跳至主要內容

Taiwan v.s. UNIGF - IGF 2023

 

Image by Thanapat Pirmphol from Pixabay

為了避免文章太長,我把一些前一篇文章的細節挪到這篇文章來寫。

Code is Law &  Code of Conduct

我其實沒有讀完 Code 2.0,但常聽到別人解釋裡面「 Code is Law」。我自己的解讀很簡單,在網路世界裡,一切都是由程式碼堆積而成的,網際網路裡的協議,也都是由程式構建而成的,程式碼(Code)就是這個世界運作的規則。

「Code of Conduct 」有各種翻譯,普遍譯為「行為守則」,像是一個組織、董事會對成員的要求行為標準,像是公司要求自己員工的行為規範,它由文字組成,用一點想像力,就是人們行為的程式碼,只是它像是一個尺度,行為不要超過、違反守則裡的要求。

當很多場次在討論如何治理AI時,我反而覺得前述的兩個觀念是一致的。

用一點想像力吧!

避免「網路碎片化」是必要的

在2018、2019年時討論「網路碎片化」(Internet Fragmentation)時,多是在網路安全領域,更著重於基礎網路通訊設施的維護,從海纜、路纜、衛星、資料中心、交換中心、干預網路數字資源、(國家)域名的分配...等,到2021年時的相關討論都還是著重於呼籲網路設施,也很難讓一般沒有技術知識的網路治理論壇參與者很難加入討論。網路治理論壇的成員來自於不同領域,有些可能是政策制定者、有些可能是人權團體的學者或倡議者,有些可能是某個領域的學者,不見得擁有網路基礎建設的知識,所以在這類的討論多半都是技術團體。

直到2022年俄烏戰爭爆發,讓戰爭從實體打到網路和通訊上,再加上外國的衛星網路通訊設備支援其中一方,愈來愈多政府以維護國家安全穩定為由實施中斷網路通訊(Internet Shutdown, 斷網),也有的政府開始要求網路中介服務者對使用者提供的內容負責、避免不實資訊或恐怖主義透過網路傳遞、於是「網路碎片化」在2022年的 IGF 討論更多樣化。儘管還是有學者堅持「網路碎片化」是在討論維護網路基礎設施,但也擴充至使用者經驗、斷網、網路制裁等相關討論。到了2023年,在多場網路碎片化的相關討論裡,我只參與了一場,在會議的一開頭,一樣也是困在了定義的迷宮裡。

在許多講者們糾結於定義時,我想到在整個網路發展過程,也推動人民藉由網路參與政治、發表意見,資訊也更為公開,取得資訊的方法更多、門檻更低,也讓知識可以更為普及,後續還推動公開政府資料、人民可以透過網路提供意見、也因為公開政府資料、開放資料,減少資訊不對稱,讓人民可以監督政府,真正還權予人民。

又如在俄烏戰爭開始時,有些跨國網路服務、媒體服務中斷其在俄羅斯的服務,這也讓人權團體在2022年的 IGF 裡提醒每個參與者,中斷這些服務,反而更容易讓俄羅斯政府利用此點傳輸不實資訊給俄羅斯的人民,而接收資訊的人民無法查核事實,就不知道真正的情況是什麼。

先不談論資訊不對稱或是網路碎片化這些術語,只要想一想網際網路賦予人民的權力,就要想想以往高高在上的政府,就該畏懼這樣的力量。

台灣需要明確的資料外洩事後補救措施指引或規範

這件事一直都放在心裡,因為一直都很不明確,直到昨天聽到了中國式網路治理,強調資料的所有權人是政府時,我在社群平台上自言自語 CCPA 和 GDPR 關於資料所有權的擁有者其實是人民,瞬間了解,儘管台灣有個人資料保護法,但台灣沒有對應的資料與隱私保護的指引或規範,讓人民曝光在資料外洩、身份被盜用的風險中。身為台灣人,沒有辦法強調台灣政府如何讓人民在身份資料外洩時擁有相對應的支持措施,只能想想美國、歐盟的政策時,我自己都覺得諷刺。

在2023年5月時,台灣個人資料保護法的主管機關已確定為「個人資料保護委員會」,但在一連串政治人物的誠信事件後,什麼時候確定有這個委員會?如同該法規內容寫的:「※本法規部分或全部條文尚未生效,最後生效日期:未定」,這也讓我對醫指付資料外洩事件,到底要由哪個主管機關處理?在劃分權責時的多個部會踢皮球,而使用者繼續曝露在風險下,感到無奈(雖然最後金管會出來處理,但資料外洩是要馬上處理,而不是等到事情發生一段時間後才處理)。接下來又要選舉了,不知道在選舉過後會有什麼改變?能否在選舉前成立此單位?都成了未定,但可以確定的是,未來相關的事件都會由這個委會員處理,就像數位部在成立時,許多部會就把網路相關的事務主動挪移到數位部。

因為沒有相關的政策,所以很多民間企業並不是太把會員資料當做一回事。今年台灣發生了大大小小的資料外洩事件,像是先前寫過的租車公司資料外洩事件、最近確定的台灣戶政資料外洩且在暗網販售的事件,事情發生了,也確定二千多萬筆,相當於台灣全民都面臨身份被盜用的風險?例如可能莫名其妙的背上了一條債務或是要貸款時發現自己信用不良,或是家人們被詐騙、有人用你的個人資料去參與線上博弈、借貸擔保...等,都沒有任何補救措施,也缺乏與身分識別相關的應用配套規範。

在前篇文章裡提到今年在 BPF Cbyersecurity 裡寫了關於澳洲 Medibank 的資料外洩事件。Medibank 是澳洲一家保險公司,除了擁有澳洲多數人民的保險資料外,也有許多外籍人士、原著民的保險資料。在2022年10月時得知有200份保單資料在暗網中販售,而展開了調查和相關的行動,例如協助客戶如何避免身分被竊取、公布調查時程與進度、成立協助的專線、配合澳洲個資保護機構(OAIC)的調查...等。

在台灣就沒有相關的調查進度報告,也不知道如果有人身份被竊取要怎麼處理。台灣人在這方面樂天的,就是反正已經公開了就沒有秘密了。但如果一個人等到身份被竊取了才有所行動,要再取回自己的身份,要向銀行、醫院、外界證明「我就是我」,會變成非常困難的一件事。

這些事後補救的指引包含了如何通知受害者、支援的措施、補救的措施、公開調查進度與事發原因...等。如果政府相關部會願意提供一個指引讓面臨資料外洩的公司、因資料外洩影響生活的人民可以遵守、找到支持的措施,就不容易落入各方受重大損失的局面。

儘管台灣的網路治理論壇可以討論全世界的網路治理議題、帶進各國網路治理的重要人士參與討論,但台灣人無法解決自己網路治理上的問題,就算有個公開平台,也不願面對現實。如同有次我在聽某個演講,許多專家們在討論現在的法規如何處理數位的議題時,有個專家則提到自己國家關注的,與其關注那些數位平台的議題,自己的國家關注於如何解決切身的民生問題。

反正,台灣最美的風景是人,台灣是民主國家,台灣人民選出自己的總統,有自己的政治結構,萬歲。

就寫到這裡,反正,每個人都能過日子比較重要。

留言

此網誌的熱門文章

聊聊台灣的人工智慧政策發展進度-歐美國家

明天 (520)是台灣第 16 任總統上任的日子。我們在上個星期五,也就是 5 月17 日的晚上,曾經經歷過2014年 318 學運的人,幾乎又有同樣的感受覺,彷彿又回到10年前,國民黨準備通過與中國不明不白的服務貿易協定。台灣人在接下來要面對的,是一個朝小野大的治理體系,唯一慶幸的是,我們可以全民監督政府,可以線上關注立法院又在上演什麼戲碼。 在 18 日下午幫觀音蓮換盆後,有個感觸:「大家都有生活要過,如果不是國會失能,誰想再走上街頭?」如果我們這一代都被教育為溫良謙恭儉讓,那怎麼立法院還能打成這樣? 回到新總統宣布內閣成員的那天,出現所謂「行動創新的AI內閣」,我始終無法理解這表示內閣自動化還是內閣AI化?我在媒體的報導裡,只能理解將延續智慧政府的願景,人工智慧 (AI) ,似乎是提升搜尋引擎關鍵字用的流行用字。 簡單查詢一下,台灣近期關於人工智慧的相關法規、規範、指引、辦法、原則,除 2018 年提出所謂的「 AI小國大戰略 」、 2019年時有立委提出應擬「 人工智慧發展基本法 」、2023年8月由國科會所擬的「 使用生成式AI參考指引(草案) 」,國內腳步最快的監管機關應該是金融管理委員會,在2023年10月公布「 金融業運用人工智慧(AI)之核心原則及政策 」,有相關的指引和配套措施。 當其他國家為避免發展人工智慧傷害人民而陸續建立事前管制的法規時,我有點擔心,台灣的法規進度在哪裡?如果從0到10,10是歐盟AI Act的程度,那台灣會在哪裡?台灣所謂的 AI內閣,有什麼 AI 操作或監管指引嗎? 關於全球 AI政策發展的觀察站 有興趣的人可以多閱讀 OECD 的 OECD.AI ,這裡面收集相對完整的全球立法資訊,自我 2019 年開始看這個網站到現在,這幾年網站內的內容增加非常多。 年初時一場線上研討會,參與者建議除了原有的功能外,也可以再提供一些政策研析,畢竟 OECD裡有許多的專家,不僅僅是討論及觀測經濟發展而已,這個意見很快被採納,但寫文章需要時間,所以他們也利用一些AI功能可以搜集收章,讓網站出現大量的文章。今年除了新增文章外,也看到有他們正在全球觀測所謂的 AI Incidents ,使用者可以透過網站了解全球因為開發或使用人工智慧系統所出現的實際危害事件,也 定義AI Incidents和 AI Hazard的不同 。免費,每個人都可以

關於花精的FAQ(4)--使用篇

這部份有十六個Q & A,內容很多,我想應該可以解決在使用花精上最常見的疑問。 花精是芳香療法嗎?是保養品嗎?是藥品嗎? 花精應該算是順勢療法的一種,可以外用也可以食用,不能說是保養品,因為沒有保養品用在皮膚上的直接效果,可以確定的是,花精並不是藥品也不含所謂藥品的效用,但它確實能藉由自花朵萃取出來的能量來平衡人心中的負面情緒。 花精買回家之後要怎麼使用? 通常買回家的花精我們被稱為Stock Bottle,裡面有濃度較高的酒精,所以只要放在陰涼處通常可以放很久,但是如果你的居住地方較悶熱,還是建議放在冰箱裡會比較恰當。平常我們在使用的被稱為Treatment Bottle,調配方式如下: 你要先有一個30ml的玻璃瓶,要有滴管,可以少於30ml,買回家後先用沸水煮5分鐘。注意滴管部位的塑膠不要放到熱水裡。 在已消毒過的30ml玻璃瓶中加入礦泉水或是乾淨的飲用水。 從每個花精的Stock bottle裡各取出兩滴花精加到這30ml的瓶子裡。 每天喝四次,每次取四滴,加入水或是飲料裡,或是直接滴四滴到嘴巴裡。 如果你要搭配急救花精的話,加入Treatment Bottle中的急救花精是四滴,其他的花精還是以每種兩滴為主。 我已經有使用其他的花精了,我可以混用巴哈花精嗎? 原則上是不建議。像是如果你本身已經有澳洲花精的急救花精,就不建議再混合巴哈花精的急救花精。 花精在調配上最多幾種?可不可以三十八種全用? 一般而言一瓶Treatment Bottle裡最多不超過六種花精,因為太多的花精可能會讓你看不清楚自己真正需要的是什麼?也解決不了根本的問題,可能短期內改善了某種情緒但長期而言是沒有改變的,也有可能會互相抑制。但因為每個人的情況不同,有些人可能只需要一種或兩種;有些人可能需要調配到七種或八種,甚至有些人需要三十八種全部,當我們真正的了解自己的情緒問題出在哪裡時,就知道適合的花精到底有哪些,再慢慢的排除掉不需要的花精。 用錯花精會不會有不良的影響? 不會,花精是很溫和的東西,簡單的就成份上而言,它就是水而已,頂多加上了白蘭地防腐,特別一些的說法是,花精多了自然界的能量。花精所改善的是我們的負面情緒或是較黑暗的性格,如果選擇了不適合的花精也不會有什麼不好的影響。 如果我已經有其他品牌的急救花精,而且還有很多,我一定要再重新買巴哈急救花精嗎? 不用,選擇最適合自己

各國政府在談資料跨境傳輸時,台灣需要什麼?

保護個人資料可能是各行各業的一個重要議題,不止增加了企業的資安相關成本也增加了法遵成本。尤其是需要跨國傳輸(個人)資料的企業,除了要配合各國的資料保護法(規範、規則)外,也要擔心資料外洩事件後續的成本,還有許多額外的行政手續。許多國家已經感受到資料流動的重要性,也紛紛的透過數位經濟協議、各種雙邊或多邊協議,來減輕企業跨境傳輸資料時的相關成本,以促進(數位)經濟發展,例如2018年時,美國、墨西哥、加拿大已簽署「美國-墨西哥-加拿大協定」(United States, Mexico, and Canada Agreement),讓這三個國家的企業可以在忠北美境內自由傳輸資料。 2019年由日本前首安倍晉三在世界經濟論壇和2019年的G20大阪峰會中提出提出「Data Free Flow with Trust」(簡稱DFFT),其核心概念是「基於信任的資料流通」。這樣的概念主要是建立彼此信任的跨境資料傳輸,促進資料自由流動,同時確保對隱私、安全和智慧財產權之信任。 在2019年G20大阪峰會時就已談出了DFFT的發展概念,2021年時已擬定發展的藍圖。當時也討論了所謂的資料在地化、資料主權等議題,並且也有著「資料的連結與使用是可提升生產力的重要因素,限制跨境資料流動,會是國際貿易體系的沉重成本之一,且資料在地化的要求可能會提高企業的生產與法遵成本」之共識。 到了2023年,因當時聯合國網路治理論壇(UN IGF)在日本京都舉辦、及G7日本廣島峰會的緣故,DFFT的概念再次被提出,且被熱烈討論著。G7廣島峰會裡則是建立了夥伴關係機制 (Institutional Arrangement for Partnership,IAP),並由OECD擔任協調的單位,來建立所謂的IAP;日本的JICA(Japan International Cooperation Agency)也在UN IGF 中提出執行 DFFT 之相關倡議。 如果有興趣進一步了解DFFT,可以閱讀: Digital Agency, Data Free Flow with Trust (DFFT) , World Economist Forum, Data Free Flow with Trust (DFFT): Paths towards Free and Trusted Data Flows 網路上的資料很多