簡訊實聯制應有透明度報告

先說結論，這份透明度報告最好要由政府單位自己發起準備，要委託法人代寫還是用其他的方法都好，不公佈也行，但最好把它做到不是只是要因應輿論交代所用。

還記得號稱獨步全球以色列都想了解的電子圍籬？

去年初的「電子圍籬」早在沒有問世之前就由行政院高層開始策劃，而推出時已經籌備和開發過了一陣子。由於當時全世界對這套系統的興趣都非常高，但相關公開資訊幾乎等同於是零。整個「系統」是什麼樣子，系統是誰開發的，到底誰可以用，在實務上是怎麼使用的，誰負責哪一段，數據和資料的儲存、分析和清理，又是委託什麼單位在做。電子圍籬系統和警政、衛政、民政之間又是如何交換資訊，這些問題對於有經驗有敏感度的人來說，都是大哉問。

基於「求知」和「涉己」原因，當時我花了一頓晚飯的時間把邊境管制到電子圍籬的概念畫了一張圖，也放在了 blog 上。這張圖後來被一個美國的新興媒體看到了，在全球相關領域傳得很廣，來詢問事由梗概的不低於十個國家的研究單位和研究員，而曾經針對細節來信詢問的媒體，也遍佈歐亞非。

事後證明，當初的觀察在細節上當然不可能「重現」當初的「真實」，但在幾個方向的推斷卻是正確的，比如說：

• 政府各機關連電子圍籬資料是怎麼在各單位跑的都不太能完全掌握
• 各資料庫串連的情況相當「普遍」「嚴重」
• 因為防疫所需所搜集的數據，以現代政府資料保護的水準來看，很多政府機關也不太清楚，所以後來國發會才啟動了那一份調查

「好加在」是年在4月初幾場在立法院的座談會，讓台灣社會的輿論對「科技防疫」和整件事有了更多探索的意欲。本來只是流傳在公衛、法學界人士之間的茶餘飯談和八卦（例如資料庫串連、警政如何使用電子圍籬），至少整體社會開始比較清楚的用腦袋體會政府在「科技防疫」做了哪些事。至於被揭露的是不是只有「冰山一角」「未盡全貌」，這些衍生的議題，還是要循正規路徑，落在相關單位和機構的研究範圍。

回憶上面這些並不是說「簡訊實聯制」我也要花時間去探究，而是這是更為「全面」「大規模」和由上而下高度指導所發展整合出來的資訊系統。這個系統相較於電子圍籬所造成的影響差距不可以里道計，因為它的影響不是單純在疫調和所謂的防疫層面，而是把台灣長久以來社會因為沒有這種「自我回報」系統出現，而尚能保存的那一點點對於「數位」「權力集中」的免疫力和警戒心，一下子降低到不可思議的程度。

這個整體社會在心理層面、法治層面和技術應用層面的「突破」所造成的「影響」「傷害」，是不可能恢復的。我等國人個體看似主動選擇「脫光足跡」回傳給國家看（活是國家授權的人看），在很多國家是整體社會對於隱私保護認知不可思義的光譜大挪移。

簡訊實聯制要知道什麼？

與其因為媒體的質疑（或是攻擊）才一步一步揭露，天天「數位駁火」「鬥嘴鼓」也不是很聰明，倒不如「超前部署」先把簡訊實聯制搞清楚。什麼叫做搞清楚？對誰搞清楚才叫搞清楚？我們就先期待從第一圈的利益相關者開始。所謂第一圈的就是行政院本部、交通部、衛福部、通傳會和中央疫情指揮中心。這些單位是當初「簡訊實聯制」上線記者會有人出席的，或是在爾後的一些討論，在機關的網站上曾經掛出「澄清」的公告者。

要知道什麼呢？我列出幾個：

• 一則簡訊使用者發出之後，實際在各資訊系統會怎麼走？
• 承上，這則簡訊到底在每一個階段是如何被儲存、處理和刪除的？
• 所謂的28天的刪除，在資訊系統層面的操作型定義是什麼？
• 承上，通傳會有能力稽核嗎？通傳會可以稽核嗎？
• 承上，電信業者自己稽核自己，對嗎？
• 各家電信業者因為這樣要多出什麼樣的成本？這些成本的 breakdown 是什麼樣態？財務和會計上是怎麼認列的？
• 簡訊實聯制的系統落日條款 “sunset clause” 是什麼？
• CECC 和電信業者之間調用簡訊時聯制所儲存的簡訊，是存在什麼樣的法律關係？
• 整件事要上線之前，法務部分是什麼單位什麼人說 OK 的？
• 電信漫遊者的簡訊支援嗎？為什麼不？為什麼可以？
• 從 ISO27701 的角度來看，哪些根本是問題很大？
• 一個月收到超過六億則簡訊，調閱「有用」的是303則，這兩個數字要怎麼解讀？有效？無效？不符合比例？
• 這六億簡訊如果僅供疫調分析，那如何精進此系統？為了「優化」系統所做的分析，算不算僅供疫調使用？
• 中華電信到底做了哪些事？

當然，以上只是小小的舉例，但在這裡這樣就夠了。要「普及」這些問題的認知和解答，最好的型態就是「報告」。立此報告最好理由的就是「透明」或是「風險」，至少要對核心的第一圈利益攸關者透明吧？你不想要讓第二圈的執行者知道你知道什麼，我沒有意見，但國家是你們有責任在 run 的，你沒有很清楚的知道現況是什麼，倒霉的不是只有你們。

那麼，關於簡訊實聯制的其他問題

談到這個系統我還是會想到記憶猶新的晶片身分證 (eID)。當初晶片身分證不只信誓旦旦事在必為，而且多次澄清溝通據理力爭引經據典數位國家創新發展什麼都來了，最後檯面上還是灰飛煙滅暫告停損。對於簡訊實聯制的「保證」和研究力道不可能高於晶片身份證，因此有幾個問題就來了：

• 簡訊實聯制什麼時候會落幕？是三級警戒解除的時候嗎？
• 簡訊實聯制的簡訊定期刪除，是否可以把資訊系統操作層面的定義講得更清楚一點？還是通傳會要很努力闢一個專區，每天說明電信業者刪除了多少簡訊？
• 簡訊實聯制的官方申請網頁，為什麼超過一個月了，還是看不到關於簡訊實聯制系統本身（不是網站）在隱私保護和資料運用的政策是什麼？
• 政務人員是否可以專心把網站的解釋做好嗎？而不是到社群媒體到處私訊留言解釋澄清？

以民眾的角度來說，如果有一份簡訊實聯制的《透明度報告》能公開問世，那當然更好了。如果這系統這麼好，那一定要用好好的說明它這麼好和有用到底要怎麼用，能有英文版本更是嘉惠盟邦。此外，透過這樣的出版物來自我反省惕勵檢討，長期以來也會是好事。最怕的就是傻傻的相信科技然後過沒多久被科技的風險反噬，這對於現代官僚來說，應該是要持有的正面態度才是。

不然我們先期待能有一份《透明度報告》可以送到國會？否則這些難題，到時候就是數位發展部要解題了。

Originally published at http://blog.schee.info on June 30, 2021.