立法院第10屆第7會期交通委員會第9次全體委員會議紀錄
時 間 中華民國112年5月11日(星期四)9時至11時40分
地 點 本院紅樓201會議室
主 席 陳委員雪生
繼續開會
主席:現在繼續開會。
進行報告事項。
報 告 事 項
邀請數位發展部部長唐鳳、財政部、國家科學及技術委員會就「網路報稅、ChatGPT等使用率高,數位發展部如何協助使用者防止資安外洩」進行專題報告,並備質詢。
主席:請數位部唐部長報告。
唐部長鳳:主席、各位委員、各位行政部門的夥伴、各位媒體朋友大家早。今天非常高興能夠列席交通委員會,針對委員所提「網路報稅、ChatGPT等使用率高,數位發展部如何協助使用者防止資安外洩」提出報告,並備質詢。
大家知道網路報稅是很多人使用的,財政部資訊中心(簡稱財資中心)是在財政部專門啟動報稅網站之前,都會有每年的資安檢測,報稅的體驗當然越來越好,包含手機報稅等等,這個之前我擔任政務委員的時候,也有各種各樣的工作坊來邀請大家一起參加。但是當前端的這些技術越來越好、越來越好用的時候,我們也要小心資安風險,所以包含像資料庫所謂SQL Injection弱點、主機弱點、網頁滲透測試等,財資中心會自己先去做這方面的測試,然後完成弱點修補之後,把初步測試結果提供給國家資通安全研究院(簡稱資安院),由資安院來進行複測,今年度相關作業都已經辦理完畢。
除此之外,如果有臨時緊急狀況發生,比方說網站連不上等事件,財政部已會同本部資安署及資安院成立緊急應變小組,24小時值班,如果發生任何事情的話,都可以即時排除,以提高防護韌性。
有關ChatGPT的部分,因為貴委員會詢問公務機關使用生成式AI要注意哪些事項,這部分是由國科會來負責參考指引,目前正在籌備這樣的指引,將會作為政府部門使用生成式AI的參考依據,即不是分析既有資料,而是自己可以創作的那種AI的時候,來確保個資安全與資安防護,相關資安的部分,我們會全力來配合。
接下來非常高興有這個機會能夠聆聽各位委員的指教,謝謝。
主席:財政部、國科會所提之書面報告列入紀錄,刊登公報。
財政部書面報告:
主席、各位委員先進,大家好:
今天貴委員會安排相關部會就「網路報稅、ChatGPT等使用率高,數位發展部如何協助使用者防止資安外洩」進行專題報告,以下謹就涉本部業務部分簡要說明如下,敬請指教。
壹、網路報稅之資通安全防護與個人資料保護作為
一、網路報稅首重保護納稅義務人的所得及扣除額等個人資料安全,相關資通安全防護如下:
(一)事前準備
1.系統弱點掃描:經多方滲透及弱點掃描測試,區分高風險、中風險及低風險,即時修補並反覆測試。
2.檔案加密:所得、扣除額資料及產出檔案均加密處理。
3.紅隊演練:由第三方公正單位,進行深度滲透測試,加強系統安全性。
4.個資保護:所得及扣除額資料部分欄位(如姓名、地址)加密。
(二)報稅期間
1.雙中心防護:同步監控報稅主機房及備援機房,如出現入侵或異常,即時通知負責人員,並啟動對應防護措施,如:流量清洗服務。
2.監控及聯防:24小時監控並與法務部調查局、內政部警政署及數位發展部資通安全署組成資通安全防護網,建立即時通報及處理機制。
二、民眾使用申報系統資訊安全作為
(一)身分認證機制:手機採生物特徵辨識或雙因子認證,並限制輸入認證失敗次數及圖形驗證碼,可降低暴力猜測風險。
(二)全程加密傳輸:申報資料及附件檔案,透過加密傳輸至報稅主機。
三、本部於112年4月所得稅結算申報記者座談會說明並於本部社群媒體(Facebook及LINE)製作懶人包,宣導民眾注意個人資料安全,注意電腦或手機資安防護,養成良好使用習慣。
貳、本部對於ChatGPT之因應作為
我國人工智慧(AI)基本法相關草案,刻由主責機關研擬中,待該法立法完成後,本部將依規定配合辦理。現階段本部管理方式如下:
一、公務用之資通訊產品不得使用中國大陸廠牌,且不得安裝非公務用軟體。
二、本部公務禁止連結或使用中國大陸生成式AI工具及產品(如百度、阿里巴巴等)。
三、非中國大陸生成式AI產品可增加工作效率部分,原則不予禁止,惟須遵守既有之機密規範。
四、本部財稅資訊系統網路架構採實體隔離區分內外網,涉及機敏資料之作業環境皆在內網,並無對外連接網際網路管道,故同仁無法透過網際網路將財稅資料直接使用於生成式AI工具。
叁、結語
本部將配合數位發展部資通安全政策及國家發展委員會個人資料保護政策,持續強化相關資通安全管理與個資保護措施,以保障民眾權益。
以上說明,敬請各位委員惠予指教,謝謝!
國科會書面報告:
主席、各位委員先進,大家好:
今天承蒙大院交通委員會安排就「網路報稅、ChatGPT等使用率高,數位發展部如何協助使用者防止資安外洩」進行專題報告,國科會謹就推動人工智慧相關業務提出簡要報告,敬請各位委員惠予指導。
近年來,AI已成為引領未來、對社會帶來重大改變的關鍵技術,國科會為促成各界共同打造值得信賴的AI環境並接軌國際,已成立臺灣AI卓越中心(Taiwan AICoE),也著手研議AI法制化,並就新興AI科技發展提出因應措施,希望能引領臺灣開創AI新局。
首先,為銜接現有AI研究基盤及持續擴大研究動能,國科會推動成立臺灣AI卓越中心,做為強化策略性國際合作及跨部會整合平台,根基在科研、人才、治理三大策略目標,強化AI科研的跨部會合作及多元專業社群參與,共同面對新興AI科技發展及全球社會環境重大挑戰,跨域共建重大挑戰解方。同時,藉由深化國際交流,培育高階研究人才及延攬國際AI人才來臺等作法,厚植我國AI關鍵人才;在治理方面,將朝以人為本落實AI倫理與法制,以深化可信任AI技術研發,並提升臺灣於全球AI治理的參與,將臺灣價值觀帶入國際倡議及規範、共創發展,抬升臺灣在國際上AI治理發展的能見度與制度影響力。
其次,考慮到AI技術快速發展及可能面臨的挑戰,國科會在2019年已訂定了「人工智慧科研發展指引」,提供做為我國AI科研人員的參考依循。我們也在觀測國際AI法制化的趨勢與蒐集專家學者意見後,已著手研議AI基本法草案,希望能建立適合AI發展的原則性規範,提高大眾對AI技術的信賴。
此外,為因應ChatGPT等生成式AI服務之繁體中文資料少、資料偏誤問題、政府資料機敏性及企業營業保密等需求,臺灣有必要投入可信賴AI對話引擎及推動相關應用。且ChatGPT等生成式AI服務之影響層面正快速擴大,推動臺灣發展可信賴的生成式AI已刻不容緩。
臺灣發展可信賴AI對話引擎並不是要跟國際大廠的通用型服務競爭,而是要建立臺灣自主能力,以 AI解決國家社會面臨的問題。因此,國科會統籌規劃推動可信賴生成式AI相關計畫,包含可信賴生成式AI引擎、可信任AI環境等部分,希望能建立臺灣的自主能力。國科會後續也將在不同階段逐步釋出「可信賴生成式AI引擎」預訓練模型(Pre-trained Model),並邀請業界、政府機關在此模型之上以自有的資料進行微調(Fine-tuning),發展符合自身需求的系統。政府也將積極推動AI法制相關工作,提高民眾的AI素養,以因應生成式AI發展所衍生的AI監管及治理議題,落實可信賴AI的發展。
國科會以國家高度擘劃科技藍圖,也將在跨部會的共同努力下,推動臺灣在AI發展及與國際交流,並且致力完善我國AI生態環境及與國際趨勢同步。同時,我們也將參考各界的回應以及AI發展進程,持續精進修正,盡力凝聚產官學研各界對發展AI科技的共識。
以上報告,懇請委員指導,並敬祝各位委員平安健康、萬事順心。謝謝!
主席:現在開始進行詢答,先宣告以下事項:本會委員詢答時間為5分鐘,得延長1分鐘;列席委員為4分鐘,得延長1分鐘,10時30分截止發言登記。各委員若有提案,請於10時前提出,以便議事人員彙整;暫定10時30分休息10分鐘,中午原則上不休息。
現在請登記第一位陳委員椒華發言。
陳委員椒華:(9時5分)部長,今天要問數發部的「強化通訊網路數位韌性驗證計畫」,這個計畫在4月26日已經招標了,目前是不是還在進行審查作業?
主席:請數位部唐部長說明。
唐部長鳳:目前還在審查。
陳委員椒華:我們知道這個計畫補助專案的內容就是低軌道(LEO)衛星系統之布建,國內至少700個、國外至少3個LEO衛星終端設備站點,還有離島及國外的設備站點。這個計畫的申請對象限定研究機構及學術機構,請問這次在這個圖表上面列出來的,包括中研院、工研院、資策會、網路資訊中心、電信技術中心,還有國內大專院校等,請問限制申請對象的考量是什麼?
唐部長鳳:委員,先補充一下,剛才您提到低軌衛星,但是我們這個計畫裡面也會同時使用中軌道衛星,因為這並不是一個維運計畫,這是一個驗證測試計畫,我們的目的是要找出在緊急災難發生的時候,哪些情況下低軌道比較好?哪些情況下中軌道比較好?是這個廠商比較好,還是那個廠商比較好?等等,所以它要一次驗測非常多個廠商,如果它本身就是一個電信營運商的話,它有比較密切的合作夥伴,那它來當作驗測的第三方,可能比較不適合,這是第一個。第二個,因為學研機構在接受這個工作的時候,哪裡發生災難、哪裡發生事件,我們就隨時可以直接調設備過去支援,好比說……
陳委員椒華:所以部長的意思是說,因為是驗證測試,所以是研究跟學術機構才適合,是不是?
唐部長鳳:是的,不然我們受到動員法的限制,就必須要真的是緊急動員令的時候才能去徵用廠商的設備。
陳委員椒華:好。請問4月28日發布的新聞稿指出,數發部申請截止後,有數家機構遞件,請問部長,「數家」是哪幾家?
唐部長鳳:「數」就是有好幾家,是不是請司長報告?
陳委員椒華:包含哪些領域的機構?是研究還是學術?
主席:請數位部韌性司鄭司長說明。
鄭司長明宗:其實剛剛委員提的那些機構都是我們的範圍,為什麼我們……
陳委員椒華:現在有幾家?
鄭司長明宗:因為家數不是重點,跟委員說明一下……
陳委員椒華:有幾家,你可不可以先講一下?
鄭司長明宗:家數真的不是重點,因為基本上這個我們也是……
陳委員椒華:對,不是重點,但是幾家你總可以說吧!
鄭司長明宗:不是……
陳委員椒華:幾家有個資的問題嗎?
鄭司長明宗:有,因為這部分不是重點……
陳委員椒華:幾家?
鄭司長明宗:因為我們一旦選商完畢後,會立刻發新聞稿告訴外界,我們選定了這家研究機構,要怎麼來做,因為……
陳委員椒華:我知道啦!現在有幾家可以講一下。
鄭司長明宗:真的不方便說,因為家數……
陳委員椒華:不方便說的理由是什麼?
鄭司長明宗:第一個,它只是在程序中,給了家數就會問是哪幾家;至於會干擾到……
陳委員椒華:哪些領域可以講一下嗎?
鄭司長明宗:就是剛剛委員……
陳委員椒華:現在投標的……
鄭司長明宗:剛剛委員呈現的機構,只要是研究機構,甚至學校等都可以來。
陳委員椒華:好,不公布的原因到底是在怕什麼?我真的是想不通。
鄭司長明宗:不公布是不要干擾到我們獨立的審查,因為我們有外部委員……
陳委員椒華:不是!只是問你幾家,又不是叫你說哪些!哪些研究機構我們也沒有要求,只是問你幾家,你就不方便講,這個真的是有一點問題!
鄭司長明宗:也藉這個機會跟委員及外界說明,因為家數真的不是重點,重點是我們選出來的那家才重要,我們會立刻發布新聞稿。
唐部長鳳:是,不只一家。
陳委員椒華:這個理由本席不能接受!有包含這些學術研究機構,對不對?
鄭司長明宗:對。
陳委員椒華:部長,對不對?
唐部長鳳:當然。
陳委員椒華:再來我們知道過去有許多行政部門的計畫,縱使只是在撰寫、草擬的階段就已經委託給外部單位來處理,本席要請問這項計畫整體架構的撰寫及擬定,初始是由行政部門業務單位寫的,還是有委託給其他外部單位?
鄭司長明宗:跟委員說明,是我們公務員自己寫的,我們沒有委託案,在撰寫RFP的時候並沒有委託。
陳委員椒華:是哪一個部門?
鄭司長明宗:我們沒有委託,就是我們韌性建設司。
陳委員椒華:對,是哪一個部門寫的?
鄭司長明宗:從通傳會到數位部都是由我這個單位,在通傳會是基礎處,到數位部是韌性建設司寫的,以上。
陳委員椒華:好,韌性建設司,那通傳會是什麼?
唐部長鳳:基礎處。
陳委員椒華:那我們往前來推,這個計畫應該是在去年8月核定的,顯然這個計畫的規劃更早,就像剛剛司長說的,而數位發展部是前年年底三讀,在去年8月才正式揭牌,目前這個計畫的計畫主持人是司長,是不是?是鄭司長嗎?是韌性建設司鄭司長;鄭司長之前,你剛剛說你是在通傳會的資通安全處……
唐部長鳳:基礎處。
陳委員椒華:包含過去計畫的相關簽核,我們也看到是NCC的陳耀祥主委。本席要請問部長、司長,我剛剛有問到,這個計畫沒有委託其他外部單位嗎?好,那關於原先這個撰寫計畫的單位,你說是司長過去在通傳會的部門寫的?
唐部長鳳:基礎處。
陳委員椒華:都沒有跟別的研究學術機構合作嗎?
鄭司長明宗:沒有。
唐部長鳳:我們有跟當時的科技會報辦公室,也就是現在的科技辦公室討論。
陳委員椒華:所以完全是由通傳會寫的,是不是?好,現在司長這邊不方便公布有幾家,然後你說這個計畫完全是通傳會寫的。
而對於這個計畫,現在我們也看到一個問題,全國重要的基礎設施有6,882處,數發部在計畫摘要中有寫說,計畫將從中擇定超過700處的重要基礎設施場域設置這些終端設備,來提供寬頻上網、強化政府指揮等等,未來可能也會依國防、國安的需求來設置,請問這樣子的設計有徵詢國安相關單位的見解跟評估嗎?
唐部長鳳:我們在之前規劃的階段,透過當時的科技會報辦公室有瞭解到國安單位的需求。
陳委員椒華:他們的需求現在透過這個計畫,未來我們國安的這些問題是不是會有漏洞呢?
唐部長鳳:分成兩個部分,委員先前關心會不會有危害產品或是投資資本等等問題,這個我們在一開始就有規劃進去;另外一部分是說,在我們部署的這些點上面,我們所用的衛星系統會不會有資安漏洞,這個當然就是數位部的專長,我們就會去跟這家,不管最後是誰受到補助……
陳委員椒華:好,我知道,就是說不會有資安漏洞,採用的衛星也不會有中資背景、也不會有中國的廠牌,是不是?
唐部長鳳:在最一開始就寫進去了。
陳委員椒華:這樣就夠了嗎?你們未來要如何落實查核?因為這部分可能會層層分包,分包之後,你們未來怎麼訂定查核的基準?
唐部長鳳:這個在我們產業署其實有另外一支計畫叫做軍民通用的資安測試,我們會邀請民間的紅隊組成攻擊手,模擬對我們惡意的政權進行對這些設施的攻擊。
陳委員椒華:未來的合約也都會把相關的資安還有分包以後的查核規範放在裡面嗎?
唐部長鳳:對,因為這是一個驗證測試,所以也有一個可能是我們測試了好幾家之後,某幾家我們覺得沒有達到國安標準,只有其中幾家可以用,這也是一個很好的產出。
陳委員椒華:未來會把相關的資安查核、分包之後的機制都在合約訂清楚嗎?
唐部長鳳:一定會建立。
陳委員椒華:好。最後再問部長,剛剛是司長回答,為什麼不能說幾家?有什麼秘密?連幾家都不能說,我想這個已創我們立法院在質詢時的紀錄,連幾家廠商投標都不能講!請部長說明理由是什麼?
唐部長鳳:數家就是不只一家,所以並不是只有一家的意思。
陳委員椒華:對啊,究竟有幾家嘛?連幾家都不敢說,這部分我不能接受!召委,可不可以請部長回答?連幾家都不能講,這個我要抗議!
主席:請回答一下。
唐部長鳳:以我的瞭解有3家。
陳委員椒華:好,謝謝。謝謝召委。
主席:請洪委員孟楷發言。
洪委員孟楷:(9時16分)謝謝主席。部長早!部長,關於數位身分證引發的爭議,剛剛一開始的時候也有很多媒體關注,而且還動用到我們開會的時間,在2020年底的時候,當時唐鳳部長還是政委,跟內政部部長徐國勇大力召開了網路直播、拍攝網路影片,這個現在在網路上都還可以找到嘛,對不對?
主席:請數位部唐部長說明。
唐部長鳳:是的。
洪委員孟楷:您那個時候怎麼講?您那時候公開為數位身分證護航、強調核心晶片由台積電製造,所以更安全……
唐部長鳳:是那片卡片的防偽……
洪委員孟楷:對比現在我們的數位身分證,那數位身分證不推的理由是什麼?
唐部長鳳:當時……
洪委員孟楷:不也是沒有辦法保護資安、沒有辦法完全防偽嗎?
唐部長鳳:按照中研院的建議書,並不是那片卡片本身的防偽,而是他們認為說,這會很容易蒐集個資到政府機關,對於政府機關跟機關之間在後端傳輸的個資防護,他們不是對那片卡片的資安有疑慮。
洪委員孟楷:所以對於政府跟政府之間的傳輸沒有辦法完全保障?
唐部長鳳:當時是這樣,所以我們才會有T-Road等等這種新的建置。
洪委員孟楷:是,那現在的數位身分證呢?現在我們看到全民要買單10億,然後我們不知道數位身分證到底要不要推,很多網路上的朋友甚至講得非常難聽,講說這很像是詐騙集團,買空、賣空、一場空!
唐部長鳳:當時……
洪委員孟楷:還找名人代言,那時候找到最「大咖」的名人,一個叫內政部部長、一個叫政務委員!
唐部長鳳:當時如果您有看我直播的話,講的也是那片卡片雖然沒有資安上面的問題……
洪委員孟楷:所以你掛保證的是那片卡片?
唐部長鳳:對。
洪委員孟楷:其他的你都不掛保證?
唐部長鳳:但是個資的部分,可能需要獨立的機關來判斷,不是我們使用的機關自己講,而是獨立的個資保護專責機關來判斷。
洪委員孟楷:我現在想請教數位發展部當初成立的緣由及宗旨,以及為什麼那個時候所有人都希望趕快成立數位發展部?很大的一個重點不就是那時候蔡英文政府、蔡英文總統宣示資安就是國安!
唐部長鳳:是呀!
洪委員孟楷:對,資安就是國安,就是這句話!所以大家認為趕快成立數位發展部來保護資安,結果現在數位發展部成立之後,遇到任何的資安問題、個資外洩或者是相關的傳輸疑慮,你剛剛也講了,政府跟政府部門之間的傳輸有疑慮、有問題、沒有辦法解決,所以數位身分證暫緩,那這是誰的責任?
唐部長鳳:我們今年2月掛牌的資安院,就是不管哪一個部會在這方面有問題,剛剛委員也有聽到24小時財資中心跟我們資安署、資安院都是聯防的架構。現在是民間……
洪委員孟楷:是,所以現在資安院或相關單位也沒有辦法保證數位身分證的傳輸安全,所以數位身分證暫緩,你的邏輯是這樣子嘛!
唐部長鳳:我們現在是在建立這個系統。
洪委員孟楷:結果是數位身分證暫緩,而你的邏輯、原因是因為政府跟政府之間數位的傳輸沒有辦法,然後你又說現負責這一塊的是資安院、是數位發展部下面的單位。
唐部長鳳:建置這個的是資安院。
洪委員孟楷:所以這就代表數位發展部現在沒有辦法發揮它的功能,是不是?
唐部長鳳:有關認證這個的部分,當時不管是按照憲法法庭的判決,還是中研院的建議,都希望有一個獨立的機關,現在是這樣子。
洪委員孟楷:部長,所以重點在於數位發展部成立到現在已有快1年的時間了,請問有沒有發揮它的功能?
唐部長鳳:我們當然有建置T-Road,也有導入。
洪委員孟楷:數位身分證到底要還要不要推?
唐部長鳳:我們會把這些T-Road等等都建置好,然後看看獨立的個資會覺得我們的努力夠不夠。
洪委員孟楷:所以有沒有時間表?有可能現在這10億還是無底洞嗎?我們現在看到媒體的報導是,政府要認賠10億,有5億是廠商求償、有5億是事先費用,你現在這樣講,即不知道什麼時候做得好,資安無底洞,不知道什麼時候做得好,所以只要還沒有做好的一天,數位身分證可能推,但是永遠不會推出,是這樣的意思嗎?
唐部長鳳:之前有提到,我們這些全國個資的機關是用T-Road互相串聯,導入零信任則是明年年底前就要完成,這是我們的時間表。
洪委員孟楷:所以明年年底前有可能會再推數位身分證嗎?
唐部長鳳:這個就要由獨立的個資會來進行判斷。
洪委員孟楷:現在還要成立獨立個資會?它不是在數位發展部下?
唐部長鳳:當然,個資法修法已經送到大院了。
洪委員孟楷:本席之前有討論過,個人的資料,要不現在是跟內政部有關,如果是網路上的話,可能跟數發部比較相關,所以已經有一個內政部掌管個人資料、已經有一個數發部掌管數位網路發展的部分,結果這二大部會,分別拿了上百億的預算,都還是沒有辦法保護獨立的個人資料,甚至還要再另外再成立一個機關。
唐部長鳳:對,因為這有……
洪委員孟楷:你不覺得這樣是疊床架屋嗎?
唐部長鳳:這有一個原因,因為憲法法庭在憲判字第13號判決健保資料庫案有指出,您剛剛提到,不管內政部或其他的部會,它本身又是健保資料庫相關的使用者,如果用它來評判這樣能否保護個資,有使用者兼監督者的問題,所以才需要一個獨立的個資會。
洪委員孟楷:可是我的意思是,會不會變成是疊床架屋?到最後獨立的機關再出來之後,又沒有辦法保障資安,然後又推給數位部,數位部再推給……
唐部長鳳:沒有推的問題,因為這個獨立的個資會,如果需要技術人員的話,同樣地,我們資安院會全力支援。
洪委員孟楷:部長,我是很理性地、務實地跟你討論,但是外界的觀感就認為現在每次講到個資、詐騙,尤其現在大家最深惡痛絕的詐騙等等,就是部會各自推託。最近有一個很明顯的案例,就是im.B詐騙案,你認為im.B詐騙案的主管機關到底是哪個部會?
唐部長鳳:我想上次不管是刑事局或是調查局等等機關要求我們數位部相關的法人去把那個網域下架等等,我們也立刻就執行了,所以這是一個刑事犯罪。
洪委員孟楷:是刑事犯罪,但其實更大的是一個金融以及跨國,還有數位世界上的犯罪。現在變成im.B案有一群受害者,他們被騙已經長達了數年,可是現在要去找所謂的P2P借貸,卻沒有任何監管單位,媒體甚至還點名了,但金管會說它不是主管機關,經濟部說它不是主管機關,數發部說它不是主管機關,到底誰是主管機關?
唐部長鳳:這個跟虛擬貨幣,不管是洗錢防制或者金融相關的問題,都是有一段討論的過程,像金管會就它能夠主管的會說這部分是他們管的等等。
洪委員孟楷:所以部長還是比較認為im.B、P2P的借貸,金管會是主管機關?
唐部長鳳:只要是需要特許或是監理的部分,當然都還是在金管會或者其他相關有監管能力的委員會。
洪委員孟楷:是啊!但現在金管會也是一推二五六啊!金管會也認為那不是它的業務。
唐部長鳳:應該是說它同一個平台或同一家公司會有很多業務。
洪委員孟楷:你現在在交通委員會代表數發部說那是金管會的業務;而金管會在財政委員會說那是網路世界、數位世界,不歸它管,那不就是互推嗎?所以這就是民眾現在看到你們的手法,認為這就是在互推。其實本席不好意思再點出來,今天數位發展部的專案報告,我覺得召委定的這個題目非常有意義,網路報稅用AI人工智慧軟體來做相關資安的審慎、防止及保護,結果你們的報告裡面卻表示,這是財政部的業務、是其他部會的業務。
唐部長鳳:國科會的業務,就是制定那個指引。
洪委員孟楷:沒錯!國科會的業務、財政部的業務,結果你數位發展部的報告才一張二面,請問數位發展部的業務到底在哪裡?
唐部長鳳:這是聯防啊!
洪委員孟楷:數位發展部的責任到底在哪裡?
唐部長鳳:提供資安院的能量啊!
洪委員孟楷:說句不客氣的話,剛剛10分鐘前我用電腦查那個AI系統,列出來的五點都比你們今天的報告還來得詳細。
唐部長鳳:歡迎委員分享。
洪委員孟楷:等一下我就LINE給你,說實在的,部長不應該是這樣嬉皮笑臉的態度,工作可以輕鬆,但這是很嚴肅的問題,尤其是面對國人現在已經深惡痛絕的詐騙、網路個人資料的洩漏。甚至你們所謂的打詐國家隊1.5,還要再花13億,我就請教你,現在這13億中數位發展部編列了多少預算?
唐部長鳳:其實包含現有的資源,不一定需要花我們新的預算,這跟之前……
洪委員孟楷:沒有新的預算,所以原本就有預算,是不是?
唐部長鳳:我們本來就在推電商的隱碼技術;我們本來就在推……
洪委員孟楷:所以這又讓大家覺得政府根本就是打假的、是玩假的,你沒有編列新的預算,你只是拿原本的預算,然後就把它給匡列出來,給一個新身分說這是打詐國家隊1.5,然後做的事情還是去年總預算在審理的時候,你們本來就要推動的業務……
唐部長鳳:有新的事情……
洪委員孟楷:但沒有新的預算啊!
唐部長鳳:因為我要推的事情不需要預算。
洪委員孟楷:現在要推的事情不需要預算,那以後打詐的部分我們都不需要再給預算了?
唐部長鳳:我們這邊是所謂的簡碼,好比說各個公務機關約定用同一個簡訊的簡碼來發送,這是大家約定就好的事情,未來如果需要維運的預算,我們當然會再編列,但這只是把我們現有的這些簡碼去做一個整理,那是我們公務員本身就在做的事情。
洪委員孟楷:部長,國人看到的是政府機關在互相推託,沒有一個主管單位,然後詐騙持續地橫行,你們大動作在上個禮拜宣布所謂打詐國家隊1.5的時候,還說要再有13億,但是本席要了相關各部會的資料,才發覺這13億根本也不是新編預算,而是原有的本業務裡面的預算,所以變成你這所謂的1.5根本就是一個名詞、根本就是大內宣,如果你們只是用這樣的態度,只是認為這是原本的業務,反正講歸講、做歸做,你還是做你原本的事情,詐騙有沒有降低,不關你的事,你就是告訴大家有1.5了,如此一來,你乾脆講150好了!你乾脆講比較炫一點的名詞,「X」、「S」,好不好?iPhone都有S、都有最新的,你們就不要用1.5,用2、用3不是更棒?
唐部長鳳:謝謝委員的建議,我要講的是像電信簡碼這是全新的,去年沒有。
洪委員孟楷:這已經變成讓大家覺得數位發展部現在在做的是虛事或者就是在做宣傳的事,而不是你們真真正正在做實事……
唐部長鳳:我可以講二句嗎?像我去拜訪臺中市政府盧市長的時候……
洪委員孟楷:有,我有看到,盧市長還有請你們吃東西。
唐部長鳳:對,他們也很同意有這樣子共用的簡碼、共用的短網址,這對市府來講也非常有幫助,像他們的台中通或是臺中購物節等等,如果要發送這些相關的簡訊是容易被瞭解這是政府所發的、是可以信任的等等。總之,這是有新的做法。
洪委員孟楷:部長,我們在講的是打詐,你在講是觀光宣傳發展。
唐部長鳳:我也是在講打詐,就是不要變成我們在傳相關簡訊時,被民眾誤認成詐騙。
洪委員孟楷:部長,怎麼樣能夠協助國人降低詐騙的發生,數位發展部到底有沒有一個做法?
唐部長鳳:有的,就是電信的簡碼、網址的簡碼以及隱碼技術。
洪委員孟楷:就是用電信簡碼,好,所以今天媒體可以下標,就是數位發展部告訴國人,今天若被詐騙,數位發展部提供的方式,就是把長網址變成短網址了,其他就是大家自求多福,其他就是大家不要受騙,其他就是大家受騙了,不關數發部的事情,因為數發部只有把長網址變成短網址。
唐部長鳳:剛才有提到電商隱碼技術,還有相關的一些,就是技術上面的包含行政調查等等。
洪委員孟楷:部長,說實在的,今天的質詢我是滿失望的,我真的滿失望的,數發部1年前成立時,本席是站在贊成的立場,因為我認為數位世界不可避,能夠由更超前的人來管理,由所謂的天才大臣來管理,我們很期待,但期待不是說只是來這邊耍嘴皮子,或是說只是我們今天質詢時間5分鐘、4分鐘就混過了,然後大家就沒事了,而是必須真正要能做出實績。我想新內閣上任到今天也有101天了,在這101天裡面,不分在野或是執政,如果沒有讓國人感受政府真的有心想要來協助處理詐騙案件或從根本來阻止詐騙,只是講一些冠冕堂皇的話,說有在做,但卻看不到實績,對這樣的政府我們是失望的。
唐部長鳳:我們在整個6,000元的過程裡面,不管是資安事件還是詐騙事件,我們都把它杜絕了……
洪委員孟楷:還要再講下去嗎?詐騙事件那麼多,然後你又再扯到整合6,000元,這不是耍嘴皮子就可以。
唐部長鳳:所以我們把這個系統接下來交給各縣市政府等,就可以讓大家節省工作的成本。
洪委員孟楷:謝謝部長。
主席:請陳委員歐珀發言。
陳委員歐珀:(9時31分)部長,昨天行政院陳建仁院長特別出面澄清數位身分證沒有處理好,有爭議的部分要繼續處理。
主席:請數位部唐部長說明。
唐部長鳳:是。
陳委員歐珀:並沒有所謂買單10億的問題,他還特別提到數位身分證要有更周延的考量,請問有哪些部分必須考量?
唐部長鳳:謝謝委員讓我有機會說明,主要有兩個,一個是中研院,當時陳院長也在中研院,主要的建議就是要有獨立專門的個資機關來檢驗政府後端傳輸個資保護的問題,這是第一個。
第二個是在我們建置這個系統的過程裡面,我們要確保數位身分證能夠讓想用的人用,但如果他不想要使用數位身分證,他還是想用本來卡式的方式做臨櫃服務的話,他應該有相同的權益,不要因為他沒有數位身分證的使用習慣,所以就不能夠存取那些公共服務。
陳委員歐珀:部長,你知道我們談數位身分證談了幾年嗎?
唐部長鳳:當然這個版本是從2016、2017年開始規劃,但以我所瞭解的,前面還有一些別的版本。
陳委員歐珀:部長,國外有很多國家,包括中國,他們都使用數位身分證,臺灣到現在還沒有,我想這個期程你們不能不訂出來,到底什麼時候國人可以拿到數位身分證?
唐部長鳳:在國際的評比上,因為我們有自然人憑證跟行動自然人憑證,所以其實臺灣算是有的,我們在國際評比上是被算在有的那邊,之前的規劃是要不要把自然人憑證的功能內建在我們紙本的身分證裡面。
陳委員歐珀:對,數位身分證我們談了那麼多年,你現在怎麼跟國人說,花了那麼多錢,沒有浪費、沒有買單的問題?到底什麼時候我們可以拿到你們承諾給國人的數位身分證?我要問的是這個問題,你可不可以詳細答復一下?
唐部長鳳:好的,在公部門機關之間互相安全傳輸個資的T-Road系統,在全國個資保有機關,我們會在明年年底之前加速完成導入跟零信任的導入,這是在技術上;但是在法制上面,可能也需要大院通過國發會提出的個資法修法,以確保個資專責機關的成立,以我所知,籌備處會在今年下半年就成立,所以成立之後……
陳委員歐珀:所以到明年2024年,我們都還拿不到數位身分證,最快也要到2025年?
唐部長鳳:可能要看這個新的個資會的判斷。
陳委員歐珀:以你的規劃,最快是2025年,那時候已經換總統了。
唐部長鳳:因為現在個資會還沒有成立,我們也沒有辦法自己判斷。
陳委員歐珀:很可惜,蔡總統拿不到她任內第一張數位身分證,這個你們去檢討一下,其實連我都感到很失望。
第二點,我想請教AI深偽技術的管理問題跟產業AI化面臨的一些相關問題,我想這兩個問題都很大,AI深偽技術演進的程式發展,中國水軍假帳號的問題,這個大家都知道,也有深偽成真人,到最後連政要都被深偽,這實在令民眾難以察覺,因為他出來講時是有字幕也有影像,大家會誤以為真,事實上它卻是假的。如果現在發現有蔡總統在上面講的影片,而這種影片在臺灣大家也都看得到,那請問在臺灣播放這樣的影片有沒有刑責?
唐部長鳳:當然在選舉期間擾亂還有牽涉到金融詐騙等,中選會跟金管會各自有各自的監管;我們數位部的工作是做驗證跟測試,還有電子簽章的工作,以確保是我本人的話,我所簽的或是我以數位部的名義,用剛剛簡訊的短網址或短碼發送是有簽名的。
陳委員歐珀:部長,請你回答我這實例的問題,假如換成播放蔡總統在電視上或在各種媒體上播放這樣的影帶,說臺灣要發生戰爭了,大家要怎麼樣、怎麼樣,既有影像,也有字幕,還有聲音,這種影像如果發生在臺灣,你有沒有辦法處分?有沒有刑責?
唐部長鳳:以我目前的理解,您剛剛提到的選舉期間是選罷法規範的期間,亦即用各種方式意圖使人當選或不當選等,則中選會有它自己的規範,據我所知這部分有一個深偽相關的專章,好像已經在大院審議。
陳委員歐珀:所以目前是沒有,還沒有審出來。
唐部長鳳:現在只能做一般的……
陳委員歐珀:所以部長,我要提醒你,你要避免這種相關的情況發生,否則一旦發生時,將無法可管,本席在這裡已經提醒你,這在政要身上都會發生,那更有可能在各種媒體發生,包括政治人物,包括我們立法委員、縣市長都可能被模仿。
唐部長鳳:是,就是以前大家知道靜態的圖片可以P圖嘛,接下來大家現在都瞭解電話也可以……
陳委員歐珀:部長,還沒有真正刑責化之前,至少你們可以做即時的反應,像是人家檢舉時,這個問題要怎麼處理?這點你們要去因應,好不好?我想可能臺灣很快就會發生了。
唐部長鳳:好,沒問題,有關訊息防護的相關工作,我們資安部門有專門的人在處理。
陳委員歐珀:好不好?我已經提醒你們了,請你們提早因應。
最後,數位產業署推動產業AI化,要如何調和AI的創作跟平臺分潤的衝突,這裡有一張圖,提到孫燕姿後來公開承認說這是AI做的,不是他本人唱的,可是粉絲大家聽了很心疼,音樂的創作,包括將來連藝術創作都可以做成跟真的一樣,一般人都分辨不出來,除非他本人有道德勇氣出面承認,當然我對孫燕姿的勇氣給予肯定,但是這種事件將層出不窮,以後我們各種創作領域都會受到很大的衝擊。
唐部長鳳:現在文字跟圖片都已經是這樣,而委員提到的音樂更是這樣子。
陳委員歐珀:這跟以前影帶偽裝比起來更真了,除非是本人出面承認,不然別人都會以為是真的。
唐部長鳳:現在還有很多粉絲就在他自己的筆電裡面,不用……
陳委員歐珀:你們要去注意這個問題。
最後,有些平臺也都發現到人工串流的問題,我相信將來對於數位產業界發展會產生很大的衝突,到底你是真的還是我是真的……
唐部長鳳:在國內的話,我們可以透過電子簽章來判斷這是經過作者簽名,還是未經過作者授權,現在產業署也跟資安院還有資安署一起合作,試著把我們跟國際包含與歐盟等的簽章能夠做調和。
陳委員歐珀:對,因為這涉及到商業行為的分潤問題,有些平臺可以上,有些平臺不能上,上了之後是真的還是假的,以及之後認證的問題,我想將來數位發展部真的有很多這方面的問題要面對。
唐部長鳳:是的。
陳委員歐珀:我先提醒你,臺灣現在就是詐騙人人喊打,為大家所不能容忍的,像現在大家都是透過網路嘛!現在很多虛擬貨幣也是都在網路上交易,根本查不到實體的個人,也不用車手,我們不曉得首謀在哪裡,大部分都是在國外,所以錢都追不回來。
唐部長鳳:對,像委員今天這樣的質詢確實有很好的教育作用,就是讓大家知道現在在網路上即使是即時跟你進行視訊,也都有可能是合成的,只要大家都有這個概念,就是全民資安意識,變成如果沒有特別有電子簽章、有查核過的,可以驗這個簽章的,都要推定成是假的,那這個跟以前我們在網路上說有影片就有真相是完全不一樣的狀態。
陳委員歐珀:對,我想很多人都發生像「曾參殺人」的事情,以後會更層出不窮,沒有的事情都可以寫成真的,因為有確實看到他在那邊或確實是怎麼樣,以後也有可能看到陳雪生出現在宜蘭,不過其實這個人並不是那個陳雪生,這個陳雪生出現在馬祖比較多,比較少出現在宜蘭。我是要講有些狀況就像我們剛剛所講的,就是要讓國人瞭解到資安跟個人息息相關,每個人都可能因為沒有處理好而變成受害者。以上,謝謝。
唐部長鳳:謝謝委員。
主席:謝謝陳歐珀委員,我要到宜蘭登記參選立委。
陳委員歐珀:真的假的?
主席:假的,假新聞。
下一位請蔡委員培慧發言。
蔡委員培慧:(9時41分)部長好。我相信今天的質詢跟大概在1個月之前質詢的內容差不多,你在1個月之前說要怎麼樣把T大使這件事情……
主席:請數位部唐部長說明。
唐部長鳳:委員好。是的,就是產業署這邊,我們有一些調整。
蔡委員培慧:看起來沒有做到,我解釋給你聽。我在上個月大概四月十幾日的時候有講到數位替代役,但是你說你們有規劃T大使,我覺得這個都OK、沒有問題,然後我當時也告訴你,同樣在高齡人口,就如同你剛剛在回答陳歐珀委員的時候所講的,就是要有資通意識,但是全世界最沒有資通意識的、最容易受騙的是兩種人,就是青少年還有老人家,所以我才說我們要針對這些最容易受騙的族群給予協助。關於數位替代役,你們覺得這個可能還要再跟內政部討論,所以你們有T大使,我覺得這個很好,但是當時我們說在1個月內要提出解方,可是你們只找國會聯絡人送了一份文書資料來,完全沒有進展,這樣對嗎?
唐部長鳳:我們有不少進展,還是我們請副署長跟委員報告?
蔡委員培慧:請你告訴我,你只要告訴我,現在是一個社區,是一個老人家聚集的地方,就像老人家聚集在廟這個地方,你們什麼時候要派年輕人一個一個去教他們?你不要再跟我說:我會提案,我幫你設計你們的數位平臺。請不要講這件事情,我要的是你實際地去跟老人家說明資通意識,實際地讓這些青少年對數位的世界有更深刻的認識,請告訴我要從什麼時候開始。
唐部長鳳:我其實前幾天才去參訪T大使實際的據點,他們現在就已經在這樣做了。
蔡委員培慧:哪一些據點?全臺灣有這麼多、上千個社區,你們去了幾個據點?
唐部長鳳:可不可以請副署長跟委員報告?
主席:請數位部產業署胡副署長說明。
胡副署長貝蒂:報告委員,前幾天部長有到彰化八堡圳這個地方。
蔡委員培慧:你們只去一個據點,這次部長去了T大使所在的幾個據點?我們要知道幾個據點,我們要知道數字。
胡副署長貝蒂:T大使要去的地方,我們可能要跟那個場域先做接洽,我們目前已經有接洽一些在南投的書屋……
蔡委員培慧:幾個據點?
胡副署長貝蒂:那個書屋的系統可能……
蔡委員培慧:幾個據點?
胡副署長貝蒂:目前可能還沒有辦法……
蔡委員培慧:幾個據點?
胡副署長貝蒂:我們規劃是……
蔡委員培慧:幾個據點?
胡副署長貝蒂:目前是5個以內。
蔡委員培慧:5個以內!全臺灣有四千多個社區,只有5個以內,這樣會不會太離譜?
唐部長鳳:我們明年會更擴大。
蔡委員培慧:第二點,針對青少年,我對書屋非常瞭解,不管是臺東的書屋或者是埔里的博幼,每一個點他們都是幾十個在做的,你們有沒有去做?如果今天我們持續地在講要防止詐騙,你只去5個據點,部長、部長、部長,你是瞭解數據的人,這樣比例會不會太少了?
唐部長鳳:是,我們現在是在瞭解他們的需求,我們之前像雲市集輔導的,很多還是有工商登記等等的營利組織,那他們對於非營利組織不是非常地熟悉。
蔡委員培慧:這些組織其實都已經有意識了,真正詐騙的,就如同我給你看的南投的數據,15歲到39歲的占比達六成,而且未來如同你剛剛一直講的資通意識、未來的AI,在以前我們只要有看到人就覺得這是真的,可是現在就算有一個人頭在哪裡,也未必是真的,就如同你剛剛所講的,還必須要去認證啊!但是所有的老人家、所有的青少年並不知道啦!
唐部長鳳:是,委員講的非常好。
蔡委員培慧:所以我要求的是你要加快你的速度。
唐部長鳳:沒問題。
蔡委員培慧:1個月過去了,如果只有5個書屋,坦白講,這樣的進度等於零。
我們再往下看,你很懂ChatGPT,所以這個你去做就好了。
我們再往下看所有詐騙的比例,這個是南投的數字,南投縣的警察局長在2022年也有講,他們的受騙金額高達4.6億元,這個上次我有講過了,南投所占的人口比只有2%,但是受詐騙的金額占9%,所以根本沒有人在做城鄉資訊平權啊!部長,我們對你有很大的期望,拜託好不好?你現在告訴我,你什麼時候要去針對青少年和老人家加強他們的資通意識?請你告訴我數據,我們用數據來檢核。
唐部長鳳:好的,我在參訪了剛剛講的那個據點之後,我有給產業署兩個很明確的指示,一個是目前雲市集協助的是以工商這種為主,之後可能我們是請經濟部來,就是他們現在有一個疫後的計畫,但是我們就會轉向往偏鄉、往公益組織、往社會創新組織,我們會把我們雲市集相關的預算撥一大部分到這方面的推廣上面,這個是我給產業署的明確指示,這是第一個。第二個就是T大使,我們在這5個據點瞭解到他們明確的需求之後,我們也會把這個T大使的計畫加以擴充,那我想是不是可以再給我們1個月,然後我們以書面來回答委員?
蔡委員培慧:我要你派署長或承辦人員來向我說明,因為動作真的太慢了。
唐部長鳳:是,沒問題。
蔡委員培慧:好,在1個月之內,我希望能夠看到5的幾個倍數,拜託!不要只有5個區域,請你來瞭解他們的需求,1個月的時間也夠了吧!拜託,因為我對這件事情念茲在茲,因為這些所有最受苦的人,他們的資通意識最弱,可是他們被詐騙的金額最多,而且他們被詐騙的手法也都比較簡單。
唐部長鳳:瞭解。
蔡委員培慧:坦白講,這些並不是太難的詐騙手法,可是就是有人會被騙,不管是現在在LINE群組廣泛流行的釣魚資訊或者是個人隱私的防護,都沒有人在處理,我最近常常接到一些朋友的訊息說:這個是我的假帳號。連一般人的隱私都會被破壞,變成假帳號去欺騙他的朋友群,你瞭解我的意思嗎?
唐部長鳳:我完全瞭解。
蔡委員培慧:就是除了廣泛的詐騙之外,針對LINE群組的朋友群、小群體,比如說二十幾個人或二百多個人,也有新的詐騙型態出現了。
唐部長鳳:是。
蔡委員培慧:我之所以會這麼激動,就是因為我相信唐鳳部長有您的敏銳度,但是在執行上面能不能普及才是重點,如果你們只是拿5個案例來說你們做得多好,那就是假的,你要拿500個案例甚至於上千個案例,實際地去接觸這些老人家、實際地去接觸這些青年人,這樣才能夠達到防堵詐騙。
唐部長鳳:是,我完全同意,而且這應該要青銀共創,就是青少年跟老人家要一起學習,我完全同意,謝謝。
蔡委員培慧:好,1個月內,謝謝。
主席:請林委員俊憲發言。
林委員俊憲:(9時48分)部長早。其實一般民眾大概很少使用政府的網站,除非是在特別的時候,像最近就是在報稅,像上個月是汽燃費,這個月是綜所稅,另外還有普發6,000塊現金。部長,你看這兩個網站都是衛福部的網站,你看哪一個是假的,哪一個是真的?
主席:請數位部唐部長說明。
唐部長鳳:委員早。當然左邊是假的,因為左邊不是「.gov」嘛!
林委員俊憲:對,這是數發部教我們的,就是叫民眾要看網站真假就要看那個頂級域名是不是寫「.gov.tw」,那這個其實已經做得很不錯了,因為有一個「gov」,只是把「gov」放在子領域,然後用「mo」把它蓋起來,基本上應該是「.gov.tw」才是真的。部長是專家,所以對你來說很簡單,一下子就看出來了,但一般民眾恐怕就很容易被騙了。
我們再來看一個簡訊,這個簡訊比較容易分辨,它說:您好!經查臺端係屬適用手機報稅的案件,以手機完成申報並得參加抽獎,操作方式參照新聞稿。第一個,這個簡訊看起來比較好分辨是因為它沒有署名,沒頭沒尾,不知道是誰發的;第二個,它鼓勵來抽獎;第三,它去使用那種民間縮網址,所以看不到「.gov」也看不到「.tw」,請問這個簡訊是真的還是假的?
唐部長鳳:這是中區國稅局……
林委員俊憲:這是真的簡訊?
唐部長鳳:對,這是中區國稅局的簡訊。
林委員俊憲:按照部長還有數發部教我們的,一般民眾看到這個網址不一定看得出來這是那種縮網址,他看不到「.gov」,也看不到「.tw」,他認為這個簡訊是假的。還有國稅局不斷地跟民眾宣導說抽獎的簡訊都是假的,但這個簡訊卻告訴民眾說你報稅可以參加抽獎,而這個是真的簡訊,是中區國稅局發的。
唐部長鳳:對啊!我們正在建立這個規範。
林委員俊憲:它也沒有署名,政府發的簡訊就很像詐騙的簡訊,這樣民眾怎麼搞得清楚?
唐部長鳳:是,國稅局有說他們之後會加強,為了要有一個指引說怎麼加強,現在我們包含數政司、多元司都在幫忙建立這樣的規範。
林委員俊憲:數發部要去幫忙各單位,是不是這樣?
唐部長鳳:應該要這樣。
林委員俊憲:他們當然不會像你們這麼內行。再來,其實數發部已經有建立一個縮網址、短網址的服務平台,有沒有?
唐部長鳳:有。
林委員俊憲:其實這個數發部已經建立了,因為有些單位的網址太長,所以簡訊可能塞不進去,需要用短網址,短網址很容易讓人家搞錯,所以數發部有一個平台,這好像是去年10月建立的,對不對?
唐部長鳳:對。
林委員俊憲:我查了一下,到現在好像只有疾管署有用過,其他各部會、單位沒有人在使用。
唐部長鳳:NCC也有,但疫情指揮中心用得比較多。
林委員俊憲:很少嘛,除了疾管署在使用以外,所以這個要讓各單位知道,尤其是國稅局、財政部這些單位,你要讓各公務單位都知道要來共同使用,好不好?
唐部長鳳:我們會建立一個指引,年底之前我們會有一個專用的簡碼服務,這兩個會搭配。
林委員俊憲:另外,剛剛部長提到頂級域名要有「.gov」做結尾的才是真正的政府簡訊,現在詐騙集團的手法也進步了,請看這個簡訊,它也有「.gov」。
唐部長鳳:它沒有「.tw」,左邊還有字。
林委員俊憲:我跟你說,這個其實已經做得非常進步了,以詐騙簡訊來講,這個已經做得算不錯了,但是它有幾個缺點,稍微改一下就一百分了,就很像真的了,第一個,它不應該出現簡體字,我是因為看到「有一笔」的「笔」是簡體字,這就不對了,我們政府不會發簡體字;第二個,我們是「.gov」,後面還有「.tw」,對不對?
唐部長鳳:對,這是一個,不過其實最大的訊息是在底下的「回報垃圾訊息」,如果他是用政府機關專用的號碼就不會出現「回報垃圾訊息」。
林委員俊憲:也就是說,政府機關統一發的那個電話號碼是不會有「回報垃圾訊息」?
唐部長鳳:對,我們剛剛提到的短網址雖然有超過100個機關使用,但確實如委員指出的,目前申請的網址,剛剛最新的數字大概快四千筆而已,有3,800筆,所以確實應該要更多。
林委員俊憲:就是太少了嘛,所以政府單位自己要先趕快整合,好不好?
唐部長鳳:同意。
林委員俊憲:各單位自己發自己的,各單位發的看起來比詐騙集團發的還像詐騙簡訊,但其實是真的,這樣民眾真的會搞混了。
另外,上個月10日部長到我們委員會來的時候,我有提出幾個問題跟你討論,就是一些社群平台像臉書、Meta頻頻出現冒用名人的照片推播廣告來詐騙,部長當時給我的答復是,我們已經跟Meta、Google兩個公司協商要建立通報機制,並且8到24小時要下架。請問目前成效如何?
唐部長鳳:當時所指出的那些有絕大部分,Facebook應該是全部在七天之內都下架了,但是後面又有新的。
林委員俊憲:新的就不下架?這樣要玩到什麼時候?
唐部長鳳:就是投資那一波的,現在新的大概都可以在24小時之內下架。
林委員俊憲:你答復我說你跟Meta、Google這些平台公司都談好了……
唐部長鳳:有一個聯防的管道,跟刑事局……
林委員俊憲:有嗎?你確定有嗎?
唐部長鳳:確定有。
林委員俊憲:這是金管會講的,金管會說它通知臉書所謂的詐騙廣告,臉書只下架四成,Google連理都不理它。
唐部長鳳:那是因為在您看到這個新聞的時候,Google的格式還沒有調整好,後來有下架。
林委員俊憲:上個月10日我問過你以後,這段期間越來越多名人跑出來澄清、跑出來罵,說他被借名、被仿冒了。所以基本上,如果你發現假的再把它拿下來,這中間不知道已經騙了幾天,在把它拿下來之前,至少它已經讓別人看到了,所以你應該要求這些平台業者要有主動性,它應該要增加它的審核人員以及上架前的審查機制。
唐部長鳳:對,金管會有一個法案在大院,所以如果那個法案通過的話,平台業者如果不做事前的確認審查就刊登投資廣告,它就要連帶賠償。
林委員俊憲:這兩天我有看到資安界的知名人物,也是PTT的創辦人杜奕瑾先生,他前幾天就在臉書發文,痛罵臉書的詐騙廣告問題沒有在數位部介入這一個多月以來有所改善,你剛剛是跟我說有改善。
唐部長鳳:有的,因為臉書有一個廣告資料庫(Ad Library),在上面就可以看到哪些下架了、哪些快下架。
林委員俊憲:連杜奕瑾都感覺到問題越來越嚴重,那我們一般人看到呢?所以你應該要求這些平台業者要負起它的責任,沒有錯,刊登廣告就是它的收入,所以你們要求它自我審核,它如果沒有讓它上的話就會少賺錢,因此會有一定的衝突,所以這個一定要有公權力的要求、介入!
唐部長鳳:是,所以金管會……
林委員俊憲:這個也是為什麼要成立數發部的理由,不然成立數發部要幹嘛?
唐部長鳳:我想金管會那個連帶賠償會非常有用;我們這邊在技術上包含簽章法,我們會予以全力支持。
林委員俊憲:我們成立數發部就是希望公權力能夠強而有力地處理這些問題,好不好?
唐部長鳳:是,謝謝。
林委員俊憲:部長,一個多月過去了,這個成效感覺起來非常有限,我覺得詐騙仍然層出不窮。
唐部長鳳:有建立一個機制了,當然我們會繼續強化。
林委員俊憲:應該多方管道來努力好不好?謝謝部長、謝謝主席。
唐部長鳳:是,謝謝。
主席:請陳委員素月發言。
陳委員素月:(9時58分)部長早。今天委員會的重點在講如何協助使用者防止資安外洩,總統也一再強調資安就是國安,我們看到去年10月21日有匿名者在駭客論壇兜售臺灣2,300萬筆資料,這件事情部長知道嗎?
主席:請數位部唐部長說明。
唐部長鳳:知道,駭客論壇的管理員最近被FBI逮捕了。
陳委員素月:你覺得這件事情嚴不嚴重?
唐部長鳳:當然嚴重。
陳委員素月:很嚴重對不對?我覺得這件事任何人看到都會覺得非常訝異,也會覺得非常嚴重。這個事情發生之後,數發部有什麼作為?
唐部長鳳:有兩個主要的作為,一個是我們去看包含內政部在內的其他中央部會,這種大規模個資交換的管道是跟一般業務的系統混在一起,還是完全分開?我們要去確保;然後我們也建置了T-Road系統,讓那些目前沒有完全分開的各自專責機關成立前,各個部分、各部會個資相關的這些朋友們,能夠用一致的技術標準來做全國性個資的交換,這是T-Road的部分。
陳委員素月:到目前為止,我們知道這些資料到底是怎麼外洩的嗎?
唐部長鳳:當然就是按照您所引述的這個雜誌的報導,其中包含在當年的一些戶役政相關的欄位,也有一些可能是運算出來的,或者混搭的這些欄位,目前檢調還在調查它實際的軌跡,但按照調查局的報告,就我所知,就是在兜售的那個人的身分,他們已經有掌握了。
陳委員素月:我覺得這是一個非常嚴重的事件,不管這個資料到底怎麼外洩的,我們應該要很積極地、明確地找出原因,然後要設法來防止。
唐部長鳳:當然。
陳委員素月:因為我們也知道,資料的外洩目前可以說很嚴重,也造成詐騙事件層出不窮,因為有朋友跟我說他接到電話,對方竟然知道他什麼時候網購了什麼東西,如果對方沒有掌握他的個資的話,怎麼會知道他曾經在什麼網站網購了什麼。
唐部長鳳:是,像電商或一些遊戲都比較容易出現這種狀況。
陳委員素月:因為詐騙集團掌握了個資,他可以取得民眾的信任,所以民眾往往在不知不覺之中上當、被騙,所以我覺得資安非常重要。最近行政院也宣示了打詐1.5版,意思是要升級,可是我覺得不管是幾版,我們要的是成效,我們不希望這只是一個喊口號的政策,在這樣的宣示下,我們看到數發部在堵詐這個環節要扮演重要的角色,堵詐就要從源頭開始,很多委員都關心過了,怎麼處理冒名網站就很重要,上禮拜我也針對這個議題質詢過NCC,那天部長沒有出席,我在此再次用這個個案跟你討論。就是我們地方有一個襪子貿易商,他的網站被冒名,剛開始他自己去派出所報案,我想員警可能要再加強訓練,因為員警詢問報案人說有沒有損失金錢和他要告的對象,可是報案人因為網站是被冒名的,根本不知道假冒他的是誰、詐騙集團是誰,他不知道要告誰,他也沒有金錢的損失,因為損失的是他的客戶,因為這樣警察沒有受理,他報案不成,後來他自己透過朋友,甚至他自己去臉書檢舉,臉書也沒有下架,他用165app報案,也都沒有人跟他聯絡,他從3月底開始一直處理到沒有辦法了,4月24日才來服務處找我,然後我才協助他,隔天他才去另外一個派出所報案,用偽造文書報案成功。我在上個禮拜5月3日質詢,當天NCC副主委承諾要協助,我也找警政署,他們也說要協助,調查站也說要協助,可是到今天我跟它確認,詐騙集團的網站還沒有下架,而且這個詐騙集團很囂張,從一個、兩個到三個,這個業者跟我說現在可能已經有十個冒名網站用他的公司名稱。我在這邊跟部長交換這個訊息,更囂張的是,我5月3日質詢完,這個詐騙集團也用了我的名字成立了一個假的粉絲專頁,請看螢幕左下角,你說這個詐騙集團囂不囂張?
唐部長鳳:相當囂張。
陳委員素月:你看他們這樣肆無忌憚,我們政府如果再沒有很明確的作為,我覺得民眾真的會對我們失去信任和信心。
唐部長鳳:就如同剛才也有委員質詢到名人投資詐騙,像這樣很明確的用委員辦公室的名義或一家公司行號的名義,做包含投資廣告詐騙等等,可能一開始就不應該讓它上架,不應該讓它上架之後再來比檢舉的速度,我想這是最重要的。
陳委員素月:對,剛剛林俊憲委員也在關心,像這種偽造的網站到底要多久才能下架,在行政院宣示的打詐國家隊升級1.5版中,數發部扮演的就是堵詐的角色,堵詐就是要很迅速地把這些假網站下架。
唐部長鳳:在源頭的部分,就像您剛剛提到的電商或投資廣告,一開始可能就要先證明,好比委員的服務處其實可以跟我們數位部申請一個電子簽章憑證,也許未來我們可以去跟Facebook討論,像這樣冒充委員服務處的粉絲專頁如果沒有電子簽章認證,一開始就不應該讓它上架才對,這個我們來努力溝通。
陳委員素月:我們要處理詐騙,當然不能分名人和一般民眾,網站也是一樣,對於成立偽造的網站也應該要有很嚴格的防止方式,這樣才不會讓詐騙事件一直發生。
唐部長鳳:我想以營利和投資詐騙這種廣告當作主要範例,因為它影響的人最多、造成的金錢損失也最多,我們以這類廣告當作範例先來解決,之後再慢慢擴及其他。
陳委員素月:好,謝謝。
唐部長鳳:謝謝。
主席:請何委員欣純發言。
何委員欣純:(10時6分)部長,我覺得雖然叫做打詐國家隊,但是對於好多事好像非常無力,民眾現在對政府的信任、威信和處置的方式,我想是沒有信心的。我舉一個例子,我在4月10日要求部會有關疑似個資外洩案件的處置方式,為什麼要強調資安?一般民眾遇到的詐騙,其中一個樣態來自於網路,網路上又來自於很多的交易平台,那平台上的資安是一定要要求的,所以才要成立數位發展部、才要成立資安署。
主席:請數位部唐部長說明。
唐部長鳳:對,特別是電商、遊戲。
何委員欣純:可是你們處置的方式實在很沒有效率,4月10日要求,部長剛才只跟我說,以目前個資法的架構,要調查完之後讓它改善,不改善才能罰錢,不能一調查完就立刻罰錢,要給它改善期,這是你說的。
唐部長鳳:是,這是現行個資法,修法版本已經在大院了。
何委員欣純:我現在認為在修法版本還沒有三讀通過之前,事實上你該負起責任,數位發展部還是有權責制定相關子法規的,個資法的第二十七條有規定,所有事項的辦法都是中央目的事業主管機關定之。
唐部長鳳:我們有制定安全維護辦法。
何委員欣純:好,那我就跟你講,你制定的方式為什麼落落長、很沒效率,你現在的處置方式是什麼?接獲通報,委託學者專家來檢視,辦理資安訪視,給觀察改善期,最後才是結案,或者確定後要求它限期改正,或者要觀察改善期。我跟你講,這是你們數位發展部給我的資料,到現在為止,個資外洩的通報有93家次,你總共辦了8次的行政檢查,在29家次裡面要求7家業者限期改正,一點罰款都沒有,零裁罰!然後最重要的,你們現在的處置流程落落長,給限期改善是多久,你知道嗎?最久可以給兩個月。我現在問你,3月份蝦皮跟旋轉拍賣所謂的個資外洩問題,已經有人檢舉了,你們也去調查了,你們給予兩個月的改善期,期限就是最近,你們到底有沒有確認蝦皮、旋轉拍賣改正了?
唐部長鳳:這個待會請副署長答復,不過您的這個標題說我們未訂定安全維護辦法,不是這樣,是本來在經濟部訂定,我們成立之後,從經濟部過來。
何委員欣純:我等一下就跟你講,你講到這個,我就跟你講。我已經幫你列出來了,NCC也有,交通部也有,農委會也有,金管會也有,經濟部也有,甚至部長你最自豪的交通部iRent,你還說是你檢舉的。我跟你講,你檢舉的,對不對?交通部的子法規裡面,交通部要求iRent,給它2天改善期,而你們是給2個月耶!
唐部長鳳:委員,左下角的那個部分,經濟部那邊的現在是我們了。
何委員欣純:好,不管。我現在講的是你們的處置效率。
唐部長鳳:知道委員的意思。
何委員欣純:你回答一下,那你要怎麼改正嘛?
唐部長鳳:首先,它只要一有違反就可以開罰的這個個資法修法版本已經在大院了,如果通過的話,我們就會按照這個執行,我們目前按照個資法授權沒有辦法,任何部會都沒有辦法在安全維護管理辦法裡面自己加上新的罰鍰。
何委員欣純:任何部會都沒有辦法?那你不是在講笑話!那什麼叫做打詐國家隊?
唐部長鳳:新的罰鍰,不能由一個部長說了就加上去,它是法律保留的。
何委員欣純:到現在為止,你告訴我說各部會都沒有辦法……
唐部長鳳:它是法律保留的。
何委員欣純:這句話我沒有辦法接受!
唐部長鳳:所以我們才將就個資法修法請國發會送到大院。
何委員欣純:那表示你們就是沒有用心,也沒有辦法保護民眾的權益嘛!
唐部長鳳:我們請國發會將新的版本送到大院,所以讓我們有法律授權,能夠罰……
何委員欣純:在新的版本之前,那現在你們怎麼處置啊?
唐部長鳳:對啊!所以剛才委員所提到的……
何委員欣純:現在你的處置是給2個月嗎?為什麼交通部可以給2天期限來要求iRent?
唐部長鳳:因為那不是……
何委員欣純:那為什麼數位發展部是給予2個月的改正期?
唐部長鳳:因為那一個的證據確鑿,而且筆數非常多。
何委員欣純:那我問你,有關蝦皮購物,剛剛講的那兩個是大家檢舉的,也是所有國人都認為的,蝦皮購物跟旋轉拍賣,這幾個所謂個資外洩風險比較高的平臺,你們給了2個月時間,到現在難道還搞不清楚嗎?
唐部長鳳:它們最大的差別是,iRent當時很明確的就是它們的問題,但您剛剛提到的那些電商……
何委員欣純:部長,你給了那個平臺2個月的時間,到底有沒有很明確?
唐部長鳳:它們事實上都主張說不是它們……
何委員欣純:你為了要明確的事證,要2個月的查證期嗎?你們的能力那麼弱嗎?
唐部長鳳:因為檢舉所提出來的事項……
何委員欣純:那個事證明確,而現在你說這個事證不明確,那你也給它2個月的改正期……
唐部長鳳:是不是請副署長說明?
何委員欣純:這2個月你們還搞不清楚嗎?
主席:請數位部產業署胡副署長說明。
胡副署長貝蒂:報告委員,通常我們開會的時候會有刑事警察局或資安律師一起討論……
何委員欣純:現在我就要講,你們開會的過程還是「落落長」,不是就個案馬上去查證!你們開會,我跟你講,那個行政會議還是等幾件再一起審,不是即到即審,你們的行政會議是等待有一定數量的案子,你們才要開會、才要審啊!
唐部長鳳:因為按照國發會……
何委員欣純:這樣又拖了多少時間?我問你啊!
唐部長鳳:按照國發會……
何委員欣純:這就是我說的,你們處置流程是沒有效率的啊!不是即時的啊!那怎麼打仗?
唐部長鳳:委員,讓我講兩句嘛!按照國發會跟行政院訂定的那個要點,只要有重大的這些案件,而且很確實就是影響到非常多人,這個我們……
何委員欣純:部長,對每一個國人來講,只要有個資外洩的風險、只要有被詐騙的風險,每一件都是重大的!
唐部長鳳:我完全同意。
何委員欣純:在每一個國人心中就是拒絕詐騙!中央、政府已經宣示有打詐國家隊,號稱、口號喊得那麼大,但實際具體的作為,你剛剛跟我講的那一句話──每一個部會都沒有辦法做到,我實在是很不能接受!
唐部長鳳:我是說每個部會都不能自己追加罰鍰……
何委員欣純:我沒有說要叫你追加罰款啊!我要的是效率啊!我要的是即時啊!我要的是具體的行動跟作為啊!
唐部長鳳:同意啊!
何委員欣純:我哪有要你改罰款?我沒有要你改罰款啊!
唐部長鳳:您剛剛說我們沒有裁罰,這個我們可以自己加嗎?我們沒有辦法。
何委員欣純:沒有,我說的是沒有作為。
唐部長鳳:是。
何委員欣純:我說的是效率。
唐部長鳳:是。
何委員欣純:我說的是沒有即時。
唐部長鳳:對,那我們現在在做的……
何委員欣純:對嘛!部長,那你自己承認就好了,趕快回去改善啦!
唐部長鳳:我們現在在做的……
何委員欣純:趕快回去改啦!
唐部長鳳:就是把行政檢查的速度……
何委員欣純:你不要再等我說,個資法的修法版本三讀通過啦!還沒三讀通過之前,那現在是要怎麼辦啦?
唐部長鳳:是,我們就儘量加速這個……
何委員欣純:不然我們成立數位發展部是要幹什麼?不是說強調資安就是國安、國安就是資安嗎?
唐部長鳳:是啊!
何委員欣純:是啊!所以很大的一部分要建立國人對政府的信任度跟信心,尤其是數位發展部對於資安的要求以及保障啊!
唐部長鳳:同意,所以我們會推薦它做資安的改善等等,給它2個月去改善嘛!
何委員欣純:現在詐騙最盛行的就是在這些電商平臺,剛剛很多委員講到FB、Google。
唐部長鳳:是。
何委員欣純:我跟你講,FB跟Google,你去溝通,溝通後能不能行還不知道,這些電商平臺也是一樣啊!我拜託你趕快去盤點,資安一定要到位。
最後,我同樣有一個疑問,今天有其他委員講到低軌衛星,我想現在低軌衛星是世界的潮流,未來臺灣也可能是低軌衛星的一個市場。現在低軌衛星商用市場有打開的叫做STARLINK,它的首頁上面把臺灣列為Coming soon,就表示它在未來把臺灣認定是要開發的市場之一。但依我們現行的法規,類似STARLINK這樣的低軌衛星要合法落地,依現在的法規是困難重重。
唐部長鳳:不過委員的……
何委員欣純:所以你們現在要提一個叫做驗證。
唐部長鳳:對,因為委員的這個標題是PoC,就是驗證測試……
何委員欣純:是。
唐部長鳳:這個驗證測試是沒有法規限制的,所以是沒有問題。
何委員欣純:這沒有問題喔!所以你的意思是STARLINK可以跳脫嗎?
唐部長鳳:接下來,就是以今年跟明年,我們剛剛提到700個點的驗證測試來講,沒有排除STARLINK。
何委員欣純:好,我沒有說要指定誰,我只是說STARLINK可能是目前世界上低軌衛星在現在商用模式有推廣……
唐部長鳳:它是走得比較早的,還有……
何委員欣純:我只是舉這個例子。我現在要講,你公告的那個計畫,即低軌衛星的概念驗證之申請,我不知道誰來申請,就剛才你講的要花5.4億;至於給誰我也沒有意見,因為那是專業,我尊重專業。但我只指出一點,有兩大矛盾,資安就是國安,如果從緊急應變跟作戰需求來看,任何有助於我們要爭取國際的資源,我們當然都要極力爭取;可是如果從資安的角度來看呢?我給你5.4億去做那個計畫,你有辦法真的可以驗證嗎?
唐部長鳳:是,就像剛剛講的,我們會請攻擊手、請我們紅隊等等進行驗證。
何委員欣純:所謂驗證,我剛剛舉出的是STARLINK,如果它進入臺灣的市場,如果未來可能在緊急狀況或戰時,它是可以提供通訊的那一個公司……
唐部長鳳:可能就是3、4個之一……
何委員欣純:它是國外的公司,雲端都是在它手上,那請問一下我們如何去驗證STARLINK?
唐部長鳳:就是我們如果同時用好幾家,不管是中軌或者低軌……
何委員欣純:我剛剛只是舉例。
唐部長鳳:在戰爭的時候,同時壞掉的機率就比較低,所以我們可以驗測好多家。
何委員欣純:可是這些都是國外的公司,我只是說資安的驗證我們能做得到嗎?現在就連打詐,跟FB、Google我們都要這樣子三拜託、四拜託地,還要用喝咖啡聊天、溝通的方式,我們沒有給予它們任何法律的強制性。
唐部長鳳:是。
何委員欣純:那在未來,現在的低軌衛星或PoC等等都是國外的公司、國際公司,那你們的驗證,就算這個計畫施行了,也找出驗證的過程跟方式,但是否有辦法去要求國外的衛星公司來做驗證?
唐部長鳳:我想是可以聯防的,我們會跟它們母國的……
何委員欣純:這就是我要請你思考的,好不好?以上。
唐部長鳳:是的,我們會聯合它們母國的單位。
何委員欣純:做一個提醒啦!好不好?謝謝。
唐部長鳳:好,謝謝。
主席:請李委員昆澤發言。
李委員昆澤:(10時18分)唐鳳部長,現在ChatGPT的發展非常地快速,應用也多元,不管是相關文本的生成,不管是報告、新聞、劇本,甚至是翻譯或校對,它都有這樣的功能。
主席:請數位部唐部長說明。
唐部長鳳:是。
李委員昆澤:或者它也可以用於程式語言的編寫,透過指定,它還可以寫相關的程式語言。
唐部長鳳:我寫程式就常常用。
李委員昆澤:甚至它還通過Google初級工程師的一個考試。另外它也是重要的資訊助理,不管是行程的安排或相關的工作流程等等,它都逐步地扮演這樣的角色,也逐步地成熟。但它衍生出相關的個資跟資安的問題,數發部還是有重要的把關責任,那你們初步的作為是什麼?簡單說明一下。
唐部長鳳:謝謝委員給我這個機會說明,首先像我剛剛提到,我自己寫程式也有用這種生成式的AI,也有用語言模型,但是我所使用的模型是完全跑在那台筆電裡面,完全沒有連到網際網路,所以就可以確保我不管寫什麼程式,只要在那台電腦裡面就不會被攔截或竊聽等等,像這樣我們叫做地端的,就是在自己可以掌控的機器上部署,這個是一件非常重要的事情。
李委員昆澤:部長重視個人資安、個人資料的保護,但是我們從實際的運用來看,世界各國都有出現一些問題,以日本為例,神奈川縣橫須賀市的市政府已經開始用ChatGPT來協助處理公務;臺灣桃園、臺南都有基本的運用;法國也有醫生透過這樣的模組來協助撰寫病例。但是也有比較保守的國家,像日本的鳥取縣,基於資安上的疑慮,禁止公務員安裝或使用;美國也因為AI的這個技術引起資安的疑慮,所以他們的商務部國家電信暨資訊署也向民眾徵詢規範意見;義大利也發生這種資安的問題,所以他們都有初步的保障跟防範的機制。
請教部長,你認為應不應該禁止公務員使用ChatGPT?對於使用的過程,數位部要不要主動徵詢相關民眾的看法跟意見?另外,對於個資的保護,像用戶姓名、卡號末4碼以及與AI對話的標題等內容的外洩等等狀況,你們有沒有什麼具體的建議跟作法?
唐部長鳳:像委員簡報右下角的義大利之前確實有一些希望ChatGPT去調整的,後來他們有調整了,所以這個禁令後來有解除。
李委員昆澤:那我們呢?
唐部長鳳:我們也是一樣的,在國科會的召集之下,公務員怎麼用ChatGPT這類生成式的AI大概有兩個很重要的原則,一個是我們現在運用這些生成式的AI所生成出來的東西跟搜尋引擎所找到已經有的東西不一樣,它會自己無中生有,這個無中生有有時候是沒問題的,但是很多時候是有問題的,就是它自以為是很有道理,但事實上完全不正確,所以我們處理公務要很清楚地知道,不能直接拿它做出來的內容當作公務使用,直接給出去或直接做成判斷等等,這個是不可以的,因為這個技術的特性……
李委員昆澤:部長,問題是出在我們有一些未公開的資料,或者是一些未去識別化的資料,如果公務機關使用,它還是有可能產生個資、資安的問題。
唐部長鳳:第二個部分就是個資的問題,個資的問題有一個解決方案,就是像我剛剛講的,完全在你可以掌控的地端的機器上面來使用這樣的技術,這個國科會目前也有做可信任的AI對話引擎,這樣的模型應該很快就可以讓公務機關來push。
李委員昆澤:部長,我還是要提醒你,ChatGPT等生成式AI以及外掛軟體會產生隱私的問題、詐欺的問題以及情色暴力的問題,不管是民眾的個資或者是政府公務的運用或是產業的問題,我們都必須要注重其安全性。像Cyberhaven有相關的統計,統計他們旗下企業用戶160名員工,有8.2%在職場有使用,有3.1%將不能外流的資料上傳,這些都是以企業的機密文件為多,其次是顧客的資料;三星電子一開始也是開放,現在也是禁用了,好像在5月開始就禁止他們員工使用。
這些過程我們必須要掌握一個重點,就是我們的政府公務員將非公開的資訊或者是未去識別化的資料透過ChatGPT,導致民眾或政府的資料外洩,這是一個嚴重的問題。另外,數位部對於這樣個資跟資安的問題,對民間、對政府有什麼具體的建議?
唐部長鳳:像委員這張簡報就綜整得非常好,本來企業的機密資料就不應該流到外面,不管是ChatGPT也好,或者搜尋引擎也好,或者是個人使用的e-mail帳號也好。現在的問題只是說,因為很多人覺得語言模型真的很方便,所以他什麼都跟那個語言模型講,產生一種依賴性。我們解決這個的方式就是要讓企業內部部署所謂地端的語言模型的功能,可以很快地跟ChatGPT一樣強,這樣就不會外洩,因為沒有傳到外面,又可以做到語言模型的功能。
李委員昆澤:部長,因為時間的關係,我從短期跟長期提出具體建議,短期應該要加強安全性的指引,長期還是要建立相關的規範。依據行政院目前的框架,數位部的任務是,負責AI法制的議題中,制定AI產品測試規範及測試驗證。目前的進度呢?
唐部長鳳:目前我們在資通安全研究院已經有專門的人力來做這件事情,也跟之前工研院等等的法人合作……
李委員昆澤:有在做研究,什麼時候會有初步的成果出來?
唐部長鳳:因為國科會這邊可信任對話引擎應該預計年底前會推出,我想中間的開發版本我們就會一起來驗測。
李委員昆澤:部長,短期應該還是要訂定安全指引,參考國科會的「人工智慧科研發展指引」另外訂定「人工智慧使用安全指引」作為過渡措施;我想也應該舉辦公聽會跟教育講座,讓社會形成AI使用的安全意識。長期的目標當然是要完善基本法令的規範,要明定AI產品的安全標準跟規範,建立機制、個別測試驗證AI產品的安全性。
唐部長鳳:我覺得這都非常好,在公部門的使用指引,如同我今天的專案報告,在國科會已經有研擬,我們會全力在資安上配合;然後委員剛剛提到聚集民眾的意見,這個我們在策略司有一個叫點子松的活動,會在6月到9月進行意見徵集;最後測試驗證的規範這個是由資安院在處理……
李委員昆澤:部長都有具體的時程出來,希望能夠如期如質完成,以上。
唐部長鳳:謝謝委員。
主席:請鍾委員佳濱發言。
鍾委員佳濱:(10時27分)主席、在場的委員先進、列席的政府機關首長官員、會場工作夥伴、媒體記者女士先生。部長好、院長好、主任好!今天我想要關心的就是個資外洩應防止災損擴大,之前我已經問過國發會主委了,接下來,改善eID,我覺得數發部責無旁貸。先請教財政部主任,目前我們網路報稅為什麼有這麼多種方式?有行動電話、健保卡、自然人憑證、戶口戶號、電子憑證,請問用哪一種方式來報稅的人最多?
主席(李委員昆澤代):請財政部財資中心張主任說明。
張主任文熙:報告委員,目前統計上使用手機是最多的。
鍾委員佳濱:到去年為止的統計,行動電話認證的占了四成多,它分別是用身分證號碼、健保卡號碼和專用手機的手機門號,另外有健保卡號碼加上註冊號碼的,還有自然人憑證插卡的,還有戶號加查詢碼的,有這麼多。請教部長,這裡面你有沒有注意到什麼雷同點?一般人最喜歡用的是什麼?
主席:請數位部唐部長說明。
唐部長鳳:行動電話,裡面是雙證件嘛!
鍾委員佳濱:對,我標示出來的這些號碼其實都是社會資訊,也都是在個資外洩下可能會被取得的。一個報稅各自表述,政府建置報稅軟體的著眼點是安全,但是民眾的選擇方式是方便,請問什麼方便?
唐部長鳳:手機大家都有帶。
鍾委員佳濱:不只這樣,而且號碼都記得,你的身分證號碼你記得嗎?記得啦!接下來我們來看一看以前的方式,以前有一個勞保局的e化系統,它更好玩,你看它用了什麼?身分證號碼、健保卡號碼、戶籍謄本號碼、名字和出生年月日,請問部長,這幾個資訊中,哪一個你背不起來?
唐部長鳳:戶號我背不起來。
鍾委員佳濱:只有戶號,其他你都知道嘛!但是我要是駭到你的個資,我連你的戶號都知道,對不對?
唐部長鳳:是。
鍾委員佳濱:普發現金呢?它也是使用身分證字號、健保卡號碼、金融機構帳號,帳號我大概也記不起來。
唐部長鳳:帳號我應該背得起來。
鍾委員佳濱:你背得起來,可能有常常使用。但是一旦我被駭了,這三個號碼他都能拿到,對不對?所以問題來了,我們多種證件編號、社會性個資早就流出了,剛剛說到勞保局的那些號碼,其實在2022年,戶役政資料系統就漏出了2,300萬筆,包括今年也有一個健保資料被外洩。所以如果我們再用這些社會性個資、這些資料庫已經流失的號碼,雖然你記得,但是拿到你個資的人也會知道,你覺得有沒有被冒用的可能?
唐部長鳳:因為像我們發6,000元,他必須是本人帳戶的戶號。
鍾委員佳濱:是,但有沒有可能外洩?
唐部長鳳:在這個情況下,即使他幫我輸入了我的銀行帳號,那也是匯到我的銀行帳戶。
鍾委員佳濱:是啦,但是如果一開始這個帳號可能有什麼問題,這個我們之後再說。沒有錯啦!戶號當然是用我自己的,我不會用你的。所以個資外洩就像是鑰匙掉了,請問鑰匙掉了要怎麼辦?
唐部長鳳:換一把。
鍾委員佳濱:鑰匙遺失當然要換一把,免得人家拿去冒用或是copy。所以如果不換鎖,民眾的個資就會被盜,請問我的社會個資能換嗎?我能變更我的身分證字號或出生年月日嗎?
唐部長鳳:健保卡號可以改變。
鍾委員佳濱:只有健保卡號嘛!我重新去換個健保卡號多累啊!實體證件的編號就像對號鑰匙一樣,我只要記得號碼就好,但如果這個對號鎖的號碼被人家知道,他有可能會開啊!所以你看從無實體卡的、都是號碼的,到有實體卡的這個最高,其實無實體卡的就像是對號鎖,有實體卡的就像是實體鑰匙,是不是這樣?但是普及率最高的是什麼?是對號鎖啊!風險最高的也是它。
所以網路報稅不採取單純的多重證件號碼驗證,它還多了三方註冊,就是你要到系統去,系統還會發一個驗證碼到你的手機,是不是這樣?
唐部長鳳:這就是零信任,就是不會單純信任哪一個部分。
鍾委員佳濱:好。出國旅遊的時候,我們通常會有兩個東西,我去check in的時候,確定是本人後他會給我房卡,房卡是不是實體的鑰匙?但是我到房間,我要把重要的東西放進保險箱,保險箱有可能有實體鑰匙嗎?一定是號碼。所以我們發現在生活當中,實體鑰匙跟號碼是交互在運用的,前面我們要重視人別,後面我們要重視方便,我不可能每個房間的保險箱都給一把鑰匙,那太麻煩了。
唐部長鳳:說得非常好。
鍾委員佳濱:所以我們從自然人憑證到數位身分證,我們來想一下,這是目前卡關的數位身分證,它裡面只有強調個人資料不多於紙本,請問這有什麼好處?請問自然人憑證跟數位身分證有什麼差別?
唐部長鳳:它就是自然人憑證跟現有紙本身分證兩個加以結合。
鍾委員佳濱:有什麼好處?我就申請自然人憑證就好了,幹嘛用數位身分證?這樣有什麼風險?
唐部長鳳:其實主要的風險就是,像我們在停車場換證的時候,如果上面有你的自然人憑證,那個換證的動作有可能造成你人不在的時候有人幫你簽章,這是新的風險。
鍾委員佳濱:數位身分證呢?
唐部長鳳:我在講的就是數位身分證。所以當初在設計的時候,還有一個本人所使用的密碼才能夠讀取的這一關。
鍾委員佳濱:所以也不太方便,你說要本人所使用的密碼,你會用什麼碼?可能是生日或老婆的生日等等。
在2021年的時候,他說這個eID有個T-Road跨政府資料傳輸平臺,他說先暫停,等專法通過後再實施。請問專法通過前,對於未來要實施的e身分證,你覺得數發部要去注意哪些事情?
唐部長鳳:其實就是簡報最左邊寫的T-Road跨政府資料傳輸平臺,這個是我們的重中之重。
鍾委員佳濱:好,針對前面的對號鎖跟實體鑰的部分,最後我做個結論,我為什麼請何院長上來?是因為我感覺我們自己在使用的時候,目前實體證件的編號大量外洩,等同民眾的眾多鑰匙流落在外,如果要亡羊補牢,就要增加對號鎖的號碼、這個鑰匙,以各種服務登錄的驗證碼的方式來鼓勵民間換鎖,是不是這樣?
唐部長鳳:完全正確。
鍾委員佳濱:另外,我問過國發會,獨立的個資機關應該是監督這些個資維護的,而不是數位身分證的主政機關,你同不同意?
唐部長鳳:它是來判斷我們做得夠不夠好。
鍾委員佳濱:所以數發部為了確保資安無虞,應該跟國發會、內政部密切合作,推動相關法制,你同意嗎?
唐部長鳳:完全同意。
鍾委員佳濱:好,所以你的使命是,請數發部就數位身分證的資安進行評估,並且跟社會說明自然人憑證改到數位身分證後有什麼好處、有什麼風險,可以嗎?
唐部長鳳:我們目前在評估的是行動自然人憑證的好處和風險,當然數位身分證裡面也包含當時有一個行動化的想法,所以我們可以一起評估。
鍾委員佳濱:好,行動自然人憑證其實就是要配合手機,如果沒有手機的人,就沒有辦法行動了嘛!
唐部長鳳:對。
鍾委員佳濱:OK,這個評估的報告多久可以給我?
唐部長鳳:之前我們數位政府司就有做過一些相關資安的評估,我們也會請資安院在一個月之內再提出相關的報告。
鍾委員佳濱:好,一個月內,謝謝。
唐部長鳳:好,謝謝。
主席:請陳委員雪生發言。
陳委員雪生:(10時36分)部長早。早上聊了那麼久,都是在講詐騙,像我這個智商比較低的,我的手機每天收到的都是抽獎活動、你又中了什麼獎、叫我去領禮物等等的,我都不敢!他們跟我說有什麼獎品,叫我把身分證資料告訴他,我統統都不敢。
主席:請數位部唐部長說明。
唐部長鳳:委員好。這是最安全的,根本不要回。
陳委員雪生:所以像我這種笨笨的人,永遠都不會被詐騙。我塊頭也大,有人問:你的錢有沒有被搶過、偷過?我說都沒有。
不過早上談的這個很重要,你的效率很重要,早上何欣純委員講到效率,臺灣地區發生多少件詐騙,你跟刑事警察局、跟一些相關單位怎麼去協助民眾把它解決?這個很重要。我也有接到很多民眾的投訴,但是我問了刑事警察局,它說有些事件是發生在國外,他們詐騙的手法非常高明,即使你去追也沒得追。民眾賺的錢有限,但是被騙的數額都很高,反而有錢的人也不容易被詐騙,他周邊有很多的策士,有保護網在保護他,但老百姓卻很可憐,有一些老太太、老先生常常被詐騙。所以拜託部長,既然成立數發部,你要要求底下的效率,像很多的識別系統,早上就有委員講到,你說它是真的,但真的看起來像是假的,假的看起來像是真的,到底何謂真、何謂假?根本搞不清楚。
唐部長鳳:我們現在盡可能不要看它的內容,而是看它是哪個號碼發出來的,那個就很難偽造。
陳委員雪生:對,最近我們政府把臺馬輪換了一個新系統,因為舊的系統轉到新的系統,導致臺馬輪的旅客資訊外洩,後來動用到監察院,監察委員要去查,我去問了臺馬輪董事長,他也覺得莫名其妙,他也搞不懂如何外洩的、怎麼出去的?他都不清楚。所以這個是很糟糕的一件事情,這是其一。
第二個,海底電纜對國家安全及民生的重要性都非常高,台馬海底電纜中斷以後,到目前為止大概只修復了一條,還有一條大概要到5月底,但修復的那一條裡面,聽說南竿到莒光的這一段又斷掉了,這個是外力侵入還是蓄意破壞?我們不得而知,因為我們沒有能力去舉證、去評估。既然海纜屬於國家重大設施之一,請問數位部現在把它列入國家基礎建設了嗎?
唐部長鳳:我們現在在跟通傳會協商,當它斷到剩一條的時候,是不是就算是關鍵基礎設施。
陳委員雪生:我覺得通傳會沒有問題啊!反而是數發部,我不曉得你們在評估什麼?
唐部長鳳:就是如果還有好幾條可以備援的話……
陳委員雪生:你們不是報去行政院了嗎?
唐部長鳳:有,我們都是按照委員之前的指教,我們有在積極討論。
陳委員雪生:你們報去行政院,你們報的公文是把它納入還是把它排除?
唐部長鳳:就是如果它沒有別的備援的時候,就應該要納入。
陳委員雪生:備援是有的,它用微波備援。
唐部長鳳:但是微波現在還沒有到完整的頻寬,要到年底才有完整的頻寬。
陳委員雪生:因為海纜斷了以後,基礎設施現在的經費在數發部,以前在NCC。
唐部長鳳:對,就是做新的那一條線。
陳委員雪生:現在中華電信為了省錢,不去積極地處理,海纜斷一條,還會斷兩條,第三條還沒完成。我們的第一條等於已經報廢,使用時間、年限很久了。
唐部長鳳:我知道。
陳委員雪生:第二條、第三條斷了,第二條現在修復了,第三條在5月底,它的進度怎麼樣,你知不知道?
唐部長鳳:這個可能要請司長跟您報告,不過我們要講的是,微波擴容所需要的經費及未來衛星、包含TTC在馬祖測試的那個衛星的經費等等,我們在之後如果有需要的話,都會由韌性司來儘量幫忙。
陳委員雪生:是的,請你說明一下,好不好?第三條海纜目前修復的情況如何?
主席:請數位部韌性司鄭司長說明。
鄭司長明宗:在報告以前先跟委員說明,我們對馬祖不管是海纜、微波的補助等等,不會因為它是不是關鍵基礎設施的關係,而是會遠遠優於它是關鍵基礎設施的補助。至於台馬三號的部分,台馬三號修好了,針對台馬二號我們預計5月底會跟中華電信積極地協調國際海纜船來修。
陳委員雪生:進度怎麼樣?5月底很快就到了。
鄭司長明宗:對,因為這要國際海纜船,我們趕快再來請求他們儘快能夠提早。
陳委員雪生:如果5月底修的話,現在應該已經在修了。
鄭司長明宗:因為國際海纜船的修復是要排程的,我們現在是排5月底沒有錯,如果可以提早……
陳委員雪生:排程排到5月底去修,是不是?
鄭司長明宗:是,但是會不會耽誤,我們真的沒辦法掌握,這個要很誠實地說。
陳委員雪生:你們要很積極去處理,你們不去處理的話,如果三號海纜又斷了怎麼辦?如果斷了,到時候空窗期又來了,老百姓又炸鍋了。
剛才部長講到擴容的部分,現在擴容到什麼地步我是不知道,當然NCC很表現誠意,我也陪著NCC及中華電信去,但是擴容還是需要時間、也要經費,數發部對擴容的部分目前努力到什麼程度?
唐部長鳳:因為擴容也會運用到包含本部資源司所控管的頻譜等等,我們都全力支援,完全沒有任何保留。
陳委員雪生:是的。剛才講到低軌衛星,目前我們的低軌衛星還沒有獲得國外認證?
唐部長鳳:中軌衛星在馬祖有測試了,低軌衛星目前還沒有測試。
陳委員雪生:沒有,我聽說中軌衛星沒有用,中軌衛星完全是針對軍方而來的,對民間好像沒有實質的幫助。
唐部長鳳:TTC在上一次海纜斷掉的時候有做過測試,不過測試沒幾天就修好了。
陳委員雪生:部長,你覺得中軌衛星是不是為了軍方,民間好像是沒有用途的?
唐部長鳳:不是,這是為了災難的應變,像消防也是災難的應變,不能算是軍方吧?
陳委員雪生:但是對我們民生的網際網路、電話等等沒有實質的幫助。
唐部長鳳:等到它的容量大到一個程度就會開始有實質的幫助,我們現在還在驗測。
陳委員雪生:現在國家基礎設施分為八大總領域及20個次領域,你們律定比如協調機關與主管機關分為能源、水資源、通訊傳播、交通、金融、緊急救援、醫院、政府機關、科學園區及工業區等等。你們現在制定法律,比如要罰多少錢等等,如果海纜沒有納入國家關鍵基礎設施的話,就不適用這些通過、要實施的法律,而且把海纜弄斷了,刑責也很輕。
鄭司長明宗:報告委員,上次我們在委員會上也有報告,電信管理法第七十二條有修訂,不會因為它是不是關鍵基礎設施,只要是國內海纜被拉斷,在刑責上我們都有……
陳委員雪生:沒有,針對關鍵基礎設施,你們4月初通過22項法律的修正草案,對不對?未來比如要三讀通過,規定破壞關鍵基礎設施的行為處一年以上七年以下有期徒刑、併科五百萬元以下罰金;致人於死者,還可以判無期徒刑到死刑。如果這些法律沒有納入關鍵基礎設施的話,照你所講的,這是你個人的臆測,行政的……
鄭司長明宗:報告委員,條文沒有寫關鍵基礎設施,是寫只要是海纜、只要是破壞。條文沒有寫關鍵基礎設施。
陳委員雪生:你只能用電信管理法去處理他。
鄭司長明宗:是,沒有問題。
陳委員雪生:電信管理法的刑責是很輕的。
鄭司長明宗:沒有,就是剛剛委員唸的刑責,正在修法,已經交付黨團協商。
陳委員雪生:你有納入嗎?
鄭司長明宗:有,我們會先從通傳會來修法,現在進入黨團協商。
陳委員雪生:前兩次的質詢部長因公沒有來,所以我有請次長回去跟部長轉達,希望我們的海纜能納入國家重大的基礎設施……
唐部長鳳:有,都有按照委員……
陳委員雪生:本席特別在此提醒部長。有機會的話,我也歡迎部長到馬祖實質地去看一看,去關心一下離島地區,我們不只對老百姓,我們對軍方也是很支持的。
唐部長鳳:請司長回答。
鄭司長明宗:我們在6月19日、20日會到馬祖普及服務、現勘。
陳委員雪生:部長會去嗎?
唐部長鳳:預計是會去的。
陳委員雪生:你順便去一下馬祖,而且這個地方風景很好、非常地優美。
唐部長鳳:沒問題。
陳委員雪生:到那邊去不一定要去吃海鮮,去關心一下當地的基礎設施及當地的民眾、聽聽老百姓的聲音,詐騙集團怎麼詐騙的,你們也去關心一下。
唐部長鳳:是。我也還沒有上網站申請6,000元,我也會在馬祖那邊來申請,看看網路通訊的狀況。
陳委員雪生:是的,謝謝部長。
唐部長鳳:謝謝。
主席:請李委員貴敏發言。
李委員貴敏:(10時46分)部長好。簡單的問題想請教你,第一個,AI算不算是數位科技及數位金融相關的?
主席(陳委員雪生):請數位部唐部長說明。
唐部長鳳:委員好。它是相關的技術之一。
李委員貴敏:很好。我們來看一下一段影片。
(播放影片)
李委員貴敏:所以簡單來講,因為數位科技的發展,現在有很多不管是繪圖也好或者寫文章,甚至連聲音的部分都可以透過AI集結所有的數據之後,把類似的唱腔展現出來,你剛剛提到這個是數位科技的一種。在數發部成立的時候特別提到,數發部成立的目的是對於只要跟數位的科技及數位的經濟相關的都是歸數發部……
唐部長鳳:產業跟安全。
李委員貴敏:對。我就要請教,像剛才那樣的情形,其實我們只是舉個孫燕姿的例子而已,像鄧紫棋、周杰倫都很有自己的聲音特色,跟一般人的聲音不一樣,按照數發部組織法的規定,法規的擬訂是由數發部管……
唐部長鳳:輔導、獎勵、管理這些我們都會來做。
李委員貴敏:好。以我們剛才講的AI孫燕姿的例子,這個有侵權的問題嗎?
唐部長鳳:回答委員的問題,這是非常、非常好的問題,其實這要看兩個,一個是他本來採集的那些樣本是他已經拋棄著作財產權放在公領域的,還是他有主張著作財產權、肖像權的,這個要先搞清楚。第二個是他有沒有侵犯他的名譽或商標權,也就是說,他如果合成出來是自己使用,並沒有加以變賣,或是說這是孫燕姿自己錄的,這是第二個部分。
李委員貴敏:部長,我之所以會問這個問題,是現在網路很發達,在網路發達的時間點,如果有些行為涉及侵權,你是不是應該要讓民眾在第一時間知道,對不對?
唐部長鳳:應該是反過來,我如果是原版的作者,我應該能夠透過電子簽章或什麼方法說這個才是正版的,其他看到的都是盜版的,要這樣。
李委員貴敏:對,其他的是盜版,但是現在問題是很多網紅或年輕朋友的創意、在製作的時候,不認為這個東西是侵權。從數發部的主管角色上面來講,您認為它侵權還是不侵權?
唐部長鳳:這個牽涉到著作權法裡面合理使用的定義,所以幾乎是要按照個案來看他是不是大規模地運用、是不是商業使用等等。
李委員貴敏:但是部長您知道現在在YouTube上面,當點閱到一定程度的時候是有收益的。
唐部長鳳:你可以打開廣告分潤模式。
李委員貴敏:對,如果有收益的情況之下,算不算侵權?
唐部長鳳:如果他有很明確地說他是為了好比parody、二創、揶揄什麼之類的,而且取用的材料都是在公領域的話,這個就比較沒有問題,其他就有侵權的疑慮。
李委員貴敏:你有沒有跟智財局、王美花部長溝通過?
唐部長鳳:之前在跨部會協調的時候,從我2014年、2015年加入行政院,我們就一直在反覆討論這個題目。
李委員貴敏:好,你剛才得到的資訊是王部長給你的嗎?因為我有點擔心。我先講一下中國大陸、對岸對於聲音權的部分,聲音權跟肖像無關,可是聲音權是不是人格權的一部分?其實我們的法律規定裡面也有人格權的規定。
唐部長鳳:是,我就是在說那個。
李委員貴敏:對,所以當聲音權也是人格權一部分的時候,其實前面播放的影片被放上網的時候,我看到孫燕姿很大方,他很高興大家能夠把他的聲音特色拿出來。但是當有侵權的時候,就應該在第一時間講,為什麼呢?因為如果不在第一時間講,就會造成一個結果。我不知道部長記不記得,在很久以前曾經有某個國立大學的學生因為不知道直接從網路上面download影片是不合法的,所以那個時候很多大學生都因為download的關係,後來被罰,在人生上面留下了污點。我們再看谷阿莫的情形,谷阿莫常常對於電影加以嘲諷,谷阿莫的行為是合法還是非法的?
唐部長鳳:他有那麼多影片,當然不可能一概而論。
李委員貴敏:部長,你這樣講就不好,為什麼?其實我建議你可以很勇敢地講出來,谷阿莫的案子已經和解了,他如果沒有侵權,他何必和解,對不對?在著作權上面來講,就像你剛剛前面講的,如果沒有改的時候就是重製,侵害了著作權的重製,可是如果他把它拿下來之後去改,就變成改作,它都是一樣……
唐部長鳳:衍生著作。
李委員貴敏:對,著作權的侵害。合理使用有合理使用的界定,並不是所有東西都掉進去合理使用。
唐部長鳳:我同意。
李委員貴敏:所以我會建議部長這個部分其實可以很明確,為什麼呢?部長,我先跟您報告,今天我們舉的例子只是聲音的部分,寫程式的人是集結所有的data上來,他透過聲音頻率可以把一個很特殊的聲音模仿出來,寫程式的人對於那個程式有著作權,因為他寫的是軟體,可是對於其他的人有沒有侵害到他們的權利,就牽涉到有沒有涉及肖像權、有沒有涉及我剛剛前面提到的人格權,對不對?像這些東西可不可以拜託部長有一個非常明確的規範出來,讓很多年輕朋友在創作的過程當中可以有一個合法的管道去發揮創意,不要讓他們因為誤會自己做的事情是可以的,反而受到責難。就像谷阿莫,本來他認為可以,結果後來發現這些影音的廠商都跟他求償,他必須要和解完之後才能夠解決他的刑事責任。
唐部長鳳:委員講得非常好,法律越明確,越不會有這種情形。
李委員貴敏:對!另外一個是數位經濟,數位經濟的發展可以透過很明確的規定讓年輕朋友有所依循,尤其在AI方面、數位科技的發展,可以讓我們臺灣走出另外一條路,所以特別拜託,可以嗎?
唐部長鳳:我想有關provenance,即創作溯源這套系統真的非常重要,我也會特別請我們產業署及資安院注意這方面,謝謝。
李委員貴敏:好,謝謝部長。
主席:休息10分鐘。
休息(10時54分)
繼續開會(11時4分)
主席:現在繼續開會。
請高委員嘉瑜發言。
高委員嘉瑜:(11時5分)部長好。民眾對於詐騙真的是深惡痛絕,可是我們發現在112年,也就是今年第一季民眾所通報的高風險賣場排名第一名是蝦皮,計有781件,第二名是鞋全家福,其實依次這些電商等等的個資外洩情況非常普遍,很多民眾反映在蝦皮購物之後馬上就收到一些相關的詐騙簡訊,在這種情況之下,蝦皮被列為是一個高風險的賣場。但是我們發現,雖然刑事局認為有很多民眾報案而且應該開罰,可是到現在我們都還沒對蝦皮開罰過,請問一下數發部有沒有去了解這個狀況?蝦皮到底有沒有個資外洩?
主席:請數位部唐部長說明。
唐部長鳳:委員好。委員在螢幕右邊所連線的這些網址跟提示,如果裡面沒有提到那個人買的具體貨品或是送到哪裡的話,這很難說是蝦皮本身的個資外洩。
高委員嘉瑜:據你們了解,蝦皮到底有沒有個資外洩的風險?目前有沒有個資外洩的案件?
唐部長鳳:刑事局有傳像這樣不明確是否為蝦皮外洩以及一些比較明確的案例,那些比較明確的案例我們覺得蝦皮有可以改善之處,我們有請他們改善。
高委員嘉瑜:數位部有去了解過嗎?整個蝦皮賣場的個資到底有沒有被入侵或外洩?你們有沒有了解實際狀況?
唐部長鳳:請產業署跟您說明。
主席:請數位部產業署胡副署長說明。
胡副署長貝蒂:報告委員,我們最近在4月28日有召開一次會議,在那次的會議上刑事警察局、資安專家及律師都有共同討論,當天刑事警察局還有提供相關的事證,所以我們正在請蝦皮針對這些事證進行了解。
高委員嘉瑜:刑事警察局的說法是他們一直希望你們趕快依法裁罰,因為他們認為接到的蝦皮案件有個資外洩的狀況,但是依照部長剛剛的說法及您的說法,還是依然站在蝦皮那邊,這是民眾無法接受的。我們調閱近三年民間單位個資外洩的資料,政府機關有開罰並要求改正的件數加起來竟然總共才32件,才32件!民眾能接受嗎?其中7件是交通部,包括最近的華航個資外洩還有iRent汽車等等的事件,可是關於電商賣場等等的事件竟然一件都沒有!其中文化部是2件、國家通訊傳播委員會1件、數位部20件,在這種情況下的實際裁罰只有3件,其他都是要求依法改正。光是從去年6月到今年2月統計的資料,警方函送數位部、衛福部、交通部、教育部、經濟部、文化部、通傳會7部會總計上百家疑似個資外洩的電商,但是發動行政檢查要求改善者卻只有不到一成,所以三年來僅3件裁罰,難怪我們的詐騙如此猖獗,尤其對罔顧資安的不肖電商毫無拘束力。
很多是個資外洩造成的解除分期付款詐騙案,在兩個月內就有數千件,詐騙集團透過分期付款詐騙造成的財損也高達一億多元,但電商在資安所投入的成本跟實際成效令人質疑,所以我們就要問數位部還有政府機關對於這些電商平台業者到底有沒有積極去查,並且了解他們有沒有個資外洩的狀況?因為光是從2021年到現在,新聞媒體報導個資外洩的狀況就高達數十間,其中有FB、NGO團體、LINE Pay、博客來、華航、和泰iRent、格上租車等等,所以我們就要問,數位部是各部會裡面唯一具有資安專業而且還有資安署的部會,是不是能要求各部會對這些民間業者的資安有一個行政檢查的方法?否則我們怎麼知道這些民間業者有沒有做好資安管理,如何去要求他們改正?這部分的專業是不是只有數位部才有?要如何協助各部會在這部分做行政檢查?
唐部長鳳:是,謝謝委員讓我們有機會說明。我們除了例行的行政檢查之外,因為資安有很多面向,特別是個資部分,之前在資策會就有相關的企業個資自評系統,這個系統我們也會提供給各部會。委員剛才講的是個資的非法洩漏,其實個資的合法交付,好比像是你在電商訂貨之後,它要交給送貨員等等,現在我們也輔導他們導入隱碼技術,讓送貨員也沒辦法拿到完整的個資。
高委員嘉瑜:現在我們質疑的是其他部會,這麼多部會所監管的這些公司、民間企業,他們對個資有沒有做好相關的資安等等,當我們要做行政檢查的時候,這些主管機關根本沒有這樣的專業,要如何去開罰、如何去要求、如何依法執行行政檢查?這部分是數位部會協助嗎?
唐部長鳳:委員剛剛提到的這些像交通部等等,現在如果有重大案件需要行政調查都是由資安院派員參加。
高委員嘉瑜:例如現在各部會所監管的這些民間機構,如果要去了解他們的資安疑慮等等的時候,數位部都會派人去協助,是這樣嗎?
唐部長鳳:是我們的國家資通安全研究院,行政法人會派人。
高委員嘉瑜:那數位部呢?
唐部長鳳:它是我們的一分子,是我們所監督的行政法人。
高委員嘉瑜:那資安署呢?
唐部長鳳:資安署負責的是關鍵基礎設施跟公部門裡面的,而不是公部門所管的民間業者。
高委員嘉瑜:所以你們是由另外一個資通安全研究院去負責協助他們?
唐部長鳳:資安院是對外的,資安署是對內的。
高委員嘉瑜:但成效非常有限,因為我們現在只有看到32件被開罰,在這麼多洩漏例子的情況下根本不可能真的協助這些部會了解實際狀況,才會有這麼多的個資外洩。
唐部長鳳:我想跟委員溝通一個觀念,我們其實也覺得左邊這32件應該要罰鍰,所以國發會的個資法修法版本已經有處理,如果這個個資法通過之後,右邊的3件就會直接變成32件,一發現就裁罰。
高委員嘉瑜:問題是你們發現的數量只是冰山一角,在這麼多、幾千件個資外洩的情況之下,你們只有32件,而且這32件裡面大部分都是這一年來新聞媒體報導的,其他幾乎完全沒有,都是掛零。在這種情況之下,包括內政部、很多房仲、銀行等等,其實這些都有個資外洩的風險,難道都沒有嗎?包括很多民眾也反映去買車之後馬上個資外洩,或是在賣場裡面,可是你們卻完全沒開罰,也沒有相關紀錄,所以我們的問題是主管機關會不會主動稽查,還是要等媒體報導之後你們才開罰?
唐部長鳳:我們本來就有定期的巡查,不過我要講的是剛剛提到的這些隱碼技術等等,不管它有沒有個資外洩的行為等等,我們都要求全面導入,這跟有沒有個資外洩沒有絕對的關連。
高委員嘉瑜:如果你們有定期稽查,可是卻只有32件被你們發現並開罰,而且都是因為媒體報導,這樣的稽查跟沒有一樣,等於是沒有稽查,所以我們才希望從源頭做起,定期做行政檢查去了解有沒有資安外洩的風險,協助這些企業建置應該有的配套,不管是個資保護或是相關的資安,這些都應該從源頭做起。
唐部長鳳:當然。
高委員嘉瑜:如果我們沒有這樣的監管機制或是行政檢查,個資外洩會源源不絕,後端包括警察局、檢察官等等各單位,大家就會「將士無能,累死三軍」,底下的人全部都累死了。
唐部長鳳:就是要在源頭解決,這我完全同意。
高委員嘉瑜:所以如何從源頭呢?我們現在就是問你們在行政檢查方面要如何協助積極的作為,以你們現在的成效,等於沒有在做啊!
唐部長鳳:我要講的是,以消防為例好了,我們做了一些驗測說這些是防火建材,事前就要求大家在蓋房子的時候運用這些建材,後面就不會個資外洩、不會失火。委員提到的是要做消防檢查,甚至是失火了再來救,那當然已經在末端了,但在前面就應該導入這些隱碼技術、隱私強化技術讓它根本不要留存或運用個資。
高委員嘉瑜:問題就是現在沒有做!那你們什麼時候會做?
唐部長鳳:現在有啊!
高委員嘉瑜:有做還會個資外洩嗎?
唐部長鳳:現在我們在導入這些,包含這些大的電商,他們都很願意導入這些方式。
高委員嘉瑜:所以你們什麼時候以前會完成這個部分?
唐部長鳳:所以我們導入之後,已經看到大幅減少。
高委員嘉瑜:然後完成之後就不會有個資外洩,你現在的意思是這樣?
唐部長鳳:就是不會經由好比說留了電話、電話給送貨員等這種途徑外洩嘛!
高委員嘉瑜:所以你們現在導入的狀況是怎麼樣?你們要多久完成?
唐部長鳳:現在在年底之前,我們會把所有這些大型的電商,您剛剛提到有通報的這些,我們透過巡察的方式確保他們都有導入,我們自己公部門也會在今年底之前,把中央部會導入這個……
高委員嘉瑜:因為我剛所說的電商,包括蝦皮等等,其實就是大家所認為高風險的賣場。
唐部長鳳:高風險那些啦!
高委員嘉瑜:但是你們現在隱碼等這些,大家可能覺得還不夠,因為大家認為現在的蝦皮隨時在個資外洩,但是你們數發部到目前沒有給我們一個明確的交代,到底這個狀況是怎麼樣,所以我們會覺得蝦皮一再被縱容,到底要不要開罰?數發部應該要趕快做出成效來,不要讓後端的警察這麼累。
同時警政署最近在165防詐宣傳也告訴我們,就算網址有「gov.tw」也不能相信,這gov.tw是哪來的?就是數發部的宣傳跟衛福部合作,裡面告訴民眾要認證gov.tw,而且還告訴我們是爆肝開發,所以在這種情況下,民眾到底要相信誰?然後馬上詐騙集團就有gov.tw的簡訊。
唐部長鳳:這個前面有一行字,gov.tw左邊有別的英文字母像「t.ly」的時候,那個就不是網域,就不能相信,這個完整是這樣。
高委員嘉瑜:民眾看不出來,所以我覺得數發部不要自己覺得自己很懂,但是民眾就是看不出來,民眾只看到gov.tw,這才是重點嘛!
唐部長鳳:對,還有另外一個,就是所發簡訊的發話號碼,委員剛剛那張簡報裡面有我們上次有交換過意見的……
高委員嘉瑜:iMessage。
唐部長鳳:「回報垃圾訊息」這六個字,那就表示不是在可信的號碼發出來。
高委員嘉瑜:問題是民眾也不清楚,所以我的意思就是數發部在打詐的部分,可能要更清楚地讓民眾能夠瞭解,如果連80歲阿嬤都看得懂的話,那就代表這個是成功的,可是如果你拿這個去問80歲阿嬤,她不會懂的,這才是問題。
唐部長鳳:我同意。
高委員嘉瑜:因為被騙的可能是年紀比較大的長者,他不懂,所以不是你懂就好,民眾要懂。
最後,第三方支付平台現在是一個很大的詐騙集團洗錢工具,而且我們發現在即時攔阻第三方支付公司跟人頭帳戶合作的情況之下,其實成效非常有限,政府有打詐平台,我們希望這個打詐平台也能夠把第三方支付公司納入,讓第一線警察發現民眾來報案的時候,能夠立刻瞭解是哪家第三方支付業者,然後立刻要求止付,這個非常重要,在金流的阻斷上有立即的效果。所以我們希望數發部能夠協助把第三方支付公司業者納入新世代打詐行動綱領的金融資料線上平台裡面,希望部長能夠回去研議,好不好?
唐部長鳳:沒問題,謝謝委員的指教。
高委員嘉瑜:這個多久可以回復?
唐部長鳳:我想我們應該是一個月之內,在行政院層級會有工作圈,我們會提出來,謝謝。
高委員嘉瑜:好,謝謝。
主席:請劉委員櫂豪發言。
劉委員櫂豪:(11時17分)部長,其實我要關心5G城鄉差距,但是我還是先講防詐、打詐這件事情,因為我看數位發展部組織法裡面,其實成立部門賦予你們的任務總共有九大項,第十款就是其他數位發展事項,當然很多啦!簡單講,國家數位發展政策技術的提升等都跟數位發展部有關係,其實現在大家都非常關心打詐這件事情,打詐真的是造成我們生活上很大、很大的困擾。我剛剛在想,當然對部長來講、對懂資訊的人來講,有些事情大概可以從技術上看得出來,我們剛剛在講的網址裡面如果gov.tw……
主席:請數位部唐部長說明。
唐部長鳳:而且是要用那個開頭,不是用在結尾。
劉委員櫂豪:對,但是你不講的話,其實我也不知道,我們天天在使用網路,但是這個對我們來講是有一點高深,前面如果它有t.ly的話……
唐部長鳳:有加別的字就不是在最前面了。
劉委員櫂豪:別的就不算,比較單純的嘛?
唐部長鳳:對。
劉委員櫂豪:但是一般的民眾坦白講不會懂這些。
唐部長鳳:瞭解。
劉委員櫂豪:有些人大概可能跟我一樣,看到臺灣政府的網域、網站,我們都會點進去看,沒想到如果它有其他字母的話,可能不是政府真正的網站。我的意思是這樣,這是源頭,我們如何讓這些防詐的源頭不出現,大家不會接近,這是一個方法。
唐部長鳳:對,沒錯。
劉委員櫂豪:第二個,我接近的時候,就算它騙我,但是我真的要付錢出去的時候,有很多關卡會阻撓我的錢匯出去、金流出去。金流的部分,第一個,我們就用銀行匯款;現金交付這個大概沒有。第二個就是信用卡。我認為有沒有辦法除了源頭以外,我剛剛講的第二個部分也要想辦法能夠來阻斷,像我個人來講,比如在網路上刷卡的話,現在沒有強制要驗證碼,所以有些平台,比如把信用卡號碼、身分證號碼輸進去就刷卡成功,有些會要取得驗證碼。
唐部長鳳:還要一定金額以上,它會觸發,小額有時候不觸發。
劉委員櫂豪:也不一定,我覺得有些是2,000元、3,000元要輸入,比如說我在一些平台,有些不用驗證碼就過了嘛!所以我覺得這件事情可不可以強制要取得,當然數發部我不知道有沒有這樣的權力,你們跟財政部……
唐部長鳳:這是金管會,但是我們會……
劉委員櫂豪:以跨部會講,因為這就多一道關卡,像多一道驗證碼,因為手機總是我們自己留在信用卡公司,如果萬一連手機都丟了,大概就比較慘一點,至少手機沒有丟,驗證碼他取不到。
唐部長鳳:這個非常好,這就是所謂零信任,就是身分跟設備,像手機……
劉委員櫂豪:我覺得匯款這件事情,我們當然也不能阻絕一切匯款,那也不行,因為匯款還是很方便,手機按一按就好,有沒有什麼方法可以在這部分強制多一道程序?
唐部長鳳:像約定帳號跟非約定帳號有不同的規範,不過這個真的是金管會。
劉委員櫂豪:部長,我今天要跟你說,金管會就是管金流,你們知道這個技術……
唐部長鳳:我們是資訊流啦!
劉委員櫂豪:你們技術上特別是詐騙很多類型、怎麼樣被詐騙的類型,你們會比較知道,你就跟金管會來協調。
唐部長鳳:有。
劉委員櫂豪:金管會就算不用法律,我相信它把這些銀行找來勸導他們,我相信他們都會做。
唐部長鳳:有。我們產業署跟金管會有個很固定的平台,我們會在那邊提出。
劉委員櫂豪:這部分我覺得數發部洋洋灑灑幾項內容,但是大家對數發部最大的期待,就是打詐能夠成功。
唐部長鳳:對,就是安全跟產業要兼顧。
劉委員櫂豪:打詐如果能夠成功,數字下跌,民眾有感,那我們就會認為成立數發部是對的。
唐部長鳳:理解您的意思。
劉委員櫂豪:你現在很多願景,坦白講,可能要5年、10年去建構,打詐這件事情是大家高深的期待。
唐部長鳳:會立刻有感,確實。
劉委員櫂豪:譬如說,我如果對數發部,雖然這個是跟經濟部有關係,我就覺得數發部其實可以來做一件事情,我上次也提過,不一定要全國實行,其實可以跟縣市政府合作輔導,我們現在外送平台很多,但是我們知道外送平台雖然有一定的便利性,但是整體上,現在是二大或三大系統在競爭的時候,如果我們有一個公部門輔導出來的這種平台,相對也許它在外送費用會比較便宜點,因為政府不一定要賺那麼多錢,它就可以降低一點,其實可以提供消費者另外一種選擇,舉例來講,如果臺東縣政府有這樣的意願,臺東市本身範圍比較小,也不會像商業活動那麼密集,數位發展部跟經濟部如果可以結合臺東縣政府來做這樣一件事情,我覺得我們在這種純粹的資本主義競爭以外,提供民眾另外一種選擇。
唐部長鳳:有,之前雲市集,大家可能也有聽過的,有這一方面的資服業者,我們都有在輔導。
劉委員櫂豪:但是叫你們自己做比較快,因為這要跟地方政府,如果地方政府願意做這件事情,政府要自己完成有點困難,因為政府不是企業,但是政府如果有看到這個需求,跟民間大家一起來合作,或NGO、NPO大家一起來合作,我覺得是提供另外一種選擇,這是我對數發部的一種期待、一種願景。
唐部長鳳:我完全同意。
劉委員櫂豪:但是談這個願景之前,大家要先談打詐。
唐部長鳳:對,其實這是一體兩面,我們透過雲市集輔導出來的這些,包含點餐的電商平台,也要通過資安一定程度的測試,等這個平台的能力強了、客戶多了,當這兩家外送平台等於只把它當作外送車隊使用時,它的議價能力就變強了,這個我們有在做。
劉委員櫂豪:當然我們不是要去影響他們的商業競爭,但是我們提供另外一種選擇,這個機制對店家、民眾來講,其實讓他們有另外一種選擇啦!
唐部長鳳:是,同意,這是我們推雲市集的初衷。
劉委員櫂豪:這個是我對數發部的期待,但先決還是要先把打詐做好,剛剛我講的那幾個,因為第一端的技術層面真的看得懂的人坦白講也很少,像我現在反正是陌生的我幾乎都不點進去,我現在只能要求這樣,但偶爾也是會錯點,還是難免,但是第二端,就是真正要付款的那一端,如果我們有很多比較安全的措施,我相信會把詐騙截斷,好不好?
唐部長鳳:我們再跟金管會在那個平台上討論。
劉委員櫂豪:好,謝謝。
唐部長鳳:謝謝。
主席:請許委員智傑發言。
許委員智傑:(11時25分)部長好。部長,我請教一下,抖音(TikTok)現在各國有很多地方都禁止了。
主席:請數位部唐部長說明。
唐部長鳳:委員好。我們更早,四年來都是禁止的,只是2022年重新再講一次。
許委員智傑:OK。另外,蘇格蘭的地方議會除了公務手機,連議員都禁止。我們之前有看到新聞,賴清德副總統有很多的競選方向,抖音他也不會用。現在抖音在全世界的狀況,我想簡報所表列的資料部長都比我還清楚。
第二個是Meta的部分,現在假帳號、假訊息這麼多,剛剛櫂豪委員提到的,包括影響詐騙、影響政治,利用言論自由來侵犯言論自由,這部分數位部有沒有什麼方法可以處理?
唐部長鳳:這部分是屬於傳播監理,所以NCC網際網路傳播中心有一組人員專門在處理這個,我們在這邊主要是要確保電子簽章所簽出來的藍勾勾難以冒充,是在更源頭的地方,讓冒充的沒有辦法上架。
許委員智傑:這個可以怎麼擋?數位部有能力嗎?
唐部長鳳:像大院正在審議有投資性質的廣告,金管會有修法,表示之後就變成平台必須先去確保這些是真正做投資的機構所簽出的廣告,除了他們之外都不能登,如果這些平台讓它登的話,假如這個法通過,那他們就要負連帶賠償責任,像這個就需要一些技術的配套,這個技術配套我們會來做。
許委員智傑:連2020年美國大選也飽受困擾,明年臺灣的選舉跟美國的選舉恐怕會再發生這種狀況。
唐部長鳳:對。
許委員智傑:我們看到2020年的資料,蔡英文總統貼文下留言有假帳號,包含韓國瑜也有,這些東西其實真的是防不勝防,美國也注意到這一點,所以全世界都在關注。以數位部的角度來看,明年美國有可能擋得住嗎?臺灣有可能擋得住嗎?你剛剛講到在技術上數位部有這個能力去……
唐部長鳳:強化藍勾勾的機制,但是在全民資安意識上也要有警覺,不是有影片就有真相,影片如果不是藍勾勾,不是認識的帳號發出來的話,大概就推定為假,大家都要有這方面的認識。
許委員智傑:當然我們講的認識是民間的自發性,但是認識之後,其背後的IP處理,數位部可以整理出來嗎?
唐部長鳳:傳播監理當然還是在NCC,但是如果需要我們在技術上提供一些支援的話,我們有很多法人,像TWNIC、資安院等等都可以協助。
許委員智傑:假設某個單位故意花10億創造許多假帳號、假訊息,它可能在海外,也可能在國內,它做一條龍的串聯,當然如果你告訴NCC,它一定會處理,但是它如果技術不夠,可能不見得抓得出來,所以這還是要有數位部的技術。
唐部長鳳:對,就像我們剛剛談到的,不管是iRent或其他,主管機關在做行政調查時,如果覺得它自己找的外部技術人員可能量能不足,我們資安院隨時都在,都可以去幫助。同樣的道理,即將成立的個資會的籌備處,如果需要技術的量能,也是資安院會提供,您提到的,包含NCC等等其他的如果需要技術支援,我想我們資安院都義不容辭。
許委員智傑:其實我今天要問部長的最大目的是,比如怎麼防範的技術可能我不知道,所以我也不會去跟數位部說你要幫我防範什麼。
唐部長鳳:瞭解。
許委員智傑:NCC如果注意到要怎麼防範,當然數位部會去協助他們。
唐部長鳳:對,當然會聯防。
許委員智傑:但是如果連它自己都不知道敵人的技術這麼的高超,所以它就不會去跟數位部發動,請數位部要去查什麼技術、處理什麼事情,類似這樣子的事情,這可能就變成數位技術專業的人的sense要比NCC法律處理事情專業的人還要先。
唐部長鳳:理解委員的意思,但是以委員剛剛提到的人頭帳號,或是人頭帳號所設立的粉絲專頁等等,這個跟打詐是完全相同的,這塊是重疊的,所以在打詐國家隊行政院平台上,我想不只是各部會,也包含國際朋友們如果有看到最新詐騙,因為國際很多詐騙的一條龍不一定全部在同一國,在這個情況下我們都會聯防。
許委員智傑:對,所以我在這邊也提醒數位部,打詐其實很重要,也很辛苦,敵人真的是無孔不入,我們要去防範所有的邊界事實上不是那麼容易,假消息跟假訊息是一樣的道理,也是無孔不入,真的也是很難嚴防,但是我希望這個部分數位部也要採取主動,而不是等待NCC給你們受益,因為他的專業可能真的不如數位部,可能敵人已經用新方法了,數位部要比NCC還要早知道嘛!所以針對打詐、針對假訊息,我們在這邊要提醒數位部,這部分能夠主動出擊、主動嚴防,OK嗎?
唐部長鳳:好,我們會主動的,不管身分驗證,或者我們在推零信任的時候,要知道這個藍勾勾是真的,等等的技術我們都會請資安院超前部署來研發。
許委員智傑:OK,今天賦予數位部兩件事,一個是打詐、一個是假訊息。
唐部長鳳:我們就專注在訊息防護資安部分,如果是傳播監理就是NCC,但是我們會主動去瞭解需要開發的技術。
許委員智傑:對,最新技術一定是數位部比NCC還強嘛!所以數位部的sense應該比NCC還快嘛!
唐部長鳳:我們會跟民間的業者啦!我們不敢說我們自己的技術永遠是最尖端的,但是這些尖端的技術、這些新創等等,反正是我們產業署很熟悉的朋友,所以我們會透過這些朋友來瞭解。
許委員智傑:OK,我希望這部分數位部幫我們守好,因為選舉很快就到了,臺灣先做實驗,美國也可以學習。
唐部長鳳:知道。
許委員智傑:我們選舉在先,他們選舉在後嘛!我們總要把它守好,也可以示範給其他國家看。
唐部長鳳:謝謝委員。
許委員智傑:就看部長的能耐了。
唐部長鳳:好,我們全力以赴,謝謝。
許委員智傑:謝謝。
主席:接下來登記發言的羅委員明才、林委員德福及王委員婉諭均不在場。
請吳委員欣盈發言。
吳委員欣盈:(11時33分)Hello您好、早安。2018年蔡總統核定資安即國安的戰略願景,並講到安全可信賴的數位國家,在2021年時蔡總統又提到堅韌、安全、可信賴的智慧國家,我想請教部長認同總統的國安戰略方向嗎?請分享一下。
主席:請數位部唐部長說明。
唐部長鳳:委員你好、早安。這個堅韌就是本部的mission,全民數位韌性(digital resilience for all),所以我當然認同這個戰略方向。
吳委員欣盈:數發部成立之後,您對自己的表現覺得如何?會給自己打幾分?
唐部長鳳:我全力以赴,當然應該是2,300萬的國民幫我打分數,我不敢自己打分數。
吳委員欣盈:OK,我覺得資訊安全問題相當多,而這也是新成立的部門,當然大家可以一起努力。我今天也想跟部長聊聊,烏克蘭跟俄羅斯的網路和數位消息,您知道為什麼在戰爭時烏克蘭的網路訊息都沒有斷訊嗎?而您對於這位數位轉型部長Fedorov熟不熟悉?
唐部長鳳:還算熟悉,我們有一起簽署未來網際網路宣言,現場我們有碰過面,Fedorov最有名的是他組成一個IT Army邀請全世界的朋友,包含一些加密貨幣社群的朋友等,一起幫助烏克蘭來打贏訊息戰。他們的作法就是他們覺得俄羅斯在做什麼,全世界Open-source intelligence開放的資訊、任何人都可以分析,大家幫他們一起分析,最後公布出來,這樣俄羅斯攻擊的手法就會被搶先叫破。
吳委員欣盈:我這一次訪美回來之後,因為剛好也是我在世界經濟論壇有一些relationship,有空也可以再跟部長私下交流分享。可是以我觀察,政府單位很多事情的速度永遠比民間慢,問題現在是數位cyber warfare,在數位的部分政府要全力投入其實也滿挑戰的。
唐部長鳳:需要公私協力啦!
吳委員欣盈:對,需要公私協力,exactly所謂的public private partnership,其實依我瞭解烏克蘭數發部他們有很多interesting的cooperation配合,所以他們可以很快速的導入一些設備。可是我覺得,更重要的另外一環就是他們除了很快速的用public private partnership方式把硬體建立起來,同時他們自己也隨時on the learn,知道怎麼去追蹤、觀察有些防破的地方。
最後我快速講兩個議題,關於數位身分證的部分,其實民眾黨在2021年有提到如果沒有專法就沒有辦法管理,目前兩年了都還沒有下文,我覺得非常的可惜,我想問您覺得什麼時候可以提出專法?再來從個人資料保障的部分,資通安全管理法的部分,您什麼時候要進行修法?另外,上週本人在個人資料保護法部分也開了一個記者會,可惜是共有17個委員提的版本,而我們的沒有被考量,不過我想聽聽看您對這部分的分享好嗎?
唐部長鳳:謝謝委員,個人資料保護法是規範所有人,所以這一次罰鍰提高等等,當然也要注意到微型的事業或小型的企業有沒有可能付得起這麼高的罰鍰,所以可能需要一個級距,不過這是國發會主管的法律。因此我們資安法在這件事情上面是一個配套,他們提高裁罰認定後,我們在相對應的地方要做一些調整,這是第一個。
第二個,這一個版本的個人資料保護法裡面有一條是說,要有獨立的個人資料保護委員會,也就是獨立個資專責機關,這個是當時民間包含憲法法庭都說要發數位身分證之前需要有這樣一個獨立的機關,告訴我們所做的T-Road等等這些東西,是不是符合像歐盟GDPR那樣的標準,如果它說有,我們才能繼續往下走。
吳委員欣盈:有沒有一個時間的commitment,計畫何時可以提出?
唐部長鳳:以我所知,在今年年底前,行政院就會成立個人資料保護委員會的籌備處,這有很明確的時程,對於籌備處的裁定,我們也會儘快提出包含資安法或組織法相對應的版本,應該都可以在今年完成。
吳委員欣盈:OK,謝謝。
唐部長鳳:謝謝。
主席:請林委員楚茵發言。(不在場)林委員不在場。
登記質詢委員均已發言完畢,作以下決定:一、報告及詢答完畢。二、委員林德福、傅崐萁、魯明哲及趙正宇所提書面質詢列入紀錄,並刊登公報。三、委員質詢中要求提供相關資料或未及答復部分,請數位部及相關機關儘速以書面答復。
委員林德福書面質詢:
網路報稅、ChatGPT等使用率高,數位發展部如何協助使用者防止資安外洩
問題一
網路詐騙,有慣用套路、關鍵字,譬如「穩賺不賠」、「解除分期付款」、「操作ATM」、「重複扣款」。
「人工智慧聊天機器人」,網路搜尋功能強大,請問「數發部」是否可以用來主動蒐集「詐騙網頁廣告網路地址」,會同檢調,再與「台網中心」(台灣網路資訊中心)合作進行「網站封鎖」作業?
問題二
在「數位發展部」成立前,「林秉樞施暴案」衍生出「國家級」網軍爭議,「匿名用戶」透過「政府IP地址」,修改「維基百科」,經「國發會」證實為「交通部公路總局」IP地址。
2024總統立委選舉,民眾擔心「數發部員工」利用上班時間,進行「訊息操作」,影響選情。請問「數發部」,是否允許同仁「上班時間」,使用公務電腦,修改「維基百科」,上「PTT」、「臉書」發文?
若允許,要如何避免「瓜田李下」,減少質疑「數發部」網路發文是「網軍」操作網路帶風向?
問題三
「AI人工智慧」無可避免,套句「聖嚴法師」的話:我們只能「面對它、接受它、處理它」!
「數發部」協助「公務員」建構所需要的「數位能力」,面對「AI人工智慧」,如何導入公部門,協助「公務員」回應民眾無窮無盡的需求。本席認為「數發部」要列為優先處理任務,這比推出「點餐系統」來得重要多!
民間企業平均認為,目前的工作機會,將大約消失27%。請問「數發部」對「導入 AI人工智慧,再造政府行政流程」的看法?
問題四
行政院2018年12月底宣布啟動換發「數位身分證」,「唐鳳前政委」與「徐國勇前部長」還拍影片背書沒問題,但外界對資安仍有疑慮,前院長蘇貞昌於2021年拍板決議喊卡,政府推動「數位身分證」最後變成「爛尾樓」!
「數位身分證」10億預算,都是從納稅人口袋來的,是否會打水漂,政府必須向全民說清楚、講明白,為何「數位身分證」政策無法執行?
委員傅崐萁書面質詢:
一、網路報稅!政府如何預防個資外洩?
時 間 |
單 位 |
洩 漏 個 資 數 |
2019/7 |
1111人力銀行 |
20萬 |
2020/10 |
104人力銀行 |
592萬 |
2020/11 |
1111人力銀行 |
335萬 |
2023/1 |
華航 |
300萬 |
2023/2 |
iRent租車 |
40萬 |
2023/2 |
格上租車 |
1.6萬 |
2023/2 |
微風集團 |
90萬 |
時 間 |
單 位 |
洩漏個資數 |
販 售 金 額 |
2018/4 |
台北市政府 |
298萬 |
29.8萬美元 |
2019/6 |
銓敘部 |
59萬 |
10歐元 |
2020 |
戶役政個資 |
2,000萬 |
2,500美元 |
2022/10/21 |
戶政資料 |
2,300萬 |
5,000美元 |
2022/10/25 |
役政資料 |
887萬 |
未知 |
根據警政署統計,2022年詐欺案,預期創下10年新高紀錄,消基會指出,很大一部分是來自於個資外洩情事。造成新型態冒名釣魚詐騙如此猖獗,最大的原因就是個人資訊外洩問題,若政府單位不重視個資外洩,詐騙問題將持續出現!
年度 |
發生件數 |
被害人數 |
財損數 |
102年 |
18,772 |
24,433 |
37億 |
103年 |
23,053 |
30,886 |
33.79億 |
104年 |
21,172 |
31,716 |
35.6億 |
105年 |
23,175 |
36,211 |
38.31億 |
106年 |
22,689 |
37,257 |
40.48億 |
107年 |
23,470 |
35,718 |
39.69億 |
108年 |
23,647 |
34,482 |
42.93億 |
109年 |
23,054 |
36,952 |
42.55億 |
110年 |
24,724 |
44,674 |
56.1億 |
111年 |
29,702 |
52,433 |
69.62億 |
資料來源:警政署
近年政府個資外洩事件頻傳,甚至從戶政、健保公部門到民間企業私部門,還傳出連8大情資系統如國安局、軍情局等個資也全遭外洩,甚至在海外遭販賣。
近期最大一筆發生在去年10月21日,以「OKE」為代號的匿名使用者,在駭客論壇BreachForums兜售號稱全台2,300萬筆戶役政資料。為了吸引顧客買單,OKE更直接公開20萬筆設籍在宜蘭的個資當作商品樣本,其內容包含身分證字號、地址、配偶父母等親屬資料。
一位熟知政府運作的資安人士研判,這顯示內政部察覺戶籍資料交換流程存在漏洞。網上兜售的資料,可能是從外部機關或外包廠商洩漏出去。
隨著5月報稅季,財政部積極推動網路報稅,並提供高額獎金吸引民眾使用,但過去政府單位外洩個資事件頻傳,對於民眾報稅個資的保護,請問財政部有什麼作為來預防民眾個資外洩嗎?有與數發部針對資安問題跨部會合作嗎?數發部有主動提出協助嗎?若有個資外洩之情事,財政部該如何處理?會像之前內政部一樣踢皮球嗎?
二、ChatGPT有資安疑慮,政府部門應考慮禁用
南韓三星電子近日透過內部信件指出,由於發現旗下員工將敏感程式碼上傳至生成式AI(generative AI)服務平台,恐導致商業機密外洩,因此禁止員工在公司擁有的資訊設備上使用該類型服務,違規者恐面臨解雇的命運。這也是繼美國金融業與義大利之後,最新針對生成式AI使用實施限制的案例。
彭博報導,1名三星集團代表證實這項備忘錄的存在,並指出是在上周時向全體員工寄發;該備忘錄表示,在使用包括ChatGPT或是Google公司的Bard等生成式AI服務時,若將涉及商業機密的數據流出,由於其資料可能存儲於外部伺服器,無論是進行追蹤或刪除都將極為困難,且有可能進一步被其他用戶所取得,因此祭出禁用令。
根據三星電子集團在4月所進行的問卷調查,約有6成5的員工認為生成式AI對於公司的安全造成威脅,且在4月初發生工程師不慎向ChatGPT洩露原始碼的情事,但目前不清楚被洩露的機密類型為何。
報導指出,ChatGPT推出不久後,今年2月起包括摩根大通(JPMorgan Chase & Co.)、美國銀行(Bank of America)與花旗集團(Citigroup)等華爾街金融業者,禁止或限制旗下員工使用生成式AI。此外,義大利也在隱私疑慮之下,一度禁止使用ChatGPT,但目前已解除禁令。
去年12月5日數發部官員表示,抖音或TikTok(國際版)是危害國家資通安全產品,已經限制公部門資通設備及所屬場域使用。也就是說,公部門配有的手機、平板及電腦,都不能下載使用抖音或TikTok。
請問數發部,生成式AI(generative AI)服務平台如ChatGPT等相關應用程式,是否會危害國家資通呢?
目前已有許多國際知名企業因防止洩密禁用ChatGPT,請問數發部有打算讓公部門禁用ChatGPT等生成式AI(generative AI)服務平台呢?
兩種程式皆有資安疑慮,若只禁抖音不禁ChatGPT,數發部是否是雙重標準?
請數發部針對公部門是否禁用ChatGPT等生成式AI(generative AI)服務平台進行研議!
委員魯明哲書面質詢:
資安院於年初正式掛牌上路,為我國第一個資安專責行政法人,而首任院長何全德在接受媒體(i T h o m e)專訪時談到:“資安院主要任務是資安技術服務、技術研究發展、資安專業諮詢、資安行政協助、資安人才培力,在定位上,與數位部、資安署的關係密切,呈現三位一體的關聯,共同守護臺灣資安”。簡單說,台灣的資安主要有賴於數位部、資安署以及資安院的相互配合,形成一個資安鐵三角,主要由數位部擬定政策,資安署負責執行,而資安院則是從旁提供技術支援以及人才培育“
經查,目前資安鐵三角之人力晉用情形,數位部最為充足,到職率達81%,資安署自去年(111年)12月至今,於人力之填補可謂毫無改善,到職率依然僅有48%,而甫成立的資安院則有近四分之一的人力缺口,目前(05/10)在104人力銀行上,仍可看到有41個職缺尚在招募,包含資安工程師、網路威脅分析工程師、網站可靠性工程師以及零信任網路驗證研究員等。
基此,資安鐵三角應如何改善人力不足之問題?又資安署人力嚴重不足,是否將使資安政策之執行窒礙難行?
委員趙正宇書面質詢:
質詢議題 | |
數發部長唐鳳 |
1.新聞媒體的多元環境有助於民眾知的權利,是民主社會運作的重要環節,然目前國際數位平台業者的分潤以及演算法皆不透明,恐對台灣媒體造成衝擊,特此向數發部提出質詢: 一、針對數位平台與媒體間之分潤機制,本席曾在質詢提出應盡速研擬議價法案。日前數發部已進行數場會議,邀請google、meta兩大數位平台與廣電、平面媒體對話,同時行政院也於4月底召開跨部會議,不過目前數位部仍未提出政院版草案。本席強調,數發部作為議價法案主管機關,應該加速彙整雙方共識,建立分潤機制,提出相關草案,建立具體之時間表,期能健全媒體產業並提供民眾良好媒體環境。 二、跨國數位平台使用台灣媒體內容時,也會收集資料進行演算法,再推薦更多內容給使用者,無形中也對台灣媒體造成衝擊。這些平台的推播標準與國內新聞媒體不同,平台在負面、八卦新聞及假新聞的傳播更快,完全沒有守門功能。數發部應針對相關情形研擬應對措施,避免對於台灣媒體產業及閱聽民眾造成不良影響。 2.蝦皮購物個資外洩層出不窮,詐騙受害人名列全國最多。數位產業署於四月底才針對蝦皮及旋轉拍賣等平台個資外洩進行行政檢查,不過數位部過去卻從未開罰,導致資料外洩情形毫無緩減,特此向數發部提出質詢。 一、根據刑事局統計,今年一至三月因蝦皮個資外洩之詐騙案件就超過400件,是全國網路賣場最多,刑事局曾一再呼籲數位部依法裁罰,不過數位部卻毫無動靜,導致相關情況一而再的發生,讓第一線警察疲於奔密,民眾損失慘重。數位部應負起主管機關之責任嚴格執法。 二、針對民間企業,政府已開始進行電商資安輔導措施,並建立資安聯防情資與通報機制平台,同時近期也鼓勵電商物流業者引入「隱碼技術」,期能降低個資外流情形。不過我國中小企業資安意識普遍不足,數位部仍應多加推廣,同時針對業者的重大缺失也應該開罰,輔導與裁罰並行,方能杜絕個資外洩。 |
散會(11時40分)