跳到主要內容

參與 APrIGF 2019 的會後感想



從Vladivostok回來後,花了一些時間完成了我的出國報告。

感謝 TWNIC 讓讓我以國際事務委員的身份參與 APrIGF 2019 ,等到他們把報告公開在網站上後,才能公開發表自己的心得。

如果想要了解這次的會議裡談論了哪些主題、我個人參與了哪些討論會,可以參考大會的網站和我的出國報告,我會在文章之後附上連結。

這一篇其實是我個人與會的心得,很多事因為已寫在公開的出國報告裡,所以不再重複。

關於 Cyber Norm(s)

這次參與了討論亞洲區的 Cyber Norm。因為簽證的因素,所有的參與者只有我一個人在現場,其他都是透過網路會議與現場參與者交流,然而討論的主題其實是台灣至今都無法參與的,UNGGE 的 Cyber Norms。在這裡先向大家道歉,我實在找不到更適合的中文來描述Norm這個字,如果用了「規範」,大家可能會想到「Regulation」,但Norm並不具有約束力,在性質上,也許比較接近我們所謂的「常識」。

在開幕大會的空檔,遇到 NetMission 的參與者,裡面剛好有台灣人,於是我們討論起「台灣有沒有Cyber Norms?」

其實是有的,我們會提醒每個網路使用者不要亂點訊息中的連結、傳播任何消息之前都要先查證、不要在網路上言語的人身攻擊或是霸凌⋯⋯等,這些幾乎都是網路使用的常識,有些是政府或是相關單位宣導的,有些是資安公司、顧問公司的報告中所列出的,另外像是「Recommendations for human rights based approaches to cybersecurity」這份文件,也是一份Cyber Norm。

在APrIGF 2019中,這個場次的主持人 Bart Hogeveen 也提供了一份 Cyber Norm,同時我也自己簡單的附上翻譯:

  1. Interstate cooperation on security 國與國之間在安全上的合作
  2. Consider all relevant information 考慮所有的相關資訊
  3. Prevent misuse of ICTs in your territory 避免在自己領土上誤用資訊通訊科技
  4. Cooperate to stop crime and terrorism 合作停止犯罪與恐佈主義
  5. Respect human rights and privacy 尊重人權與隱私
  6. Do not damage critical infrastructure 不要破壞關鍵基礎設施
  7. Protect critical infrastructure 保護關鍵基礎設施
  8. Respond to request for assistance 回應援助的請求
  9. Ensure supply chain management 確保供應鏈管理
  10. Report ICT vulnerabilities 報告資通訊科技漏洞
  11. Do not harm to emergency response team 不要傷害緊急應變團隊
大家花費較多的時間在討論:(1) 誰有資格參與制訂 Norms?(2) 如何執行Norms?所以其實沒有什麼機會討論上述的11條Norms。

然而這兩個問題,包括 ICANN 的 Joyce Chen 問了另一個問題「Does norm have teeth?」這三個問題反而是最根本的問題。

UNGGE的成員可能是政府代表,但有些政府代表並不理解網路技術、環境和運作的方式,如果由政府制訂 Norms,那麼政府會為了執行它、讓它具有效力與威嚇力,而設下了罰則,它可能是我們所知道的規範 (Regulation) 或法律 (Law),例如台灣的資安法,在各界要求取消罰則的聲音下,台灣政府還是設下了罰則。相反的,如果 Norms 不具有法律效力,對於部份利益優先的業者、網路使用者,可能就完全不當一回事,在個人利益優先的情況下,他們可能會做出有利於自己而傷害他人的行為。

在2018年的聯合國IGF裡,網路安全工作小組便提出了「Cybersecurity Culture, Norms and Values 」,這份文件裡就談到了不少相關的框架,在2019年則會討論「Cybersecurity Agreements」。

網路治理論壇不是研習會

網路治理論壇 (IGF) 是一個意見交流平台,它不是政策決議的地方,但有機會影響網路政策的發展。

網路治理論壇並不是做決議的場合,但絕對是一個讓各個利害關係人參與、門檻也最低、最容易理解「多方利害關係人機制」的最佳的平台。前面提到的各種會議,都是技術性質含量相當高的政策會議,評估影響層面、討論到可行性,而 IGF 還會討論到經濟、社會、文化、習俗、人權。就算不是技術人員都可以參與甚至發起討論。自己國家的網路治理議題若是提到區域層級,就會到如 APrIGF 或是 EuroDIG 來討論,甚至到聯合國IGF討論。例如今年在APrIGF 裡就討論的人工智慧的應用、如何讓人工智慧運用在包容性創新、職業道德是否能透過教育來完成、IPv6 推廣經驗的分享⋯⋯這些可以是區域性議題甚至是全球議題,自然就很適合在這些場合裡討論,所以只要是與網路政策有關的,能到區域層級或國際層級,都很適合提出來與其他國家交流。

ICANN、RIRs、NIRs、LIRs的會議才是網路政策決議的地方,IETF是網路技術與標準討論的會議。以台灣來舉例,每年TWNIC會舉辦兩次的公開政策會議(Open Policy Meeting, 簡稱OPM),TWOPM 就是NIR層級的網路政策會議,而這樣的會議所提出的建議,如果會影響到亞洲區,那就需要再透過RIR會議討論,例如APNIC、RIPE NCC的政策會議;同樣的,若是發現這個政策建議會影響到全球網路資源分配時, NRO/ASO 評估後再送至 ICANN 討論,在經過相當仔細且冗長的全球代表討論後,達成共識才會成為最終的網路政策。

國際交流不是只有在當下

這對習慣使用中文交流的台灣人而言其實是很吃虧的,尤其是在提案時。台灣有台灣特殊的網路環境,雖然很自由,但我們還是把自己鎖在這個島上。在亞洲區有兩個網路治理相關的教育組織:APIGA 和 APSIG,分別在南韓和泰國,不過 APSIG 明年將在尼泊爾舉辦。這兩個組織其實也是人們互相建立、提案人脈的來源。有不少提案人員是在 APIGA 或 APSIG 認識的,在向 APrIGF 提案時也能增加參與成員背景的多元性,也能顯示出議題是具區域網路治理層級討論價值的。

也許是習慣被動的接受資訊,又或許是因為網路環境自由,其實台灣人不會主動去找尋相關的資訊,或是參與這樣的活動,自然在提案成員上比較單調,甚至很難找到符合多方利害關係人條件的討論主題與參與者,有些人則誤會把IGF當作是展示自己研究報告的場合。

如同前面提到的,ICANN、RIRs、IETF的會議才是網路政策決策的地點,但 IGF 會是一個各方交流的平台,相較於嚴肅的政策與技術標準平台,IGF 應該是更容易交流、討論的平台,最重要的,它提供了一個地方讓不同的、相反的觀點能提出來公開討論,雖然有些人的表現似乎誤會IGF是政策決議的場合。

IGF 提供了「討論、交流」,也有可能在其中討論出可行性高且包容更多聲音的Norms,而這也是一個很棒的國際交流平台,它需要長時間的參與,而不是去打卡到此一遊而已。

APrIGF 2020


APrIGF 2020 將和 APSIG 合辦,地點在尼泊爾的加德滿都。由於七月是尼泊爾的雨季,為了交通安全,MSG成員們決定提前到明年五月舉辦。尼泊爾的成員們在整個 APrIGF 裡是相當積極的,政府也樂意配合、支持。尼泊爾當地也有相當有活力的 Open Knowledge Foundation Nepal;我在參與 APRICOT 2018 時,也有一些傑出的網路普及的基礎建設的方案。

還記得2018年,我多請了幾天假,在 APRICOT 後住到 Boudhanath 附近。在民宿樓下與老闆一起看著 Boudhha 大佛塔旁的大雷雨,我的網路、民宿的網路似乎因大雷雨完全掛掉了。我們站在屋簷下,看著大雨。
年輕的老闆說:This is Nepal.
我則笑說:It’s OK. Everything will get better.
他質疑著,我想想這幾年所觀察到的 Nepal,相信它會更好的。

相關的文件連結:

留言

這個網誌中的熱門文章

觀察台灣租車公司資料外洩事件和國外的類似個案

一月底時, TechCrunch 的報導讓大家注意到台灣的租車公司發生了資料外洩事件,從報導中可以得知,這次的資料外洩的範圍,部分信用卡號碼、客戶身份證明文件,以及租車者的相片、簽名和租車詳細資訊。由於是租車公司,主管機關大概是交通部公路總局,所以也看到台灣的 後續報導 是公路總局要求該公司限期改善,在 TechCrunch 的原報導中也提到他們有發信問數位發展部,已經通報  TWCERT/CC  協助處理,也已經無法自該資料庫下載資料。 這件事情讓我想到幾個美國的案件,我簡單的摘要並提供美國FTC的案件連結,有興趣的人可以再去網站上閱讀: Equifax資料外洩案: 2017年時的Equifax資料外洩案十分有名,由於它是一家跨國消費者信用調查的公司,所以儲存了大量的美國、加拿大、英國人民的個人資料、財務與金流資訊,被評估會讓這些被資料外洩的受害者可能會遇上身分被竊取、詐欺等事件。 經過調查, 在這次的資料外洩案中有 1.47 億人的個人資料被外洩,在去年12月與美國FTC、消費者金融保護局、和一些美國地區達成和解,在和解協議中,需要支付4.25 億美元給受到資料外洩案影響的人,到2026年之前,美國的消費者透過特定的網站,每年可以取得7份免費的信用評估報告,另外,受害者也可以在特定期間內,針對因受到身分被竊取、詐欺的而影響,要求賠償需要恢復身分所花費的時數及費用,每小時賠償25美元,最多20小時。 對於常常接到電話詐騙、在公共場所大聲報出自己身分證號碼的台灣人來說,可能不覺得有什麼,但從2017年關注這個事情到現在,我想美國人對於因資料外洩而導致身分被竊取、詐騙,實在是謹慎且處理方式完整許多。 連結: Equifax Data Breach Settlement Drizly 資料外洩案 資料外洩的案子常在網路上出現,看到後來我常常都麻木了。2018年還有萬豪酒店集團的資料外洩案、國泰航空的資料外洩案、四大會計公司輪流出包把客戶的財務資料存在雲端系統,還把帳號密碼未經加密就寫在某個公開的服務裡。 2018年對我來說幾乎是資料外洩案爆發的一年,但對長期服務於資安領域的人來說,這些都不是新案。 美國的 Drizly 是 UBER 所經營的一個販賣及運送含酒精飲料的網站,他們使用了Amazon的雲端服務,在上面儲存了消費者的電子郵件位置、郵務地址、電話號碼、單一裝置識

[movie]Selena 哭泣的玫瑰

歌手:Selena Quintanilla Perez(1971~1995) 從wikipedia查Selena 導演:Gregory Nava 主要演員:Jennifer Lopez, Jackie Guerra 推薦CD: LIVE THE LAST CONCERT 電影原聲帶: 哭泣的玫瑰 最近在聽一張已絕版的專輯,已逝拉丁歌手Selena的Dreaming Of You。這位歌手只活了短暫的二十三年,死於自己歌友會主席的槍下。在她短暫的生命裡,歌唱事業佔了她二十三年生命中的大部份,然而她也曾在1987年獲得Tejano Music Awards本年度最佳女歌手獎、最佳表演獎並於1993年獲葛萊美最佳表演獎,之後又以《 Amor Prohibido 》這張專輯獲得1994年葛萊美金獎,跨越了國藉的隔閡,是位非常傑出的拉丁女歌手。 這部Selena在台灣被譯作《哭泣的玫瑰》1997年時由Jennifer Lopez演出,由於電影拍攝出資者是Selena的父親Abraham Quintanilla,而他們一家屬於墨裔美國人,所以在片中還可以看到移民者的一些感觸。 Abraham年輕時就有組團表演的夢想,但他的身份使他的樂團在白人舞廳裡無法得到表演機會,當他們在墨西哥舞廳裡歌唱時又因為只懂得唱白人的抒情歌曲,使喜愛跳舞的拉丁人民無法隨樂起舞而引起暴動,接著便結束了他的音樂夢,當他發現自己十歲的小女兒Selena具有音樂天份時,整個家庭都投入表演事業,由他擔任經紀人,全家四處表演。 由於她在年紀小小時便四處表演,所以她無法像其他同年齡的女孩一樣有機會談戀愛或是遊玩,在片中也有這麼一段台詞認為自己屬於被保護下長大的孩子,在光鮮亮麗的歌手外表下,她也想像其他女孩一樣有機會談戀愛、結婚、生子,在這部電影裡都可以看到父親對女兒的關懷,希望留下女兒美好的一面,所以也不會有一些緋聞或是不好的新聞,比較像是父親為了紀念自己的小女兒而拍攝的電影。 這部電影裡,Abraham提到到的一些觀點訴盡了移民們的心酸,他對西班牙語不流利但即將上台演唱的Selena說:「在美國要了解美國歷史,要比美國人更美國人,但也不能忘記墨西哥的歷史,要比墨西哥人更墨西哥人…。」也許因為以前慘痛的經驗,所以告訴女兒一定要學西班牙話,從拉丁歌曲開始表演。Selena的成功除了她本身的天賦和與生俱有的親和力外,我

為什麼我支持《數位中介服務法》草案

在經歷許多次反抗台灣政府所立的網路相關法案後,我其實沒想過除了《數位通傳法》草案外,我還會再支持另一部法律草案,雖然 《數位通傳法》草案還壓在某處,但如果有人讀過《數位通傳法》的草案,再讀這部《數位中介服務法》草案,就會知道這部草案的重要性,而且也可以顯示台灣網路使用者的成熟度,更重要的,這是我第一次看到引入國際網路治理多方利害關係人機制的法律草案,而且是用在正確的地方。 有興趣想知道我在讀法條時的筆記和當下的感想,可以看我這則  Tweet 。這篇不使用逐條讀法條的方式來寫,因為那會讓人昏昏欲睡,我也不去比對歐盟《數位服務法》,因為我在讀《數位服務法》草案時,該草案特別強調是加強歐盟 E-Commerce Directive  ,而不是取代它,而且更多著重在預防盜版、仿冒,保護消費者的法案。所以當有輿論提到參考自《數位服務法》的《數位中介服務法》草案限縮言論自由時,我其實是一頭問號的,但一直到今天我才有時間讀《數位中介服務法》草案,這篇文章出自於我的個人經驗和閱讀法案的心得,與擔任的職務無關。 如果最近注意一下網路的資訊,有幾件事該注意一下: 有許多人在社群平台,如Facebook或是其他網路看到一些廣告,而這些廣告可能是要你支持台灣農產品、台灣製的產品,結果你收到時,上面還寫著簡體字,通常這是所謂的一頁式廣告詐騙,而行政院的消費者保護會在 2019 年時就有新聞稿在警告「 一頁式廣告詐騙多 小心查證保障多 」,之後像公視或是其他單位都有相關的活動在提醒大家小心這類廣告。但目前這些廣告其實多數不易處理,因為不容易取證、保留證據,等到追查到時已經找不到對方了。 有不少親密照片與影片在情侶分手後,被報復性的上傳到情色網站或透過即時通訊傳到親友的帳號裡,或是被洩露個資,遭到公開的霸凌。 之前有一個專題:「 青春煉獄:網路獵騙性私密影像事件簿 」,光是讀完這個專題報導我就覺得受傷。 有人使用 Deep Fake 把台灣名人的臉部照片合成至色情影片再上傳至色情影片平台,今年 7 月才被判刑。 還有許多創作者藉由網路分享作品時,被人盜用,甚至有國外的使用者修改台灣人的作品去參與比賽還獲獎。 有一次打電話問某個部會,如果消費者在國外電子商務平台買東西,但資料被外洩怎麼辦?雖然政府願意協助,但衡量至國外打官司的時間和成本,就會讓人卻步。 有些行為在現實世界裡有法可管,例如《兒童與