-
先說明一下,還是一樣,政委主持的會議,按照慣例是會做逐字稿上網的,逐字稿大家都會看過,如果有不適合公開的,要增、修及刪都沒有問題,這個是基本的會議規則。前情提要是我之前跟簡處長去外交部領務局跟副局長談過,基本上是民眾有需求,希望護照的效力可以即時查詢,那天有談了政策方向,看起來對這件事沒有太大的副作用,而且風險應該可以控制的範圍之內,相對來講,好處當然是無效的護照流動的困難度會增加,大家可以很輕易辨識出來,另外一方面是,民間就可以提供的資料有創新的空間,今天政委主持的會議是從技術方面來看,我們如何找到可行的方法來做,我知道外交部領務局的同仁是擔心會不會在防火牆內的資料,外部很容易侵入,或者是要採取很麻煩的方法,每天把資料搬出來,增加很多的成本,這個當然是大家最關切的問題,前情提要到這邊。
-
我剛剛看了一下愛沙尼亞的做法,就是個表格,把序號key出來,你按check,它就告訴你有沒有被註銷掉,似乎就跟目前內政部包含居留證跟身分證都是一樣的做法,所以我想這也是大家很直覺會期待應該會長這樣子的感覺。如果在技術上如果有比這個要更進一步的做法,我們當然都很願意討論。
-
通常到這段就是開放問問題。
-
基本上,政府機關的資料只要沒要有法令、法規的限制,或有侵害個人隱私疑慮的前提下,經過機關考量後,倘若這些資料具有加值應用潛力,我覺得,每個機關都有意願提供的。
-
只是這個東西被提供出來之前,或許仍有些事情必須要處理的,以領務局為例,該局內部是實體隔離的,等於完全沒有對外連線的網路區段,這時就需要一些規劃才有機會將資料移轉出來,過程中必然會有安全上的考慮,這些規劃或是機制的實作上,是需要一些時間的。
-
我自己如果跑去領務局,或是打電話給領務局,什麼情況之下可以查詢到像這種護照有沒有被取消?或是必須自己過去?
-
依照個人資料保護法的規定,要提供資料必須經當事人的同意,當事人可以持自己的身分證到本局櫃台申請。
-
打電話沒有辦法確認。
-
打電話沒有辦法確認身分。
-
我理解了。
-
護照效力不是個人資料保護的事情。
-
總之請繼續,這是他們目前的主張,所以沒有關係。
-
你們有沒有初步的構想,覺得要怎麼做?或者是完全沒有構想?我就問展銘的想法?
-
報告主席跟參事,像剛剛技正有提到,我們的資料,包含護照號碼在內,其實所有的護照資料都存在我們內網,我們其實領務局遵守類似內網跟外網的電腦隔離政策,也就是不知道第一步要如何克服。
-
如果現在本人到領務局的櫃台,那個人的PC是連到內網的,所以可以用你們內網的系統來查詢,等於這個人本身擔任類似DMZ的作用,就是往外是室外,自己的PC是內網,所以每次查詢的時候,基本上都有誰負責內網查詢的稽核紀錄,所以這是你們目前內控的方法。
-
-
通常像愛沙尼亞這樣子,直接提供到外網,大概通常我們會把叫做read-only view(只能讀取而不能寫入資料庫)直接定期放到外網去,它的欄位可能就非常地簡單,就是護照號碼,然後到底有沒有被註銷掉,其實就這樣子,這是兩欄而已,或是效期,這個跟內部可以編輯、很多註記等等的系統是完全不相干的,等於只是定期好比像每天或者每小時,最近流行API,每30秒就到公開外網一次,每次只有把新的筆數往外放。
-
三十秒太短,可能會掛。
-
三十秒可能過於苛刻,那一分鐘。(笑)
-
通常是要外網查詢的方法,基本上都是作唯讀的,在資料庫那邊做唯讀的試讀,然後固定每分鐘跑一支轉檔的程式,這樣子轉出來,甚至可以說每分鐘有異動的再轉出來,讓外網來直接進行查詢,一般大概九成九技術上都用這樣的做法。
-
感謝,不知道技正有沒有需要補充的?
-
基本上,內網的資料絕對不往外流,但是在於有些一般性的欄位,就沒有那麼specific,不能對外提供的狀況下。
-
護照號碼現在還有沒有效,就是這樣子。
-
如果不涉及效期,單純只有安全碼,這個安全碼現在是有效或是無效,也許這樣的資訊對我們來講……
-
或者是有效根本不出,只出無效的。
-
應該只出有效的。
-
也可以只出無效的。沒有就沒有。
-
沒有就是空號。
-
剛剛講說這是無效的號碼。
-
你可以分三個狀況,就是沒有發過這張,有發過、但現在已經無效了,還有跟有發過、還有效,這三個狀態裡面可以選任兩個去釋出,第三個狀態是戶籍,我想絕大部分是沒有發過這個號碼才對,所以應該是釋出所以有發過的清單,跟第二欄是有效或是沒有效,這樣就解決了。
-
其實上次的會議簡處長跟林處長都在,我們就是會配合辦理,其實我們有一些限制,早上的時候,或者是之前也有反映過,像剛剛資安是第一個,其實不只是感謝政委給我們的指示,幫我們釐清,除此之外也包含我們行之有年的是一些做法。
-
行之有年的做法,也就是如何把資料從內網放到外面去,也都是一個計畫,也就是需要有預算的計畫,尤其像這些核心的業務系統,像簽證、護照這些資料庫,其實都是委外,我們都是有定期的合約在run,所以其實像今天代表領務局,我們會配合辦理,也就是希望政委可以指導如果要做的話,可能沒有辦法立刻就做。
-
瞭解,現在是廠商的維護合約裡面,不包含現在如果要知道有哪一些護照號碼無效,除了給人看的櫃台操作介面之外,也出機器可以看的介面給你。
-
因為我們在資訊服務採購的契約範本裡面都已經說過,如果只有給人看的介面,而沒有API的介面,我們應該可以讓他加,如果加要收好幾倍的錢或是一大筆錢,下次招標就不用來了,因為這個就跟只會做有障礙網頁,不會做無障礙網頁是一樣的,表示他不專業,也就是2016年、2017年都已經放在採購契約範本,這個都是標準的。
-
我們通常的習慣是直接跟廠商討論,是用什麼樣的方式來匯出這樣子的一份對他來講最不影響到日常的處理,這直接對廠商就可以了。如果要收超過9萬9,000元,下次可能就不要來投標了。
-
我有一個疑問,有關於匯出的資料是包含哪一些,目前駐外館處遇到的護照犯罪,大多是外國境管或移民單位查獲護照遭變造或冒用的案例,所以我們匯出去的是不是可以限定在已經註銷或逾期的護照?
-
對,這是剛剛講的一個可能性,就是只把逾期之前,就已經提前失效的這些號碼匯出來。
-
像外國的簽證移民官,或是銀行業者,手上應該有實體的護照,所以上面都有資料,如護照效期核發日跟截止日。
-
唯一要查詢的,是有沒有提前被註銷。
-
也就是有其公益性。一個不法集團手上根本沒有護照,透過這個方式查看看哪一個護照號碼有效,就可以偽編那個護照號碼的個資。
-
我理解。所以我想問的是,像這種註銷,當然可能是自己換了一本新的護照,因為舊的護照掉了,這也是在註銷裡面嗎?
-
遺失或者是換發一本新護照,或者是護照被別人變造或冒辦了,我們會註銷,或者是司法機關來函註銷通緝犯的護照。
-
這些註銷的理由是有列舉的嗎?
-
我們有護照條例的規定。
-
好比如果是「因為犯罪」,這就有點像個資了,所以你的註銷理由,我具體建議,不應該當作一個欄位釋出。
-
就是呈現出註銷。
-
如果現在講的,反而好比像從昨天半夜12點到今天這個時候為止的被註銷的護照清單,這樣的話,實質上還是等於會有註銷時間,如果按照你這樣子講的話,註銷時間你覺得是沒有問題的,大家知道就知道了。
-
我覺得註銷時間不應該被顯示。
-
可是如果是每分鐘更新,那這筆出現的那分鐘就是他的註銷時間?
-
就是在網頁上顯示的是,好比像一天一次,提供的是前一天。
-
所以註銷日期他會知道,但是註銷時間他不會?
-
不是,而是希望顯示註銷。
-
但是前一天這個號碼還沒有註銷,你到今天這個註銷號碼就註銷了,我如果知道這個號碼,就知道你是今天把這個註銷的話,不管是不是顯示,事實上這個資訊你已經給出去了。
-
上次跟副局長談的時候,大概有釐清幾個問題,像給民眾查詢的,當然在網頁上可以很清楚說明現在查詢的是現在更新到最新為止的資料,當然不包含一些gap,像外館報遺失或者是國境線上查到偽冒,還沒有通報回來,這個是其他協力機關的情形,會有免責聲明,就是說清楚,查的是現在更新到什麼時候為止的資料,這個第一件事。
-
第二件事,也是領務局很擔心的是有沒有人會拿這個資料來作不好的運用,上次也跟副局長有報告過,其實像開放資料有相同的問題,我們也不知道開放資料網站上,民間做什麼運用,同樣的他們有很完整的免責聲明,也就是大家可以用的資料,很像你買了刀,你可以切菜、殺人,跟開放資料、賣刀的人一點關係都沒有。
-
所以我們也不證明這本護照本身為真。
-
只是這個號碼現在被註銷了。
-
也就是有無效。第三件事是,也不代表有這個系統,外交部領務局就可以保證市面上流傳的每本護照都沒有被偽、變造的,如果要寫清楚一點,沒有問題,就寫在網站上。
-
總之這邊的主張是,我們先從已註銷的那些號碼開始對外公布,至於像愛沙尼亞這樣子,包含有效跟沒有發過的這個部分,這就之後再考慮是不是提供,等於是分階段,我聽起來你的意思是這樣子。
-
因為亞洲地區容貌相似或語言相通的人口多達十數億,很喜歡持用我們的護照。
-
我理解。愛沙尼亞的護照就還好而已?(笑)
-
所以要翻譯成外文。
-
沒有啦!我是覺得技術上把已撤銷清單釋出,不管是用什麼方式,未來如果有一天要改成「已撤銷加上已逾期或是未逾期」等等,其實那個根本沒有任何成本可言,只是改一個字而已,在程式上。現在比較重要的是先拿這個有公共利益的功能,告訴廠商說不能報價超過9萬9,000元,這個要先走通,之後慢慢處理別的部分。
-
像剛剛講到這個護照的有效性如果開放民間使用,是不是會變成犯罪工具,那倒不妨在你們的開放資料諮詢小組再來進行討論,我們就不一定要在今天處理完,所以我想今天先還是回到技術的部分,因為技術的部分,你剛剛講的,像限制已撤銷的,或是剛剛講的包含還有效的,技術上是一樣的。
-
我們原先規劃介接的方式,為了有即時的方式,我們有想過real time用web service API,也就是前端申請人寫入他要查詢的資料,後端會根據他填的資訊去Query資料,然後再回傳給他,這就如同剛剛講的,會有內外網接通的問題。
-
現在沒有這個問題,我們只是在講一些靜態檔案。
-
就是由內往外推,就不考慮時間差的問題。
-
對,好比像一個人的護照號碼1至9,我就不講哪個券的做法,你可以直接開一個檔案,也就是叫1234567890,如果到這個網址,可能「/data」,到這個網址出「404」,就表示沒有什麼資料,但是如果到這個網址收到一個簡單的,也就是「已撤銷」,反正就是給他一個http代碼,或是大家都公認可以認得的文字,這樣子的話,就是表示現在是已撤銷的,所以從你的外網的角度來看,也就是一個資料夾放一堆資料,這樣子就結束了,不用特別寫任何程式。
-
我會比較建議在揭露上,能夠揭露目前這筆資料的產製是哪個什麼點,我會比較擔心的是產製之後這個護照才失效,就會產生一些爭議。
-
其實每個網頁的網址,都有其產生的時間,所以如果正確使用http的話,每個剛剛講的這樣子看到靜態檔案,其實都有一個表頭,你看他的表頭,大概就可以知道實際上是在什麼時候產製的,這件事我覺得不一定完全要寫新的程式來做這件事,你可以直接看這個,不管是要寫在他的http的標頭上,或者是自己寫在JSON格式上的欄位,都可以。
-
至於精確度是要每筆護照號碼一個檔案,或者是每天更新全部都一筆檔案,或者是每個月一筆檔案,然後一直往後加,很像分散式帳本,就要看對你們的廠商來講怎麼樣做最簡單,就是以最簡單的方法來做,我這邊都一樣,其實從民間的角度來看,這個都是純文字檔,而且到底有沒有撤銷,可能2、3個byte,所以一次下載全部的,像憑證撤銷清單一樣,那也幾乎沒有頻寬成本可言,所以怎麼做的,到最後都一樣。
-
我們這邊還有什麼想法?
-
我們之前是有想說把這個網頁提供出來的時候,也就是可以做類似查詢軌跡的……
-
護照號碼開放給一般民眾查詢的話,就資訊安全管理上的考量,我們會希望儘可能的保留查詢者的軌跡。
-
像IP位址之類的?
-
如果只是開放key in護照的號碼,也許網站會受到較大的壓力。
-
不會,靜態檔案沒有壓力。
-
基於這個考量,輸入身分證字號及發照日期等檢核動作,似可降低網站的壓力。
-
護照上這些資料都有,所以你要確保的是這些資料的查詢人,手上是不是那本護照,對不對?
-
不是讓外面隨便的人來查。
-
民眾也許……
-
因為你一輸入,自己就要有個資法解釋身分證字號到哪裡,身分證字號如果是在你的log裡面有,你還要隨時更新、刪除副本等等,你都必須要……但如果護照號碼是自己提供的,這又是為了護照查詢有效性的目的,可以證陳其正當性,這個是有必要的,如果沒有的話,我為何要蒐集?但是如果主張身分證字號沒有蒐集之必要,而是逾越這個必要性的蒐集,這個蒐集的責任就在你的手上,如果你回答得出來,我就沒有意見。
-
因為身分證個資是屬於個人的資料,所以如果他輸入,我們提供的話,等於可以查詢的,這個反而不行,像我們之前有討論到輸入核發護照的效期,也就是護照號碼加上核發效期,避免那種只用序號不斷查詢的人。
-
如果效期只到年、月而已,所以其實多查個120次就差不多了,當然你也可以加年月日,所以就要多試3,000多次。
-
我們的規劃是一天查錯只能有兩次,所以如果加核發的日期,以及護照號碼,查錯兩次,當天就不能查。
-
當天的IP就不能查,換個IP就可以了?這些都是防君子,不防小人的事情,就是會讓君子變得很麻煩,但是小人無所謂,因為他手上有很多IP。
-
這裡有分成兩個概念想,被撤銷的護照號碼清單,如果你其實跟個資無關,如果全部放到open data平台沒有意見,這樣子反而沒有責任,因為open data要複製、放github都無所謂。如果你覺得仍然屬於個資,你查詢時要提供資料,這個時候這些資料的保護都是你們的責任。
-
這個立場要想得比較清楚,如果你主張不是個資,就不用管限速、限流,就公開出來。如果你主張即使連撤銷後的護照號碼都是個資,那你這邊任何防禦,都要給出一個證明這個是有必要的,我蒐集你的查詢條件是有必要的。
-
我們可以看到愛沙尼亞這邊都沒有問什麼,只有號碼。
-
是不是有提到要不要用開放資料做?
-
只要一個原則,領務局針對資料的認知是沒有不得提供大眾使用的限制。
-
單純號碼。
-
單純這樣子是要做Open Data。
-
因為這樣聽起來號碼跟撤銷日期,這樣聽起來只有這兩個欄位。「這個號碼在這天被撤銷了」,就這樣,沒有別的。
-
就只有號碼?
-
就是撤銷清單,但因為每天更新,所以撤銷日期可以取得。(笑)真的是這樣啊!不是要資料更新時間的描述資料嗎?
-
只要讓他們知道這個資料的更新時間就好了。
-
前天沒有撤銷,昨天有撤銷,所以就知道了。這個跑不掉,如果一天更新一次,就是護照號碼、撤銷日期,就是這樣。
-
撤銷之後不可能回溯變成有效,所以撤銷就是撤銷了,所以等於每天更新一次當天撤銷的清單。
-
這樣子的話,既然都已經永久撤銷了,這些號碼的清單本身,還算是個資嗎?
-
頂多特定到護照號碼,沒有辦法特定到人。
-
依照個人資料保護法第2條的規定,個人資料是包括護照號碼,如果手上沒有其他的資料,光是護照號碼是無法指涉到個人。
-
有一個身分證字號就是A123456789,我講這句話並不會侵犯個資。
-
蒐集的時候當然是,我如果跟你要護照號碼,這確實是蒐集個資,但我們現在在問的是,這個其實是你們配發的,如果屬於利用,是回到個資法第16條。
-
雖然我們這排的感覺,都是拿已撤銷的護照號碼清單,是無從識別當事人的,但你們這邊也要做出判斷,才可以有open data這條走向,不然就回到API。
-
如果你手上有這本護照的個資去查的時候,像我是旅行業者,他委託我去幫他代辦護照,我用這個網頁查,註銷,而這個旅行業者是不是依照他的行業可以查呢?是否符合個人資料保護法的規定,這個其實是涉及到個資。
-
但是當他拿到這本護照是當事人同意的狀況之下。
-
比如中共好了,他們查一筆號碼,他用這筆號碼看到有效,但是查台胞的入境紀錄會查到個資。
-
確實你剛剛講的很有道理,如果現在是別人,沒有取得這個人的同意,又重新識別了這個人,這個時候那個行為人違反個資法。但是那個是他的犯罪,並不是我們在這邊有什麼疏失。因為假如這真的有疏失,其實內政部查居留證跟身分證有效與否的那兩個介面,應該早就犯法了。那個你有看過嗎?
-
我看過。因為我們在外館的時候,不知道身分證是不是真的,也會上網去查。
-
你們如果覺得走開放資料心理還是毛毛的,我是建議可以回到你們剛剛講的就是需要護照號碼、發照日期,然後回傳有沒有被撤銷,也就是API的做法,這個做法還是要負包含資安等等的義務。但是開放資料的部分則不負任何義務,就是可以公開的東西,大概是兩條路,但在技術上還是一樣的。
-
如果最後選擇API這條路,我是以技術人員身分來說,展銘可以補充,你主要目的是想要墊高要試很多號碼、發照日期的成本,所以還是可以用靜態檔案,只是這個靜態檔案的檔名是雜湊,就是護照號碼跟發照年月日,然後再加上一串亂數的字串,但是這個字串也不怕人知道。雜湊就要選用需要非常多記憶體、運算起來非常慢的雜湊,每次的查詢放在一般的手機,要算半秒或者是1秒才可以算到雜湊值,輸入的時候並不是直接用發照日期跟護照號碼來當作路徑,而是必須要用Javascript來計算的雜湊,所以從你的伺服器端不用做任何的計算,只是很長的檔案名稱而已,至少512位元。這個檔名是雜湊出來的值,所以要多試發照日期就多一些運算,這就可以達到限流的效果。這個還是要燒CPU,但是如果是用很昂貴的雜湊,是做查詢的人的CPU,你就可以省很多流量費用了。
-
或者是圖片識別的方式?
-
現在AI都解得比人好了,這是歧視人類。(笑)
-
不過對像要是政委這樣子非常高深的……對一般人來講,還是會一筆筆key號碼。
-
但是因為我們這邊的使用者,其實他們的目的還是機器對機器對接,他們手上有護照沒有錯,他們也可以寫app,這個沒有問題,但是他們不希望的是,使用者要因此多看圖片,或者是挑這七個裡面哪些是紅綠燈,這個對他們來講是額外的負擔。
-
可是我覺得最難挑的是卡車,最難挑,都挑不到。
-
確實,而且有時只看到卡車的窗子(笑)。這跟今天的討論沒有什麼關係(笑)。
-
還有沒有要進一步請教的?
-
是不是需要我們這邊找你們的廠商?
-
我通常都會問兩件事,第一個是你們有需要會議紀錄做什麼?如果你們有期望寫什麼東西對你們比較好處理的,可以講。
-
好比像「政委強烈建議走API,不要走open data」,最後的紀錄也可以寫這樣。
-
第二件事,如果你覺得有需要,我們可以給個技術窗口,如果覺得每次要問政委很麻煩,就展銘讓你們call。甚至你們要找廠商談的時候,要陪你們去說這個沒有這麼困難、也沒有那麼貴,也可以。
-
對,外網不管走API或者是open data,都只放靜態檔案,唯一的差別是API需要查詢者來運算雜湊,open data的時候不用算,其實講穿了,就是這樣的差別。
-
要看管理網站者要走哪一條路?到時再請網站管理者來跟你們請教。
-
好啊!我們就把展銘的聯繫方式留給你們。
-
網路架構的部分要再次確認(double-check)。
-
你們現在沒有外網網站嗎?
-
現在有。
-
可以考慮放很小的文字檔到外網。
-
開放資料是由我們外網的同仁負責。
-
你要強調的是不用寫程式,而是轉檔,轉的時候就把這邊的資料庫變成一堆靜態檔案,只是檔名很難猜。
-
如果要寫網站的後端程式,一定給你報價,但是不用寫。我們就從已撤銷的開始,之後慢慢談。謝謝。