文/黃光彩

國家主權人工智慧 (Sovereign AI)基礎設施是國家數位自治的基石,確保關鍵資料與人工智慧模型能依照當地法律在國界內處理。到了 2025 年,風險不再只是資料駐留的問題,而是關於量子生存能力(Quantum Survivability)。
IBM 提出警告,混合量子經典計算(HQCC)與人工智慧(AI)技術的結合,可能在量子計算機威脅現有加密方法之前,就能迅速破解這些加密手段。 面對即將來臨 Q-Day 之前的安全挑戰,需要保持警覺並採取積極的應對措施,我們發現最近的研究進展,似乎加速了這一天的到來。
因此我們應有的動作就是「事先防禦」。從核心系統、從重要資料開始著手準備。Sovereign AI 基礎設施向後量子密碼學(Post Quantum Cryptography, PQC)的轉型必須根據資料的「秘密保存期限」來優先排序 ,也就是資訊必須保密多久,才能不再對國家或個人造成傷害。
國家主權資料:關鍵清單
Sovereign AI 基礎設施通常會接收並處理四大類國家資料:
| 資料類別 | 範例 | 主權人工智慧的目的 |
| 國家安全 | 情報來源、衛星影像、軍事後勤。 | 訓練防禦模型以偵測與應對威脅。 |
| 公共基礎設施 | 電網感測器、供水遙測、GPS獨立同步。 | 預測性維護與自主公用事業管理。 |
| 公民重要紀錄 | 電子健康紀錄/基因組學、數位身分證、生物辨識資料、社會安全。 | 個人化醫療與自動化政府服務。 |
| 經濟/金融 | 中央銀行帳本、SWIFT/跨境資金流動、商業機密。 | 詐欺偵測、市場穩定與 SCF 優化。 |
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 linkedIn,與全球CIO同步獲取精華見解 ]
實行PQC 的優先排序(根據風險情境)
針對資料的優先處理順序,本文先根據兩個變數為例:洩漏影響 (Impact of Breach) 與保留價值(Retention Value)(保密壽命)。
第一層級:即時過渡(高影響力 + 20+年保密)
- 基因組與健康紀錄(EHR):DNA 無法被改變。若今日透過「現在收割,後解密」(Harvest Now, Decrypt Later, HNDL)攔截,2040 年可用於生物學目標或保險歧視。
- 國家機密與情報:外交電報與情報來源通常在 30~50 年內保持機密。
- 數位身份根源:國家身份系統的私鑰。一旦被攻破,整個族群的數位形象就可能被塑造出來。
第二層:中期過渡(高影響力+5~10 年保密)
- 金融基礎設施(SWIFT/中央銀行):雖然十年前的交易可能會貶值,但國家財富流動的模式與帳本完整性必須達到量子安全標準,以防止系統性崩潰。
- 關鍵基礎設施控制(ICS/SCADA): 用於電網的指揮與控制訊號。這些設備需要「即時」保護以防止即時破壞。
第三層級:標準過渡期(中等影響+<5 年保密)
- 內部人資紀錄: 員工資料雖然敏感,但對國家級對手而言,其「量子解密」的價值低於軍事或基因組資料。
- 營運日誌: 系統日誌及標準管理流量,這些流量很快就失去相關性。
Sovereign AI 的信任系統實作
為確保一國的 AI Infrastructure(基礎設施)獲得公民及國際夥伴的信任,政府需要建立以下「信任支柱」(Trust Pillars):
- 量子強化資料庫:使用「空隙」主權 AI 叢集處理第一層資料,其中加密金鑰透過量子隨機數產生器(QRNG)產生,以確保絕對熵。
- 可驗證主權:使用 機密運算 (TEE – 可信執行環境)確保即使是主權雲端的系統管理員也無法看到用於訓練 AI 模型的資料。
- 跨境量子安全閘道器:對於像 SWIFT 這類協定,實作「PQC 包裝器」,將經典流量封裝在量子安全隧道中,然後才離開主權邊界。
- 立法「量子定年」: 立法要求任何保存期限為 >7 年的資料,必須在 2026 年底前使用 NIST 核准的 PQC 演算法(如ML-KEM/Kyber)加密。
為什麼要將 HER 排在 SWIFT 之上?
如果銀行交易在 15 年內被解密,資金很可能已經消失或帳戶被關閉——損害是財務和歷史性的。如果你的基因組資料在 15 年後被解密,它可能會被用來剝奪你的孩子醫療或製造個人化的生物武器。生物資料是終極的「長壽祕密」。
剛成立的台灣健康網路平台整合全國醫療大數據,其成功關鍵在於建立堅實的後量子密碼學(PQC)與信任系統。醫療數據具有高度敏感性且不可逆性——基因資訊、病歷一旦外洩無法「重新發放」。因此,立即部署 PQC 不僅是技術升級,更是保護民眾隱私的最後防線。
[ 閱讀更多 黃光彩 的專欄文章 ]
同時,信任系統的建立攸關平台能否取得社會支持。透過零知識證明、聯邦學習、區塊鏈審計等技術,可在保護隱私前提下實現數據價值,並以透明化治理框架(公開數據使用政策、倫理審查、個人賦權機制)贏得民眾信任。這不僅能提升國內參與意願,更能符合 GDPR、HIPAA 等國際法規,吸引跨國藥廠與科技公司合作。
正確實施 PQC 與信任系統,將使台灣建立「可信賴 AI 醫療」的國際品牌,確保數據安全、社會信任與產業競爭力三者兼得,讓生醫國家隊真正發揮戰略價值。
至於產業,如台積電,將根據它們的產業競爭、公司價值、風險情境來規劃它們自己實行PQC 的優先排序。
(本文授權非營利轉載,請註明出處:CIO Taiwan)















