對於台灣《科技偵查法》草案的想法

自社群媒體開始興盛，政府當局發現社群力量不容小覷，不但可以顛覆一個國家政局，也能傷害一個人的心靈，甚至讓年輕的孩子走上絕路時，便開始各種管制措施，雖然脫離不了保護國家安全、兒少保護的需求，但若是被有心人士用於不當的用途，就有可能使人權受到相當大的迫害。

政府對於網路內容與加密通訊的的管制

多數網路使用者可能會記得 2013 年 5 月的「土耳其之春」，抗爭者透過 Twitter 將政府壓制他們的暴力行為傳至網路上，這股力量也隨著社群傳播的威力，讓全球看見當局政府的威權管制。之後又有伊斯蘭國組織 (ISIS) 藉由社群網路傳遞招收年輕新人的訊息，導致愈來愈多年輕人離開自己的國家，參與他們的活動。也有著名的「藍鯨遊戲」利用青少年追求同儕認同的心理，引誘他們自殺，更不用說還有許多在社群媒體、即時通訊軟體之間傳遞的文字暴力、性別歧視與各種待被驗證的訊息。

對於這種會造成傷害的線上訊息 (Online Harm Content) ，各國政府開始進行管制，例如透過網路服務業者負擔內容審查的責任，像是最近很出名的《美國憲法第一修正案》 (First Amendment to the United States Constitution) 與《通訊規範法》第 230 條 (Communications Decency Act Section 230)，而英國也自2019年4月出版《Online Harms White Paper》並向民眾諮詢，於2020年12月將諮詢討論、結果總結於《Online Harms White Paper: Full government response to the consultation》報告書中，並在這份報告書裡，將使用者產出各種型式內容、使用者的互動、搜尋引擎，不論公開或是私人的訊息都列在規範的架構中。台灣也曾經有為了保護未成年的網路使用者而有一份《電腦網路內容分級處理辦法》但已於2012年6月13日廢止，並將相關的罰責規到刑法來處罰。

除了對於「內容」的管制外，管理當局決定更加強力道，對於使用「加密通訊技術」進行進一步的要求，加密技術保護了資料傳輸時的隱密性，這裡的資料可能包括了你個人的資料、所在地點、使用加密通訊軟體 (如 Telegram、Signal 或是 Threema) 所傳遞的訊息，或是你每天寫在某個不為人知的網路世界角落的心情，又不希望被人看到。相信有些人聽過以前的某個朝代的人民，為了反抗當時統治的政府，將準備起義的日期、時間、對象等資訊寫在紙條上並藏在餅中，於佳節時分以送禮的名義傳遞起義的資訊，把資訊藏在某個包裝裡，就也算一種古老的加密處理。

由於加密處理的方式很多，有時破解這些加密手法也耗費許多時間和資源，如果是具時效性的案件，可能在解密後也過了追訴效期，以政府治理者角度來說，需要保護最基本的國家安全與穩定，如果危害國家安全的資訊利用加密手法來傳遞，那就需要被管理。美國政府在2020年6月23日公布《合法訪問加密數據法》 S.4051(Lawful Access to Encrypted Data Act, S. 4051) 、五眼聯盟 (Five Eyes) 在2020年10月發表聯合聲明要求科技業者將使用者端的加密通訊軟體加上「後門」，讓政府可以提早避免危害國家安全、人民生命財產安全的事件發生^[1]。2020年12月，歐盟理事會(Council of the European Union) 決定，為了便利於預防網路犯罪、便利取得網路犯罪的證據、保護人民的個人資料安全，要與科技業者、學術研究單位...等相關利害關係人保持對話，持續支持加密的重要性，但同時也對於使用加密技術加強管理^[2]，可能在未來也包括檢視加密過的數據。同樣的，我們也看到了台灣政府在這次的COVID-19疫情中，利用電信技術追蹤群聚或是需要居家隔離的人員，甚至匆忙的想藉此縮短向民眾的諮詢《科技偵查法》草案的時間，最後引起民間極大的反彈，而不得不暫時停止。

民間人權組織的倡議：保持對話

對於政府對於加密處理資料的需求在未來可能會干擾人民的隱私，全球的人權組織與技術團體則是聯合成立了「全球加密聯盟」(Global Encryption Coalition)，主要訴求是希望美國政府針對前述的《合法訪問加密數據法》 S.4051再精進修正、保持與技術團隊之間關於加密策略的溝通，避免降低網路的安全性、侵犯網路使用者的言論自由、干擾人民的隱私，要避免相關人員因缺法能力、保護相關的數據資料安全，造成數據資料外洩，也加重了處理人員的工作負擔。聯盟成員之一的 Global Partners Digital (GPD) 更是集結各國法規中關於「加密」的需求與規定，整理為一份「世界加密法律和政策地圖」 (World map of encryption laws and policies)，讓網路使用者了解哪些國家已有加密相關的法規、規範的程度如何？而哪些國家沒有相關法令。台灣的相關加密法規已經讓 GPD 知道，應該也會在下一次的更新中刊登在上面。

應用程式服務商的提醒

除了人權團體與技術團隊的努力倡議外，四個歐洲的應用程式公司：ProtonMail、 Threema、 Tresorit 和 Tutanota 這四個以加密技術、保障使用者隱私為優先的服務，發表聯合聲明^[3]，表示歐盟立法人員最近的行為正在迫使這些保障使用者隱私的服務必需為政府所謂的「合法的安全性要求」而開一道後門。在 Facebook 不斷的將使用者的資料、使用軌跡販售給行銷公司、其他企業，甚至併購WhatsAPP、Instagram 等大量使用者的服務，並要求使用者分享資料給不同服務後，造成使用者對隱私的憂慮，也紛紛轉而使用這些以保障使用者隱私的 End to End encryption 服務中，可以見到使用者們是在意自己的隱私，然而政府的強力干預，可能會迫使這些網路服務在配合政府「合法的安全性要求」裡，損失使用者對其的信任、影響其商譽。

對於台灣《科技偵查法》草案的想法

原本，我非常反對這法案，也很慶幸最後這個草案沒有送進立法院。直到 2020 年 12 月 31 日那晚，看到中央流行疫情指揮中心藉由啟動「電子圍籬 2.0」(又被暱稱為「天網」)找到應該在家自主管理健康者跑出來參加跨年活動，一個個都被找出來^[4]時，我開始問自己：「如果我們處在一個人民不願自我管理，把責任和風險都推給其他無辜者，並要求所有人共同承擔他們不當行為的後果時，有沒有亡羊補牢的方法？」

在台灣沒有《科技偵查法》規範政府在運用科技技術對人民調查的前提下，可以依據的是現有的《通訊保障及監察法》(通保法) 。在人民不願自己承擔責任或是避免政府行使不當的手段時，有一則清楚的法律來規範政府與人民什麼可以做、什麼不能做，是比較好的處理手段。很明顯的，在2020年結束，2021年的第一天，在沒有《科技偵查法》的情況下，為了預防「可能」出現 COVID-19 的疫情擴散，跨年夜還是執行了「電子圍籬2.0」^[5]，也真的找到了絲毫沒有自制力的人。我同時也問自己，如果沒有這套法，是不是讓政府更肆無忌憚的進行他們要的活動？

在歐盟理事會的文件、英國政府回應民間倡議的報告裡，我讀到了文件中關於立法遵循的架構，也努力的保證會避免侵害人權、積極保持對話，同時也看到民間團體也是有憑有據的要求立法單位明確定義用詞、範圍，避免落入情緒用字；我也讀了台灣民間法律專業人士、民間團體對於《科技偵查法》的建議，在字句間也讀到了過去「白色恐怖」歷史對台灣人所留下的創傷與喪失信任、言論自由、個人隱私的恐懼。

於是找了一個時間重新再把《科技偵查法》的草案重新再讀過。讀完後，以一個非法律從業的市井小民來說，這套法比之前的《數位經濟法》草案來得完整，明確的規範了對象、輕重的處理，當然，法律用語真的艱澀難懂，有些條文要多讀幾次才知道自己誤解的部份早就有解釋在其中。若定義的不清楚，未來就算取得數據資料，也會對處理、保管的人員造成工作負擔，也會造成取得的資料一點用處都沒有。在《科技偵查法》和《資通安全管理法》中都有訂定罰則，且在《科技偵查法》裡，也有救濟的部份，這是讓我稍微覺得有保障但也很無奈的地方，畢竟救濟也是要耗費時間與各種成本的。

在人民仍然依賴法律規範的前提下，我其實是傾向有法律來規範政府與人民行為的。雖然這次法務部操之過急的高姿態^[6]反而是造成這個法案沒有溝通的空間，但台灣還算是有言論自由的地方，所以在網路上還是可以找到人權團體、法律專業團隊的意見與建議，相關部會若願意解答民間的疑問，利害關係人之間能保持理性的對談^[7]，政府不是單向的一意孤行，人權團體、技術團隊進行相關的監督，避免模糊可操弄空間，也許這套《科技偵察法》會補足以往《通訊保障及監察法》(通保法) 或其他相關的法案在新科技運用及偵查使用上不足的地方，也可以規範及預防政府運用科技侵害人權。

文中提到的相關新聞：

Title Image by www_slon_pics from Pixabay

歲月的容顏 YingChu Chen

搜尋此網誌