非常好的問題。所以這就是我們電子簽章,包含數位簽章的技術優勢的地方。您提到的很多是現在的身分驗證技術,有的時候它是靠像我們剛剛講身分證正、反面拍照上傳,或者影本上傳。又或者如果再更高階一點,可能會需要即時跟你視訊,然後說臉轉這個角度、那個角度等等,以確保是你本人。
現在的挑戰是,不管是照片或者是影片,在生成式 AI 技術的發達之下,即時換臉現在都不是問題。而且你也很難知道現在提供的照片,是不是他之前為了別的目的提供的,然後中間就像您說的被攔截下來,然後再提供給另外別的服務,去做身分的認證。
但是,數位簽章並沒有這個問題,因為數位簽章簽署的那個印章是那一把私鑰,其實是在你自己的手上。不管是自然人憑證,或者是手機上面的行動自然人憑證,或者其他國內外的這些解決方案,它的重點都是你每次簽出去都會跟著一個時間戳記,所以它就是跟著那一次的簽署,附著在那個文件上對它進行蓋章。
這個戳記移到別的文件上,因為它的雜湊值不一樣,就是它的指紋不一樣,所以它不能夠拿來證明另外一份文件是你簽的。就可以防止這樣的情況:我拍我的簽名傳給你,結果你用 Photoshop 把那一段截下來,放到別的文件上,就好像我簽了那份文件。
所以,舊的這些用身分驗證的方式,去做類似簽章的事情,就會有你剛剛講到的這些攻擊手段。但是反而是這種基於剛剛講公開金鑰系統,因為那個金鑰一直在你手上,《電子簽章法》裡的數位簽章,就可以避免這個問題。因為它沒有辦法有所謂的回放攻擊,就是你簽了這個,你不能把簽的這個簽章挖出去貼到另一份文件,就變成好像你簽了另外一份文件,沒有辦法這樣做。希望有回答這個問題。
當然。我想電子簽章也好,或者有類似於印鑑證明的數位簽章也好,它不只是在網路上使用,它也有面對面的這種使用方式。主要就是讓驗證變得更方便、更可信。所以確實我們也看到,一些服務在導入的時候,它會在臨櫃的情境先導入,先確保大家知道這一套怎麼運作,然後之後再把它變成遠端也可以的情況。所以是分階段來導入。
至於,現在各個機關之前都有透過行政函示,去說哪些他們的服務,排除電子簽章的適用。我們新的修法是,這些函示在三年之後會全部失效,變成它不能再只用行政函示的方法說不適用,但是如果它要說不適用,它可以立一個法或修一個法,透過法律來排除電子簽章法的適用。
當然,這樣並不是所有的簽章技術,機關都一定得認。機關可以作為相對人去指定好比像工商憑證,我只認自然人憑證等等,這是沒有問題的。不是任何來辦理業務的人說我用哪一種憑證,你就一定得認,沒有這樣子。
另外,還要回答司法的部分。其實司法有一些,好比像比較經貿相關的,或者智慧財產相關的等等,電子化的程度已經比較高了。
只是我們《電子簽章法》的立法理由是促進數位經濟,所以司法院希望說:哪些部分他們不再排除適用、哪些部分還是排除適用,由司法院的要點或辦法層級,他們自己來決定,而不是行政院提的法案,然後就說所有的司法程序,都必須要能夠用電子文件來做。希望有回答您的問題。
對,我想就是盡可能的用數位簽章,等於有印鑑證明、時間公證的戳記等等,我想本身也是對資安的一個預防手段。即使之後駭客拿到了,他也不能把他移到別的文件上面。
在這個前提底下,我們的另外一個工作,就是確保大家家很容易使用這些數位簽章。所以,像之前我們用來簽公文「行動自然人憑證」的簽章功能,之前只有公部門以及特定的一些特許事業才能夠使用。也很感謝內政部,在去年就已經修改了這個辦法,現在是各行各業只要適用個資法,事實上就是所有行業都可以來使用。
所以舉例來說,像 Facebook 或 YouTube 或者 LINE,在接受數位簽章的時候,他願意接受我們的自然人憑證或行動自然人憑證等等,目前也可以直接來跟內政部申請。當然,這並沒有排除商用的解決方案,政府只是提供普及的、不需要什麼費用的方式,讓大家都來使用高強度的數位簽章。
是。舉例來說,像我們在網路平台上看到這些高風險的這些廣告,應該是去年 12 月開始加入聯防主動掃描的機制,目前掃出就已經上萬筆高風險的網路廣告。如果是電子商務相關高風險商品的話,也已經掃出 2 萬 4,000 多件高風險的商品。
我們觀察假設之後,好比像投資廣告類,就必須要用數位簽章才能夠上架的話,理論上我們會看到他的再犯率降低。
也就是說,同一個集團總不可能有無限多的自然人願意幫它做數位簽章。以前是因為它只要有非常多的 email 帳號或什麼其他帳號,就可以用來一直不斷地上一樣的東西。我們掃描到之後立刻就下架,但過不了多久又冒出來新的來。我們現在的想法就是:如果他我們下架之後又通報給大家,再加上架廣告需要用數位簽章的話,他總不可能一直找到全新的自然人,來幫它簽這些數位簽章的廣告。
所以,同樣這個作業的集團,或同樣這一份高風險的廣告、或者是高風險商品的集團,再冒出來的機率,應該就會大幅減低。詳情我想我們之後,跟警政署跟金管會討論出量化指標之後,再跟大家報告。謝謝。
謝謝。有沒有補充或者是更新的部分?
像 6,000 元的系統,本來就是要承受全部的流量,只是有很多的系統本來並不是承受全國的流量,是因為業務需要或者是臨時因應重大的事件。
韌性巡檢的目標,是任何系統主管的部會都可以掌握到需要做哪一些事情、抽換哪一些元件,才可以變成承受全國流量的狀態,所以是一個整備程度的全面提升,當然並不是每一個系統都會變成全國流量的系統,我想這個邏輯可以論述得比較完整。
也很感謝資安署之前有提供《資通安全法》所需辦理稽核的巡航表,我是覺得可以把這兩個概念分成法遵一定要辦,以及因應全國性流量的需求,這兩個同時論述。之前在院會各自報告了其中一個部分,未來我想這兩個要搭配起來一起論述。
有沒有其他更新或者是補充的?
如果沒有的話,我想管考建議就依策略司所擬,《電子簽章法》雖然已經送到立法院,雖然今天聽到委員會的委員都非常支持,覺得這個是防詐非常重要的法案,但是我想社會溝通,還是會不太確定跟日常生活有什麼影響,或者是不是臨櫃跟紙本要收起來,我想這個部分數產署有一些說帖,今天也會有一些圖卡出去,麻煩大家持續關注民間的反應,針對不明白的部分,我想立刻就端出這種說明的方法來。如果沒有別的部分,我們往下。
謝謝,簡報滿不錯的,把每個元件關係講得很清楚。不知道闕次有沒有要補充?
如果沒有要補充的話,看有沒有要詢問的部分?
洽悉。
本部成立時的基本概念,就是「全民數位韌性」。這整套多元異質的韌性建設,包含衛星等等,當然實務上要碰到重大挑戰的時候,才真的發揮出效果,這個跟剛剛講的韌性巡檢是同一個意思。但我們實際上做了什麼,只要讓大家很明確知道,大家就會知道我們投資在先進技術應用上,其實並不只是為了技術的研發,而是有整體的戰略構想。就請韌性司持續精進,我們當然會持續支持多元異質網路的建置。再往下。
前面有提到國科會專家們的意見,有三個:第一個是講資料生態法制化的議題,當然我們現在在講的是 114 年,我們今年是 113 年,所以有一個隱含的前提,也就是 114 年許願關於資料交換的事情,是不是有可能 113 年就有一個法律草案的版本把這些問題解決,以我所知多元司是有這樣的規劃,這部分我不曉得是不是有可能再花一點時間跟委員溝通?
我的意思是,對於參與的部會,對資料再利用、對 Open Data 如果有一些具體的法律條文等等,我們其實有個「容器」可以放,就是正在討論中的《資料創新促進條例》。這點我想那次未必有講到,是不是有可能再花點時間,去跟關心的委員說明這一件事?
因為各部會原本就各自有一些想法,而現在在數位法制相關的部分已經有一個預覽表出來,說接下來就會去收各部會的意見。我不曉得現在有沒有可能,先讓委員知道有這一件事?聽聽多元司的想法。
國科會請的專家,當然也要納入專家名單裡。
這個時程滿妥當的。我們當時也有說,既不會比《個資法》早,也不會比《個資法》晚,就是跟獨立個資會的組織法同時進入徵詢。
因為以我所知,現在新的《個資法》修法,接下來也要進行溝通了,我們應該要亦步亦趨。
我們就這樣辦理。
這個就儘量提早做這個作業。像這次《電子簽章法》相當順利,其中一個原因是非常早,等於是本部剛成立、數產署人都還沒有到齊的時候,就已經說至少有國際貿易相關的需求,以及有數位落差、數位包容如何兼具的需求,我記得當時專家都有一些強烈的意見。但因為是很早就溝通,所以後來折衷出來的方法是大家討論出來之後「雖不滿意、但可接受」的版本。
我想《資料創新促進條例》也是一樣的,一定會有各種不同的想法,之前我們一直有一個挑戰,就是我們不能代替獨立的個資會去做判斷,但個資會籌備處已經有這個職能了。接下來的,理論上都是我們可以解決還剩下哪一些部分,這部分參考《電子簽章法》的經驗,我們及早開始溝通。
像剛剛有提到內政部,特別是在手機上的數位簽章,也就是行動自然人憑證有一些想法,目前看起來是往公建的方向辦理。
各機關可能還有去年以前的印象,也就是身分驗證是相對簡單的,而且有多元的方法,但是認為數位簽章,一方面法定效力不明確、二方面比較昂貴,可能要用商務的解決方案之類的。
但是事實上,在行動自然人憑證推動之後,這兩個可及性變成完全相同,也就是適合電子文件上數位簽章的方法來做的話,可以用身分驗證的同一支 app 來做,大家簽公文就知道,這兩個使用流程是一樣的,用來登入一個系統,跟你用來簽一份公文,事實上花的秒數是完全相同的。這個部分就已經趨近了自然人憑證卡,既可以用來做身分驗證、也可以用來簽章的方便程度,轉移到手機上。
接下來像公建性質也好,或者是科發性質也好,事實上都可以充份運用數位簽章的公共建設,這部分在審查的時候也提醒一下各部會。
看大家有沒有詢問或者是更新的部分?
如果沒有的話,這部分就洽悉,請數政司跟國科會繼續積極溝通合作。
剛剛提到資料創新法制的部分,我們就 4 日會議之後用各種方法,包括書面的回應或者是拜會委員等等的方式,跟委員溝通。如果有辨認到爭點——像某個部會跟另外一個部會要求相反的情況——也請直接讓我知道,可以在會議上討論,謝謝。接著往下。
謝謝,舉了很多生活化的例子,李次有沒有要補充?
沒問題。我想立委都很關心,也不能排除有人真的跟立委同名同姓,但是如果真的有個粉專或者是貼文,花錢去打廣告,至少可以看到相片或者是其他的聯絡方式是不是看起來跟那一位立委很像,同名同姓然後長得又一樣,這個機率就等於零,所以我們還是有一些方式,可以來判斷這個部分。
關於網路廣告平台,在登廣告前,為了確認登廣告的行為者,有什麼樣的數位簽章要求,應該有一個跨平台的機制。同一個自然人是否用數位簽章,簽了 1,000 個不同帳號的廣告,這些判斷並不涉及內容。因此,actor 跟 behavior 這兩層,我們作為未來「網路廣告平臺業」目的事業主管機關,這還在分工表裡面可以承擔的部分。
接下來如果需要,包含跟 NCC 的溝通、內政部與金管會的溝通等等,我們就儘快來進行。從外界的角度來看,其實大型網路廣告平台先解決,這是我們這個階段集中精力要做的事。
我看數產署的「I301060(網路廣告平臺業)」定義已經寫好了:「從事透過網際網路平臺或版位,提供刊登或推播廣告之服務並收取對價,且為民眾接觸之廣告最終端網路平臺之行業。前開最終端網路平臺指從事 I401010(一般廣告服務業)及 I301030(電子資訊供應服務業)細類以外,主要以網路版位招攬廣告業務,或收費接受委託刊播廣告之方式;提供廣告資訊供民眾直接瀏覽或閱聽之網際網路平臺提供者或應用服務提供者亦歸入本細類。」
如果大家沒有什麼意見的話,我覺得發函給商發署,以及與 NCC 討論,這兩件事可以並行。
今天我去交委會拜會委員,他們說除了電簽法之外,如果還有其他法律要修,他們都很願意協助。
