從台南的資訊安全聊到數位治理

剛透過市長信箱通報了一個臺南市政府工務局的系統個資外洩問題,雖然回應表示這是系統安全漏洞也已經完成改善,但實際上這只是經手人員缺乏足夠資訊素養,並不是什麼系統安全漏洞;過去在處理登革熱地圖時也有遇到類似情況,經辦人員以為把試算表欄位隱藏就可以不被看到,就這樣流出了帶有病患個人資料的檔案。這兩次的事件不確定是否都只有我發現,但這些個人資料一旦流入了惡意使用者手裡,問題大概就會變得很棘手了。

在過去,資訊系統的出現主要是為了提高行政效率,因此資訊人員往往被定義為各種業務單位的輔助角色,很多時候就是業務單位人員兼任,加上業界給予專業資訊人員的待遇會比公務機關好,公務機關不容易留住專業的資訊人員,而這在過去封閉性資訊系統時代不會造成太大問題。

隨著網路的普及,現在許多公務機關的資訊系統頻繁的需要與網路世界互動,兼任或缺乏基本素養的資訊人員在這樣的環境中就變得異常危險,因為只要一個無心之過就會造成非常大的災難,像是民眾資料外流問題;而缺乏基礎知識會讓問題很難真的停損,因為補上了一個漏洞,隨時可能再開啟另外一個。

所以把網路線拔掉就好了嗎?現有資訊安全管理政策的確有這樣的味道,預設將所有連線關閉、發現異常情況直接中止設備存取網路等,這樣的作法的確降低了一些資訊安全問題,但也賠上了許多過去所累積的資訊系統資產,因為這些舊有資訊系統等不到資源去跟上資訊安全政策而選擇停擺,或是乾脆全部重新來過。

現在可以聽到的一些新名詞,像是大數據、人工智慧等等,其實很多的關鍵就在於資訊資產的累積,如果每次都需要重新來過,大概很難累積足夠的能量去發展這些東西;而資訊安全的問題,大多是因為經辦人員缺乏資訊素養,而非真的都可以歸咎於資訊系統開發廠商。

也因為網路的發達,過去政府資訊公開的作法已經不再能夠滿足這個時代的公民,所以衍生各種開放資料的政策,讓公民除了看到結論之外,更有機會追溯整個事件的細節;而也因為有能力接觸與處理細節資訊,公民不再像過去那樣被動接受政府的決策,而是希望政府將決策過程的資訊完整公開,然後用客觀的數據去檢驗決策甚至要求影響決策。

我們是一個剛從威權時代慢慢走向民主的國家,整個政府的體制還留有許多過去對於大政府的想像,這在網路時代勢必存在許多衝突;現有政治人物面對衝突的作法往往是倒退走,用過去的經驗要求人民必須聽信自己,即使這些人自己不懂也不會想要真的把它弄懂,因為權力的確還是掌握在這些人手上。

在這樣的情況下,去談論數位治理似乎就顯得有些尷尬,因為大部分的人還沒有這樣的概念與想像,許多政治人物做出了一個又一個數位治理的亮點,除了專有名詞沒有打錯之外,很多執行細節都跟客觀想像有著非常遠的差距。

我對於數位治理的想像在於一個小政府的樣態,政府的存在就是提供一個人民決策平台與維持各種決策的執行等,任何一個公民都可以在決策的任何一個時間點參與其中、並且深入細節,而資訊系統可以提供充分且可被驗證的資訊作為決策的參考,代議制度監督的功能遠大於決策,政策的可延續性會比亮點重要,我們不再需要選出一個偉人般的領導者,那些位置任何人坐了都不會改變這個國家最根本的基礎。

在這樣的想像中,政治人物應該釋出更多的權力讓人民參與決策,政府應該藉由各種方式強化人民的資訊與民主素養,而人民應該更大膽想像一個國家該有的樣貌並且去尋求最大共識。

我們當然還離這種想像太遙遠,眼前許多問題都是人民與政府之間缺乏互信,只是我們該努力的方向應該是不擇手段去奪取權力,還是應該持續找出一個共識然後期待當權者下放權力?不擇手段奪取權力之後我們還有辦法真的下放權力嗎?而當權者真的會因為人民的共識出現而交出自己的權力嗎?兩個方向之間應該還有更多可能存在,只是現實政治環境中已經出現了許多矛盾與衝突,不知道我們有沒有機會和平走到下一個里程碑。

但至少,個資外洩的漏洞又補上了一個,這算是有前進一小步吧?