https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

電子化社會的求生術 - 監督管制下的自我防衛計畫

2009 / 06 / 22
廖邦彥
電子化社會的求生術 -  監督管制下的自我防衛計畫

不是要教大家如何規避法律或者找法律的漏洞,而是去保障自己該有的權力, 也藉由在美國的情況反思在台灣目前的情況。該不該蒐證抓罪犯?該不該打擊恐怖份子? 因為這是人民賦予政府的權力,為了保障人民的安全,而給予執行單位這些權力來讓社會更好。

資訊化社會,當在不得已情況下需監控人民資料時,要如何保障該享有的隱私呢?

自由與管制的爭辯

自有人類社會體系開始,自由與管制的爭辯便不斷出現,不論是在政治上、經濟上或者人身自由上,是要給予自由發展的空間,還是要設定嚴格管制的條文,一直都沒有結論,或者說,本來就不應該會出現一個結論,這個主題本來就不是去尋求一個黑與白、01的答案。依照社會的變遷,適用體的不同,自由與管制不斷的調整在各個議題上的比重來達成一個動態的平衡。今天的主題不是探討政治,然而在這個主題上的相似性,透過最近電子先鋒基金會(EFF, Electronic Frontier Foundation) 提供的監督管制下的自我防衛計畫(註1),在社會政府需要對一般人進行監督管制的情況下,一般人能如何去維護自己的主權。 在動態的平衡,有時我們不得不犧牲部分自由,讓政府單位監控資料時,我們要如何保障該享有的自由與隱私。接下來我們對於這個主題更進一步來看。

監督管制下的自我防衛計畫內容

一如資訊安全的著眼點是從要保護的「資訊」開始, 該計畫的內容也是由此作為開端:什麼是你要去保護的資料,他跟隨著怎樣的危險、這樣的風險有多大、檢視以下簡單的安全公式:風險= 威脅x 弱點 x 影響 (Risk = Threats x Vulnerabilities x Impact) 並且著重於資產、威脅、風險,對資料造成威脅的人或單位等來檢視,發現以個人來說,哪些是對你重要的資產/資料、哪些是會威脅到你的資料的人、以及你所面對的是哪些風險。

在初步的自我分析完成之後,我們從3個面向來看要如何保護自己的資料:

1.存在電腦的資料。

2.在傳輸中的資料。

3.由第三方保存的資料。

再把每個面向都分成兩個部分來看:

a.(美國)政府有什麼權力

b.你如何保護自己。

這裡不逐字翻譯,而是把重點摘要,有興趣的讀者可以參照原文網站。

1.存在電腦的資料

a. 政府有什麼權力

美國憲法第四修正案提到,人民的安全不應該被不合理的搜索而受到侵害;一般來說我們可以解釋為所謂合理的搜索即是有搜索令才能對人民進行搜索。 

憲法第四修正案提及,保護人民合理的隱私,舉例,當你進入電話亭把門關上,表示你預期了應有的隱私;反過來說,當你打電話給銀行客服單位時,已經知道有人會監聽電話,這樣的預期隱私就不存在了。

有搜索令之下政府是可以對人民進行搜索的,然而通常在提出搜索令時,都會提出可能發現證據的部分,因此搜索令所界定範圍之外不可以進行搜索。 

私下進行的搜索令。一般來說,執法人員都必須告知嫌犯然後進行搜索,然而在怕嫌犯會銷毀證據的情況下,可以申請私下進行的搜索令,也就是不驚動嫌犯的情況,對其進行搜索,在以往這樣的情況並不多,然而在911事件之後,經過愛國法案(Patriot Act)的通過,這樣的方式就比以往多了。

沒有搜索令的搜索。用一個例子來解釋,執法人員沒有搜索令到你家,問你可不可以進去搜索,如果回答好,那就是這樣的情況了。 

合法逮捕的搜索事件。在沒有搜索令的情況下, 還有一個例外,在警方進行合法逮捕的時候,為了自身安全的情況下可以進行搜索。

另一種的法律執行命令,要求你提供你或者被搜查人的證據,與法院命令不同的是,你可以對此提出抗辯,並且既然是你提供,那麼不可以由法律人員強制執行。

b. 你如何保護自己

計畫資料保存期限,自己規劃好資料該留多久,不需要保留的資料就不要一直留著。沒有資料就無從竊聽(竊取) 

擅用基本的資料保護方式;登入密碼、檔案加密等基礎的基本保護資料方式都很有用。

學習正確使用密碼,不要使用生日、連續數字、單字當作密碼,密碼應該是不同符號的組合。

加密你的資料;當資訊物品被搜索時,不需將密碼告知,你有權保持沉默,這是法律賦予的權利。在此之中你可以僱用律師將不合理的搜索取消,法官可以下令要你提供密碼,但這部分的條文並不明確。

阻絕惡意軟體;已經證實政府在犯罪搜查時會使用惡意軟體,當然,更多的罪犯也使用,所以無論如何阻絕惡意軟體都是保護你自己的方式。

本段結論:你不保留資料,就無從查起;真的要保留,就要加密。

電子先鋒基金會

成立於1990年,電子先鋒基金會主要的任務宗旨為保護公民在網際網路上的自由與隱私。綜合了法律、 政策分析、行動家、技術專家等的專長,該單位向政府以及各類公司組織不合理的侵佔言論自由以及隱私提起訴訟,阻擋不合理的法案,對於相關的議題發起不平之 鳴。簡單的介紹一下這個組織的起源,在1990年, 聯邦情報服務 (United States Secret Service) 追蹤一項關於緊急電話系統的文件E911 (台灣使用的號碼則為119), 認為該文件如果被不法利用則有可能會癱瘓緊急求救的系統, 因而向一家懷疑與該事件有關遊戲書籍公司(Steve Jackson Games )發出了搜索令,拿走了所有的電腦及相關文件,在公司財務不支而裁員近半後,聯邦情報服務因為在任何一台電腦裡找不到任何相關文件而歸還了所有的電腦, 事 不止於此,這家公司發現他們的電子佈告欄伺服器裡面所有的客戶回應都被看過然後刪除了,這樣的情況已經侵犯到人民言論自由以及隱私權,然而當時並沒有任何 的團體專精網路空間的相關法律及經驗,當這件事情被流傳開來後,就由幾位創始人,組成電子先鋒基金會,協助大眾以及在資訊社會弱勢的一方提出法律的訴訟, 一路下來有相當多有名的訴訟由該單位提出, 除了我們提到的這個案子,還有新力BMG 在音樂CD 上偷偷植入安裝rootkit的軟體限制消費者的使用產品的案件等等, 有興趣的讀者可以看看他們所經手過的訴訟就不難瞭解這個組織到底是在幹麻的了。


2. 在傳輸中的資料

a. 政府有什麼權力

政府對人民進行竊聽是受到嚴格的管制,然而政府又是擁有最多先進的竊聽技術,且在911恐怖攻擊後,愛國法案讓政府更容易使用竊聽技術進行監聽,因此面對你的隱私課題時,必須把它歸為高風險。

保護竊聽的相關法令。自從1967年憲法第四修正案後,法律便保護人民不被竊聽的權力,除非是重大的刑案,取得竊聽的准許比取得搜索令來的還要難,包括了談話、語音溝通 、以及電子溝通等,都須經過法院同意。 

申請竊聽的法院命令。去申請這樣的命令其實非常不簡單,政府必須提出已經或者是即將要犯罪的證據、犯罪地點、被監聽人的資料等限制,而法院必須確定其他傳統方式都不行,必須使用竊聽才會同意並核發命令。

雖然申請竊聽不是那麼容易,但是我們從統計數字上來看,每年還是有接近23千筆的核發竊聽進行(註2),而且幾乎每年的數字都是往上成長的。 

雖然同樣需要法院同意,但比起竊聽,如果只是監聽電話線路打進來跟打出去的號碼,則相對容易的多。

b. 你如何保護自己

監聽在法律上來講有嚴格的限制,但是在技術上來說是很簡單的,因此不要忽略這一點,任何事情都有可能。 

慎選資料傳輸的方式,通常最傳統的是最好的方式,而使用新的技術則要善用加密。

面對面的溝通方式是最安全的,雖然有很多竊聽的方式,但是比起其他的方式,面對面還是最安全的。

使用電話則屬於第二安全的方式,比起網路資料等溝通方式,電話的溝通方式相對來說尚屬安全。

網路電話呢?如果你的網路電話或者VoIP能夠加密的話,是比較安全的方式。

儘量不要使用文字短訊(SMS),簡訊是比較不安全的傳輸方式。

學習如何在使用網際網路時使用加密,很多的網際網路服務、電子郵件、即時通訊、網頁等,都是可以使用加密的服務。

以目前的技術,政府可以利用手機來追蹤你的行蹤進行竊聽,雖然有點不切實際,最安全的方式是把你的手機關機,或不要帶在身邊,才能杜絕竊聽。

本段結論:儘量使用面對面的溝通方式,擅用加密方式,並且小心使用手機。

3.由第三方保存的資料

a.(美國)政府有什麼權力

有些資料只需要傳票就可以蒐集,而不需要法院命令,比如地址、接收跟打出的電話號碼、網路使用的情況、上過的網站及時間等。

另一些資料則需要法院命令,如電子郵件寄件/ 收件人、使用的網址、帳單及信用卡使用狀等。

不是所有的資料都受到保護,比如說網頁伺服器的記錄檔(log)、記錄使用者的瀏覽器型態、時間、送出的資料等,這些資料都不受到保護。

但有些資料則受到特別的保護,如信件內容、語音信箱等,在加州的資訊服務商,則受到第九電信法的限制,除非有搜索令,否則這些資料不可以交給搜查單位。

 

b. 你如何保護自己

先瞭解第三方存有什麼資料,他們如何互相分享資訊,以及政府在此扮演怎樣的角色。

選擇你與第三方的溝通方式,最好能以電話作為溝通的方式。

第三方服務單位對於保護語音信箱的法律非常薄弱,可以的話,使用你自己的答錄機而不要使用電信公司的語音留言。

保護你的VoIP 通訊,使用加密。

保護你的電子郵件,儘可能不要儲存在電子郵件伺服器,並且使用加密。

將你的電子郵件下載, 然後從伺服器上刪除。

儘可能不要使用網頁郵件,因為郵件就會存在伺服器上了。

將郵件加密。

保護即時傳訊(IM)

保護簡訊(SMS),儘量不要用它傳遞重要的資料。

保護線上儲存的資訊,定期清除不需留存的資料。

保護你自己網路搜尋以及網頁的安全,EFF有提供6步驟如何保護你的網頁安全,有興趣請參照(http://www.eff.org/wp/six-tips-protect-your-search-privacy)

目前社群網站、個人部落格已被大量接受,很多人每天不斷更新自己的狀況, 但是,這樣等於不斷的將自己的隱私給大眾。

保護自己所在位置,手機可以完全暴露你的位置,如果要保護這方面的隱私,小心使用你的手機。

本段結論:加密、少用不安全的傳輸方式,是保護自己的不二法門。

Symbian 6.0竊聽案例」

國內一家偵防器材公司涉嫌在網路上販售非法軟體,被害者接收不明簡訊,就可能被植入臥底軟體,並會遭竊聽、盜取簡訊。

初步瞭解,SYMBIAN 6.0作業系統第3版後的手機,都是歹徒下手的目標,歹徒利用這個系統的漏洞,改造臥底軟體成為簡訊,被害者接到簡訊後,手機形同中毒。該軟體最早期在2007年由中國大陸一家公司研發成功,手機一旦被植入臥底軟體後,就成了遠距竊聽器,用特定的SIM卡打電話到這支手機,持有人在不知情的狀況下,週遭的聲音都被有心人聽得一清二楚。


法律之下的自由

這裡不是要教大家如何規避法律或者找法律的漏洞,而是去保障自己該有的權力, 也藉由在美國的情況反思在台灣目前的情況。該不該蒐證抓罪犯?該不該打擊恐怖份子? 因為這是人民賦予政府的權力,為了保障人民的安全,而給予執行單位這些權力來讓社會更好。而執行單位該不該有無限大的權力,窺視每一個人的個人隱私?筆者的答案是否決的,因為社會法源根據的權力是從人民而來, 而人民並沒有賦予執行單位去侵犯每一個公民甚至非公民的隱私權,如果讓這些權力無限上綱,很容易就會讓一個民主國家變成集權國家、警察國家,而這也是美國這個國家目前所面對到的挑戰,及社會所引起的反思,就如同我們一開始提到的,要如何在這2個極端中取得平衡是個重要的課題,傾向任何一邊, 都不是件好事。

結論

電子化時代,如何去保護資訊設備、傳輸的資料,或是儲存在第三方服務商的個人資料相當重要。現在的手機已經可以定位你的確切位置,而手機功能越來越多(今年3月台灣徵信公司非法使用竊聽軟體,請見「Symbian 6.0竊聽案例」),個人資料都留存在資訊系統內,而不斷變化更新的資料則在資訊架構裡透過各種方式傳遞,如果不保護好,那麼你的個人隱私就變得隨手可得。轉過頭來看,其實這些內容不只是用於在監督管制下去保護自己的隱私,而是一個可以讓你每天實行的最佳方案,政府執行單位有所限制,在法律允許之下的部分進行監督管制,可是網路上的惡意使用者?徵信社?罪犯不需要去理會我們上述所有關於什麼「政府有什麼權力」這一段的限制,個人隱私面對潛在的攻擊者會更加脆弱, 最有效保護自身隱私的方式,還是要靠自己,才能在電子化的社會下,求生成功。

1 資料來源:https://ssd.eff.org

2 資料來源:https://ssd.eff.org/wire/govt/wiretap-statistics