從「Privacy 是人權議題，由政府來立法保護，Security是 Nice to have」所引發的聯想

昨天下午參加了iThome所舉辦的2017台灣資安大會，其中一場講座的講者講了這麼一句話：

Privacy 是人權議題，由政府來立法保護，Security是 Nice to have

雖然在各個領域裡不斷強調要教育廠商、工程師、使用者（消費者）在產品與服務開發過程、使用過程中都要有資訊安全的概念，但說真的很不容易，以目前台灣的使用情境而言不是每個人都有保護自己、他人的隱私的觀念。

• 案例一：有次在超商購物，聽到在咖啡座上，有個客人的電話應答：「XXX小姐您好，…您的出生年月日是XX年X月X日，身份證字號是0000000000，地址是…」我訝異的轉頭望向他，這位先生知道他已經在公共場合洩露他人的個資了嗎？
• 案例二：中國的通訊軟體微信，一直以來都有使用者訊息被監控的情形出現。當我建議周遭的朋友們不要使用這款軟體時，他們會回應我：「我又不是什麼大人物，有什麼好擔心的。」
• 案例三：總是會有因為使用者不當的操作或安裝了有安全疑慮的程式讓自己手機被入侵，使私密影片、照片，被公開社群網站上。更不用說四處打卡，連在家中也要打卡、拍攝自家內部裝潢給人看、讓人知道你的作息的人，只要有心人都能知道你家中什麼時間有沒有人在家。

在這樣的氛圍裡，我不禁有種：「私領域的不關心造就了危險的公共使用環境」的想法。由於民眾不願意對自己的行為負責，把保護自己與家人個資的責任交給政府，反而可能造成政府不當擴張權力的情況，例如不當的監控行為，甚至因為採購案，而讓不肖的廠商有機可趁。

由於隱私與人權有關，在理想的情況下，排除了利益團體為了盈收、政客為了選票…等情況下所預設的理想狀況，政府立法保護人民隱私，避免人民因為隱私外洩而造成的損失、人身安全、遭受歧視與不人道的對待，規範的對象是服務提供者與產品生產者，提醒他們有保護使用者隱私的責任。

政府所謂的「資訊安全」應該是環境面，著眼點應該是關鍵基礎建設，如水、電、能源運用等，如何讓人民維持日常生活、經濟事務活動運作，而不會因為資安危機導致服務中斷、破壞日常作息。在這樣的方向下，台灣出現了個人資訊保護法（簡稱個資法）及目前尚在草案狀態的資通安全管理法（簡稱資安法）。政府立法保護人民的隱私權、個資，廠商在法律規範下將資訊安全保護設計至生產流程中，這樣才能事半功倍，也才能避免政府或是有心人士過度擴張權力。

文章標題中的「Nice to have」是指廠商在生產、提供產品及服務時，能夠有安全措施及保護，對使用者來說，可以增加對產品與廠商的信心，也能提高品牌價值。但站在服務提供者、產品生產者的角度來說，安全問題是成本與風險的概念，利潤更是企業經營的重大考量。廠商把資安作法設計至生產流程中，可能會增加生產成本（例如資安強度增加時如何有順暢的使用者流程？這都要再請人設計，很多產品因為強調資安，使用者流程反而不順暢），成本增加，又想提升利潤，就必須提高產品售價；市場中的消費者想要便宜又好用的產品，對於資安、隱私保護觀念強度不夠，就算強調資安保護，消費者還是會以「價格高低」為優先考量。

以上所提的是理想的狀況。事實上台灣的個資法、資安法，雖然立意良善，但仍因為政治因素的干擾，呈現尚需改進的狀況。

在Facebok的台灣網路治理論壇社團討論時，有人提到了政府的監控與言論管制是與資訊安全有所抵觸的。

我的看法是，「監控」是政府站在國家安全的角度去行使他的權力，為了避免濫用權力，也有明確的法律限制政府該怎麼做，台灣目前有通訊保障及監察法和通訊保障及監察法施行細則，其中通訊保障及監察法第五條來規範在什麼情形下可以進行監控。言論控制、監控是手段不是目的，要看政府這麼做的目的是什麼。以資訊安全或國家安全之名行言論監控之實，是政府明顯濫用權力的行為，對應的解決作法是人民的反監控，明確立法或修法規定國家在行使這樣權力時的行為，並時時監督政府有無濫用不該進行的監控。

另外一種談論「言論監控」、「言論審查」的情境可能也是與網路使用者人身安全相關，例如言語霸凌、假新聞、謠言，這些可能導致社會不安、危害社會秩序。在亞太區網路治理論壇上聽到的案例是，當網路發言者的IP、真實姓名被公布時，他可能就會喪失性命。在這樣的情況下，就要再另外討論，例如政府、網站維護者對於使用者的保護程度。

台灣的資安法與相關的執行細則是處於草案的狀態，但部份的條文總讓讓人不安、讓人無法信任。原因在於：

1. 政府內部的資訊安全人才不足，儘管有培訓計畫，一個是緩不濟急，另一個是這些培訓出來的人要如何因應未知的資安危機？如果是外部聘入，當任期結束時，後續的處置要怎麼延續？
2. 以政府的角度是希望公務機關依循行政院的通報機制，地方政府也要成立通報機制與資安單位，以大都市帶周邊城鄉的觀念來建立地區型的資安通報機制。現實面是，如果是駭客要攻擊，他一定先攻擊這些目標：大城市、金融業、交通、重要的民生設施、資訊中心，鄉下地方可能還會因為台灣網路基礎建設落差的關係，成為攻擊目標的機會反而較低，但有可能會成為攻擊的起點或跳板。從另一個角度看，也許還需要鼓勵產業間自己成立所謂的資安通報機制及應變手段，也許會更有效率，更能促進產業之間的人才交流，對於公務機關的負擔可能較沒有那麼重。
3. 所謂的關鍵基礎設施其實不止水、電、能源等基礎設備，比如跨境電商，只要有影響到民眾日常生活與經濟活動的服務，就算是「關鍵基礎設施」。這樣的定義又更模糊了，雖然規定委託檢查的單位若是觸及敏感的公司資訊是不能外洩，但看到就是看到了啊！
4. 諸多限制的目的是為了什麼？似乎已經到限制網路使用者自由使用網路的極限，這些限制也限縮了網路創業者的發展空間。
5. 更糟糕的是，這些法令對於國外的廠商似乎發揮不了作用，國外業者可能選擇撤離台灣，卻緊緊限制了國內的業者。

先前曾經想過，由於政府積極的發展智慧城市，但智慧城市裡首要考量的就是安全的資料傳輸環境，屬於高度資訊安全需求的使用情境，若是由政府打造所謂安全的資料傳輸環境，會不會變成如中國一樣除非翻牆不然就是與世隔絕的網路環境？或是政府時時都在監控的通訊環境？

但能確定的是，如果人民、使用者不注意自己、家人、朋友的隱私，把自己該負的責任都交給政府時，就會讓政府、居心叵測的投機者對法規進行不當的設置，再來爭取所謂的「自由的網路使用環境」也就無任何意義了。

文章圖片取用自Pixabay。