參與 APrIGF 2019 的會後感想

從Vladivostok回來後，花了一些時間完成了我的出國報告。

感謝 TWNIC 讓讓我以國際事務委員的身份參與 APrIGF 2019 ，等到他們把報告公開在網站上後，才能公開發表自己的心得。

如果想要了解這次的會議裡談論了哪些主題、我個人參與了哪些討論會，可以參考大會的網站和我的出國報告，我會在文章之後附上連結。

這一篇其實是我個人與會的心得，很多事因為已寫在公開的出國報告裡，所以不再重複。

關於 Cyber Norm(s)

這次參與了討論亞洲區的 Cyber Norm。因為簽證的因素，所有的參與者只有我一個人在現場，其他都是透過網路會議與現場參與者交流，然而討論的主題其實是台灣至今都無法參與的，UNGGE 的 Cyber Norms。在這裡先向大家道歉，我實在找不到更適合的中文來描述Norm這個字，如果用了「規範」，大家可能會想到「Regulation」，但Norm並不具有約束力，在性質上，也許比較接近我們所謂的「常識」。

在開幕大會的空檔，遇到 NetMission 的參與者，裡面剛好有台灣人，於是我們討論起「台灣有沒有Cyber Norms？」

其實是有的，我們會提醒每個網路使用者不要亂點訊息中的連結、傳播任何消息之前都要先查證、不要在網路上言語的人身攻擊或是霸凌⋯⋯等，這些幾乎都是網路使用的常識，有些是政府或是相關單位宣導的，有些是資安公司、顧問公司的報告中所列出的，另外像是「Recommendations for human rights based approaches to cybersecurity」這份文件，也是一份Cyber Norm。

在APrIGF 2019中，這個場次的主持人 Bart Hogeveen 也提供了一份 Cyber Norm，同時我也自己簡單的附上翻譯：

1. Interstate cooperation on security 國與國之間在安全上的合作
2. Consider all relevant information 考慮所有的相關資訊
3. Prevent misuse of ICTs in your territory 避免在自己領土上誤用資訊通訊科技
4. Cooperate to stop crime and terrorism 合作停止犯罪與恐佈主義
5. Respect human rights and privacy 尊重人權與隱私
6. Do not damage critical infrastructure 不要破壞關鍵基礎設施
7. Protect critical infrastructure 保護關鍵基礎設施
8. Respond to request for assistance 回應援助的請求
9. Ensure supply chain management 確保供應鏈管理
10. Report ICT vulnerabilities 報告資通訊科技漏洞
    
11. Do not harm to emergency response team 不要傷害緊急應變團隊

大家花費較多的時間在討論：(1) 誰有資格參與制訂 Norms？(2) 如何執行Norms？所以其實沒有什麼機會討論上述的11條Norms。

然而這兩個問題，包括 ICANN 的 Joyce Chen 問了另一個問題「Does norm have teeth？」這三個問題反而是最根本的問題。

UNGGE的成員可能是政府代表，但有些政府代表並不理解網路技術、環境和運作的方式，如果由政府制訂 Norms，那麼政府會為了執行它、讓它具有效力與威嚇力，而設下了罰則，它可能是我們所知道的規範 (Regulation) 或法律 (Law)，例如台灣的資安法，在各界要求取消罰則的聲音下，台灣政府還是設下了罰則。相反的，如果 Norms 不具有法律效力，對於部份利益優先的業者、網路使用者，可能就完全不當一回事，在個人利益優先的情況下，他們可能會做出有利於自己而傷害他人的行為。

在2018年的聯合國IGF裡，網路安全工作小組便提出了「Cybersecurity Culture, Norms and Values 」，這份文件裡就談到了不少相關的框架，在2019年則會討論「Cybersecurity Agreements」。

網路治理論壇不是研習會

網路治理論壇 (IGF) 是一個意見交流平台，它不是政策決議的地方，但有機會影響網路政策的發展。

網路治理論壇並不是做決議的場合，但絕對是一個讓各個利害關係人參與、門檻也最低、最容易理解「多方利害關係人機制」的最佳的平台。前面提到的各種會議，都是技術性質含量相當高的政策會議，評估影響層面、討論到可行性，而 IGF 還會討論到經濟、社會、文化、習俗、人權。就算不是技術人員都可以參與甚至發起討論。自己國家的網路治理議題若是提到區域層級，就會到如 APrIGF 或是 EuroDIG 來討論，甚至到聯合國IGF討論。例如今年在APrIGF 裡就討論的人工智慧的應用、如何讓人工智慧運用在包容性創新、職業道德是否能透過教育來完成、IPv6 推廣經驗的分享⋯⋯這些可以是區域性議題甚至是全球議題，自然就很適合在這些場合裡討論，所以只要是與網路政策有關的，能到區域層級或國際層級，都很適合提出來與其他國家交流。

ICANN、RIRs、NIRs、LIRs的會議才是網路政策決議的地方，IETF是網路技術與標準討論的會議。以台灣來舉例，每年TWNIC會舉辦兩次的公開政策會議(Open Policy Meeting, 簡稱OPM)，TWOPM 就是NIR層級的網路政策會議，而這樣的會議所提出的建議，如果會影響到亞洲區，那就需要再透過RIR會議討論，例如APNIC、RIPE NCC的政策會議；同樣的，若是發現這個政策建議會影響到全球網路資源分配時， NRO/ASO 評估後再送至 ICANN 討論，在經過相當仔細且冗長的全球代表討論後，達成共識才會成為最終的網路政策。

國際交流不是只有在當下

這對習慣使用中文交流的台灣人而言其實是很吃虧的，尤其是在提案時。台灣有台灣特殊的網路環境，雖然很自由，但我們還是把自己鎖在這個島上。在亞洲區有兩個網路治理相關的教育組織：APIGA 和 APSIG，分別在南韓和泰國，不過 APSIG 明年將在尼泊爾舉辦。這兩個組織其實也是人們互相建立、提案人脈的來源。有不少提案人員是在 APIGA 或 APSIG 認識的，在向 APrIGF 提案時也能增加參與成員背景的多元性，也能顯示出議題是具區域網路治理層級討論價值的。

也許是習慣被動的接受資訊，又或許是因為網路環境自由，其實台灣人不會主動去找尋相關的資訊，或是參與這樣的活動，自然在提案成員上比較單調，甚至很難找到符合多方利害關係人條件的討論主題與參與者，有些人則誤會把IGF當作是展示自己研究報告的場合。

如同前面提到的，ICANN、RIRs、IETF的會議才是網路政策決策的地點，但 IGF 會是一個各方交流的平台，相較於嚴肅的政策與技術標準平台，IGF 應該是更容易交流、討論的平台，最重要的，它提供了一個地方讓不同的、相反的觀點能提出來公開討論，雖然有些人的表現似乎誤會IGF是政策決議的場合。

IGF 提供了「討論、交流」，也有可能在其中討論出可行性高且包容更多聲音的Norms，而這也是一個很棒的國際交流平台，它需要長時間的參與，而不是去打卡到此一遊而已。

APrIGF 2020

APrIGF 2020 將和 APSIG 合辦，地點在尼泊爾的加德滿都。由於七月是尼泊爾的雨季，為了交通安全，MSG成員們決定提前到明年五月舉辦。尼泊爾的成員們在整個 APrIGF 裡是相當積極的，政府也樂意配合、支持。尼泊爾當地也有相當有活力的 Open Knowledge Foundation Nepal；我在參與 APRICOT 2018 時，也有一些傑出的網路普及的基礎建設的方案。

還記得2018年，我多請了幾天假，在 APRICOT 後住到 Boudhanath 附近。在民宿樓下與老闆一起看著 Boudhha 大佛塔旁的大雷雨，我的網路、民宿的網路似乎因大雷雨完全掛掉了。我們站在屋簷下，看著大雨。

年輕的老闆說：This is Nepal.

我則笑說：It’s OK. Everything will get better.

他質疑著，我想想這幾年所觀察到的 Nepal，相信它會更好的。

---

相關的文件連結：

• APrIGF 2019 會議網站：https://2019.aprigf.asia 或 https://aprgif.ru
• ICANN、RIR、IETF⋯⋯等縮寫，請各位參考 IGBook 101 
• TWNIC 的 出國報告列表頁面，建議大家多看看 TWNIC 其他國際會議的出國報告
• 聯合國 IGF 2018 年在網路安全討論文件：Cybersecurity Culture, Norms and Values (PDF)
• 聯合國 IGF 2019 年在網路安全討論文件：Cybersecurity Agreements (PDF)
• Recommendations for human rights based approaches to cybersecurity
• 網路治理的教育資源整理在：網路治理相關學習資源
• 相關會議的補助資源整理在：參與會議補助資源