跳至主要內容

Taiwan v.s. UNIGF - IGF 2023

 

Image by Thanapat Pirmphol from Pixabay

為了避免文章太長,我把一些前一篇文章的細節挪到這篇文章來寫。

Code is Law &  Code of Conduct

我其實沒有讀完 Code 2.0,但常聽到別人解釋裡面「 Code is Law」。我自己的解讀很簡單,在網路世界裡,一切都是由程式碼堆積而成的,網際網路裡的協議,也都是由程式構建而成的,程式碼(Code)就是這個世界運作的規則。

「Code of Conduct 」有各種翻譯,普遍譯為「行為守則」,像是一個組織、董事會對成員的要求行為標準,像是公司要求自己員工的行為規範,它由文字組成,用一點想像力,就是人們行為的程式碼,只是它像是一個尺度,行為不要超過、違反守則裡的要求。

當很多場次在討論如何治理AI時,我反而覺得前述的兩個觀念是一致的。

用一點想像力吧!

避免「網路碎片化」是必要的

在2018、2019年時討論「網路碎片化」(Internet Fragmentation)時,多是在網路安全領域,更著重於基礎網路通訊設施的維護,從海纜、路纜、衛星、資料中心、交換中心、干預網路數字資源、(國家)域名的分配...等,到2021年時的相關討論都還是著重於呼籲網路設施,也很難讓一般沒有技術知識的網路治理論壇參與者很難加入討論。網路治理論壇的成員來自於不同領域,有些可能是政策制定者、有些可能是人權團體的學者或倡議者,有些可能是某個領域的學者,不見得擁有網路基礎建設的知識,所以在這類的討論多半都是技術團體。

直到2022年俄烏戰爭爆發,讓戰爭從實體打到網路和通訊上,再加上外國的衛星網路通訊設備支援其中一方,愈來愈多政府以維護國家安全穩定為由實施中斷網路通訊(Internet Shutdown, 斷網),也有的政府開始要求網路中介服務者對使用者提供的內容負責、避免不實資訊或恐怖主義透過網路傳遞、於是「網路碎片化」在2022年的 IGF 討論更多樣化。儘管還是有學者堅持「網路碎片化」是在討論維護網路基礎設施,但也擴充至使用者經驗、斷網、網路制裁等相關討論。到了2023年,在多場網路碎片化的相關討論裡,我只參與了一場,在會議的一開頭,一樣也是困在了定義的迷宮裡。

在許多講者們糾結於定義時,我想到在整個網路發展過程,也推動人民藉由網路參與政治、發表意見,資訊也更為公開,取得資訊的方法更多、門檻更低,也讓知識可以更為普及,後續還推動公開政府資料、人民可以透過網路提供意見、也因為公開政府資料、開放資料,減少資訊不對稱,讓人民可以監督政府,真正還權予人民。

又如在俄烏戰爭開始時,有些跨國網路服務、媒體服務中斷其在俄羅斯的服務,這也讓人權團體在2022年的 IGF 裡提醒每個參與者,中斷這些服務,反而更容易讓俄羅斯政府利用此點傳輸不實資訊給俄羅斯的人民,而接收資訊的人民無法查核事實,就不知道真正的情況是什麼。

先不談論資訊不對稱或是網路碎片化這些術語,只要想一想網際網路賦予人民的權力,就要想想以往高高在上的政府,就該畏懼這樣的力量。

台灣需要明確的資料外洩事後補救措施指引或規範

這件事一直都放在心裡,因為一直都很不明確,直到昨天聽到了中國式網路治理,強調資料的所有權人是政府時,我在社群平台上自言自語 CCPA 和 GDPR 關於資料所有權的擁有者其實是人民,瞬間了解,儘管台灣有個人資料保護法,但台灣沒有對應的資料與隱私保護的指引或規範,讓人民曝光在資料外洩、身份被盜用的風險中。身為台灣人,沒有辦法強調台灣政府如何讓人民在身份資料外洩時擁有相對應的支持措施,只能想想美國、歐盟的政策時,我自己都覺得諷刺。

在2023年5月時,台灣個人資料保護法的主管機關已確定為「個人資料保護委員會」,但在一連串政治人物的誠信事件後,什麼時候確定有這個委員會?如同該法規內容寫的:「※本法規部分或全部條文尚未生效,最後生效日期:未定」,這也讓我對醫指付資料外洩事件,到底要由哪個主管機關處理?在劃分權責時的多個部會踢皮球,而使用者繼續曝露在風險下,感到無奈(雖然最後金管會出來處理,但資料外洩是要馬上處理,而不是等到事情發生一段時間後才處理)。接下來又要選舉了,不知道在選舉過後會有什麼改變?能否在選舉前成立此單位?都成了未定,但可以確定的是,未來相關的事件都會由這個委會員處理,就像數位部在成立時,許多部會就把網路相關的事務主動挪移到數位部。

因為沒有相關的政策,所以很多民間企業並不是太把會員資料當做一回事。今年台灣發生了大大小小的資料外洩事件,像是先前寫過的租車公司資料外洩事件、最近確定的台灣戶政資料外洩且在暗網販售的事件,事情發生了,也確定二千多萬筆,相當於台灣全民都面臨身份被盜用的風險?例如可能莫名其妙的背上了一條債務或是要貸款時發現自己信用不良,或是家人們被詐騙、有人用你的個人資料去參與線上博弈、借貸擔保...等,都沒有任何補救措施,也缺乏與身分識別相關的應用配套規範。

在前篇文章裡提到今年在 BPF Cbyersecurity 裡寫了關於澳洲 Medibank 的資料外洩事件。Medibank 是澳洲一家保險公司,除了擁有澳洲多數人民的保險資料外,也有許多外籍人士、原著民的保險資料。在2022年10月時得知有200份保單資料在暗網中販售,而展開了調查和相關的行動,例如協助客戶如何避免身分被竊取、公布調查時程與進度、成立協助的專線、配合澳洲個資保護機構(OAIC)的調查...等。

在台灣就沒有相關的調查進度報告,也不知道如果有人身份被竊取要怎麼處理。台灣人在這方面樂天的,就是反正已經公開了就沒有秘密了。但如果一個人等到身份被竊取了才有所行動,要再取回自己的身份,要向銀行、醫院、外界證明「我就是我」,會變成非常困難的一件事。

這些事後補救的指引包含了如何通知受害者、支援的措施、補救的措施、公開調查進度與事發原因...等。如果政府相關部會願意提供一個指引讓面臨資料外洩的公司、因資料外洩影響生活的人民可以遵守、找到支持的措施,就不容易落入各方受重大損失的局面。

儘管台灣的網路治理論壇可以討論全世界的網路治理議題、帶進各國網路治理的重要人士參與討論,但台灣人無法解決自己網路治理上的問題,就算有個公開平台,也不願面對現實。如同有次我在聽某個演講,許多專家們在討論現在的法規如何處理數位的議題時,有個專家則提到自己國家關注的,與其關注那些數位平台的議題,自己的國家關注於如何解決切身的民生問題。

反正,台灣最美的風景是人,台灣是民主國家,台灣人民選出自己的總統,有自己的政治結構,萬歲。

就寫到這裡,反正,每個人都能過日子比較重要。

留言

此網誌的熱門文章

為什麼我支持《數位中介服務法》草案

在經歷許多次反抗台灣政府所立的網路相關法案後,我其實沒想過除了《數位通傳法》草案外,我還會再支持另一部法律草案,雖然 《數位通傳法》草案還壓在某處,但如果有人讀過《數位通傳法》的草案,再讀這部《數位中介服務法》草案,就會知道這部草案的重要性,而且也可以顯示台灣網路使用者的成熟度,更重要的,這是我第一次看到引入國際網路治理多方利害關係人機制的法律草案,而且是用在正確的地方。 有興趣想知道我在讀法條時的筆記和當下的感想,可以看我這則  Tweet 。這篇不使用逐條讀法條的方式來寫,因為那會讓人昏昏欲睡,我也不去比對歐盟《數位服務法》,因為我在讀《數位服務法》草案時,該草案特別強調是加強歐盟 E-Commerce Directive  ,而不是取代它,而且更多著重在預防盜版、仿冒,保護消費者的法案。所以當有輿論提到參考自《數位服務法》的《數位中介服務法》草案限縮言論自由時,我其實是一頭問號的,但一直到今天我才有時間讀《數位中介服務法》草案,這篇文章出自於我的個人經驗和閱讀法案的心得,與擔任的職務無關。 如果最近注意一下網路的資訊,有幾件事該注意一下: 有許多人在社群平台,如Facebook或是其他網路看到一些廣告,而這些廣告可能是要你支持台灣農產品、台灣製的產品,結果你收到時,上面還寫著簡體字,通常這是所謂的一頁式廣告詐騙,而行政院的消費者保護會在 2019 年時就有新聞稿在警告「 一頁式廣告詐騙多 小心查證保障多 」,之後像公視或是其他單位都有相關的活動在提醒大家小心這類廣告。但目前這些廣告其實多數不易處理,因為不容易取證、保留證據,等到追查到時已經找不到對方了。 有不少親密照片與影片在情侶分手後,被報復性的上傳到情色網站或透過即時通訊傳到親友的帳號裡,或是被洩露個資,遭到公開的霸凌。 之前有一個專題:「 青春煉獄:網路獵騙性私密影像事件簿 」,光是讀完這個專題報導我就覺得受傷。 有人使用 Deep Fake 把台灣名人的臉部照片合成至色情影片再上傳至色情影片平台,今年 7 月才被判刑。 還有許多創作者藉由網路分享作品時,被人盜用,甚至有國外的使用者修改台灣人的作品去參與比賽還獲獎。 有一次打電話問某個部會,如果消費者在國外電子商務平台買東西,但資料被外洩怎麼辦?雖然政府願意協助,但衡量至國外打官司的時間和成本,就會讓人卻步。 有些行為在現實世界裡有法...

To Regulate or Not to Regulate? About AI technology

I borrowed the title of the forum this afternoon . Actually, I attended two webinars about AI today.  One forum focused on the debate about regulating AI development in Taiwan. The discussion was fruitful, as the panellists shared their experiences and knowledge about different AI regulations across various countries. Besides Taiwan, they discussed the European Union, the US, Korea, and China. Korea, for instance, published their "Act on the Development of Artificial Intelligence and Establishment of Trust" (AI Basic Act) at the end of 2024. However, before this, the Korean government had already established good data governance through three essential acts: the Personal Information Protection Act, the Network Promotion Act, and the Credit Information Act. These laws, along with their MyData applications, built a strong foundation for strategies like the Data Dam, a centralized platform for securely collecting, storing, and processing large-scale data, which supports AI devel...

台灣成立個人資料保護委員會的重要性

我在2018年6月7日去聽 PChome 的詹宏志董事長的 演講 ,他在演講中提到過去PChome被 DDoS 攻擊的事件。當他知道公司網站受到攻擊時,他不知道該向誰通報,只好藉由他的人脈網來尋求協助,當然也取得協助,並在他的考量下,儘量降低對公司聲譽、消費者權利的風險。 台灣發生過的真實案例 當我聽到這個經驗後,心中一直有個疑問:「當大企業遇到 DDoS 時,有內部資安管理人員全力處理。但若中小企業遇到 DDoS 時,除多功能的資訊服務團隊外,又該如何應對?」  2007年的博客來網站因為金馬影展的售票資料庫因為人為疏失,造成大量個資外洩,但因為當時的《電腦處理個人資料保護法》(即現在的個資法)還不是很完善,所以對當時的博客來而言並未有很嚴重的懲罰。 之後隨著網路愈來愈普及,網站因遭受攻擊造成資料外洩的事情愈來愈多,從會員資料庫外洩到癱瘓公司系統甚至導致醫療系統或網站癱瘓。,大家也開始藉由網路媒體教學,當自己的資料外洩,或是私密影像被惡意傳播時,就會先去警局報警備案。 在台灣,因為各目的事業主管機關的權責範圍不同,在沒有成立數位發展部(數位部)前,網路商店發生資料外洩時,可能會先找經濟部、國家通訊傳播委員會(NCC);在成立數位發展部後,就把所有責任給數位發展部。讓我很感慨的是2023年的 醫指付個資外洩事件 ,就看著衛福部、經濟部、數位部、金管會四個部會互踢皮球,都不認為自己是應該負責的目的事業主管機關,最後由金管會處理。 歐盟GDPR實施後對全球企業的影響 台灣的人權團體長久以來不斷倡議台灣需要獨立的個人資料保護機構,這件事我一直都沒忘,甚至是在討論 《數位中介服務法》 草案時,這部法的草案已經將個人資料保護機構應做的事已規劃至其中。可惜的是因為政治操作,這部法案就被遺忘了。 我在 2022 年開始蒐集全球個資保護與隱私保護的案件及觀察全球人工智慧、個人資料法規發展,我觀察到,台灣與收集的案例的最大不同處在於,與其他國家比較,台灣沒有獨立的個人資料保護單位,自然當其他國家在談資料跨境傳輸協議、人工智慧發展政策與規劃時,台灣沒有對等的單位可以參與討論,也許數位部同時身兼這樣的角色,但就不是前段所提到的「獨立」的權責機關。 歐盟的GDPR自 2018 年 5 月開始實施後,許多國家開始思考擁有資料保護及所有權的重要性而紛紛立法外,GDPR也對全球企業造成很...