但是我們現在就把它變成,搜集完全部需求之後,還是各部會提,但是我們當這個粽子頭,我們會幫忙提值 3 億以上的數位公共建設,但是因為 3 億以上,而且是用造橋鋪路的,就是國發會那邊的預算,所以大家就不會擔心會倒掉,因為造橋鋪路的預算,只有橋把它蓋完、沒有軸轉,那這個時候大家就會很安心,就會願意真正提供需求,這個數位公共也是有數位補助才有的。
數位部成立之後,有另外一個很重要的點,就是只要我們確定是各地方政府跟各部會的共同需求,無論是備份的需求、安全資料傳輸的需求,剛剛講到的個資不要離開機關,而是透過我們現在叫「data fabric(資料經緯)」串接的需求,剛剛講 public code 的需求,共同核銷、採購,像一些 NGO 要接政府的補助案,還要服貼各種不同的主計憑證,然後三個地方政府有四種不同的格式等等之類的狀況,因為還有一種也是中央衛福部的,像這些你如果是用買菜送蔥的方法,我們又回到 n×m,就是你做完之後,又有多一種標準的情況。
其實它的一個核心問題是,之前參加這些專案,它不是用公共建設的預算,很多是用部會內部的業務預算,業務預算是本來就業務單位如果要塞一些這個業務單位一直想要做,但是沒有辦法做的東西進去,就沒有辦法共用全國通用的系統,一定要按照它自己的需求從頭開發,因為沒有這個基礎建設,所以才一定要塞蔥或菜進去。
其實數位部成立之後,因為終於有這個行業的主管機關出現,我們做了滿多這種把之前的 best practice 或至少 better practice,後面變成預設範本的工作,至少就不會像以前那樣,乙方也被壓著買菜送蔥,其實現在大概都不會有這些問題,我們自己示範從最有利標、不再議減價格等等這些做起,到現在已經變成常規了。
當然以前是個案,現在是綜合這些個案的經驗,現在就變成新的資訊採購的流程,這個範本已經全部都改了,包含剛剛講到的可用性,高可用性你就要付比較多錢,這些 SLA 相關的都已經寫進資訊採購範本等等。
當然,他在國際標準的工作上,也有很多貢獻。
他就是負責親和力的部分。
之前在資安稽核的時候,很多都是對於它的機密性或完整性去做檢視,不過以這種無障礙易用、可用等等這種 availability 來當作最重要的檢視,這個是有 PDIS 韌性巡航的編制之後,才開始比較強調的。因為大家在事前做了很多事,所以大家領 6,000 的時候,可以說是完全沒有痛感,但是當然也因為這樣,所以也沒有什麼政績可以特別強調,因為大家領了就忘了,但是這個其實是最好的情況。
我們也做事前的,現在叫做「韌性巡航」,類似健檢的工作。舉例來講:像 6,000 這一套系統,幾乎可以說沒有出任何問題。特別是之前任務性系統被批評說無障礙沒有做好、低頻寬使用有問題等等,這次可以說都沒有出這種問題,這個是因為 PDIS 在還沒有上線前,先用類似紅隊的感覺,先自己把廠商乙方的都這樣打了一輪,特別專注在可用性或者易用性、可親近性上。
我也想強調一下,其實 PDIS 不是只做這種事後的救火。
我自己當時就簽了三個 NDA。
我一直都是 PDIS,我也有下來寫程式。
這是一個。另外一個是,他照顧到有居留權,但是沒有公民權的這些人。我們在當時其實設計了非常多的這種包容性的政策,到現在包含像你拿居留證也可以請到 TW FidO 等等,都是那個時候過來的。
所以它一方面當然可信度變高,二方面確實防疫是各部會的事情,但衛福部是指揮中心的主軸,所以用衛福部的 app,它的包容性也比較高,因為有很多需要打疫苗或口罩的人,他有保健保、但是沒有身份證。
用健保卡來報地方稅,那個是最早的,那個是我進政府前就擴大憑證使用的範圍。所以變成這個晶片卡,或者是隨著晶片卡而來的「健保快易通」變成讓大家知道只會用來做有健保署白名單過的公共利用,而不會去做一般的商業利用。
這些一定要在這個層級來做,不能只在某個部的層級來做,因為它事實上是要改掉很多現在以部會為主的資訊系統之間互相銜接的方法。這些互相銜接的方法,當然在疫情的時候大家比較會看到,但疫情之後,其實我們是運用當時很多系統,像發 6,000,就是當時發 1 萬的系統改的。後面的這個資料的交換,也是當時設計的 T-Road,現在就全面把它接上,有非常多架構的改變是 PDIS 幫忙貢獻。
它就是一個機制,這個機制以現在來講,就是讓數位部長兼資安院董事長,可以不要只用數位部的範圍,而可以用整個國家的範圍,讓在民間有 Open Source 貢獻的這些朋友們,可以不用那麼委屈自己的薪水的情況下,能夠一起來參加這種國家層級的架構設計。
其實院資訊長是不對外的頭銜。當時大家最多是偶爾看到「唐鳳出手」之類的,那當然不只是我,確實我也會跟著下去寫 code,但是主要就是 PDIS 在幫忙。
除了疫情的時候,可能大家比較知道的之外…
讓臺灣撐到 Omicron 還不算是主要貢獻嗎?
當然,現在也是元老啦。
在資訊處。展銘跟周詳都還在。
像口罩實名制的第一週的試營運,就是我跟展銘、秉倫寫的。
PDIS 當然還是在開源社群裡面以有貢獻的人為主,但是你如果去看資安院徵才的話,他們應該是有 PO 出來,只是我們 review 的時候,會特別看重你在 open source 的一些貢獻,有些人貢獻已經多到不用 interview 了,例如 TonyQ,只是你當初沒有進來而已。
有些人回資策會,也有被業界挖走的。主要是因為當你管了全國的系統,台積電會想用三倍薪水挖你,我們就有人這樣被挖走了。因為你在這個位置上,視野不一樣,你真的管到非常大的系統,這個時候也有類似規模系統需求的業界,就會想要挖角。
有 5 個人是從資策會過來,最早的時候。
所以像剛剛的那個例子,就是院資訊長很好的一個例子。PDIS 按照定義就是支援院資訊長,在這些關於技術的討論上面,它的技術能力必須不弱於這些乙方,這樣的話,你才能夠針對那些乙方說做不到,你能夠出來說其實你做這樣就做得到。
像這種都是你讓公務員自己也是使用者,drinking our own champange,自己用的時候卡住了,才有那個動力去改善,如果都是業界用,然後公務員自己日常不用,其實往往根本不知道卡在哪裡。
我們我自己因為用這個簽公文,所以我們碰到 UX 的問題,大概碰到的都解決了,像之前有一個大的 UX 問題是,如果你要一次補簽很多次,你要掃那麼多次 QR code,沒有人受得了,所以現在就變成像我是指紋感應,我就只要連續感應 20 次,它就簽掉 20 個。
現在它也可以推播。
這就是為什麼我們整個 PKCS 的那一層,原始碼有放出來,就是希望大家可以客製化。
TW FidO 可以用來簽章的這件事,或用來加密這件事,原本也很少人知道,所以我們那時候是說如果要業界廣泛使用,你不能像以前那樣只有政府、電信這些產業、金融這些產業用,就必須開放給民間的二房東們來用。
那時候因為 TW FidO,至少在新創上面,確實是一個很容易接的東西,比起獨卡機總是好多了,手機當讀卡機也 OK,但總是會忘記帶卡,所以總是有實際的需求。
有這個是很重要的,因為舉例來講,像這陣子討論 TW FidO 要不要開放給所有民間使用,這個就不是內政部或數位部或哪個部會可以單獨決定,而就是要大家一起湊起來想,就是大家都可以用。像這個就是我用院資訊長的名義做成的裁示,並不是以數位部長的名義,所以內政部也都有在那一場會議。
Simon 之前在採訪裡也有提到,他以政委或部長的角度,他有一陣子去當部長,他比較難跨部會去做聯繫,因為按照定義,每個部有他自己的規範,但是他可以用院資訊長的名義召開會議,這個時候就是要脫離部的角色,他的部可能就派個次長來參加他的會議,他是用整個院的角度來做規劃。
精確來講,PDIS 現在其實是行政院資訊長辦公室。行政院資訊長是在 NICI 時代就有的一個稱號,應該是 Simon 創建的,他在當政委的時候,就是政委當院資訊長,他在當部長的時候,就是部長當院資訊長,總之院資訊長是一級的資訊長。
沒關係,慢慢問。
那我們 moda 現在比較是在上面,跟業界好像接個馬達、發電機,排線接更多一點,不會變成什麼都要回到中研院的老師們身上。
很像是最底層的 L1。
真的不行就會回到中研院,中研院總是在的。
前面的部分,臺灣並不缺。之前比較缺的,是從政府的角度承諾,每年都會付年費、每年都會參加、每年無論民間有多少需求,我都會提出來等等。以前常常是可能今年剛好這個法人有一支計畫,明年那個法人有一支計畫,然後國際參與就會在法人中間漂來漂去。
至於有些利害關係人,如果蒐集需求的方式比較沒有效率或頻寬比較窄一點,這樣的情況下,在這方面的貢獻就比較少。
這一套作法其實比起國際上的條約、談判等等,可以說是更敏捷的作法,所以也就是 為什麼我們比較喜歡或比較適應的作法,就是因為我們這邊並不缺即時蒐集需求、即時反應需求的能力,所以我們這邊蒐集到需求時,如果能夠很快進入國際標準的話,從我們的角度來看,我們的貢獻就比較容易。
但是有協定的好處是,至少大家把雖不滿意、但可接受「Rough Consensus」的部分 先白紙黑字寫下來,就像 TonyQ 剛才說的,這個跟國際協定最大的不同就是他是 living document,就是他是可以隨時更版的,只是把我們這階段的共識先寫下來,節省所有人的交易成本,之後還可以快速的更新。
通常會有協定,就是因為要解決同一個問題有兩個以上的解決方案,像當年 Netscape 跟 Mosaic,或者後來的 Netscape 跟 IE 就是最好的例子。如果你有兩個以上的解決方案, 就會到最後變成 n×m,也就是你這邊有那麼多的方案提供者、有那麼多的需求,大家彼此之間要花極大的溝通成本,一個 HTML 要測三個瀏覽器的七個版本等等那種很慘的狀態,我們都經歷過。
對,就是當我們對於個資、對於人權的價值接近歐盟的時候,我們即使不是歐盟成員國,也可以透過技術對接達到一樣的待遇。
我們以前的法律很在乎這種雙邊互惠,那但是現在其實特別是像這些分散式的 trust system 當道的時代,你去看歐盟的 wallet 或 eIDAS 2.0,也就是大家共用一個分散式帳本,像這樣子的話,你看像烏克蘭不是歐盟的成員,但是他可以參與同一個 trust system 他的簽章歐盟就認,所以這個情況下,我們也可以跟歐盟在一個比較對等的位置上。
像我們這次《電子簽章法》很順利三讀,沒有任何一個政黨反對,其他大部份法案都會拉下冷凍一個月,我們的立刻就三讀了。像這裡面就特別提到以前是要簽雙邊協定,但是這個對臺灣是特別困難的,所以我們就改成當然同樣安全的標準,但是你可以簽雙邊互惠協定,但是技術對接也可以,這特別就是在講像 W3C 這些的東西。
對。所以新一代的朋友願意參與網際網路治理,知道我們現在在處理的是哪些題目,這些題目處理的時候,是一個比較對整個網路好,而不是好像只是爭取臺灣的能見度,是實質上有參與,而且也有貢獻,這個是最重要的。
余若凡執行長現在接了 TWNIC,我們在今年本來就會有像你剛剛講到的獎助民間參與,也包括新一輩的參與。臺灣當年蠻好的是,在剛開始有這一套制定模式的時候,就有像吳國維老師等等,扮演非常重要的角色;但是當然主要的挑戰是,新一代的這些朋友怎麼樣接續上一代的脈絡。
