圖:部份素材源自網上。
十月尾,筆者代表獨立媒體(香港)出席兩個有關私隱與網絡安全的活動。其中一個有關「歐盟-美國安全港」失效的座談會,嘉賓的分享,讓我反思我們常說的「網絡安全」究竟是甚麼。
座談會以〈歐盟廢除「安全港」——限制資訊流通可保私隱?〉為題,邀請了三位不同界別的講者就題目分享。徐洛文(Lokman Tsui)在回應「限制資訊流通可保私隱?」一主題前,宏觀地開展有關「甚麼是網絡安全」的討論。
點先叫「安全」?
他首先分析「安全(Secruity)」二字,其實在不同的組群身上會有不同的定義。三個最主要的組群是:政府、網絡供應商(ISP)、用戶。三者由上而下——政府的「安全」,當然是可以盡情地監控市民,掌握情報,有效管治; 網絡供應商的「安全」,就是賺錢(畢竟從商)及好好保護影響商業決策的數據; 用戶的「安全」,就是資料只會在「知情」的情況下,交到第三者手中或公開,即我們經常說的「私隱」。
政府的「安全」:監控
徐洛文接著從政府的「安全」說起,政府的監控其實也分兩種——「勾線」(wire tapping,在通話期間截取資料)及「要求取得用戶的資料」(users’ data request,向網絡供應商正式或非正式地索取)。前者,政府只要有強勁監控網絡與團隊就可以隨時做到; 當然有法律監管政府「勾線」情況,但在「國家安全」及「偵測嚴重罪行」這兩個免死金牌下,個人私隱與企業利益,大多要名正言順地讓步。
後者,政府就要與網絡供應商合作;因為用戶透過網絡發放的資料,除了在傳輸的過程裡可以「勾線」截取資料外,最後一定有備份儲存在網絡供應商(特別是電話公司,Telco)的儲存庫。儲存庫裡除了用戶提供的個人資料,如電話號碼、電郵地址、住址、身份證號碼、用戶網際網路協定地址(IP地址)及登入紀錄外,更有用戶的的通訊內容與聯絡人紀錄。網絡供應商向政府披露用戶資料,固然有「實務守則」; 然而在實際的操作上,網絡供應商大多十分「配合」政府或執法機關的索取資料要求,並無太多的審查。
網絡供應商應增透明度:「數據保留」欠規管
因此我們常說網絡供應商要增加「透明度」的原因也正正在此,讓用戶知道自己的資料有否被擅自取用。網絡巨頭如Google,Facebook也有發表透明度報告,可惜電信企業卻暫時未見有相關報告。
圖:提倡網絡自由的國際組織「Access」發表2015年度「透明度報告指標」,Google及Facebook等也在列中。報告顯示由2010起,短短5年間,「透明度報告」已成網絡供應商必備的新基準。
筆者就拿香港作例,香港也缺乏對數據保留(data retention)的規管。本年世界各地對「數據保留」的規管有不同的發展,當政府倡議要求網絡供應商(如電信企業、社交網絡)保留用戶數據一段法定時間(半年至三年不等),以協助打擊犯罪; 荷蘭法官用私隱理由否決,澳洲則在國家安全法下通過,電信和互聯網服務供應商必須將用戶資料保留兩年。
歐盟「用錯藥」:變相鼓勵「資訊本地化」
徐洛文比喻就如「用錯藥」,即使歐盟限制資訊流通是站在人權立場,原意是充權保私隱;然而限制數據輸送(data transfer)除了對保障私隱無針對性的效用外,更損害資訊自由。因限制數據輸送就如同鼓勵「數據本地化(data localization)」(即不許本地數據流到國外),極有可能會成為政府監控市民,摧毀資訊自由的藉口;最佳例子就如中國及俄羅斯。
為何「數據本地化」非保障私隱的「解藥」呢?徐洛文舉例,無論站在政府、網絡供應商,還是用戶的立場,就如我們用電腦儲存資料會「備份(back up)」,保障資料不會因電腦故障或無意間把資料刪除而流失資料——把資料傳送到國外「備份」,或四處流傳,也可以是保障資料「安全」的方法。
立法非保私隱的唯一途徑
徐洛文指出,立法並非保私隱的唯一途徑。當然法律相對最具約束力,就如歐美各國訂立已久的「資訊自由法」,就政府及網絡供應商取用用戶資料,訂立具法律管制的條文;至少有法可依。
圖:加拿大的「Open Media」曾發起網絡行動,名為「Access my info」,讓網民可透過此網站向電話公司查詢取用了用戶多少個人資料,並指出在加拿大的私隱法下,電話公司是有責任回覆用戶的查詢。行動極速廣傳,網民一呼百應;結果成功向政府施壓,立例管制電話公司取用用戶資料。
但我們也須思考如在科技層面,網絡供應商是否有責任把用戶資料加密(encrypted),又或設立更多加密的途徑與方法供用戶選用?網絡供應商又是否該增加取用用戶資料的透明度?用戶又有否提升自己對保障資料的敏感度,如只提供必要的資料或有效運用加密的技巧?專責保障及推廣「私隱」的公共機構(如香港的個人資料及私隱專員公署)如真的希望全面提升市民對私隱的意識,是否該設立更多的渠道,讓公眾可以詢問政府及網絡供應商取用了用戶多少個人資料?
網民:須藉監察有權者 捍衛自身權利
蔡騏分析,歐盟與美國本身已對「私隱」二字有不同的取態——「數據(Data)」對美國而言,就如「貨幣(Currency)」;即支持數據流通以便商貿發展,私隱議題則放置在較次要的位置。而歐盟則站在人權立場,認為私隱是人的基本權利;有限制的數據流通,可讓網民充權,提升保護個人資料的意識。
但蔡騏補充,歐盟近年積極提倡私隱的動機其實也不全然純粹——在美國的「斯諾登」事件,揭發美國國安局在世界各國設置大形監控網絡後,歐盟明顯希望重奪「數據流通」的主權,重奪那在「網絡保安」上曾被美國落盡的顏面。
圖:2013年,斯諾登揭發美國國安局的全球監控計劃。
筆者反思,歐盟及美國在「跨境數據流通」方面固然各有立場,在私隱是基本人權的前提下,也不代表商業發展不能並存。因此更現實的做法,核心就在網民如何在「政府」及「商業」兩股壓倒性的勢力下,藉「監察」握有權力者,捍衛自己的個人資料及資訊自由的權利。
香港:未立法規管跨境數據流通
蔡騏指出,香港其實一直未就跨境數據流通立法。筆者翻查資料,《個人資料(私隱)條例》(第486章)於一九九五年制定,但當中的第33條尚未實施。該條文就移轉個人資料至香港以外地方的行為作出規管。然而相隔二十年仍未落實推行,在本年初有議員再就此在立法會提出質詢時,政制及內地事務局局長譚志源的書面答覆結論仍是須作「評估研究」。
圖:在本年8月履新,現任個人資料私隱專員黃繼兒。
據蔡騏觀察,香港在數據流通方面的政策,也多參考歐盟。因此即使歐盟廢除「安全港」看似暫與香港無直接關係,但香港在跨境數據流通方面的保障與討論,明顯十分落後。筆者不禁反思,究竟香港這依仗自由貿易的商業城市,數據流通政策的方向將何去何從?在我們「背靠祖國」的同時,香港一直謹守的資訊自由,會否只是必須消失的幻夢?
總結:「網絡安全」關我咩事?
相比起最近一連串的恐怖襲擊,在「生命安全」的強大命題下,似乎一切議題都須先讓步。但為何斯諾登寧奉上「生命安全」,也要捍衛「網絡安全」,提倡私隱?
他說:「對許多小孩來講,互聯網是個自我實現的工具,網路讓人們探索自己的能力、思索未來要成為甚麼樣的人,但那只有在我們能保持私隱和匿名之下才有可能。我很擔心,我是能夠享受這種自由的最後一個世代。我沒有要摧毀這些系統,只是要讓大家決定它們是否該繼續下去。」
我想,我們必須承認,網絡已不再是可有可無、消遣娛樂的玩具;它是一種通向權力與金錢的工具,是一種社會、文化、歷史的盛載,也是建立自我的媒介,現代生活的「必須品」。
所以「網絡安全」關我咩事?也許我們花一天,觀察一下自己使用「網絡」的次數;再想像你一切的「網絡足跡」已被有權力者掌握,不再「安全」。你的任何言論都將成為有權者的情報,在他們用「國家安全」的旗幟取用你的資料時,最「安全」的,大概只有「國家」;而不是居住在內的我們。
註:
徐洛文——香港中文大學新聞及傳播學系助理教授、前谷歌 (Google) 亞太區互聯網表達自由負責人
蔡騏——法政匯思成員、高級法律顧問
鄺頌晴——鍵盤戰線發言人