Taiwan v.s. UNIGF - IGF 2023

 

Image by Thanapat Pirmphol from Pixabay

為了避免文章太長，我把一些前一篇文章的細節挪到這篇文章來寫。

Code is Law &  Code of Conduct

我其實沒有讀完 Code 2.0，但常聽到別人解釋裡面「 Code is Law」。我自己的解讀很簡單，在網路世界裡，一切都是由程式碼堆積而成的，網際網路裡的協議，也都是由程式構建而成的，程式碼(Code)就是這個世界運作的規則。

「Code of Conduct 」有各種翻譯，普遍譯為「行為守則」，像是一個組織、董事會對成員的要求行為標準，像是公司要求自己員工的行為規範，它由文字組成，用一點想像力，就是人們行為的程式碼，只是它像是一個尺度，行為不要超過、違反守則裡的要求。

當很多場次在討論如何治理AI時，我反而覺得前述的兩個觀念是一致的。

用一點想像力吧！

避免「網路碎片化」是必要的

在2018、2019年時討論「網路碎片化」(Internet Fragmentation)時，多是在網路安全領域，更著重於基礎網路通訊設施的維護，從海纜、路纜、衛星、資料中心、交換中心、干預網路數字資源、(國家)域名的分配...等，到2021年時的相關討論都還是著重於呼籲網路設施，也很難讓一般沒有技術知識的網路治理論壇參與者很難加入討論。網路治理論壇的成員來自於不同領域，有些可能是政策制定者、有些可能是人權團體的學者或倡議者，有些可能是某個領域的學者，不見得擁有網路基礎建設的知識，所以在這類的討論多半都是技術團體。

直到2022年俄烏戰爭爆發，讓戰爭從實體打到網路和通訊上，再加上外國的衛星網路通訊設備支援其中一方，愈來愈多政府以維護國家安全穩定為由實施中斷網路通訊(Internet Shutdown, 斷網)，也有的政府開始要求網路中介服務者對使用者提供的內容負責、避免不實資訊或恐怖主義透過網路傳遞、於是「網路碎片化」在2022年的 IGF 討論更多樣化。儘管還是有學者堅持「網路碎片化」是在討論維護網路基礎設施，但也擴充至使用者經驗、斷網、網路制裁等相關討論。到了2023年，在多場網路碎片化的相關討論裡，我只參與了一場，在會議的一開頭，一樣也是困在了定義的迷宮裡。

在許多講者們糾結於定義時，我想到在整個網路發展過程，也推動人民藉由網路參與政治、發表意見，資訊也更為公開，取得資訊的方法更多、門檻更低，也讓知識可以更為普及，後續還推動公開政府資料、人民可以透過網路提供意見、也因為公開政府資料、開放資料，減少資訊不對稱，讓人民可以監督政府，真正還權予人民。

又如在俄烏戰爭開始時，有些跨國網路服務、媒體服務中斷其在俄羅斯的服務，這也讓人權團體在2022年的 IGF 裡提醒每個參與者，中斷這些服務，反而更容易讓俄羅斯政府利用此點傳輸不實資訊給俄羅斯的人民，而接收資訊的人民無法查核事實，就不知道真正的情況是什麼。

先不談論資訊不對稱或是網路碎片化這些術語，只要想一想網際網路賦予人民的權力，就要想想以往高高在上的政府，就該畏懼這樣的力量。

台灣需要明確的資料外洩事後補救措施指引或規範

這件事一直都放在心裡，因為一直都很不明確，直到昨天聽到了中國式網路治理，強調資料的所有權人是政府時，我在社群平台上自言自語 CCPA 和 GDPR 關於資料所有權的擁有者其實是人民，瞬間了解，儘管台灣有個人資料保護法，但台灣沒有對應的資料與隱私保護的指引或規範，讓人民曝光在資料外洩、身份被盜用的風險中。身為台灣人，沒有辦法強調台灣政府如何讓人民在身份資料外洩時擁有相對應的支持措施，只能想想美國、歐盟的政策時，我自己都覺得諷刺。

在2023年5月時，台灣個人資料保護法的主管機關已確定為「個人資料保護委員會」，但在一連串政治人物的誠信事件後，什麼時候確定有這個委員會？如同該法規內容寫的：「※本法規部分或全部條文尚未生效，最後生效日期：未定」，這也讓我對醫指付資料外洩事件，到底要由哪個主管機關處理？在劃分權責時的多個部會踢皮球，而使用者繼續曝露在風險下，感到無奈(雖然最後金管會出來處理，但資料外洩是要馬上處理，而不是等到事情發生一段時間後才處理)。接下來又要選舉了，不知道在選舉過後會有什麼改變？能否在選舉前成立此單位？都成了未定，但可以確定的是，未來相關的事件都會由這個委會員處理，就像數位部在成立時，許多部會就把網路相關的事務主動挪移到數位部。

因為沒有相關的政策，所以很多民間企業並不是太把會員資料當做一回事。今年台灣發生了大大小小的資料外洩事件，像是先前寫過的租車公司資料外洩事件、最近確定的台灣戶政資料外洩且在暗網販售的事件，事情發生了，也確定二千多萬筆，相當於台灣全民都面臨身份被盜用的風險？例如可能莫名其妙的背上了一條債務或是要貸款時發現自己信用不良，或是家人們被詐騙、有人用你的個人資料去參與線上博弈、借貸擔保...等，都沒有任何補救措施，也缺乏與身分識別相關的應用配套規範。

在前篇文章裡提到今年在 BPF Cbyersecurity 裡寫了關於澳洲 Medibank 的資料外洩事件。Medibank 是澳洲一家保險公司，除了擁有澳洲多數人民的保險資料外，也有許多外籍人士、原著民的保險資料。在2022年10月時得知有200份保單資料在暗網中販售，而展開了調查和相關的行動，例如協助客戶如何避免身分被竊取、公布調查時程與進度、成立協助的專線、配合澳洲個資保護機構(OAIC)的調查...等。

在台灣就沒有相關的調查進度報告，也不知道如果有人身份被竊取要怎麼處理。台灣人在這方面樂天的，就是反正已經公開了就沒有秘密了。但如果一個人等到身份被竊取了才有所行動，要再取回自己的身份，要向銀行、醫院、外界證明「我就是我」，會變成非常困難的一件事。

這些事後補救的指引包含了如何通知受害者、支援的措施、補救的措施、公開調查進度與事發原因...等。如果政府相關部會願意提供一個指引讓面臨資料外洩的公司、因資料外洩影響生活的人民可以遵守、找到支持的措施，就不容易落入各方受重大損失的局面。

儘管台灣的網路治理論壇可以討論全世界的網路治理議題、帶進各國網路治理的重要人士參與討論，但台灣人無法解決自己網路治理上的問題，就算有個公開平台，也不願面對現實。如同有次我在聽某個演講，許多專家們在討論現在的法規如何處理數位的議題時，有個專家則提到自己國家關注的，與其關注那些數位平台的議題，自己的國家關注於如何解決切身的民生問題。

反正，台灣最美的風景是人，台灣是民主國家，台灣人民選出自己的總統，有自己的政治結構，萬歲。

就寫到這裡，反正，每個人都能過日子比較重要。