2016年全球數位政策發展之回顧與剖析(二)

Vincent Chen
早期創建及耕耘BITNET、TANet等學術網路建設(教育部),具公民草根意識,協助創立TWNIC(第一任執行長)、擔任.tw Manager及參與國際網路社群。隨後轉至大學資訊管理領域及軟體公司服務,並持續學習多元包容之網路治理政策。現任NII執行長。

本文接續上文《2016年全球數位政策發展之回顧與剖析(一)》,就下列全球議題進行回顧與剖析:

  • 六、DDoS攻擊導致IoT安全之更多關注
  • 七、AI帶來新的應用及顧慮
  • 八、永續發展及網路近用之持續政策討論
  • 九、資料外洩事件後之資料治理爭議
  • 十、隱私盾架構取代安全港協議

六、DDoS攻擊導致IoT安全之更多關注

發生事實

10月份,駭客利用智慧裝置進行了兩次大型攻擊。在第一次攻擊中,有超過一百萬個安控照相機、錄影機和其它物聯網裝置,發動DDoS攻勢,攻擊美國安全研究員和法國網路安全服務商。在第二次攻擊中,針對Dyn Inc.(大型DNS託管和提供頂級線上DDoS回應之服務商)的另一系列DDoS攻擊,使得許多服務(包括Twitter,PayPal,Reddit和Spotify)之DNS服務暫時無法使用,進而影響全球的網路流量。

為什麼重要

這些攻擊將物聯網安全問題更加突顯出來,因為只有少數製造商會採取積極措施,確保連接到網際網路設備的安全。雖然DDoS不是一種新型態的攻擊,但是從數百萬個不安全的連接設備,可以實現的攻擊規模是前所未有的。即使是具有所需技能和能量的機構和公司,也難以減輕遭受DDoS攻擊之威脅。

雖然DDoS不是一種新型態的攻擊,但是從數百萬個不安全的連接設備,可以實現的攻擊規模是前所未有的。

隨著強大的殭屍網路工具如Mirai公開源碼讓人使用,甚至一個僅具備基本技能的積極團體,也能針對任何機構發起毀滅性攻擊。關於IoT漏洞通常會在攻擊前幾個月即發出警告。

AT&T報告指出,採用物聯網技術的組織,需要更加關注相關的安全隱患;賽門鐵克於9月發布的研究也指出,物聯網設備被用於執行DDoS攻擊的案例日漸增加。為了應對這些攻擊,對供應商對其產品安全性責任之討論也有增無減,各該標準制定組織將會更聚焦於IoT安全標準的制定。

監管機構如何應對這些威脅?

  • 8月25日:美國國家標準和技術研究所(NIST)探索物聯網設備的輕量級加密(lightweight encryption)。根據NIST的研究指出,從桌上型電腦到小型裝置的轉變,帶來了廣泛的安全和隱私新問題。傳統的加密算法在小型設備上表現不佳,因為這類設備的運算資源有限,需要使用更合適的解決方案。
  • 9月14日:美國司法部(DoJ)召集了一個威脅分析小組,研究物聯網設備帶來的國家安全挑戰。該小組的目標是確保物聯網免受恐怖主義威脅和其他可能試圖的設備破壞,以造成生命損失或實現其政治或經濟利益。該小組旨在識別和解決物聯網在被利用之前提出警告的安全挑戰。
  • 10月5日:歐盟計劃提出物聯網設備安全之立法。立法要求技術公司須能滿足嚴格的安全標準,並通過認證過程來保證隱私。此外,鼓勵公司為已批准和安全物聯網設備開發一套標籤識別系統。
  • 10月19日:美國NTIA發起了關於物聯網安全升級和修補的多方利害關係人流程,目的是用於IoT裝置的安全可升級性,並用於將IoT設備的安全特徵,傳達給消費者的策略,並發展出安全可升級性廣泛的、共同的定義。最終目標是提高消費者的意識和理解,創造一個可提供更多支持安全升級的設備和系統的市場。
  • 11月10日:美國專家要求政府介入,以法規和公共政策的形式,提高物聯網的安全性。此類法規將涵蓋安全標準、互連操作性和軟體更新等要求。政府監管的支持者認為,科技公司最關心的是商業利益,並沒有足夠的動機去適當解決這個問題。然而另外需注意的是,物聯網是一個廣泛的概念,這一領域的任何監管都必須足夠廣泛,以涵蓋各個部門和產品的規範。
  • 11月16日:美國國會舉行小組委員會關於物聯網安全的聽證會。專家們強調網路連接設備安全性不足所帶來風險日益增加,並呼籲政府介入管理。

此議題對我國數位政策之意涵

IoT與DDoS這兩個詞,最近經常成雙成對出現,意即IoT設備已成DDoS攻擊的利器,而且愈來愈形嚴重。我國劵商近日亦經常遭受DDoS攻擊,我國製造的IoT設備在國外,亦經常被提及因安全顧慮遭受罰款及退貨等。

展望我國亞洲矽谷物聯網計畫開展後,不管國內智慧城市或物聯網應用場域、或IoT軟硬體相關產品銷售至國外,安全與隱私保護議題,將會如影隨形而至。大規模佈署IoT裝置之建置案,相關的資安檢測,包括韌體、系統及應用程式安全檢測等,都須建立相關規範,以確保大量IoT裝置之安裝,不會成為Botnet(殭屍網路)的溫床,成為種下全面資安漏洞的根本原因。

IoT對國家安全造成威脅的潛在風險,亦正逐步增溫中;因此除產業製造出口應更加重視安全設計(Security by Design)及遵守國際IoT安全規範外,應積極研訂各項安全升級及修補規範、指引規範,甚至IoT安全標準等,以滿足國際要求與規範等,對我國IoT產業之健康及蓬勃發展影響甚鉅。

另外DDoS攻擊的防禦措施,包括與ISP/IXP(網路交換中心)之Blockholing(黑洞防禦機制)及其它防禦措施。DDoS日趨猖獗,已對CIIP造成全面潛在威脅,如近日對金融機構、劵商、電信基礎設施之攻擊等;針對DDoS對CIIP攻擊之防禦措施,需有國家級的資安防範措施,提升DDoS的防禦能力,俾避免國家安全受到威脅。

七、AI帶來新的應用及顧慮

發生事實

人工智慧(AI)在過去一年吸引了愈來愈多的關注,因為新的AI應用繼續在多個領域發展,從通信和智慧教育系統、到機器人和智慧車輛等。幾家公司一直致力於實現自動駕駛汽車,或開發新的自動翻譯工具;研究人員已經提出了基於AI技術用於各種目的技術,例如在註冊時檢測濫用的域名,或基於Twitter貼文以識別是否為犯罪組織同夥成員等。

Google的「DeepMind」與英國國家衛生服務部合作,使用機器學習每年分析超過160萬患者的記錄;Facebook建立了一個名為「DeepText」的AI程式,可以幫助過濾垃圾貼文。Google旗下的一家新創公司Jigsaw,正在開發一個對話AI,可以自動檢測仇恨言論和其他形式的言語虐待和線上騷擾;日本也推出人工智慧橋接雲(Artificial Intelligence Bridging Cloud:AIBC)的計劃,該計算機可以在醫學研究或軟體中應用於控制AI系統,例如無人駕駛汽車和機器人等。

這些持續的發展鼓勵決策者,應更仔細地探討人工智慧的政策影響。美國國家科學技術委員會(US National Science and Technology Council)概述了其促進人工智慧研究和開發的戰略,而白宮亦已提出了建議方案,思考如何為人工智慧驅動的經濟培育足夠AI人才。今年早些時候,歐洲議會法律事務委員會發表了一份關於機器人的民法規則(Civil Law Rules)建議報告草稿。

為什麼重要

人工智慧的政策影響是深遠的。雖然人工智慧可能導致經濟增長,但社會大眾對AI可能給勞動力市場帶來的重大干擾,也愈來愈擔心。AI與隱私、安全和安全相關的問題也已成為焦點,呼籲制定各種標準規範,以減輕AI非預期後果的呼聲也愈來愈大。

AI與隱私、安全和安全相關的問題也已成為焦點,呼籲制定各種標準規範,以減輕AI非預期後果的呼聲也愈來愈大。

人工智慧系統涉及判斷和決策(取代類似的人類過程),也衍生出了關於道德、公平、正義、透明度和問責制的憂心。在Jigsaw的Conversation AI工具的辯論中,關於AI自主決策存在歧視和偏見風險的問題,是大家十分關注的焦點。該軟體雖然可能解決與網路公共空間濫用問題,也突顯出一個倫理問題:機器如何確定什麼是適當語言?什麼是不適當的語言?

人工智慧對社會、經濟和道德構成的挑戰,需要政府、私營部門、學術界和公民社群進行更廣泛的對話,以確定最合適的政策答案,或是是否需要新的立法和法規。

發展時間表

  • 9月28日:亞馬遜、DeepMind/Google、Facebook、IBM和微軟推動建立人工智慧合作夥伴關係,旨在解決人工智慧在道德、公平、可靠性和隱私等領域的機會和挑戰。
  • 11月2日:卡內基梅隆大學宣佈建立一個研究中心,將研究人工智慧和其他計算技術帶來的倫理挑戰。
  • 12月13日:IEEE出版了一本關於倫理和AI的指南草案,鼓勵技術專家在創建自主和智慧技術方面優先考慮倫理問題。
  • 12月20日:新的研究使得AI演算法更接近於能夠解釋自己,因為加州大學(UC Berkeley)和Max Planck Institute的研究人員設計了一個「指向和釋義(pointing and justification)」系統,使演算法能夠指向所使用的資料做出決定,並解釋為什麼如此使用。

此議題對我國數位政策之意涵

AI新的應用與政策意涵,對我國創新技術發展是屬於較陌生的範疇;經濟部技術處與工研院的前瞻技術開發議題中,也列有觀測前瞻技術之法規調適項目,惟大都以應用類別如無人車、無人機、機器人為研究對象,較無以AI基本核心或預見AI之潛力,以及可能引發之道德倫理爭議來探討。本部分觀測研究全球AI技術趨勢及政策發展,將仍是未來的主要數位政策發展議題之一。

八、永續發展及網路近用之持續政策討論

發生事實

社群網路(Community Network)作為永續近用、由下而上的解決方案,在今年的網路治理論壇(IGF)上已得到廣泛討論。雖然面臨許多挑戰,但這些網路社群仍然可以發現網路接入的解決方案。

社群網路能否成為連接下一個十億用戶的關鍵方法呢?其他諸如Google以氣球提供網路接取服務的Loon專案,以及為5G連接的太陽能電力無人機的Skybender專案,也旨在解決偏遠和農村地區的網路近用(Access) 問題。

讓尚未連接地區連線(Connect the Unconnected)的努力,有助於實現永續發展目標(SDG),具體來說,SDG目標旨在大幅增加並提供普遍、可負擔的網際網路近用(Access)服務。

為什麼重要

2016年的討論鞏固了一個觀點,即網際網路對於實現永續發展目標至關重要。 作為「2030年發展議程(Development Agenda)」15年發展議程中的里程碑,關鍵問題是看看這些目標如何實現。發展議題不僅在永續發展的討論中,在關於電子貿易、人權或新技術等,社群討論都涵蓋到發展的面向。

在接下來的幾年裡,對近用(Access)如縮小數位落差、能力發展和其他發展方面議題,都可能得到更多的重視。鑑於網際網路的作用,讓未連接的網路能夠連線,被視為實現永續發展目標的關鍵。私營部門的社群計畫和專案,也可以作出更廣泛的貢獻。

2016 SDG的發展

  • 1月29日:聯合國秘書長宣布,將邀請一組十名專家為技術促進機制(Technology Facilitation Mechanism:TFM)提供支持。在2015年9月的聯合國永續發展峰會期間宣布,TFM支持實施永續發展目標,包括科學、技術和創新(STI)任務小組,及一個年度科技創新的多方利益相關人論壇和線上平台,提供一個關於倡議、機制和方案資訊的入口網站。
  • 3月3日:STI和10名成員專家小組之間舉行的幾次會議中的第一次會議,討論了科技創新多方利益關係人論壇的組織工作。
  • 3月8-11日:聯合國統計委員會同意「全球指標框架」,其中指出用於衡量實現「2030年發展議程」的目標和進展的指標框架。
  • 4月1日:永續發展目標機構間專家組就指標、方法學,審查指標的程序和全球報告機制達成一致看法。
  • 5月2-6日:WSIS論壇齊聚了ICT發展和網路治理團體。該論壇強烈支持與永續發展目標相聯結,因為它將WSIS行動方案與永續發展目標明確聯繫在一起。
  • 6月6-7日:科技論壇(STI Forum)在紐約舉行,討論關於科技創新對實現永續發展目標的貢獻。
  • 7月11日:永續發展高階政治論壇自「2030年發展議程」通過以來首次在紐約舉行。論壇討論了ICT工具、論壇和平台的實用性。聯合國「全球永續發展報告」評估了迄今為止在實現永續發展目標方面取得的進展,並確認技術對於實現永續發展目標和盡量減少目標之間的權衡的必要性。
  • 9月19日:寬頻委員會指出,如果沒有負擔得起和普遍之ICT和寬頻連接,就無法實現永續發展目標。
  • 12月6-9日:第11屆IGF會議以「包容性和永續增長」為主題,以永續發展目標為框架。雖然最側重的永續發展目標是關於獲取資料和通信技術的目標,但仍有許多討論涉及網路治理和永續發展目標之間的聯繫。

此議題對我國數位政策之意涵

聯合國的永續發展目標(SDG)是聯合國揭示至2030年全球永續發展之藍圖,作為聯合國發起的全球網路治理論壇(IGF)會議,每次皆會把SDG列為IGF討論的主要項目之一。

我國雖非聯合國成員,但持續關注SDG議題,並參與IGF相關討論,將可在國際外交、國際經濟合作與擴展等領域提供諸多助力。如關心新南向政策相關國家之SDG相關議題,對相關國家之網路發展近用、網路人才培育、網路基礎設施建設議題等,提供協助與發展,將可以強化新南向政策之落實與成效。

九、資料外洩事件後之資料治理爭議

發生事實

2016年發生了大量的資料洩漏案件,其中最大的洩漏案件針對的是Yahoo,經證實9月份有5億用戶的資料可能已經被偷;在12月據認有10億用戶帳戶受到影響。在2016年11月,Friend Finder Networks(由成人內容網站組成的網路)洩漏了用戶記錄,總共有超過4.12億用戶記錄在被駭客在線上公布。在中國,淘寶亦成為目標,外洩了2000萬條記錄。菲律賓選舉電子資料庫的外洩,導致該國共約5500萬選民的個人資料遭竊。

另外,巴拿馬文件的洩漏(電子郵件伺服器被駭客入侵),對捲入海外醜聞的公職人員造成了嚴重影響;該洩漏導致許多國家的公眾抗議、政治家辭職,以及參與醜聞的政黨和政治人士任職國家的聲譽損失。

為什麼重要

愈來愈多資料在線上儲存處理,無論它涉及健康記錄、個人訊息、經濟交易或公司記錄;資料洩漏的後果,可能對消費者和組織造成巨大的財務和非財務損失。

資料洩漏已引發了關於資料治理的更大討論。隨著資料流經邊界,管理和保護愈來愈趨複雜。

資料洩漏已引發了關於資料治理的更大討論。隨著資料流經邊界,管理和保護愈來愈趨複雜。資料隱私、安全、共享和儲存的問題已經在政治議程上出現。隨著大數據和物聯網的出現,圍繞這些問題的辯論將更加激烈化。中國的2016大數據世界論壇,荷蘭的歐洲數據論壇,都針對這些問題進行了很多討論。

面對全球資料流動,各國政府開始採用資料本地化規範,要求將資料儲存在國內伺服器上,其原因從經濟保護主義到安全、隱私和政治考慮都有,然而,資料本地化的作法,已被G7的網路原則和行動宣言所反對。

資料治理之發展

  • 2月27日:2016年資料威脅報告顯示,大多數公司都關注儲存在雲端資料的安全性。
  • 4月12日:在駭客發布包含約5000萬土耳其公民的個人資訊的大型資料庫幾天後,一項新的資料保護法在土耳其生效。
  • 4月19日:聯合國貿易和發展會議(UNCTAD)關於資料保護條例和國際資料流的報告指出,一套「核心資料保護原則」可以提供更加相容和協調的機制。
  • 8月5日:在政府機構雲端服務採用的原則中,加拿大政府的雲端服務採用策略草案規定「所有受政府控制的敏感或受保護的資料,將儲存在加拿大的伺服器上,以確保加拿大的主權控制」。
  • 10月3日:為了響應歐洲企業對資料主權和安全法規的要求,微軟宣布計劃在法國開設資料中心。
  • 10月27日:美國聯邦通信委員會(FCC)批准新的隱私規則,要求網際網路提供商在與第三方使用或共享資料之前,應獲得客戶的明確同意。資料包括應用程式使用、瀏覽歷史記錄、移動位置、健康資料、財務資訊、電子郵件的內容,以及在使用Internet時收集的其他敏感個人資料。
  • 11月7日:中國實施網路安全法,要求將「個人資料和重要業務資料」儲存在中國伺服器上。
  • 11月17日:俄羅斯封鎖LinkedIn,因為該社交網路未能將俄羅斯用戶的資料傳輸到位於該國領土內的伺服器上,違反了俄羅斯第242-FZ號資料法之要求。

此議題對我國數位政策之意涵

資料治理爭議未來幾年將持續發酵,包括資料在地化、資料隱私保護、資料管轄權等。我國個人資料保護法,屬分散式目的事業主管機關管理,且對境外傳輸之規範並不明確;另如新的電信管理法(草案)、數位通訊傳播法(草案),亦僅規範鼓勵境外公司採取促進民間自律,以及公私協力作為治理手段,確保數位通訊傳播服務的普及與近用。

惟NCC亦知悉目前困境及挑戰,也宣示更希望在建立數位通訊傳播良好的基礎環境後,因網際網路興起,所帶來對傳統產業與服務的衝擊,如:電子商務、第三方支付、遠距醫療、智慧家庭、串流視聽服務等,尚需依據「網路治理」的精神逐一探討檢視;涉及政府所有機關各該權責,尚須相關機關攜手同心,共同因應數位轉換(digital transformation)所帶來的衝擊。未來資料治理,仍將是我國數位政策的核心議題之一。

十、歐盟隱私盾框架取代安全港協議

發生事實

在歐盟委員會和USG達成商業目的的跨大西洋之個人資料交換的新框架協議五個月後,委員會批准了新的隱私盾框架(New Privacy Shield Framework)。新框架提供了一種機制,保護歐盟用戶的個人資料被轉移到歐盟以外國家的基本權利。

新的隱私盾框架是回應歐盟法院(CJEU)宣布安全港(Safe Harbour)協議無效後緊急修訂的新協議。該法院裁定,安全港沒有充分保護歐盟公民的隱私權,這些公民的資料是在美國更寬鬆的隱私保護空間中託管的。

為什麼重要

缺乏對隱私的政策解決方案,可能阻止主要橫跨大西洋的資料高速公路的傳輸。它可能產生的嚴重後果,從影響歐洲和美國的商業,到數百萬Facebook、Google和其他網際網路平台的用戶。這是在如此短的時間內找到隱私盾解決方案的背景。

這一安排的相關性和脆弱性,將對所有主要行動者施加額外壓力,以確保其在現實中發揮作用。由於歐盟和美國之間的實質性不同的隱私法規,將在管理資料的方式上產生永久的管轄權緊張。此外,隱私盾協議的實施,將受到其他國家的密切監督;這些國家傾向於關注歐盟如何處理網際網路行業,就像世界各國關注被遺忘權利規定的實施情況一樣。

跨大西洋的資料流和相關協議,預計呈現在政策議程上仍然會持續受到關注,因為跨大西洋的資料流動,對全球網際網路行業至關重要。

發展時程表

  • 2月2日:歐盟司法委員會在斯特拉斯堡(Strasbourg)舉行歐盟執行委員會內閣會議後,宣布了一項新協議;對於委員會的主要目標是「確保公民在其資料轉移到國外時保護個人資料的基本權利」和「允許跨大西洋的資料流(對經濟很重要)持續必要的保障」。
  • 2月29日:歐盟委員會公佈法律文本,包括公司需要遵守的原則。
  • 4月13日:第29條工作組(由國家資料保護監督機構、歐洲資料保護主管和歐洲委員會的代表組成)發表其意見,表達對商業方面和公共當局存取資料的關注。委員會關切的是,該框架仍缺乏明確性,歐盟法律中的關鍵原則亦無反映此一事實;公正監察員亦缺乏足夠的獨立性,這是框架內的一個新的補救機制。
  • 7月8日:歐盟成員國批准了新的隱私盾協議。
  • 7月12日:歐盟委員會正式通過隱私盾協議。
  • 8月1日:美國公司可以註冊此一新協議框架。美國司法部將評估申請案件並監控公司的合規性。

此議題對我國數位政策之意涵

美國與歐盟的隱私與資料保護相關協議,隨著美國與歐盟及其成員國對隱私與資料保護法規之持續爭議,顯示在須確保大西洋之網路資料流暢通的大原則下,網路大公司在各自監理機構要求下,彼此的不斷的角力、協商、妥協的階段性成果。

歐盟的隱私資料保護要求聲浪,可以說是日益茁壯,新隱私盾協議主要要求美國政府對歐盟成員國的資料保護措施,以及應遵循之相關規定,應更為落實,並有獨立監察員之公正監察。因此很多美國公司在歐洲之營運,皆被要求註冊並遵循新隱私盾協議。類似的措施,在這些公司的網站揭示之隱私與資料保護政策皆已揭露。

我國為網路市場小國,比較無法傾全國之力,力爭獨立適用於我國與美國的類似新隱私盾協議之保護;但如能與這些網路大公司友善協商,將其適用於歐盟協議之政策,以斟酌調適適用於我國,例如網路公司如Facebook、Google、Amazon等儲存於境外的網路用戶資料之保護,亦可適用於我國資料保護法保護範疇,或有其他可能合作措施等。類似之環境塑造,亦將是我國數位政策發展很重要的項目之一。

(未完,待續)


喜歡我們的文章嗎?按讚立即加入粉絲團 :)

推薦您也參考

獎勵作者

歡迎您以點數獎勵作者:

關於點數的獲得與使用方式,請參閱說明