# 網路自由小聚 活動與討論紀錄 ## 緣起： Coffee and Circumvention 是一個由 "Internet Freedom Festival (IFF)" 發起，串聯全球各城市的網路自由社群聚會。 台北場聚會響應全球多個城市，在每個月第三個週四，由社群自發組織定期聚會討論網路自由議題。我們歡迎學生、上班族、科技人士、藝術家、記者或任何對數位人權、網路隱私、網路安全以及開放科技有興趣的朋友加入我們。 為方便初次參與的人了解台北場聚會討論過的議題，本篇將歷次講者願意公開的講題資訊整理於此。 *短網址：<https://bit.ly/2B34d2r>* ## 2022.12.22 戰時~~湯圓~~網路 * [去中心化 solution 之點對點傳播](https://g0v.hackmd.io/OqDBxO2QTRmdXomdvW4G-Q?view) * [公民通訊工具](https://g0v.hackmd.io/@YMAapC0RTZaurbgCZtn72w/H1Bv6ZJNS/%2Fs%2Fe_8XgpCgT2iLCeFv29Cv_A?type=book) * [在無手機訊號和Internet連線的環境下，如何建立資訊中心點](https://hackmd.io/0fHXztTfS6277u1X3jVeXA?view) * [利用間歇連線P2P訊息擴散機制的WaterChat APP設計__臺灣博碩士論文知識加值系統](https://hdl.handle.net/11296/t53d2m) * [戰時網路發想 by ronnywang](https://g0v.hackmd.io/@SA7CD7VRSp6Fcqw9CaElcQ/S112xTC_s) * [How do we keep communicating when the Internet is down @edoo.dev](https://docs.google.com/presentation/d/1wFAz8I9VEPGLi4VKQObiTKWcse5oiLrPpBysd98ERMs/edit?usp=sharing) ### 戰爭時有哪些網路需求？ * 收到政府或正式的戰爭資訊 * 跟外部傳出去台灣內部狀況 * 需要並存不同方案，每個方案間互相無痛切換，完成具有韌性的效果 * 所謂網路，要分兩個層面，內網可連？外網要連嗎？ * submarine cable map [link](https://www.submarinecablemap.com/)海纜全斷就沒有網際網路 * 如果一直無法連到國際上的網際網路，長期會有憑證問題 * 臺灣沒有 route DNS server，如果沒有連外網，根本沒多久就都不能連線。 ### 討論點 * FM/AM 這種傳統好用的工具，為即時可能是最好用的 * FM/AM 有給山岳搜救、ＳＯＳ的專用頻道 * FM/AM 的設計機制，機器能收就也能夠發送，所以是有可能雙向溝通的 * 目前的法規是需要跟 NCC 申請執照才能發送 FM/AM 訊號 * 衛星也可能用？ * 遠射程的強力指向式 wifi * 區域式的 mesh network，平日就可培養？ * 歐盟的 NGI fund. ### Tools * Scuttlebutt (Local Network) * Offline first * Multiple accounts * Local moderation * Manyver (for mobile) * Mastodon (twitter alternative) * Agregore browser (復古的 protocal) : 整合從古到今的 protocal，只要連得到都可以解析網站，可以一鍵保存到 Internet Archive! * Cabal Chat * Briar (Android) 藍芽/WIFI/Tor * Briidgefy (bluetooth) * Lora 實現遠距通訊 * NYC Mesh, freifunk.net * Collapse OS [link](http://collapseos.org/)(廢棄物組電腦) * Digital Democracy MAPEO (office map and mesh network) * zzz.i2p * biglyby ## 2022.11.17 資料信託 * Mozilla Festival 3/20-3/24，12/15 快去投稿 : https://ocf.tw/p/intldonate/ * [資料自主權風潮當道，衝擊多國政策，更開始吹進臺灣 ](https://www.ithome.com.tw/news/139395) * [日本資訊信託功能認定指引第二版](https://stli.iii.org.tw/article-detail.aspx?no=67&tp=5&d=8422) * [資策會的研究報告](https://ws.ndc.gov.tw/Download.ashx?u=LzAwMS9hZG1pbmlzdHJhdG9yLzEwL3JlbGZpbGUvMC8xMzYwMS8wZDk3YWQ0My04OTY4LTRkZTAtOTM0Zi1kZTY1YWYwZDZhNGQucGRm&n=6KuW6KGhMTgtMV8zLTIu5bCI6aGM5aCx5bCOX%2BingOWvn%2BWFiOmAsuWci%2BWuti5wZGY%3D&icon=..pdf) * [Data for Empowerment ](https://foundation.mozilla.org/en/data-futures-lab/data-for-empowerment/) * [Database of Initiatives | Alternative Data Governance in Practice](https://foundation.mozilla.org/en/data-futures-lab/data-for-empowerment/who-is-innovating-database-of-initiatives/) * [How Data Trusts May help Businesses Manage Data sharing](https://www.youtube.com/watch?v=b_GqfW8nT64) * 範例： * 健保資料（[違憲案](https://cons.judicial.gov.tw/docdata.aspx?fid=38&id=309956)）：給藥廠做研究，健保局做為資料的主體 * iPhone 的健康資料研究 * 集中保管所的[集保存摺](https://roo.cash/blog/stock-epassbook-introduction/) * 壽險公會的保險存摺 * MyData 的「授權模式」（銀行調額、貸款補件）(https://mydata.nat.gov.tw/) * 宏佳騰的 croxera 交通資料授權研究 * 金融聯合徵信中心的信用資料 * （日本）資料銀行 * 類似的商模： * 碳權交易 * 綠電憑證 * 能源信託 * 北市資料出售 * 相關技術 * [Solid Project](https://solidproject.org/) * [Fediverse](https://en.wikipedia.org/wiki/Fediverse) * [從個資「免費」到「付費」，淺談日本的資料銀行認定制度](https://www.bnext.com.tw/article/61017/free-pay-personal-information-japan) * iphone 的健康資料可以被學術單位拿去研究使用。（美國）蘋果公司即為資料信託的角色。 * 想像： * 我有沒有可能把自己的資料信託給我想要的團體？ 如：健康資料授權給病友會、賣給羅氏大藥廠？ * 企業本身其實也可以考慮成立「資料信託部門」，讓使用者可以更直接與企業建立資料授權關係，發展出分潤或回饋機制 * 參考 ShopBack * 困境：資料信託場景的前提之一，需要有 GDPR 國內法化 * 若能夠讓個人可以更容易主張自身資料權益，助於受委託的資料信託單位，向各企業機構洽談 * 專責機關都還沒出來！ * 未來的數位中介法要寫說我可以取得我的資料（或授權） * 個人資料保護法，沒有明確闡述資料信託，但條文看起來資料信託應該是沒有不行 * [個人資料保護法](https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021) * 資料信託，本身有許多應用層面，也可以促進資料治理與開放資料 * 資料信託其中一個效應面向，我覺得可以回應一些資料開放的課題。 * 例如面對較無動力導入資料分析與活用的公部門機構，使用者提出資料權，並將該機構內的個人資料，信託給資料信託單位，並應用於信託單位的應用計畫 * 主要是有些機關的開放資料政策很緩慢或很難推動，若能有 GDPR+資料信託 模式，向該機關主張我的資料拿來 ~ 我要信託給資料信託單位，並使用於各項應用計畫，可能會比目前用行政方式詢問資料能否釋出來的快&資料集內容更為完整，但就是能取得的資料數量，要靠認同者數量以及可信賴的資料信託單位，畢竟可能還是需要去識別化才適合應用 * 例如針對跨單位資料整合分析需求，各單位之間可能難以洽談出合作模式 * 但也是從使用者提出資料權，並將該機構內的個人資料信託給資料信託單位，並應用於跨單位整合應用情境中 * 不同領域的資料信託，可能會有很不一樣的推動情境 * 健保領域 * 至少在臺灣，相關模式逐漸明確 * 交通領域，個人旅運資料，分散在各種單位 * 例如個人轉乘資料，可能涉及捷運、計程車、共享運具..等 * 圖書領域 * 各類型圖書館借閱，電子書借閱，書籍出版品消費 * 數發部：我們管宇宙但不管個資。 ## 2022.10.12 有備無患，先掃再說？—— 簡訊實聯制的觀察與爭議 * 簡訊實聯制上線(2021/05/19)，上路44天後只調閱303筆調閱資料。 上路40天內發6億封簡訊，344天(2022/04/27)47.8億封簡訊。 最終調閱4282萬封簡訊。 * 實體實聯制容易造成個資外流，G0V的討論後發展而來。 * 一開始需要出公文調閱資料，且資料權限/持有者不明確，2021年8月有疫調平台，可以直接從公務機關的電腦調閱。 * 簡訊實聯制的資訊放在 NCC 的臉書粉專，並且用圖卡呈現，衛福部不持有資料，約一週發布一次但不固定 * 簡訊架構3億元標案是由NCC發包，但NCC否認自己是資料持有者。 * 台北通從來沒有公佈過實聯制收集的資料，但是台北通的疫調數據卻包含在1922役調查詢平台上。 * 簡訊實聯制參考筆記 https://infolaw.iias.sinica.edu.tw/?p=4981 ## 2022.9.22 從各國法令看數位中介服務法 * 今日講師：江雅綺 副教授 （現任國立臺灣海洋大學海洋法律與政策學院副教授、台灣法律科技協會理事長，專精於數位科技與智財法律，研究法律科技和社會的趨勢） * 介紹： - 數位中介法有什麼問題？ * 比較歐盟、 英國、台灣： - 英國有依照犯法程度分級 - 歐盟以使用者保護出發 - 台灣僅提「做出回應」，並未提到實際行為 - 台灣未對使用者者賦權。 - 所謂48小時回應有執行的困難。 - 非法、謠言或不實訊息的界定不明，業者又要配合加註警語 - 在大型平台上，難有威嚇的部分。 * DSA+DMA: 歐盟用於管理大型平台。 - 網路透明度（監理、演算法） - 百分之10 的使用者 - 最低消費者保護為條款 - ## 2022.8.13 莫乃光：全球數位威權趨勢對台灣的挑戰和機遇 * Special thanks to [FNF](https://www.freiheit.org/zh/taiwan) for co-organizing the event. * [前情提要大作](https://www.freiheit.org/zh/taiwan/yazhouzuixindewangjiwanglujishujuzhongxintaiwanchongmanqianli) * [簡報](https://www.slideshare.net/mok/ss-252566116) * Digital Authoritarian: 以科技手段控制人民 (監控、審查、假消息、政府客製法律) - 大量數據蒐集 (eg. 中國tiktok, 華為, Alipay)，而這些蒐集的數據去了哪裡 (劍橋分析) - Surveillance監察 - 臉部辨識，很多英國的攝影機都是made in china - End to End Encryption 內容加密 (如FB messager); 現在許多國家[嘗試立法](https://www.siliconrepublic.com/enterprise/five-eyes-india-japan-backdoors-end-to-end-encryption)讓企業來開後門，能取用這些內容用以犯罪偵查 > "China already requires companies to provide backdoors to government for public security or intelligence gathering" (來源請求?) - Censorship內容審查: 不只阻擋訊息更是防止團結 - 假消息 > [金融時報:中國假訊息撕裂台灣](https://www.ft.com/content/f22f1011-0630-462a-a21e-83bae4523da7) - 法律 (eg. 印尼要求需在國內註冊並受法律約束) - 數位威權正在撕裂全球網路 > [俄羅斯案例](https://www.nytimes.com/interactive/2022/08/09/technology/ukraine-internet-russia-censorship.html) * 網路基礎建設 (電纜以台灣取代香港) - 南海爭議對於海底電纜的影響 - 中國海軍在台灣東部太平洋海域的活動對海底電纜的影響，中國將南海地圖從九段線變成十段線（把台灣東岸圈入） - [馬祖海纜斷訊](https://www.upmedia.mg/news_info.php?Type=2&SerialNo=145122) * 台灣的優勢 - 亞洲第二自由 (94/100)，第一網路自由 (80/100) - 台灣國際參與 > 已加入網路聯盟宣言（A Declaration for the Future of the Internet）、數據交換協議，尚未加入印太經濟架構 * 對於台灣的[政策建議](https://opinion.cw.com.tw/blog/profile/515/article/12256) - 更數位化 (eg. 新加坡) * 公民社會如何保護台灣網路自由? - 專責機構的權責及其獨立性? - 境外數據的儲存及管轄問題? - 讓國際能關注? (eg. 翻譯) ## 2022.7.21 一鍵到國際 - 數位人權大會 6 日遊 工商服務時間：https://ocf.tw/p/intldonate/ * 2020 RigthsCon：OCF 報導 「[RightsCon (數位人權大會) 線上舉辦不缺席，全球串聯分享資安工具、最新議題、區域合作](https://lab.ocf.tw/2020/09/02/2020rightscon/)」 * 2019 RightsCon：[前進突尼西亞出訪紀錄](https://docs.google.com/document/d/1ojKKMW1hKmUgadBUP3JiaGuSRSF6Ton3XkkP1-w245Q/edit) * 2019 RightsCon：OCF [報導 1 ](https://docs.google.com/document/d/1pxEMk0t-RtJCo9gtutige2cTFoU2fYBN6ZQE3qm4lws/edit#heading=h.fltmp54ouujx)& [報導 2](https://lab.ocf.tw/2019/06/28/%e4%ba%ba%e5%b7%a5%e6%99%ba%e6%85%a7%e4%b8%bb%e5%b0%8e%e7%9a%84%e7%a4%be%e6%9c%83%ef%bc%8c%e6%88%91%e5%80%91%e4%bb%8d%e6%9c%89%e8%87%aa%e7%94%b1%e5%97%8e%ef%bc%9f2019-rightscon-%e6%95%b8%e4%bd%8d/) * 2018 RightsCon：[前進多倫多出訪紀錄](https://docs.google.com/document/d/1pxEMk0t-RtJCo9gtutige2cTFoU2fYBN6ZQE3qm4lws/edit#heading=h.fltmp54ouujx) * 2017 RightsCon：[前進布魯塞爾出訪紀錄](https://irvin.sto.tw/2017/06/rightscon-2017.html) * Ted 分享簡報：https://www.figma.com/proto/928udN3nFY4KjGfWpM6n1H/RightsCon'22-Sharing?node-id=1%3A2&scaling=contain&page-id=0%3A1 * Hitomi 簡報：https://docs.google.com/presentation/d/1rLQS8N-BS2W0x6gKQ7gNbe94T-Rd4Ri_lL09qSLr64U/edit?usp=sharing * OCF -Rights Con 2022 超精華筆記版 - 一次看完2022年趨勢： * 筆記 (8頁)：https://docs.google.com/document/d/1D-aqOBvFCDtmTHNPWDSvMJHGPYkO0_MnaZHiynV3_T0/edit?usp=sharing * 簡報 (輕鬆服用版)：https://docs.google.com/presentation/d/1hORQ6lYduGKQzDmCFj0WV5DPwtvTOSjqrT-p5WM8Us0/edit?usp=sharing ## 2022.6.16 丞相，起風了？近日的網軍與輿論探討 Ronny 分享： [**20201206 unconf 網路出征文化日益增強怎麼辦？@ g0v summit**](https://docs.google.com/presentation/d/1z1Iq2OYwD-44FT76rj5191KfWsg5xoB5tgsTXLz5uLU/edit#slide=id.p) Teemo 推薦電影： [**危機女王**](https://w.wiki/5J4j) 大家覺得手機驗證才能在八卦版發言，支持嗎？ 「支持與不支持大概各半」不支持者偏多一點 不確定能否確實防範假帳號，另方面也是一種言論自由的限制。 ### 八卦版 八卦版在選舉期間會提高發言者的門檻，例如用登入次數來限制。 各版一直都有這類限制發言門檻的措施。 ## 2022.5.19 數位發展部行不行？ * 開場：介紹網路自由小聚 和今日主題：數位發展部要掛牌開張了! * 分享講者：家碩 (認識、探討和一起想數位發展部) /資料來源：政府、新聞、公報 * 自我介紹：10秒 數位發展部說故事大賽! - 數位發展部 籌備進度：2020/05/20 總統就職宣誓至今，看似第二任開始的。其實承襲了很多之前政府的跨部會合作部分 和曾提過的綱領和小組 (DIGI+)，其實是已經有歷史化的框架。 - 願景工程基金會甚至做了調查來了解大家怎麼看數位發展部 - 政府談到數位發展部，其實都是單點去脈絡化來講，這樣對於民間參與很不利。 - 把數位當作一個整體來發展長期規劃，再脈絡之中，是缺乏的。但在這一任，「數位發展」開始被作為一個整體來看待國家發展項目之一，這也是現在是很大的不一樣。 - 郭耀煌：官僚體制的重整 /跨部會整合、資料整合及治理。現在因數發部提到更核心的位置。 * 數位轉型？轉什麼？ - 軟體及平台服務的發展、網路空間的影響力 - 結論：發展台灣的全球平台與治理模式 (參考歐盟的數位治理法) * 資料治理，治什麼？ - 政府把開放資料看作經濟價值和創造附加價值：政府可以售出資料賺錢/促進經濟發展；然而，開放資料本應該是開放政府的基礎，增加全民參與的基礎。 - 隱私和權益的問題，怎麼辦？ ex.健保資料庫、eID ；在數位發展部中，是比較看不到的 - 對政府資料的信任度也是關鍵 * 監理/數位沙盒： - 監理沙盒：為避免制度阻礙創新，開設實驗場：主要是金融科技、uber等 - 數位沙盒：延伸到公共服務，即是讓小群人來測試 * 大家覺得數位發展部是甚麼？ 資源回收部 / 大數據監控部 / 類比轉數位發展埠 / 電腦就是你部 / 開賣資料 / 數位發財部 * 對數位發展部的了解程度： - 日本([數位廳](https://zh.wikipedia.org/wiki/%E6%95%B8%E4%BD%8D%E5%BB%B3))、歐盟都有數發部：但台灣主要學歐盟 - 特別介紹 愛沙尼亞的[案例](https://eid.hsiaoa.tw/estonian-x-road/ai-sha-ni-ya-shu-wei-zheng-fu-jie-shao) - X-Road 現在歸 Nordic Institute for Interoperability Solutions (NIIS) 管，好像是個 NPO ？ - X-Road [repo](https://github.com/nordic-institute/X-Road) - X-Road [training](https://x-road.thinkific.com/) - 國際案例蒐集 https://g0v.hackmd.io/@jothon/moda/ * 業務需要公眾關注： - 政府很多紙本及分別作業，無法有更多資料公開和給大眾使用 - 智慧政府：若要做統整，是否應該從政府層級來思考，而不是個別部會層級思考。為了便利更可能犧牲隱私。 - 政府主要目標是賣資料，但期待的是資料再利用在更好政策。 - 科學園區跟工業園區分開來管理 - 科技部/國發會：數發部不要再重導覆轍 - 數位發展部：網路費很貴，傳輸費下降是否可能達成。軟體開發可否已與國外合作來達成 - 數位平權在 NCC: [NCC將結合各部會及民間力量推動「邁向數位平權推動計畫」，打造數位共享環境，提升民眾數位學習與數位能力](https://www.ncc.gov.tw/chinese/news_detail.aspx?site_content_sn=8&sn_f=42465) * 資料更「開放」？ - 目前政府以「加值應用」aka 有可見的短期價格/產值做為推動開放資料推動的目標，但 OCF 推動開放資料期待的是資料治理、政策公開以及資料的廣泛再利用。 - 個資保護好像要另外成立第三方專責機關應對 GDPR - 電子政府的問題：到底要開放什麼資料一直不是很清楚，因此討論很碎段。政府單位很多處理還在紙本，但是還沒有數位化過程的改進，數位發展/資訊化的改造都沒有往更上位/正確的方向運作。 - 政府大多都是想像出來民眾的需求，而非真的建立實際的開放資料。這樣也導致有人來要買，感覺很重要，也使得這個困境不斷加劇循環 (還可以開賣資料)。這也與在業界觀察一致 - 補充：資料申請小幫手 的專案共筆 https://g0v.hackmd.io/@chewei/dataopener/ * 還缺了甚麼？ - 兵馬、公眾參與、被認識、與現實接軌、宣傳部們、大內外宣、營造信任、快快HIRE小編、更清楚的架構和會做的事情、透明骨架 - 簡單來說，就是缺乏信任、也架構不清 - 實名 實聯 傻傻分不清楚 * 願景 - 數位發展部的終極目標應該是要消滅自己XD 因為未來數位應該是一件很普遍的事.... - 全民數位能力提升、把別人不要的變成搶手貨、全民NFT(兼做e ID) - 私心希望數位發展部能把公文系統列為需要支持的項目，改善公文系統的開發環境 (公文的「數位簽章」+1 ) - 數位發展部應該要到民間延攬高手，月薪要至少比台積電好 - Youtubers 協助官宣 - 軟體人才: 烏克蘭怎麼養出各種 SaaS 服務公司的？ - [烏克蘭民主改革（上）：在貪腐國度裡，用大數據打開政府賬房](https://theinitium.com/article/20171024-tech-Ukraine-ProZorro-1/) - [烏克蘭民主改革 (下)：「雜牌軍」聯盟，不在開放政府路上舉白旗](https://g0v.news/%E7%83%8F%E5%85%8B%E8%98%AD%E6%B0%91%E4%B8%BB%E6%94%B9%E9%9D%A9-%E4%B8%8B-%E9%9B%9C%E7%89%8C%E8%BB%8D-%E8%81%AF%E7%9B%9F-%E4%B8%8D%E5%9C%A8%E9%96%8B%E6%94%BE%E6%94%BF%E5%BA%9C%E8%B7%AF%E4%B8%8A%E8%88%89%E7%99%BD%E6%97%97-a5229afa2121) - 目前看到的，都還是與產業相關 - 網路自由：不見得是覺得需要管的，但後續有人喊就會慢慢來有了出來 - 人才使用/聘用問題：很多機關單位（包含公司）都有類似的困境：沒有某某專業能力 -> 找不到真正專業的人 -> 怕被騙 -> 找顧問 -> 沒有某某專業能力 -> 找不到真正專業的顧問 -> .... 。或是，資策會開個缺，徵人之後借調去部裡面。人才若沒有台積電薪水和好好使用，跟以前一樣。 - 目前好像沒有針對 cyberspace 的比較妥善的管理邏輯？（就....「屬地」主義的邏輯感覺不太合理...） - 公務體系的數位教育 * 更多數發部追蹤: 1. HackMD https://g0v.hackmd.io/@jothon/moda/ 2. Slack: #moda * 補資料：《數位發展部》掌理的十大事項，包括國家數位發展政策的規劃、協調、推動、審議與法規擬訂及執行；通訊傳播與數位資源的整體規劃、推動及管理；數位科技應用與創新發展環境的建構及人才培育，以及國家資通安全政策、法規、重大計畫與資源分配等相關事項的擬訂、指導及監督；政府資訊、資安人才職能基準的規劃、推動及管理等事項。 * QA:請問會有OPT OUT選項嗎？ 如果有國民不想讓自己的個資被蒐集、使用等等，可以完全退出嗎?? 例如 刪掉資料或一開始就不要蒐集那位國民的資料。 ... 至少死亡時可以 刪光光?? - 目前還不行，台灣的拒絕權很窄。只有行銷是一定可以opt-out - 隱私保障該不該歸數發部？ 目前是說不應該，會是另外的監管單位。另外，歸誰管，沒有人知道 ## 2022.4.21 香港現況：安心出行與 DNS 封鎖 - by Hongkonger DNS 篡改 - 香港互聯網服務商的 DNS 伺服器傳回 127.0.0.1 - 06-01-2021: 香港編年史 HKChronicles - 15-02-2021: 香港監察 Hong Kong Watch (英國) (E, C) - 18-06-2021: 2021香港約章 (2021 Hong Kong Charter) - 5-2021 to 6-2021: 要求 Wix 移除, 後來 Wix 回復網頁及道歉。 (E, C) - 香港國安法在海外（地球上任何一個地方）也有效。 - 解決方法 1: 用 Google, Cloudflare 或其它公共 DNS 伺服器。 - 暫時沒封。 - 解決方法 2: 用自建 DNS 伺服器。 其他懷疑封網： - 13-02-2021: 台灣「促進轉型正義委員會」 - 24-04-2021: 台灣基督長老教會 - 方式：例如，網絡路由？ “安心出行” 接觸追蹤手機程式 - 用程式掃描餐廳、商場、其他場所的 QR 二維碼 - 必需掃描才能進入場所 - 記錄只儲存在手機內 - 最新版本增設功能： - 儲存及顯示你的疫苗接種紀錄 QR 二維碼，餐廳和場所掃描你的二維碼才能進入。 - 場所手機以加密方式儲存你的疫苗接種紀錄。當需要時，政府可解密取的資料。 - 可選擇連接香港健康碼（港康碼），可傳資料到廣東省健康碼系統（ 粵康碼）。 政府在 Facebook 回應開放原始碼的要求： - 一知半解的網上言論. - Google Apple Exposure Notification (GAEN) 不是開放源碼. - 保護大學團隊的知識產權 (App使用的其中一個程式庫 ). - 開放源碼構成用家記錄數據的資訊安全風險 . - 需要宣傳開放源碼，但不是萬能匙 . - 沒有標準的 reproducible builds 方法. - 盡量公開部份 "安心出行” 的技術規格. QA - Hinet peering fee https://www.cht.com.tw/zh-tw/home/cht/messages/2021/msg-210331-170000 - we can run OONI locally to check for blockage, https://ooni.org/ - cloudflare: https://blog.cloudflare.com/bandwidth-costs-around-the-world/ Last chapter (Six Expensive Networks) - example data of hk https://explorer.ooni.org/chart/mat?probe_cc=HK&test_name=web_connectivity&since=2022-01-22&until=2022-04-22&axis_x=measurement_start_day - Taiwan is going to ease the restriction for hk tech people to stay in taiwan on May, latest news from today https://www.cna.com.tw/news/acn/202204210335.aspx - 等簡訊實連制退場 + 確診人數繼續上升，台灣可能也會要求禁入市內場所或特定場所時出示社交距離app - AI Lab open source issue https://github.com/ailabstw/social-distancing/issues/1 - 香港的資安學習資源 https://vxcon.hk/ ## 2022.3.23 性別專場 - 大人的性別平權 ### 紀錄/共筆 > [name=weichen] HF: 開場/介紹網路自由小聚/介紹OCF&自己 WW: 介紹自己/大致勾勒今天活動的談話大綱/活動提醒 HF: 現場聽眾自我介紹 WW: 是否看過性作品? 你腦中浮現的是? 網路上的A片、漫畫/同人誌,etc. "性與影像"的例子，光碟、雜誌、漫畫等等。 光華商場還是有在販售這些東西，數位落差還是存在，需求也需要被滿足。這些東西都和影像相關，色情或情色都是仰賴著影像的傳遞。 但哪一個才是性影像? 安迪沃荷的"Oral Sex"影像 vs 走秀照片 要有人(不一定?)、要有裸體，有身體的裸露，sex/sextual，要有情慾的產生。 安迪沃荷的作品"Oral Sex"未有裸露，但以特寫表現出相當情色的氛圍。 > [name=Ethen Tso]不一定要有人的存在，例如 [天花板與地板](https://www.plurk.com/p/a6gnhw) / [抹布本](https://www.doujin.com.tw/books/info/40624) > [name=Ethen Tso]情慾的產生是高度主觀的 >[name=weichen] 女性主義對「色情」的辯論：色情與情色 雜誌 attitude v.s. lesbian lovers / 男同聖經 v.s. 物化女性的異男刊物 (無法以雜誌外觀知道內容到底為何) - 色情或是性影像是難以定義的，是相當主觀的 - 從宰制的觀點切入，女性主義者就會對於色情/情色有了歧異。[麥金儂女士](https://w.wiki/4$7c)(Catharine A. MacKinnon, who 奠定美國性別運動論述的基調)：任何對少數群體宰制的影像，它都是「色情」，因為它重製了壓迫觀。色情無關情慾，而是關乎於壓迫，我們應該要禁絕它。 - 同時也有反面論述，「宰制」這點也是相當有脈絡性的，女性是否在性的脈絡下宰制男性?有可能。 - 高社會位置的女性自願拍A片 -> 自我展示、自我賦權。麥金農的觀點反而是過於保守的。性言論也是一種言論。 「色情」的內涵如何被定義，也就影響到了色情內容的處置：禁絕 v.s. 自由 -> 分類 + 管制 然而，有一些性影像是絕對要管制、禁絕的。 - 未經同意的性影像:含有強暴脅迫犯罪傷害內容的性影像 - 無法同意的性影像:兒少性交的影像 - 未經同意:偷拍、重製、轉載、散佈，並/或從中獲利 -> 即 性剝削影像 傳統性剝削影像與網路性剝削有何差異? - 超越時空的限制 - 傳散的各種成本降低，散佈的更快更廣。反之，獲利的更快更容易 - 獲得管道更多元，速度也更快 - 製作人生產 v.s. 使用者生產 (商業模式轉變，門檻下降) e.g., 加州成人影像產業 v.s. Mia halifa 等素人製作 - 更分散、更隱蔽、更難以察覺、更難以隔絕 - 管制更困難：管轄權 + 複數加害人(分享下載都算加害手段) -> 很難抓、要抓也會抓一大堆 - 新型態平台出現 e.g., PornHub 網路平台上的性剝削影像：網路平台的分類、商業模式與性剝削影像的管制息息相關 - 社交平台: 檢舉+審查 e.g., Facebook、IG、Twiiter - 專門娛樂平台: 以Swag、 Onlyfans為例：分潤模式不同,像OF是82對拆(創作者拿8),扣除這些OF還是大量獲利。 - 提供服務內容: 上傳/直播/群聊互動 - 獲利模式: 打賞或點擊 - 支付方式: 間接支付(點數、鑽石等等)或直接支付(信用卡付費) **現場有前Swag員工、現OnlyFans員工，讚讚。** 我們要如何管制? 如何處理? - 歐盟「數位服務法 Digital Service Act」第24b條 針對「網路成人娛樂平台」要求：身分查核與雙驗證系統/平台須建構內部審查機制(設專人而非AI)/直接通報與快速下架機制 - OnlyFans案例: 啟動換約機制，排除自身查核風險/投資人最大 -> 宣布全面下架性剝削影像、身分驗證、內容分析、啟動使用期限/區分「色情」與「成人影像」 挑戰 - 境外伺服器 - 支付模式轉變(貨幣虛擬化/去中心化) 機會 - 全球法規調和與管轄互助 - 科技阻絕 - 建立吹哨者機制 - 教育、對成人性影像的正確理解 - 金融交易管控 #### 現場 QA 及討論 HF: BL是反向的女性凝視，它虛構了男性情色內容。以同人誌來說，儘管身為異性戀女性是被身處在被男性凝視的框架，但同人誌/BL開拓了一個反向凝視男性的方式，同時也不會剝削到他人。 WW: 我想這不是個議題，而是一個評論。非常感謝。從古典女性主義的角度，當沒有涉及真實人類的各種影像的產製，它又是一個想像的作品，但這樣的自由有沒有外部性? e.g., 電玩會不會讓人暴力? 我樂見次文化的主流化，但或許內涵上還是要小心的地方? 我很立即的回應是如此。但從女性主義的角度來說，我們常常會只把一項關注focus在女性身上，然而議題往往不只如此，它也不該影響到LGBTQ群體。 HF: 性暴力是權力的議題，不是性的議題。 女性是弱勢/兒少是弱勢，他們沒有發生的權利，才會在這樣的宰制情境之中。 也因此，這當然也有反轉的方式，像剛剛提到的富豪的女兒。 回到這邊，近期台灣有在討論性私密影像外流的法制化，透過鎖IP的方式去阻絕國內使用者接觸這些成人內容。 鎖IP也會限縮了網路自由，例如單一網域的封鎖，會不會阻斷言論/造成另外的數位落差。 WW: 想管無法管 / 管了侵害更多，這是個很弔詭的情境。 我們可能需要的是一個框架，在一定的限度裡面去管制，可能會比直接訴諸極端手段來得合理。 對婦女新知來說，我們也還在一個研擬的階段。我想這是個困難的議題。 發言者1: 這個議題其實對女性來說是很隱私的，心情比較複雜。我的提問是：聽完這個講座之後我們可以做甚麼事情? 像我個人會採取的是不去看、不支持，不知道大家是如何。 WW: 我可以理解，消費者或說被消費者，是如此的絕望。然而，先意識到這樣是要被譴責的事情，是很初步但重要的開端。我們在看到這些影像的時候要有一些意識/覺察，有一點點的剝削時，你需要去知道。 把這件事情說出來它基本就是一種賦權，我們需要去談、去說，讓大家更加知道。 發言者2: 很多年前有女性主義的色情片運動，這是不是一個契機?一個不會剝削的可能?還有沒有哪些草根運動可以帶來希望? WW: 女性主義色情片運動是指情慾影像的產製以LGBTQ或女性導向，以女性擔任導演，不會再有物化、宰制的橋段。我個人是滿傾向支持。女性主義就是在主張女向的「參與」。但A片工業就是市場取向的，很多的觀眾是異男，產製過程也多為男性，所以還是少數。但我覺得這樣慢慢多元的過程，我是很樂見的。 女性Porn 那畫面之唯美，至少我不會看到悲傷流淚。 發言者2: 歐盟那個是上而下，有沒有下而上的案例? WW: 我們今天的活動就是這樣一類。古典一點，如果影像都是言論表達，那出現很GY的母豬教的言論出現時，我們有沒有人出來制止?當然有。所以言論自由其實就是多元的制衡，當代如此分眾、那麼多同溫層，我們就需要更用力說出來。 HF: 性勞推，他們是一群性產業工作者，以他們的角度推動這類的倡議。 WW: 感謝補充，以女性主義者來說，女性主義與勞動權益絕對高度相關，女性主義一開始就是從爭取勞動開始的。性勞推當然也是關乎於這樣的倡議，草根性力量當然高度相關。 發言者3: 最近東歐的選舉就有人說要反對色情，他們認為LGBTQ也色情，也反LGBTQ社群。所以剛剛看到歐盟，那個專業人員到底會是誰? FB 也有點這樣。 WW: 秀怡或許也可以分享，我講一個相關的。台灣最近在推優生保健法/生育保健法，裡面很妙的是需要一個民間代表，但很有趣的是民間代表會有萌萌，很荒謬。但歐盟的例子未必會這樣。 我這邊要diss一下女性主義者。麥金農當然是一個優秀的倡議者，但他的論述是很保守的。他的論述踩下去的話，其他人呢? LGBTQ+ 群體的人就被落掉了。女性主義者與其他的少數群體的關係該如何? 最近的免術換證，你支持跨女的話會被說沒有保護女性，但你不支持跨女的話，又會有"為何"不和我們站在一起?" 發言者3: 人群想像本來就很困難，我們其實很難從外面去介入法律代表的抉擇。歐盟會如何?是選一個群體還是..? WW: 有一種模式，台灣常有OOXX師法，讓大家可以相信專業人員的自律能力。可不可以期待說未來有這樣能力的專業人員出現? 可以想想看。 HF: 女性主義者不會只有一種人、一種聲音。 WW: 多樣性就是網路和女性主義的美。 發言者4: 就今天的主題來講，我自己的工作經驗來講，原創性的性剝削其實是比較少的，大部分都是因為涉及到利益。性剝削不單是性剝削，還有勞動權益的問題。SWAG 抽成大概...最好的頂多三成，所以其實很剝削創作者。SWAG花費很高來經營，但女主播可能自己的社會位置、個人能力其實不高，加上合約不透明，所以這樣的剝削是很常見的，很像血汗工廠。會有經紀人對經紀人，強迫他勞動，不然會有法律或經濟的懲罰。 WW: SWAG的合約一直在改，根本不合法。會讓公司有永久和專斷的權利，很可怕。 發言者4: 換到OF之後，分潤模式差別很大，很多人都從SWAG跳過來。變得很像我們在和SWAG抗衡，我們都不願去主動拉人過來，但不排斥對方主動過來。也因為我們來競爭了，SWAG的合約就越來越可怕，禁止雙棲，會主動抓女主播犯規等等，動不動就違約金上百萬，都是惡法，用恐懼來影響勞動，賣身契約一簽再簽。 WW: 感謝告訴我們這些，這是重要的，性的商業驅動有時候看似自由，但多數時候還是因為利益變得很剝削。和個人的社經地位、能力都有關係。 第一個可以去看報導者的SWAG報導，SWAG有個問題是他有長片的約，女性拍A片上傳讓人下載獲利，但絕對比不上女主播打賞識的互動模式，也因此有了另外的騷擾出現，像SWAG會對簽片約的人說"你要來當主播曝光促銷"，這就是一種剝削，公司大量獲利但產業勞動者未必想要這樣，情緒勞動 + 性影像外露，還要被仇恨言論轟炸，整體來說是很可怕的。 所以這些平台是帶來解放嗎? 我實在不太敢這樣說。 發言者5: 確實我們聽到大型公司的剝削、性影像的侵害，但換個角度，為何這些東西那麼受歡迎? 核心還是缺乏權利的問題。如果我們都可以透過自己喜歡的方式展示、取用，像開源那樣不用受到侷限，如果法律和社會不再汙名化性，是不是就可以避開這些大型企業的剝削? WW: OF 就是想讓它回歸到不要那麼剝削的脈絡。對吧? 發言者6: OF 就是想讓內容創作者可以掌握自己的作品，可以自由展示自己。像我看到一些第三性或是其他的LGBTQ+的創作者在上面，我就很希望去保護他們的金流。但歸根究柢還是建議做自己的網站，不再被平台綁住。不用再被法律或合約處理。 WW: 性為何禁忌? 那就是因為要偷偷摸摸地做。如果有天我們就像動物那樣，這樣還會有禁忌嗎? 我想說的是，對性的管制，我還是會覺得有部分母湯的要管制，但有些還是管太多了。往往是連接到對於性的羞恥感。但我們每一代都會有新的突破。 秀怡: 商業平台上有很多機制，但有很多散佈不是透過平台，有時候是封閉式社群的散佈，很難被人知曉，這樣如何處理? 第二，歐盟說要有性別意識的人來篩選，但影像製作完就脫離它的脈絡了，我們何以知道那個同意是不是同意? WW: 第二題來說，在法律上永遠有個大補丸、萬靈丹叫作"比例原則"。歐盟法律有說在作審查的時候你需要有風險評估、依照比例原則處理下架。至少有這樣的要件來去維護一定的效益。確實會有不足的地方，但來需要觀察，看如何補完法律規範。 第一題來說，在私密社團裡面散佈而沒有產生外部性，這法律有沒有辦法追訴? 我覺得有可能無法，難的地方就在這。 下架權/被遺忘權絕對是必要的。但台灣脈絡還是只能從刑法脈絡，我覺得過於笨重。性自主的剝削等等，雖然有法可告，但沒有解決我們想解決的問題，就是已經被偷拍已經被侵害的女性權益。所以我不知道，我比較緊張於此。 發言者4: 吳夢夢之前有說要抓外流者，他沒辦法下架但他要求賠償，後來他贏了。 WW: 有個很有趣的，像是 AI Deepfake 的著作權是誰的? 剛剛你提的也是一個類似的，我們可能在法律上找一個結果，像是下架之後是賠償，所以法律往往都是金錢的部分，精神賠償還有價碼表。講回來夢夢那個案例，那完全就是他的著作權。 發言者4: 更重要的是，讓檢察官認定說這些東西是有著作權的。 WW: 對，這是一個新的開創，過去常常認為這些事不值得保護的。我覺得這個很好。 但我們剛剛談的是，這種性藝術者、專業者以外的，受到偷拍的、非自願者，他們受到金錢賠償後應該也無助於他們的心理。 其實很多時候關鍵在於這個影像跟人的連結，性產業工作者被連結在一起的時候，他可能是有益的，可以接受的；但很多女性是非自願的，這樣的連結會傷害到他們。我想這個議題是這樣的。 HF: 抱歉今天必須結束在這邊。許多討論都很有意義! 感謝大家來，謝謝。 ## 2022.3.12 The Social Dilemma 放映會 + 映後座談 - 3/12 (六) 14:00~16:30 - 華山光點電影院 2 廳 A Two - KKTIX 報名 https://ocftw.kktix.cc/events/internetfreedom-screening Q1. fb控制 建議可以從手機上刪除Facebook，情緒會比較穩定 國台辦與外交部不同觀點 Q2. 過去的時代，透過報紙電視一樣可以做到認知的灌輸，那麼與現今的工具又有何差異？ 現今工具可以做到精準投放，並且大量的灌輸 Q3. 在眾說紛紜的時代，我們應該相信誰？ 3/3全台大停電：可能並不是一個二分法 真假不是最重要的問題，是因為看到這些訊息對我們產生了一些危害 Q4. ### 討論用連結（請放映室同仁先打開備用） > [name=chihao] 1. https://www.twreporter.org/a/russia-ukraine-war-2022-information-warfare 2. https://iorg.tw/da/21 3. https://iorg.tw/da/22 4. https://www.reuters.com/technology/meta-pauses-new-users-joining-analytics-tool-crowdtangle-2022-01-29/ 5. ## （會前討論）2022.3.12 The Social Dilemma 放映會 ### 活動資訊： - 3/12 (六) 14:00~16:30 - 華山光點電影院 2 廳 A Two - Side Chat: 劉致昕、OCF -- 致昕：國際社交平台操控實例分享、如何避免、這兩年新出的臉書內部爆料 -- OCF：倡議目標 - 合辦：開放文化基金會、MozTW、加拿大駐台北貿易辦事處、台南新芽 ### RUNDOWN - 14:10~15:44 The Social Dilemma（英語發音中文字幕）(94 分) - 15:44~16:00 Bonus Clip（英語發音無字幕） (10 分) - 16:00~16:30 Side Chat with 劉致昕、OCF、MozTW ### 現場工作 - 場佈 (13:00) - 報到 - 後台控制電腦操作（需對講機） - 現場場務（時間控制、觀眾問題、突發狀況）（需對講機） ### 標題 - 《智能社會：進退兩難》電影放映＆映後座談 w/ 劉致昕 - 越算越怒的社群媒體演算法 ### 文案 【3 月 12 日放映紀錄片《The Social Dilemma》及映後座談 w/ 劉致昕】 2020 年 Netflix 推出了震撼全球的紀錄片《智能社會：進退兩難》(The Social Dilemma)，讓大家一次看透社群媒體平台演算法如何操控使用者，也引發大規模討論，但兩年過後呢？更多的內部爆料顯示，商業使用的演算法似乎讓人越算越怒、越偏激？ 紀錄片裡面清楚揭示”免費“社群媒體平台，如何用演算法吸引你的關注、累積你的情緒並推送特定片段資訊。社群公司（ex. 臉書）獲得了使用者黏著度，而花錢的廣告客戶也成功將他們的訊息送進你腦海，更糟的是，推送的可能是政治立場或極端言論。 3 月 12 日，請和我們一起觀賞這部至今仍然延燒全球的 Netflix 公播紀錄片《智能社會：進退兩難》(The Social Dilemma)，並在映後與剖析全球資訊操控《真相製造》一書的作者**劉致昕**一起討論不同國家的真實案例，從吹哨者提供的文件理解網路巨頭內部決策觀點、看見最新揭露的演算法內幕，以及在採訪不同國家時他看到的可能解方與回應之道。 時間：2022 年 3 月 12 日（六）pm 14:00 - 16:30 地點：華山光點戲院 2 廳 A Two 費用：免費！但請務必填妥報名表單，完成報名才能入場。 疫情期間，請配戴口罩參與。身體不適者請在家 Netflix & Chill 。 ## 2022.1 月小聚：停下臉部辨識的失速列車 - 用在哪？怎麼用？ * 活動頁面：https://ocftw.kktix.cc/events/internetfreedom-jan2022 * 簡報：https://hackmd.io/@moztw/internetfreedom-jan2022-stealingurfeelings * 互動式臉部情緒辨識影片：https://stealingurfeelin.gs/ * 推薦延伸閱讀書籍： > - 被科技綁架的智慧城市 > - 數位時代的人權思辨 > - 監控資本主義時代 ## （會前討論）2022.1 月小聚：臉部辨識 > [name=Lulu Keng] 以下為此活動文案擬定和會議討論，並非本場次現場分享文稿 （因為 kktix 上架時這個 hackmd 連結也會公開，怕大家誤會因此特別加這段） ### 活動資訊 - 活動時間：1/20 (四) 19:30~21:30 - 活動名稱：停下臉部辨識的失速列車 - 用在哪？怎麼用？ - 活動地點：左轉有書（台北市中正區鎮江街 3-1 號） - 主持人：開放文化基金會 - Lulu - 講者： - 台灣人權促進會 - 周冠汝 - 國際特赦組織台灣分會 - Brian - MozTW - Irvin ### RUNDOWN - 主持人開場 (5min) - MozTW 社群 - Irvin (15min) - 介紹互動式影片 [Stealing ur feelings](https://stealingurfeelin.gs/) - 簡報 https://hackmd.io/@moztw/internetfreedom-jan2022-stealingurfeelings - 台灣人權促進會 - 冠汝 (15min) - 目前所知台灣的使用臉部辨識使用情況、國外事件（clearview ai) 與立法禁止狀況。 - 國際特赦組織台灣分會 - Brian Lin (15min) - 為什麼要倡議禁止。 - 討論時間 (40min) - 結語 (20min) - 散場 (10min) ### 12/22 討論會記錄 （會議主旨：決定一月小聚的主題與形式） - (認知作戰、網軍、資訊操弄 --> 民主實驗室 - (新手資安教學 - CSCS 共用講義之外的？ - 疑似受到攻擊時該提供什麼？哪裡的 log? - (雲端資安 - (臉部偵測 - - 冠汝：中小學臉部辨識、戶政、監獄、標案：美國對企業的辨識設備調查，辨識臉部但沒有個人資料就合法嗎？加拿大ＯＯＯ有給出建議、跟國外組織連署 ban 可能太激進，退一步公共場所公部門要先禁止？ - Grace: 車牌辨識、監視器、ban scan, transparency, alternative? - 技術：要懂 AI 的人 demo mozilla 影片 - 台灣沒有相關單位或研究：人工智能版主 jason - Mozilla 贊助的臉部辨識 demo 互動影片 - https://stealingurfeelin.gs/ - (疫情監控 - AI - (健保資料庫，個資法釋憲 - 台權 - Pellaeon: RSS --> 如何跳脫演算法？ (分散式平台) information distribution 台權 - ED: Airtag - https://www.facebook.com/159425621565/posts/10158311521556566/ - Irvin: 科偵法 手機解鎖辦案 - https://www.mirrormedia.mg/story/20211206inv017/ - Claire: 數字人民幣 - https://www.freiheit.org/taiwan/crypto-rmb-finance-innovation-or-new-tool-control - https://zh.wikipedia.org/zh-tw/%E6%95%B0%E5%AD%97%E4%BA%BA%E6%B0%91%E5%B8%81 - 外洩的雲端監視器畫面是否也成為人臉辨識來源 http://www.insecam.org/en/bycountry/TW/?page=1 - 過去主題：https://ocf.tw/p/issues/2021/coffeeandcircumvention.htm ## 2021.12 月小聚: 兒童保護掃描之下的雲端硬碟隱私與安全 - 蘋果偵測 CSAM 的相關計畫可能導致資料濫用及隱私侵害 - https://lab.ocf.tw/2021/09/29/apples-plan-to-think-different-about-encryption-opens-a-backdoor-to-your-private-life/ - 蘋果的掃描資料計畫 / 審查政權蠢蠢欲動 你鋪了路，他們就來了：蘋果為全球言論監控與審查開啟了一扇後門 - https://lab.ocf.tw/2021/09/29/if-you-build-it-they-will-come-apple-has-opened-the-backdoor-to-increased-surveillance-and-censorship-around-the-world/ - Why Adding Client-Side Scanning Breaks End-To-End Encryption - https://www.eff.org/deeplinks/2019/11/why-adding-client-side-scanning-breaks-end-end-encryption - Apple's Plan to "Think Different" About Encryption Opens a Backdoor to Your Private Life - https://www.eff.org/deeplinks/2021/08/apples-plan-think-different-about-encryption-opens-backdoor-your-private-life - Apple Removes All References to Controversial CSAM Scanning Feature From Its Child Safety Webpage [Updated] - https://www.macrumors.com/2021/12/15/apple-nixes-csam-references-website/ - Apple scrubs controversial CSAM detection feature from webpage but says plans haven’t changed - https://www.theverge.com/2021/12/15/22837631/apple-csam-detection-child-safety-feature-webpage-removal-delay - OneDrive用戶儲存兒童色情照遭微軟檢舉被警方逮捕 - https://www.ithome.com.tw/news/89994 ## 2021.11 月小聚: GFWatch: 中國防火長城 DNS 審查與監控的測量平台 2021.11 月小聚：GFWatch: 中國防火長城 DNS 審查與監控的測量平台 A Longitudinal Measurement Platform Built to Monitor China’s DNS Censorship at Scale - The Great Firewall 已經存在超過 20 年 - <https://www.wired.com/1997/06/china-3/> - 中國防火長城使用不同的技術來達成其審查 - DNS Tampering - 透過竄改域名與 IP 對應紀錄，讓使用者無法連線到真正的網站。 - SNI-based blocking - IP blocking - Keyword filtering - Active probing - 甚至有備援系統在主系統無法正常運作時派上其用場 - 防火長城甚至會影響中國境外的使用者 - 測量防火長城的影響程度 - 目標 - 有多少被審查的域名？ - 有多少被偽造的 IP 地址？ - 對全球網路的影響程度有多大？ - 如何有效偵測並繞過防火長城的審查？ - 此測量系統的需求 - 盡可能偵測越多被審查或被偽造的 IP 地址 - 測試網路上新的域名 - 持續追蹤域名被封鎖和解封鎖的時間點 - 我們如何設計這個測量系統 - 被誤殺的域名們 (Over-blocked domains) - <https://gfwatch.org/censored_domains> - 正規表達式的阻擋方式誤殺許多網站 - 例如： `*torproject.org` 阻擋 <https://www.torproject.org/> 相關的網站 - 但像 <https://mentorproject.org/> 這個無辜的網站就一起被阻擋了 - 我們發現總共有 41,000 左右的無辜域名被誤殺 - 甚至連[國際化域名](https://en.wikipedia.org/wiki/Internationalized_domain_name)都被套用了這個規則 - 其他被阻擋的域名們 - 跟 COVID-19 相關的域名 - 因為這些網站責怪中國是 COVID-19 的禍源 - 跟新疆報導相關的域名 - csis.org, aei.org, icsin.org - languagelog.idc.upenn.edu - pori.hk, soas.ac.uk - scratch.mit.edu, cs.colorado.edu - 有網站因為有中華民國旗而被阻擋 - 即便中國境內有數以百萬計的學童透過這些網站學習 - 阻擋跟新疆人權相關內容的域名 - 販售維吾爾族相關商品到海外的網站被阻擋 - 但中國同一時間卻沒阻擋像 storenvy.com 這類在美國登記但實際上背後是阿里巴巴的電商平台 - 阻擋跟香港民主運動相關的域名 - 法國知名影展坎城影展，在今年(2021)因為放映反送中紀錄片而被阻擋 - 最後當然就是台灣相關的域名 - .tw 域名就在防火長城的封鎖名單裡面 - 新的 .tw 域名也會被定期加入封鎖清單裡面 - 防火長城也被用來阻擋中國境內的網站 - 而且不是普通的網站，是中國境內自己的政府網站 - `www[.]beian[.]gov[.]cn` - beian => 備案 - 去查了以後發現這是在中國網站境內登記備案才能合法營運網站的申請地 - 從 2020.08 就封鎖至今 (2021.11) - 最後我們找到可能的理由是，中國想阻擋中國境外的流量訪問該網站，只能從中國境內才能正常訪問網站。推測是中國政府期望如果你想在中國備案網站的話，你就必須得在中國境內登記，不能從境外登記。 - 以上不是唯一案例，我們有發現大概 61,800 個網域也有類似的問題 - 公開 DNS 解析器快取被污染 (Public DNS resolvers' cache pollution) - 包含 Google, CloudFlare, OpenNIC, FreeDNS, Yandex - 這代表防火長城不只影響中國境內的人，也影響世界上其他使用網路的人。 - 所以我們覺得有必要清除這些被防火長城污染的 DNS 紀錄 - 防火長城根據地理位置進行阻擋對全球造成的影響 (Global impact of GFW's geo-blocking) - 透過 Wayback Machine (https://archive.org/web/) 發現這些防火長城根據使用者的地理位置回覆不同 IP 地址的網站，備份下來的歷史版本會因此被影響，出現被阻擋的頁面，無法看到真實的內容。 - The not-so-great Firewall - 2021/06/16 的時候發現台灣知名的食譜網站 icook.tw 被防火長城封鎖 - 講者在推特上發推說明這件事後，在 2021/06/27 發現被解封了 - 推測可能跟台灣鳳梨出口遭中國抵制的事件有關，因為食譜內有出現鳳梨，也有可能是網站上出現被禁的內容，之後移除了，但無法確定。 - jawapos.com 這個印度新聞網站被阻擋 - 講者聯絡該網站的人說明這件事，但對方表示不明白為何被封鎖。 - 講者研究後推測可能是被當作日本色情網站，因為其網址有 ja, po，而且當天有許多色情網站被阻擋。 - Q&A - Q:請問有研究過其他國家的封鎖系統嗎？ A: 緬甸、越南、土耳其都有國家級的封鎖系統，但其特性相對單純，且只對境內有影響，不像中國的防火長城是可以從境外探查、技術也較複雜且會影響全球網路。 ## 2021.10 月小聚: 扁平世界中的科技與偵查法 ## 2021.09 月小聚: 台權會網路透明報告 你的軟體友善嗎？在個資調取中如何安心？台權會網路透明報告分享 **user-hostile 使用者不友善軟體** > **PPT** > * (~~需要權限~~ 再試一試) https://docs.google.com/presentation/d/18tFvfH0l_Nre0aMsf9w9OXmjMKxZ--HJzlK0tlt06Q8/edit?usp=sharing - 有些 app 會要網路權限，去掃描你的設備有幾隻、哪些型號。 - 瀏覽器被綁架工具列、搜尋列就是 user-hostile!! - 裝一套軟體過程卻被要求安裝其他軟體？！？ - Walled Garden: 要登入才能看到資料的網路平台 (FB, Twitter..) - Firefox 被視為 second citizen: 很多網站都「針對」Chrome 在開發，Firefox 的使用體驗不被在乎 > **PTT** > * Kuan - 台灣網路透明報告 https://docs.google.com/presentation/d/1PVUkp4jXVXJtPmHxEB1s5tkd9o3CUpZagBxLQ8KZf8I/edit?usp=sharing - 有網路自由報告、網路使用報告 - 下次討論： - 雲端資料隱私、臉部辨識、FBI、反臉部辨識 - 資料在地化 **台灣網路透明報告** ## 2021.08 月小聚: 國家級惡意軟體、數位武器 - Pegasus - APT, Advanced Persistent Threat 國家資助的網路攻擊、數位武器、0day - NSO Group: Hacking as a Service, 數位軍火商 - NSO Group 提供的數位軍火服務為何？ - 發動 Pegasus 攻擊的程序為何？ 1. 選定目標後，透過各種方法遞送惡意軟體，不同管道遞送的惡意軟體會利用不同的系統漏洞獲得系統的控制 - 早期使用 SMS 寄出網頁連結，受害者點開連結後利用瀏覽器漏洞來控制系統 - iMessage - Silent SMS - Whatsapp 2. 獲得系統控制後，與中控主機取得聯繫，獲取來自攻擊者的指令，進行攻擊者指定的操作 - 攔截網路流量 - 側錄 whatsapp 訊息 - 偷檔案 - 開啟相機或麥克風 3. 刪除相關系統記錄檔，隱藏感染足跡 - iOS 系統重開機在一些狀況下可以清除感染，但是感染途徑一直存在，攻擊者可以隨時再度感染，重開機反而幫攻擊者湮滅證據 技術細節請見國際特赦組織網站： http://web.archive.org/web/20210819190254/https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/ - Pegasus 有什麼能耐？ - 哪些國家的政府有購買 Pegasus? - 有四十個國家購買，攻擊自己人民 - 誰被 Pegasus 攻擊？ - 有4萬個電話號碼被攻擊，在極權國家工作的獨立記者、法國總統馬克宏等 - 通常會慎選攻擊對象，打太多人很容易被發現，漏洞就會被補起來 - 被攻擊對象幾乎是iphone? - 因：android系統上比較容易留下紀錄 - 因：Android被攻擊後容易清除痕跡 (iOS?) - 且ios系統生態系太單一，容易用相同漏洞擴大感染，但相對來說修補漏洞也相對安全，只要針對特定系統跟硬體 - 怎麼偵測自己的手機上有沒有 Pegasus? - 一般使用者較難偵測 - 可以使用國際特赦的軟體 - 數位軍火產業生態 - 雖然威力堪比傳統軍火，數位軍火的管制卻寬鬆許多 - 沒有任何規定禁止購買數位軍火 - 立法可能永遠追不上科技速度 - 數位軍火匿蹤性非常高，受害者不易察覺 - 相關： - https://thehackernews.com/2021/07/chinas-new-law-requires-researchers-to.html - iOS 系統雖然內建很多複雜的系統防護，但蘋果公司的決策、設計高度黑箱，導致外部資安研究人員研究困難 - 思考方向： - 公共資安 就像 公共衛生 - "Nobody is safe until everyone is safe." - 只要有人不安全，所有人就不安全 - 敦促軟體製造商防護自己的系統 - 咎責攻擊者 e.g. 施壓以色列政府管控Pegasus (雖然似乎無用) - 很多政府都想買數位軍火，來打壓政治敵人 - 敦促自己國家購買數位軍火的透明性、歸責 - 個人隱私資安 就像 個人健康 - 考量事情發生的機率和嚴重度 - 還有很多其他種網路攻擊需要關心 - 軟體多樣性 就像 生物多樣性 - 對群體來說，多樣性是有利的 - 對台灣國家安全的影響？該如何應對？ - 政府是否會拿來對付人民？ - 資安長(資通安全管理法第11條) - 政府利用數位軍火攻擊民眾，該如何究責? - 台灣政府是否有購買類似的數位武器？ - 「M化車」用了很久之後才被披露 - 人權、民主、法治等考量 - 刑事局 Cellebrite (扣押到實體裝置時破解用) https://tw.appledaily.com/local/20201008/BNFA54NHM5EHLPPU3OAYSM3PKE/ - 軍方的網路攻擊 / 防禦單位： https://zh.wikipedia.org/zh-tw/國防部參謀本部資通電軍指揮部 - 政府的科技辦案手段法制化 - [科偵法草案](https://join.gov.tw/policies/detail/d1fb429e-a4a9-40f9-8a26-a592f7e73e9f) - 有些歐洲國家並不合法 - 包了很多東西，例如用 GPS 追蹤器偵查 - 其他類似的武器 / 軟體 - [德國出品竊聽技術大拍賣： FinFisher 幫助各國政府監視/側錄異議人士行蹤及通話](https://pansci.asia/archives/51091) - 網路攻擊與國際法的關係 "塔林手冊" - https://ccdcoe.org/research/tallinn-manual/ - http://lawdata.com.tw/tw/detail.aspx?no=355761 > 順便宣傳一個不相關的東西，前幾天出的新研究： https://citizenlab.ca/2021/08/%e5%8d%b1%e9%9a%aa%e9%90%ab%e5%88%bb%ef%bc%9a%e5%88%86%e6%9e%90%e8%98%8b%e6%9e%9c%e5%85%ac%e5%8f%b8%e5%9c%a8%e5%85%ad%e5%80%8b%e5%9c%b0%e5%8d%80%e9%90%ab%e5%88%bb%e6%9c%8d%e5%8b%99%e7%9a%84%e5%85%a7/ ## 2021.07 月小聚: 認識數位性別暴力 線上連結：https://bbb.ocf.tw/b/lul-4rs-y4d-kts ### 常見的數位性別暴力 * N號房 * 數位烙印，外傳的私密照就永遠的留存在網路上，網路使用者對於自己本身的隱私、個資、資安關注度不足。 * doxxing 人肉搜索 * 復仇式色情（Revenge Porn），應稱為「非同意散布性私密影像」（Nonconsensual pornography），「復仇」含有「曾被虧待所以要傷害回去」的意思 * - 私密外傳上網後，除了上傳者的直接威嚇，照片被不斷轉傳永遠在網路上，是一個無止境的暴力 >>>> 這是一個最常見的性別暴力的樣態。 - 根據統計，網路使用者只有 25.4 % 擔心隱私安全，43.6% 不擔心隱私外流 - 數位烙印，對被害者來說，外傳的私密照或資訊，可能就是這樣永遠存在。 - 傳播科技已變成人人都在用的工具，好處大家都知道，但壞處呢？？可能有：散步迅速、身份易藏、證據有限....... (來不及寫完） - 聯合國報告提供數據 Cyber Violence Agent Women and Girls https://www.unwomen.org/~/media/headquarters/attachments/sections/library/publications/2015/cyber_violence_gender%20report.pdf?v=1&d=20150924T154259，報告裡面說，73% 女性，一身中層昭受過一種以上的數位性別暴力，並首次歸納六種性別暴力類型，但通常一個案件，都是不同種排列組合串連發生！！ - 行政院性平處在今年公布官方版的數位性別暴力定義 https://www.facebook.com/women.in.digital.initiative/photos/pcb.239506090985951/239488734321020/ but..... 其實不見得看不懂。 - 數位女力聯盟自己歸納的數位性別暴力分類：包括基於性別的 privacy, hate speech, 性騷擾與虛擬性侵, 人口販運, 圖像影音濫用 - 數位型別暴力懶人包，可以在數位女力聯盟粉專上面看到 - 行政院性平處的十種數位性別暴力的分法，沒有彈性、太過扁平。因此我們自己融合成五大類型，和相關項目。 - ppt 的表特版有奇怪的規定？如果某人的 IG 照片在不知情狀況下被他人放到表特版，如果想要拿下來，要說明為何不想被放還要證明跟當事人的關係。(聽眾補充：當註冊 IG/FB 時，已經同意授權條款內開地球為授權第三人使用照片的規則） Q: 請問這些隱私權的侵害就算沒有利基在「性別」上，現行的法規和規範都在處理了??? 當以性別為基礎時，是想要修特別法？還是跟性別有關時調整刑責要加強處分＠？＠ - Airdrop 傳不雅照騷擾，但報案時，警察可能不了解也無法抓人，很多這類報案，但目前沒有一件有成案 (聽眾補充：airdrop 已經改成不會顯示預覽圖，所以收到不明請求可以直接拒絕，不主動收下就不會看到圖片） - 網路上的虛擬人格，照理來說是受到保護。但網路上能告的事項，對於在遊戲人物中遭到性侵侮辱這種事沒有辦法有法條處理。 - 鏡週刊報導「被偷走之後」 https://www.mirrormedia.mg/projects/deepfaketaiwan/ (影片) https://www.youtube.com/watch?v=YkwZT8uYLfk - 對女性與女童的數位培力還是UNWOMEN重點項目之一 降低女性數位落差也是UNDOC（聯合國犯罪與藥物防治署）的教育計畫中，強化女性/尤其青少女的教育機會、安全而又有賦權的網路/學習空間 剛講的STEM 是強化女性科學網路 數學參與的計畫，台灣是在2002開始加入參與，STEM：Science, Technology, Engineering and Mathematics Q: 好奇一般對暴力行為（或騷擾行為）的認定，會以施暴方的主觀、受暴方的主觀或是客觀行為為主？ ----- 一般來說是以受暴方的主觀+客觀行為為主。 Q: 有朋友提出一個提問，有沒有可能原始照片流出收回外，後續有辦法透過科技工具避免照片再被外流 -------- 微軟有一套這樣的軟體可以做到，但只用於兒少犯罪。 ## 2021.06 月小聚: 防疫可以兼顧隱私嗎 線上連結：https://meet.jit.si/juneifftw 台權會申請之政府資訊公開: www.tahr.org.tw/news/2961 https://www.tahr.org.tw/news/2857 台北通實聯制畫面 * 社交距離App 從運作原理看手機的暴露通知會不會暴露你的行蹤？ https://www.youtube.com/watch?v=AF9DoylJlNY 特性 1.手機代碼大概十五分鐘會換一次 2.資料只留存於手機，不會上傳到中央，確診後輸入驗證碼會上傳隨機ID * [嚇阻群聚 台南市啟用戶外警示系統](https://www.cna.com.tw/news/aloc/202105280129.aspx) ## 2021.05 月小聚: Google 終結 Cookie 改用 FLoC，帶來什麼影響 線上連結： https://meet.jit.si/mayifftw * Cookie: 只有在放有 google cookie 的網站上，可追蹤使用者的瀏覽過的網站，標記在伺服器上 --> google 知道你去過哪裡，但只限於有放 google 代碼的地方 * FLoC：內建在瀏覽器上，無論去什麼網站，就算沒有放 google 的 cookie 也會知道 --> google 不會知道你去過哪，只有你的瀏覽器知道，google 不會有你的個人 profile * 使用 FLoC 之後，網站只能針對你被分類到的興趣群組下廣告，要分成多少群、每群多少人，都還在實驗中 * 怎麼分群呢？可能用機器學習的演算法計算。根據使用者瀏覽行為會慢慢改變分群（cohort），但不會馬上改變。例如每天都會上 pchome，分群會從你瀏覽的商品慢慢紀錄，例如從推車到食品的轉變 * 如果你使用 chrome，只能透過調整 header 退出 FLoC 的實驗 * 批評 FLoC 的意見：這無法讓瀏覽行為變得更隱私，只是辨識不同資訊。過去是只有放 google 代碼的網站會追蹤，現在所有網站都會被追蹤，被追蹤的 base 變大 * 精準度 95%，未來用 cohort 投放廣告，可能會有 5% 不是精準投放 * Privacy Badger 的應對方式：把廣告擋掉 * 改用 FLoC 可能會讓 google 獨佔廣告市場。google 可能廣告生意只有 5% 搶不到（失準），但其他廣告商會被影響更多 * 對 google 來說，投放廣告這塊的影響性不高。現在的使用者會登入很多 google 服務 ex. gmail. chrome 搜尋等等，只要是使用 google 服務有登入帳號，google 本來就會知道使用者的興趣、貼標籤。FLoC 只是在消除使用者的疑慮 * 對於非 google 廣告投放平台，過去非常仰賴第三方 cookie，所以被影響很多。 * TTD ( the Trade Desk ) 研發 UID 2.0 ( Unified ID 2.0 )，使用者會在進入網站時輸入 email 或是電話來統一授權廣告平台，並用來追蹤網路使用行為。 ### 關於 FLOC - https://amifloced.org/ - https://github.com/WICG/floc - https://blog.google/products/ads-commerce/2021-01-privacy-sandbox/ - https://www.bnext.com.tw/article/61662/google-cookie-floc - https://www.ithome.com.tw/news/142445 - - https://www.eff.org/deeplinks/2021/03/googles-floc-terrible-idea - https://seirdy.one/2021/04/16/permissions-policy-floc-misinfo.html - https://www.floc-away-from-chrome.com/ ### Links #### Apple 審查 https://applecensorship.com/app-store-monitor/test/VPN?l= app store monitor 可以方便地比較不同搜尋關鍵字在不同地區的 app store 的搜尋結果 比如說在中國搜尋 VPN 有很多應用程式不會出現 ## 2021.04 月小聚: 如何判斷應用程式是否安全？以 Clubhouse 和 TikTok 為例 *時間: 20210415 *主題: 如何判斷應用程式是否安全？以 Clubhouse 和 TikTok 為例 簡報連結： https://drive.google.com/file/d/1fbu3mco9lcxbtIcNWXCHM530qwGdKhVF/view?usp=sharing ### Citizen Lab 過去研究 - [微信的言論審查與監控](https://citizenlab.ca/2020/05/wechat-surveillance-explained/) - 一 App 兩制 - 會針對國內或國外用戶開啟不同功能 - 只會對中國境內用戶開啟言論審查功能（當對話內其中一方是中國帳號） - e.g.，Alice 傳訊息給 Bob，只要訊息內含有敏感字詞，Alice 會看到他有傳出去，可是 Bob 不會收到。 - 針對國際用戶的監控 - 此案例中臺灣被歸在國際用戶 - 似乎是根據電話號碼是否是 +86 判定 - 透過搜集國際用戶之間所傳的內容（e.g. 文字、圖片），加強對國內用戶限制的精準度 - [武漢肺炎相關應用程式的資安](https://citizenlab.ca/2020/11/unmasked-covid-kaya-and-the-exposure-of-healthcare-worker-data-in-the-philippines/) - 針對東南亞的幾個 APP 做研究 - 在其中幾個發現了重大漏洞 - admin 帳密直接被寫在 source 內，reverse 出來就可以登入了 - 某 contact tracing app 資料庫權限設定錯誤，使用者可以獲得所有用戶的精確位置資訊（約 GPS 等級，5 公尺上下） - 比較合理的設計應是透過藍芽來進行 - e.g.，[goole 和 apple 合作的追蹤技術](https://www.apple.com/tw/newsroom/2020/04/apple-and-google-partner-on-covid-19-contact-tracing-technology/) - [人權工作者和記者受到的高度針對性惡意軟體攻擊](https://citizenlab.ca/2018/09/hide-and-seek-tracking-nso-groups-pegasus-spyware-to-operations-in-45-countries/)、（[中文](https://www.ithome.com.tw/news/125971)） - 為了讓攻擊有效，通常惡意軟體的攻擊對象不會是大規模的攻擊，由此可以看出這是具針對性的攻擊 - Pegasus是一個間諜軟體，由以色列網路武器公司NSO Group開發，可安裝在手機上。2016年8月曾被試圖安裝在 人權運動者的iphone上失敗之後被發現。這類間諜軟體通常不會被大量使用，只會針對某些特定人士，避免被發現。 - Zoom 資安 - Zoom 所宣稱的加密方式與實際不同 - 華為與 5G（加拿大政策研究） - 執法過程中使用自動化程式決策之人權影響 - 歐美國家在批准移民申請時會使用自動化程式 - 設計者為外包民間公司，且沒有開源 - 評判標準不明 - 程式本身可能有漏洞 - 可能會導致於本符合移民條件的申請者被駁回 ### 手機應用程式安全 - 手機應用程式主要隱私風險 - 第三方追蹤程式碼：Google，Facebook SDK - 除了提供開發者方便，也會藉機追蹤使用者資訊 - 裝置基本資訊：型號、廠牌、系統版本 - 裝置識別資訊：IMEI, IMSI, Advertising ID, Mac Address - 跨平臺關聯 - 若在不同 APP 之間使用到同樣供應商的程式碼，供應商就有機會跨平台的追蹤使用者資訊 - 如果看到「使用 google/FB 登入」，就代表有裝這個追蹤程式碼 - 收集後設資料，如上傳照片時解析 EXIF - meta 裡面可能會含有位置等資訊 - e.g.，FB 可以透過照片得知使用者足跡 - 直接請求收集個資 - 聯絡人、位置、檔案 - 意想不到的跟蹤方式 - Fingerprinting - [cover your tracks](https://coveryourtracks.eff.org/learn) - 測試瀏覽器可以如何追蹤你的資料 - 交叉比對各項資訊後可以透過瀏覽器較精確的定位使用者 - 使用「已安裝的應用程式清單」來辨識個別使用者 - 過去有人研究，有 70% 準確率可以判斷性別 - 手機應用程式常見資安風險 - 傳輸連線不安全 - 後端伺服器暴露資訊：StaySafe PH - 不當信任使用者客戶端 - Zoom - 解讀技術資訊（Clubhouse） - 討論技術「安不安全」之前，先定義何謂安全、何謂隱私？（會因人與情況而異） - 重視資安與做好資安是兩回事，任何一個App都有一定的隱私風險。 - Clubhouse 的使用者 id 和房間 id 並未加密就直接傳送出去 - [TikTok 和抖音](https://citizenlab.ca/2021/03/tiktok-vs-douyin-security-privacy-analysis/) - 研究歷時一年多，應用程式為2019年底的版本 - TikTok v.s 抖音 - 由同一個公司開發的兩個平台 - 介面、功能極為相似 - 抖音只在中國境內發布 - TikTok 又分成國際版跟亞洲版，兩者介面不太一樣 - 國際版可以把廣告個人化關掉，亞洲版沒有 - 在研究中沒有發現類似惡意程式的行為 - 不過會蒐集個人資訊 - e.g.，使用者在 TikTok 上面的每個 like 都會被送到 FB 記錄下來 - 發現的可能危險行為：Dynamic code loading - 伺服器可以在不經使用者同意的情況下，主動推動更新檔直接安裝 - TikTok 和抖音的程式碼高度相似 - TikTok 裡面含有抖音的程式碼，只是部分功能沒有被啟用 - TikTok 和抖音裡面都有一小部分程式碼用來處理搜尋結果 - 有某些符合特定條件的結果會被隱藏 - 仇恨言論 - 敏感（sensitive） - 但在 TikTok 上面沒有發現明顯的此類行為 - 權限選擇的兩難 - 在目前的大環境下，如果不妥協的話大多只有不使用一途 - 歐美等國家有在制定法規希望導正這種情形 - e.g.，[歐盟 GDPR](https://zh.wikipedia.org/zh-tw/%E6%AD%90%E7%9B%9F%E4%B8%80%E8%88%AC%E8%B3%87%E6%96%99%E4%BF%9D%E8%AD%B7%E8%A6%8F%E7%AF%84) ## 2021.03 月小聚: Codes of Conduct ### about Code of Conduct (COC) #### Wiki 的 COC by Allen * 2006 年，維基人想說來個取暖大會，就辦了個年會，然後第二年有個台灣人要填報名表填錯，填寫成申請舉辦的表格，結果維基年會就變成來台灣辦，維基協會還因此成立。 * 不過在 2006 年，香港夥伴就覺得怎麼可以沒有中文的年會，因此 2006 年該年就在香港舉辦第一次中文維基年會。 * 維基有些管理區分，第一步是管理員，但如果管理員有紛爭，會問上一階的行政員，行政員吵架的話就問再上一階的監管員。 * 原本兩邊是同一群人，隨著時間流逝，管理員與協會慢慢的沒有關係 * 中文維基社群有 4~50 個管理員，台灣這邊有 3 位 * 什麼叫做被官方認證的地方分會呢？ * 假設有協會違反 foundation 的 CoC 而不被 foudnation 承認，foundation 也無法阻止協會辦活動，頂多只能不給補助金 * 國際 CoC 是遴選專業委員來撰寫內容，在落地方面會有更多問題待解決 * CoC 規定不能接受軍火商贊助。 Q:那國防部出資的單位贊助可以嗎？  https://wikiscan.org/ https://meta.wikimedia.org/wiki/Universal_Code_of_Conduct/zh ** 臺灣維基社群通用行為準則 https://meta.wikimedia.org/wiki/Wikimedia_Taiwan/Code_of_Conduct_Taiwan ** 維基協調處理的單位 https://meta.wikimedia.org/wiki/Trust_and_Safety/zh ** 2020 中文社群訪談 https://meta.wikimedia.org/wiki/Universal_Code_of_Conduct/Initial_2020_Consultations/Chinese #### Mozilla 的 CoC By Irvin https://www.mozilla.org/zh-TW/about/governance/policies/participation/ * 特色：正面表述，提醒大家需要注意的事，增加敏感度 ## 2021.02 月小聚: 平台責任與言論控管 * 時間：2021.02.18 * 主題：[平台責任與言論控管](https://ocftw.kktix.cc/events/internetfreedom-feb2021) - Section 230 - https://en.wikipedia.org/wiki/Section_230 - 第一修正案 - https://zh.wikipedia.org/wiki/%E7%BE%8E%E5%9C%8B%E6%86%B2%E6%B3%95%E7%AC%AC%E4%B8%80%E4%BF%AE%E6%AD%A3%E6%A1%88 - Tenz - - https://medium.com/tenzblog/social-platform-content-moderation-hegemacy-4eccff76fb85 - 為什麼平台要管理內容？ - 在UGC平台上，言論很民主、但有風險 - 有些言論不適合所有人看（不堪入目） - 維持好的使用者體驗、滿足需求 - 醜話講在前、有社群守則、使用條款、不能違法、不能出現在平台上，例如色情內容(flickr上禁止非自願上傳色情影像，但執行上難判定什麼是色情？) - 平台難題：必須管理但難討好所有人，且內容的數量太多時，也很難管理，只能用機器自動處理，例如AI或演算法 - Facebook的例子：越戰經典影像（少女光身子奔跑）被判定為[色情照](https://www.nytimes.com/2016/09/10/technology/facebook-vietnam-war-photo-nudity.html) - Youtube黃標:Covid-19 - 被迫要做內容管理，但總是做不好、被批評 - 美國國會山莊事件的法律框架： - 美國憲法第一修正案，被規範的主體是政府，非媒體 - 媒體要善盡「善良管理人責任」（the Good Samaritan） - 媒體有Section 230（《通訊規範法案》的一部分）的保護，Parler-先被google下架，再被Apple下架，ISP業者斷網 - Parler事件，反映出人們對於社群媒體的依賴度高，一如芝加哥學派所謂第三世界對於第一世界的（在經濟上）依賴 - 大家太過依賴科技巨頭，需要正視這件事，思考是否有 plan B。所有事情都需要有備份，包括數位資產 - 江雅綺 - - 網路平台已經管到大眾的言論自由，但第一修正案又管不到 - section 230成為媒體避風港，不需要負雙面的責任： - 法律保障平台有很大的自由可以設立 content policy - 不會因為別人貼的內容受到法律責任 - 也不會因為平台做處理而有法律責任 - 每個Tech Giant處理的方式都不同 - 平台對川普的處理方式差異 - 川普與twitter的恩怨情仇，川普想要廢掉CDA230 - Twitter永久禁止川普的帳號 - Youtube 暫時禁止，但一段時間後 review 再重新開始 - Facebook把決定權，交給獨立委員會處理 - AWS把parler下架，不只是禁止使用者，而是整個平台 - 歐洲與美國的情況大體上是相反的，要求平台業者要負起審查責任。 - 德國 網路執行法 - 與 CDA 230 剛好相反 - 百萬以上使用者的網路平台才會列入管制範圍 - 美國、歐洲、中國三種網路管理的類型 - 台灣要走向哪裡？有選擇嗎？ - 澳洲 新聞授權及利潤分配，Facebook已經停止澳洲的新聞服務 - [澳洲政府祭「新聞有價」　Google妥協年付15億臉書全球封殺](https://www.mirrormedia.mg/story/20210218web001/) - 怎麼管？抓大放小嗎？ - [馬尼拉原則](https://nninlaw.hackpad.tw/manila_principles_1.0#Manila-Principles) - Q:反托拉斯法對網路自由的影響？ - A:免費的服務、產品難以評估其影響，政府如何介入，若以反托拉斯法強制介入把公司拆分是好的嗎？ - 公司是自然長大的，不是特別的政策或保護而長大，政府介入是否合理 - 緩不濟急、不知道下一個霸權、巨獸是誰？不該用舊的法規來規範新的事業，會產生很多問題 - EFF (Electronic Frontier Foundation) - 認為平台要去管理內容言論，但是原則必須要公開透明 https://www.eff.org/deeplinks/2021/01/eff-response-social-media-companies-decision-block-president-trumps-accounts - Beyond Platforms: Private Censorship, Parler, and the Stack (以層級不同的角度討論 AWS、App Store 等與 Facebook 等) https://www.eff.org/deeplinks/2021/01/beyond-platforms-private-censorship-parler-and-stack - 對媒體的依賴關係，要注意 https://www.eff.org/deeplinks/2021/01/beyond-platforms-private-censorship-parler-and-stack - 網路平台要不要對廣告內容負責？例如牽涉詐騙。 [詐騙集團買YouTube廣告攬客　女誤信「帶妳暴風式賺錢」噴飛38萬] (https://www.ettoday.net/news/20210217/1920787.html) - 非營利網路平台上的言論管理問題？ - Tenz: 不會以營利或非營利來看；或可分為地方、國家、全球的尺度 - 江：網路治理：從自治、法治到國家介入 - 例如：烏干達選前封鎖網路、緬甸軍方斷網等 - 由下而上的管理方式，逐漸被侵蝕，日後可能有越來越多國家、法律介入的發展方向 - 大的網路平台，要不要負起保障言論自由的責任？ - 不要管網路平台，而是讓使用者可以百分百自由地決定自己的data放在哪裡，管使用者 - [data trust](https://foundation.mozilla.org/en/initiatives/data-futures/data-for-empowerment/what-is-a-data-trust/) - 資料存取物件（[data access object，DAO](https://zh.wikipedia.org/wiki/%E6%95%B0%E6%8D%AE%E8%AE%BF%E9%97%AE%E5%AF%B9%E8%B1%A1)） - [Mastodon等等的介紹](https://zh.wikipedia.org/wiki/%E6%95%B0%E6%8D%AE%E8%AE%BF%E9%97%AE%E5%AF%B9%E8%B1%A1) - [g0v.social](https://g0v.social/about) - [小紅書](https://zh.wikipedia.org/wiki/%E5%B0%8F%E7%BA%A2%E4%B9%A6)「中國版Instagram」 - - 維基社群補充資料 - [MS IGC events brief [shared]](https://docs.google.com/document/d/1Fq1WGBH833rOkQuRLXM15zH-18_JOSc9pv4Z8AGiP8Q/edit#) - [[Saturday] January MS Global Conversations | Interim Global Council - Useful Links](https://docs.google.com/document/d/1xKXeDeLT8nvXSQcW0A9koJyyyALC2VRCnKxO0mKWMr8/edit) - [臺灣維基社群通用行為準則](https://meta.wikimedia.org/?curid=10978449) - [全球通用行為準則](https://meta.wikimedia.org/?curid=10980728) ## 2021.01 月小聚: 數位行銷如何使用我們的個資？ * 時間：2021.01.14 * 主題：[數位行銷如何使用我們的個資？](https://ocftw.kktix.cc/events/internetfreedom-jan2021) -- 社群 update: mozilla 的川普事件聲明 [We need more than deplatforming](https://blog.mozilla.org/blog/2021/01/08/we-need-more-than-deplatforming/)，之後或許可以某場來聊聊平台責任。 ### 簡報一 Who am I （自我介紹）funP雲沛創新集團 Real Time Bidding 即時競價 第三方Cookie被封殺，漸漸成為科技公司的主流，但是因為 COVID 19 所以延後封殺，新聞>> [第三方cookies被封殺，數位廣告怎麼鎖定受眾、成效追蹤？](https://www.bnext.com.tw/article/58167/cookies-digital-marketing) 封閉平台（closed platform) or 圍牆花園 (walled garden)，廣告商其實都要在科技平台的封閉平台中才能去做追蹤。讓你生活的一切都要堅持———的領導（大誤）。 fingerprinting What is fingerprinting? Fingerprinting is bad for the web. (https://www.mozilla.org/en-US/firefox/features/block-fingerprinting/) https://fingerprintjs.com/ fingerprinting 追蹤性很強，就算用無痕或清掉 cookie 都還是可以知道你這瀏覽器的 ip 而追蹤到你有造訪，如果廣告商是用這個來追蹤客戶對隱私的侵害就很大。 綜合你瀏覽器傳回的設定參數，例如音量大小、字型、社群大小等特徵，他就可以（大概）知道你可能是誰。但是如果你把這些參數擋住，你的網頁可能會無法正常顯示。 中立團體的通用ID想法 [Firefox browser will block the IAB's DigiTrust universal ID](https://digiday.com/media/firefox-browser-will-block-the-iabs-digitrust-universal-id/) Keyword: IAB digitrust Zero-knowledge proofs Trust Token by google https://www.chromium.org/updates/trust-token 在你完全沒有對使用者知識的情況下，能否回溯到同樣的使用者，以便繼續對其投放廣告 IDFA 傳遞廣告識別碼，用在手機的 APP 追蹤 個人感想 -以GDPR為起點，Apple以privacy之名來號召，讓fb/google等有廣大用戶資料的企業，開始有危機感 -第三方追蹤越來越不可行，大企業會建立自己的圍牆花園 (walled garden) Facebook Click ID ：透過內嵌一系列長網址，證明你的點擊是經過了Facebook的引導。比如說點擊臉書貼文中的轉貼文章，打開的原始網頁網址變超長，後面都是嵌進去表示是你點出去的 ID -oracle收集了很多publisher 1st party data (Bluekai) https://crackedlabs.org/en/corporate-surveillance (一個奧地利的民間組織做的相關網路報告) -技術上的門檻，讓apple/fb/google/oracle吸收越來越多的資料，越來越大，生態系往大企業靠攏，中小企業越來越慘澹經營 當美國科技大廠近來陸續封殺即將卸任美國總統的言論時，是否意味著企業的能力凌駕，甚至可能超過全世界最大的政府。甚至超過過去我們最狂野的想像，政府對我們的潛在傷害能力呢？（一種假設：如果企業擁有自己的武裝部隊，政府打不打得贏他） 思考：精準廣告到底是幫了你，還是害了你？（例如：當你在搜尋罕見癌症解方的時候，卻馬上看到葬儀社的預訂廣告？這是Tim Wu在《注意力商人》舉過的很酸的例子） https://www.books.com.tw/products/0010783178?sloc=main 據傳被禁止的插畫 by Ben Garrison ### [簡報二：對不起了個資我真的需要那個酷酷的業績](https://docs.google.com/presentation/d/1NM4mvntmh1LMRt2ijKi-pEM5CnMGKZbjc5E83Ahnllc/edit#slide=id.p) 精準廣告 Facebook Audience Insights (Facebook廣告受眾洞察報告) https://www.facebook.com/ads/audience-insights/ 你瀏覽什麼、按了什麼讚，都標記了你可能是哪種人、哪種黨派、多有錢等等，簡單說就是把你貼各種標籤啦。 Inbound marketing(集客式行銷) 當你簽下了「賣身契」。一日賣身終身賣身，什麼都可以被賣，什麼都不奇怪。 一開始只是罐頭的發電子報，接下來是根據我得到的資訊（例如年紀、持有寵物種類）；幫你做客製化的電子報 相似事件：美國Target百貨曾對少女狂發客製化折價券，最後造成當事人的（偷吃禁果的）懷孕事蹟敗露。 Hubspot - marketing automation tools (https://www.hubspot.com/marketing-automation-information) 我不是機械式的狂發垃圾郵件，而是看你喜歡哪類型資訊，再想辦法拼命餵給你。廣告媒合現轉換率愈高（兼顧UI、UX），當然就變成白花花的鈔票！ 淘寶：點擊幾個banner之後，就會出現客製化、個人化的banner 廣告不只是叫你掏錢的過程，還有搞（大外）宣（傳）的過程。 行銷有許多種方式：口碑行銷、業配文、Facebook的後援會型社團、找網紅代言、搜尋結果競價排名（參見：魏則西事件） 行銷是一連串說服的過程，廣告只是行銷的一環... 可以被辨識的廣告、業配，可能比較不恐怖 每個人的注意力都有價格 (average cost per click / CPC)  人的注意力有價格，但什麼狀況可以買賣？ (廣告分潤作為你的注意力對廣告主的十一奉獻？) ## 2020.12 月小聚 ### 分享一 社群治理、eid 岔樂派 綠色公民行動聯盟 掃了再買 開放政府報告、指標 參加的場次：  * 岔派樂 https://www.facebook.com/events/%E7%A9%BA%E7%B8%BD%E8%87%BA%E7%81%A3%E7%95%B6%E4%BB%A3%E6%96%87%E5%8C%96%E5%AF%A6%E9%A9%97%E5%A0%B4-c-lab/lab-kill-lab-%E5%B2%94%E6%B4%BE%E6%A8%82%E5%9F%BA%E5%9B%A0forking-piragene/967415270746715/ ### 分享二 資訊科學系 口罩地圖感受到工程師的熱血，社群提供組團、思想交流的管道。 ### 分享三 行銷專業人如何看待網路隱私。 - 討論：數位廣告已勢不可擋的趨勢，在商業上會著重如何在產品之外，提供消費者更好的體驗？這勢必伴隨更多資料搜集。如何在資料採集運用上和商業考量上找到一個平衡點？ ### 分享四 * 講者：肥貓 * 投影片：https://nextcloud.slat.org/index.php/s/ckTtL4eea4H6exG * 補充資料：https://blogs.slat.org/blog/atsdchen/884 * 推薦書籍：陳敦源。2012。民主治理-公共行政與民主政治的制度性調和。台北：五南。 這是一本理論性比較強的著作，但是作者以學理的角度談到許多官僚控制的問題。 * 蘇文賢、江吟梓譯。2010。基層官僚：公職人員的困境（Lipsky, M.原著）。台北：學富。 這本書精闢描繪出基層官僚（street-level bureaucracy, SLBs, 通常指與民眾日常接觸的基層文官，例如教師、警察、區公所科員等），在諸多資源限制下，如何發展一套工作模式，以及對於民眾（特別是弱勢族群）又會有什麼影響。 * 朱道凱譯。2007。政策弔詭（Stone, D.原著）台北市：群學。 因為公共政策的目標充滿不確定性，也難以被精確定義，你的政策通常不會所有人都滿意，甚至會造成許多難以預期的後果，故稱為政策弔詭（Policy Paradox）。 一陣子是做國發會的odf研究 ### 分享五 * 濡沫 本來在g0v summit想分享的內容是一整天的份量，但只有20分鐘的分享時間。 性，能不能談，如何談，怎麼談，什麼是好的性什麼是壞的性，誰決定。 各國的兒少法與性交易相關限制。 為何一定要在網路談性？ 濡沫是一女同志性少數作為主體的獨立網站，利用開源軟體（wordpress與discourse）製作。面臨性、女同志、網路社群三者各自且交集的問題。 圖： 濡沫和開源社群： 目前論壇式的且對言論負責的網路社群平台減少，與性少數性傾向相關的是隱私、但又需要經驗分享。 一般網站會開放SEO，但濡沫(的社群)沒有。 FB IG TWITTER圖文，文字數量少，這些UX設計背後的目的與實際執行之後的外部效應。 有些女同志APP為了排除男性，就需要加入的人用照片等方式證明自己身分，把自己隱私交出。 回應。 ### 分享六 大學生 竹圍工作室 之前其他人分享g0v的參與經驗 (註：[大河小溪全民齊督工](https://grants.g0v.tw/projects/5c3ab62e0c53ab001b42996f)) g0v summit 今日香港明日台灣的感觸 體驗到公民科技的如何能用在生活讓社會變得更好。 ### 分享七 喜歡拍照 day1分散的場地，第一次遇到，雖然也是有人批評， 但有拍許多其他東西。 過去參加過一次g0v。 g0v人的分散、去中心化，彼此可能不知道其他人在做什麼，summit是交流的場域。 1. 小班專案管理。 2. 什麼是開放資料 有人說pdf都上傳了，若只是機器可讀，一般民眾可能又無法閱讀，需要顧及兩者。 其實國發會在推的ODF，就是某種能兼顧機讀性，和人讀性檔案格式規格。可參見：https://conference.libreoffice.org/assets/Conference/Tirana/tirana-odfadvantages169.pdf 4. 應該是要開放的社群，但大部分講者還是順性別男性？(註：是否有性別統計資料出來了?) 5. 議題：韓國日本講者做開放資料的狀態 6. OGP (Lulu補充 聯合國不允許台灣成為會員) 7. https://www.opengovpartnership.org/ 8. 選擇台南的原因：聽說為了資源均衡。但是辦在台南參與者有一半是台北下去（註：是否有資料左） Claire補充： 鄭婷宇。2017。鍵盤參與：從「零時政府」檢視黑客社群開源協作式的公民參與。台北：國立台灣大學政治學研究所碩士論文，未出版。 https://hdl.handle.net/11296/q8j7n6 在新芽的午餐有問：第一次來g0v第一次來新芽都有一半人舉手 回應 有些活動會有保障名額 但g0v其實要報就可以報得到 但是為何性別比例有差 是否是同溫層 是否要需要宣傳打入別的社群 ### 分享八 影片。 有看的幾個議程有趣的， 主要針對好想工作室Covid那場認為資料使用資料隱私的理解有出入。 推薦搭配閱讀：https://lab.ocf.tw/2020/12/15/healthcare/ ### 分享九 高中生 關心學生權益的議題 開放文化基金會數位身分證議題照片大小隱私資料 台灣人權促進會 很多同儕對這些議題沒有感興趣，我希望能推動。 ### 分享十 來OCF很多次，藝術文化社群。 第一次參加g0v summit 好奇怎麼籌備，怎麼做，議程怎麼開放。 從open call所有人都看都可以修改， 如果是藝文社群就只是投稿後defence unconf和閃電講很有趣 也好奇半在台南都是台北熟面孔 藝文社群也會有人參加，但是也是關心社會的那群，純藝術者較少。 鏡 readr+提的：新聞是有成本的 如果你不付 總是有人幫你付 （言下之意是可能言論當然就會偏向廣告主的利益與立場） 年會通常在討論議題，但g0v summit有個反身性議題討論自身。 岔基因eID那場遊戲化的方式，想到之前移工人生的桌遊。能讓不熟悉議題的人進入。 年輕工程師很有活力會用一個晚上或幾天去解決，可是在藝術文化社群很多事情無法立即解決，是結構性問題。 沒辦法有效且立即處理，時間感不同。 (漏掉一個) 依照社群守則，是否大家只是打個照面，不能問更多，避免個人隱私。 環保餐具、名牌空白。藝文界都是別人幫你寫好。 紅色掛繩不要拍我。 廣告投放，想到NGO、NPO怎樣募到比較多錢，如果你用你今天好嗎問候 可能會建立比較高的連結得到比較高的成效。 閉幕很短，開幕時間有點早，藝術圈的大會通常不會這麼早ＸＤ ## 2020.10 月小聚: Mozilla 網路健康報告 / Wechat 的言論審查 / 芥面計畫 * 時間：2020.10.15 * 活動頁面：https://ocftw.kktix.cc/events/internetfreedom-oct2020 ### Mozilla 網路健康報告 來信： I’m Laura, and I’m collaborating with Mozilla in this year’s Internet Health Report :slightly_smiling_face: This edition will include a new collaborative feature that we’re tentatively calling "A People’s Index of Internet Health". This index will share links from our contributors to the internet health stories they care the most about from around the world and give us a snapshot of the internet health events that mattered most to our communities in 2020. Who do you want to hear from about the year’s healthiest and unhealthiest moments online? Each contributor will share a link with us about a healthy moment or something that can be done to help the internet, as well as an unhealthy moment or something that worries them. Our goal is to invite 100 people to contribute. We want to include well-known experts as well as up-and-coming activists and grassroots organizers in the group of people we invite to participate. I thought it would be a good idea to ask you for help, being as you are, active and interested in building a more responsible, more human and more diverse tech. To help ensure that this feature of the report reflects the diversity and inclusion Mozilla is striving for as an organization, we are asking you to suggest: One well-known leader in the internet health movement you’d love to learn from in this part of the report. One lesser-known leader you’d like to lift up and learn from in this report so that more people pay attention to their community, message, and work. If you have suggestions for, please email me laurav@mozillafoundation.org We’re hoping to start sending invitations to potential contributors this week. I’m eager to hear your suggestions! Thank you very, very much! ### Wechat 的言論審查 CitizenLab，是一個加拿大多倫多的研究中心，專門研究網路上的審查監控，在過去兩年陸續發布了三個跟 wechat 有關的詳細研究，包括： 1. wechat 的審查不只在中國帳戶，海外國際帳戶也有被監控，且用 於訓練系統的審查機制，[完整報告看此](https://citizenlab.ca/2020/05/we-chat-they-watch/) 2. 疫情一開始，大約去年12/31至1月初，wehat 就已經開始有大量跟疫情有關的文字被屏蔽，[完整報告看此](https://citizenlab.ca/2020/03/censored-contagion-how-information-on-the-coronavirus-is-managed-on-chinese-social-media/)。 4. 關於 citzien lab 怎麼發現 wechat 的審查，相關觀察再較早的這份報告，[完整報告看此](https://citizenlab.ca/2019/07/cant-picture-this-2-an-analysis-of-wechats-realtime-image-filtering-in-chats/)。 台灣中央社報導 https://www.cna.com.tw/news/ait/202005080235.aspx ### （工商時間）歡迎報名[開放政府培力工作坊](https://ocftw.kktix.cc/events/opengov2020) ### 芥面計畫 將相關想要保存的詞彙(繁體中文)用基因轉殖技術利用膿桿菌移植到阿拉伯芥上 阿拉伯芥已經完全被基因解碼 成果會是種出一顆基因轉殖的作物，目前已將 183 個中文字設置成 DNA，大概是 1000 個？？？ 目前轉譯的字是從近年中共發生的大事件裡重複出現的敏感詞裡選出 邀請大家一起參與工作坊，協助生產有密碼的種子，一同了解言論審查。 歡迎追蹤[遠房親戚實驗室](https://www.facebook.com/LABotDRs/)，獲得最新資訊！ ## 2020.09 月小聚: 愛沙尼亞數位治理 * 時間：2020.09.17 * 活動頁面：https://ocftw.kktix.cc/events/internetfreedom-sep2020 ### 分享主題：愛沙尼亞數位治理之法律架構 書本檔案：https://eid.hsiaoa.tw/estonian-x-road/ * 在短短二十年間，愛沙尼亞從一個連 IBM 都買不起的小國，搖身一變為孕育四家獨角獸企業的國家 * 愛沙尼亞數位政府成功的第一步，是他們有完整規劃完善的法律架構，中心是 Information Society Law。 * 這次翻譯的是其中的五個相關法，原因是： * 台灣沒有**身分證法**，只是在戶籍法中的一條說大家要有身分證，希望藉此讓臺灣借鏡是否需要一部完善法律去規範 * **數位簽章法**是數位治理的基石，我國電子簽章法是90年代制定的，且並非依據數位政府制定而來的 * **公開資訊法**，參考去識別化資料是否需要公開？如何公開？這部法律有對政府資料庫的規範 * **資料交換層法**規範愛沙尼亞的 X-road。臺灣缺乏規範政府各部門交換資料的做法；愛沙尼亞不僅規範政府各部門間的資料交換，也明定民間如何加入 * **數位服務及資訊管理條例** 它們的數位規劃已經不是用部會去分，而是用政府服務來分，非常的先進 * * 只有三件事不能透過網路辦理：結婚、離婚、交易土地或房屋。此設計是刻意為之，不是技術上做不到 * https://e-estonia.com/ * 上面有各種圖表，像是到了 2019，已經有 46% 的電子投票率 #### e-ID * 透過許多防護措施，確保 eID 跟 monile-ID及 Smart-ID 綁在一起 * mobile-ID 跟手機 sim 卡綁在一起 #### x-road 政府間資料交換的機制 影片介紹資料安全 包含儲存與交換 例如開發醫療軟體可以合法取得使用者的資料，也可以和其他國家如芬蘭使用 * !!!! 愛沙尼亞用的 X-Road 是一個開源系統，是資料交換的協定，系統是由芬蘭的公司在維護(?)，目前有好幾個國家都採用這個系統 https://www.niis.org/ 有些人認為開源系統資訊安全會容易有駭客攻擊 但如果是長期以國家級資源投入撰寫，反而更加安全可靠。 #### KSI Blockchain * 是私人公司 Guardtime 所運作，運用區塊練技術使資料無法被竄改 他們很信任政府，民眾可以看自己的資料，也知道誰看自己的資料 有一案例，一位律師非法去看前妻資料而被撤銷資格，而這個案例的重點也包括，因為有完善法律，誰看了之後有甚麼罰則都有規劃。 #### e- 醫療平台 可以讓其他人存取自己的醫療紀錄，如急救人員或醫生。知道輸血需要的血型，對哪些藥物過敏 #### business 且資訊系統是多個公司執行並列名，不像台灣都由政府單位抬頭蓋住，不知道真實執行單位。 愛沙尼亞整個國家就像是個新創公司，整個國家崇尚開放文化 有了e可以在愛沙尼亞開公司，且只要三小時的行政時間。其優勢是公司即可在歐盟體系貿易。 在搭配數位治理之際，也同時深化數位教育，避免因數位落差而排除不會使用網路的人。例如廣設圖書館做為數位教育，而不再需要戶政事務所。 個人的立場是支持數位治理，但政府要能了解現有之不足，要把相關法規在之後陸續補齊。 #### 臺灣的 T-Road 國發會做為政府內部資料交換的 t road 架構，去中心化、有用開源程式(非完全開源) 仍然以部會為中心，而非服務為中心。 目前政府也還沒有完整數位治理願景， #### qa q a台灣電子簽章法 https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=J0080037 台灣當時的規範只是對應信用卡的使用，並未以數位治理作完整思考，量身打造。 q有些項目在數位治理前就有規範，講者會如何看待或定義哪些內容要被放入數位治理法規來規範。 q. eid美國 eid在台灣的顧慮是什麼 戶政背景與會夥伴：數位簽章是為了數位經濟交易， 雨：沒有完整法律，eid會被指認出數位足跡，政府要了過多資料，資料可能會被極端的利用。廠商是否有中資等等。許多團體有不同意見。 台權會立場1 2 3有個資法但無主責機關 4依照不同國家現有狀況，是不是強迫每個人 隨時都要攜帶身份證等等，應該有不同思考。 開放文化基金會與會人員：台灣只學了一面要數位化但是並沒有真實開放透明 Q:愛沙尼亞有被駭客攻擊過嗎？ A:曾發生過兩次。政府的態度是公開調查報告，將漏洞和事件攤出來給大家看，讓大家明白政府是怎麼處理的 https://zh.m.wikipedia.org/zh-tw/2007%E5%B9%B4%E6%84%9B%E6%B2%99%E5%B0%BC%E4%BA%9E%E7%B6%B2%E7%B5%A1%E6%88%B0 臺灣的資料管理方法很老舊，資安意識很薄弱。 ## 2020.08 月小聚: Scuttlebutt 101 / 斷網風潮 & 媒體空間 / 零時小學校 Demo Day 2020 * 時間：2020.08.20 * 活動頁面: https://ocftw.kktix.cc/events/internetfreedom-aug2020 ### 分享主題 1: Scuttlebutt 101 * PPT: https://docs.google.com/presentation/d/1wFAz8I9VEPGLi4VKQObiTKWcse5oiLrPpBysd98ERMs/edit#slide=id.p * https://scuttlebutt.nz * https://bridgefy.me/ * [briar](https://briarproject.org/) * https://datadetoxkit.org/zh/home/ * https://www.digital-democracy.org/ * https://vanced.app (Youtube vanced app Android only) * https://thedise.me (Android no ads Instagram app) ### 分享主題2：斷網風潮 & 媒體空間 * ppt https://docs.google.com/presentation/d/1QCSN9ZCpmkSjlKMIC6N5YQ155arG9bKRHjPDR2PLsz4/edit#slide=id.g9177623971_0_0 ### 零時小學校 Demo Day 2020 * URL: https://g0v-jothon.kktix.cc/events/sch001-demo-2020 ## 2020.07 月小聚: Mastodon / 網路內容管制 / Mozilla 抗爭者分享 * 時間：2020.07.16 * 活動頁面：https://ocftw.kktix.cc/events/internetfreedom ### 分享主題 1：Join Mastodon * PPT: https://docs.google.com/presentation/d/1G4Wb59qb4g1cOtuKC5Gec7xTBz486iKhp__B0vKGNHA/edit?usp=sharing * https://fediverse.party/ * https://categorify.org/ * https://www.accessnow.org/transparency-reporting-index/ * https://monoskop.org/Federated_networks ### 分享主題 2: 網路內容管制 * Google 透明報告 台灣政府請求限制網路內容 https://transparencyreport.google.com/government-removals/overview?hl=zh_TW&request_country=period:;authority:TW&lu=request_country * 臉書透明報告 依社群守則限制＋政府依國內法要求限制 https://transparency.facebook.com/ * 聖塔克拉拉原則 網路內容管制的透明度與問責 https://santaclaraprinciples.org/ * 管制技術：CDN、年齡認證、降排序 * 推薦觀看：（紀錄片）網路清道夫 * 微軟透明度報告: [Link](https://www.microsoft.com/en-us/corporate-responsibility/law-enforcement-requests-report?ranMID=24542&ranEAID=nOD/rLJHOac&ranSiteID=nOD_rLJHOac-HPg46paTVo82RgcYmqc49Q&epi=nOD_rLJHOac-HPg46paTVo82RgcYmqc49Q&irgwc=1&OCID=AID2000142_aff_7593_1243925&tduid=(ir__uo9j60mutgkfthmrkk0sohzize2xn06f0pxehtol00)(7593)(1243925)(nOD_rLJHOac-HPg46paTVo82RgcYmqc49Q)()&irclickid=_uo9j60mutgkfthmrkk0sohzize2xn06f0pxehtol00) * 關於GDPR的opt-in的問題，可參考：（但具體法條還得去找一下） * https://arxiv.org/pdf/2001.02479.pdf > Understanding compliance Based on the above section on EU law, we consider three core, measurable conditions that providers will have to meet to be considered legally compliant for the purpose of this study. This serves as a minimum hurdle: meeting these conditions alone will not guarantee compliance with the law, as there are a multitude of aspects and provisions, many of which can only be appropriately assessed qualitatively. However, these are conditions that are testable with the variables from our scraper, and therefore provide a window on the maximum level of compliance in the industry today. These conditions are: > 1. Consent must be explicit - This condition is true if consent is a clear, positive, affirmative act, such as clicking a button, rather than e.g. continuing to navigate a website. > 2. Accepting all is as easy as rejecting all - Consent must be as easy to give as to withdraw/refuse. This condition is met if accepting all takes the same number of clicks as rejecting all, and automatically not met in the case where consent requires no clicks (i.e. Condition 1 is violated) > 3. No pre-ticked boxes - Consent to any vendor or purpose must be through affirmative acts at all granularity. If no non-necessary purposes or vendors are automatically on, this condition is met. * 具體法條可能沒有明文規定一定要opt-in；但第6條和第7條有規定同意（consent）的要件，換言之如果你是用opt-out模式的話，你沒辦法確定對方是真的同意（主動地不取消勾選）；還是只是他沒看到（被動地不取消勾選），但是你有法定舉證責任，證明對方是明確同意（explicit consent），如果你無法證明的話，被告就會很麻煩。所以一般建議廠商不要隨便去冒這個險。不過這個實務上可能還是有些爭議，請見： * http://www.tradelaw.nccu.edu.tw/epaper/no261/1.pdf * https://www.im.taichung.gov.tw/media/368700/1070831%E5%BE%9E%E6%AD%90%E7%9B%9Fgdpr%E7%9C%8B%E5%85%A8%E7%90%83%E9%9A%B1%E7%A7%81%E8%88%87%E5%AE%89%E5%85%A8%E4%BF%9D%E8%AD%B7%E7%99%BC%E5%B1%95%E8%B6%A8%E5%8B%A2-%E7%B0%A1%E5%A0%B1.pdf ### 分享主題3: Mozilla 抗爭者分享 https://docs.google.com/presentation/d/176kZ5aqPymje2AaPmEE9adJxiAJ0sQFxtmdMfaOZJs8/edit?usp=sharing 寫信Amy Huang amhuang@mozilla.com ## 2020.06 月小聚: Beaker Browser / FB 監察委員會 / g0v summit 2020 * 時間：2020.06.18 * 活動頁面：https://ocftw.kktix.cc/events/internetfreedom ### 分享主題 1：Beaker Browser - 載點：https://beakerbrowser.com/install/ - PPT: https://docs.google.com/presentation/d/13h0ypXpVXGnLXc3vvPHNscIgS9NQus2xvaLgx5CZq1o/edit?usp=sharing - Google Chrome 佔了約七至八成的瀏覽器使用比例，Firefox 不到一成，剩下的市佔率由 Brave 等其他瀏覽器瓜分。但Brave同樣使用Chromium內核。 - P2P 技術：[Hypercore](https://hypercore-protocol.org/) - Beaker alternative: Onion, I2p, ZeroNet, Freenet, Yggdrasil Network - Beaker Dat project: http://explore.beakerbrowser.com - Hypercore protocol 作者: hyper://6900790c2dba488ca132a0ca6d7259180e993b285ede6b29b464b62453cd5c39 - Beakerbrowser userlist: https://userlist.beakerbrowser.com - Hashbase: https://hashbase.io/ (Host your DAT site) ### 分享主題 2: FB 監察委員會 - PPT: https://docs.google.com/presentation/d/1E88aH14BM39n8oidTFdv2i8m-HhRvGy_u-iesAnfyjM/edit#slide=id.g891f7d3e01_0_1 ### g0v summit 2020 panel 請大家到此文件填寫投稿內容：https://docs.google.com/document/d/1C7cBhKtHtfk-_o3i7Ml--63K0AmFLrzDnjY_3kCYWGc/edit# volunteer: Irvin, Edward Oo, OCF 四位主持人就四個主題帶會眾一起討論 以下開放大家留下想法： - 去中心化 - 維護隱私 - 言論自由 - 戒斷 Google - 如何戒斷 FANG(fb, Amazon, Netflix, Google) - 如何做 content tracking 而不侵犯隱私 ## 2020.05 月小聚: 數位晶片身分證 * 時間：2020.05.28 * 活動頁面：https://ocftw.kktix.cc/events/eid * 分享主題：數位晶片身分證的風險 * 目前 eID 政府規劃[簡報]：https://docs.google.com/presentation/d/1pFe2V_BPnPGNpySfTKEbbZlj3tg4YpzzDfGRGnggSC4/edit#slide=id.g8088d82a38_0_138 * 民間倡議訴求：https://drive.google.com/file/d/1sBIJeWwB8ymnnyqK0iCYd5pgvT0DBon5/view?usp=sharing * 國發會出版的[智慧政府推動策略計畫](https://ws.ndc.gov.tw/Download.ashx?u=LzAwMS9hZG1pbmlzdHJhdG9yLzEwL3JlbGZpbGUvMC8xMjI2OS85Yjk4ZjJjZC01ZmNmLTQ3ZDAtYjFkNS05NmJhMWIxZGM0ZWYucGRm&n=5pm65oWn5pS%2F5bqc5o6o5YuV562W55Wl6KiI55WrX%2BaguOWumi5wZGY%3D&icon=..pdf)有寫出民間擔憂的地方 ## 2020.04 月小聚: Zoom * 時間：2020.04.16 * 線上會議連結：https://hubs.mozilla.com/rRkTmFE/aware-great-territory * 活動頁面：https://ocftw.kktix.cc/events/zoomcybersecurity * 線上會議記錄：https://hackmd.io/dW55VzukSrmGEQEa7924Xg?view ### Zoom 1. [中國境內 server](https://citizenlab.ca/2020/04/faq-on-zoom-security-issues/)：加密金鑰有可能被中國政府徵收，然後就有可能在中間被他人加料。 2. Waiting room：待修正過的新版釋出後，就預設會產生開房密碼。就算被猜到 ROOM Number，也不致於被直接干擾。 > Instance: > * US: 50+ nodes. > * CN: 3 nodes. Reference: * [Zoom 資安漏洞超大？內行人揭「恐怖真相」：只刪除還不夠 \| 國際 \| NOWnews 今日新聞](https://www.nownews.com/news/20200408/4024544/) * 葉丙成與 Zoom：過於將資安責任歸咎在使用者身上 * [4/7 Zoom 好危險、好可怕？！](https://www.facebook.com/pcyeh.NTU/posts/4406598039365860) 1. 開房密碼 2. 軟體有加料 3. 惡意連結 * [4/8 澄清文](https://www.facebook.com/pcyeh.NTU/posts/4411029698922694) ### 可能的替代品 FLOSS: 1. [Jitsi Meet](https://jitsi.org/jitsi-meet/) 1. [Jitsi Meet 相關資源整理共筆 \- HackMD](https://hackmd.io/a5JIbpKnQbaJMkqoltGV2A) 1. [jitsi/docker\-jitsi\-meet: Jitsi Meet on Docker](https://github.com/jitsi/docker-jitsi-meet) 1. [Bigbluebutton](https://bigbluebutton.org/) demo server 試用要註冊帳號。 Business: 1. Skype: https://www.skype.com/zh-Hant/ 1. Powercall: https://tico.chat/tw/powercall * Make in Taiwan !? [Mumble](https://www.mumble.info/) [mattermost](https://mattermost.com) ### 使用情境 1. 線上會議服務，如何進行分組討論？ 2. LIVE Coding by VS Code. 3. [jacsmk ✊🏾 在 Twitter 上："Someone asked me for advice on remote meeting since I’ve worked in a virtual team for more than a decade. With more online gatherings becoming more likely w/ #coronavirus, thought wld turn this into a [thread] instead. Some lessons learnt on having #remotemeeting" / Twitter](https://twitter.com/jhybe/status/1238116305191878659) 1. 破冰 2. [疫情當前，團隊如何遠距協作？](https://www.hbrtaiwan.com/article_content_AR0009545.html) ### Meetup * [零時小學校：第二次工作坊 Sch001 Workshop II](https://www.facebook.com/events/502755553940433/) * https://g0v.hackmd.io/@jothon/Sch001_workshopII * [連署：支持數位晶片身分證公開資訊與修法](https://www.eid.tw/) * [CovidCon](https://covidcon.org/) * [CrowdCast](https://www.crowdcast.io/) #### Jitsi Meet quick install (主程式, 無 Google, Microsoft, Dropbox 整合, no recording) ```bash= #!/bin/bash apt-add-repository universe echo 'deb https://download.jitsi.org stable/' >> /etc/apt/sources.list.d/jitsi-stable.list wget -qO - https://download.jitsi.org/jitsi-key.gpg.key | sudo apt-key add - apt-get install apt-transport-https apt-get update apt-get -y install jitsi-meet /usr/share/jitsi-meet/scripts/install-letsencrypt-cert.sh apt-get update apt-get -y upgrade apt-get -y dist-upgrade reboot now ``` #### Secure domain/User authorization (加上開會議室密碼功能) ```bash= #!/bin/bash DN="xxx" UN="aaa" PW="bbb" sed -i s/anonymous/internal_plain/ /etc/prosody/conf.avail/$DN.cfg.lua echo '' >> /etc/prosody/conf.avail/$DN.cfg.lua echo 'VirtualHost "guest.'$DN'"' >> /etc/prosody/conf.avail/$DN.cfg.lua echo ' authentication = "anonymous"' >> /etc/prosody/conf.avail/$DN.cfg.lua echo ' c2s_require_encryption = false' >> /etc/prosody/conf.avail/$DN.cfg.lua sed -i s/"\/\/ anonymousdomain: 'guest.example.com'"/"anonymousdomain: 'guest."$DN"'"/ /etc/jitsi/meet/$DN-config.js echo 'org.jitsi.jicofo.auth.URL=XMPP:'$DN >> /etc/jitsi/jicofo/sip-communicator.properties prosodyctl register $UN $DN $PW reboot now ``` ## 2020.03 月小聚: Mozilla 的年度方向 / Citzen Lab 疫情研究 * 時間：2020.3.19 * 地點：摩茲工寮 * 活動頁面：https://ocftw.kktix.cc/events/mozilla2020 * 分享主題：Mozilla 的年度新方向 ### 活動紀錄 #### Irvin 介紹 1. 今年新方向：[Trustworthy AI](https://www.youtube.com/watch?v=zzkGhH-4FDs&feature=youtu.be) 2. [**Berkman Klein's AI principles**](https://miro.medium.com/max/10784/1*IIfTpb1dl-p9sbJEPAqE7w.png) 3. 虛擬會議室：https://hubs.mozilla.com/#/ 4. 2019 年之前 Mozilla 在研究網路素養、網路相關的政策研究、贊助 Open Source 軟體的隱私研究、Mozilla Fellow 5. **The domino effect of IoT**：開始買智慧家電之後，會入坑越來越深，並被迫使用特定企業的系列產品或相容產品，導致個人資訊掌握在特定企業手中。若要避免資料傳輸被企業控制，可將這些設備連接到 [Web Things](https://iot.mozilla.org/) 6. **Youtube Regret**：由於 Youtube 會根據觀看紀錄餵給使用者更多類似且更「重口味」的影片，造成[以下悲劇](https://foundation.mozilla.org/en/campaigns/youtube-regrets/) --> Youtube 的演算法並沒有想要「洗腦」，只是想留住使用者，可以用 [INVIDIOUS](https://invidio.us/) 作為看影片的借接，不會直接被 Youtube 紀錄。講者：演算法不應以該公司的最大利益為考量，而該以人類的最大利益考量 #### Lulu 介紹 Citzen Lab 的兩個重要研究： 1. 中國 12/31 就開始過濾跟疫情有關的網路訊息??? https://citizenlab.ca/2020/03/censored-contagion-how-information-on-the-coronavirus-is-managed-on-chinese-social-media/ 1.1 YY直播與Wechat兩種敏感詞過濾方式 1.1.1 YY直播：client side 1.1.2 Wecaht：server side 3. 對於西藏社群的網路攻擊，越來越精準 https://citizenlab.ca/2019/09/poison-carp-tibetan-groups-targeted-with-1-click-mobile-exploits/ ## 2020.02 月小聚: FOSDEM 上的網路自由專案 * 時間：2020.2.20 * 地點：摩茲工寮 * 活動頁面：https://ocftw.kktix.cc/events/iffcc20200220 * 分享主題：全球開源人盛會 FOSDEM 上的網路自由專案有哪些 ## 2019.12 月小聚: 國際網路自由專案有哪些？ * 時間：2019.12.19 * 地點：摩茲工寮 * 活動頁面：https://ocftw.kktix.cc/events/iffcc201912 * 分享主題：國際網路自由專案有哪些? ## 2019.11 月小聚: DNS 是什麼？上網隱私怎麼顧？ * 時間：2019.11.14 * 地點：摩茲工寮 * 活動頁面：https://ocftw.kktix.cc/events/iffcc201911 * 分享主題：DNS 是什麼？上網隱私怎麼顧？ * PPT: https://docs.google.com/presentation/d/1eOz4edw0bjmcKf_xgt8Wxd6V2ZcROXAJBh7x9ZxHduE/edit?usp=sharing ## 2019.10 月小聚: 網路審查分析工具 OONI * 時間：2019.10.17 * 地點：摩茲工寮 * 活動頁面：https://ocftw.kktix.cc/events/iffcc201910 * 分享主題：實際操作網路審查分析工具 OONI * 共筆連結 https://hackmd.io/hOwl3lX6SCyOsWjY-d3GdA ## 2019.09 月小聚: Mozilla 網路健康報告 * 時間：2019.9.19，19:30 * 地點：摩茲工寮 * 活動頁面：https://ocftw.kktix.cc/events/iffcc201909 * 分享主題：了解網路自由從網路健檢開始 - Mozilla 網路健康報告