跳至主要內容

參與 APRICOT 2018 心得 (1)

圖片
作者:

去年是我第一次參與 APNIC(註1) 會議,由於在台中,占了地利之便,很輕鬆的可以參與,同時與許多亞太地區的人有所交流。其他國家的參與者們除了讚嘆台中是個很棒的地方、台上的致詞者出現蛇肉湯讓與會者摸不著頭緒外,也有一位中國的參與廠商告訴我:「其實我是因為參與 APRICOT(2017) 所以才來台灣參與 APNIC44…有機會的話,妳要參與 APRICOT (Asia Pacific Regional Internet on Operational Technologies )。APRICOT 比 APNIC 更盛大,妳會遇到更多人,對妳的研究會更有協助。」同時,在 APNIC 認識的好朋友 Adli Wahid 也鼓勵我再參與 APRICOT ,可以認識更多不同的業者及觀察到更多與 APNIC 不同的面貌。
基於去年在 APNIC44 的經驗當我知道 APRICOT 2018 辦在尼泊爾時,我想,我一定要去。幾經波折,我終於成功到達加德滿都,也擁有了令我難忘的經驗。

在寫自己的心得前,先翻譯一下關於 APRICOT 2018 報告中的相關數字:
  1. 報名人數:1,020人
  2. 經濟體系代表:64個
  3. APNIC 成員組織代表:247個
  4. 現場參與:752人(已扣除APNIC 職員)
  5. 透過 Adobe Connect遠端參與者:71人(依據Adobe Connect 提供的數據,計算不重覆的 IP 並已排除現場參與者、 APNIC 職員)
  6. 透過 YouTube 遠端參與者:1,589 個觀看數;共被瀏覽了 12,998 分鐘
  7. #APRICOT2018 的tweets數:931筆(談論數)

參與 FIRST TC Plenary

在24日的早上,我參與了「FIRST TC Plenary」,最吸引我的是上午的「CSIRT PLAYBOOK — Scaling your Security Monitoring to Protect large enterprises.」
Elements inside the CSIRT Playbook

台灣有 TWCERTTWNCERT 也有 TWCSIRT ,規模不同。這個場次則是與大家分享關於 CSIRT (註2) 如何協助大型企業規劃、制定和監督資訊安全緊急事件回應的Playbook (直譯為遊戲書可能無法引起共鳴,但也不是操作規範,所以保留原字)。

我認為不同規模的公司應該都要有自己的「資訊安全因應事件」程序手冊,並且透過演練、教育訓練等方式讓公司的人員建立並強化資訊安全保護及如何處理資安事件的意識。

台灣與其他國家不同的地方在於台灣的 CSIRT 或是 CERT (註3) 似乎變成了單向訊息發送的單位,也許是因為平時都參與商業意味較濃厚的資安年會,所以大多會注意到防毒軟體公司或是網路服務的相關業者所提供的年報或攻擊事件報導,台灣的 CSIRT 和 CERT 在國際上並不是沒有貢獻,他們也會分享資料並與其他國際單位交流,只是相對於亞洲其他國家的 CSIRT / CERT ,我所聽到的音量反而較為微弱。

從政策擬定之初就參與討論的業者們

我參與的場次大多都是政策討論為主,這次討論的提案有 4 個,延續去年在台中 APNIC44 的提案
  1. 提案-123:修改 103/8 IPv4 轉移政策
  2. 提案-120:最後/8 位址池耗竭計劃
  3. 提案-119:臨時轉讓
  4. 提案-118:APNIC 區域自由(轉讓)政策
這些提案也不是在當下就在討論的,而是透過SIGs (Special Interests Groups) 群組討論,然後在 APRICOT / APNIC 的政策會議上提案。在討論這些政策時,就不是政策制定者關起門來討論了。由於 APNIC 的網路政策只要一達到共識就會實施,所以相關的利害關係人一定會參與討論,不論是透過現場或是線上參與,大家都會遵循議事規則來討論,而且因為本身就是在產業,這些政策的實施都會影響到收益,所以對於討論政策的脈絡都相當清晰,提出數據與估算影響層面,不會讓政策含糊過關,或是講出「因為它很重要,所以它是關鍵基礎設施」這樣的話語。

台灣政府對於通訊、網路、纜線等基礎建設的態度在管制、保護、特許的成份居多,還有各地方也有不同的法規限制,所以廠商在這方面能施力的部份較不容易。但若要談論「數位經濟」,這些都算是數位經濟的基礎,如果這部份弱化,我們所談的數位經濟都只能算在應用層上空談,沒有穩定、強而有力的基礎,是不可能有繁榮的數位經濟前景。當國內相關廠商無法參與這些基礎的網路政策時,我們談電子商務、跨境服務,還會受限於國與國之間的貿易協定、貿易法規、外交政策。而台灣的情況更特殊的一點時,當我看到國際網路服務供應商、交換中心的業者在這裡交流、參與亞太區的網路政策討論時,幾乎鮮有台灣其他的業者參與討論,當然也有可能是國外的服務商以亞太地區代表為主參與討論。

台灣在討論所謂的「網路政策」多是討論在應用層面,且過度窄化在零售的電子商務平台,而這些業者、立法人員、政策制定人員缺乏對網路政策、市場發展、國際情勢與議題前因後果的了解,又受限於政黨意識、派系區隔造成相關的立法或規範只成了他們個人職場生涯的 KPI ,更可能造成壓抑市場自由發展而非有利於市場生態多樣性的局面。
註解:
  1. APNIC:Asia-Pacific Network Information Centre,亞太網路資訊中心
  2. CSIRT:Computer Security Incident Response Team,網路(電腦)安全事變應變中心
  3. CERT: Computer Emergency Response Team,網路(電腦)危機處理中心
參與 APRICOT 2018 心得連結:(1)、(2)(3)(4)
Labels:

留言

發佈留言

請勿匿名留言,待審核後才會出現。

此網誌的熱門文章

讀歐盟「數位服務法」和「數位市場法」草案心得

作者:
在 3 月 24 日時參與了 台灣網路講堂 所舉辦的 活動 ,這個活動是以在台灣較知名的美國 Parler 案為題,來討論歐盟的「數位市場法」 (Digital Market Act. 簡稱 DMA ) 對於「守門人」(Gatekeeper) 平台的管制,並邀請了從競爭法、經濟學、公平會、傳播及科技法律不同角度的講者來討論這個議題。 受限於時間,講者們只能把不同角度的重點讓參與者了解,事後再看 DMA 時,才了解並不是只有單純只對守門人做規範,而是從整個歐盟打算將會員國打造成「數位單一市場」(Digital Single Market)的整個脈絡,並從其發展資料經濟 (Data Economic)所發展不同階段的相關政策、指令與法律,而主管 (也是當天活動的引言人) 也提醒,還可以自歐盟在 2018 年 5 月正式執行的「一般資料保護規範」(General Data Protection Regulation,簡稱 GDPR) 觀察,歐盟當局不是只有外表看到的禁止、設限,更重要的,它是希望藉由明確的「法遵」 (Compliance) 要求,建立一個健全、具有發展與競爭機會的數位經濟市場。 這些法遵要求不論是對歐盟會員國境內發展數位服務的廠商、中小企業、不同規模的平台,到跨國企業進入歐盟市場發展,除了要面臨相關的市場調查外,也同樣要遵守。 如果無法看整個歐盟的數位單一市場發展,應該要了解 DMA 其實是「The Digital Services Act package」的法案之一,另一個則是「數位服務法」 (Digital Service Act. 簡稱 DSA ) ,DSA 規範了不同規模的「線上中介產業」 (online intermediary) 該做的事及責任,而 DMA 則是針對法案草案中所規範的守門人更加上了「義務」(Obligation)。由於台灣網路資訊中心已在其部落格中有整理相關的 摘要 ,且台灣網路堂也會公布當天活動的錄影,所以在這篇文章就不再解釋 DSA 和 DMA ,有興趣的人可以自己再去閱讀兩個法案的草案內容,歐盟執委會也有整理許多相關的問答在其網站中,十分好閱讀。 DSA、DMA 與歐盟其他法案的關係 在歐盟執委會網站中有提到,DSA  是一個水平的計劃,重點關注線上中介業者對第三方內容的責任,網路用戶的安全或對信息社會的不同提供者...
發佈留言
閱讀更多

哪個應用、服務、平台可以代表台灣?

作者:
大概 2003、 2004 年,我還是個大學生,那個時候「電子商務」是一門選修課,那個時候台灣還在所謂的電子商務泡沫化中復甦,很多熱極一時的「電子商務」就像今天大家看到的 FTX 事件一樣,一點都不真實,很多執行長、總裁瞬間就失業了,也有很多投資人的錢拿不回來。 看過歷史上的鴻源事件、經歷過電子商務的虛無飄渺時期,再看到 FTX,其實也不會太驚訝。通常泡沫消散後,未來才會到來。 回到大學課堂,穿著輕便但言語犀利的老師談到當時的 Amazon 網路書店,他問大家對 Amazon網路書店的看法,那時的Amazon一直被看壞,所有的媒體都不看好它。甚至會有各種市場傳言,覺得 Amazon會被賣給哪家公司或哪家公司、網路書店會主動併購它。 最後老師說,不會,Amazon書店不會那麼輕易就垮掉,它有其代表的意義。 這個答案給了我很深的印象,我常會問自己,台灣有哪個服務會具有這樣的意義? 偶爾我會問身邊的朋友、同事,對於台灣的哪個服務,會覺得有不能輕易垮掉、要支持它的?我列一下自己所接觸過的,這個世代的應用: 通訊服務:ICQ、MSN Messenger、LINE、Cubie Messenger(台灣,已無服務)、Google Talk、WhatsApp、Telegram、Skype、Signal,還有一些台灣可能較少聽到。 社群平台:Twitter、Facebook、LinkedIn、無名小站(已停止服務,它雖然是Blog,但比較像社群)、Plurk、PTT、Dcard、Instagram、AKASHA、Pinterest Blog平台或架站:Blogger、Wordpress、Drupal 共享書籤 : HemiDemi(已沒有提供書籤服務)、美味書籤delicious 叫車服務:UBER、55688 、呼叫小黄、LINE Taxi、yoxi  當然還有很多是我沒接觸過的,請原諒我的見識不夠廣泛,忽略了哪一個平台、應用或服務。一時想到的大概就這些。有一些服務已經消失或在被併購後就消失了,我也忘了名稱,至於 TikTok 和小紅書,是我不想碰觸的應用服務。 在韓國有 Kakao,日本有 LINE、PayPay,東南亞國家有Grab,中國有自己的網路應用,那台灣呢?之前 KaKao 中斷服務,造成民生應用的線上服務也幾乎中斷,過度集中依賴在一個服務上的確是一個缺點。在和...
發佈留言
閱讀更多

歐盟 AI Act 2026 年 5 月進度整理

作者:
台灣有不少企業直接在歐盟市場做生意,或是與歐盟企業有供應鏈往來。只要產品或服務觸及歐盟,AI Act 的規範就可能適用,這件事與台灣企業的距離很近,而今年5月是AI Act進度發展密集的一個月,值得整理一下發生什麼事。 AI Omnibus 修正案:從提案到5月協議 AI Omnibus 修正案 (一攬子修正案,以下簡稱Omnibus )是指把多項修正打包成一個法案同步處理的立法方式。這次的 AI Omnibus,是《AI Act》2024年正式生效以來的首次實質修正。 它的起點在2025年11月。當時歐盟執委會(European Commission)提出修正提案,認為《AI Act》中的高風險 AI 的法遵負擔過重,有必要調整期限並減輕中小企業壓力。歐盟理事會(Council of the European Union)與歐洲議會在2026年3月分別通過各自的談判立場,三方協商正式展開。歐盟理事會與歐洲議會在5月7日凌晨達成暫定協議,打包以下2項修正: 時程延後: 就業審查、執法、信用評分等領域的AI系統( Annex III ),遵法的截止日從2026年8月延到2027年12月;嵌入醫療器材、機械等產品的AI( Annex I ),則延到2028年8 月。 新增禁令: AI生成非自願性親密影像(俗稱AI裸化應用),以及生成兒童性剝削內容的AI系統,2項均在2026年12月生效。 這份協議目前仍是暫定協議,需要歐洲議會全體投票與理事會正式採納,預計2026年6至7月完成。 行程緊湊的歐盟AI Office Omnibus 協議簽完,歐盟AI Office在5月做2件事: 透明度義務指引草案(5月8日): 歐盟執委會就《AI Act》第 50 條的 透明度義務公開徵求意見 至6月3日。這份指引將規範「互動式 AI 系統必須主動告知使用者正在與 AI 互動,生成式 AI 的內容也必須植入機器可讀的浮水印」,這項義務沒有延後,依然在2026年8月2日生效,距現在只剩10週。 高風險AI分類指引草案(5月19日): 148 頁的草案出爐,涵括生物辨識、教育、就業、基本服務、執法、移民、司法等7大領域,逐一說明什麼樣的AI系統會被認定為高風險。「 高風險AI分類指引草案 」公開徵詢意見至6月23日。這份指引原定2月發布,實際延遲整整3個月才出來。但歐盟 AI Of...
發佈留言
閱讀更多