跳至主要內容

從「Privacy 是人權議題,由政府來立法保護,Security是 Nice to have」所引發的聯想



昨天下午參加了iThome所舉辦的2017台灣資安大會,其中一場講座的講者講了這麼一句話:
Privacy 是人權議題,由政府來立法保護,Security是 Nice to have
雖然在各個領域裡不斷強調要教育廠商、工程師、使用者(消費者)在產品與服務開發過程、使用過程中都要有資訊安全的概念,但說真的很不容易,以目前台灣的使用情境而言不是每個人都有保護自己、他人的隱私的觀念。

  • 案例一:有次在超商購物,聽到在咖啡座上,有個客人的電話應答:「XXX小姐您好,…您的出生年月日是XX年X月X日,身份證字號是0000000000,地址是…」我訝異的轉頭望向他,這位先生知道他已經在公共場合洩露他人的個資了嗎?
  • 案例二:中國的通訊軟體微信,一直以來都有使用者訊息被監控的情形出現。當我建議周遭的朋友們不要使用這款軟體時,他們會回應我:「我又不是什麼大人物,有什麼好擔心的。」
  • 案例三:總是會有因為使用者不當的操作或安裝了有安全疑慮的程式讓自己手機被入侵,使私密影片、照片,被公開社群網站上。更不用說四處打卡,連在家中也要打卡、拍攝自家內部裝潢給人看、讓人知道你的作息的人,只要有心人都能知道你家中什麼時間有沒有人在家。
在這樣的氛圍裡,我不禁有種:「私領域的不關心造就了危險的公共使用環境」的想法。由於民眾不願意對自己的行為負責,把保護自己與家人個資的責任交給政府,反而可能造成政府不當擴張權力的情況,例如不當的監控行為,甚至因為採購案,而讓不肖的廠商有機可趁。

由於隱私與人權有關,在理想的情況下,排除了利益團體為了盈收、政客為了選票…等情況下所預設的理想狀況,政府立法保護人民隱私,避免人民因為隱私外洩而造成的損失、人身安全、遭受歧視與不人道的對待,規範的對象是服務提供者與產品生產者,提醒他們有保護使用者隱私的責任。

政府所謂的「資訊安全」應該是環境面,著眼點應該是關鍵基礎建設,如水、電、能源運用等,如何讓人民維持日常生活、經濟事務活動運作,而不會因為資安危機導致服務中斷、破壞日常作息。在這樣的方向下,台灣出現了個人資訊保護法(簡稱個資法)及目前尚在草案狀態的資通安全管理法(簡稱資安法)。政府立法保護人民的隱私權、個資,廠商在法律規範下將資訊安全保護設計至生產流程中,這樣才能事半功倍,也才能避免政府或是有心人士過度擴張權力。

文章標題中的「Nice to have」是指廠商在生產、提供產品及服務時,能夠有安全措施及保護,對使用者來說,可以增加對產品與廠商的信心,也能提高品牌價值。但站在服務提供者、產品生產者的角度來說,安全問題是成本與風險的概念,利潤更是企業經營的重大考量。廠商把資安作法設計至生產流程中,可能會增加生產成本(例如資安強度增加時如何有順暢的使用者流程?這都要再請人設計,很多產品因為強調資安,使用者流程反而不順暢),成本增加,又想提升利潤,就必須提高產品售價;市場中的消費者想要便宜又好用的產品,對於資安、隱私保護觀念強度不夠,就算強調資安保護,消費者還是會以「價格高低」為優先考量。

以上所提的是理想的狀況。事實上台灣的個資法、資安法,雖然立意良善,但仍因為政治因素的干擾,呈現尚需改進的狀況。

在Facebok的台灣網路治理論壇社團討論時,有人提到了政府的監控與言論管制是與資訊安全有所抵觸的。

我的看法是,「監控」是政府站在國家安全的角度去行使他的權力,為了避免濫用權力,也有明確的法律限制政府該怎麼做,台灣目前有通訊保障及監察法通訊保障及監察法施行細則,其中通訊保障及監察法第五條來規範在什麼情形下可以進行監控。言論控制、監控是手段不是目的,要看政府這麼做的目的是什麼。以資訊安全或國家安全之名行言論監控之實,是政府明顯濫用權力的行為,對應的解決作法是人民的反監控,明確立法或修法規定國家在行使這樣權力時的行為,並時時監督政府有無濫用不該進行的監控。

另外一種談論「言論監控」、「言論審查」的情境可能也是與網路使用者人身安全相關,例如言語霸凌、假新聞、謠言,這些可能導致社會不安、危害社會秩序。在亞太區網路治理論壇上聽到的案例是,當網路發言者的IP、真實姓名被公布時,他可能就會喪失性命。在這樣的情況下,就要再另外討論,例如政府、網站維護者對於使用者的保護程度。

台灣的資安法與相關的執行細則是處於草案的狀態,但部份的條文總讓讓人不安、讓人無法信任。原因在於:

  1. 政府內部的資訊安全人才不足,儘管有培訓計畫,一個是緩不濟急,另一個是這些培訓出來的人要如何因應未知的資安危機?如果是外部聘入,當任期結束時,後續的處置要怎麼延續?
  2. 以政府的角度是希望公務機關依循行政院的通報機制,地方政府也要成立通報機制與資安單位,以大都市帶周邊城鄉的觀念來建立地區型的資安通報機制。現實面是,如果是駭客要攻擊,他一定先攻擊這些目標:大城市、金融業、交通、重要的民生設施、資訊中心,鄉下地方可能還會因為台灣網路基礎建設落差的關係,成為攻擊目標的機會反而較低,但有可能會成為攻擊的起點或跳板。從另一個角度看,也許還需要鼓勵產業間自己成立所謂的資安通報機制及應變手段,也許會更有效率,更能促進產業之間的人才交流,對於公務機關的負擔可能較沒有那麼重。
  3. 所謂的關鍵基礎設施其實不止水、電、能源等基礎設備,比如跨境電商,只要有影響到民眾日常生活與經濟活動的服務,就算是「關鍵基礎設施」。這樣的定義又更模糊了,雖然規定委託檢查的單位若是觸及敏感的公司資訊是不能外洩,但看到就是看到了啊!
  4. 諸多限制的目的是為了什麼?似乎已經到限制網路使用者自由使用網路的極限,這些限制也限縮了網路創業者的發展空間。
  5. 更糟糕的是,這些法令對於國外的廠商似乎發揮不了作用,國外業者可能選擇撤離台灣,卻緊緊限制了國內的業者。

先前曾經想過,由於政府積極的發展智慧城市,但智慧城市裡首要考量的就是安全的資料傳輸環境,屬於高度資訊安全需求的使用情境,若是由政府打造所謂安全的資料傳輸環境,會不會變成如中國一樣除非翻牆不然就是與世隔絕的網路環境?或是政府時時都在監控的通訊環境?

但能確定的是,如果人民、使用者不注意自己、家人、朋友的隱私,把自己該負的責任都交給政府時,就會讓政府、居心叵測的投機者對法規進行不當的設置,再來爭取所謂的「自由的網路使用環境」也就無任何意義了。

文章圖片取用自Pixabay

留言

此網誌的熱門文章

為什麼我支持《數位中介服務法》草案

在經歷許多次反抗台灣政府所立的網路相關法案後,我其實沒想過除了《數位通傳法》草案外,我還會再支持另一部法律草案,雖然 《數位通傳法》草案還壓在某處,但如果有人讀過《數位通傳法》的草案,再讀這部《數位中介服務法》草案,就會知道這部草案的重要性,而且也可以顯示台灣網路使用者的成熟度,更重要的,這是我第一次看到引入國際網路治理多方利害關係人機制的法律草案,而且是用在正確的地方。 有興趣想知道我在讀法條時的筆記和當下的感想,可以看我這則  Tweet 。這篇不使用逐條讀法條的方式來寫,因為那會讓人昏昏欲睡,我也不去比對歐盟《數位服務法》,因為我在讀《數位服務法》草案時,該草案特別強調是加強歐盟 E-Commerce Directive  ,而不是取代它,而且更多著重在預防盜版、仿冒,保護消費者的法案。所以當有輿論提到參考自《數位服務法》的《數位中介服務法》草案限縮言論自由時,我其實是一頭問號的,但一直到今天我才有時間讀《數位中介服務法》草案,這篇文章出自於我的個人經驗和閱讀法案的心得,與擔任的職務無關。 如果最近注意一下網路的資訊,有幾件事該注意一下: 有許多人在社群平台,如Facebook或是其他網路看到一些廣告,而這些廣告可能是要你支持台灣農產品、台灣製的產品,結果你收到時,上面還寫著簡體字,通常這是所謂的一頁式廣告詐騙,而行政院的消費者保護會在 2019 年時就有新聞稿在警告「 一頁式廣告詐騙多 小心查證保障多 」,之後像公視或是其他單位都有相關的活動在提醒大家小心這類廣告。但目前這些廣告其實多數不易處理,因為不容易取證、保留證據,等到追查到時已經找不到對方了。 有不少親密照片與影片在情侶分手後,被報復性的上傳到情色網站或透過即時通訊傳到親友的帳號裡,或是被洩露個資,遭到公開的霸凌。 之前有一個專題:「 青春煉獄:網路獵騙性私密影像事件簿 」,光是讀完這個專題報導我就覺得受傷。 有人使用 Deep Fake 把台灣名人的臉部照片合成至色情影片再上傳至色情影片平台,今年 7 月才被判刑。 還有許多創作者藉由網路分享作品時,被人盜用,甚至有國外的使用者修改台灣人的作品去參與比賽還獲獎。 有一次打電話問某個部會,如果消費者在國外電子商務平台買東西,但資料被外洩怎麼辦?雖然政府願意協助,但衡量至國外打官司的時間和成本,就會讓人卻步。 有些行為在現實世界裡有法...

讀《時代的噪音》

朱利安.巴恩斯(Julian Barnes)所著的《時代的噪音》(The Noise of Time)是以蘇聯體制時期的作曲家 蕭士塔高維契 (Dmitriy Dmitrievich Shostakovich)的視角,從自己出生時的命名、年輕時因為政治因素,過著每晚心驚膽顫的生活,到年老變成自己厭惡的樣子。書裡描寫了一個藝術家在創作時需要考量政治因素,因為這些作品需要經過審查,通過審查的作品才能公開表演。 我對20世紀的古典樂作曲者不熟悉,更不用說蘇聯體制時期的樂曲及音樂家的一生。這是一本值得現代未經歷過共產主義、戒嚴年代的年輕人閱讀的書籍,這本書講得不只是蕭士塔高維契或是共產主義國家對藝術發展的影響,而是講權力對藝術與人生的干預。從蕭士塔高維契出生時的命名,他的父親為他取了名字,卻被教會要求改名,到自己的情人、婚姻的對象、說話交往的對象,成為蘇聯對外宣傳的代表,「權力」都是影響他在政治上的聲譽或是創作的因素。 如果藝術家跟人類的靈魂無關,那藝術家還能做什麼?除非藝術家只想成為裝飾,或只是權貴的走狗。 我在大學最後一年修了一門課,課程中的幾個章節是簡介馬克思主義與其經濟理論,馬克司主義敘述與內容是一個看似理想化的經濟學。資本主義走到現在也許造成整個社會呈現兩極化,但不可否認資本主義提供激勵,提供誘因讓人參與經濟活動,成為生產要素。馬克思主義對於理想化、想改變世界,少經世事的學生是很迷人的,也能觸及勞動階級參與改革社會。 一位醫生曾與我聊到馬克思主義帶給社會的影響,醫生轉述一篇文章的內容,該篇文章的作者認為馬克思主義試圖藉由知識分子帶領容易服從的勞動階層,發動革命以改革社會。中國共產黨與中國國民黨的歷史,就是近代清楚明確的案例。毛澤東是當時的知識分子,許多知識分子跟著他,操弄著相對知識缺乏的農民、勞動階層,與過度理想化的學生與青少年,發動革命反抗蔣介石,在1949年把中國國民黨趕到台灣來。但如果馬克思主義真的這麼好,那我們可以看看那些曾經實施馬克思主義政權的人民們過得是什麼樣的生活--中國曾經歷過十分艱辛的時代,直到鄧小平在晚年的開放,改變中國的經濟發展。 書中談到蕭士塔高維契回憶自己的一生與生活的共產主義年代,作者以這段文字描述共產主義: 它給了你夢想,再給你夢魘,而它讓所有人--不論大人小孩都感到恐懼。 台灣的戒嚴時期就與書中描寫的狀態一致,由中國國民黨統治的台灣...

關於我所了解的數位錢包 (Digital Wallet)

Image by Gerd Altmann from Pixabay 「電子身分證」(eID)和「數位身分證」(Digital Identity)的議題在台灣始終一直具有爭論,但出發點都是好的,希望透過電子化或數位化的方式,讓人民不需要隨時隨地為實體卡的期限、有效性而擔心,但隨之而來的是容易被追蹤、把所有功能都整合在一張卡片時,若卡片遺失,就需要負擔的手續及風險。 更換身分證也涉及許多政治議題的操作,例如在 2019年 ,時任內政部長脫口而出「不換新身分證無罰則 恐無法投票」使全民嘩然。更早的時候,還有聽聞過因為其他國家都更換為多卡合一的晶片或電子身分證,所以台灣也應跟著換,以加速實現智慧台灣的願景。2020年時,我自己 再整理相關的內容 ,相關部門在推動晶片身分證(New ID)的方式則是以民眾比較容易參與的卡面設計開始,但後續的資安問題、資料外洩事件,及新冠大流行,延宕整件事的進度。 2019年時台灣沒有數位發展部(以下簡稱數位部)、沒有獨立的個人資料保護機關、個人資料保護法的主管機關「暫時」是國發會,沒有法源依據卻同時也被拿來作認證身分用途的健保卡、有法源也有主管機關的「自然人憑證」並不是每個人都有。許多公共服務上仍以實際臨櫃服務優先考量,雖然當時已有許多文件可以自網站下載或線上申請,但多數服務只能將實際流程網路化,而不是利用網路優化服務流程,反而增加挫折感。 當COVID-19肆虐後,改變許多服務,也實際的數位化,而許多卡片雖然在緊急情況下被拿來作為認證身分的用途,但從報稅、領口罩、全民普發現金,台灣政府和人民也一起改變使用行為。 目前已知的幾個數位身分證、數位錢包應用 先列一下自己已知道的幾個在進行的案例,不會說太多,因為有許多研究報告可以參考,也可以參考各國在數位身分證上的政策頁面。  1. 歐盟數位身分錢包 2021年注意到歐盟執委會公布數位身分證相關法案的修正案,後來通過許多歐洲社群使用者持續反對的「歐盟數位身分錢包」( European Digital Identity Wallets )相關立法框架,並推動 4 個大型示範計畫。熟悉歐盟這10年來的電子化、數位化或數位市場法、數位服務法的人會理解,這是一整個將公共行政數位化的過程,從立法、試驗、修法,其實都很完善。台灣也有相關的研究,有興趣的人再自己找找看。 關於「歐盟數位身分錢包」,我...