Audrey 請你跟我們的觀眾打招呼!
Hello,大家好,很高興能夠來上這個節目。
部長,我們今天想要來談談數發部,數發部到底在幹麻?
我們數發部,或者說數位部,最重要的叫做「全民數位韌性」(Digital Resilience for All),意思是發生各種不利狀況的時候,我們就要能夠即時來應對。
舉例像之前,馬祖跟台灣中間的海纜在一週之內,連續兩次被一艘漁船跟一艘貨船——都掛五星旗的——不小心割斷,這個當然他們都說「不小心」,這叫做「grey zone」(灰色地帶)的 operation。
當這些事情發生的時候,我們就要立刻用包含微波、非同步的衛星,好比像我從英國談到 OneWeb 的衛星,年底前會覆蓋全臺灣,那就會讓這些操作在下一次再發生的時候,就會失效,等於海纜再斷掉也感覺不出來,這是一個例子。
除了這個,就是說這個聽起來像臺灣資安方面的一個應對。
災難時的漫遊,包含最近大家關注警消,如果是它附近基地台被燒壞了怎麼樣,它有沒有那個 guarantee 的寬頻等等,這些都是我們在做的事情。
為什麼大家詐騙的事情也都跑來問你?聽起來跟詐騙沒有關係,就是你剛剛描述的數發部的職責內容,跟詐騙沒什麼關係。
我覺得這有兩個原因,一個是因為像我們確實有做一些數位的公共建設,讓我們的各個部會或者甚至地方政府在發簡訊的時候,有一個共用簡訊的代碼「111」,這個我們在今年第四季會推行,這個好處是我們公部門出去的訊息不會被誤認成詐騙,雖然不能說別人不能夠內容上面 copy 一模一樣,但是至少在這個發訊者的地方,我們可以防患於未然。
所以我想大家提到詐騙,數位部多想想說,我們能不能防患於未然?大家也瞭解,我們不是把人關進去懲罰,像檢察官、警察,當然不是,但是大家希望我們技術上想出一些辦法,讓這些詐騙比較不能得逞,這個是第一個。
第二個,我們畢竟也有主管像無店面的零售,就是所謂的電商,電商如果個人資料沒有防守好的話,確實是很容易變成詐騙,特別是解除分期付款詐騙的來源,大家也會希望我們把無店面公會,就是所有這些被冒充的網頁、網域等等,把它守好。
所以聽起來我覺得,比如我知道促進資安這個沒有問題,然後我看到的是,還有推動數位產業的發展,這是什麼意思?
舉例來說,像我們有個雲市集,雲市集就是像之前鴻海有投資一個叫「肚肚」,就是一個 POS,任何時候去點餐或者是點一些服務,可以很快地綜合各種不同的付款方式,即時去結帳,包含一些人資等等。
這些其實是在疫情的時候,因為有一陣子不能內用,變成如果他沒有做外送或者外帶的話,他就完全沒有生意,那個時候雲市集就推出,等於是政府吸收 80%這樣子的成本,然後去媒合這些 POS 機、外送、人資管理等等,跟這些急需轉型的微小商家,當時就是政府出 8 成、然後商家出 2 成,現在當然疫情過了,變成他們出 3 萬、我們出 3 萬,等於我們出一半。
這個的好處,就是在以前是只有很大的公司要數位轉型的時候可以投資去買設備、去買各種軟體產品等等,但是這種小的廠商說不定才一、兩個人,也沒有所謂 IT staff,就是沒有專門管技術的人員。這時我們就是透過訂閱的方法,而不是你一下子就花 100 萬買一個設備,而是說你可以用租的,一個月只付 1,000 元,你用的一、兩個月,如果不好用再換一家、再換一家,一直到適合你的位置,所以這個是全面去做所謂的「數位轉型」。
OK,就是這一個。其實我記得麵線的爭議這樣子,我老實說我自己在那時候,我覺得外面罵得沒有道理,我是真的覺得,可是這個事情我請你講一下你們那邊的看法好了。
我的看法,像其實在當時還是柯文哲市長的時候,他們台北市的產業發展局,也專門用新聞稿說台北市幫助臺灣雲市集,採用的這些小的商家,特別是好比銷售健康餐盒、LINE 點餐系統等等。我們剛剛不是說我們出 3 萬嗎?台北市也出 1 萬。
所以我們也覺得說透過像點餐系統、LINE 點餐等等,這看起來好像地方政府也加碼,就是透過這樣子來宣傳雲市集應該是沒有問題的。但是我覺得當時確實是有一個狀況,大家會覺得應該要去防守資安的攻擊、應該要去處理海纜的事情,應該要弄衛星,但是突然之間來了一個中小企業商家數位轉型,感覺跟那個資安的設定有一點沒有完全搭配。
我覺得,這個確實是我們在籌備的時候,當時叫「數位發展部」一開始的想法,確實是用軟體資服業者來帶動數位轉型,但是我們籌備到後期就發生俄羅斯入侵烏克蘭,突然之間剛剛講的灰色地帶、資安攻防變成最重要的,所以我們本來如果是說發展為主,然後當然還是有安全、有參與,現在就轉過來變成安全為主。我們如果是說大家都有參與、都有發展,感覺上一定要強調安全的部分。
所以後來我在立法院被質詢,就是這個雲市集,我就說其實這個是讓中小事業在訂閱制的時候,因為只有通過我們資安檢測、源碼掃描才會上架,所以這也是讓各行各業提升資安的一個方法,促進資安產業跟產業資安,我這樣一講,立委就比較能接受。
所以我從那一次事件學到的就是說,我們不管什麼政策,一定要先說:這個也是資安政策。
可是部長,我剛剛聽您在講的時候,我覺得你們的業務不但很龐雜,而且我覺得還要看時機來推,因為我覺得你其實在做比如說跟商家的整合這個東西,我覺得這個工作其實也很重要,這個升級不重要嗎?但是因為的確因為安全的問題,那時候在大眾的視野裡面看起來是比較重要的事情,就要馬上調整,現在意思就是說,我覺得部會這麼大,要隨時這樣調整、機動地調整,應該是個很大的挑戰吧?
就是說我覺得今天部會現在一定是有,比如你今天做的工作一定有 priority,哪一些東西放在前面,然後推動需要時間的,然後現在因為這個 priority 要改變的時候,應該是很大的挑戰吧?
我們當時設計數位部的時候,我們數位部部本部是擴大大家的參與、照顧到所有需要的人,包含普及服務、偏鄉離島這一些,但底下有兩個署,數產署是負責產業的進步,資安署當然是負責安全的部分,所以這是一個三角形,就是參與、進步、安全。
這個在國際上是很少見的,大部分這三個是在三個不同的部會,又或者是說其中一個邊在一個部會,另外一個角在另外一個部會。我們這樣整合在一起,有一個好處,就是我們這樣子調動是很快,因為我們這三個角要互相支援。
你剛剛提到也有簡稱「數發部」,數發部就是三發,就是剛剛提到的社發、產發、突發,因為我們是這樣子整合在做,所以調整起來的節奏是還算滿快的,可能一個禮拜就可以去做一個調整;如果是還分散兩個或者是三個部會,要很多個部長或政委協調,這個成本就高了。
OK,你這個滿厲害的,你還真的是做一個 model 出來。
我知道在數發部配的員額是 600 人,以你聽的,我不知道 600 人你覺得夠不夠用?
夠,沒問題。
所以現在是補滿的?600 人補滿?
對,大概 7 成 5、8 成左右。
您業務這麼多,您覺得 600 人夠用?你說得斬釘截鐵,我現在是給你一個機會,你現在如果說需要的話⋯⋯
是說我要爭取員額?
要爭取員額,現在可以講。
這個要分兩個層面,一個是說因為我們其實絕大部分的工作是 partnership,就是跟我們轄下的法人,好比像資安院、資策會、電信技術中心、TWNIC 這四個來合作,他們也有他們的員額,而且不受總員額法限制,這是第一個。
第二個,因為大部分是做 strategy,就是規劃的工作,規劃的工作重點是英文叫「conceptual integrity」就是說它的這個想法要有內在的一致性,這個並不是加人就有用的,而是那個 model 要想得非常清楚。
這個一聽我就有幾個問題:第一個,你既然是做 strategy,然後你的工作一定要很業界、很頂尖的人懂,才可以做 strategy,你在跟民間企業搶人的時候,我相信政府部門在薪水上恐怕是很難有競爭力,這怎麼辦?
當然首先像是我們資安院,資安院的同一個 position,我們是把它連動到電信業或金融業同一個 position,他們這邊漲多少,我們就漲多少,所以這個是叫做人才對流,叫做「talent circulation」,所以我們確實也有一些業界真的很頂尖的,像 Appier 等等的 director 層級的,會過來我們這邊幫我們做隱私強化技術、資料架構等等,那當然他的薪水你說完全沒有打折?可能不是完全沒有打折,但至少是 on par,就是可以在行情裡的。
我覺得這也是這一次,數位部能夠有這樣子的行政法人,是一個很大的突破。因為確實像您說的,在以前約聘如果進來的話,一方面是說他工作比較沒有勞基法的那種保障,二方面他真的很需要使命感,因為我自己進來也是打三折,我們現在當然是希望透過行政法人的設計,未來就不用打三折,可能就是八折、九折。
八折、九折還不錯,還可以。
但是另外一個問題,我知道你的部會其實跟其他部會合作的機會非常高,因為我聽起來你就是說你是做 strategy,然後去跟其他的部會合作,我知道在數發部成立的時候,其實是很多其他舊的部會會要撥過來,在整合上有沒有問題?
應該是沒有。這有一個很重要的原因,就是我們恪守行政中立,所以雖然我們的組織法說我們的司長、我們的署長都可以用外面的人,但是事實上都沒有,也就是司長跟署長全部都是常任文官。所以,我們就不受到黨派,我也沒有黨派,不受到黨派的限制,而且也不會被選舉什麼影響,我們可以專心做專業的事,這個是第一個。
第二個,這個 level 的常任文官,我們當時在疫情的時候,都有在合作。所以雖然是四個不同的部門過來,但是其實不管是三倍券、五倍券、口罩實名制或者是簡訊實聯制等等,其實就是這些人做的。所以我們等於在疫情期間,已經聯繫出這種幾乎是每天每天開會、每個禮拜改版的這種快速迭代的革命情感,所以這樣子就比較沒有指揮統御上面的問題,比起空降一個疫情期間沒有一起工作的人來說。
可是這四個部會融合在一起,難道沒有 integration 的時間嗎?我覺得還是需要一些整合的時間吧?Culturally 或者是專業上,我覺得應該還是需要一些整合的時間吧!
是還好。因為就像剛剛講到的,我們的資安署幾乎都是資安處過來,我們的數產署幾乎都是經濟部過來,所以並不是說像您說四組人混在一起,沒有,這兩個署就是這兩個署。我們在部本部,我們的韌性司、資源司等等,這個是 NCC。我們在包含我們的政府司,或者是我們的多元創新司資料的部分,這個是從國發會。
所以他們過來是整組人過來,而不是打散重新編組。所以我們主要的挑戰就是怎麼找到一些事情,像剛剛講到的 111 簡碼,去動員全部的人一起做,而不是一定要磨合新的長官什麼,因為絕大部分就是本來那個 team。
OK,因為你做的東西很新,而且我覺得科技上的知識、要求的會非常地高,在帶這些公務員的時候,有沒有困難?
我覺得你剛剛說的「知識非常地新」,應該意思是說會有很多新興的挑戰,好比說我們籌備的時候,生成式 AI 還沒有那麼泛濫,但是現在任何人都可以跨國、跨境,甚至跨文化去進行轉譯等等的工作,確實這個對所有人來講都是全新的東西。
所以,我們要怎麼樣讓公務體系能夠去因應最重要的事情,就是我們要 in the flow of work,在工作的時候就來使用,所以我們用的,其實我在業界用的這些東西,像我們沒事就是跨部會開個 Google Docs 的共筆,我們沒事就是用零信任的系統,透過 FidO 在手機上簽公文,而不需要跑紙本公文等等。
因為這個是業界的工作方式,公務員習慣發現真的很省力、很安心,那這樣子的話,碰到這些新發展的時候,他就可以用他自己的工作經驗去知道我們怎麼因應,如果他工作經驗還是在蓋騎縫章、簽字,那就沒什麼辦法。
我現在的意思就是說,這個問題我其實一再地回來問,其實不只是⋯⋯我們上次去訪問乖乖的時候,我也問到同樣的問題,就是說我覺得有一些新的技能,其實對於一些老員工來講,學習上是辛苦的。
然後我覺得,尤其在數發部這樣一個單位,它需要的就是知識,尤其是很多很多的知識,我想是在業界最新的東西。在老的人員跟新的技術之間出現落差的時候,你怎麼辦?
我有點想 pushback 一點,因為像我們剛剛提到免密碼,就是透過我的手機感應指紋、透過軟體來確認我的手機沒有被換掉、以及再透過另外一個網路軟體來確認我的行為,這些都是全自動,很多是 AI 做的。從使用者的角度來看,簽公文的時候感應一下指紋就出去了,比起本來的狀況是什麼呢?是你還要打密碼、還要插卡,這個密碼還必須是 12 位數大小寫標點符號什麼的,沒有人喜歡這個。
所以,只要我們這些新興的技術比起本來更省力,其實就算是資深的員工,他也一定會想要用更省力的技術。我們擔心的是,他們連體驗這種更省力技術的機會都沒有,這個時候業界都在用,我們要想 strategy,就會變成誤差。所以我們在做的事情就用所有這些最新的,我們這個部就像一個 sandbox,一個沙盒一樣,就讓這些資深的員工率先來適用。
好,那有沒有時候你覺得你現在手上用的人的專業知識,你覺得還不夠?我說實在我想盡辦法用到最好的人了,但是有些東西就是不夠,比如說我想要做一個新的東西,但是我們團隊裡面就是沒有人懂,你有沒有這種時候?就是覺得,I wish,我有一個更強的人在這邊。
當然這裡面提到兩件,其實是不同的事情,一個是你要做全新的東西,這個 talent 不知道到哪裡找,這個全世都是這樣子。另外一個是說我要怎麼樣 upskill 或 reskill,就是把我們這些員工培養成這麼強的人,這個是兩種想法。
在左邊這邊,我覺得我們最好的一點,就是我們很多這些新興的做法,都是所謂的 public code,就是我們把它想成公共建設一樣,所以我們打算做什麼、做到哪裡都是對外公開的,所以如果有人在業界很資深,他也不想進政府,但他看不順眼我們的做法,我們就說「你行你來」,反正程式碼都在這裡,你想要改成更好的版本,我們看一下資安沒有問題,我們就收。像這樣一種公共程式、開門造車的做法,在以前是比較少見的,很少有政府出來說「我拋棄掉著作權,你隨便改」,但這個就是我們的做法,這個是第一點。
第二點,reskill 上面,我覺得我們滿好的一點是,我們並不會好像你在某個司、哪個署,你就只能處理 silo 裡面的業務。你到一定的層級,我們是開一個未來行事曆,就是未來可能六個月我們發生所有主要的專案,我們預測會發生的一些挑戰等等,是一次開給全部這些 medium 跟 senior level 的這些朋友看,他看到之後覺得這一件事有幫助的話,他也可以提案,甚至在部裡面也有一個連署的機制,他只要連署到 30 人、說服 100 人,這樣我就每個月會出來開直播,說你的新方法來組成一個 task force 等等,所以我們透過這種內部民主的方式,這也是一個 reskill。
我覺得你的方式,不管怎麼樣,你是一個非常樂觀,而且我覺得找到方法去把事情做出來,滿不容易的、滿不容易的。
所以你剛剛講完就是說,我覺得內部人員,我覺得想辦法把你手上的資源、人、做到最好,我覺得我對你的印象是這樣,你現在在做的是這個事情。
然後,你把 strategy 做出來之後,問題是還有跟其他部會必須要合作的部分,這個部分困不困難?因為你 strategy 做出來之後,也許執行上沒有這麼多的問題,這個部分在跟其他部分整合的時候,會不會有問題?
我覺得只要我們端出來的方案是省力氣的,各個部會就會願意採用。像之前我們為什麼推出 111 這個短簡訊,就是因為有地方的國稅局為了要鼓勵大家線上報稅,好像有抽獎活動,然後它就發,發了以後因為抽獎活動看起來就很像詐騙,所以就被民眾檢舉說是詐騙,但是因為他是地方國稅局,他也很無辜,但是如果一直都被檢舉的話,他那個號碼就不能用了,因為像 whoscall 或者是足夠多人說是詐騙,那以後就會被標一個可能是可以來電這樣。
所以,我覺得我們的重點是,我們要去看到各個部會,包含地方政府實際的需求,這個需求我們解決的時候不要造成它額外的麻煩,變成它新的系統要用、舊的系統還換不掉,這樣就沒有善盡數位部的職責。
所以我覺得,只要確保我們快速發現需求、解決的方法是比較省力的,這樣就不會有困難。
OK,好,不過理想上是這樣,很多時候我覺得也許部會設計出來的東西,民眾可能覺得不好用,或者是它的參與度就是不高。像最近我們有一個「111」的簡訊平台,我覺得還是跟大家再清楚解釋一下「111」電子簡訊平台是什麼。
沒問題,大家知道在疫情的時候,有一些短碼像「1922」,大家可以掃實聯制或者是打電話去,這個是衛福部,或者是像發三倍券、五倍券是「1988」,大家看到這些簡碼就知道這是政府的,因為四碼「19」開頭只有政府可以來使用,所以就算是 10 碼的這一個,你接到一模一樣的內容,甚至網址長得多維妙維肖、一模一樣,但是因為我們就認明這個簡碼才是政府的,所以大家就不會被這些十碼所欺騙。
但是並不是每一個中央部會或者是地方政府都有投資到這個專用的四碼以及簡訊的平台,所以就會變成像剛剛講一些地方的,像國稅局等等還在用十碼,而有一些少數的中央政府用四碼,這個時候長此以往,就變只剩這些有公信力,十碼的公信力就越來越下降,甚至被 whoscall 檢舉成詐騙。
所以我們就是一次推出一個共用的平台,任何沒有這種自己專屬的這種四碼的都可以來用,專屬四碼如果想用也可以來用,你看本來是四碼,我們如果推出一個五碼,他根本不會想用,所以一定要比它短,一定要「1」開頭,「1」開頭又三碼、又最好記的,我覺得就是「111」,所以就是挑了「111」,所以以後你接到一個「111」的簡訊就像藍勾勾或者是金勾勾一樣,你就知道是政府來的。
OK,好,就是在做這個東西,可是我現在看起來很像全部的部會應該有 30 個部會,但是看起來只有 6 個願意在年底前加入。為什麼?
因為我們是在試辦,就是先確定這 6 個經常有發送簡訊,他有現有的簡訊系統,所以這個叫做「API」,很像插座插頭一樣,直接接上去,馬上就可以用。但是如果這 6 個試用沒有問題,甚至年底前我們提早發現真的大家都覺得這是一件好事,當然我們也有跨部會聯繫的方法,能夠一次告訴 30 個說就從幾年幾月開始,大家都不用 10 碼發了。
跟其他部會合作的這個東西,除了說服他們使用之外,我覺得另外還有一個權責的問題,會不會很頭痛?
比如說像詐騙這個事情,我覺得這樣講好了,因為你們跟警政署的權責怎麼分,我其實搞不太清楚,就是說這一件事,詐騙這個事情到底應該是誰負責,有些人會覺得你們這邊應該要負責,有些人覺得警政署應該要負責,所以從你的角度來看好了,這件事到底權責應該來看?
當然如果打詐是說懲罰已經發生的詐騙案,就是已經有犯罪者有被害人、有原告、被告了,這個當然不在我們這邊,因為我們並沒有移撥任何司法警察的權限過來。
但是如果你是說防患於未然,一開始就讓大家看這 10 碼傳送的某種政府簡訊,就是詐騙,他根本不會點,也就不會有被害人,所以這個防患於未然的部分,這個是我們可以著力的。
OK,好。所以我覺得基本上你的意思是,前端是你們在做,然後後端是⋯⋯
但實際發生有個案了,這當然就是司法警察的事情。
警政署。可是我覺得好像有些民眾,其實不是很滿意這個做法,比如像有個前政委,郭耀煌就說數發部的回應,透露只管發展、不講監理、只開油門、不踩剎車的心態,我想聽聽你怎麼回應這個批評?
我想郭老師對我們的期許是說,我們能夠跟真正能夠有監理權限的部會來聯防。我舉一個例子,事實上我們也有跟郭老師說明,就是像大家可能知道有一個叫做「虛擬帳號」,就是你在線上轉帳的時候,會冒出你匯款過去之後,那個帳號收到就沒有了的一次性帳號,這個大家可能都有看過。
這個虛擬帳號在詐騙的時候,就是很常見的一個「斷點」,因為它不見了之後,警方就很難追查說這個帳號後面是誰,我們是主管所謂的第三方支付的這個行業,這個行業實際在運行的可能就幾十家,但是有上萬家當初在公司登記的時候說「我也想來做這個事業」,但是他沒有真的做。
但是某一天這個人頭公司,可能就因為有登記這個經營的事業,他就去跟銀行申請說「我也有來申請虛擬帳號」,但其實這個人頭公司已經是詐騙集團所控制,所以他這邊出來的虛擬帳號全部都變成詐騙集團在使用。
我想郭老師也好,或者是也有一些檢察官、劍青檢改等等都是在告訴我們說,我們一定要把這個第三方支付,我們認識的這幾家,雖然它不是特許、雖然不是監理,但是有監理權的金管會銀行局應該要告訴銀行說「除非是數位部認識的這幾家,不然不要再發虛擬帳號了」,也就是這 1 萬多家裡面,真正在經營的 40 幾家跟我們登記,我們確實不是監理機關,但是我們公布出來說這 40 幾家有通過,金管會就會告訴銀行說:「這個之外的再來申請虛擬帳號不要再給他了,這樣子就可以把這個斷點解決掉。」
我想大家對我們的期許是,我們在每一個發生的新興挑戰上,我們就要從監理機關的角度,來想說他們跟我們怎麼樣聯防、怎麼結合,我們不應該說我們不是監理機關、所以就不去找監理機關來談怎麼合作,這個我想是很中肯的一個建議。
OK,好,那是不是這樣子會扛很多事?
但是從金管會的角度來看,他們確實也希望知道哪一些第三方支付是可信任,所以就像我剛剛講到的,只要我們想出了解決方案也是節省金管會的力氣,我們一次性地扛一些事情、投資一些像剛剛講到開放資料等等的架構,之後反正是機器、也不是人辛苦。
我想數位部主要的工作,就是去確保是這種機器對機器的對接,而不是像以前那樣子人一通通電話去問。
好,那我們講跟部會之間的合作,剛剛說了。然後我現在來談談 ,現在大家很多人都會講說「數位部 200 億經費,這麼多錢,他們到底都在幹麻?」我覺得你趁這個機會跟大家講一下好了,200 億這個數字正不正確?這個是第一個。第二個是錢怎麼花的?
我們每年各種經費加起來,大概只有 150 億上下,沒有哪一年到 200 億,大家在傳的 211 億裡面,大概 160 億左右是兩年期左右的前瞻計畫,所以他是可能 80、80 或者 79、81 這樣在做,但是我們提的時候,因為前瞻是一次提兩年,所以大家就全部加起來來算,但是實際上大概就 100 多億,這個是第一件事。
OK,所以那個前瞻的錢是必須要去專案的、那個是歸專案的。
對,是兩年。
已經大部分是去確保在偏鄉、在離島,或者在車站或者在火車上都有 5G 等等的這些電信訊號,所以那個是只能用在那件事情上,不能挪去做別的事情,這個是第一點。
好,所以扣掉那個東西,數發部的經費到底是多少?
我們實際上面我們的公務預算,大概是 57 億,然後如果再爭取再多,明年不超過 100 億,這個公務預算在 14 個部裡面,我們是排第 14 名。
所以是最少的?
對,所以是最少的一個部。但是我們在運用上面,我覺得我們大部分的設計,都是在幫助其他部會一起建立共用的這種系統上,所以像 111 的簡訊平台,一次解決所有部會的簡訊問題,或者短網址 gov.tw,一次解決所有縮網址的問題,或者是剛剛講到的零信任的這種線上的簽核等等,就節省所有人跑紙本公文的那個問題,所以你也可以把我們想成是說我們的建設不都是解決我們自己的需要,也是透過這種公共程式的方式,解決所有部會的共通需要。
不覺得很煩嗎?我的意思就是說,我說實在,我自己做的事情,我自己做事我一個人做我覺得還好,可是我如果要一次面對 10 個,你這是一次面對 30 個,還不只,那個還只是部會而已,還有其他 partner,對不對?
你不會覺得這個對口非常多,600 個人然後再加上你的經費真的是夠用的?我覺得你這樣子還算是滿有效率的,如果這樣講的話。
我也同意,我們今年 50 幾億,明年應該是 73 億左右,我覺得真的是每一分錢都有花在刀口上,而且這個花的錢,就像剛剛講到的,絕大部分是幫忙其他部會節省掉他們本來靠人工、靠打電話等等,可能要花更多更多的錢,但是因為我們投資在這些共通系統上,所以大家就省到了幾十億等等,我舉例,好比像我們其中有一支是幫助衛福部,我們來建置一個,就是讓各地需要手語老師翻譯的人,都可以透過平板、透過電話就聯絡到手語老師。
所以這些聽語障的朋友,他在洽公的時候,以前是手語老師要在對方旁邊、要在他旁邊,所以等於就是如果排不到的話,就沒有辦法洽公,現在就是透過寬頻、透過視訊,可以即時地去媒合,甚至我們之後會導入 AI,如果像講的不是華語,可能是台語或客語或其他語言的話,那甚至即時字幕等等,都可以打在上面。
那如果要衛福部傳統的方法,就是人實際派到你面前的話,這個成本非常非常高,也只能服務到少數的人,我們透過這種做法的話,我們投資一分錢可能就會產生出三、四分的社會效益(social return of investment),所以我覺得我們在規劃的時候都是盡可能加大這樣的 SROI,就是投資 1 分錢、省掉其他部會的更多分錢。
那有沒有說你設計出一個東西之後,其他部會覺得很難用的這種例子?
目前還沒有,所以目前 track record 還滿好的。
對,我們也希望「111」也是一樣,我們之前各部會最喜歡的就是我們發 6,000 元的那一套系統,發 6,000 元的那一套系統是考慮到包含無障礙、包含到各種不同身心狀況的人等等的需求,所以喜歡線上轉帳的就轉帳,喜歡去 ATM 的就提款,喜歡去郵局的就去郵局,所以他等於不是要大家來配合我們數位部,而是我們去配合各種不同身心狀態的人的需求,像這一套系統,很多地方政府也說他們不只發補助金、有的人發物資等等,他們如果要從頭建置,其實第一個不太可能照顧這麼多種的需求,第二個資安等等的測試也不一定能夠花那麼多時間測試,所以我們從明年開始就有一支公共建設計畫,去把我們這一次很成功的 6,000 元系統,變成以後所有中央、地方政府都可以使用,這個大家是很高興的。
我覺得你的業務這麼龐雜,你自己怎麼樣設 priority 呢?我們剛剛講到的是你現在說這個事情是 priority,可是馬上又會發生一個新的事情,就是你自己怎麼樣設 priority?因為有一些計畫可以很快做,有些計畫是要長程地做,所以這個怎麼設?而且因為您也要顧及,有些時候大家覺得這個事情更重要,就是這個東西怎麼辦?
這非常好的問題,我自己最重要的 priority 其實就是確保我們的敏捷,我們所有的這個決策等等,我們剛剛講到是開共筆,隨時只要需要,不管我人在台南沙崙那邊有一個辦公室、在台北或甚至是在紐約、D.C. 華府,我們隨時就開視訊會議就來決策。所以就像在疫情的時候一樣,我們是以 24 小時為單位,而不是像以前那樣子要層層簽核等等,所以您剛剛提到社會有新需求來的時候,其實來的再急再快,都沒有資安攻擊來得快,資安的攻擊大家知道背景值,顧立雄秘書長說過每一天大概 500 萬次各種攻擊的試探,每一次發生一個重大的事件,像去年 8 月裴洛西議長來台或者是今年 3 月蔡總統訪美,那就非常大的一波就會出現,所以我們自己的編組,不只是在資安這邊,也是包含像產業這邊或者是社發這邊都已經預備好說下一次如果資安攻擊來的話,我們要怎麼樣快速地去因應,因為有這種敏捷性,所以當然您剛剛提到社會上這些要求,在我們看起來來得很急很快,但是比起資安攻擊來講,好像還好,這個第一點。
第二點,我們確實要保持這個「credible neutrality」行政中立,只要有行政中立,其實各黨派都會願意讓我們持續做這種長程的造橋鋪路的事情。
但是這個是很難得的,很多外相信您也瞭解,因為他們黨派的 polarized 極化到一個程度,所以不管誰、哪一個黨提出了一個做法,下一個黨一定會提出相反的做法,雖然要達到一樣的目標,所以就變成好像橋建了又拆這樣的情況。
我覺得我們在臺灣很幸運,像我說的,英國非同步衛星在年底前,全臺灣 OneWeb 等等,沒有哪一個黨派的議員會說,等我們執政就換別的衛星。這件事情大家都是覺得值得重視的,所以只要我們保持這個,長程超過四年就可以做下去。
所以我可以這樣講,你現在對你自己來講,長程這個東西就是資安這個東西對你來講是最重要的,然後短程的,比如回應各部會的要求或者是民意的需求,這個其實是短程的。
要保持敏捷。
要保持敏捷度這樣子。好,那我們再來談一談,我想談一談個資外洩的部分,就是最近 iRent 流出了 40 萬會員的身分。
這個是我親自通報的,在農曆年前。
結果這個裁決出來重罰 20 萬,如果跟美國相比的話,像美國 T-Mobile 流出百萬會員資料的時候,它和解金額是高達 3.5 億美金,這個是 112 億台幣,就是我們即使是修法之後,臺灣的最高罰金也才 1,500 萬,你會不會覺得這個罰得太輕了?
我想先講,當然個資法我們不是主管機關,但是我們在使用的時候,我們也注意到個資法其實不是說只能罰一次 1,500 萬,首先它嚴重的時候可以按次連續處罰,而且更嚴重的話,其實可以命其停止蒐集個資,他就不能再有會員了,也就是停業了。你說是不是只能罰到這裡?不是,最重的時候可以相當於停業,如果它是電商的話,這個是第一點。
第二點,我覺得因為我們站在產業輔導的立場,我們當然還是希望說新的《個資法》確實如果發生事件確定是他的問題,以前是他沒改正才罰,現在是先罰,然後要他改正。所以我們確實也看到,新的法通過之後,不管電商還是其他像遊戲產業等等投資在資安上面,就大幅增加。
因為以前你投資 30 萬、40 萬,這邊罰款最重 20 萬,稍微看一下就知道,但是現在 1,500 萬或者是停業,比起來你只要投資 30 萬、40 萬就可以加強資安,大部分的人都會做一個理性選擇,就是要投資,所以我們這邊也媒合這些需要的這些商家跟我們的資安產業,特別做所謂紅隊的演練。
紅隊就是別人打進你的資料庫前,我們先找這些資安的白帽駭客也打進你的資料庫,但是不是拿去做壞事,而是告訴你說怎麼樣修補這些漏洞,這樣子的話,只要這邊的技巧相當地高竿,就可以一下子找到所有比較明顯的漏洞,這樣子的話,當這些都解決之後,之後就個資外洩,被罰的機率就大幅降低。
我知道現在很多企業的抱怨是,他覺得政府規定的這些要求,他們其實也都做了,做了以後問題是他的外包廠商,就是出包的其實是他的外包廠商。
對,像很多電商是他的手機號碼保持得很好,但是它就是要快遞、物流,它總是覺得客戶的手機號碼,你總得交給物流士,不然你怎麼聯絡呢?結果這邊沒有保守好就出去了。
很多業者就會覺得不平,我其實都有照你的規定去做了,結果現在是外包商出了問題,怎麼會罰我呢?
所以這個怎麼辦?
這個我們有一種專門的叫做「隱碼技術」,像剛剛的那個例子,如果說這個物流士收到的不是客戶的手機號碼,而是一串一次性的隨機代碼,他打這個電話中間會經過電信公司的轉接,還是聯絡得到客戶,但是貨送到之後,這個代碼就失效,這樣子的話,即使這個物流士事後的 mail 或什麼被入侵,他看到這一串亂碼、代碼,反正已經聯絡不到你了,所以就沒有個資洩漏的問題。
所以像隱碼技術這個是最簡單的隱私強化技術,所以我們現在推有一個隱私強化技術指引,就是告訴這一些說自己保守得很好的,怎麼樣在不把個資透露給他的外包廠商或下游廠商的前提下,還是讓他們可以去做到本來像聯絡客戶的這些事情,所以這也是我們負責的。
會不會很貴?
我第一個想到的是會不會很貴。
這個還好是因為沒有什麼專利的問題,因為像我剛剛這樣一解釋,其實大家應該就聽懂了,所以這種程度的也不能申請專利,也沒有什麼授權金的問題,所以主要還是要讓大家知道有這個選擇存在,這樣子的話,能夠提供這個服務的其實滿多的,只要市場競爭者多,單價當然也不會太高。
可是另外一個問題,這個是我自己的(問題),比如我們跟 LINE 合作,LINE 自己就有一套因為資安的關係,所以就有一套他的系統,我們其實在稿子上都必須要共筆的,就是我們寫完之後其實是 LINE 的團隊也要看過,可是他們的系統真的比我們在做文書來講太不方便了,因為為了安全的問題就不好用,其實越安全就越不好用,我們說實在後來就變成我們還在用 Google Docs,他們就用一套他們自己的系統,我覺得其實在推廣上不容易。
我是覺得 Google Docs 也可以有相當地安全係數,就是說你也可以打開像兩階段的認證或者是用一些要求比較強的登入方式,像我剛剛講的免密碼登入,我們也是用 Google,但是我們不是打密碼,我們是一定要用自然憑證或者是行動自然人憑證,甚至還要再加上一層微軟的 Authenticator 感應指紋才可以登入,這樣的話,即使是 Google Docs 你前面那三道門防守好,後面的這個資安的疑慮就比較小。
聽起來就很麻煩。
可以問 LINE 的團隊要不要試試看。
好,我忍耐,聽到安全就是要麻煩,這沒有法子。可是最近我知道,有民眾說應徵電信技術中心工作就傳出了個資外洩,被詐騙電話騷擾這個事情,這很像數發部轄下的單位。
對,TTC 是我們的法人。
聽起來你們自己怎麼會也資料被外洩?這個東西我會覺得怎麼數發部出這個事,你覺得這個懷疑有沒有道理?
其實如果能夠打消我們的系統,對於那個境外的攻擊者來講當然是大功一件,所以我們確實有很多免費的測試者幫我們測試這些系統。但是在這一件事上,從我們的角度來看,不是說很像這 5 個人的電話跑到什麼境外的網站上或者是什麼外洩等等,是說我們主動偵測到這一位承辦人的 mail 裡面可能有這 5 個人的電話,有人試著跨境讀取他的 mail,我們當然立刻就補上這個漏洞,也切換到剛剛講的零信任的這個 mail,所以之後不會有類似的事情。
這次這個跨境透過跳板也不一定把這些電話真的有去外洩出去放到哪裡,但是我們是採取最高的標準,首先我們立刻就做了資安的通報,等於就是用同樣的這個廠商系統的,立刻就可以升級到沒有這個問題的版本,這個是第一個。第二個,就算只是有這個疑慮,我們也採取最高標準,就是一個個打電話去跟這 5 位朋友道歉,然後希望他們提高警覺。
這個我瞭解,這個是事後的措施,可是我現在在講的就是說,你覺得我們民眾挑了這件事來講,就是你們數發部怎麼可以出這種事,你覺得這個抱怨有沒有道理?
我覺得重點還是碰到事情的時候,怎麼樣去面對、怎麼樣去處理。
《個資法》說我們查明後要通知當事人,我們現在是當然這個境外跳板哪裡來的等等,這個還在查。但只要有疑慮,馬上通知當事人,這個是我們告訴其他的部會、其他的機關,甚至包含民間的電商應該做的,而不是說我一直等到六個月、十個月查明再通知,因為那樣子的話,當事人提高警覺的那個 window 那個時間已經過了。
所以寧可我們最後查,其實沒有流出去,但是至少請他先提高警覺,也不要變成我們查個半年、一年等等,最後確定流出去,然後再通知他,那就沒有意義了,所以我覺得就是提升全民的資安意識,是要從我們自己的法遵來做起。
我覺得聽你這個就覺得實在滿困難的,因為很多事情其實要即時反應,就是馬上要做的。
先談一下臺灣資安的部分,說實在的,就像您剛剛提到馬祖電纜被切的事情,還有俄烏戰爭的時候,他們其實用很多 Elon Musk 的東西,那個東西大家看得出來,就是在俄烏戰爭這件事,低軌衛星這件事多麼的重要,但是我知道我們不能用,因為 Elon Musk 跟中國的關係,我們不能用,所以我現在很想知道的是,你剛剛也講資安這個東西對數發部來講?
我們才確定過它的 OneWeb。
對,你覺得最重要的事情,你可以跟大家講一下,關於這一點,數發部目前在做哪一些這方面的事情?
我想最重要的就是剛剛講到的,我們不可能說我們去依賴 Starlink,這個大家都不可能這樣想,但是好在 OneWeb 會全臺灣覆蓋,他有英國政府所謂的黃金股,也就是說,不管持有的股權多少,可以一票否決掉在供應鏈上面去威脅到資安的任何決策,所以我專程去英國,也見到相當高階的官員,他們也是跟我們講這件事,就是英國政府對 OneWeb 有黃金股,而且沒有哪一個政府可以去搶走這樣的決策權。
因為這樣的關係,我們挑了 OneWeb 在低軌道,以及中軌道就是盧森堡的 SES,這兩個我們是覺得信得過的。有了這兩個保底之後,當然有很多新的,像 Kupier、Telesat 等等,也包含 Starlink,這個時候我們這 700 個,在明年年底之前會布署衛星的接收站,就可以去⋯⋯
在地面上了?
在地面上了。
這 700 個要遍布全台?
今年先從一些離島開始,因為離島它一旦斷掉,其實沒有什麼備援,不像在本島有多家電信公司等等,所以我們先把離島做一些測試,這些測試大概獲得一些數據沒問題之後,明年就會全面擴大地鋪設。
我們也很期待,如果民間的一些廠商覺得他們也很重要,他們也有他們的資料中心等等的話,到明年其實低軌衛星應該也都可以商用,這個時候他們就可以也去買這樣的服務,中軌現在是已經開放、已經有商用了,這個是第一個。
第二個是確保連線沒有問題了,但是在以前是說我的手機如果是這家電信商,這個電信商可能碰到一些災害等等,基地台沒了,我沒有辦法漫游,漫游通常是國外你出國漫游回國內,但是國內這三家中間彼此漫游,以前沒有這個機制,所以我們在今年 921,第一次就演練了,如果你是重要的,好比像國際上有知名度的一些記者等等,發生災難的時候,你要把到底發生什麼事情,第一時間傳給國外知道,因為如果像在基輔的狀況,如果不是 Zelenskyy 和一些駐當地的記者每天每天直播、傳這個訊息出去,我想 Deepfake 早就已經,所有偽造的影音早就已經攻占全世界。
所以,第一手的真相報導非常重要,所以我們就要確保說這些救災救難人員第一手報導的人員,手上不管哪一家電信公司的 SIM 卡,他一定都要能夠漫游出去,如果海纜中斷的話,漫游到的這個基地台後面接衛星,也要讓它的訊號出去,這個非常重要。
我先確定一下有沒有聽懂,第一個是 OneWeb,也就是低軌衛星的部分,第二個就是確定我們各個不同的電信公司,比如說中華電信或者是臺灣大哥大,平常是不互通的。
對,還有遠傳。現在在必要的時候,它是可以互通的。
對,就是針對這些 VIP 的手機,它不管 SIM 卡是哪一家公司的,它都可以去使用;第三個是把這兩個結合在一起,就是我們的基地台如果本來是接光纖、接海纜出去,海纜斷掉了,我們就要想盡辦法讓這些基地台是接衛星出去。
How secure to feel about this?我當然覺得因為要看有多少錢、多少事,這個是很關鍵的,你覺得目前我們所投入的資源在這上面夠不夠?
我覺得滿夠的。主要的原因是,其實我們真正在很 critical 的時候,我們對外國需要的頻寬並沒有那麼多,這裡面非常重要一點,就是我們國內彼此之間,像你剛剛提到的 Google Docs,可能有人用 Google Meet,你跟 Google Meet 打電話,跟 Gmail 帳號或者是我們數位部帳號,我們中間這整個通訊都是通過彰化那邊的資料中心,所以即時我們對外海纜斷掉,只要 Google 那個資料中心沒有怎麼樣,我們中間都還是可以非常高品質的視訊通話,這個在災難發生的時候,穩定民心非常重要。
但是,如果我們用得是其他通訊軟體的視訊功能,我們在打電話的時候,就要先經過像日本的 Amazon,這個時候如果海纜斷掉了,我們連一開始撥話,甚至通訊錄都打不開,這個時候就會造成一些恐慌,所以我們接下來很重要的任務,就是去說服不管是已經落地的 Google、即將落地的微軟或者是希望即將落地的 Amazon,都可以在國內投資足夠多的這種 Local Resilience,就是本地韌性的資料中心,我們把常見的這些通訊軟體,至少保持最基本的通話或者是文字功能,都放在臺灣,這樣子的話,真的對外海纜發生什麼事情,至少我們內部的這些通訊都是暢通的。
聽起來都沒有太大問題。所以你覺得到目前來講,你覺得現在這樣子,我可不可以請教部長,萬一真的發生戰時的時候,你最擔心什麼?從你的角度。
就像剛剛講到的,如果我們對外完全沒有辦法通訊,相信你也知道本來很多在北京或上海或香港的國際記者現在都在臺灣,他們如果沒有辦法即時把通訊傳出去,我當然最擔心的就是,在網路上就會充斥很多用生成式 AI 合成出來的,臺灣這邊的領導人,所有的縣市長,甚至包含總統。因為我們對外沒有辦法通訊了,所以上面就會充滿各種合成的這種狀態。
這樣其實你可以比較一下,你剛剛提到基輔的時候,他們用 Starlink 等等,其實訊息有傳出去,其實他們前面有一次,就是克里米亞的時候,沒有那麼即時的訊息,這兩個不管是看國際的支持度或者是在網際網路上到底到底風向倒向哪一邊等等,其實是天壤之別,所以從我們的角度來看,我們最擔心的是對外的通訊如果完全 block out 的話,在國際的支持上會有非常大的影響。
所以這個應該要想辦法解決。這個是講到資安的部分,我知道你剛剛去美國回來,跟大家講一下你這次做的事情是什麼?部長怎麼想關於網友提到出國的事?
我引用一下,最近美國白宮的一個高階官員,就是 Anne Neuberger,副國家安全顧問,他也有對外表示說臺灣的政治跟軍事的領導階層,已經全員出動來預期爆發的網路戰,華府是已經做足了準備來對臺灣網路的攻防提供全力支援,這個是他的話。
從我們的角度來看,舉例來說像 10 月即將要做的攻防演練,我們就不是自己在國內的紅隊、藍隊演練,我們是邀國際上的朋友,當然包含美國的來扮演紅隊的角色,就是實際來攻擊我們,然後來看看找出哪些漏洞,然後演練之後就雙方紅藍結合,所謂紫隊的討論,這個紫隊才是最重要的。
因為以後如果發生真正事情的時候,我們才知道怎麼樣去跟這些各國願意幫助我們的這些聯防來合作,你看烏克蘭的費多羅夫,主要就是做這樣的事情。但是我們要討論這些事情的時候,其實很多時候見面談的時候,手機都不能帶進去,這個是非常高的 security、strategic conversation,就是一個戰略上的對談,所以當然不管我們去華府或者紐約,或者是他們過來,像其實有相當多的高階官員有訪談,我覺得這個都是非常必要的,因為大部分的事情,他們也不會願意說我們開個 Google Meet 就來講,所以特別是在資安的這件事上,我覺得這個不但是必要,而且未來只會越來越多。
我也知道你才剛去美國回來,跟我們講一下,而且去了紐約,跟我們談一談這次去美國的主要目的是什麼?
這次主要是在聯合國大會周邊,我也有參加布林肯國務卿主持的,包含各地所有的 FOC,就是一個線上自由的聯盟,我們是觀察員,包含其他的數位部長、數位大使,或者是外交部長,大家齊聚一堂,然後一起討論說怎麼樣因應這種生成式 AI 對於線上叫做「information integrity」造成的這種危害,還有就是說如果有一些極權國家運用這種 AI 來監控他們的人民,甚至國外的人民的動向,我們怎麼樣去保障各國的隱私等等,這個當然是非常重要的一個題目。
我覺得滿高興的是,因為我們是完整觀察員的身分加入,所以你看不管是座次、安排等等,其實就是跟所有其他國家的部長都是平起平坐,這個看得出一個決心,就是說在 UN 相關的這種機構等等,在以前都是要用一個非政府組織,好比像 NGO 等等的身分,有可能取得觀察員的身分。
但是現在因為有簽《未來網際網路宣言》,我是用 minister 的身分簽的,所以簽了之後就是直接跟其他 minister 平起平坐,而不需要 NGO 代我們發言。
我覺得這個要先跟觀眾說明一下,因為你剛剛跟我講這個東西,我為什麼非常驚訝的是,因為聯合國相關的組織,其實臺灣一直在參與上有很大的困難,主要就是因為中國在 UN 的勢力真的非常大。我自己跑了聯合國十多年,我又代表臺灣媒體,我真的是吃盡了他們的排頭。
對,我是說真的。所以這次你講,我是真的覺得,這個是真的滿不容易的一件事!非常不容易的一件事!就是部長可以自己去,而且跟其他各國合作。
對,minister。
即使是周邊活動,都還是滿重要的。你覺得跟美國的態度,就是給我們的支持態度,有沒有關係?
有相當大的關係。像我簽 DFI 的未來網際網路宣言,大家如果看那張合照,就是我把臺灣地圖放我後面,空拍圖後面那一張,他們就是強調我的位置,以及費多羅夫的位置。如果大家去看我簽未來網際網路宣言的那一整套,包含螢幕截圖,當然我在第一排旁邊,後面是臺灣的背景、衛星的空拍圖,但是旁邊重要的另外一個位置,就是費多羅夫。
大家都看到烏克蘭的例子,不是傳統上的這種軍事對抗,而更多的是在網路上面,不管是像剛剛講到通訊的韌性,或者是怎麼樣把實際發生的事情傳出去,在在都讓我們看到在網際網路上其實沒有地緣的遠近,有時候反而是價值的遠近,不管是臺灣在這個位置、烏克蘭在那個位置,但是因為網際網路都是光速,所以哪一些可以攻擊得到我們的,說不定一個小時之後就攻擊到他們,反過來也是一樣。
所以,我們促進這樣的聯防,就超越以前旁邊可能跟印太周邊國家等等結盟,因為那個是傳統的軍事結盟。但是在網際網路上最重要的,就是所有認同這種自由開放人權網際網路的,告訴這個世界說「我們要把網際網路做成共用的韌性建設」,我覺得這一件事,確實是在俄羅斯入侵烏克蘭之後,包含美國,但是也包含歐洲、英國等等各國,現在都很願意在這一件事上來聯防臺灣,因為他們瞭解到臺灣遭受到的這種攻擊,可能一個小時之後就到他們了,跟以前地緣上比較遠是不一樣的。
你覺得臺灣在這個議題上面,就是 cyberattack 上面,你覺得各國重視的程度怎麼樣?
可以說是史上最高。
我需要多一點資訊,因為我覺得我沒有 reference 可以比較,講到臺灣問題的時候,各國的反應怎麼樣?我說實在的,我那時候在聯合國的時間是從 90 年代一直跑到 2010 年,差不多 1、20 年的時間,臺灣是很吃癟的,其實講了也沒有人理,嚴肅來說就是這樣子。
但是我現在知道的是,現在臺灣尤其講到 cyberattack 的時候,各國的態度是怎麼樣,他們覺得這個事情很重要嗎?
您剛剛講到那一段時間,感覺是臺灣「Taiwan needs help.」,就是需要大家來幫我們爭取,但是在資安這件事上是反過來,是「Taiwan Can Help」,也就是說,大家都瞭解,有一點像以色列的狀態一樣,實質上就是處於前線,最新的攻擊、最新的一些木馬病毒等等,臺灣蒐集的可能是最全的。
在這個情況之下,我們這邊想到的一些解決方案或者是我們這些實際實行,而且真的可以抵禦出一些攻擊的做法,對於全球來講都是非常非常重要,因為就像剛剛講的,打臺灣沒有成功的,不表示他一個小時不會去打其他國家,所以我們在這一個小時裡面做了什麼應對、蒐集了什麼,我們叫做「threat indicator」,這個威脅的真相等等,這一些我們如果即時在一個小時之內機器對機器分散到各國,告訴大家說這種攻擊要來了,你這樣因應就可以擋得住,這樣對大家來講是非常非常有價值的情報。
第二,當然在我們自己的資安產業上,包含資安的這些好手,我穿的這件 TWN 48 就是今年我們的好手去全世界最高等級的資安攻防賽,也獲得全球第三名,因為連續幾年都非常好的成績,所以全世界現在聽到臺灣絕對是一個資安強國,這樣也包含我們資安產業等等對外輸出也有非常好的市場。
也許你覺得這有沒有辦法變成我們下一個護國神山呢?
確實是,我們六大戰略產業裡面,當然台積電晶片的資通訊,這個是一個,但是資安獨立出來,是另外一個,我覺得這個是可以並列的。
所以這件事上你覺得在跟各國密切交往這件事上有多重要?
非常非常重要。尤其是像現在生成式 AI,它象徵著一種全新的資安攻擊方法,以前是有一點像遙控,就是駭客透過跳板什麼的,每一步要攻佔這裡、要橫向移動去哪裡必須遙控,所以很多的防守是在你偵測他遙控的流量,像我們之前講到的有疑慮的時候,就要把下一步橫向移動擋住等等,但是現在發現有了生成式 AI,一次中一個木馬進來之後,這個木馬變成好像一個駭客的腦子住在對方的電腦裡,這叫 living off the land,這個時候他用這邊的 CPU、GPU 這些運算能力,自己橫向移動、自己合成病毒,等於說本來是遙控飛機,現在變成自主的無人機了。
這樣的話,傳統的這種威脅偵查的這個方法,就要重新去想,你可能就要變成真正的零信任,就是你不能說你進入內網之後就假設是好人,內網裡面可能有一些是生化人、是合成出來的 AI 攻擊者,這個時候每一步都要經過三重的驗證等等,所以這一次去紐約、去 D.C.,他們對數位部這麼快速地布署無密碼、零信任的防禦架構,大家都覺得很驚訝,因為在他們可能都要兩、三年以上,我們一年就做到了,這樣的分享對他們來講,非常有實戰的精進作用。
可是這個講到一個東西,就是 AI 將來被用在 cyber attack 上面,我想是必然的趨勢,可是我知道中國其實在 AI 的發展上,非常非常先進,他們其實很厲害的,怎麼辦?
就像剛剛講到的,如果我們的防守是跟對方消耗資源,我們一定不可能消耗得過對方投入的資源,這個我們在去年 8 月就看到了,他們為了癱瘓掉我們幾個官方網站幾個小時,他們那一天投入的資源是 23 倍與之前的最高值,所以可以說不惜血本,只為了癱瘓幾個小時。
所以我們如果要去跟他們對好資源,我們沒有這麼多的資源,但是反過來講,我們如果去改變我們防守的方式,像我們後來就改變成一個叫做所謂的靜態化方式,就是如果你是國外來的人,我們可能一個小時才更新一次網站,在這一小時裡面,國外的任何人看到的,都是同樣版本的網站,變成這樣子。
這樣他不管投入多少資源,我們這邊每小時只要消耗一份資源,這樣就把人家攻擊抵銷掉了,所以對我們來講,重點不是我們的資源多少、他們資源多少,而是我們儘快去找到所有脆弱的地方,就是本來是用對耗的方法,把它改成不對稱、對防守方有利的做法。
OK,你希望民眾配合什麼?
當然,最重要的是要提升自己的資安意識,等我們「111」全面採用之後,如果這是 10 碼,然後說是政府的,可能就不要相信了,就是短碼才是真的。希望我們能夠儘快在年底試辦,沒有問題的話就推到這個地步,這個是第一點,就是認明各種情況的藍勾勾,這個是第一個。
第二,也盡可能在不管是用電商或者怎麼樣的時候,儘量看到如果只讓你輸入帳號密碼,而沒有額外像透過簡訊或者是透過 APP 來確認的話,可能要慢慢切換到不要只相信密碼的這一點,因為密碼是短的好記的,現在 AI 一下子就破解了,長的 AI 破解不了,你反正也記不住,說不定還寫個便條紙貼在電腦上,或者是在不同的網站間重複利用,那樣子的話,一個打穿就打穿了,所以我們慢慢就會切換到多個因素,甚至最後免密碼的這個狀態,如果你常用的電商等等,還沒有運用這一些先進技術的話,可能就是要給他一些壓力,就是為什麼沒有提供兩階段驗證這樣子。
或者是生物驗證,就是 push 他。
為什麼還沒有用 FidO。
就是 push 他用更精密的東西。
就是錢有花下去就做。
對,這樣對我們資安產業絕對很有幫助。
部長,從烏克蘭戰役在資安上,你學到什麼?
各國都學到兩件事,一個是你的友軍、援軍是在千里之外、萬里之外,就像剛剛講的網路上都是光速,所以其實不管臺灣跟烏克蘭多遠,願意去幫忙的人,特別是在網路上面,立刻就可以幫到忙,所以反過來講,我們現在就要透過聯合演訓的方式,讓所有的民主陣營知道發生事情的時候,這邊就需要他們來防守,因為我們可能要處理另外一邊的事情,這個是最重要的,第一個。
第二個,除了民主陣營聯防之外,就是剛剛講到的雞蛋不要放在同一個籃子裡,如果你只有一種光纖連外,那個斷了,你什麼都沒有,就算你有衛星,如果你只有一種衛星,那個衛星營運商不提供服務,你拿他一點辦法也沒有,所以任何時候都要有多於一種,最好要有三種以上的解決方案,這樣子就算其中一、兩種被斷掉、被入侵怎麼樣,至少第一個我們還有別的做法,第二個是我們可以透過這樣子新的做法,聯繫外面的人說這邊需要援助,然後趕快把它補上。
所以這種恢復力的韌性,這個是重要的。因為我們很多包含海纜在哪裡、微波站在哪裡,這個不是秘密,衛星一拍就知道了,所以我們也不能假設說他永遠就會在那邊不被破壞掉,我們現在想的都是最壞的狀況,就是所有對方已經知道位置的東西都被破壞掉的情況下,我們還是要保持這種對外聯繫的方法。
你剛剛講最好還要有三套對不對?現在有幾套?目前有幾套?
現在我們如果專門以衛星來講的話,我們有同步衛星、有中軌衛星、低軌衛星各一套,現在是這個情況,三個軌道如果都加幾個,這當然最好,這個是第一點。如果是以雲端的廠商來講,Google 已經落地了,微軟透過共構的方式,現在也在落地的途中,只要 Amazon 進來就有三套。
部長,我們三年前碰到的那一次,那次剛好是在炎上最嚴重的時候,我記得那個時候你的應對,我那時候說實在其實滿煩惱的,也聊了一下,那時候你跟我講一句說你覺得我太用力了。
說實在的,話為什麼記到現在,因為我覺得你講得很有道理,我覺得我太用力了,你那時候還跟我講說,人家罵我的時候,那些梗圖都當作網友的創作在欣賞。
對,二次創作。有些真的很有創意,像旋律什麼的。
可是我必須要說,因為我真的覺得要找到比我罵更多的,今年也不是很多,你可能就是其中之一,怎麼樣適應這個心情?我真的覺得被罵的時候心情不好,怎麼適應?還是你不會心情不好?
我真的還好。
真的還假的?你真的不會心情不好?完全不會影響心情?
可能因為我之前在蘋果,做他們的顧問,跟 Siri 一起工作了 6 年,Siri 每次有一種新的語言時候,很多我們會去蒐集的,就是那個語言怎麼罵人,因為你可以想像大家都會罵 Siri,脾氣不好就找 Siri 出氣。這個時候,如果 Siri 跟他對罵,蘋果就不用賣手機了,所以一定要想很多這種轉念的方法,像開玩笑或者是給他一些他可能會需要的幫助,忽略掉裡面完全人身攻擊的部分,但是知道對方這個情緒表示他重視這件事,所以就是 Siri 也表現很重視這些事情。所以像這些事情,其實之前每次 Siri 要講新的語言,有時蘋果還會專門爭那個語言的詩人、文學家來回答這樣子的問題。
所以從我的角度來看,這些都是語言的材料,所以有的時候我看到對我特別厲害的人身攻擊,我會很欣賞,我以前中文可以這樣用,我本來不知道可以這樣子用,所以第一個我欣賞這些創意,第二個我也瞭解到裡面很多是對我們實質的期許。所以把人身攻擊的部分剝掉,像剛剛提到的需要我們在資安上更加把勁,需要我們跟監理機關聯防等等,這個我就會回去跟我們的同仁說,這個部分確實是有道理,我們大家就來做。
Siri 是電腦,人會有情緒的,我是說真的,我當然覺得你講的邏輯我都瞭解,但是我還是要講一遍,Siri 是電腦,你不是電腦,所以你都沒有情緒過的時候嗎?
我會有情緒的時候,就是我沒有睡夠的時候,我想剛剛講到的很多這種跨境網攻,其實網路攻擊不容易一下子就取得灘頭堡,大部分的攻擊是心戰的一環,就是要讓我們自己對自己的防守產生懷疑,如果去年 8 月股市下墜,他們心戰就成功了,不過股市反而上漲。
所以我的意思是說,像當時去年 8 月那一波攻擊來的時候,當時現在資安署的署長,當時也是在資管處負責這一方面的防禦,我就跟他「我只管考你一件事,就是你每天睡幾個小時」,因為人如果長期沒睡夠,任何新的攻擊來的時候,你只會用舊的方式去反應。因為人是靠睡眠來學習的,你的短期記憶寫進長期記憶是要睡夠,所以每一次的攻擊過來的時候,如果沒有睡夠就學不到教訓。
所以從我的角度來看,我每天受到的攻擊再強烈,我就管考自己一定要睡到 8 小時,如果那一天攻擊很強烈,我失眠只睡 4 小時,我中午一定要再加 2 小時、2 小時把它補上,只有這樣子,我隔天醒來的時候,就會覺得確實這個是語言的材料,我下次看到就知道怎麼樣回應。
可是我現在擔心的是,我覺得很多想要專心做事的人沒有辦法專心做事,就是我覺得這個的確是民主制度的問題,我們就是民主國家,那沒辦法,有些時候就是會有這樣的情況發生。可是你會不會擔心變成敵對方,因為變成政治提款機?你是在做事,但是太容易被攻擊了。
我想如果是不要否定掉我們在做的事的話,我覺得就還好。像我剛才講到的,我們從 OneWeb、從英國把低軌道衛星布署到不管是馬祖、未來太平島等等,我目前為止並沒有看到哪一個政黨否定這件事。
對我來講,因為我用的都是常任文官當司署長,讓他們有一個不受黨派影響的工作環境,這個是最重要的。所以對我個人,不管是做梗圖之類,只要最後的結果是四個黨派,都支持我們的司署長在做的造橋鋪路的這些事情,那就很值得。在這個中間我如果吸收一些炮火什麼的,我覺得這本來就是政務官應該做的事。
萬一老闆撐不住了呢?不是你撐不住,老闆撐不住,怎麼辦?
其實您剛剛提到的我在 2014 年就經驗過,我記得那個時候我才剛剛加入行政院,當時蔡玉玲政委的團隊當專案顧問,沒多久就碰到縣市長選舉,選舉之後當然狀況就有很大的改變,有些政務官不在了、院長也換人了。當時我也還記得,本來江宜樺院長可能有很多真的還不錯的規劃,但可能只有不到 10%的人支持這些想法,90%的人就算沒問題,也硬要找出一些問題來。我想 2014 年的狀況,大家是記得的。
當時很多的高階文官就很擔心,就是我們規劃到的這些應該要有的延續性事情,會不會到了 2016 年,大家當時也大概知道 2016 年會換人,是不是全部都要打掉,剩最後一年多要做什麼?這個是很真實的憂慮。
所以我們當時跟他們的討論,我覺得是有一種默契,如果這件事真的是對大家都好,我們就應該從開放政府的精神在剩下來的這一年就邀各種不同黨派的人一起來做這件事情,所以在這個後面不管是「vTaiwan」等等的這些計畫,我們都很在意的去看到不管是各個黨派,大黨、小黨等等,最好立委或者是助理都可以一起來參加,這樣大家就開始瞭解到我們去調適這種法規,我們要確保 Uber 不要侵蝕到計程車的權利、要照顧到偏鄉白牌的司機,要讓他們能夠轉正等等這些,其實真的沒有黨派,而且大家都是一起來參與討論。這樣子的話,到 2016 年之後,政策就有延續性。
所以,從我的角度來看,不管所謂的老闆、行政院長怎麼樣,只要持續保持這種開門造車的精神,邀請各個不同的黨派一起,在技術上或者是法規調適上一起集思廣益,這樣的話,不管之後選舉的結果怎麼樣,我想這些有延續性的政策就會繼續下去。
可是我現在擔心的就是,為了黨派,競爭得太厲害的時候,有些時候本來應該是沒有顏色的東西,後來都有顏色,我覺得現在有一點這個味道,有些很中立的東西,但是事實上就會被貼標籤。
我現在覺得還好,我覺得我們這一年下來,大家看到我真的沒有黨派,真的恪守行政中立,從來沒有幫誰助選。
在這個情況下,包含我之前去巡迴各都、南部縣市的首長,我也都收到不分黨派,剛好只是加起來 5 個(民進黨執政)、5 個(國民黨執政)縣市,都覺得我們數位部做的事情,跟地方政府越緊密結合,在聯防上越有保障。
至少,我從地方政府聽起來,他們不分哪一個黨派,都覺得數位部在做的事情對他們是有幫助的,所以我覺得這一件事也是讓我們士氣一直都保持還滿高的原因,就是因為我們滿確定知道,我們在做的事情是超越黨派。
可是我覺得民眾罵得很兇。
那就表示他們關心。
您真是樂觀(笑)。
如果不罵,我們也不會知道政策怎麼調整。
好,如果有一天,其實我跟陳吉仲談過,因為我覺得他也是做事的人,我一直覺得現在官很難做,你有沒有想過這件事?你有沒有覺得這個太難做了,然後我覺得我其實在外面也可以賺很多錢、也可以做很多事情,為什麼要去做這個官,然後被罵得半死?有沒有想過這種事?
我 2014 年的時候,其實跟事務官同仁就討論過這個問題,相信大家都知道我自我期許,就是所謂「公僕的公僕」,就是用數位來幫助整個公務系統來解決問題,而且因為強化這個合作,所以就是化謾罵為力量,讓公務體系一下子就可以看到,雖然大家有各種批評指教,但是有哪一些真的是共通問題,我們先解決了,就可以從源頭防止很多這些下游的問題。
所以透過我這種「公僕的公僕」這個角度,我覺得這些謾罵什麼,在我看起來都是大家關心,而且可以讓我們很快凝聚出應該要做什麼事情。不管聲量再怎麼樣,我覺得比起 2014 年,都沒那麼嚴重。
這個我可以理解(笑)。你說你沒有政黨的顏色,這個我可以理解,可是這也是你對你自己的期許,我覺得。
我的意思是,因為沒有政黨因素的關係,會不會造成有些時候反而在政治攻防上,你就少了一些資源,這個是第一個問題,就是你被打的時候,你就沒有同志出來幫你?
不過我覺得,我們在做剛剛講到兩件最主要的事情,第一個是抵禦境外的攻擊,另外一個是在聯合國的這些場合,去不要像以前那樣被打壓,而是說能夠幫助別人,我看不出來有哪一個黨派會現在主張說「境外攻擊來,我想就算了」,或者是「在聯合國被打壓就算了」,沒有人這樣想,我們受到這兩方面的外國、境外敵對勢力的壓力的時候,在我看起來四個黨主要的政黨都是很挺的。
好,我覺得有些人會講說這個態度可能政治敏感度不足,你覺得政治敏感度不足的這一件事情,從你的角度來看是個優點或者是缺點?
不過我想,這就是牽涉到我們對數位這件事情的想像。在我看起來,「數位」就是能夠更快把本來對立的人,因為他沒有溝通的方法,能夠凝聚出一些共同想法。
因為有這樣子的想法,所以對我來說有越來越多對立立場的本身並不是一個問題,當然在很多國外我們會看到他其實也沒有很多立場就兩個,一邊說好的、另外一邊一定要說壞的,這個在我看起來就不是「數位」的狀態,而是他們被關在很像泡泡、泡沫裡面一樣。在那個泡沫裡面,他沒有辦法接觸到別的泡泡裡面的任何資訊。
所以在我的角度,不管是推動所謂的開放資料等等,都是在說:你可能不認同這個政黨,可能不認同這個政策,但是你行你來,因為所有即時的資訊都有分享給你,你如果想到更好的做法,至少你是從我們做到的這個程度往上,而不是說我們這邊什麼都不公布出來,你當然也沒有辦法提出更好的解決方案。
所以通過透明達到共創,不能說沒有政治敏感度,應該說是另外一種做政治的方法。
我希望你的方式會勝出,
我滿有信心的。
我希望你的方式會勝出,我說真的,我是說真的。
我希望你這一套方法會 work,真的,真的,因為我覺得我們花太多力氣在談政治上,我希望這一套會 work。
今天我問完了,應該沒有什麼太大的問題。我在為我自己問的,你那時候講說你太用力了,你說太用力是什麼意思?
其實像我最近有看你主持的這集節目以前的各集節目,我覺得你現在好很多。
現在沒有那麼用力。
因為就是會比較讓來賓很明確能夠講出他的立場,當然他的立場未必大家都同意,但是至少是一個 journalistic,就是用一種新聞採訪的這種技巧,去確保他的立場有完整呈現。
因為之前我們上次見面之後,我覺得您有點充滿使命感,確保您想到的那一套立場應該越來越多人知道,但是我覺得透過您這樣子,真的很資深新聞工作方法,呈現出各種不同立場之後,其實大家反而看到就算不同立場的人,真的有一些共同地方在裡面。
有這些共同地方就是民主政治最可貴的,如果有這個,大家才能良性競爭去想更好的做法,而不是一直否定對方的做法,所以我覺得你現在這樣子節目製作的方式,至少我是非常肯定。
對,你知道嗎?其實流量並不怎麼樣(笑),我的意思就是說,我們現在的狀況是,因為不想站邊的關係,可是現在其實站邊的比較容易有流量,所以我們其實是挑了兩種路裡…
就跟我挑的一樣。
對,挑了一條比較難走的路。但是也沒法子了,就這樣子了,我覺得很多時候到後來我覺得是因為也沒辦法走別的路,我感覺你也是這樣。
對,我最重視的,相信你也是,就是這個 integrity,我們剛剛講到的概念上的完整性,如果你丟失掉這個完整性,變成你站邊的這邊,他做好的,你也說好,他做壞的,你也說好,這樣子 integrity 就不見了。
不見了之後,我們還能用什麼方式去鼓勵大家提出更好的想法呢?那不可能了,所以不管您在新聞上面的工作,或者是我在這種開放政策上的工作,它的先決條件就是 integrity。不管是容易還是難,反正也只能這樣子了。
我可不可以假設哪一天,你如果說不做了,就是因為你這個 position 沒有辦法讓你再留住你的 integrity,我可以這樣假設嗎?
其實我不管 2014 年還是 2016 年都講過一樣的話,就是說如果沒有辦法讓各個不同黨派的人,都可以針對政策提出良好的建議、而且有參採的可能性的話,那這樣我做這個位置,也沒有什麼意思。
我問完了,謝謝。