First glimpse: emask.taiwan.gov.tw

Here’s one particular interesting case as it gets so much attention over the last few days in TW. The government kind backed off from over-promise:

You can order your mask online!

Detail on emask.taiwan.gov.tw (to be launched as promised by the Cabinet):

  1. Starting from March 12 you can “pre-order” your masks.
  2. The mask rationing scheme is real-name based so you have to go through one of the service flows:
    • National Healthcare Insurance Card on a pc/laptop, or
    • Natural Person IC Card on a pc/laptop, or
    • an App on your mobile devices (tablet not supported)
  3. You’ll be notified if you’ve secured your masks on March 19.
  4. Starting from March 26, you can pick up masks at your designated convenient stores.

For the specific eMask site:

  • Web Service: TradeVan (SI)
  • Payment: Bank of Taiwan, FISC
  • App: Ministry of Health and Welfare
  • SMS: Chunghwa Telecom
  • Logistics: Post Office
  • Customer service: unknown… maybe 1922 hotline service staff?
  • Pickup locations: 7-11, Family Mart, OK Mart, Hi-Life

All companies owned by the government except the last mile. In short:

  • It’s an experiment
  • You have to go thru lucky draw process if pre-orders exceed supply
  • Pre-order on March 12, and the soonest date you get 3 masks is March 26
  • Assuming everything works fine
https://twitter.com/eballgogogo/status/1237007922464354307

推想口罩實名制2.0

這件事不好想,尤其是當你不是負責團隊,手上缺乏關鍵數據。但朋友們,我們再來把這件事當成教案來討論。

首先是:

  1. 現在遇到了什麼問題?
  2. 這些問題的嚴重程度?
  3. 解決這些問題是否能讓口罩更有效的分配?
  4. 網路訂購是否會解決這些問題?
  5. 網路訂購會併發什麼新的問題?誰去吸收這些新的問題和成本?

幾個預設前提我們先不考慮對錯也不挑戰(雖然有些預設我有不同看法):

  • 口罩是防疫最重要的事
  • 口罩透過網路販售要顧及數位包容(感謝某君提醒,如不方便行動者、年長者等購買)
  • 新增的成本估算和吸收
  • 法規有牴觸者不討論(例如把國民相關的資料庫在無法源依據之下串來串去)
  • 政府可以(值得)完全信任

G2B, G2G 還是 G2School 的配銷也先不管,我們開始。

(一)現在遇到了什麼問題?

上週為止的實名制口罩,到底遇到什麼問題?由於口罩從訂製到交到消費者手上的路徑拉的非常長,我們先切出幾個環節:

  1. 政府訂製端(不管它)
  2. 工廠製造端(不管它)
  3. 物流端(要管,因為增添網路訂購管道,會牽涉到物流)
  4. 進銷存端(要管,無論是本來的通路或是新通路,都會被影響)
  5. 顧客端(也就是買口罩的人)

訂製端和製造端跟我們消費者比較沒有關係,但從物流端開始,目前的物流是由中華郵政所肩負。之前有個數字,但現在實際負責物流配送的人力安排不知如何。這部分現在有沒有出什麼問題(例如效率、成本、勞工安全),我們不得而知。我們先假設沒有問題好了,因為我們沒辦法透過公開的管道得知。但「物流端」的任何問題,銷售端(藥房和衛生所)畢竟累積了一整個月的經驗,應該有些彙整的報吿才是。我想像中可能的問題是,例如進貨的時間趨於穩定或是不穩定。如果穩定,那對銷售端而言好預期,如果不穩定,那就是在人力安排上會有額外的支出和消耗。

進銷存端的問題大概是最多的,因為銷售的狀況在流程每一段的人都有不同的感受。我們先看銷售狀況怎麼往上游影響,也就是進貨的物流這一段。我們看到媒體所描述的調整方向是:例如賣不完的藥局考慮在隔日減少進貨量(由政府端控制,可由內部庫存系統得知),賣得完的就沒事(但最好不要加量,這反而會讓「績優者」背更多的進銷存責任)等。

進銷存端的第二個問題,也是最少被討論的,就是藥局在銷售本身所遇到的問題。我相信在這一段有很多原來政策制定者沒有想到的各種「例外狀況」。這些例外狀況通常第一線如果有管道可以早點知道政策會如何更動,很多問題是本來可以避免的,也能讓第一線藥師的耗損不至於如此快速和龐大。比如說:面對每週加量供應的口罩,分裝時間和作業空間都不夠,多餘的庫存哪裡擺等。

進銷存端的第三段就是往顧客端走的這一段。這一段由藥師執行,是直接面對銷售者的最後一哩。很多問題也浮現了,例如在「金流」部分的找零(需要很多零錢),因為資訊流所帶來的壓力(怎麼網路上某網站所顯示庫存和現場不一樣)等。

最後是顧客端,這點也不用我多說,有實際經驗和現場/網路體會的人數,遠大於前面四者。

(二)這些問題的嚴重程度?

這部分的評估就是科學和政治藝術了,但我們同樣先以上面的「五端」來看,再加上一個「輿論端」:

  1. 訂製端:沒問題,政府搞定(要面對的利益相關者有高度的控制力)
  2. 製造端:沒問題,政府搞定(要面對的利益相關者少,溝通成本低且可政府內部自行吸收)
  3. 物流端:可能沒問題,中華郵政目前使命必達都可以搞定
  4. 進銷存端:問題很多,壓力鍋已爆,只是畢竟有六千多家,爆的方式不是我們想像中的全爆
  5. 顧客端:問題更多
  6. 輿論端:在台灣,這通常是上述問題是否嚴重的判準之一

顯然,4和5是目前已經發現問題很多,政府端必須在分配政策做出即時因應,否則會更惡化往輿論端發酵,造成民意「反撲」。問題當然很多,有些可以不用解決,有些問題讓藥局自己找解決方法,有些問題很關鍵但現在還不知道怎麼解決,有些問題雖然很嚴峻但要直接解決的配合要件還不充分,有些問題時間到了自然會開始解決。有些現在不能忽略了,要嘗試放到「口罩實名制2.0」去解決」。實務界有很多框架、技巧和手法,可運用到問題「威脅」程度以及解決方(政府)需要如何安排其優先次序。如果政府團隊這麼快就能宣布新的政策(包含細節的敲定),顯然團隊有自己很熟悉的框架。

(三)解決這些問題是否能讓口罩更有效的分配?

這就是媒體、國會(如高虹安)和政府相關人士口中念茲在茲的「科技防疫」「大數據」等概念想解決的問題。這題太大,而且現在也沒有任何政策的細節和數據。這邊就不瞎猜,給內部的大數據專業人士去解決。

(四)提供網路訂購是否會解決這些問題?

這個等「口罩網購」服務上線再來學習和討論。

(五)提供網路訂購會併發什麼新的問題?

這部分的推想會比較精彩,我們再把上面「六端」拿來用,並且把「三個流」列出:

  1. 訂製端
  2. 製造端
  3. 物流端
  4. 進銷存端
  5. 顧客端
  6. 輿論端

三個流是:

  • 貨物流
  • 資訊流
  • 金流

但在推想之前我們要做人物的擬定,人物我們就抓幾個大家都會看到遇到的人物來做代表:

  • 政府(行政院、衛福部、CECC 等)
  • 中華郵政(或新的既有物流)
  • 藥局和新的通路(除了網路之外,如果還有)
  • 顧客端

我們從最後一個顧客端開始推想,因為這和大家息息相關。有兩種推想的方式,其一叫做「使用者旅程」(User Journey Map),其二是使用者經驗歷程 (User Experience Journey)。

「期待管理」也是至關重要的。有了新的網路通路,我相信大家腦袋想的都是「電商」的「網購平台」。比較有規模的電商網購平台,除了貨物流、資訊流和金流都必須具備之外,讓這三流運轉順利,還需要有開發、測試、系統管理、系統安全、產品、營運、客服、內容管理、設計、帳務等編制。我們目前無法得知「口罩實名制2.0」的網站會以什麼樣的型態呈現,但如果給民眾的想像是可以直接透過網路購買口罩,那這個網站顯然必須肩負非常多的任務。

在短短的時間內是否可以安全上線且承受首日因為好奇或是有需要的大流量,目前我們暫時無法得知,但這會是挑戰。比較可能的做法大概是下列幾項:

傳說中的口罩網購服務是:

  • 某種「預定商品」的系統
  • 會員和帳戶的建立,依賴的就是讀取你的健保卡
  • 系統需要你填寫或選擇一些必要的欄位,主要是和物流配送有關,也可能會要求消費者填入額外的個人資料
  • 短期內付款請到指定取貨的通路處理(社區藥局,或是新的通路)
  • 未來大概會推出「訂單記錄」功能
  • 可能無法透過系統取消訂單、修改訂單
  • 「放鳥」系統沒去結掉訂單也不會有「罰則」
  • 當然也不會有商家對你下「負評」
  • 「出貨狀況」和「訂單追蹤」大概不會有,因為你要自己去通路領

可能的狀況還不少,但「口罩實名制2.0」網路服務系統的「產品設計」和「功能」,應該盡可能取一些保守的設計原則,而不是去將就不可言說而且沒有對外開放的系統,或是無法定義明確的「大數據分析」 。

此外,這個「網購平台」的客服,就是新政策所創造出來的新問題。網購平台一定要有客服團隊,否則消費者有問題要誰回答?要通路(藥局藥師)自己回答嗎?還是配送口罩的中華郵政郵務士要回答?還是要大家去 CECC 團隊的臉書問?還是問陳其邁的社交媒體帳號問?或是架站的工程師自己到處主動尋找問題回答?

接下來,我們從藥局端來想。如果社區藥局被「派了這個單」,這是什麼意思?藥師可以有介面或是後台看嗎?例如,某社區藥局A今天成人口罩庫存累積有一千個,口罩訂購網站顯示了庫存。有一位消費者三更半夜透過網站查詢,下單和訂購,選擇了某社區藥局A作為今日的取貨地點。請問:

  • 消費者應該幾點去取貨?
  • 消費者可以在口罩銷售的時間之外去取貨嗎?
  • 消費者不去預定的時間取貨會發生什麼事?還是沒有預定取貨時間這回事?
  • 消費者應該還是去藥局取貨和付錢,對吧?
  • 藥師如何得知今天會有幾個消費者透過口罩網購要來付款取貨?
  • 如果消費者今天沒有來取貨,那麼這筆訂單要如何處理?藥局端要做什麼?
  • 如果消費者來取貨的時間和平常現場排隊買口罩是一樣的,那麼藥師是否必須要先把流程都搞清楚?
  • 到底什麼時候上線?藥師這次又有多少時間可以「學習」?
  • 藥師在使用口罩訂購網站的後台(如果有)發生問題,要向誰問?
  • 消費者在現場問網站問題,藥師應不應該回答,甚至是協助消費者現場下單?

我先隨便舉幾個現場的問題,提供大家參考交流。

如果網購口罩的物流選項多了下列兩個,那麼相對應所產生的問題是?

  1. 郵局的「i郵箱
  2. 郵務士直接投遞到指定地點(進入一般網購的領域)

今天的推想就先到此為止。

台灣調查局針對網路空間的查處能力

今天的教案是台灣調查局的此案:揭發大陸網軍收購臺灣網域散布假訊息真相。先說結論:

  1. 此案宣布「揭發」過急,不揭發還好,一揭發反而完全暴露出調查局在專業度上仍有大幅零到一的進步空間
  2. 調查局對於網路空間的所有描述和詞彙不只不夠準確,而且毫無基本概念
  3. 認定這13個網址的標準是什麼要更清楚
  4. 這篇新聞稿有經典教案的味道,有志關心網路社會和注意力經濟的朋友們,建議可花時間推敲

首先是這張圖(來自調查局):

以及聯合報的描述

法務部調查局資通安全處主任張尤仁表示於調查新冠肺炎疫情假訊息時發現,臉書社群某粉絲專頁因疏於維護,在「關於」中所放置的網址連結,竟連向中國之內容農場,且自今年起即針對我國政府發表爭議訊息及施政評論,經調查局積極溯源調查,發現該臉書專頁除高度爭議性文章外,更循線查獲該專頁係串聯大量外部網站,以中共「內容農場」模式,疑似在疫情緊繃期間意圖藉此操控我國社會與論,短期內高頻產製不實訊息,並投放至我國臉書社群中加以散布,進行統戰。

嗯,不是很好理解,而且有「滑坡謬誤」推論之嫌疑。我們花點寶貴的時間,一個一個詞來說明。

  • 臉書:沒有疑義。
  • 粉專頁:沒有疑義。
  • 網域:稍有疑義,我們可以用台灣過去習慣稱的「網址」,或是中國習慣稱呼的全稱「網路域名」,或是簡稱「域名」來稱呼。「網域」也是有人用的,但比較不精確。基本上講的就是 domain 或是 domain name。以此案來看,用「網址」比較適合。
  • 遭置換:這點大概是判讀錯誤的關鍵點之一。我們花點篇幅來解釋。

對一般沒有「購買」過網址的朋友而言,網址似乎是很特別的產物。網址要怎麼購買?網址的購買可以透過「合規」的註冊商 (registrar) 或經銷商 (reseller) 所取得。比較正確的講法是「註冊」一個網址,而註冊網址的費用,通常是以年費的型態產生。例如註冊一個 .com 的網址要多少錢?這要看你在哪一家註冊商或是經銷商註冊來決定。而網址的註冊由於是一次性的年費,大部分的人比較常見的網址「後綴」,例如 .com .net 時會一次繳一年,有些網址後綴允許一次以複數年的單位繳納,例如兩年,三年或十年,有些則不允許,例如至多兩年。

如果網址到期沒有繳交年費會怎麼樣?基本上這網址就不會是原註冊人的網址了。實際的狀況非常複雜,但原則是這樣沒錯。以調查局此案所列之13個網址為例,全部都是 .com .net 為後綴。這些網址只要原註冊人沒有續約,在一定期限之後,任何人都可以再次註冊拿來使用。因此,購買網址的概念比較偏向是有「租用期限和使用權」,而不是「擁有權」。

好了,網址的基本概念有了,那麼我們來看「置換」。根據調查局的新聞稿、台視新聞(影片)、聯合報(文字描述),我們可以很清楚的知道,這並不是「網域遭置換」,而是:

  • 原持有人網址沒有續約(原因不論)
  • 新註冊人透過不同途徑和機制,註冊原有網址
  • 相關臉書粉專頁面的原留網址,被導引到新的網頁和網站

白話來說,就是網址沒用了(行業術語叫做掉網址),新的註冊人註冊來使用。到這個階段,我們可以比較確認的是:

  • 上列13個網址沒有被續約
  • 調查局主動積極約談了6人(應該是透過 WHOIS 找到原註冊人聯絡資訊)
  • 目的是「釐清是否遭不肖中共網軍收購」

到這邊又有一個點需要討論,一般的讀者可能看到了一個專業術語 “WHOIS” 的出現。WHOIS 是什麼?簡單來說就是一個網址註冊人聯絡方式的全球性資料檢索協定 (protocal) 和服務。對網址註冊人而言,WHOIS 在什麼階段會遇到呢?我們簡單以下列步驟來告訴大家:

  • 小萌去 GoDaddy(全球最知名的美國網址註冊商)檢索希望註冊的關鍵字 “smallming”
  • GoDaddy 告訴小明有哪些網址後綴可以註冊,小明覺得 .com .net 都還不錯(而且沒有人註冊),不過 .com 聽起來耳熟能詳,就是它了
  • 小萌覺得 smallming.com(以上為虛構)很好,一年只要繳美金12.99元,於是啟動註冊和購買程序
  • 要結帳的時候,GoDaddy 系統告訴小朋說需要填寫四筆資料,這四筆分別是:註冊人 (Registrant)、管理人 (Administrator)、帳務連聯絡人 (Billing)、技術聯絡人 (Technical)

這四筆資料就是 WHOIS 的基礎資料之一。在「過去」對於任何人而言,只要知道如何使用基於 WHOIS 協定所發展出來的各種檢索服務,很容易就可以知道某個網址後面的註冊人、管理人、帳務聯絡人和技術聯絡人是誰。不過現在是2020年,美好的資訊如此公開的往事,早就一去不復返。因為有些欄位會被因為各種原因而被「遮罩處理」(被隱藏),或被置換為無法溯源到原始註冊人是誰的狀況發生。對了,這邊所謂的「人」可以是「自然人」(例如小萌)也可以是法人(小萌股份有限公司、小萌文教基金會),也可以是虛構的人(蒙奇D魯夫)。請務必記住這一點。

我們在這裡不對全世界上千個主要的網址後綴「規矩」做分析,只是簡單說明調查局在這個年代只透過 WHOIS 要反查這13個網址的「上手」(被約談的台灣民眾)和「下手」(調查局所稱之邪惡網軍)註冊人是誰,會需要有合作一起溯源的對象,因為 WHOIS 的資訊絕對不是唯一拿來判斷註冊人是誰,甚至是下手的註冊人去「承接」這些原本由台灣註冊人所註冊網址的背後「意圖」是什麼。

一般來說,我們從 WHOIS 的各種欄位可以知道:

  • 第一次註冊時間
  • 最後一次更動相關註冊資料的時間
  • 在哪一家註冊商註冊
  • 註冊人的相關聯絡資訊

這些欄位的資料是調查局引以為據,在記者會說明「收購時點均落在2020年總統及立委大選前半年」的依據之一。調查局所釋出的簡報畫面去掉很多關鍵資訊,我們用另外一種方式將它「還原」,先用土法煉鋼的方法,檢索調查局特別指名道姓的 “puddingco.com”:

https://hexometer.com/domain-whois/puddingco.com

進一步看現在的原始資料:

https://hexometer.com/domain-whois/puddingco.com

不滿意,還有:

https://whois.domaintools.com/puddingco.com

然後我們實際去看一下這個網址現在所呈現的內容是什麼,讀者也可以自己試試看:http://www.puddingco.com/

從新聞稿得知,這網址過去是台灣的註冊人所註冊,但在去年總統大選前六到七個月,有了註冊人轉移的資料更動紀錄。我們想看看原始的台灣註冊人是誰,但現在不容易查到。我們用了另外幾個服務去查,得知:

https://securitytrails.com/domain/puddingco.com/history/a

以及:

https://web.archive.org/web/20190228223050/http://www.puddingco.com/

到此為止,我們可以比較有信心的說:

  • 網址最早註冊不晚於2006年,而且當時已經啟用,有使用之事實
  • 2019年6月30日是最後一手的註冊人「接手」
  • 最後一手註冊人填寫的資料,目前看來是位於中國黑龍江省大慶市
  • 承上,其留下的 email 是 97996288@qq.com
  • 承上,所使用的註冊商是 DropCatch.com 395 LLC (IANA#:1806)
  • 目前 puddingco.com 上面的內容全部是簡體中文。我很快地用肉眼掃了一輪,判斷這個網站所針對的讀者群,可能主要是以簡體中文的使用者為主
  • 上一手的台灣註冊人,我們根據 Wayback Machine 的線索,查到可能是在2018年公告準備結束營業的布丁公司
  • 調查局說的「台灣持有日」是錯的,而且錯得離譜

我們用 “97996288@qq.com” 再丟去 “Reverse WHOIS” 查詢,其中之一的結果是:

https://viewdns.info/reversewhois/?q=97996288%40qq.com

不滿足,再查:

https://www.domainiq.com/email?97996288@qq.com

再點開 “associated domains”:

跟這個電子郵件有關的網址至少有38個,其中的5個我們透過免費的查詢服務可以得知。例如 pinguotv.com 即為一例,這網站也是內容農場。到此為止,我們可以推斷出什麼?

  • 此人 “Yang Dong Qing” 為內容農場經營者
  • 此人透過偏向透過經營 “drop catch” 服務的註冊商 (Registrar) 註冊網址

什麼是 drop catch?根據 Wikipedia 的說明… 好吧沒有繁體中文… 白話來說就是:

網址掉了撿起來

請容我多加說明,由於每天全世界都會有無以數計的網址沒有被續約,而被註冊局 (Registry) 和註冊商釋出的網址,有些「價值」不菲,成為了各種網址生意人的標的。早期只是搶注網址,現在則多了把掉下來的網址轉作為內容農場的商業模式。為什麼要這樣做?因為很多經營許多的網址和網站(例如 Puddingco.com)有一定可觀的忠實流量,網路上可能也已經遍佈了 “backlink” 回到此網址。再加上此網址已被運用高達13年,對於知道如何將流量變現的商業公司或是個人而言,這些掉出來的是網址是值得去 drop catch 的目標。

你可以看到此人所使用的註冊商其公司登記的名稱都有 “Dropcatch.com xxx LLC” 的字串。這表示,他習慣用的不是我們一般大眾用的 GoDaddy、在台灣有據點的外商 Gandi.net 或是中華電信的網址註冊服務。他很有可能是職業性的內容農場經營者,或是其他性質有商業動機的人士。

由於調查局宣稱這13個網址背後是有「不肖中共網軍」「研判此具高度組織化及策略性之網路惡意行為,其背後應有大陸黨政軍單位主導操盤」,但職業的內容農場經營者是否就是不肖「中共」「網軍」?但到目前為止我們的探索(也只是隨便先看一個網址而已),大概話還不能說得如此斬釘截鐵。至少我們以上述所推斷的過程和所取得的資料來看,尚無法如此斷言。如果我們要推斷到調查局所述的「真相」,我們還需要什麼樣的認知、技巧,資料和第三方的協助?

在此先賣個關子,因為這是調查局的工作,不是你我的工作,而且非常花時間,不是一個人或一個團隊或一兩天可以搞定的。


針對此例,我們還可以手工查下去,但我們目的並非查案,只是當教案討論。我們回到調查局的新聞稿。這新聞稿水準很令人擔憂,調查局說:

五、 以遭收購之公司「puddingco」為例,該公司網站原始名稱不變,然網站內容均遭修改,充斥大量大陸官方新聞、政策,及對我國「帶風向」之不實評論。

針對調查局的說法,我的看法是:

  • 『以遭收購之公司「puddingco」為例』:不盡然正確。網址只要沒有續約,任何人都可以續約,網址名稱跟公司登記名稱一樣,但不能等於直接説遭收購。媒體可以這樣說,但你是調查局,調查必須科學、精確和嚴謹,不能這樣表述
  • 『該公司網站原始名稱不變,然網站內容均遭修改』:這句是多餘的。原始網址當然不會變,但跑在網址上的網站(網址還可以有提供 email 服務),只要原網址註冊人放棄續約,而且有新的人註冊並且使用,那麼新的註冊人當然可以隨意使用,「內容均遭修改」是常態
  • 『充斥大量大陸官方新聞、政策,及對我國「帶風向」之不實評論』:典型滑坡謬誤,中國註冊人要將其當成內容農場經營,當然是「無斷」刊載其國內的各種政策文宣和內容。其政策文宣涉台者,當然對我國會有「不實」之評論。中國的內容農場是數以十萬百萬之計,而由於其特殊國情和網路邊境管制之因,幾乎絕大多數的內容農場所轉載的內容都具有高度的重複性。現在的 Puddingco.com 站內有大量隨機產生和轉載的內容無誤,但有多少和台灣有關的內容?這些內容能足以起到「帶風向」之效果?這些都是疑問

簡單來說就是:調查局的說法是門外漢,而且調查局自陳

調查局表示,認知作戰是以往國安領域不曾著墨之處

第一次真的要特別小心。這個年頭不會再有「王迎先」了,但希望不要跳得太快。

我們先假設調查局調查的結果具有一定信度的,但從調查局所發佈的文字、圖像和記者會的說法,對任何有一點相關經驗的人來說,都很難相信他們可以根據他們所說的方式和所使用的專業詞彙,查出並且揭發這就是「大陸網軍收購臺灣網域散布假訊息真相」。有幾種推定,讓他們願意這樣斬釘截鐵的開記者會揭發真相(雖然和他們所釋出的訊息有所出入):

  1. 調查局有來自非局內的情資
  2. 調查局有來自不明的壓力要揭發真相,大幅壓縮了調查的時間和產出的品質
  3. 調查局在執行其他任務時,發現了這條想像(aka 腦補)可以抓到「大魚」的線

至於真相如何,讓讀者們自行判斷。


WHOIS 妙用無窮,我們用另外一種方式來查查這13個網址(一個調查局遮掉了,可能網站有色情內容或是網頁埋有惡意程式之類的),跑出來的結果是:

我們可以看到有 IP、DNS、電子郵件、IP ISP、ISP Country、IP Organization 和 Org Country 的欄位。單從這個表我們能先看出什麼?

  • 各網址所使用的 IP 不盡相同,但主要都是來自於美國和中國
  • 各網址所使用的 DNS 解析伺服器,其命名規則有一定的相似度
  • 12個網址所留下的聯絡人電子郵件資訊,有三分之一的電子郵件後墜是一個註冊在美國加州的公司 (psychz.net),兩個是註冊在荷蘭阿姆斯特丹的公司 (Leaseweb.com),以及香港、阿里巴巴集團(西部數碼國際)和 CNNIC(中國互聯網絡信息中心)的後綴

線索很多,所使用的工具和調查的途徑不同,就會看到不一樣的資料。這些資料是否足以之稱調查局的「揭發」,根據我個人曾經擔任過註冊商總經理的經驗來看,以及對於「假消息」的過往探索歷程,我認為還相當不足。

至於記者會名為「調查局查獲大陸網軍收購我國網域意圖操控我國社會輿論記者會」,什麼時候 .com .net 是我國網域了?

當真訊息妨礙了公務

今天看到來自行政院的這篇新聞稿,想不太通。新聞稿內有張圖,是這樣的。

本來要「改做此圖」比較利於分析,不過看了圖表所說的「如有妨礙公務情事」送內政部刑事警察局處理,我們還是以原圖作為討論的基礎。目不少台灣媒體「盛讚」台灣防疫,但在資通訊和網路空間等專業領域,我想很多人可能比較冷靜,會有不一樣的看法。

我們把這圖從上面順著流程看到下面,第一層是「與疫情或防治措施相關之訊息」,第二層是「真」「假」的判斷,以此下推。由於是「應處作為 – 訊息釐清及處理」,還不到法院那邊,所以最後把關的那一段是內政部刑事警察局 (CIB)。

我們從 CIB 的網站可以得知,近來「破案快訊」的案件訊息量大量增加,在傳統電子媒體也可以看到好幾個偵查隊的大隊長或副大隊長出來開記者會,例如偵一、偵四、偵七和偵九在不同時間都陸續在傳統電子媒體「亮相」,而肩負重要任務的「電偵大隊」,也不會在缺席之列。

由疾管署所製作的這份在行政院第3691次院會的簡報,可以看到一些由 CIB 經手後移送的具體數字。

看起來有幾個單位在「收單」上有所分工,這些分別是:疾管署、CIB 和調查局 (MJIB)。不過這三個單位如何「收單」、內部作業流程、品質和效率,不是我們要討論的重點,重點還是回到第一張圖。我們推敲一個情境。

  • 步驟一:與疫情或防治措施相關之訊息
  • 判斷一:真
  • 步驟二:涉及疫情或防治措施,有影響公務之虞?
  • 判斷二:會
  • 步驟三:如有妨礙公務情事 (1) 社維法 (2) 妨害公務
  • 判斷三:符合,送 CIB 處理

簡單來說,訊息為真,涉及疫情或防治措施,但有影響公務之虞且妨害公務情事,可送 CIB。

這應該已經不是「假消息」「不實訊息」各種應處框架的處理範疇了?我懷疑這份報告在製表的部分是不是搞錯了?還是已經有想像中的因為「真訊息」所造成妨害公務情事之樣貌型態?

武漢肺炎下台灣資訊社會發展之觀察

本週大概幾個點:

1. 口罩實名制涉及之資訊流開放和管制作為:分為內部資訊系統群和對外資訊系統介面和資料拋接。對外部分:因為藥局各門市作業流程和商業邏輯的變異高,資料經手的環節多,人工介入比例也極高,在庫存系統要求必須「正確」「即時」的部分,早已確定不可得。這部分若第一天在現場細部觀察則推得可知。本發展軸線之「熱度」告一段落,查詢量和需求已呈現穩定,甚至降低不少。至於內部資訊系統群就是擴張適用對象(如非健保合作藥局)一例,但這和整體資訊社會發展關聯度不高,沒有特別關心。

2. 在「疫調」的強烈需求和媒體塑造的氛圍推波助瀾:衛福部各單位(如疾管署、健保署等),在法源和法令授權不明確的條件下,開始與不同的政府機關的資料庫串接。細節多半可以從媒體報導抓出脈絡。可以確定的是,幾個涉及國民不同性質和行為形態的資料庫,被快速的串接、經手、處理、連結和分析。例如在與電信業者「合作」,調閱話務通聯(如通話)和行為數據(如移動軌跡)。陳其邁接受央廣採訪的講法是「科技防疫」「用大數據追感染源過程」:

為了確定這個假設,行政院聯繫資安處、警政署、電信公司,從1月13日開始到1月26日之間的司機通聯紀錄著手,發現在1月22日、23日前後,確實有前往機場載客的叫車紀錄。接著,再和移民署查對資料,從機場的出入境資料中,針對有中港澳旅遊史的旅客,進一步縮小感染源的疑似對象清單。

這段描述對於很多人來說可能無關緊要,但對於不少在理論和實務上曾經「體會」「協助」過現代政府「監測」「監控」威力的朋友來說,可能是第一次聽到台灣的政務官說的如此明白。這表示了「一個時代的來臨」:政府有能力,而且做得到,如果你是外籍移工,當然也做得到疾管署資訊)。在「危機」「防疫如作戰」的緊急情境,「本來」不能或是不該「高調」這麼做的,都可以被快速達成。讀者可以想想這道門現在開了,以後可能會「促成」什麼事的發展,或是說,我們要建立什麼防線,才能讓這件事在未來不是這麼容易就被「使用」或是「濫用」。

3. 「紓困條例」的通過:關於「謠言」「不實訊息」的部分,有頗為具體且具有威嚇效力的「懲處」。但符合懲處條件的「標準」,我覺得很難說得通。

第14條散播有關嚴重特殊傳染性肺炎流行疫情之謠言或不實訊息,足生損害於公眾或他人者,處三年以下有期徒刑、拘役或科或併科新臺幣三百萬元以下罰金。

我們可以透過警政署刑事局的新聞稿的「破案快訊」部分一窺端倪。到今日為止,我們至少可以看到刑事局的偵一、偵四和偵九都「榜上有名」。不過,破案說明短短幾句,有些還頗令人啼笑皆非(包含建議民眾的事項),我情感上不太願意相信這就是刑事局在「數位偵查」的水平。不少法界的朋友在討論「言論自由」的尺度,我也感覺有些不對,但沒受過法學訓練,說不太準。比較令人莞爾的是各防疫相關單位和刑事局的合作模式,以及新聞稿所反應出來專業程度。事實上這幾個被破獲的「案例」都稱不太上是什麼「大案子」,但卻很明顯的「暴露」出台灣目前政府的主流處理手法在面臨「網路空間」、「資訊社會」以及「海量訊息」的各種窘境。例如說,一則訊息的閱讀量的不到「一百人」,這一百人可能還有機器人流量或是重複計算的問題。此則訊息的傳播速度不知、已傳播多廣也不知,訊息的「生命週期」或是「半衰期」也不知,訊息是不是「足生」「損害」於公眾或他人者也不知。但一經媒體報導 “amplify” 此則訊息,訊息的傳播效力和廣度反而倍數級成長。

講嚴肅一點,這也不是什麼「資訊戰」,資訊戰通常是在談其他東西的

4. 遠距的資訊社會:德勤中國有一份報告 (Deloitte China),是從 CISO 的角度來寫的。我不是要推薦他們,只是想特地強調這個面向。

5. 用個人身份和生物識別資料換口罩:街頭口罩販賣機」可說是相當「完美」的案例。

其他的面向我想很多人都有很精彩的討論,不需要我多嘴。但上述四點在台灣此時的防疫水平表現之下,反而被氣氛「壓制」到不太談得開。在此留下紀錄,供未來參考。

台灣偵九隊的一則「不實」訊息

新聞稿在這:查獲LINE群組散布不實疫情訊息案

這裡面透露出不少可以討論甚至將「偵九隊」作為教案的狀態。第一眼看到這段落,我的感覺就是「不實訊息」:

警方再次呼籲民眾勿隨意製造、散布或轉傳涉及新型冠狀病毒肺炎疫情之不實、未經查證之訊息,是類案件於抗疫期間必依法速查嚴辦。另請民眾全力配合政府相關防疫措施,相關資訊可上疾管署網站查詢最新公告內容,並可加入衛生福利部疾病管制署之「疾管家」官方LINE帳號,接收最新的疫情及防疫知識;還可透過「美玉姨」、「My Go Pen」等網路訊息查證平臺辨識訊息真偽,全民一體共同防禦新型冠狀病毒感染之肺炎可能帶來之危害。

撇開 typo 不論,「美玉姨」和「My Go Pen」不是「網路訊息查證平台」,自然也無法達到「辨識訊息真偽」的用途。

美玉姨」是一個查詢和半自動化回覆的介面,本身不具有「訊息查證」的功能,要說是「平台」也不盡然正確。「美玉姨」背後所串接的資料庫來自於另外一個網路專案,也就是大家熟悉的「Cofacts」。Cofacts 是不是一個網路訊息查證平台,是否能達到辨識訊息真偽的功能,這當然可以討論,但美玉姨是一個「外掛」的程式,原開發者也有一段時間沒有針對此程式進行「維護」和「改善」。偵九隊建議民眾使用「美玉姨」,這個建議可說是「無所本」或說是「認知有誤」。套句時下流行的話,就是不具惡意但其訊息本質是「不實」「不夠貼近事實」的訊息。

至於「MyGoPen」則是另外一個有趣的案例。「MyGoPen」是一個「網路訊息查證平台」嗎?比較精確的說,應該是:

  • 一個私人單位的網路內容檢核網站
  • 網路內容檢核結果的商業(或非商業)的資料源

MyGoPen 提供資料源的時間早,除了和華視的合作之外,也是其他傳統和電子媒體針對「不實訊息」的「澄清」的內容合作對象之一。套句術語就是內容提供商,也就是我們電信和網路產業所說的 CP (content provider)。至於它所提供的內容是否就是具有「辨識訊息真偽」的事實,這點我不清楚,可能問不同的閱聽眾所得到的答案也不太一樣。套到商業領域,若有 CP 說他們的內容就是事實,那麼我相信這答案聽起會是稍微偏離常識。但我們應該可以詳實確定的部分是,”MyGoPen” 是內容提供商,但怎麼說都還不到「網路平台」的水準。

因此,偵九隊這則新聞稿的這則段落,若用網路平台的標準來看,確有不實訊息的疑慮。


不過,當然是沒人這麼認真在看新聞稿的。所以偵九的訊息,無傷大雅?刑事局偵九隊「高調」「查水表」,防疫演變至今,不啻是加快暴露出在網路時代,更多執法單位在態度、知識和工具的不足?

國家級警報竟然用 Bitly 網址

雖然在收到的兩個小時前透過新聞報導,知道北北基的民眾即將收到 cell broadcast 國家級警報,但我昨天收到的時候簡直嚇呆了。

警報報文所傳遞的訊息,字數控制在一定的數量之下,為的是讓民眾可以看到 Google Maps 上的 POI (point of interest),也方便在有限的手機螢幕上完整顯示武漢肺炎的警示。這則報文用了 Bitly 的短網址做轉址。這串短網址是這樣的:

  • http:// bitly.com/2SpSxeT

除非你知道怎麼拆解網址,但單純在手機上是看不出來這是哪個單位發的,也不知道後面轉址過去所拜訪的網址,是一個網頁還是一個檔案。你可以說你相信 cell boradcast 這個機制是政府才有權限使用,訊息的發送管道做得很好,所以我們想都不想點下去市民應盡的義務。但對有經驗的朋友,一開始不起疑竇,大概不太可能。

我們估算本次發送範圍的北北基民眾,大約有七百到八百萬之譜,這個數量的民眾,持有的手機不一定全然支援 cell broadcast。先估個三百萬好了,有至少三分之一的人在60分鐘內會透過這短網址轉址另外一個地點,這尚稱合理的推斷,也是 Bitly 所公布的統計數據。

  • 11:00 AM, FEB 7, 1,136,286 clicks
  • 12:00 PM, FEB 7, 876,519 clicks
  • 1:00 PM, FEB 7, 451,591 clicks
  • 2:00 PM, FEB 7, 239,410 clicks

到目前為止,這個短網址已經被點擊了超過320萬次。這讓我想起有一位在電信業長期服務的朋友,他說他們做手遊的加值服務,過去也用短網址把原本要使用者點選的網址夾帶在簡訊送出。過去點擊率的表現很好,但後來詐騙事件多了(2015年媒體報導某科技公司2016年的分析),大家也有這個警覺,看到不明網址不會亂點。這也難怪,短網址是方便將很長的網址或是帶有各種參數的網址,縮短為一串好記,甚至是可以直接鍵入的方便途徑。

短網址是各種針對消費者進行網路攻擊最常使用的工具之一。如果政府要用短網址,大約十年前美國前任總統歐巴馬還在任內時,就提供了專門給政府單位使用的短網址服務。你可以看到這個服務目前仍躺在這裡。這不是最好的案例,但比較知名:

這個只提供給政府內有權限的人所使用的政府短網址服務, 實務上可以相當程度的確保:

  • 短網址品牌識別來自於美國政府或授權的僱員
  • 短網址所指向的網頁或檔案,是經過政府授權顯示,或是經檢查沒有資訊安全疑慮的
  • 短網址當初是誰創造的,有使用歷程
  • 短網址轉址時會搜集大量的資料,這些網路載具端的行為資料搜集,政府可以管理(如:留存、研究、刪除等)
  • 短網址服務不至於因為瞬間大量使用,造成轉址服務中斷

這次國家級警報使用 Bitly 的短網址,剛好成為可能是台灣歷史上第一個有趣案例:

  • 利用國家級警報,可能是台灣政府首度大規模使用單一短網址
  • 使用美國 Bitly 公司的短網址服務,Bitly 可以隨時砍掉這個短網址,或是讓它無法運作(他們沒有這樣做)
  • 國家級警報直接「廣告」 Bitly 短網址服務的品牌,送了一個超級大禮
  • 至目前為止所創造出超過320萬次的點擊,讓 Bitly 可以搜集到非常好的台灣北部的使用者行為和使用端點(載具)的資料。我不敢想像這可以創造多少未來的商業利益

我不知道這次警報發送時,在發送系統內有無檢查,例如(純討論用):

  • 跑去其他 ccTLD(例如 .ru)的網址要直接在後台上稿時鎖死警示,或是白名單 TLD
  • 或是做防呆處理,如:鍵入不正確的超連結格式,系統就先行跳出出警示等
  • 拒絕鍵入不安全的格式,例如本次是 “http” 而不是 “https”

台灣的各級政府單位使用短網址非常之頻繁,而台灣做短網址服務的商業或團隊,也在 goo.gl 關閉之後如雨落春筍般的上線。但國家級警報不是網路小編挑文放一個短網址在臉書的文章,只是為了服務之後的統計報表所用。更重要的應該是在緊急狀況準確的傳遞訊息給國民,也避免直接鼓勵國民擷取資訊的過程,「不小心」造成大規模短時間被收集行為資料的事實。

這件事是可說是非常好的「教案」,與陳建仁副總統鼓勵民眾拜訪內容農場的網址同樣是在全國公衛防疫壓力的「失常表現」。很多資訊方面的意識在緊急的時候更加重要,在防疫時期,我們更需要政府的各環節內有人把關。這個把關的機制落在單一個人是不明智的,例如做手遊行銷的,絕大多數會知道短網址的可用和不可用的份際。這樣的知識,要能在政府的緊急作業流程內被鼓勵流通。如果沒有這樣的體認,那麼防疫救災之時,就會是資訊安全,個資安全和隱私的修羅場。

其他關注議題:

TWNOG 4.0 相見歡

TWNOG(台灣網路維運社群)第四次的聚會日前舉行,本次至少有300人次到訪,堪稱台灣本地最主要的相關專業聚會。不過妳可能會問:什麼是網路維運社群?

台灣網路維運社群 (TWNOG) 是專門為了在台灣有網路節點或對台灣網路發展有興趣的網路工程人員、網路架構人員、網路維運人員及網路相關專家人員成立的組織 – via twnog.tw

基本上這個行業的從業人員不多,而且也多半不是媒體寵兒。但很多網路基礎的營運,卻必須非常依賴相關之專業。這方面的儲備人才若是足夠,網路的「基本建設」才會穩固。從網站來看,我們可看到其訴求專業人員之背景來自:

  • 台灣一類及二類電信業者
  • 國際電信業者
  • 網路服務業者
  • 多系統業者
  • 內容供應商
  • 內容傳遞網路業者
  • 雲端運算及代管業者
  • 網路交換中心
  • 數據中心
  • 使用網路為主要提供服務管道的業者之網路工程人員及產品人員

TWNOG 一如其他網路治理的相關社群,以多方利益相關者委員會 (MSG) 作為決策機制。這份名單也可以在 TWNOG 的網站上取得。不過我不是來介紹 TWNOG 的,而是分享些第四次的參與心得。

  • 我是很晚才接觸到這方面的相關從業人員,主要是2004年底弄一間 VOIP 的公司,開始搬機器進到「是方」在瑞光路底的 IDC,這時才第一次見到原來管商業機房的人(和流程)是這樣的。
  • 後來曾和台灣一類電信營運機房「技術長」等級的人員共事,不過那已是2010年後的事。我感覺這方面的專業在台灣或許不是很容易發揮,或是到了一個年紀之後,有電信機房管理經驗的,在台灣並不容易待得下去。或許美中貿易戰脈絡之下,會有些轉圜的機會。
  • 這些具有專業且多半必須天天跟「機房」打交道的專業人員,平常並不容易在各場合見到,因為畢竟是一個有相當門檻的工作,且其歸屬之單位在台灣所提供的服務,與一般的消費者關係並不高。有 TWNOG 這樣的社群,可說是來得成立的稍晚,但卻是非常重要。
  • 這種活動主要的目的還是認識人,各種人,以及或許慢慢成形,在台灣稍微可見,並且希望一探市場生態究竟而來自其他市場的商業和國際組織人員。
  • 有的聚會就只有當地的技術圈生態,不能說不好,但對非技術領域者,參加的意義不大。有的因地緣和各種歷史因素,做得比較廣,所以很值得參加。我想 TWNOG 正在往後面的方向邁進。不過,台灣在 NOG 生態,電信業者還是有絕對的「宰制力」,這點和我所知道並且參與過部分活動的 Euro-IX,稍微不同。
  • 在現場也見到了幾個老朋友。言談之間又認識了幾個新朋友。參加年底的這個聚會。晚宴也苟且了參加了一個小時。整體而言,對於泛網路生態的從業人員,近水樓台,還是很值得參加一兩次。

外送員之死 – 被拒談的安全視角

背景不多介紹,直接進入主題,隨手舉這兩週少談的各種由社會環境和安全出發的觀點。

  1. 外送員之死引起如此大的風波,有幾個因素,但最明顯少談的,是機車作為外送普遍載具的這個事實。如果是自行車發生事故、或是電動自行車發生事故(例如中國)、還是小客車發生事故,以安全視角來看,都會不太一樣。整個事件的主要問題,除了不同利益攸關者談的部分,機車安全是不可能也不該忽視的要素。
  2. 台灣機車密度之高,這是想當然耳的感覺。但在看待外送員之死前,我們至少要對相關的基本數據更為清晰。例如台灣地狹人稠,在全球人口超過一千萬的國家之中,密度排行第二。機車數量接近一千四百萬量,輕型機車駕照擁有人口佔總成年人口比等。
  3. 一些社會、地理經濟特性的要素,也必須有所認知,例如商店的營業時間遠較這些網路外送總部母國(如英國、德國)來得更晚、更長。各城鎮每平方公里範圍內街廓之間各種等級道路密度,遠較中國各城鎮更緊密,也幾乎能允許機車直接穿行。智慧手機普及率超高、擁有銀行帳戶的人口比遠高於絕大多數的東南亞各國。
  4. 機車部分,便宜入手、相當可靠、機動性高。但擁有各級機車駕照的人口,在考照和上路後的階段,安全駕駛的訓練幾乎等於零。
  5. 在主要城鎮,複式型態 (multi-modal) 的交通載具相當普遍。機車必須與汽車、自行車、行人、大眾運輸系統(如公車)等共同使用道路。許多網路外送公司的母國,其複式交通的狀況不若台灣複雜、交織且普遍。
  6. 亞熱帶氣候,海島,氣候因素影響交通安全因素甚高,對機車而言,甚至可能有季節性的多發事故型態。

到機車本身的安全特定,我們也簡單說明為何和其他交通載具如此不同。這部分很重要,因為除了檯面上急欲解決的幾個問題之外,傷亡事故會不會大量發生,都取決於這個環節,而不是其他的主題(如所謂的「新型態數位經濟」)。

  1. 一般外送員所自備的機車,多為輕型到重型機車(排氣量低於150cc)。
  2. 機車後面所加裝的保溫袋,材積很大,會影響機車操作。重量不是問題,是保溫袋所佔據的空間。有些外送員腳踏板還會放置另外一個,以提高「積載」的容量。
  3. 一般機車(速克達)至少需要兩手操作,左後煞右前煞,行進間還需要平衡,因此比台灣的自排小汽車,在駕駛難度部分,實際上更高,更需要訓練以保障人身安全。機車行進需要不時動態平衡。自排小客車可完全忽略這部分,一腳一手即可操作,右腳放開油門就是緩行。機車可沒這回事。三輪機車(前二輪後一輪是特例)或有輔助輪(四輪)的機車,我沒看過拿來做外送的。就算有,應該在統計上還不具意義。

另外就是所謂新經濟和網路平台的部分,其實就是一個 app 和手機,作為所有外送員、平台業者和商家的「接觸點」。手機架在機車上,就是現代最大的危險因子。

  • 一般手機螢幕,很難在日光下看得清楚,需要機車駕駛人特別注意(分散注意力給螢幕,而不是給道路和周圍行車環境)。
  • 一般手機螢幕,若使用機車架 (mount),在正常體型的機車駕駛員操作情況,其「視距」並不足以讓駕駛員看得清楚。看得清楚通常表示:要不是屁股坐太前,就是上身整個往前傾。視力三點零我想人數可能不多。這兩個動作都是提高行車風險的操作動作,不正確的坐姿,在途時間一拉長,會造成駕駛的身體疲勞,而身體疲勞是會累積的。
  • 一般手機螢幕,在夜間時會過亮,會影響駕駛的動態視覺。看完手機之後,劃設不良的標線或是後照鏡的車道狀況,駕駛人會有短暫時間失去足夠的視覺辨識能力。
  • 下雨天的狀況,大家可以自己想像。
  • 這些都還沒提到操作的各種狀況和流程。

簡單來說,不管怎麼把手機架在機車上,尤其是在外送的情境之下,要安全風險降低是很難或是幾乎不可能的。要求停等並熄火才操作,實務上也幾乎不可能,對於警政單位而言,也沒有長期穩定執法的可能性。機車行進間操作手機,在外送的情境之下,就是危險中的危險。

以近日出爐的「美食外送平台業者自律公約」來看,雖說強調「安全第一」,但在「外送夥伴安全保障」的章節部分,實則無效。協會有心很好,但人身交通安全並無法如此處理。

至於政府各單位「爭相」被要求處理一連串的事件,各種觀點都有,積極度頗令人意外,或許拜2020大選即將來臨之際,稍能理解。但在「機車安全」最核心的部分,卻是付之闕如。我想目前政府也不敢碰觸此題,因為其解法不是一兩要項列出,或是召開座談會,或是誠懇呼籲即可解決。事涉很多困局(如騎機車看手機)、訓練(安全是需要訓練的),還有數萬以計的外送員,竟然就「不知不覺」被吸引到平台業者所提供的「零工」工作機會。幾個因素加起來都在在都顯示,政府各單位的一時態度積極,但缺乏的可能還是對機車安全特性和整層的勞動力被「挖起來」等這些不方便討論的事實。

今年的台灣網路治理論壇 (2019)

年度盛會,有幾個很棒的議程,速記今年感想。

開幕典禮部分

有新意的是林佳龍(交通部部長)和酈英傑(AIT 處長)兩位。林談5G頻譜和台灣的機會,但這「網路治理」的場合,並沒有電信和頻譜競標的實質利益相關者,例如三大兩小電信營運商等,所以本場合他的發言大概不太適合。不過早期台灣在網路治理的國際參與,交通部郵電司諸君堪稱是先賢先烈。曾任交通部部長的賀陳旦,我記得也出席過往年的台灣治理論壇。至於美國在台協會的酈英傑,自上任之後比前任走得更勤,更公開。本場他談台灣過去在資安的「先行經驗」,當然是以「華為案」的電信核心基礎設施,禁止使用中國產品的「臺灣經驗」為致詞主軸。這基調我印象是在今年度二三月分在其他場合(不只是在台灣)開始被談起。事實如何,也就是「臺灣經驗」哪些是值得美國和美國的盟邦學習的,反而缺少更密集的討論。這點我認為有點可惜。當然,本次網路治理論壇,Google, Facebook, Netflix 等美商也派人出席(另有源自於美國的 Baker McKenzie 律所)。ICANN 註冊地又在美國,AIT 處長致詞,橫刀殺入,是理由充沛的。

專題演講

Akinori Maemura 來自 ICANN 董事會,也算是接下前中華電信獨董 Kuowei Wu 在 ICANN 董事會留下的 ASO (Address Supporting Organization) 的席次。這場專題演講,沒有什麼意見。

大會專題演講 x 2

主要就是 OTT 慘遭境外勢力長驅直入的既成事實的再度確認。但本地 OTT 的危機感,若以網路治理的四面稜鏡觀之:法規、市場、慣例 (norm) 和規範 (control),即使在其他更大的平台,也未曾累積足夠的研究和討論。所以在本論壇被塞入了極高的危機意識。OTT 這一塊和通傳會當然密切相關,但通傳會的「神經現在被抽走了」,在虛位主委的態勢之下,錢大衛諸君可能不免的要面臨一場腥風血雨。

另外就是「提供業者平台的信任度」。這場沒有意見,值得關注的是,這些平台業者對台的窗口和名字要記得。

第一天下午的工作坊

我參加了兩場,都是關注比較久的議題。

  1. 軍方在資安治理的角色(國防安全研究院
  2. 晶片身分證:在隱私或資安上的風險(台灣人權促進會

我自2009年開始參加 IGF/APrIGF/TWIGF 系列和周邊會議,本屆第一場來自國防安全研究院的議題,完全足以排上前三大最值得聽的場次。主要是原因:

  • 議題的新穎度
  • 議題的複雜度
  • 台灣在國際 + 網路 + 政治地緣關係的定位尋覓過程
  • 台灣過去經驗的價值(如災防和義消警等志願者網絡入民防法,推動網路民防的思考等
  • 本議題在網路治理論壇生態圈中的超級稀缺度
  • Panelists 的認真和專業程度

事實上「資安治理」這個命題,可能還低估了這場的意義。裡面談什麼,我就不多說,麻煩關注的朋友,多多按圖索驥,不會失望的。

第二場談 eID,資訊的密度很高。這場也有點奇特,長期關注的朋友也不會陌生。換發 eID 可能牽涉到至少2300萬人,這個的影響和風險層面是台灣政府從未面對過的。好巧不巧,就在這場次的前一週,銓敘部的事件,讓我們有機會近距離觀察到現行大規模資料外洩的風險管理「模型」「流程」為何。這些觀察所累積的經驗,能拿來推敲台灣政府藉由換發 eID,同時「雙軌」努力推動發行 eID,以及後續模仿愛沙尼亞 X-Road 資料基礎共通網絡層的「隱匿」進程上,會有什麼樣光景。

其他都很精彩,只是我沒有多餘的時間。希望下一個年度的台灣治理論壇有更多的新面孔。或許從本身 MSG 執委會的改組,就能讓更好更棒的事情發生。

怎麼看純網銀被要求資本額一百億

新聞:金管會擬初步開放2家純網銀 資本額百億元

一百億大概就是將幾個浮上檯面的網路業者給了個閉門羹,但這事也不一定只能這樣想。銀行業在各地一項是高門檻,屬於高度特許的行業。網路雖然擴大「普惠金融」的客戶服務面,但在台灣即使有世界一流的高網路滲透率,但純網銀在過去只屬於天方夜譚的議題。近來開放純網銀討論,讓金管會被迫多次研究,背後承受的壓力可說是前所未有。但台灣的銀行服務相較於一些國家的銀行服務業,可說是數位化水準普遍低落。除了特定幾家銀行之外,數位服務的樣貌、友善和業務服務項目,根本是不堪卒睹。這可能是台灣金管相關法規框架和慣例綑綁下的後果,也是銀行業缺乏在在新時代出外追尋業務成長動能的肇因之一。當然,銀行業在海外放貸和信授業務跟不上國際水平,無法順利轉換多年來的境內業務能量,成為海外其他市場的跨境服務能量,這大概可說是金融創新「優養化」多年後的苦果。

這狀況和高度監理的一類電信服務如出一轍。

Continue reading “怎麼看純網銀被要求資本額一百億”

《資通安全管理法》和余宛如所代表的三兩事

這一年來陸續在不同場合,聽到不同的利益相關者對於昨天出委員會的《資通安全管理法》有比較深刻的討論,「利益相關者」遍及政府部門、產業聯盟、政府法人、資安業者、律所、立法院和外國通訊社等。對於一般網路業者而言,《資安管理法》的立即影響似乎不及其他蔡政府高度加速運作之法案,例如俗稱的「一例一修」的態度反覆轉變,以及其後續引發的龐大社會輿論,兩者可說是相差不可以里道計。但如此積極的立法動作由余宛如(不分區)等「年輕」立委接手處理,在我看來是國會系統無法且沒有足夠能力處理新興議題的具體呈現,而這現象是全面發生的,短期內也沒有改懸易轍換人代表的機會。

Continue reading “《資通安全管理法》和余宛如所代表的三兩事”

林欽榮那張充滿智慧的製圖桌

最近收到台北市智慧城市委員會第五次的會議通知。在「智慧城市」這個概念,過去十七年來已有三次不同的切入途徑,從早期期待資通訊系統能帶來地方政府內部高度數位化已達到電子治理進化的描繪,一直到這三五年來貼近消費者端的雲端、安全監視系統等以智慧城市之名大幅進入城市地域,這些歷程和轉換風潮,我們多多少少都能體會,走過,然後又重新遇到。

詳全文(5,000字)。

台灣人工智慧學校的頂層價值設計

新聞:台灣人工智慧學校的成立,我有一些想法。

首先是在宗旨和目標部分,這部分抓得好不好,對於計畫後續的影響是很大的。可能很多人會說,宗旨和目標不就是放著看看而已?當然不是,對於處理複雜事物且涉及社會發展面的領域而言,這個最上游的價值骨幹是什麼怎麼抓的,會牢牢實實地顯現出計畫主導者和後續發揚的天蓬門檻。尤其是在人類的歷史上很多技術的快速發展,在後來清醒回顧之後,常發現殷切的技術追尋總會偏向引起一連串不怎麼「友善」和「包容」的作為。汽車在1920年代美國的快速普及,造成都市發展的轉變,連帶讓州際公共運輸系統(鐵路)一落千丈,道路死傷達到前所未有的境界。這還算是一個比較沒有爭議的例子。技術之應用「普及化」的社會成本,若是以「大公路」主義的經驗來回顧,現在才比較清晰地被大眾所理解,而這還只成立於一些已開發國家而已(發展中國家有一百多個)。

詳全文

何美玥的手機就是網路經濟特區

歷史:還記得經濟特區的年代嗎?

經濟特區 (Special Economic Zone,後簡稱 SEZ) 在過去是一種地理學概念,多由主權政府所主導。冷戰時期的各國的市政府角色多半聊備一個,或是城市的發跡的歷史長度遠遠超越冷戰史(如:阿姆斯特丹、倫敦、紐約等)。多數市政府在宏觀的全球經濟政策面,尚未取得超越國家的經濟決策權。但在冷戰結束四分之一個世紀期間,中東的杜拜和新興的 King Abdullah Economic City,建基在以城市發展為基礎模型上,在21世紀經濟特區的歷史,開創出另外一條發展路徑。不過我們這邊想的是台灣比較熟悉的歷史,近東地區的發展顯然還不足以本地的激發想像。

 

SEZs 的成立最初是為了吸引外資或跨國企業入駐而設立,法律也比本國更為「寬鬆」。SEZs 除了保有一定程度的經濟決策權外,在對外經濟活動中也被允許採取更為開放的政策,擁有特殊的經濟政策、靈活的經濟措施和特殊的經濟管理體制,例如:

  • 減免關稅,提高優惠待遇
  • 提供理想的投資環境

經濟特區又可區分為:

  • 加工出口區(Export Processing Zones)
  • 自由區(Free Zones)
  • 自由港(Free Ports)
  • 自由貿易園區(Free Trade Zones)
  • 都會企業區和工業區(Industrial Estates)

另外還有保稅港區,不過我們最熟悉的可能是加工出口區,因為加工出口區的女工是不少人生活記憶的過去。我還依稀記得小時候 (1980s) 也在同學的家庭工廠拆過毛線衣,「體驗」如何賺取微薄的「工資」。近年的遠雄自由貿易港區,即為在特區功能複合化的案例。

你以為這是1970年代的事嗎?當然不是。😆

事實:不說不知道,經濟特區的操作還是很紅

那麼,我們就以「加工出口區」最為相關法規命令和行政規則部分的關鍵字,在法務部「全國法規資料庫」檢索。初步得到的結果是:

  • 106.10.13 | 法規命令 | 行政院農業委員會令:修正「農業科技園區保稅業務管理辦法
  • 106.06.08 | 法規命令 | 經濟部令:訂定「用水計畫審核管理辦法
  • 106.05.26 | 法規命令 | 經濟部令:訂定「用電場所及專任電氣技術人員管理規則
  • 106.04.28 | 法規命令 | 財政部令:修正「海關管理保稅工廠辦法
  • 106.04.20 | 法規命令 | 財政部令:修正「離島免稅購物商店設置管理辦法
  • 106.03.16 | 法規命令 | 經濟部/內政部令:修正「工業及礦業團體分業標準
  • 106.03.09 | 法規命令 | 行政院環境保護署令:修正「目的事業主管機關檢測土壤及地下水備查作業辦法
  • 105.12.05 | 法規命令 | 經濟部令:訂定「受災中小企業融資協處辦法
  • 105.11.21 | 行政規則 | 經濟部加工出口區管理處令:修正「經濟部加工出口區管理處補助加工出口區形塑新風貌作業要點」部分規定,自即日生
  • 105.11.14 | 行政規則 | 經濟部加工出口區管理處令:訂定「臺中加工出口區污水處理系統使用收費要點」,自105年10月26日生效
  • 105.11.09 | 法規命令 | 財政部令:修正「自由貿易港區貨物通關管理辦法
  • 105.11.09 | 法規命令 | 財政部令:修正「保稅倉庫設立及管理辦法

加工出口區所帶來的成功,是台灣1960年代後經濟發展的最高指導原則。這個指導原則的概念如今還具體進一步落實在妳我可能都已經懶得討論,或是趕三點半把計畫寄出,免得拿不到下一年度預算的《亞洲矽谷》計畫。

不過,這篇短文妳可能也是在手機上看完。這個由手機時代帶起的新經濟特區,相對於經濟特區 (SEZs) 的年代,我們在網路政策上需要考量什麼?

立法委員請不要跟我說只有監理沙盒 (Sandbox),這樣不及格。🤐🤐

概念:手機上的經濟特區

對台灣社會來說,手機堪稱是現代最貼近消費者也最具有全球影響力的標的。手機是觀察一個社會發展狀態非常好的切入點。同樣是手機,我們都聽過在非洲的肯亞,由於金融環境的限制,手機成了小額付款的最大通路。在中國,狀況就不用特別提了。而在台灣,消費娛樂和人際相處也慢慢轉移到手機。在現代社會成長的小女孩,他們的世界透過手機來看是很不一樣的

然而,小女孩的「生活空間」在東亞社會傳統的家庭脈絡之下,仍掌握在家長的手上。到了數位純手機的年頭,雖然手機看似是私人的空間,但不同的社會裡確實也存在者每早每晚手機必須交給老媽檢查的常規。但老媽畢竟是老媽,老媽沒有 Snapchat,通常也不是刷臉的 YouTuber,但這個年代的老媽已經比上個年代的老媽更為數位化。

對於蘋果 (AAPL) 和谷歌 (GOOG) 的商業模式而言,尚未成年的女孩子已經是手機經濟特區的「童工」了。在第一坡經濟特區的熱潮,東南亞除了新加坡之外,多半沒有趕上這班發展的列車。在這個區域,由手機帶來的機會和問題是相當豐富的

想想緬甸在沒有開放之前(2000年中)一張 SIM 卡要多少錢(十多萬塊台幣之譜),到現在又是什麼光景。光是「開放」和「賺取價差」這兩段就有不少人受惠受益。SIM 卡再怎麼說都還算是好脫手的貨,不像是囤積小汽車,稅一降下來賣不出去的貨根本只好堆在路邊。SIM 卡價格的狂降讓人們多了點通訊部分的自由。在都市化的通訊歷程,撇開固網,直接跳上行動裝置。再加上緬文 (မြန်မာအက္ခရာ) 輸入法日漸成熟,又讓資訊鍵入的基礎門檻降到識讀人口能方便使用的程度。

開發中國家的例子非常之多,一支小小的手機在越南可以撐起的美妝網紅👄,可能早就創造出不少就業機會。這些並非想像,這些都是現實。

概念:供應鏈和 BOM (Bill of Materials) 的作用

麻煩尊敬的您稍微停下來做個體操,三分鐘後再回來看妳手上的這支手機。

這個數以億計的經濟「特區」,我們從政策的角度要如何看待?首先,我們可以試著以傳統 BOM 的概念來作為一個切入點。我在電子製造業和供應鏈的朋友一定相當熟悉,但這個概念極其重要,還是要提。這是一個簡單機構的物料清單(BOM 表)。

An example of a BOM for a mechanical assembly (in German)

我們可以簡單的「 BOM 表」想成是一道菜的菜單,上面有各種食材和配方的成分。在份量、產地、供應狀況和成本的規模,放大個一千倍,有幾百個人和你一起煮出「一道菜」,這就是一個複雜的消費者產品(如手機)的狀況。要讓這麼大的一鍋菜煮得好,就只能以「供應鏈」的概念來解釋了。有人把這個概念做了簡單的圖,好讓我們了解做這支 iPhone X 的蘋果公司的全球供應鏈有多麼的龐大複雜。

Apple Supplier Map /Adam Courtney

這張地圖表述的是供應商 (supplier) 的數目與分佈。有興趣了解的朋友可以透過檢索不同的關鍵字,再想想妳手上這支手機是怎麼來的。我們都是實現全球戰略體系的一環,這一點是無庸置疑的。

對於排隊買手機的消費者而言,通常能記住的就只有一個品牌,無論它是 Apple, Samsung, Huawei, ZTE 或是十年前的 Nokia, Motorola ,或是四十年前的 RCAWestinghouse 西屋(已破產)等。 如何讓這道菜煮得好,煮的對,這就是供應鏈管理的功夫。如何在供應鏈的優化上以經濟特區的手段,用政府的「干預」來達成,這是台灣政府在過去的政策操作上相當熟悉的。

「可是瑞凡,我回不去了。」🙁🙁🙁

等等!手機不是磚塊,還可以連上網路啊?

聰明的妳,

果然問對問題了,如果只是一個磚頭一只電鍋,那何美玥手上的那支手機就撐不起經濟特區的「行頭」。成就一個經濟特區的條件很多,無論是在稅賦、航運和物流鏈的完善化,甚至到雙邊貿易投資協定 (Bilateral Investment Treaties),都有非常高的政策優先權。過去高雄楠梓加工出口區也有得天獨厚的高雄港,加工出口區鄰近優良的港口,和全球的供應鏈體系有著良好的連結 (connectivity),是經濟特選址的不可或缺條件之一。

Special Economic Zone of Thailand

台灣過去在這方面練的很熟,所以很多人都以為這一套在網路時代也吃得開。

對不起,妳可能是大錯特錯的。😱

概念:網路的港口?

有沒有想過手機可以上網是怎麼上網的?是連到哪裡?台灣是一個島,連出去是怎麼連出去的?妳手上這個小小「經濟特區」的交通網絡是怎麼回事?資料傳進來台灣的時候,是不是也有港口?靠泊需要特殊的碼頭嗎?要繳多少錢?要不要引水人帶入港口?

讓我們看看鄰近的區域,香港的那塊區域叫做「數碼港」不是沒有它的道理的,神戸「海軍操練所遺跡」剛好是NTTドコモ神戸ビル 所在地(謝謝 Crystal Tu 的分享)也絕非歷史的巧合。「網路」和「海洋概念股」在很多政策面的環境條件考量是相通的,妳我雖然可能沒有網通產業的背景,但用港灣港埠的譬喻,對一般的消費者來說是比較好理解。

那麼網路港口和經濟特區的海運(先撇開陸運),又有何差別?你或許也沒聽過網路交換中心 (Internet Exchange Points,簡稱 IXP),但網路交換中心所帶來「互連 (peering)」的價值,在全球主要城市都被視為發展網路經濟的戰略出發基準。從不同地點(國外)接入的數量,大致可以視為在海運概念股內「航線」的「當量」標準。

我們來看台灣幾個城市的水準如何(資料來源 PeeringDB):

City | List of Peers at this Internet Exchange Point (Total)

  • 阿姆斯特丹 | AMS-IX (710)
  • 法蘭克福 | DE-CIX (604)
  • 倫敦 | LINX Juniper LAN (598)
  • 巴黎 | France-IX (257)
  • 維吉尼亞州 | Equinix Ashburn (251)
  • 加州 | Equinix Palo Alto (113)
  • 香港 | HKIX (166)
  • 莫斯科 | MSK-IX (134)
  • 東京 | JPIX (123)
  • 斯德哥爾摩 | Netnod Stockholm (123)
  • 雪梨 | IX Australia NSW (108)
  • 約翰尼斯堡 | JINX (53)
  • 新加坡 | SGIX (42)
  • 布拉格 | Peering.cz (38)
  • CERN | CIXP (34)
  • 赫爾辛基 | FICIX (28)
  • 台北 | TWIX (12)
  • 其他五都很抱歉 🙇

念茲在茲,想要發展「數位國家」之主要網路港口航運接入路線數量,遠遜於其他城市。這是什麼狀況?聰明的各位花點時間猜猜看?

等等!那規劃網路經濟特區要懂什麼?

聰明的妳,又問對問題了。我們直接切入主題,急轉直下。右邊括號內的文字是相對於傳統經濟特區(如竹科、中科)的說明。

基建和標準

  • 通訊基建技術標準(水、電、交通等各種工程標準)
  • 網路標準(基地、廠房等建置的工程標準)
  • 網路協定數字(最接近的是地址)
  • 網域名稱系統(最接近的是地址)
  • 根目錄(無對應概念)
  • 網路中立性(「公共」道路)
  • 雲端運算(無對應概念)
  • 數位匯流(路口、港口)
  • IoT(無對應概念)

安全(相較於經濟特區的保安)

  • 網路安全網路犯罪關鍵資訊基建(警政系統)
  • 網路戰爭和軍事行為(戰爭)
  • 網路衝突(如:廠區械鬥)
  • 兒少網安(兒少相關保護辦法)
  • 加密(無對應概念)
  • 垃圾郵件(廣告信件)
  • 電子簽章(大小章和簽名)

人權

  • 言論自由(概念相通)
  • 隱私和資料保護(同上)
  • 無障礙(同上)
  • 女性權益(同上)
  • 其他人權議題(同上)

法律

  • 網路主權
  • 司法管轄權(概念相同)
  • 仲裁(同上)
  • 著作權(同上)
  • 商標(同上)
  • 勞動(同上)
  • 中介者責任(無對應概念,可能民事的「連帶責任」最貼近)

經濟

  • 電子商務
  • 電子和虛擬貨幣
  • 消費者保護(概念相同)
  • 稅務(概念相同)

社會文化

  • 內容(無對應概念)
  • 文化多樣性(無對應概念)
  • 多語言(無對應概念)
  • 線上教育(無對應概念)
  • 全球公益(無對應概念)

😯😯😯😯

Oh God, 怎麼跟我想像的不一樣?是很不一樣沒錯,因為我們談的是「政策」,不是單純一家公司的商業競爭策略,不是補貼,不是輔導,而是面對何美玥手上那支手機也是經濟特區的同時,請問:

妳想像中的網路發展是什麼?妳的策略是什麼。妳要讓我們回到女工的年代嗎?

討生活的採茶工人

當然不要。手機所建立的經濟行為如此複雜,我們還要低估嗎?手機都是網路經濟特區,這是我們希望看到的嗎?

下一篇我們還會在 netpolicy.taipei.io 談的概念:

演算法(人工智慧)在網路經濟特區的作用。

歷來政府如何看待網路外資

美國網路公司不能欺負:不只特別歡迎,更是如入無人之境。但因政府機構和立法者過去對於網路商業生態、網路技術限制和區域政策研究等之投資,少到連買一棟台北市大安區精華地段的樓層都不夠,因此美商(網路)在台灣縱橫捭闔,早期頗吃的開。政府、法人更是以受邀到區域獲美國總部合照為榮,此心態雖非台灣當局所特有,但猶如遺傳一般,再加上政府涉事者老面孔不改,傳到了今日,仍是此景此情。只能按讚,再讚,三讚。

Continue reading “歷來政府如何看待網路外資”

新南向 ODA 匡列一千億,很多嗎?

#新南向 云云看到 #ODA(官方發展援助)約莫是新台幣一千億(約35億美金)的規模是什麼感覺?我想到的不是單純的數字,而是從其他幾個屬於「基建」等級的公共工程項目開始「回憶」。由於台版 ODA 什麼細節都沒有公開,自然也沒辦法好好的有系統看待。

Continue reading “新南向 ODA 匡列一千億,很多嗎?”

《玉山論壇》之最大不可思議

號稱是台灣「重新再定位」的玉山論壇首度在台北君悅舉行,我所知道的區域媒體在會議期間平台幾乎是完全不予理睬。然而這還是最為不可思議之處,因為平台的價值主張本可透過不等管道輻散,主其事者和團隊本來就屬於一隻腳在外交圈子。行事古典,有緊密和洋蔥式的人際網絡。區域媒體不知或是不在網絡內,可以理解。在外交實力相對低落的東亞國度,以論壇為名為起手式所帶起的組織結構,如基金會或是秘書處 (Secretariat),多多少少都有此種「症頭」。當然我們也可以說,台灣本來就是外交網絡的「細漢」,所以這也只是現實處境的反應,不需過度關注。

Continue reading “《玉山論壇》之最大不可思議”