很感謝大家具體放在slideshare那一份(http://www.slideshare.net/autang/20160912-66111207),我不知道大家有沒有額外要討論的議題,或者今天以那一份為主?
就是以這一份為主。
我就直接投影那一份出來。各位想要怎麼開始?我們要直接就開始討論有利標這一件事嗎?
我們這一次拜會,因為開放基金會針對政策提出意見,並不是個案,而是針對體制的沿革是有幫助的,並不會特定哪一個。四個主題都有牽扯到Open,前兩個跟Open Source比較有關的,第三個主題是自然人憑證簽章的問題,我們希望可以更開放一點,如果沒有問題的話,我就一個一個主題說明,大家一起來討論。
我們就直接進主題。
投影畫面就看它高興了,這個是我們第二次在會議室用 Apple TV,我們昨天晚上在用這一套的時候,它還非常聽話,我不確定現在是沒放乖乖還是怎麼樣(笑),我們可能真的要放一些乖乖。
第一個主題:將開放標準、開放格式能夠列入政府採購法裡成為最有利標的評選標準之一。
我想這個是目前比較容易達到的一個,因為就我瞭解行政院工程會負責目前正在做政府採購法的修法,從年中到現在吸納意見有一段期間了,也有修法草案的一至三版,應該是說我的建議是其實Open Format跟Open Standard可以列到相關的法律上。我最近這幾個月對於美國正在進行,俗稱是「開放資料法(open government data act)」,目前在參眾兩院已經連署討論,一般認為很有可能會成為聯邦法律。立場他們也講得很清楚,他們認為開放政府資料是歐巴馬的政策,以前是用行政指令,他們怕總統換人以後有一些政策更動,所以希望用立法確認。這一個草案也已經把開放標準跟格式直接確認在條文裡面,如果我們比對歐盟公部門資訊再利用指令,2013年的修法也已經把「開放標準」跟「開放格式」列到裡面了,我去觀察不管是英國、德國及西班牙,剛好在2015年都因應directive有做國內修法,都有把這兩個highlight進去,我覺得這個是做數位政府或政府改變跟民間溝通很重要的趨勢,希望至少在政府採購法的地方可以處理。
我自己了解的是政府採購法裡面,當然以前有所謂儘量去推所謂的「格式開放規格通用性」,但是並沒有被落實-實際上並沒有被落實-所以我這邊的建議是,因為政府採購法原則上有兩個執行面,公務人員比較熟:一個是最低標,也就是採低價;一個是採最有利標,必須要寫出為什麼採取這個的一個理由。今天如果可以在最有利標裡面把Open format、Open standard放上去的話,在實務上會非常有幫助,第一點想提出來討論。
首先我很感謝開放文化基金會提前這麼久提供我們書面資料,這樣才有時間去向工程會詢問他們目前採購法的修正情形,以我的理解是10月底-也就是現在-母法已經差不多完成,但是子法(施行細則及配套辦法)會在11月底左右送院會,這個是我理解到的時程。
以目前的採購機制來講,雖然在中央確實如你所說的是推廣有利標,但是有利標我們也知道之前的適用情形及作業程序在每個部會狀況是不一樣的,如果部會都不一樣,更不用提地方政府,在資訊採購的時候是不是真的能夠循有利標來作業,或者是限制性招標準用最有利標,或者雖然是公開取得,但以最有利標精神以複合方法議價,這個其實在地方政府資訊採購的時候都有使用,而且並沒有一個指導性的原則去說怎麼使用,所以剛剛說有利標的部分,還是中央會比較遵循。即使我們訂出來了,在地方上還是有一些執行上的挑戰。
在螢幕上有一個「talk.pdis.tw」的網站。昨天我在twitter上公布時,有人說為什麼不是gov結尾,這是因為我們現在還沒有拿到GCA憑證,等拿到憑證後,就會變成有gov結尾的網站。
如果大家去這一個網站的話,會看到有一區是徵求大家的意見,第一個徵求大家意見是「資訊服務納入Open API標準之建議」。這個可以當作辦公室對貴基金會-我好不習慣這樣講-一個正式的回應,在這裡面因為大部分參與這個實際法制作業的是葉寧參事,他會有一些補充,我從大原則來講一下。
我們在考量到這一件事,不應該是區分最低標、有利標或者是準用最優利標的精神,訂不同的條款,這一件事毋寧變成在一個指導性的規範,機關不管是在做評審標準,不管用最有利標或者是準用最有利標的評審標準,變成是盲人可讀的精神去把它變成一個要件。這一個要件並不是一下子就要做到全滿,事實上機關網站很少第一次第一版WCAG盲人可讀做到全滿。我們可以說至少有兩家廠商,一家有提的做得比較好,得予以加減分;另外一個設計出來的東西,一開始沒有開放格式,而且未來顯然也沒有開放格式可能性的話,我們在評審的時候應當予以減分。所以,在最底下的採購配套是關於你剛剛所講的對於採購法修正的部分,這個已經向吳宏謀老師提出,他們已經責成他們的朋友去進行調整,這一個部分我不知道純粹以採購配套有沒有什麼想進一步討論的?
你覺得你這樣可以接受嗎?就是聽起來Open Source標準有一點困難,因為11月有一點趕。
是Open Format。那Open Source其實在前一版的資服採購範本已經有處理了,在裡面有一個備註,以前在取得的時候,你跟廠商的智慧財產權歸屬會不明,就是雙方自行約定,現在至少我們有一個在資訊服務採購範本裡面有第五點的附註,如果沒有任何專門為你這個機關量身打造的情況,而是這個廠商看起來是拿一個已經可得的東西,且是有適用於其他機關可能性的時候,我們建議勾選由廠商拋棄姓名權,並且再容機關授權,雖然沒有把Open Source放進去,但是已經達到目的,這個是我這一次專門處理格式,而不處理智慧財產權的原因。
我直接回覆。資服範本我有看過,也有給過一些意見,以第五點的修正還沒有辦法納入全部的Open Source,因為我們在這一個領域很多年,可以分「可以 relicense」跟「不可以 relicense」,BSD是相容的,copyleft不相容。我有建議, 當然這個是比較好處理,所以應該是說,我的瞭解是,因為10月這一個母法已經抵定了,不好動,但是以後一些實際上操作的另外一些標準是可以再商議的;我覺得可以接受,但是希望儘量努力。
從法律觀點來看,法律是有位階的,命令不能牴觸法律,法律不能牴觸憲法,但是我們要適用的話,是反過來的,我們是適用所謂的行政命令,再看法律再看憲法(因為憲法抽象),所以政府資訊採購法有公開的標準及尊重的原則,但是被訂為一個抽象的行而上,所以很多政府機關在實際執行的時候,只是按照採購範本來處理,並不會考量到那個,嚴格來說是直接迴避了那個。
我的建議是在最有利標把開放格式放進去,所有的部採購時,都要過這一關,像唐政委認為把Open API進去做加減分的動作,認為會是有幫助的,但未來希望慢慢把它變成法律的default。
所謂的「相同方式分享(copyleft)」是指「一種特定的方式,如果用這個方式授權你使用的話,你再改的時候也必須用相同方式給別人」。
誠夏的意思是說,我們之前的資服採購範本裡面,其實跟相同方式分享式授權,按照預設勾的那幾項,其實是不相容的,預設唯一相容的方式是我們叫做「寬鬆式的(permissive )」,你改了之後,你可以決定,機關不再給人家使用,但機關也可以決定改的時候,用更嚴苛的標準讓人家使用,也可以改為用相同方式,要不要用相同方式,寬、鬆或者是更窄完全是由機關決定,這是目前資服採購的精神。
這個範本未來一定有修正的空間,只是當我們把相同方式分享放進去之後,也會改變資服業者的生態,衡諸包含南美洲,或者是把這一些東西納入範本的國家來看,其實必須要對資服業者有充分的教育,才能夠做到這一步,並不是我們這一個月就做的事情。
也跟唐政委報告一下,就我三年來其實資服業者是拿copyleft的解決方式來做政府服務,其實是既定狀態,採購範本也沒有辦法勾選,實際上也會造成契約上的時間有落差。
這個完全同意。我們這裡可以講更多的技術細節,很多人改的時候是直接說伺服器裡面可以運行的軟體可以用相同的方式分享,但是並沒有規定伺服器的使用者在瀏覽器端必須要能夠取得程式碼,所以在這樣的情況下,並沒有違反那個資服範本精神,如果租用雲端服務的話,本來就沒有取得程式碼,更遑論重新採用。如果連瀏覽器端都要相同方式的Afferos模式,在我的理解在政府採購裡極少數,我還沒有看過哪個機關官網是用AGPL改的。
CKAN所有的分流,但不管是台北市的「data.taipei」或者是台南市的,基本上我所了解的都是用CKAN改的。
除了CKAN之外還有沒有別的?
沒有,主要國內用是CKAN。其他是小的plug-in。其實CKAN使用者比率滿多的,是AGPL3,但不是主要的程式架構;如果繼續討論這個…
對,就不用討論別的了。我們綜整一下,以相同方式分享的授權在目前的資訊服務裡面是實際的狀態,但是我們也理解到真正會造成問題的「瀏覽端相同方式分享」是個案,這個已經用個案的方式解決了。要不要在採購法裡面處理,是下一個階段再來討論。
我想是這樣子-如果柏鋒有不同的意見可以提出來-因為我個人長期在公部門服務,我大概知道像大船入港,如果10月已經說母法已經差不多底定了,我的期望是我們可不可以儘量朝這個方向,至少未來在實際上採購的時候,有一個機制像唐政委所講的,開放標準、開放格式有一個加項或者是減項,這個在現階段稍可接受,後續母法再朝那個方向、趨勢走,國際趨勢往這個方向走,我們可以儘量走。
這一些我都完全同意。
評鑑上讓加、減分做出來的話,現階段是可以接受的。
假設目前做不到沒有關係,下一步要做的話,有沒有建議下一步要找哪一個窗口或者是單位?
有。我們在討論這一個案子的時候,除了葉參事幫忙在法律調整之外,我們特別把機器驗證帶進來,我們知道無障礙之所以在公部門推行還不錯,是因為有一套機器驗證機制;當然大家都剖有微詞,但他們已經在修改了,可能要升級到WCAG 2.0。
我的意思是如果我們可以參照無障礙的做法,可以把開放格式、開放API,即使是地方政府不用額外的人力檢證,而是把測試站跑出來是幾分,就換算成加減分,這個對地方政府來講是特別容易的。中央部門當然有專門的人在加減分裡面按照這一個機器跑出來細節再檢核,看是不是有一個開放的格式,實際上點進去跟網頁上長得不太一樣,那個就需要人力了,不太可能要求地方政府每一案都這樣做,這樣負擔太大;我想說至少推機器驗證是一個標準,但是也有人力檢證加減分的空間。
我們假設要繼續推廣在政府有利標採用這個精神的話,不管是契約方面或者是施行細則,我們應該再找工程會比較好或者是有什麼建議?
這個東西還是回到法規,就是法本身。
看要訂在契約或者是法規?
葉參事的意思還是會動法規,對不對?
我報告一下,我們原來的程序跟你們一樣,一定要在法裡面要有一個根據,基本上有幾個層次,第一個是母法,第二個是母法授權出來的法規命令,第三個是契約。我們不會認為是要記明法,甚至是第56條技術品質還要適應各採購的型態。再者,母法有最大的問題是要經過立法院,那個路非常漫長,而且不太有效率,所以我們在想的是法規命令,只要不牴觸母法,與法律同一效力,其實是最簡便的,所以我們跟工程會溝通的時候,其實是想到施行細則,工程會是採購法的專家,他們也提了一個很好的建議,也就是放在「政府機關採購資訊服務評選暨計費辦法」裡面,這同樣也是母法授權,這樣就OK了,如果這個通過的話,當然全國各機關都要遵守,他們也建議去調契約範本裡面的評審項目,如果這樣的話,包括在執行面或者是法規面都會有根據。
目前我們的建議是兩個層次,一個是符合國發會所訂的公務機關規範標準,另外一方面是要求必須透過國發會指定驗證機構才算通過,如果這樣能夠順利通過的話,在法制上面會有很穩固的基礎,這個會經過公開徵詢意見的程序。
公開諮詢的流程如這一份文件,看完請放在桌上,因為還是草案。
補充葉參事的講法,如果這個辦法要修正,在院裡面的想法是要經過公開討論期,我們也認為至少要有六十天,因為這個畢竟改變了資訊服務,而且包含外界貿易等等的東西,這個是適用於早期WTO締約國或者是後來TPP,都希望有六十天討論期的概念。
我們目前的建議是這六十天的討論期可以集中在「眾開講」的平台進行,也許這一個案子就會直接建議工程會把我們想要改的辦法、改變理由,還有包括今天的會議紀錄全部都丟到「眾開講」上面,請各界來提供意見。
這樣你自然會認識窗口是誰,他會來回你(笑),也會認識到別的利益相關者。很誠實來說,資服業者在別的地方也聽到別的聲音,所以希望大家在相對公開的地方吵個六十天(笑)。
我們可以公開,但是他們也要公開他們的,公平。
(會後 pofeng 補注: 公平、公正、公開。要先做到公平、公正,之後的公開才會有意義。)
對,大家都在上面攤開討論了六十天,如果大家覺得可行了,我相信工程會可以比較說服實際執行機關要點的修正,不會是這邊一壓下去,七天就過了,這雖然容易,首先這不是我執行事情的方法,第二個是之後反彈會更嚴重,希望各位了解。
是工程會跟「眾開講」?
對。就工程會做為「眾開講」的提案單位,應該這樣講。
因為現在政府單位比較聰明,他們會跟廠商要 Source Code,我們就接到廠商的諮詢,詢問說,是不是有可能不要提供政府放原始碼,我只是提一下而已,這個要解決,不然他們還是會規避。
不過因為你們這一次討論的建言其實是講開放標準、開放格式,所以原始碼跟智慧財產權的部分,未來再討論會比較好。這個就這樣?
這個議題我再補充一下,一樣會放在「眾開講」討論?
對。
我個人的期待是,未來入法或者是入到行政命令,我會期待open format、 open standard,因為我看到國際修改的趨勢是把這個名詞訂進去,好處在於這個是國際性的,可以流通,當然內容不一定,應該是說英國在講open format跟西班牙open format其實另外還有訂,但如果訂了國際的字彙,至少我們之後可以比較好改正、處理。我今天比較擔心的是我們立了一個比較抽象或者是符合我們習慣用的字,怎麼解讀就變成臺灣或者是中華民國獨特的解釋,這個不樂見的。
「Open API」是我們的簡稱,全稱是「共通性資料存取應用程式介面」,剛才誠夏說的意思是不管怎麼詮釋,「機器可讀」、「格式開放」、「介面索引」跟「機器可寫」,因為沒有什麼ISO在定義這些字,所以可能被洗掉;像「格式開放」四個字,也許開放的定義沒有很明確定義。
但是我這邊想要講的是,目前採購法辦法的修正方向裡面,都是是國發會於幾年幾月頒訂什麼,我如果沒有記錯是把open definition寫進裡面,然後裡面有open format,因為那個東西也有改進,我記得第一版進去的時候,還沒有說兩個以上的自由軟體可以打開,但現在那一版2.0有了,所以我們在制定的時候必須要做快照的動作,以目前的版本,2.0就2.0。那OpenAPI標準如果3.0及時制定出來就3.0,3.0還沒有出來就是用現在的2.0,以那個定義翻成中文來做定義我們的定義,我們理解到這一些國際標準還在更新,我們滾動式檢討,下一次來的時候,如果新的更好,再把標準翻回中文再放回到辦法裡,是這個意思嗎?
沒有問題,我個人期待儘量名字跟國際的是一樣的名字,這樣才可以滾動更新。
你現在講的是 Open API 名詞的獨特性?或者是哪一個詞的獨特性?
未來在處理的時候,儘量把Open Format、Open Standard儘量帶進去,因為我現在看到英國跟西班牙法律都把這字帶進法律了,所以如果帶進所謂將來行政命令,它不會讓我們臺灣及國際發展的趨勢脫軌。
「開放格式」或「格式開放」國發會已經用Open Definition定義,這個是可以放進去的,但是開放標準這個東西,可能你要提供具體可以參照的東西;開放格式是沒有問題。
可不可以再補充一下?工程會跟我一樣是外行人,基本想法如政委所說的,直接refer to國發會所訂的東西,國發會所訂的東西相信一定是與國際規範接軌的,所以如果由工程會來寫的話,反而解釋權在工程會,如果refer to國發會定義的話,那就是在國發會那邊。
這個規範具體上來說「共同性資料存取應用程式界面」跟「數位服務設計規範」還沒有出來,這兩個規範裡面如果能夠納入你剛剛所說的定義,那這樣未來就會自動使用。即使現在這一版還沒有納入;其實裡面也有像RESTful風格的東西,如果有未盡妥善之處是會改的,這個規範會改的,這個會跟修法脫鉤,如果這邊頒布的時候,若這邊有新版,那就是會用新版。
這個會在「眾開講」討論的時候,也許我可以提供一些具體的資料。
我們希望用國發會的規範來替補法規命令的空白。
英國那一個辦公室很早以前就已經發布Open standard的標準,這可以參照,如果國發會認為那樣的方式是好的,自己訂定Open standard的標準,當然工程會就會遵守,我瞭解的是這樣,之後的一些補充資料可以補。
國發會資管處從陳添枝政委希望由我協助,等於從他手上變成我來幫忙,所以之後如果資管處有任何討論的話,我可以直接找資管處的潘處長。
這個議題就結束了。
花了不少時間,希望對正在看「眾開講」看逐字稿的各位有幫助(笑)。
第二個議題要做簡短說明嗎?
非常簡短,就是源碼庫,我知道Open Source最重要的是Source Code可以提供的,這幾年的觀察,很多的資服業者已經用Open Source,裡面也有很多copyleft的性質來Open Source提供政府服務,但是這一些政府單位不一定有取得Source Code,第二點是取得Source Code以後,也不一定能夠做政府之間的交流,所以我們建議是不是能夠起個頭來討論,或者是讓所謂的中央政府、地方政府願意來作籌劃,可以這一個為開端,以後政府採購的Open Source裡面,至少政府與民間是可以可以溝通訊息、分享經驗及資訊。如CKAN是AGPL3授權,就算放在網路服務上只要修改原來的架構,Source Code是要提供出來的。我們知道台北到台南很清楚是用CCan,但是我相信地方政府之間並沒有程式碼的分享,所以我們提的是,如果要讓Open Source的使用在公務機關進入常軌的話,這一件事的話要處理,不知道會從哪一個角度來處理。
當然這裡有一些政策的出處,最近美國白宮辦公室資訊長簽的一個辦法,大概是聯邦政府以後的軟體會有25%是Open Source,會有網站來分享,所有的公民都可以審閱跟提報。保加利亞最近修改的法案裡面,明訂只要是做公共服務的話,必須要優先使用Open Source,如果不使用要釋明理由。非常多的相關資訊,我想這個跟直接修法沒有什麼相關,是不是公部門現在應該要有概念來進行討論。
具體回答你的問題:其實我看了這個「聯邦程式碼」的政策,這個政策裡面其實是一個非常願者上鉤式的寫法,雖然有框訂20%—當然正當理由排除之外—當你把這個東西發布出去之後,並沒有責成機關去推行,也沒有告訴機關說當你採購時,有別的機關發布,你應該要先用它的,而不去往外採購,也沒有說這個機關如果用起來想要改的,哪一個機關有錄影教學或者督導之責任,全部都沒有寫,所以在我看起來比較像是宣示性的東西,並不是採購流程因此有重大改變。
如果要說採購流程重大改革,這個還比不上英國採購規範裡面說都要經過採購評估程序,確保真的沒有買到人家已經寫好的東西的內部監督程序。你所引用的,在我看來是宣示性的意義大過實際的意義。
其實這一個議題跟法律、命令都沒有關,只是我在想可以討論的事情,所以我一直在講「業界知識分享」,在政府機關剛好對於Open Source的採購有所謂的management intelligence,所以我覺得這一個階段如果可以透過一個政策宣示或者是某一個管考單位來做示範例,我覺得對於國內推動是好的。
所以只是表示做得到,並不是一下子就壓下去,因為不然誰也不知道怎麼做。
對,這個提案裡面從來沒有說要依法或者是依序要做這一件事,但是這個其實是目前正在發展的狀況。
瞭解。我具體整理你訴求的意思是,需要一個共享的平台,這個平台最好是「gov.tw」結尾的網域,在這一個網域上面,我們容許公務機關(中央、地方),把建置好的取得開放源碼授權的系統在這上面公布,公布之後別人要採用就來採用,是到這個程度嗎?
一定要在gov嗎?用現成的不行嗎?
也可以。我的意思是說像美國白宮的做法,他們的網站是宣示,有條列,但是他的repository其他的放GitHub是沒有問題的,早期有一些open source跟open data的工具模組是放GitHub,我個人認為宣示的意義是滿重要的,主要讓公務機關瞭解可以、同意做這一件事。
就是說 gov 網站有 official announcement,但實際放哪裡不用管它?
因為GitHub從他們來講是國內的公司(笑)。
這個在提案裡面沒有做這樣的判斷,所以滿建議政府機關用最自己認為最合法、適當的方式來處理,只是要有這樣的進步。
好,花5分鐘具體回答。我們現在在院裡面,相信各位已經發現我們自己架了Sandstorm這一套系統,這套系統的特色是把我們開放源碼慣用的系統,不管是EtherCalc等,這一些都是耳熟能詳的東西,把這一些在開放源碼界大家都會使用的一些東西打包成「SPK」的檔案,這一個檔案格式就像是Android的APK,一個網路包含後端執行程式全部整套檔案系統全部打包起來,打包起來之後是在一個容器裡面進行執行,然後根據裡面每一份文件打開一個容器,所以在資安的角度上,這個是比較好的,因為打破了一個容器,也看不到旁邊另外一個頁面內容,所以有「禁用性」跟「安全性」這兩個考量。
因為我們在院內自己架設這樣的一套系統,我們在上次黑客松大松的提案:任何mail位置後面是「gov.tw」的人可以直接申請這個系統上的帳號,上來之後就可以看到我們是怎麼使用像源碼儲存系統等。
我要講的是,鼓勵公務機關使用、採用不只是開源軟體,還有包含開放程序。什麼是開放程序?好比進行一場災害演習的時候,從哪裡蒐集到資訊、蒐集到哪一些資料夾,透過彙整的管道給民眾,然後他們內部再做什麼樣的公務流程控管,我覺得這一種程序並不遜於程式碼,而是要在充分被記錄且在軟體裡面被記錄下來,如果願意的話,可以按「Share access」給民間朋友,但是民間朋友只能共同編輯這一份文件跟原始碼的程式庫。
只有這樣的話,宣示效果才能比美國大,因為美國的宣示效果只是讓看得懂原始碼的入,知道每一個機關正在做哪一些系統,但是這一些人是極少數。我想用這樣的方式,讓他們不只能夠分享原始碼,大部分朋友一開始分享的一定是共筆,或者是像這一種看板,或者是一些共同編輯的畫面,或者是一些聊天室系統,大家習慣分享這一種系統給沒有程式開發能力的朋友,大家才會更知道公務機關之間彼此能重複利用流程,原始碼只不過這裡面非常小的一部分,不過原始碼本來是公務機關非常小的一部分,這個避免過分突顯原始碼的重要性,而把這個重要性還原到過程當中。
我同意這一個共享平台,好比像國發會的雲端中心所認證,告訴所有人說這一個資安上是沒有問題的,應該要發一個憑證告訴大家說在這上面,基本上資安跟用正規採購法採購程序過來的系統在資安上是平起平坐的,我覺得能夠做到這邊開放源碼的創新,能夠打包成「SPK」檔案,可以藉這一個方式,不經過採購程序,而是任何一個公務機關可以使用的話,可以直接利用,這個是另外一套做法。
這個做法沒有意見。
所以源碼就是一個子部分。這邊沒有意見嗎?沒有人要補充?
對。
大家非常快速(笑)。
我們接著進入數位政府諮詢列表,這個跟採購的專家想必是不同的東西,要不要解釋一下?
我先說一下,這個是高嘉良有提案,他剛好有事沒有辦法來,我講的沒有那麼到位,就我的理解先作一些陳述。
政府本來有政務官跟事務官的體制,事務官代表一個穩定的專業執行力量,政務官代表可以帶進很多不同局勢跟新趨勢的想法。所謂的資訊服務或者是政府資訊結構,這幾年這麼劇烈變更,我的理解是,他們其實有類似這樣的處理,原來一個資訊處理人員可能需要從民間借調一些人才,直接做新趨勢的沿革及變遷,等一下還有人要補充的話,我覺得會很好,你就是身歷其境;等一下也希望柏鋒可以補充。
不管看到美國或者是英國,他們慢慢有一個比較制式的做法,因為它本來就不是政府正常體制的流程,但是慢慢導成一個流程,我想開放文化會想要知道的,是不是知道這一個部分在民間公益財團法人可以協力的地方?也就是如何協助政府把這一件事做得更常規、更穩定化?因為我們看到時代趨勢就是必須要有這樣的趨勢,唐政委也是類似這樣的狀況,因為你在數位方面的長才,直接用政務官的體制進來,但是目畢竟政委這一個層級的缺是比較少的,還是需要有更多的缺、有實際做事的人來做這樣的調整,因此這個部分想說,我想今天有行政院科技部會辦公室與會,他們對於政府的體制如何調整也非常有經驗,這個部分是不是未來把它正規化、常規化,而儘量減少爭議,讓它可以運作,這個是我們今天想要討論的。
這個跟科技會報辦公室直接相關,我先講我的理解,要請主任幫忙補充。
以我的理解,剛才提到在數位國家創新經濟發展方案裡面,也就是下一個月會差不多完成到一個程度的方案裡面,其實是特別有把美國「18F」跟英國的「GDS」特別挑出來說我們希望運用公民科技,深化所謂4P的協作機制,建立運用民間專業人士,協助政府進行數位資訊服務改革之機制。這個機制目前研擬的做法有兩個,一個是數位國家創新經濟小組裡面,也許我在裡面也是負責協調的一個角色,我們會有一個「民間諮詢委員會」,我不確定,大概三十至五十人吧!這個委員會裡面會分成「基礎建設」、「數位國家」、「數位經濟」不同的組,會有系統引進民間對這三個分組感興趣的朋友們進來實際跟我們做目標上面的設定,所以我們可以發現說這一個叫做「DIGI+」的小組範圍已經比之前NICI(國家資訊通信發展推動小組)來得廣一點,架構是以前的NICI,現在加上了關於數位經濟、數位人才,關於剛剛創新數位協作機制的東西。當然我們還是要執行落到部會,不管是國發會或者是通傳會都已經開始規劃如何具體落實政策的方法。一方面是在部會裡面,有一些部會已經願意來實驗,另外一部分是在推動小組有民間諮詢委員會,可以有一個名單讓我們至少知道要問哪一些人,會比較有結果。不知道會報有沒有要補充的?
這一個架構原來在「數位國家創新經濟發展方案」裡面,好像原來想排定在10月17日跟院會報告,那時有諮詢的架構,當時有一個很大的點,也就是希望把民間這一些人員,不管是本期或者是短期,可以進來幫政府做短期幫忙或者是長期的顧問工作,這一些還在研擬當中,只要報院會決定通過之後,可能就會有比較詳細的細則。
現在還是後天?
不好意思,我早上才剛回國,我看到本辦公室同仁在mail中提到原來是10月27日,後來沒有排進去,所以有可能會到11月初。
可能3日或者是10日。因為我們院會也一個進程的,沒有排到的話,就要到下一個禮拜了。
我們的理解是這個辦法跟規劃是經過院會討論後比較能夠公開?
是的,在此之前方向可能會改變。
現在的階段是有內部的初議跟討論,之後有機會讓大家提供意見?
當然!當然!
大家都知道數位方案裡面有幾個主軸,其中有一個是如何利用公民科技,請很多民間的這一些專家可以進來共創經濟,大家來思考所有的事情。
對實際如何吸納、篩選進來的條文,有什麼意見嗎?
我當然會有很多想法,只是現在的狀況是行政院會內部討論,如果現在全部提出意見的話,是不是不一定適宜?
它要有一點宣示性,好比「群眾外包」變成「國家政策」的宣示意思。
在這個宣示的東西出來之前,我們當然可以先處理一些細節性的東西,但是總要院會各部會都聽過這一套,而且知道有這一件事存在,才可以公開徵求意見。
所以等通過之後再來討論嗎?
對,當然。這一個方向我們都是同意的,當初在擬的時候,「公民科技人才輩出」有列在SWOT分析裡(笑),我覺得這一個大方向沒有任何人反對。
我只是想問像這樣的委員會是掛在哪一個架構下?
行政院下。
因為之前NICI的行政工作也是科技會報支援。
地方政府也需要。
對。這一次主要是覺得中央跟地方其實很多東西都應該要有共同的協調,以前中央都滿強的,地方政府也不能講比較弱一點,我覺得互相的溝通是很重要的。像現在幾大建設還是以地方為主,希望中央的經驗能夠讓地方學習、溝通,比較知道地方需要什麼東西。所以在工業局下設立跟地方溝通之辦公室,也辦了好幾場5+2政策的溝通會議,激盪中央與地方共同思考方向及作法。
這一些人才你們希望無給職或者是兼職?你們會希望怎麼樣的方式?是無給職的顧問嗎?
我想天下沒有白吃的午餐。應該是會給的,有一些是比較常態的,現在目前很多是出席會議有出席費,有一些是比較固定的顧問或專家,那是月薪。
所以有打算一起解決這個問題?
對。
我們比擔心顧問沒問題,顧問大家都願意幫忙—像我還好—但是有些人還是需要一些基本的生活,如果能夠幫他們一起解決的話會比較好,如果有的話是比較好;像小彭或者是以前他們進去都很複雜,就是雙層外包再進去。
我自己接觸到,因為我之前在中央研究院服務,總員額法控管很嚴密,這會牽涉到員額,我不知道這個配套是什麼,但是現在還在聽起來是討論階段。
如果方向願意解決就可以再討論,如果又像以前顧問職的話,也不錯,有總比沒有好,但是效用會比較小一點,因為畢竟滿多人需要養家活口的。
我們提出來的狀況是,觀察國際的做法,目前真的是要找做事的人進來,並不是要找給意見的人進來,因為大家都會給意見,因此意見如何實踐是要有人來做事。
我們也擔心是不是開了一個漏洞,臺灣關說也滿盛行的,所以我們也不希望開一個漏洞,怎麼樣在合情、合法的情況下來做,開了漏洞之後,大老闆換了後帶一批人進來,我覺得這樣也不好。
我們聽到的是,不知道行政院院會什麼時候會討論,至少已經列入排程,討論之後有相關配套的內容可以再分享,再予公眾進行協助?
是的。
這個沒有問題,就看行政院現在規劃主要怎麼樣,我們之後再來提供。
你剛剛提到地方,那個比較像組織改造的議題,這個不是院級可以處理的,在這一個方案可以處理的是部會層次,怎麼樣有類似剛剛講的協同工作者的做法。
但是在地方這邊,我想特別講的是,地方配合的程度跟接軌的程度,大家其實很清楚原因,是只有一個地方是有一級的資訊單位,也就是台北市,其他的話要先過市長、副市長、研考會,才可以碰到資訊中心的朋友。
當然我們理解到台中市現在蕭景燈老師接了數位治理局,理論上「資訊長」會是一級人員。以我所知,其他縣市也有要循這個方式出現,不管叫數位治理長或資訊長或資料長。
等到別的縣市採用這個模式出現的時候,我們在中央才比較有可能來規劃人員或程序如何在縣市跟中央間調度、協作。現在大部分的縣市,其實沒有一個主要對口的情況下,我覺得我們在中央只能在碰得到的地方做,這個也是實際的狀況,跟大家做一下期待管理。
會提到這個原因是,我們那時候是找何建明老師,我們問如果學 Code for America Fellowship 要怎麼做,他就建議在中央列一個清單,地方政府看到你們敢做就會跟著做,我只是提一下就對了。我知道地方自治,所以不能管他們,所以就提一下,我會提這個原因是何老師說中央做,他們就敢做,所以跟大家報告。
確實啊!所以我們就是在中央儘量做。
提供一個建議給大家參考。我們這一次去美國,有參訪他們的NIST,他們就說是「智慧城市」,幾乎所有的城市都在做智慧城市,但是事實上很參差不齊的,數位人力不足,他們也不知道要怎麼做。因此NIST現在做的是想要做一個架構,只要談到「智慧城市」或者是「智慧交通」,而交通基本的框架怎麼樣,把它做出來之後,很多的城市就可以開始來做。
我覺得像以我們之前在規劃的,也就是像我們的智慧城市原來希望每一個城市就他們想要的城市治理方式先選擇某一些比較好的,比如有哪幾個地方對於交通的部分覺得很不錯,有一些人可能開始環保的空污開始做起,做完後變成一個典範,也讓其他的城市、鄉鎮參考,其實就是慢慢的,我們想要做這樣中央跟地方間的溝通,除了5+2之外,還有智慧城市這部分的溝通,慢慢就可以把一些城市帶上來,我們的很多資源也不要重複浪費掉,有這樣子的構想。
剛剛的總員額管制其實是一個問題,我覺得地方政府被這個限制得更深,其實中央很習慣突然冒出一個專案辦公室,雖然有彈性,但是地方其實不太會用這個方式,一冒出來就說是黑機關跟政治操作;另外一方面,如果這個人員不是全職在這邊,因為我覺得全職來說,政府的約聘僱的薪資跟資訊人員原來的落差,實在是太大了。但是如果不是兼職的話,有沒有這樣的規定可以允許用兼職的方式進來政府工作,我不知道有沒有有,要就進來不管,我也不管薪資。因為像王景弘最近跟地方政府合作,但是的確要面對薪資的問題,因此不管是總員額管制或者是薪資這一塊,我不曉得這樣子的討論,也許之後要討論到這一塊。
之前這個議題已經討論很多年了。最近一次,是從台北市資訊局長開始規劃專案辦公室時就在討論了。
確實像法國來的那位副市長Bassem Asseh一面當Nantes的副市長,一面在GitHub工作,而GitHub給他很多錢,他還是維持相當好的生活水準,目前台灣哪一個副市長能這樣做?這並不是遠距上班那麼簡單的(笑)。
可以兼職嗎?我可以在政府當兼職嗎?
不可能,原則上只能做教學的工作,而且還不能超過一定上限,所以沒有可能性。
顧問的方式?比如約聘一年?
只要是公務員,目前以公務員服務法,這些都不太可能。
以台北市府來說,一個是有給職顧問,就是所有的時間;無給職的顧問,就是開會來,沒有中間的空間。
雖然想要解決,但是是很大的問題。
這真的是很大的問題。我分享在中央研究院的經驗,其實很多自我設限跟內部的解釋,中研院認為只要中研院的約聘僱有保勞健保就佔缺了,如果用12000元聘一個兼任律師,而他有保勞健保就佔缺了。總員額管制的落實跟現實狀況的落差是超乎想像的,所以我滿期待的是,是不是有一個真正的配套?中央可以先做一個示範,地方政府基於地方制度法有人事自治權,如果中央運作沒有問題的話,我想地方政府也願意來做處理。
人事制度是在地方制度法下面嗎?我以為人事的控管是一條鞭。
這還是要由銓敘部、人事總處來發動。
對,沒錯。我的意思是,向來我瞭解,中央單位不會直接要求地方政府照他來處理。
這個是要從人事法規來改的。
對,不然會自我審查。
現在的框架下,有沒有辦法採購一年的顧問約嗎?
很少這樣子做。
除非要變成計畫。
如果要變計畫,而那個計畫裡面是提供資訊服務,然後又不限制工作地點、工作時數,然後是以責任制的態度來交付,接下來這個計畫出去之後,再把他借調到這個地方一起做事的 fellow,事實上以前王景弘在這個地方就是這樣做的,就是所謂的雙重借調模式。這個很難在地方操作,在中央的操作也會被媒體放大檢視。
也不是好的方式?
對。
所以看起來很難?
如果能夠擋得過政治的子彈(笑)。
不太可能。
如果忽然之間每一個地方縣市跟部會都冒出 fellow(笑),就能把政治責任分擔掉,但就要約好,讓不同黨派及無黨籍縣市都要用同一套,才有可能擋得住。
或者這個計畫討論的時候,就把地方政府納進來,然後大家一起討論,我有一個共識,我試著編一批人,大家散落一起前進,地方政府也有,各個縣市不分顏色的都有,中央各部會有,大家即便一個程度上同時提升,我覺得比較不會有各自冒出來,然後被地方議員抨擊的狀況。
雖然有一點難,但目前看起來這是政治上風險最低的做法。任何其他的做法,先做的人都有政治風險。就是這樣子,實情是如此。
我建議儘量朝這個方向,但是實際上還是要看院會通過的規則來討論。
當然,大家還有要補充嗎?我們其實差不多了,建言主題四是非常技術性的問題。
對,我本來想要把時間留給他們,時間很快(笑)。這個很技術,但是的確遇到困難,反正我們想要自己玩玩看電子化政府的問題,第一個就卡在自然人憑證,我們去研究自然人憑證為什麼只能在Windows平台使用,我們發現中華電信前面有四個APDU被鎖住,一定要用自訂的 command 去初始化之後才能操作,我們以前跟國發會等都有講過,但是我覺得中華電信沒有講得很清楚,所以我只是想說是不是我們要再回去跟國發會他們講清楚或者是有什麼方法可以push?
你們之前跟哪一位?資管處潘處長嗎?或者是潘處長之前?
我們有跟內政部談過,但是事實上最後有轉到國發會資管處楊蘭堯科長,因為官方憑證最上層的法規跟標準訂定是國發會資管處訂定的,承辦是國發會楊蘭堯科長處理,我們有跟他講,但是就停在那一步,沒有下一步解釋。他們有來解釋,但是解釋說他們就是這樣。我自己很訝異臺灣自然人憑證整個都被鎖住,而且還被中華電信鎖住,因為我們如果沒有透過他的API的話—我們這是側錄出來才能存取—其實是要透過他的API,他有一個DLL檔,要有才能往下,我自己很訝異,我就卡關,我不曉得下一步要怎麼辦,我們繼續再找國發會討論。
我先詢問一下,如果在露天拍賣上面,你們有提供連結,有一位黃先生顯然是透過逆向工程方法,已經成功在Linux、Windows上使用自然人憑證,你們有沒有聯絡到這一位黃先生?
沒有去聯絡,但是有聯絡到另一個側錄的朋友,他說那個很簡單,就是前面四道程序以後,後面就跟標準程序一樣,這個問題我們找何老師,何老師有介紹台大的教授,反正我們發現就這四道程序被鎖住,因此我們短期的訴求是中華電信應該要釋出這四道專屬 APDU command 是什麼意思?這個是國家基礎建設,為什麼要用專屬很奇怪的東西鎖住,我不太能夠接受;如果不釋出沒有關係,就公開講不釋出,我們跟大家講說你有做這一件事,沒有關係,就讓社會公評,我希望讓中華電信釋出,讓大家開發,這個是短期的目標。
長期目標是減少自然人憑證卡片的問題,最終是希望臺灣在網路上身份辯識的基礎建設,不要被鎖在這個硬體上,昨天劉康民(gugod)也有提荷蘭的例子。所以是不是用網站來做身份認證,而不是鎖在硬體上,不過這個是另外一個議題,目前短期的目標是中華電信是不是可以釋出 (APDU 的規格)。
(gugod 會後補充: 荷蘭這裡的做法。帳號管理都是這個 digid.nl,其他服務(比方說稅務)用 oauth 與 digit.nl 整合。 辦 digid.nl 帳號要先在戶政司登記居處地址。網站申辦後,會在登記地址收到實體信,內有 verification token 所以開帳號就要一個星期,但一個星期內沒做完就失敗。要從頭來。不過這一關過了之後就全部都是 oauth, 都沒有卡片)
很快綜整一下,你希望資管處的這一位科長再聯絡一次中華電信,希望他們做出充分揭露,揭露有兩種可能性:一個是仍然希望他們專屬的格式或者是命令來存取,但是至少揭露這一個的原因,或者是他揭露這一個用標準格式、公開格式要如何存取的說明,讓任何不特定第三人都可以在任何作業系統上進行接取,這兩種結果都是比現在好的,按照你剛剛所講的。
第一,他們要講自訂的command參數是怎麼樣,因為一定有很多參數,這一些參數是如何操作,為何那四道就可以開始初始化,至少告訴我們要如何操作,我們現在是用側錄去猜那個command,他要去解釋這四個。第二,為什麼用這個鎖住,大家想也知道為什麼,他也不用解釋,希望以後如果他們招標的話,不可以用這個,他號稱是符合標準,但是這個標準裡面是自訂格式,每一次都講合標準,我不太接受這一個事,我的希望是國發會在招標的話,不可以採用這一種自訂格式。
目前的狀況是,在開源的作業系統裡面,你仍然讀得到,只是不能用標準工具讀到。
對,我就是要自己開發,而且前面要有四道程序才能做。
是。這個其實有一點像驅動程式的概念,你要專門針對中電信的開發方來做一個驅動程式,你剛剛的主要訴求是一個你要特定的驅動程式就算了,但是跟我們解釋為什麼,或者是你釋出一個標準的驅動程式,這個符合國際標準,也讓大家可以使用;這不是在這一年度或者是下一次招標的時候。
不是。如果是短期內的話要告訴我們如何操作,長期是不能用這一個專屬的格式。因為一個簽證裡面都有讀取都有標準的command,不用前面這四道卡住,不可以,如何措詞我們可以跟國發會討論,以後新的卡片不可以,我覺得不可以,當然我們可以去「眾開講」討論。
還有建議用網站認證。
我們等一下可以講,我完全不贊成自然人憑證的方法,但是要先解決現在的問題,我們國家已經被自然人憑證綁住了,我們要往前進。
資訊局李維斌局長一直在講這一件事,他想要在議會批公文,但是沒有辦法。
這個我們等一下可以講,如果還有時間的話。
我這邊具體的承諾,因為我也是上個禮拜才從陳添枝老師那邊知道現在資管處是由我協助,既然是我協助了,我至少能做的就是按照你所說的這一位科長,去瞭解一下之前跟中華電信溝通的現況。但是我沒有辦法承諾說中華電信能因為我而去做任何事,這個權責區分大家都知道。
沒有關係。
那我們就不用特別提了(笑)。
其實這邊列的訴求都已經討論完了,你有額外想講的?
其實我這幾年也才研究自然人憑證,我不知道其他國家,臺灣自然人憑證資料「私人鑰匙」是沒有辦法讀出來的,那就沒有辦法轉移,只能被綁住,現在都用手機了,難不成還要接讀卡機跟自然人憑證?這個是完全不合理的。好險有位朋友劉康民(gugod),他說荷蘭並不是這樣,身份認證是去一個網站就可以認證了,認證以後就是等於這一個網站承認這個人做身份認證的動作,只是以前的身份認證是在卡片上面,我們現在有很多網站,很多網站就是跟他作開放式認證 (Oauth),所以我不曉得李資訊局局長的想法怎麼樣?
首先他很想要行動化,他認為信用卡認證手寫簽名也可以過,為什麼要用實體的卡片。
而且自然人憑證很誇張,它不能取出私鑰,那麼就不能轉移到手機,我覺得這個很扯,因此我覺得有必要檢討,但是我很怕,他們已經推十幾年了,我怕他們會覺得這個是正確的,因此有必要檢討自然人憑證是不是唯一網路或者是公文的認證方式,其實我覺得好像不太合理。我不知道臺灣為什麼這樣設計,可能有他的理由,但是光是這樣,手機就沒有辦法,難道要接讀卡機嗎?
新北很奇怪,公文系統很妙,可以在外面批,可是還是要回去插卡再全部解掉。
私鑰是被鎖住的,可以做簽證的動作,但是私鑰是拿不出來的,我也是最近才知道,我不知道其他的國家,所以可能需要再問一下。
我這邊稍微提供,為什麼會用自然人憑證其實是有歷史典故的,在十幾年前通過電子簽章法,那時國發會會擔任Root CA的角色,但是各有各個CA(憑證中心),像內政部自然人憑證中心,就是自然人卡,這個是內政部在管,其他的有衛福部在管,經濟部有工商憑證。
不同的卡片的標準還不一樣。
各有各的標準。
像剛剛柏鋒提到自然人憑證為什麼要用插卡或者是什麼的,像中華電信比較鼓吹的標準是GSMA所倡議的「Mobile connect」,這個是一個應用。這是在電信的聯盟底下,我們只要上網去,在底下登錄就可以連結到個人的電信帳戶、銀行帳戶等,一個動作可以完成個人的認證,之後在電腦上做一些電子交易就可以一路暢行無阻,就沒有自然人憑證插卡的問題,這個是GSMA。
另外一個是FIDO(Fast Identity Online),這個是另外一個國際標準組織,這個標準使用生物辨識,如指紋或者是虹膜或者是臉部的辨識,從個人裝置(device)就可以通過身份認證。我們在FIDO年會回來之後有找金管會討論,我們想到的另外一個做法是,在銀行公會那邊是不是可以在裝置的界面上把認證的東西放進去,所以我們用身上、隨手的mobile,就完成認證了,就可以到CA做完整個身份的認證,這其實都有辦法可循的;其實柏鋒所講的,也沒有非得要用卡片讀卡機不可,以上所說,只是其中一個方法。
GSMA 是不是 「自然人憑證雲端附卡」的計畫 (所使用的標準)?
不確定所提是什麼。
跟 「行動自然人憑證」的計畫相同嗎?
我沒有研究過這一個計畫。
我在猜應該是這一個,我回去再研究一下。
像剛剛講中華電信長久以來是這樣的問題,就我們的認知是沒有錯的,他們有自己的數據分公司、有自己的行動分公司、有自己的電研所,他們可以做很多方面技術的整合開發跟應用,自己內部很複雜,我們看他們自己又更複雜。
它複雜沒有關係,但是國家基礎建設,他們用這樣的小動作來綁住,我覺得是不好的事情,我覺得以後儘量不要有這一種事。
在討論這一塊,是不是希望內政部一起?
這個是國發會的事情,內政部是自然人憑證,但是標準是國發會的,他們就refer來refer去,我也被refer來refer去。
以前多卡合一的問題我也可以講一下,其實內政部一直想要把自然人憑證放進身分證裡面,其實這樣是不合理的事。
你說一張卡片是不是可以允許多功能,像我講的例子,那個網站就是這樣,如果來存取我的資料,當然我要同意,那個部會也要同意,所以兩方都要同意,這個就解決這個問題,我還是覺得綁在這個硬體怪怪的。
我還可以舉例,像銀行的卡片跟自然人憑證是類似的,但他們現在又改一個device。
(pofeng 會後補充照片: https://drive.google.com/file/d/0B1uXLsanO-xAWWN5a3RpT3MtQWc/view?usp=sharing)
現在世界的趨勢不會是綁硬體的。
對,但是我怕國發會訂出來還是按照以前的。
我現在的感覺,我們在資訊安全上面,當然需要兩個因素才能認證,只是並沒有任何人說兩個因素中,其中一個因素一定要是一張塑膠卡片,這個是大家的共同認知。
但是每個標準對於兩個因素裡面某一個因素,也就是跟自己相關的因素有很多權衡,像剛剛講的指紋,其實要冒用的可能性比較大;虹膜也許好一點,但是虹膜不能換,如果被複製的話,要換虹膜是做不到的。一個比較強的密碼跟可以廢止的卡片,確實是比較便宜、而且可以滿足那個因素的做法,我想這也是為什麼大家一開始都用這一個當作實體因素的原因。
以我自己的理解,不管是FIDO也好或者是Mobile Connect也好,如果要在我們這邊推行的話,尤其要超過一個部會推行的話,我們自己會需要一個現在叫做「My Data」,未來可能叫做別的名字的一種可攜式資料的架構。這個架構我很誠實說,國發會規劃了很久,本來是在第五階段電子化裡面,是那個計畫的一部分,但是在取得各個部會意見一致上,一直都有一些具體的困難,主要的原因是,這增加了大家的負擔,而並沒有明顯可見的好處。
通常我以跟歐洲國家的經驗,他們都歐盟有了指令之後,他們在國內說現在歐盟有了指令,我們非做不可,所以來找了一個方法做,所以各大廠商忙著去布魯塞爾去做討論。
臺灣的狀況並不是這樣子,以前國發會下指令或者是規範,其他部會未必會忙著非做不可,有時候這個規範就只及於國發會自己的網站。這個是實際的現實,我想各位都非常理解。
所以,我們能夠做的是,我們提高大家對這一件事的理解,至少像剛才提到的身分證與自然人憑證合一,先不要講別的部會,就是自然人憑證跟身分證憑證合一的這一件事,我們交付比較好的、品質比較高的公眾討論,可能不只是在「眾開講」上面寫東西,可能透過很多面對面審議的方法,這個方法因為不是我的直接業務主管—因為是內政部—但是我會提供內政部所有所需要的幫助。所有其他的例子,我覺得都要參考健保資料庫的經驗一樣,如果一下子全部被綁在很大的議題裡,雙方也會針鋒相對、告上法庭、纏訟多年(笑)。
那是因為他們不理我們才會告。
理解,理解。我對臺灣人權促進會的老師們都非常尊敬,沒有任何一點一滴不敬的意思。
我當然理解臺權會的操作方式,但這個也會變成後來我們在開協調會時的挑戰,因為同一張桌子上面變成原告、被告跟證人出席,我們要討論別的議題、達成共識,都會遇到一定程度的挑戰。
因此具體我個人希望對於這一些事,從爭議小的部分交給公眾討論,建立起有這一個共識的習慣之後,爭議大、且技術難度高的再一個個去挑戰,大是這樣。
反正卡片已經發出去了,看如何讓大家用最簡單的方式開發出來,當然他公布了,還是不會有人開發,我必須很老實講,但這個是第一步。未來大家想要解決自然人憑證的話,至少質疑自然人憑證的這一個框架可以重新討論一下,大家可以蒐集各國的資料。我知道內政部一直很想把自然人憑證合到身分證裡。這有好、有壞,我相信臺權會反對。
他們不是原則性反對,他們是認為不應獨厚特定標準,或讓民間無法自由決定是否加入存取,其實跟你的想法是一樣的。
這個沒有解決,不要想下一步。
那也要請貴基金會協助。
沒有,臺權會比較厲害。
貴基金會跟楊科長有聯絡過?
對。
那請把你們具體幾年幾月聯絡告訴我,你們也有我的名片,我接下來再進行處理。
不好意思再麻煩你。
我們跟數位國家裡面,原來也有設定一個網路身份認證中心之建置,可以再討論細節,那個是原則上要做的東西,因為我覺得現在很多應用都是在手機上,卻要拿一個讀卡機存取,甚至我們之前也希望mail可以在外面用手機讀取,但當時資訊處叫我們要弄一個外接的讀卡機。
我們現在就被鎖著,我也理解,但是那個是十幾年前的架構,那個是沒有手機的年代做出來的標準。
我覺得那是數位國家方案可以再討論的。
大家分頭研究一下知道各國的狀況,至少不要再被中華電信騙了(笑)。
等一下。我想跟中華電信正在看逐字稿的朋友說:我理解政府雲端服務建置是非常困難的事,每一個機關跟單位都有完全不同的要求。
我滿高興有真的很懂這個的朋友,也就是前資管處長簡宏偉,現在在做資安方面的把關。
之前是「隱私」跟「資訊安全」這兩個因素出來,而沒有一個明確的標準時,大家會往風險最低、最不方便的方式去設計資訊服務,從有電子化政府以來都是這樣子。我滿高興在資訊安全上有真的能夠衡平考慮到實際使用的近用性,以及資訊安全保障的朋友來做規劃。
這邊再做一次期待管理:凡是密件或涉及國家機密的文件,我都一律不看,我會交給辦公室已經可以涉密的同仁看。也因此簡宏偉處長不是我的督導範圍,但是我相信他的判斷能力。
資管處的角色?
資訊安全會由資安處來督導。當然標準驗證的部分還是會請資管處來協助。
簡處長口頭也是贊成要開放前幾道命令,大概就這樣子。
至少如果有人提出資訊安全作為理由的話,他可以作為判斷,我只是要說這個。
感謝大家非常有效率使用時間,謝謝大家。