數位經濟的未來已經降臨
數位經濟,正在改造我們的經濟活動,在 2016 年的「紐約大都會博物館慈善晚宴(Met Gala)」中,國際商業機器公司(International Business Machines Corporation, IBM)與英國設計工作室瑪切薩(Marchesa)合作了一件晚宴服。
這套由白色薄紗所致的晚宴服上墜了 150 個連體發光二極管(Light-emitting diode, LED),透過 IBM 的人工智慧系統 Watson 擷取 Twitter 上的發文,這件禮服的色澤會依據群眾的意見轉換。
每年紐約大都會博物館慈善晚宴都是時尚、娛樂界的盛世與標竿,IBM 則是電腦產業的龍頭。兩者的結合,固然可能是一種行銷噱頭,但也讓我們看到了產業界線的模糊,或者更恰當的說法是,新型產業的出現。而這就是「數位經濟」的化身。
回到台灣,數位經濟其實已經來到我們的餐桌上,一點也不遙遠。凱馨實業原本是一間平凡的電宰場,但在 2013 年開始,他們開始建立統籌中心分析銷售數據。藉由這些即時資料,訂單預測與生產排程隨之被改變,讓曾經高達 14% 的退貨率,在三年內來到不可思議的 1%,更重要的是,他們更成功轉換成 C2B 模式,完全掌握了消費者的喜好。
這麼大規模又細緻的數據分析,在過去是不可想像的,但是隨著數位技術的普及,生產者能夠更精準的預測需求、控制生產、減少浪費。數位經濟不只是噱頭,而已經用我們看不到的方式,扎扎實實的影響我們的生活。
到底什麼是數位經濟?
「數位經濟」(Digital Economy)的定義其實還眾說紛紜。但我國的行政院科技會報辦公室在參考英國的《數位經濟法》(The Digital Economy Act)與「經濟合作暨發展組織」(Organization for Economic Co-operation and Development)後,整理出了一個簡略的概念供大家參考。
數位經濟泛指透過數位產業(Digital Sector)帶動的經濟活動,加上非數位產業(non-Digital Sectors)透過數位科技之創新活動,這邊的創新活動包含了新型的商業模式與消費型態等。
換言之,數位經濟由傳統的數位製造業、數位服務業和轉型的非數位產業共同組織,轉型的非數位產業除了我們剛剛提到時尚業的案例外,還有我們現在早已經習以為常的農業電商、網路金融、線上旅遊等。
這樣重大的趨勢,自然也不可能被政府忽略;行政院從民國 106 年起推動「數位國家˙創新經濟發展發案(DIGI+)」,期望在 2025 年,我國的數位經濟能夠達到以下幾點:
1.數位經濟產值達到新台幣 6.5 兆元
2.民眾數位生活服務使用普及率達到 80%
3.寬頻服務可以達到 2Gbps
4.保證國民 25 Mbps 寬頻上網基本權利
5.我國資訊國力排名能躍進全球前10
而其中也蘊含了幾個發展策略重點。那就是:
一、建構有利數位創新之基礎環境
二、全方位培育數位創新人才
三、數位創新支持跨產業轉型升級
四、成為數位人權、開放網路社會之先進國家
五、中央、地方、產學研共同建設智慧城鄉
六、提升我國數位服務經濟的地位
但撇開這些繁雜的政令文宣,我真正想談的是數位經濟的基底,從凱馨實業、紐約大都會博物館慈善晚宴的案例中,我們雖然看到軟體與硬體的結合,但更關鍵的其實是底層的兩樣:數據流通與資通安全。
數據的流通需要規範
如果沒有數據,瑪切薩的高級晚宴服無法像卡通睡美人的結尾,裙擺不斷變化顏色,而凱馨實業如果沒有數據,也無法透過精準預測去掌握消費者的飲食喜好,改善自己的業績。
但是在追捧數據的同時,我們也不應該忘記,數據的截取也是有其危險與界限的。就如同蔡英文總統出席「一零六年府會資安週」時,看到如何使用現在的網路監控攝影機(IP Camera)監控家庭時,感到恐懼一樣。不適當的數據蒐集與應用,對於人民的隱私權是一種威脅。
面對可能的監控風險,我們需要劃歸一條界線,將公權力從其劃去,或用於捍衛這條界線,《個人資料保護法》的修訂便是這條界線的重要象徵。特別現在開始有許多裝置開始使用生物辨識功能,去進行消費、解鎖等,我們不應該假裝這些事物不存在,反而應該正面面對,並展開討論。
因此隨著數位經濟的發展,我們需要重新檢視我們的《個人資料保護法》是否有跟隨上這樣的角度,同時,歐洲近期也通過了全球最嚴苛,最高可以處 2,000 萬歐元罰鍰的《一般資料保護規定》(General Data Protection Regulation,GDPR)。我們也可以去借鏡他國,到底數位經濟發展、民眾便利性與個人隱私間的界線,是否有需要到這樣嚴厲的地步。
善用政府資料改善生活,推動永續未來
檢視完《個人資料保護法》後,我們也該檢視台灣可能最豐富的資料庫,那就是我們的政府,政府資料開放其實是台灣政府在 2015年逐步開始的項目,但進度仍然緩慢。
以荷蘭為例,政府單位有180種資訊,以往都在各自的資料庫,彼此不流通。荷蘭在 2004 年修改《統計法》,賦予「荷蘭中央統計局」獨立機構的地位,並賦予其擁有所有單位資料的權限。「荷蘭中央統計局」也為此設計了資料中心,讓 180 種資料可以彼此溝通。
在「荷蘭中央統計局」的資料中心,只要修改 1 個資料的參數,所得的資料都會隨之變動,「荷蘭中央統計局」也提供全國諮詢與技術支援服務,讓任何組織的新資料能與資料中心快速串接。
除了作為全國資料庫,「荷蘭中央統計局」也身兼了資料收集推動者的角色,面對通常可能比較被動或者缺乏數據量能的地方政府,「荷蘭中央統計局」以了解地方議題作為推動的第一步。
「荷蘭中央統計局」會藉由發放問卷、部門會議等方式,瞭解每座城市想要解決的問題,後再帶動當地政府進行發想,並梳理出可以協助問題決策的資料來源與清單,有了明確的目標和執行方向後,協助地方快速建置「城市資料中心」,並且開始資料收集,最終藉由收集的資料解決問題,也將資訊量能灌輸到地方政府,並成功獲取當地的重視與信任。
這樣的模式並不止成功讓部分城市消彌貧窮、提升治安,也會帶動更多城市的參與,台灣是否可以有這樣的模式,在合理範圍內,運用我們的政府資料,改善城市治理,其實都是值得期待的。
「荷蘭中央統計局」本身也與聯合國的「全球永續發展目標(Sustainable Development Goals, SDGs)」合作,他們深信「更好的數據,更好的生活(Better Statistic, Better Life)」,這在海牙的垃圾減量計畫中充分體現。
在海牙政府提出垃圾減量的目標後,「荷蘭中央統計局」便介入協助市政府探索到底整座城市生產了多少垃圾,他們與衛生局、垃圾運作公司合作,紀錄下垃圾被生產的數量與地區等資料,並依據這些資訊去做出相對應的政策推動,協助減少垃圾。
政府的資訊如何善加運用?
除了政府內部的數據流通,政府資料的開放應用也可能帶來巨大的價值,但必須謹慎處理,畢竟政府資訊的取得,是基於人民對公權力的信任和授權,貿然授予其他機構來應用,可能會有侵犯民眾隱私的疑慮,招致圖利特定廠商的批評,台權會等民間團體,對健康資料加值應用中心的質疑和批評,正是這個道理。
所幸,數位技術的發展,也為這個困境帶來新的轉機,只要配合Open API、自動化和電子簽章等技術,民眾作為資料所有人的自主權,就可能真正落實。讓政府資料對民間的開放應用,能夠以民眾自身的授權為基礎來進行,而不必要是出於主管機關的判斷,過去這樣個別授權的模式,因為交易成本太高,完全是不可想像的。正因為數位科技降低了交易成本,這樣的模式才有可能實現,民眾的資料自主權才可能落實。
政府的風險管理和組織文化,需要數位化
剛剛講的是數位經濟的創新層面,追求創新的同時,也要進行風險管理,任何數據,最害怕的就是竄改;任何個人資料保護,最害怕的就是攻擊,在數位經濟的時代,資通安全的重要性已經來到無法忽視的地步。
但很可惜的是,台灣政府現在有三項不足,顯得我們在這個部分,腳步有些緩慢。而這些問題也反應在最近正在審查的《資通安全法》草案行政院版本上,即便在接受立委的建議下,行政院資通安全處已經刪除最受爭議的第十八條「行政檢查」與「地方政府管轄」,但事實上,仍有許多部分懸而未解。
首先是政府對於新技術的反應速度不足,與態度保守,區塊鏈便是一個案例,虛擬貨幣的定義與未來雖然對各國來說,仍是褒貶不一,但其實技術本身市值得被期待的,我們能否運用區塊鏈,讓他成為新創資本的來源、調查局偵查的證據支持,甚至資安技術,都是應該被探討的。
其他國家紛紛予以關注、研究,然而台灣政府在這方面的腳步仍緩慢,僅有金融監督管理委員會由於業務需求,有特別去認識,且其他部會,卻不一定有發現他們所管轄產業的動向,或者能對他們業務有的幫助。
再來是對於網路治理的認知缺乏,在資訊世界,政府必須認知:「網路空間沒有 100% 的安全,只有如何面對風險、降低風險或者分散風險。」資訊世界裡,網路攻擊(善意與惡意)幾乎隨時在發生。
若政府只想以傳統由上對下的監管態度、要求「粗糙」的通報程序,甚至想透過「延遲通報」就要處罰來提高資訊安全,這會是錯誤的方向,甚至可能會讓資安管制與漏洞在無意間,擴大到傷害數位經濟發展。
最後,其實是根本的問題,那就是政府的資安技術人才缺乏與組織混亂。
數位經濟與資通安全會牽涉到不同的產業環境,這其中每一個都是複雜專業的領域,目前稽核員的專業多偏重於資通訊領域,不一定適合每個產業,如此的稽核方式,容易造成雙方困擾而徒勞無功。
因此在人才培育上,必須重視整個體系與環境的準備,否則訓練出來的資安人才無法在社會環境中生存發展,這樣的人才培育必然會發生事倍功半的問題。
《資通安全法》與《資訊長法》的重要性
面對政府態度保守、反應不足、缺乏網路治理概念與人才缺乏、組織紊亂的現況。我相信一部妥善的《資通安全法》與《資訊長法》會是可能的解方。
面對牽涉如此廣泛,且涉及概念更新,我們需要更明確的治理與管理機關體系,尤其是跨領域、跨部會的合作尤其必要,這也是為什麼我很堅持,我們應該要在《資通安全法》效仿美國《聯邦資訊安全管理法案》(Federal Information Security Management Act, FISMA)的架構,有明確的主管單位。
舉例而言,在美國的 FISMA 架構下,管理與治理應該是分離的,而事實上,這也會是更符合我國國情的方式。舉例而言,行政院資通安全處應該負責全國的資通安全量能,但遇到金融產業的溝通,或許將這件事情部分授與目的事業主管機關,會是更妥當的。我相信這對業者也會是更方便的。
至於我們剛剛提到的人才培育困難,也需要有專職的機構會是更能深入妥當的。我們期待可以由「行政院國家資通安全會報技術服務中心」擔任主管機關,也希望能有「經濟部標準檢驗局」去協助行政院資通安全處與不同目的事業主管機關去訂定適合各產業的認證標準。
而明確的資通安全治理、管理、認證、人才培育單位,也只會是一個基本。從上面的論述,我們發覺到,數位經濟之於政府的重點會在於政府的「數位再造」。因此,我們還需要建立一個獨立的資通機關,並以人民的需求為中心、資訊管理為核心,去真正落實跨部會整合。
這也就是我為何堅持《政府資訊長四法》的緣故,唯有妥善結合《資訊長四法》與《資通安全法》,再加上完善的《個人資料保護法》與政府資料開放與創新應用,我們才有可能有一個基礎完備的資通安全體系去承擔數位經濟,並成為我們追求的「數位國家」。
