在數位時代內,公私協力(PPP)之合作方式常見於資料與其他類型之應用。公私協力的興起,與政府角色轉變、各項業務日益複雜,及各界對創新需求不斷提高等因素息息相關。尤其是伴隨網路或其他科技發展,政府各部會的職能已較難像以往分工明確,也需要注入民間活力,始能回應前述呼聲。
在數位時代內,公私協力(Public-Private-Partnership,PPP)之合作方式常見於資料與其他類型之應用。以國發會推動之政府資料開放平台為例,即主動將政府資料開放,授權各界下載這些開放資料,以擴大推動政府與民間協力合作。目標是希望將結合民間社群跨域力量,發揮民間資料加值能量與創新活力,以擴大資料開放應用及提升政府資料品質。
公私協力的興起,與政府角色轉變、各項業務日益複雜,及各界對創新需求不斷提高等因素息息相關。尤其是伴隨網路或其他科技發展,政府各部會的職能已較難像以往分工明確,也需要注入民間活力,始能回應前述呼聲。
公私協力類型包羅萬象
公私協力類型有很多,原則是讓民間參與政府部分業務,如資料應用、投資公共建設,甚至是協助犯罪偵查。常見的方法是透過政策措施,藉以鼓勵、促進或推動讓民間自願參與,以納入其能量。但也有少部分是直接透過法律明定採公私協力的方式進行,如我國促參法之促進民間參與公共建設,或是澳洲2018年有關電信法之修正。
澳洲是透過企業協助的方式,使執法機關(含情報單位)取得所需的資訊,以符國家安全等考量。其依據為2018年電信法之修正,全稱為「電信法及其他法律修正案(協助與訪問)法」(Telecommunications and Other Legislation Amendment (Assistance and Access) Act)。該法規範三種協助方式:技術援助請求(Technical Assistance Request)、技術援助通知(Technical Assistance Notice)以及技術能力通知(Technical Capability Notice)等服務,要求澳洲企業(特別是高科技公司)協助執法機關進行加、解密或調整權限,以及提供其他協助。
當然不是所有政府機關提出的要求,澳洲企業都要配合。依照2018年電信法修正案之規定,企業協助執法機關仍以刑事法律為主,或須符合刑事司法互助之雙方可罰原則;且若非屬自願協助之項目,更限於澳洲法律內之嚴重犯罪,如本刑為3年以上有期徒刑之罪行;或其刑法內之奴役罪、販賣兒童、與未成年人性交等罪章。
由於前提條件甚高,故自2018年施行後,經澳洲主管機關統計,每年約僅有10餘件上下。除由主管機關發布年度報告供公眾檢視外,該法有關企業協助之執行情形,尚需要送國會進行監督、審查,且相關協助強調不會要求企業提供後門、或未獲授權要求協助。
資料應用以安全為重
除了少數協助犯罪偵查之公私協力外,大多數國家在應用上多屬資料或其他類型。如美國CISA於2022年發布2023年至2025年戰略計畫,公私協力即為重要內容之一。CISA將與合作夥伴們(Joint Cyber Defense Collaborative,簡稱JCDC,由公、私部門涉及資安業務,以及關鍵基礎設施者共同組成,自2021年起推動)合作。依照該戰略計畫,此一公私協力類型在2023年有3項推動重點:
1. 了解並減輕工業控制系統(ICS)在使用開源軟體(OSS)面臨之風險,並透過遠距監控或相關管理作為、或其他服務提供商之協助,提升資通安全並降低風險。且CISA將與能源、水資源之主管機關合作,強化(CI)安全與韌性。
2. 針對事件應變,JCDC將強化與FBI與其他夥伴密切合作,並更新國家網路事件應變計畫(National Cyber Incident Response Plan)相關機制,此計畫係於2016年在歐巴馬總統時發布。
3. 針對惡意網路行為,JCDC將與NGO、政府、產業等利害關係人,規劃進行合作,以制定相關防禦計畫。
其中,針對開源軟體,CISA與合作夥伴們即將展開相關規劃,以協助中小型CI、各州或地方政府。至於針對惡意網路行為之防禦計畫,也規劃於近期內陸續進行。除了強化公私協力外,也將保持靈活性,以利協助美國相關組織在風險或外部環境發生變化時,能快速對應等。
結語
如前文所述,公私協力類型包羅萬象。再以美國CISA於2023年2月發布一則有趣的新聞為例,其與美國職業棒球大聯盟(MLB)及地方政府,為MLB春訓(2月開始)與WBC經典賽(3月)進行演練,以預防相關安全事件,亦為公私協力的類型之一。
在新聞內,CISA提及前已於該年1月邀集6個球團(含邁阿密馬林魚隊、坦帕灣光芒隊、亞特蘭大勇士隊、費城費城人隊、底特律老虎隊及多倫多藍鳥隊),與佛羅里達州等地的地方政府(係因應3月舉辦的世界棒球經典賽WBC),在邁阿密進行演練活動。
因CISA隸屬國土安全部,就其業管之關鍵基礎設施,除了區分常見之能源、水資源外,還包含大型運動賽事等攸關安全之領域。為此,在關鍵基礎設施之安全防護上,CISA有提供演練相關資料(CISA Tabletop Exercise Packages,CTEPs)供利害關係人參考。
在CISA提供之演練腳本範例(CTEPs)內,包含:時程規劃、情境、考量因素、角色等,鉅細靡遺。此外,內容除區分實體安全(如恐怖攻擊、蓄意衝撞)、網路安全(如網路釣魚、勒索軟體)外,演練形式可以包含研討會、工作坊、遊戲等,也可針對部分或全部規模進行,俾讓參與公、私成員都能快速掌握或熟悉。
因對於CISA來說,關鍵基礎設施之安全包含實體安全與網路安全,且除領域分工外,可能之安全事件還包含自然災害、疾病(如流行病)、內亂、工業控制系統、選舉安全、勒索軟體、運輸事故(如蓄意衝撞)、來自內部的惡意活動或(內外部)之主動攻擊,及無人機系統被駭。這些事件內涉安全(如降低風險)、通報或應變之事項,都是美國政府規劃進行公私協力時,所關切的重點。
總而言之,不論公私協力呈現的樣貌與類型如何,重點還是在於政府角色轉變、業務日益複雜及創新需求漸增,原有政府職能恐無法符合趨勢,故透過與民間合作方式,尋求協作或推動,以滿足安全、創新或其他需求。
<本文作者:本文作者陳宏志近年來專注在資料治理議題,如資安、個資政策或法令及管理實務,並協助零售、物流、智慧財產權領域,規劃區塊鏈或相關應用。>