰,甚至是下手的註冊人去「承接」這些原本由台灣註冊人所註冊網址的背後「意圖」是什麼。

一般來說,我們從 WHOIS 的各種欄位可以知道:

  • 第一次註冊時間
  • 最後一次更動相關註冊資料的時間
  • 在哪一家註冊商註冊
  • 註冊人的相關聯絡資訊

這些欄位的資料是調查局引以為據,在記者會說明「收購時點均落在2020年總統及立委大選前半年」的依據之一。調查局所釋出的簡報畫面去掉很多關鍵資訊,我們用另外一種方式將它「還原」,先用土法煉鋼的方法,檢索調查局特別指名道姓的 “puddingco.com”:

https://hexometer.com/domain-whois/puddingco.com

進一步看現在的原始資料:

https://hexometer.com/domain-whois/puddingco.com

不滿意,還有:

https://whois.domaintools.com/puddingco.com

然後我們實際去看一下這個網址現在所呈現的內容是什麼,讀者也可以自己試試看:http://www.puddingco.com/

從新聞稿得知,這網址過去是台灣的註冊人所註冊,但在去年總統大選前六到七個月,有了註冊人轉移的資料更動紀錄。我們想看看原始的台灣註冊人是誰,但現在不容易查到。我們用了另外幾個服務去查,得知:

https://securitytrails.com/domain/puddingco.com/history/a

以及:

https://web.archive.org/web/20190228223050/http://www.puddingco.com/

到此為止,我們可以比較有信心的說:

  • 網址最早註冊不晚於2006年,而且當時已經啟用,有使用之事實
  • 2019年6月30日是最後一手的註冊人「接手」
  • 最後一手註冊人填寫的資料,目前看來是位於中國黑龍江省大慶市
  • 承上,其留下的 email 是 97996288@qq.com
  • 承上,所使用的註冊商是 DropCatch.com 395 LLC (IANA#:1806)
  • 目前 puddingco.com 上面的內容全部是簡體中文。我很快地用肉眼掃了一輪,判斷這個網站所針對的讀者群,可能主要是以簡體中文的使用者為主
  • 上一手的台灣註冊人,我們根據 Wayback Machine 的線索,查到可能是在2018年公告準備結束營業的布丁公司
  • 調查局說的「台灣持有日」是錯的,而且錯得離譜

我們用 “97996288@qq.com” 再丟去 “Reverse WHOIS” 查詢,其中之一的結果是:

https://viewdns.info/reversewhois/?q=97996288%40qq.com

不滿足,再查:

https://www.domainiq.com/email?97996288@qq.com

再點開 “associated domains”:

跟這個電子郵件有關的網址至少有38個,其中的5個我們透過免費的查詢服務可以得知。例如 pinguotv.com 即為一例,這網站也是內容農場。到此為止,我們可以推斷出什麼?

  • 此人 “Yang Dong Qing” 為內容農場經營者
  • 此人透過偏向透過經營 “drop catch” 服務的註冊商 (Registrar) 註冊網址

什麼是 drop catch?根據 Wikipedia 的說明… 好吧沒有繁體中文… 白話來說就是:

網址掉了撿起來

請容我多加說明,由於每天全世界都會有無以數計的網址沒有被續約,而被註冊局 (Registry) 和註冊商釋出的網址,有些「價值」不菲,成為了各種網址生意人的標的。早期只是搶注網址,現在則多了把掉下來的網址轉作為內容農場的商業模式。為什麼要這樣做?因為很多經營許多的網址和網站(例如 Puddingco.com)有一定可觀的忠實流量,網路上可能也已經遍佈了 “backlink” 回到此網址。再加上此網址已被運用高達13年,對於知道如何將流量變現的商業公司或是個人而言,這些掉出來的是網址是值得去 drop catch 的目標。

你可以看到此人所使用的註冊商其公司登記的名稱都有 “Dropcatch.com xxx LLC” 的字串。這表示,他習慣用的不是我們一般大眾用的 GoDaddy、在台灣有據點的外商 Gandi.net 或是中華電信的網址註冊服務。他很有可能是職業性的內容農場經營者,或是其他性質有商業動機的人士。

由於調查局宣稱這13個網址背後是有「不肖中共網軍」「研判此具高度組織化及策略性之網路惡意行為,其背後應有大陸黨政軍單位主導操盤」,但職業的內容農場經營者是否就是不肖「中共」「網軍」?但到目前為止我們的探索(也只是隨便先看一個網址而已),大概話還不能說得如此斬釘截鐵。至少我們以上述所推斷的過程和所取得的資料來看,尚無法如此斷言。如果我們要推斷到調查局所述的「真相」,我們還需要什麼樣的認知、技巧,資料和第三方的協助?

在此先賣個關子,因為這是調查局的工作,不是你我的工作,而且非常花時間,不是一個人或一個團隊或一兩天可以搞定的。


針對此例,我們還可以手工查下去,但我們目的並非查案,只是當教案討論。我們回到調查局的新聞稿。這新聞稿水準很令人擔憂,調查局說:

五、 以遭收購之公司「puddingco」為例,該公司網站原始名稱不變,然網站內容均遭修改,充斥大量大陸官方新聞、政策,及對我國「帶風向」之不實評論。

針對調查局的說法,我的看法是:

  • 『以遭收購之公司「puddingco」為例』:不盡然正確。網址只要沒有續約,任何人都可以續約,網址名稱跟公司登記名稱一樣,但不能等於直接説遭收購。媒體可以這樣說,但你是調查局,調查必須科學、精確和嚴謹,不能這樣表述
  • 『該公司網站原始名稱不變,然網站內容均遭修改』:這句是多餘的。原始網址當然不會變,但跑在網址上的網站(網址還可以有提供 email 服務),只要原網址註冊人放棄續約,而且有新的人註冊並且使用,那麼新的註冊人當然可以隨意使用,「內容均遭修改」是常態
  • 『充斥大量大陸官方新聞、政策,及對我國「帶風向」之不實評論』:典型滑坡謬誤,中國註冊人要將其當成內容農場經營,當然是「無斷」刊載其國內的各種政策文宣和內容。其政策文宣涉台者,當然對我國會有「不實」之評論。中國的內容農場是數以十萬百萬之計,而由於其特殊國情和網路邊境管制之因,幾乎絕大多數的內容農場所轉載的內容都具有高度的重複性。現在的 Puddingco.com 站內有大量隨機產生和轉載的內容無誤,但有多少和台灣有關的內容?這些內容能足以起到「帶風向」之效果?這些都是疑問

簡單來說就是:調查局的說法是門外漢,而且調查局自陳

調查局表示,認知作戰是以往國安領域不曾著墨之處

第一次真的要特別小心。這個年頭不會再有「王迎先」了,但希望不要跳得太快。

我們先假設調查局調查的結果具有一定信度的,但從調查局所發佈的文字、圖像和記者會的說法,對任何有一點相關經驗的人來說,都很難相信他們可以根據他們所說的方式和所使用的專業詞彙,查出並且揭發這就是「大陸網軍收購臺灣網域散布假訊息真相」。有幾種推定,讓他們願意這樣斬釘截鐵的開記者會揭發真相(雖然和他們所釋出的訊息有所出入):

  1. 調查局有來自非局內的情資
  2. 調查局有來自不明的壓力要揭發真相,大幅壓縮了調查的時間和產出的品質
  3. 調查局在執行其他任務時,發現了這條想像(aka 腦補)可以抓到「大魚」的線

至於真相如何,讓讀者們自行判斷。


WHOIS 妙用無窮,我們用另外一種方式來查查這13個網址(一個調查局遮掉了,可能網站有色情內容或是網頁埋有惡意程式之類的),跑出來的結果是:

我們可以看到有 IP、DNS、電子郵件、IP ISP、ISP Country、IP Organization 和 Org Country 的欄位。單從這個表我們能先看出什麼?

  • 各網址所使用的 IP 不盡相同,但主要都是來自於美國和中國
  • 各網址所使用的 DNS 解析伺服器,其命名規則有一定的相似度
  • 12個網址所留下的聯絡人電子郵件資訊,有三分之一的電子郵件後墜是一個註冊在美國加州的公司 (psychz.net),兩個是註冊在荷蘭阿姆斯特丹的公司 (Leaseweb.com),以及香港、阿里巴巴集團(西部數碼國際)和 CNNIC(中國互聯網絡信息中心)的後綴

線索很多,所使用的工具和調查的途徑不同,就會看到不一樣的資料。這些資料是否足以之稱調查局的「揭發」,根據我個人曾經擔任過註冊商總經理的經驗來看,以及對於「假消息」的過往探索歷程,我認為還相當不足。

至於記者會名為「調查局查獲大陸網軍收購我國網域意圖操控我國社會輿論記者會」,什麼時候 .com .net 是我國網域了?

當真訊息妨礙了公務

今天看到來自行政院的這篇新聞稿,想不太通。新聞稿內有張圖,是這樣的。

本來要「改做此圖」比較利於分析,不過看了圖表所說的「如有妨礙公務情事」送內政部刑事警察局處理,我們還是以原圖作為討論的基礎。目不少台灣媒體「盛讚」台灣防疫,但在資通訊和網路空間等專業領域,我想很多人可能比較冷靜,會有不一樣的看法。

我們把這圖從上面順著流程看到下面,第一層是「與疫情或防治措施相關之訊息」,第二層是「真」「假」的判斷,以此下推。由於是「應處作為 – 訊息釐清及處理」,還不到法院那邊,所以最後把關的那一段是內政部刑事警察局 (CIB)。

我們從 CIB 的網站可以得知,近來「破案快訊」的案件訊息量大量增加,在傳統電子媒體也可以看到好幾個偵查隊的大隊長或副大隊長出來開記者會,例如偵一、偵四、偵七和偵九在不同時間都陸續在傳統電子媒體「亮相」,而肩負重要任務的「電偵大隊」,也不會在缺席之列。

由疾管署所製作的這份在行政院第3691次院會的簡報,可以看到一些由 CIB 經手後移送的具體數字。

看起來有幾個單位在「收單」上有所分工,這些分別是:疾管署、CIB 和調查局 (MJIB)。不過這三個單位如何「收單」、內部作業流程、品質和效率,不是我們要討論的重點,重點還是回到第一張圖。我們推敲一個情境。

  • 步驟一:與疫情或防治措施相關之訊息
  • 判斷一:真
  • 步驟二:涉及疫情或防治措施,有影響公務之虞?
  • 判斷二:會
  • 步驟三:如有妨礙公務情事 (1) 社維法 (2) 妨害公務
  • 判斷三:符合,送 CIB 處理

簡單來說,訊息為真,涉及疫情或防治措施,但有影響公務之虞且妨害公務情事,可送 CIB。

這應該已經不是「假消息」「不實訊息」各種應處框架的處理範疇了?我懷疑這份報告在製表的部分是不是搞錯了?還是已經有想像中的因為「真訊息」所造成妨害公務情事之樣貌型態?

武漢肺炎下台灣資訊社會發展之觀察

本週大概幾個點:

1. 口罩實名制涉及之資訊流開放和管制作為:分為內部資訊系統群和對外資訊系統介面和資料拋接。對外部分:因為藥局各門市作業流程和商業邏輯的變異高,資料經手的環節多,人工介入比例也極高,在庫存系統要求必須「正確」「即時」的部分,早已確定不可得。這部分若第一天在現場細部觀察則推得可知。本發展軸線之「熱度」告一段落,查詢量和需求已呈現穩定,甚至降低不少。至於內部資訊系統群就是擴張適用對象(如非健保合作藥局)一例,但這和整體資訊社會發展關聯度不高,沒有特別關心。

2. 在「疫調」的強烈需求和媒體塑造的氛圍推波助瀾:衛福部各單位(如疾管署、健保署等),在法源和法令授權不明確的條件下,開始與不同的政府機關的資料庫串接。細節多半可以從媒體報導抓出脈絡。可以確定的是,幾個涉及國民不同性質和行為形態的資料庫,被快速的串接、經手、處理、連結和分析。例如在與電信業者「合作」,調閱話務通聯(如通話)和行為數據(如移動軌跡)。陳其邁接受央廣採訪的講法是「科技防疫」「用大數據追感染源過程」:

為了確定這個假設,行政院聯繫資安處、警政署、電信公司,從1月13日開始到1月26日之間的司機通聯紀錄著手,發現在1月22日、23日前後,確實有前往機場載客的叫車紀錄。接著,再和移民署查對資料,從機場的出入境資料中,針對有中港澳旅遊史的旅客,進一步縮小感染源的疑似對象清單。

這段描述對於很多人來說可能無關緊要,但對於不少在理論和實務上曾經「體會」「協助」過現代政府「監測」「監控」威力的朋友來說,可能是第一次聽到台灣的政務官說的如此明白。這表示了「一個時代的來臨」:政府有能力,而且做得到,如果你是外籍移工,當然也做得到疾管署資訊)。在「危機」「防疫如作戰」的緊急情境,「本來」不能或是不該「高調」這麼做的,都可以被快速達成。讀者可以想想這道門現在開了,以後可能會「促成」什麼事的發展,或是說,我們要建立什麼防線,才能讓這件事在未來不是這麼容易就被「使用」或是「濫用」。

3. 「紓困條例」的通過:關於「謠言」「不實訊息」的部分,有頗為具體且具有威嚇效力的「懲處」。但符合懲處條件的「標準」,我覺得很難說得通。

第14條散播有關嚴重特殊傳染性肺炎流行疫情之謠言或不實訊息,足生損害於公眾或他人者,處三年以下有期徒刑、拘役或科或併科新臺幣三百萬元以下罰金。

我們可以透過警政署刑事局的新聞稿的「破案快訊」部分一窺端倪。到今日為止,我們至少可以看到刑事局的偵一、偵四和偵九都「榜上有名」。不過,破案說明短短幾句,有些還頗令人啼笑皆非(包含建議民眾的事項),我情感上不太願意相信這就是刑事局在「數位偵查」的水平。不少法界的朋友在討論「言論自由」的尺度,我也感覺有些不對,但沒受過法學訓練,說不太準。比較令人莞爾的是各防疫相關單位和刑事局的合作模式,以及新聞稿所反應出來專業程度。事實上這幾個被破獲的「案例」都稱不太上是什麼「大案子」,但卻很明顯的「暴露」出台灣目前政府的主流處理手法在面臨「網路空間」、「資訊社會」以及「海量訊息」的各種窘境。例如說,一則訊息的閱讀量的不到「一百人」,這一百人可能還有機器人流量或是重複計算的問題。此則訊息的傳播速度不知、已傳播多廣也不知,訊息的「生命週期」或是「半衰期」也不知,訊息是不是「足生」「損害」於公眾或他人者也不知。但一經媒體報導 “amplify” 此則訊息,訊息的傳播效力和廣度反而倍數級成長。

講嚴肅一點,這也不是什麼「資訊戰」,資訊戰通常是在談其他東西的

4. 遠距的資訊社會:德勤中國有一份報告 (Deloitte China),是從 CISO 的角度來寫的。我不是要推薦他們,只是想特地強調這個面向。

5. 用個人身份和生物識別資料換口罩:街頭口罩販賣機」可說是相當「完美」的案例。

其他的面向我想很多人都有很精彩的討論,不需要我多嘴。但上述四點在台灣此時的防疫水平表現之下,反而被氣氛「壓制」到不太談得開。在此留下紀錄,供未來參考。

台灣偵九隊的一則「不實」訊息

新聞稿在這:查獲LINE群組散布不實疫情訊息案

這裡面透露出不少可以討論甚至將「偵九隊」作為教案的狀態。第一眼看到這段落,我的感覺就是「不實訊息」:

警方再次呼籲民眾勿隨意製造、散布或轉傳涉及新型冠狀病毒肺炎疫情之不實、未經查證之訊息,是類案件於抗疫期間必依法速查嚴辦。另請民眾全力配合政府相關防疫措施,相關資訊可上疾管署網站查詢最新公告內容,並可加入衛生福利部疾病管制署之「疾管家」官方LINE帳號,接收最新的疫情及防疫知識;還可透過「美玉姨」、「My Go Pen」等網路訊息查證平臺辨識訊息真偽,全民一體共同防禦新型冠狀病毒感染之肺炎可能帶來之危害。

撇開 typo 不論,「美玉姨」和「My Go Pen」不是「網路訊息查證平台」,自然也無法達到「辨識訊息真偽」的用途。

美玉姨」是一個查詢和半自動化回覆的介面,本身不具有「訊息查證」的功能,要說是「平台」也不盡然正確。「美玉姨」背後所串接的資料庫來自於另外一個網路專案,也就是大家熟悉的「Cofacts」。Cofacts 是不是一個網路訊息查證平台,是否能達到辨識訊息真偽的功能,這當然可以討論,但美玉姨是一個「外掛」的程式,原開發者也有一段時間沒有針對此程式進行「維護」和「改善」。偵九隊建議民眾使用「美玉姨」,這個建議可說是「無所本」或說是「認知有誤」。套句時下流行的話,就是不具惡意但其訊息本質是「不實」「不夠貼近事實」的訊息。

至於「MyGoPen」則是另外一個有趣的案例。「MyGoPen」是一個「網路訊息查證平台」嗎?比較精確的說,應該是:

  • 一個私人單位的網路內容檢核網站
  • 網路內容檢核結果的商業(或非商業)的資料源

MyGoPen 提供資料源的時間早,除了和華視的合作之外,也是其他傳統和電子媒體針對「不實訊息」的「澄清」的內容合作對象之一。套句術語就是內容提供商,也就是我們電信和網路產業所說的 CP (content provider)。至於它所提供的內容是否就是具有「辨識訊息真偽」的事實,這點我不清楚,可能問不同的閱聽眾所得到的答案也不太一樣。套到商業領域,若有 CP 說他們的內容就是事實,那麼我相信這答案聽起會是稍微偏離常識。但我們應該可以詳實確定的部分是,”MyGoPen” 是內容提供商,但怎麼說都還不到「網路平台」的水準。

因此,偵九隊這則新聞稿的這則段落,若用網路平台的標準來看,確有不實訊息的疑慮。


不過,當然是沒人這麼認真在看新聞稿的。所以偵九的訊息,無傷大雅?刑事局偵九隊「高調」「查水表」,防疫演變至今,不啻是加快暴露出在網路時代,更多執法單位在態度、知識和工具的不足?

2020大選後台美資訊戰研究的出路

活動網址:https://schee.kktix.cc/events/disinfo-research

(更新)本活動座位有限,報名已滿。謝謝各位的關心。

前因:https://blog.schee.info/2020/02/05/whats-next-after-tw2020-election/

不過,對任何這方面的研究者來說,若是這一年研究的動能有所大幅增加,那麼研究的經驗累積,總不該只是社群媒體或是報章雜誌的專欄吧?我們看幾個比較長期有聲譽的智庫,包含美國、德國、英國、澳洲等地,無論對台灣的研究水平如何,就算只是想對其國內利益相關者表示「我也有在做台灣研究」,至少都有公開的報告,可讀可閱,可供討論。進一步積極者,還能看到所釋出的資料集,讓其他的研究者能驗證所謂「資訊戰」「假新聞」的指證歷歷和論述。

以及:

對西方世界來說,這方面的研究很重要,台灣當然是一個好的標的。但研究資源缺乏累積,沒有可供驗證的文本,那這兩個領域,可能就不屬於研究範圍。我們可以說是情報工作,也可以說是政治工作,或是外交工作,也可以是服務美國顧問公司的公關工作。但對於研究者而言,若走到這一步,發展當然是最差的。

筆者於2018年11月自瑞士返國,在當年大選「大敗」後的一週內,接受台灣「新境界」智庫邀請,夥同友人一位,分享對於假訊息的觀察。當時第一版簡報的簡要版也公開上傳到 Slideshare 網站。席間有多位重要相關政策的制定人士,其一表示,這已經完全超出他們理解的狀況,此後也不知如何是好。(你沒聽錯)

在2020年的現在,由於幾本相關主題譯書在台灣的出版,大眾已經對這方面的議題比較能夠了解。但僅僅在12個月前,這個理解的深度和關心的程度,是完全不存在的。。。對,即使是對政策的制定者來說,也是成立的。(你也沒聽錯)

是日會後,筆者認為相關研究和觀察經驗,對於台灣和盟邦以及被此事搞到焦頭爛額的平台業者們也是重中之重,議題的討論應該予以公共化。2018年12月底,筆者將原始版本透過台北「哲學星期五」的活動,與幾位專業人士,重新爬梳對於假訊息在台灣網路空間發展現況,背後的網路空間結構等,進行一次大約三小時的熱烈交流。

這場名為「奇怪的戰敗 2.0」的座談,可能是許多研究者第一次聽到,也第一次了解到研究途徑可以和過去在台灣輿論所知所述,擁有迥然不同的研究「進攻」路線。

時序快轉三個月,期間又有幾場比較關鍵的讀書會。但在這場「奇怪的戰敗 2.0」知識饗宴後,台灣也爆發了對這方面研究的「渴望」。渴望的了解主題叫做「資訊戰」,而不少積極的研究人員,到目前為止累積了大約不到10個月研究歷程。

筆者在此階段的觀察,也詳實地記錄在 blog

根據公開資訊,我們得知美國智庫 CSIS 在本月也舉辦了台美在此議題的經驗交流,同時,在美國國務院 GEC (Global Engagement Center) 計劃的支持下,雙方即將在本月(2020年2月)於台北舉辦「美台科技挑戰賽」,作為在東亞區域之資訊技術利益相關者的交流平台。筆者將在此次「盛會」舉辦前,針對過去所接觸超過三百位利益相關者的觀察,包含跨國公司、平台業者、智庫系統、他國和本地研究生態結構等,再次交流對於研究課題可以如何繼續發展的觀察。

本分享會型態為輕鬆嚴謹,具有 “serious fun” 的基調。

座位有限,活動場地為市內會議室,可自行攜帶飲料飲食。有意參加的朋友,請線上註冊方便統計人數。

國家級警報竟然用 Bitly 網址

雖然在收到的兩個小時前透過新聞報導,知道北北基的民眾即將收到 cell broadcast 國家級警報,但我昨天收到的時候簡直嚇呆了。

警報報文所傳遞的訊息,字數控制在一定的數量之下,為的是讓民眾可以看到 Google Maps 上的 POI (point of interest),也方便在有限的手機螢幕上完整顯示武漢肺炎的警示。這則報文用了 Bitly 的短網址做轉址。這串短網址是這樣的:

  • http:// bitly.com/2SpSxeT

除非你知道怎麼拆解網址,但單純在手機上是看不出來這是哪個單位發的,也不知道後面轉址過去所拜訪的網址,是一個網頁還是一個檔案。你可以說你相信 cell boradcast 這個機制是政府才有權限使用,訊息的發送管道做得很好,所以我們想都不想點下去市民應盡的義務。但對有經驗的朋友,一開始不起疑竇,大概不太可能。

我們估算本次發送範圍的北北基民眾,大約有七百到八百萬之譜,這個數量的民眾,持有的手機不一定全然支援 cell broadcast。先估個三百萬好了,有至少三分之一的人在60分鐘內會透過這短網址轉址另外一個地點,這尚稱合理的推斷,也是 Bitly 所公布的統計數據。

  • 11:00 AM, FEB 7, 1,136,286 clicks
  • 12:00 PM, FEB 7, 876,519 clicks
  • 1:00 PM, FEB 7, 451,591 clicks
  • 2:00 PM, FEB 7, 239,410 clicks

到目前為止,這個短網址已經被點擊了超過320萬次。這讓我想起有一位在電信業長期服務的朋友,他說他們做手遊的加值服務,過去也用短網址把原本要使用者點選的網址夾帶在簡訊送出。過去點擊率的表現很好,但後來詐騙事件多了(2015年媒體報導某科技公司2016年的分析),大家也有這個警覺,看到不明網址不會亂點。這也難怪,短網址是方便將很長的網址或是帶有各種參數的網址,縮短為一串好記,甚至是可以直接鍵入的方便途徑。

短網址是各種針對消費者進行網路攻擊最常使用的工具之一。如果政府要用短網址,大約十年前美國前任總統歐巴馬還在任內時,就提供了專門給政府單位使用的短網址服務。你可以看到這個服務目前仍躺在這裡。這不是最好的案例,但比較知名:

這個只提供給政府內有權限的人所使用的政府短網址服務, 實務上可以相當程度的確保:

  • 短網址品牌識別來自於美國政府或授權的僱員
  • 短網址所指向的網頁或檔案,是經過政府授權顯示,或是經檢查沒有資訊安全疑慮的
  • 短網址當初是誰創造的,有使用歷程
  • 短網址轉址時會搜集大量的資料,這些網路載具端的行為資料搜集,政府可以管理(如:留存、研究、刪除等)
  • 短網址服務不至於因為瞬間大量使用,造成轉址服務中斷

這次國家級警報使用 Bitly 的短網址,剛好成為可能是台灣歷史上第一個有趣案例:

  • 利用國家級警報,可能是台灣政府首度大規模使用單一短網址
  • 使用美國 Bitly 公司的短網址服務,Bitly 可以隨時砍掉這個短網址,或是讓它無法運作(他們沒有這樣做)
  • 國家級警報直接「廣告」 Bitly 短網址服務的品牌,送了一個超級大禮
  • 至目前為止所創造出超過320萬次的點擊,讓 Bitly 可以搜集到非常好的台灣北部的使用者行為和使用端點(載具)的資料。我不敢想像這可以創造多少未來的商業利益

我不知道這次警報發送時,在發送系統內有無檢查,例如(純討論用):

  • 跑去其他 ccTLD(例如 .ru)的網址要直接在後台上稿時鎖死警示,或是白名單 TLD
  • 或是做防呆處理,如:鍵入不正確的超連結格式,系統就先行跳出出警示等
  • 拒絕鍵入不安全的格式,例如本次是 “http” 而不是 “https”

台灣的各級政府單位使用短網址非常之頻繁,而台灣做短網址服務的商業或團隊,也在 goo.gl 關閉之後如雨落春筍般的上線。但國家級警報不是網路小編挑文放一個短網址在臉書的文章,只是為了服務之後的統計報表所用。更重要的應該是在緊急狀況準確的傳遞訊息給國民,也避免直接鼓勵國民擷取資訊的過程,「不小心」造成大規模短時間被收集行為資料的事實。

這件事是可說是非常好的「教案」,與陳建仁副總統鼓勵民眾拜訪內容農場的網址同樣是在全國公衛防疫壓力的「失常表現」。很多資訊方面的意識在緊急的時候更加重要,在防疫時期,我們更需要政府的各環節內有人把關。這個把關的機制落在單一個人是不明智的,例如做手遊行銷的,絕大多數會知道短網址的可用和不可用的份際。這樣的知識,要能在政府的緊急作業流程內被鼓勵流通。如果沒有這樣的體認,那麼防疫救災之時,就會是資訊安全,個資安全和隱私的修羅場。

其他關注議題:

口罩供應即時查詢的第三日

第三天講的更少,直接先講結論。有興趣的朋友請回顧第一天第二天的推演。

  1. 接下來一週的防疫重點絕對不在於口罩的即時庫存查詢,穩健放著讓 PDIS 去協調,但要求主管或職務代理每日定時匯整回報狀況。接下來四天要怎麼做,以中央防疫指揮中心的判斷為主。不能直接「放水流」的原因是,PDIS 是政府資源所授權的某種編組,既然是政府資源所授權,那麼政府就有責任,但要「背負」這等責任,完全不是現在的要務。
  2. 庫存既然不是即時也不可能「正確」「無誤」,那麼就讓 PDIS 彙整的網頁上所列的各個計畫,在接下來的一週 “pivot” 到揭露藥局非即時但重要資訊的某個資訊系統群眾外包之實驗運動。
  3. 不要因為這件的「拐彎」拖垮藥局一線的人力和創造出不必要的流程干擾,或是「拐出去」的更大。所謂的流程是還有四天即將到達檢討是否要繼續口罩實名制的一週期限,各單位和前線戮力以赴根據資源,管理,法規和緊急狀態所跑出來的「最佳流程」。接下來要看全國口罩產能的進度是否足以樂觀以及防疫的進展。之後再決定 PDIS 這部分要怎麼處理。
  4. 網路協作的經驗和成果,讓媒體去詮釋和承接發展,畢竟很多人花費了苦心,這些努力值得被記錄(但不是歌頌)。防疫過後,要記得用不同的角度來研究此案,但對外要誠實,對內… 已有媒體之力。重中之重仍是現在的防疫,關鍵資源的供應,還有對大眾溝通時所釋出訊息通路的可控和可信的累積。整件事單獨來看是一件「美事」,但啟動時機稍微不對,一開始若能錯開48小時,必要之需求先行確認,大概就完滿了。(之後再說想法)
  5. 目前這些接取介接衛福部所釋出的群包介面,警語的各種提示,部分開發團隊和人員已自行依照自身的節奏補上。未來三天這些網站的總訪問量應該會降低,緩解大家自願提供運算資源的耗費。
  6. 請記得接下來正式對外的溝通話語,避免提到「即時」兩字。溝通的方向是壓低根據無法同步的公開庫存資訊所造成的焦慮和查詢民眾對政府防疫舉措(尤其是網路資訊管道)不信任之漸次灼傷。
  7. 無法提供「正確的資訊」所大量造成某種貼近傳播「不實訊息」效果的影響,無論如何努力,在緊急防疫期間不是好事。做決定的人要能負責。

冷靜以對,大家保重。

[活動] 武漢肺炎後的台灣國際參與

時間:2020年2月12日(三)19:00-21:00

地點:Treerful 小樹屋科技大樓 601 / 臺北市大安區復興南路二段200號6樓-601室

活動報名(麻煩,要統計人數):https://schee.kktix.cc/events/intl-engagement-after-wuhanvirus

前因:https://blog.schee.info/2020/01/29/icaoblock/

聯合國的正式組織和結構相當龐大,中國政府比較說得上話的領域,基本上有很多的中國籍政府官員、外交人員、學研、記者和共產黨黨員以及其盟邦夥伴,這點是「不方便的事實」,是台灣在美中貿易戰以及武漢肺炎所必須更精確認清的事實。

以及:

以台灣的社會經濟實力,在各國際政府組織 (IGO) 和國際非政府組織 (INGO) 要能確保能順利運作的常駐人力缺口,我猜有三千到五千人之譜。目前完全沒有人才培養和晉升的管道,而且斷層有如大峽谷般的無法銜接。你辦事還是避不開人的,你自己若沒有人,可能怨不得人

筆者將在此次微小的分享會,分享參與聯合國相關生態機構和計畫的一手經驗 (2011-)。目前可以參考的簡報:https://www.slideshare.net/schee/ss-89464500

此簡報的首度公開場合,來自於2018年2月底在智庫「新境界」的邀請之下與內部所分享的內容。隔週 (2018/03/03) 即直接上傳於公開網路。在將近兩年後,我們再來重新檢視武漢肺炎和美中貿易戰之後,台灣在 UN 體系的參與,尤其是在:

  • 新興(例如5G、網路安全和網路空間)
  • 危急領域有什麼空間
  • 無任所大使的角色

…  等該有什麼基礎的認識,如何看待 UN 生態,以及未來的路可以如何推估。商業領域的朋友也不要錯過,因為貿易和新興數位領域,不可能自外於這兩波的大衝擊,也不可能自外於美國國會的意見

本分享會型態為輕鬆嚴謹,具有 “serious fun” 的基調。

本活動不提供口罩,請參與者自行準備。座位有限(僅十位),活動場地為市內空間,但可自行攜帶飲料飲食。

口罩供應即時查詢的思考(第二日)

承前一日的觀察,今日話少點,講精要。

健保署的內部系統

健保署署長在受訪時,特別提到增加運算資源這件事,但有經驗的會說增加「運算資源」,沒資訊系統經驗的可能會說「傳播速度拉快」或是「設備增加」。但不管怎麼說民眾的現場體會和自己用電腦系統的體會是類似的,只知道「當機」,「卡卡」或是「卡頓」。另外一種可能是,主官為了公眾溝通所以不說「運算資源」,這也是很有可能的。通常我們透過採訪的口述,大致可以知道一個主官對於資訊系統或是和其專業顯有差異領域,是否有足夠的經驗和團隊支撐。不過這不是署長的日常業務,而且這是緊急情況,他的團隊在這個時間頂不頂得起來,當然更為重要。就算是資訊領域出身,資訊領域何其大者,真的需要很多不同的專業才能把事情搞得好。

藥局透過 VPN 和健保署相關系統的連線雖然行之有年,但畢竟沒有遇過類似本次武漢肺炎的超大量查詢。沒有公測過的網路資訊系統在公開後幾乎一定會「炸掉」,所以要有很快速的應急方案 (mittgation plan),這可說是鐵律。第一天遇到,第二天就緩解了許多。這是好事一樁!

唯一不是短期內要解決但遺留的問題是,我們看到健保署的說法

李伯璋今天受訪表示,有部分特約藥局因非使用IE系統造成上線困難,但都已即時解決,健保署全省監控上機狀況良好,雖然有特約藥局零星上線問題或驗證速度稍慢,但絕大部分人在1520秒內就能購買完成,若有藥局販售遇到困難,希望能隨時反應給健保署。

對於現代任何一個做 web 資訊系統的團隊而言,還能看到「部分特約藥局因非使用IE系統造成上線困難」,這顯然不是好事。這種遺留系統和環境 “legacy systems” 的條件限制,大概是未來如果要「滿足」「全民」透過「網路」即時查詢口罩庫存的關卡之一。

健保署的對外系統

健保署在204日發布,在206日實名制的第一天,將有口罩即時庫存系統上線。現在想來,這建議不知道是誰建議的,是透過什麼程序通過的。因為要滿足這樣的需求(如昨天本篇所述),是不可能的。技術上就算可能,在實務和操作上也不可能。我本來的推斷是,如果我是健保署,一定是把運算資源優先撥用給內部 VPN AP(藥師用的系統)來使用,而不是對外的系統。這應該是優先權最高,而且要持續解決和優化的項目。

但既然已經公告,很難還沒上線就說不上線了,必應這會大幅減低政府防疫資訊的「信度」。26日上線到現在30個小時,我們也看到了許多不能歸咎於純資訊技術性和開發人員的因素所產生的問題。昨天有提到一些,今天再補充(以下沒有按照時序):

  1. 民眾拿著透過各查詢系統所得出的數據結果(口罩庫存),質詢藥局人員。如:口罩庫存不即時,我開車一趟要跑兩小時(嘉義部分鄉鎮、南投部分部落)
  2. 民眾跑了幾家之後,發現口罩即時庫存數據對不起來,開始打藥局電話(放棄此資訊管道)
  3. 藥師在第一天就必須第一次應付三類狀況:(1) 藥局本身新的營運流程 (2) 內部系統新介面的作業流程,以及 (3) 外部民間口罩庫存系統所帶來的大量電話詢問
  4. 由於各民間「查詢系統」已經分別各自上線,民間的工程師開始在不同環境討論和理解現場藥局的各種實務流程,並且想辦法積極解決
  5. 健保署自己的查詢介面「下架」,直接轉到 PDIS。我猜測健保署應該不會再自行提供檢索介面
  6. 健保署以開放資料的型態,將口罩庫存的數據釋出
  7. 資料集釋出的頻率,透過 PDIS 協調,從30分鐘的間隔縮短到1分鐘之內
  8. 更多的民間開發者(盈利或非盈利)加入開發的行列(案例一
  9. 第一天媒體報導(角度不一),但因為有畫面,畫面讓資訊工程的開發者更清楚了解現場的狀況,健保署相關系統的邏輯,還有現場的各種人因 (human factor) 所造成在資料鍵入的不即時不準確問題,或是庫存進銷存要「即時」而且「正確」,是多麼難的挑戰
  10. 部分有經驗的開發者持續優化本身系統,寫入警語(例如數據僅供參考),或是凍結開發(因為發現源頭的數據和現場實際進銷存的狀況,條件太複雜)
  11. PDIS 協調,請健保署多開欄位,讓口罩庫存的查詢可以更有機會趨向「正確」,例如:銷售開始時間、銷售結束時間、營業期日、休息日等
  12. 各縣市的藥師公會分會在資訊彙整和回報角色被拉起來

從另外一個角度來說就是,這是一個口罩庫存查詢系統持續優化的「巨大實驗」和「嘗試」,昨天是身分證尾數偶數者成為「體驗」的對象,今天是單數者。這種努力的心力和勞力是值得鼓勵的,但在防疫的角度來說,我認為目前實際能幫到忙的,絕大多數還是藥局清單和聯絡方式。至於這30個小時幫到了誰,是怎麼幫到這些人,都需要之後的扎實研究。

到下週一210日口罩實名制的第5天,這場「實驗」可以累積不少經驗,口罩庫存查詢系統優化的腳步大概也到了一個階段。疫情能否控制得宜,整體社會能否得到更正確的訊息,實驗所付出的代價是什麼,在邁向「即時」「透明」就是王道的今日,我們第三天再來看看。

訂閱 Telegram 頻道

「台商」一詞在21世紀武漢肺炎後的適用性

很拗口,但我想到的狀況和「網軍」一詞所投射出來不符合現況的想像,是類似的。

「台商」是什麼時候興起的詞彙?印象中應該是1980年代後期,也就是開放「兩岸探親」前後開始被媒體所使用的詞彙。這時候能被稱為台商者,一來大概不是老兵,二來在香港可能有些生意,三來和美國也有生意往來,四來有做日本生意的,也不在少數。除了因為中國內戰記憶而前往「大陸探親」的老兵和在台親族之外,其他勇於「西進」者,絕大多數肩負商業目的,身份是商人,所以相對於「台胞」,就被稱之為「台商」。用台商來指涉這一群多半是男人的人,可以準確的涵攝其身份和經濟行為。

1993年04月29日海基會在新加坡針對台商赴大陸投資保障落實問題的討論(又稱:辜汪會談),應該是「台商」比較正式進入公部門溝通用語的轉折點?

但撥開這層歷史脈絡想來,「台商」聽起來是很奇怪的,尤其是現在都2020年了,西進中國(大陸)的理由有千百種,身份目的也非常多元。就如同1980年代我們開始到美國因為留學、找工作然後定居的一代「資訊人」來說,到美國可能是留學、依親,也可能是取得相對應的工作簽證,從事藍領或白領的工作。我似乎沒有聽過誰會把去美國的人稱之為「美商」。美商指的應該是美國資本來台所設立的海外子公司或分公司。所以我們會聽到美商XXX公司,或是法商XXX公司。至於「外商」公司內工作者的國籍是什麼,身份是什麼,是不是有一個攏統的詞彙來稱這些受僱受聘的工作者,我暫時想不出來。

現在回來想想,「台商」可能是一種極為聰明所創造出來的階級?如果我們要把「台商」正常化,那麼,我們需要什麼新的詞彙來指涉在中國(大陸)從事各行各業,擁有台灣護照(或是居留證)的民眾?

這可能也是武漢肺炎和徐正文等中介者橋返台班機一事所併發的思考。

口罩供應即時查詢的思考(首日)

純粹留下紀錄,設想的閱讀對象是對政策的發展有興趣的朋友。例如說,你是機構的管理者,或是採購的決定人,或是單位裡面負責整體數位政策的那一位,你可能身在公部門,也可能在私部門獨當一面。面對這麼龐大的口罩供應即時查詢「需求」,要如何在如媒體所稱的號稱48小時之內,「開發」出一個即時查詢的系統?

需求是什麼?

首先是,這需求是哪裡來得?例如說,是每一個人都要能查詢口罩的即時庫存量嗎?需求的定義是很難的,也非常花時間,尤其是對大型的資訊系統而言。這時候,通常的做法是先搞清楚利益攸關者,也就是說,這個對外的資訊系統從討論、需求訪談、啟動、測試、上線和維護等,要先比較清楚的知道會有哪些「角色」會被服務到,或是會被牽扯到。這個「專案」的 “sponsor” 是誰,服務的是誰等。這種思考的路徑,無論如何緊急,最好都不要省略。模模糊糊有概念也好,不用想到很精細,尤其是這個資訊系統要服務的,是這次「口罩之亂」所引起的「需求」。

這次「口罩之亂」和即時庫存查詢需求的出現,源自於實名制的產生。實名制的新聞發布,到實際必須提供系統服務,大概只有不到72小時的作業時間。所以需求是什麼,哪些是剛性的,哪些是假性的,哪些是可以晚一點處理的,哪一些是一定會「被罵的」,哪一些是需要錢的,哪一些是可以「丟出去」的。

我們能看到的是,先有來自台南的工程師團隊,很快的利用 GCP 平台,製作出了「即時口罩地圖」。但那時衛服部主導的中央流行疫情指揮中心,照我們所得知的媒體訊息來看,一開始可能沒有這樣的想法。但在媒體的熱心報導之下,這個「即時口罩地圖」,成了第一個資源條件有限和需求定義不明的「犧牲者」。

中間我們先跳過大約50個小時,看看需求在衛福部的口罩實名制正式於206日上線後,遇到了什麼問題。有幾個比較明顯的:

  • 對外系統全掛(web/app 端),對內系統(藥局端)保持順暢但反應緩慢
  • 庫存量幾乎不可能「即時」
  • 健保特約藥局有不同的營業時間
  • 健保特約藥局不是只有這個業務,還有其他業務(調劑、診所等)
  • 一般民眾對於「即時」的期待,包含資訊的即時性、正確性、可取得性等的需求,不可能「滿足」

這些問題在26日早上各系統上線後面臨了「實證」,而衛福部自己即時庫存的「網頁」,也在幾小時後不得不下線,先轉去 PDIS 手刻的展示頁面,將這個需求和負載先行過繼給「民間」。

哪些是我被授權解決的需求?

這對於外部的「民間」團隊比較沒有這方面的疑慮,但是對於政府各單位以及緊急防疫情境下的公務員,是有很大的不同限制。例如說,所謂衛福部的 app 查詢介面緩慢,到底原因是什麼?根據目前我們與 app 合作業者的採購合約限制來看,我們是否只能「加機器」以解決查詢訪問量大增的狀況?加了機器就能讓 app 查詢時間變快嗎?還是是機器對外頻寬的問題?對外頻寬要加到多少?要花多少錢?如果隔天重新上線要再加,我們能談到比較好的對外頻寬 (outbound) 價錢嗎?下決定的是誰?下決定的人跟我的關係是什麼?如果他是我健保署的上司,我大約知道這些可能發生的狀況,但老闆已經在記者會上說明,我不是這個計畫的編組人員,我該說話嗎?我甚至沒有獲得授權參加相關討論會議。這些會衍生出的需求,我該怎麼辦?

這個系統畢竟不是「媒體資訊系統」,所以在「授權」的層級會有不同的狀況。媒體資訊系統的授權,在這個年代的台灣,大概壓縮得很扁平。要服務的需求,也非常單純。例如說,授權的層級有主編、編輯、記者、設計師、工程師等。一條新聞上到網站,只要能產生足夠的 traffic只要沒有「假消息」的疑慮,這個新聞的網址要如何被散佈,內容如何修改,大概也不會有什麼問題。一篇報導能產生到不重複 IP 數萬甚至到上百萬的訪問量。

但口罩庫存的即時查詢系統,當然不是這麼回事。衛福部有自己的授權層級,負責派送物資的郵局,也有自己的系統(這裡不是單指資訊系統而已)。然後是特約藥局和工會,藥局本身的內部。藥局本身內部還有電話和網路這兩條可能湧入需求的數位「線路」,前者是電信,後者是衛福部趕工上線必須透過 VPN 連接的內部系統,而這系統還牽涉到藥師卡等。而且即時查詢系統,需求方很多,使用系統的各個角色,來來回回比媒體資訊系統複雜許多。藥局和衛福部的內部系統可能還好,但要對外的部分,就一發不可收拾。

藥局應該沒有配置資訊人員,連鎖的藥局可能在總部有資訊團隊的編制。上面提到的幾個角色,都還不是口罩的購買人。每一個人的角色不同,被授權能解決的需求,有些是組織規制,有些是法有明定,有些是資訊系統就把授權做好了。任憑任一個人,都很難跳過授權科層,去處理其他段的問題。

再來是來購買的民眾,民眾就是產生大量的需求,他不需要被授權,而且是產生大量變動的需求。

哪些需求是一定會變動的?

以今天早上來看,可分為幾個環節:

  1. 衛福部:網站掛了,本來希望訊息都從我們這邊發出,但只好呈報主管說,能不能在網頁上直接連去不是衛福部的 PDIS
  2. 衛福部:App 掛了,同上,但沒有 PDIS 可以連,而且軟體市集的上架,不是說要上就要上,還要審的。App 也不是自己人所開發,有合約在,要討論,這等於是當時 app 的需求書內沒寫到,要加「規格」,是需求變動。
  3. 藥局:臨時人調不出來,藥局有人要照顧小孩,只好中午進去再測試昨天被丟出來的教戰守策。能測得好不好還不知道,即時庫存回報跟我沒有關係,店能開起來比較重要。中華民國藥師公會全國聯合前幾天「下令」說一天要服務口罩登記和銷售兩小時,不然會建議衛福部解約。對我的店面來說,這是重大的需求變更沒錯。但我不能不開店,開店就要面臨實體 DDoS
  4. PDISPDIS 有自己順暢和即時的對外溝通管道,看他們的發佈管道會更清楚。

這些需求的變動頻率,樣態,是不是在啟動實名制加上口罩即時庫存查詢系統前可以「預想」的?我認為很難,因為大家的專業不同,就算天縱英才,沒做過沒踩過地雷就是不會知道。踩過能不能快速修正,也取決於需求的重新定義和資源的調配。另外,一天24小時,資訊系統的負載也有高低鋒之別。

哪些需求是透過觀察才發現不是真需求?

這個在第一天各系統上線的幾個小時內,也能觀察到。首先是,透過桌機或是筆電用瀏覽器查詢衛福部或是民間各大即時口罩供應系統網站介面的使用者,很多只是去「逛逛」。打不開頁面之後,就一個一個網站去逛(點)。有些網站嵌入了圖台(地圖),讓檢索的流程有很多線可以走,大幅增加系統的負擔和系統反應的時間。有些網站則是用傳統的下拉式選單,但其設計的作法也讓使用者必須快速切換和送出檢索請求,這當然也是讓網站反應不過來。至於衛福部本身的網站,則由於前一天大肆透過網路媒體將網路連結公開發出,第一時間就大量湧入查詢請求。即使號稱都準備好了(根據媒體所述),不到兩個小時就必須改弦易撤,將資源動態調配。

很多查詢的人是「看熱鬧」的。當然我們不能直接說,這就是看熱鬧的人「壞了事」。網站的拜訪不像騎摩托車去藥局賭賭運氣,任誰都可以拿到連結就開啟網站(也包含全世界的拜訪者和網路機器人)。操作網站介面,大量重複的鍵入相同的檢索條件,這個使用者的行為是可以預期的,尤其是在兩天媒體的推波助瀾下。不過,說這不是「真需求」也不對,倒不如說這不是我們預期希望能服務的需求。

哪些需求是可以透過溝通計畫,讓資訊系統可以服務到更需要的人?

由於大型的資訊系統本來就建置不易,能夠確定需求、快速建立,成本可控可期,且能馬上服務大量訪問的網路系統,通常其服務的目的和需求都比較單一。而我們上面的簡單討論,就跑出了不同軸線,讓我們有機會進一步即時探討當下所發生的事件。為了防疫的努力 ,所有環節的角色都是辛苦的。但資訊系統畢竟不是祈禱就能運作,民眾的使用行為千奇百種,各專業的加入是很重要的。我們也不太可能要求藥局為了要讓資訊系統能即時反應口罩存量,而讓其資訊系統的商業邏輯或是人事作業邏輯做出一次性的大幅改變。或許從另外一個角度來說,從政策、資源、現實和需求考量而出發的整合溝通計畫,才是「緩解」甚至是讓這些努力得以發揮到最好效用的途徑之一。

聽聞衛福部明天系統將重新上線,我們繼續觀察。留些紀錄,讓大家的經驗和記憶能累積,讓未來可以做得更好。

補充第二天的思考

訂閱 Telegram 頻道。

2020大選後台灣資訊戰和假新聞研究的出路

這兩個領域本來差異極大,因為「資訊戰」和「假新聞」要定義起來可就沒完沒了。可是沒定義的東西就很難框定範圍,不能框定範圍就很難做「量測」。無法量測的東西是無法獲得改善的。這對於任何做網路產品的人而言都屬常識範圍。可是為了方便討論和紀錄,我們將這兩個領域姑且先用通俗輿論的說法來探索。

首先是2018年11月24日「奇怪的戰敗」,接下來是2020年1月的「大勝」。中間的歷程不是我們要回顧的,但有幾個一般讀者可能比較沒有關注的因素,成為2020年大選之後的變數:第一個是美國智庫體系的介入,第二個是其他國家智庫體系的介入。第三個是,本地研究者開始和美國為主的利益相關者接觸。而這幾條關係之間,有不等的公開資助和號稱委託研究的關係。

美國的智庫為什麼要研究台灣的資訊戰和假新聞?這裡有些具體的說明,我不再贅述。而在大選前兩週,很多人都被分配到要接待的團體,有不少來是自於其他國家的智庫體系的研究人員(更龐大的記者群不是本篇要討論的)。話說本來台灣在這兩個領域的研究動能,論資源、論研究經驗、論團隊、論跨界的協調,在2018年底之前,並沒有表現出應有的「蓬勃」。喊的人很多,論壇投稿說應該如何如何的研究者也不在少數,但「多虧」2018年底到2020年1月大選的這兩個時間點所爆發的不少事件,促成「資訊戰」成為2019年研究主題的耀眼新興,也真實的成就了幾個領域研究的新星。

但這其實不到一年 (2019/04~2020/02) 的大鍋熱炒,讓接下來關心此事的研究者有什麼出路?研究者不必然是來自學界,有不少的技術愛好者,關心地緣政治的評論人,或是更多在經歷這些現象而發生失語然後感到必須奮起的人士,都算在內。

以美國智庫的角色和台灣接觸的研究人員,身份背景不盡然相同,有些其實是顧問公司,有些是科技公司,有些是受過情報訓練,而目前智庫擔任學人的好手。顧問公司是美方和不熟悉的第三國(台灣在這兩領域的發展,他們很不熟悉)接觸時,必定會出現的中介機構,在新興領域尤然。例如最近不巧遇到武漢肺炎的「美台科技賽」,就是顧問公司穿針引線,美國在台協會名義上在本地聯絡,以及另有本地被授權與美方討論的人士和單位,進行磋商和議題研究而發展得來的號稱「東亞級」的系列活動一環。

不過,對任何這方面的研究者來說,若是這一年研究的動能有所大幅增加,那麼研究的經驗累積,總不該只是社群媒體或是報章雜誌的專欄吧?我們看幾個比較長期有聲譽的智庫,包含美國、德國、英國、澳洲等地,無論對台灣的研究水平如何,就算只是想對其國內利益相關者表示「我也有在做台灣研究」,至少都有公開的報告,可讀可閱,可供討論。進一步積極者,還能看到所釋出的資料集,讓其他的研究者能驗證所謂「資訊戰」「假新聞」的指證歷歷和論述。

那麼台灣在這個時間點,有如此豐富的場域,應該要有極其豐富的研究資源才是?

大選之後,這方面的討論瞬間凍結。一來是武漢肺炎茲事體大,整體社會關注全部往這個方向去,二來是,既然「大勝」了,好些相關志願型態的計畫和團隊,要不進入休息的狀態,要不就是直接解編。照理說,如果狀況曾經如此嚴峻,總不會「大戰」後就無聲無息,連歷史都沒有了吧?

我個人比較擔心的是,這個看似新潮的議題,就像是大潮起落,不到一年之後,轉變成只有幾個人代言獨享的顯學。對西方世界來說,這方面的研究很重要,台灣當然是一個好的標的。但研究資源缺乏累積,沒有可供驗證的文本,那這兩個領域,可能就不屬於研究範圍。我們可以說是情報工作,也可以說是政治工作,或是外交工作,也可以是服務美國顧問公司的公關工作。但對於研究者而言,若走到這一步,發展當然是最差的。

台灣當然不只如此,但眼看就只能再度如此。

訂閱 Telegram

ICAO 社群媒體帳號封鎖智庫和記者一案的思考

主要是三天前的這件事被揭露(關鍵字:武漢肺炎、國際民航組織、台灣、推特)。我可能離聯合國稍微近一點,野人獻曝和先說結論:

  1. 這件事的討論是好事
  2. 台灣缺乏國際能見度,或許透過 “track 2” 的數位參與,有機會大幅提高過去的捉襟見肘
  3. 能幫你公開講話,願意留下紀錄的人越來越多,但有些話要自己講自己來
  4. 但台灣在區域和全球各重要議題的重要性要如何自證且他證,一般積極民眾的參與,是遠遠不足的
  5. 以台灣的社會經濟實力,在各國際政府組織 (IGO) 和國際非政府組織 (INGO) 要能確保能順利運作的常駐人力缺口,我猜有三千到五千人之譜。目前完全沒有人才培養和晉升的管道,而且斷層有如大峽谷般的無法銜接。你辦事還是避不開人的,你自己若沒有人,可能怨不得人

事情的開端來自於本推:

ICAO 是國際民航組織,國際民航組織有推特認證的帳號,也有專門的管理人員。封鎖 Jessica 的這件事,當然不是 ICAO 封鎖在推特上其他人的社群媒體帳號首例。不過這次的時機較為特別,尤其是「武漢肺炎」導致人心惶惶。台灣航空識別區域在東亞航運上非常關鍵,但這不證自明在區域航運的重要性,一直不足以讓台灣獲得聯合國相關國際政府組織 (IGO) 的認可,甚至是排斥有意義的參與行為。

由於「武漢肺炎」的嚴重性不在話下,相關的智庫人員和記者,也接連在推特上表示意見。AEI 智庫的訪問學人 Michael Mazza 立即表示:

接下來如一連串滾雪球般的注意來臨。我就沒什麼好多介紹的。一開始關心的多為智庫成員和記者,但隔了一天,在推特上不少能熟讀英文的用戶,也開始表達意見。這些當然不限於台灣籍人士。當然,ICAO 是國際政府組織,所以有聯絡官和公關管道。直接去信問一下,了解事情梗概來由,是很直覺的下一步。

由於第一時間不少記者也在被封鎖的行列。聯合國的相關機關對這些記者而言,並沒有像是台灣記者會遇到「大門深鎖」的問題。幾次包含透過私人關係或是官方管道的回覆,讓此議題的關注度更加提高。智庫之所以稱之為智庫,就是跟政府關係良好的研究人員。例如說,我們常看到什麼美方智庫又能直接參訪總統府,一般國民,大概這輩子一次拜訪機會都很難。所以智庫的研究人員在社群媒體上談論什麼,如果密集談多了,通常事情會比較「大條」。

時間來到了第二天,幾位推特聞人和媒體的加入,讓幾則推成為「炎上」的開端。不過,光是挑戰 ICAO 的社群媒體帳號和社群媒體使用規範是不夠的,每個組織的每個環節都是有負責人的,有時候直接「對人」的資訊揭露,或許能幫助了解事情的脈絡。

可能很多台灣的朋友不知道,聯合國是一個龐大的組織,光在瑞士日內瓦就有上萬名直接相關的雇員。聯合國每年所出版的人事報告統計有很清楚的比例。中國的影響力不可同日而語。在這些國際政府組織的中國雇員,也是為數龐大的一群。

聯合國的正式組織和結構相當龐大,中國政府比較說得上話的領域,基本上有很多的中國籍政府官員、外交人員、學研、記者和共產黨黨員。這點是「不方便的事實」,是台灣在美中貿易戰以及武漢肺炎所必須更精確認清的事實。

不過,針對 ICAO 極度不合理且用官方帳號公開揶揄其他使用者回覆的部分,這點沒什麼好說的,相當不可取。

事情進行到第四天,ICAO 帳號所收到針對台灣利益、區域安全和公衛防護的「殷切關注」,想必是前所未料。我個人希望在此事稍微落幕之後,還是能回到一開始所談的幾點,尤其是最後一點:

以台灣的社會經濟實力,在各國際政府組織 (IGO) 和國際非政府組織 (INGO) 要能確保能順利運作的常駐人力缺口,我猜有三千到五千人之譜。目前完全沒有人才培養和晉升的管道,而且斷層有如大峽谷般的無法銜接。你辦事還是避不開人的,你自己若沒有人,可能怨不得人

 

Continue reading “ICAO 社群媒體帳號封鎖智庫和記者一案的思考”

科技冷戰下,新科立委的戰鬥力是…(台北市)

先說結論:

  • 科技冷戰下,台灣國會的角色,在2020-2024之間,大概目前非常薄弱,短期內也沒有任何足以樂觀的客觀指標
  • 科技冷戰下,新科113位國會議員,其背景包含以下任二領域:如科技、國關、戰略、外交、國安、數位、網路、安全、貿易者,加上擁有過去的冷戰經驗,又足以勝任和扮演好國會議員角色者,數量可能是:一或二
  • 所以對國會最大黨而言,要實踐「抗中保台」的意念,在科技冷戰下,國會無法自己提供「彈藥補給」。對於其他在野黨而言,可能有些角色可以扮演,但實質戰鬥力,也不容樂觀
  • 因此,行政和國安團隊行不行,在2020-2024年會比2016-2020年來得更為重要

以下為個人意見。我們就直接從區域立委開始點名,然後再來是不分區立委。沒提到的就表示從過去其經歷來看,戰鬥力只有連署和表決一用。當然,有些國會議員可能天縱英才,短時間內或許有機會成為一方專家,兩三年內敏捷精通兩個領域。

我們先從台北市第一選區看到第八選區。

  • 吳思瑤雖相對年輕,但在科技冷戰缺乏判讀的 “capacity”。很多民進黨偏屬中生代的立委,多半和吳思瑤的經歷和專業類似。吳屬於第一選區,只好不幸的被我先挑出來作為範例。
  • 何志偉雖然在數位科技的使用上比較嫻熟,但因為經驗和選區選民結構所限,在消費者端涉及科技冷戰範疇者,敏感度會比較高,但可能僅就如此。
  • 蔣萬安屬於第一大在野黨國民黨陣營。他的經歷讓他的個人網絡,反而比較有機會接觸到科技冷戰的各個專業領域。有時候自己不用很懂沒關係,有一群懂的人和幕僚(甚至是家庭),這就足夠了。國會的在野黨在科技冷戰能扮演什麼角色?這個問題挺有趣的,我們留待下次再探索。
  • 高嘉瑜在數位和網路部分,在其台北市議員任內有不少「問政經驗」,但那些都偏向城市級別的市政議題。當面臨到兩個強權在科技領域的冷戰,她的過去的經驗是否能轉化發揮,以她個人的路線來推估,是有機會可以「期待」,但本人意願和團隊意願,大概很難。
  • 林昶佐主要是國際知名度高於前幾位,但那個知名度是某種形象和音樂背景的「識別度」,和科技冷戰完全無關。他的個人網絡關係(國際部分),在台北市區域立委各席,或許只稍遜於蔣萬安,但他未從政前的關係和科技冷戰的距離,說實在,比蔣萬安遠的很多。
  • 林奕華離得最遠,但和其他本區域的國民黨立委一樣,過去的「冷戰」和「對抗」經驗,來得比前面幾位更為豐富。我當然不是說過去經驗一定能派上用場,只是冷戰結束年代,若我們用1991年柏林圍牆倒塌來算,那麼當時年齡不到十來歲的,大概很難有機會親身體會到冷戰對抗和強權下求生存的強度。
  • 費鴻泰的出身當然是台北市各席「看起來」最有機會和能力談論科技「冷戰」的候選。不過一來他屬於在野黨,二來科技冷戰就是美中兩強,身為國民黨黨員會如何自處兩強之間,我認為不好推定。另外一個費鴻泰的罩門是,現代的科技冷戰與過去的科技冷戰,作用的場域多出了許多,複雜度更高,尤以數位、網路空間這兩大領域為甚。費離這兩個世界,極度遙遠。
  • 賴士葆是比較奇特的。第一個他年紀夠,第二個他是台北市區域立委唯一一位的理工背景出身(大學機械,碩博士南加大工業與系統工程)。但他所處的時代,行政、科技和產發可說是綁在一起,國會偏向是行政機關的橡皮圖章,反正只要選擇美國就對了。賴後來以財經和管理「聞名」,可說是那個年代的不得已。他離開科技如此之久,科技冷戰從財經角度雖然也可窺見不少端倪,但應該不容易派上用場。不過若他要發動什麼事情,應當要注意。

待續。

Continue reading “科技冷戰下,新科立委的戰鬥力是…(台北市)”

國發會說要訂開放資料專法 下場會是…

這件事本來該留給法制研究、律所或是法律學者來談。不過從2010年1月1日就曾經開始「大聲疾呼」的在下來說,分享點意見應該無傷大雅。

除了「資料治理」比較棘手之外,我感覺非技術面的問題有幾點。這幾點有好的解決路徑,「解決方案」就算出的來,我也不太可能支持(甚至是連加入討論都自知聰明不及,敬謝不敏):

  • 國發會陳主委的下一任不知道會是誰。陳主委本人在此領域既無經驗也可能興趣缺缺,這樣的政務官特性會讓在討論和規劃政策時,偏聽和單聽一方之言的狀況更容易發生。當一個人沒有足夠的經驗對一件事的複雜度判斷時,要不就是她是來執行事情的,要不就是她聽誰的會很重要。以台灣相關政策(編按:開放資料)推進的過去十年經驗來判斷,她會聽誰的,不可能會是透過公眾諮詢。
  • 因此,要推動「開放資料」「專法」或是「法制建設」,必然有後設和設想好的解套目標。我們就不隨意臆測要解什麼題目或是誰的題目,但我們從過去三年半推動「資安即國安」和「資安產業」的路線來看,顧此失彼是鐵定的。這顧此失彼不只是人權組織會談的那個層面而已,更多還是美中貿易戰下「國家安全」的範疇。例如,支持的本地業者積極導入具有威脅和侵入性質的監視系統到有商業安全和國家安全疑慮的場域,一方面產業政策支持甚至直接補助此等商業行為,另一方面在國安層面又「號稱」嚴禁該等情事。資訊安全產業發展、台灣業者在產業鍊的角色,還有美中貿易戰下美國在「科技冷戰」對台灣的更多必要關切,這些都是可以預見的。自打嘴巴不應再發生。
  • 政府資訊本身的「數位資料化」和「開放化」牽涉到上揭的「資料治理」。若是不慎或是急於服務某些特定產業和或是想像中的產業,不只會有意料之外的狀況,而且在實質上可能大幅提高整體國民被「監控」的風險。我不太相信沒有長期跟「資料共處」或是沒有「資料手感」的「好人」能夠體會被大規模無差別監控的風險,我也不太相信現任陳主委有足夠的能力啟動討論。所以這問題就留待給下一位國發會的主委。
  • “Hidden agenda” 最好還是要多談,就算不是現在公開講,也要提早談。否則蔡政府「數位無人」的窘境,只是落實更多很有機會長期接觸的人的經驗再證罷了。
  • 國發會現任主委談的 use case 都非常的應用和下游導向,在屢次公開場合談的事情,尤其是和數位相關者,其 “assumptions” 偏向是鸚鵡學舌,大量套用罐頭型的「台式產發術語」。照理說,國發會擁有優良的傳統,不該是這樣才是。

法制部分,留待其他高人。

美中貿易戰:大量美方中間人在台

台灣2020大選來臨,觀察團陸續進駐台灣,有新聞從業,有風險管理,有智庫學人,有商業代表,也有他國的政治人物和退休政務,大量來訪,堪稱是近年來最為盛大。

由美中貿易,台灣在半導體、電子業和製造業供應鏈角色,不可或缺。再加上中國影響力在戰略上是美國的頭排對手,研究台灣民情商情,甚為重要。除卻來訪來參偶一為之,更多是思考如何系統化建立與台灣社會的合作關係。畢竟,四十年來「棄之如敝屣」,或是從北京看台北,或是從香港管台灣,或是藉由新加坡控制台灣市場,這些隱藏的 C2C  (command & control) 關係 ,在產業打滾的,不至於陌生。

先驅研究團隊,多半是商業背景。官方組織,動作緩慢,規矩不少,再加上必須透過國務、外館體系應合招縫,快不起來。但商業公司,無此顧慮。默默有些名不見經傳,拾此機會,順理成章,成為代理機構。

此事本屬正常,可惜的是,多半低估台灣社會廣度,深度,複雜度,能動性,不能動性等各面向。代理中間人初來乍到,對地緣不熟,或因過去訓練導致,或是人際網絡狹窄,能訪能見之人,重複性極高。在這美中貿易戰和大選之際,台灣的媒體曝光度和八年前相比,可說是凌宵直上,天天都有新聞。但中間人卡一層,接觸的人再卡一層,美方因東亞外館人事三年來未曾補齊,也有數層。明明就是急在弦上,要更努力,要更聰明的接觸。但聽到的,都是重複的幾批人。

這對積極的中小企業來說,頗不公平。也對大型上市公司而言,少了一點未來佈局的哨兵訊息。升斗之民,更無從得知。大量美方中間人介入,四十年才這一次。2020會走到什麼地步,我們再看看。

Continue reading “美中貿易戰:大量美方中間人在台”

沈一鳴、網路集氣與情蒐

參謀總長不幸因公殉職,令人惋惜。但雖非台灣特有但卻特稱之「集氣」慰問,卻是有「情蒐」價值的大好「機會」。尤其是軍方人員本就在社群媒體使用上,該有「分寸」「禁忌」。軍職系統人員,無論是否現役退役,使用社群媒體若無「指導方針」「標準」或是「建議方式」,那麼長期所衍生的問題,將令人吃驚。因此,參謀總長與相關將領人員所使用的社群媒體帳號,只要是在台灣特好之 Facebook 平台,都有相當情蒐價值。老派將領或許有所訓練警覺,但一則新聞事件之連結和其留言,卻能將其舊部大量「引出」。

已退役人員針對此事,或許更願意公開表示自己身份過從以及與沈共事之經歷。雖非一五一十詳之載之,但卻能成為資料庫搜集之對象。現職者本應不該「表態」,但長官逝去,人之常情在所難免。不過網路的威力今非昔比,任一動作,尤其軍職人員,其網路行為所留下之「軌跡」,被大量無差別的搜集,不是難事。因此,黑鷹墜機憾事肇生,更是軍職系統人員爭相「集氣」留下可供辨識單位、經歷、從屬關係的重大事件。

此情此狀,相信沒有沈之舊從舊部會濫用,但對於無所不用其極情蒐之不同勢力,可能來自商業,可能來自其他非商業,「集氣」之舉,恰是大好機會。參謀總長之人際網絡,如我等之外人不能也不該得知,但憾事一來,反而讓人有機會知曉通透。這大概是意外中的意外。