我們也做事前的,現在叫做「韌性巡航」,類似健檢的工作。舉例來講:像 6,000 這一套系統,幾乎可以說沒有出任何問題。特別是之前任務性系統被批評說無障礙沒有做好、低頻寬使用有問題等等,這次可以說都沒有出這種問題,這個是因為 PDIS 在還沒有上線前,先用類似紅隊的感覺,先自己把廠商乙方的都這樣打了一輪,特別專注在可用性或者易用性、可親近性上。
我也想強調一下,其實 PDIS 不是只做這種事後的救火。
我自己當時就簽了三個 NDA。
我一直都是 PDIS,我也有下來寫程式。
這是一個。另外一個是,他照顧到有居留權,但是沒有公民權的這些人。我們在當時其實設計了非常多的這種包容性的政策,到現在包含像你拿居留證也可以請到 TW FidO 等等,都是那個時候過來的。
所以它一方面當然可信度變高,二方面確實防疫是各部會的事情,但衛福部是指揮中心的主軸,所以用衛福部的 app,它的包容性也比較高,因為有很多需要打疫苗或口罩的人,他有保健保、但是沒有身份證。
用健保卡來報地方稅,那個是最早的,那個是我進政府前就擴大憑證使用的範圍。所以變成這個晶片卡,或者是隨著晶片卡而來的「健保快易通」變成讓大家知道只會用來做有健保署白名單過的公共利用,而不會去做一般的商業利用。
這些一定要在這個層級來做,不能只在某個部的層級來做,因為它事實上是要改掉很多現在以部會為主的資訊系統之間互相銜接的方法。這些互相銜接的方法,當然在疫情的時候大家比較會看到,但疫情之後,其實我們是運用當時很多系統,像發 6,000,就是當時發 1 萬的系統改的。後面的這個資料的交換,也是當時設計的 T-Road,現在就全面把它接上,有非常多架構的改變是 PDIS 幫忙貢獻。
它就是一個機制,這個機制以現在來講,就是讓數位部長兼資安院董事長,可以不要只用數位部的範圍,而可以用整個國家的範圍,讓在民間有 Open Source 貢獻的這些朋友們,可以不用那麼委屈自己的薪水的情況下,能夠一起來參加這種國家層級的架構設計。
其實院資訊長是不對外的頭銜。當時大家最多是偶爾看到「唐鳳出手」之類的,那當然不只是我,確實我也會跟著下去寫 code,但是主要就是 PDIS 在幫忙。
除了疫情的時候,可能大家比較知道的之外…
讓臺灣撐到 Omicron 還不算是主要貢獻嗎?
當然,現在也是元老啦。
在資訊處。展銘跟周詳都還在。
像口罩實名制的第一週的試營運,就是我跟展銘、秉倫寫的。
PDIS 當然還是在開源社群裡面以有貢獻的人為主,但是你如果去看資安院徵才的話,他們應該是有 PO 出來,只是我們 review 的時候,會特別看重你在 open source 的一些貢獻,有些人貢獻已經多到不用 interview 了,例如 TonyQ,只是你當初沒有進來而已。
有些人回資策會,也有被業界挖走的。主要是因為當你管了全國的系統,台積電會想用三倍薪水挖你,我們就有人這樣被挖走了。因為你在這個位置上,視野不一樣,你真的管到非常大的系統,這個時候也有類似規模系統需求的業界,就會想要挖角。
有 5 個人是從資策會過來,最早的時候。
所以像剛剛的那個例子,就是院資訊長很好的一個例子。PDIS 按照定義就是支援院資訊長,在這些關於技術的討論上面,它的技術能力必須不弱於這些乙方,這樣的話,你才能夠針對那些乙方說做不到,你能夠出來說其實你做這樣就做得到。
像這種都是你讓公務員自己也是使用者,drinking our own champange,自己用的時候卡住了,才有那個動力去改善,如果都是業界用,然後公務員自己日常不用,其實往往根本不知道卡在哪裡。
我們我自己因為用這個簽公文,所以我們碰到 UX 的問題,大概碰到的都解決了,像之前有一個大的 UX 問題是,如果你要一次補簽很多次,你要掃那麼多次 QR code,沒有人受得了,所以現在就變成像我是指紋感應,我就只要連續感應 20 次,它就簽掉 20 個。
現在它也可以推播。
這就是為什麼我們整個 PKCS 的那一層,原始碼有放出來,就是希望大家可以客製化。
TW FidO 可以用來簽章的這件事,或用來加密這件事,原本也很少人知道,所以我們那時候是說如果要業界廣泛使用,你不能像以前那樣只有政府、電信這些產業、金融這些產業用,就必須開放給民間的二房東們來用。
那時候因為 TW FidO,至少在新創上面,確實是一個很容易接的東西,比起獨卡機總是好多了,手機當讀卡機也 OK,但總是會忘記帶卡,所以總是有實際的需求。
有這個是很重要的,因為舉例來講,像這陣子討論 TW FidO 要不要開放給所有民間使用,這個就不是內政部或數位部或哪個部會可以單獨決定,而就是要大家一起湊起來想,就是大家都可以用。像這個就是我用院資訊長的名義做成的裁示,並不是以數位部長的名義,所以內政部也都有在那一場會議。
Simon 之前在採訪裡也有提到,他以政委或部長的角度,他有一陣子去當部長,他比較難跨部會去做聯繫,因為按照定義,每個部有他自己的規範,但是他可以用院資訊長的名義召開會議,這個時候就是要脫離部的角色,他的部可能就派個次長來參加他的會議,他是用整個院的角度來做規劃。
精確來講,PDIS 現在其實是行政院資訊長辦公室。行政院資訊長是在 NICI 時代就有的一個稱號,應該是 Simon 創建的,他在當政委的時候,就是政委當院資訊長,他在當部長的時候,就是部長當院資訊長,總之院資訊長是一級的資訊長。
沒關係,慢慢問。
那我們 moda 現在比較是在上面,跟業界好像接個馬達、發電機,排線接更多一點,不會變成什麼都要回到中研院的老師們身上。
很像是最底層的 L1。
真的不行就會回到中研院,中研院總是在的。
前面的部分,臺灣並不缺。之前比較缺的,是從政府的角度承諾,每年都會付年費、每年都會參加、每年無論民間有多少需求,我都會提出來等等。以前常常是可能今年剛好這個法人有一支計畫,明年那個法人有一支計畫,然後國際參與就會在法人中間漂來漂去。
至於有些利害關係人,如果蒐集需求的方式比較沒有效率或頻寬比較窄一點,這樣的情況下,在這方面的貢獻就比較少。
這一套作法其實比起國際上的條約、談判等等,可以說是更敏捷的作法,所以也就是 為什麼我們比較喜歡或比較適應的作法,就是因為我們這邊並不缺即時蒐集需求、即時反應需求的能力,所以我們這邊蒐集到需求時,如果能夠很快進入國際標準的話,從我們的角度來看,我們的貢獻就比較容易。
但是有協定的好處是,至少大家把雖不滿意、但可接受「Rough Consensus」的部分 先白紙黑字寫下來,就像 TonyQ 剛才說的,這個跟國際協定最大的不同就是他是 living document,就是他是可以隨時更版的,只是把我們這階段的共識先寫下來,節省所有人的交易成本,之後還可以快速的更新。
通常會有協定,就是因為要解決同一個問題有兩個以上的解決方案,像當年 Netscape 跟 Mosaic,或者後來的 Netscape 跟 IE 就是最好的例子。如果你有兩個以上的解決方案, 就會到最後變成 n×m,也就是你這邊有那麼多的方案提供者、有那麼多的需求,大家彼此之間要花極大的溝通成本,一個 HTML 要測三個瀏覽器的七個版本等等那種很慘的狀態,我們都經歷過。
對,就是當我們對於個資、對於人權的價值接近歐盟的時候,我們即使不是歐盟成員國,也可以透過技術對接達到一樣的待遇。
我們以前的法律很在乎這種雙邊互惠,那但是現在其實特別是像這些分散式的 trust system 當道的時代,你去看歐盟的 wallet 或 eIDAS 2.0,也就是大家共用一個分散式帳本,像這樣子的話,你看像烏克蘭不是歐盟的成員,但是他可以參與同一個 trust system 他的簽章歐盟就認,所以這個情況下,我們也可以跟歐盟在一個比較對等的位置上。
像我們這次《電子簽章法》很順利三讀,沒有任何一個政黨反對,其他大部份法案都會拉下冷凍一個月,我們的立刻就三讀了。像這裡面就特別提到以前是要簽雙邊協定,但是這個對臺灣是特別困難的,所以我們就改成當然同樣安全的標準,但是你可以簽雙邊互惠協定,但是技術對接也可以,這特別就是在講像 W3C 這些的東西。
對。所以新一代的朋友願意參與網際網路治理,知道我們現在在處理的是哪些題目,這些題目處理的時候,是一個比較對整個網路好,而不是好像只是爭取臺灣的能見度,是實質上有參與,而且也有貢獻,這個是最重要的。
余若凡執行長現在接了 TWNIC,我們在今年本來就會有像你剛剛講到的獎助民間參與,也包括新一輩的參與。臺灣當年蠻好的是,在剛開始有這一套制定模式的時候,就有像吳國維老師等等,扮演非常重要的角色;但是當然主要的挑戰是,新一代的這些朋友怎麼樣接續上一代的脈絡。
這應該是 TWNIC 的使命,multi-stakeholderism 就是政府不是直接 Top Down 的管理網路,而是透過多方利害關係人的方式去參與建立常規的中介。
能多參與總是好的。
有,卓執行長的轉型相當努力,我們也特別說之前他們過去接甲方案件等等,這些已經累積一些財富,所以我們特別希望他們編赤字預算,把本來存的這些錢放到有公益使命的地方,來確立第三方的角色。
尤其資策會,要全面擺脫所謂的與民爭利,那就不是來包甲方的案子,而是積極去建立國際標準,像聯合國的 AFACT 等等,以及把 Public code、Open Source 作為他們主要的使命,當整個產業都有利益,那就不叫圖利,他就到了一個第三方的角色。
我想任何網路規則的制定,都離不開網際網路本身,所以包含 IGF、ICANN 等等,這些是最根本的。當然到了應用層,也就是 W3C、FidO 等等,這些也都相當重要。不過我覺得倒不一定總是要以政府的名義去做這種事情,我們也可以透過法人,像 TWNIC、資安院、資策會、TTC 等等,其實這些法人在國際上面參與的空間,往往比政府官員要來得大,所以我們也可以資助一些朋友,以法人的名義去參與國際,這也是我們這四個法人的使命之一。
如果沒有參與國際的,包含常規制定跟標準制定的話,那我們在地的這個期待就比較送不出去。送不出去的話,你就只能在下游去請那些造成不利的外部性,大概就這樣,也就是你要防患於未然,要就源管理,就必須要參與國際。
對。這些概念如果不是參與國際的標準制定,其實就沒有辦法把它寫進網際網路的遊戲規則裡面去。我們的目標是要造成 norm,也就是某種常規。本來在網路上跟政府打交道或者跟社會打交道,你就是要尊重這邊的常規,你如果不尊重這邊常規的話,就像我們當初「vTaiwan」處理很多 UberX 等等的案件,或者最近處理 AI 合成名人詐騙廣告的案件,如果不尊重我們這邊的常規,對不起,整個社會都抵制你。要有這樣子的感覺。
所以我舉很簡單的例子,光是要不要用公有雲,這件事情就倚賴於這些公有雲廠商實體上,是否願意落地、願不願意一起貢獻我們的衛星、微波、海纜的韌性,願不願意跟我們採用同級的的資安,包含零信任在內,以及我們採用的時候,能不能堅守中間每一層都還是可以抽換,而不是全部都包給某一家等等。
