跳到主要內容

從「Privacy 是人權議題,由政府來立法保護,Security是 Nice to have」所引發的聯想



昨天下午參加了iThome所舉辦的2017台灣資安大會,其中一場講座的講者講了這麼一句話:
Privacy 是人權議題,由政府來立法保護,Security是 Nice to have
雖然在各個領域裡不斷強調要教育廠商、工程師、使用者(消費者)在產品與服務開發過程、使用過程中都要有資訊安全的概念,但說真的很不容易,以目前台灣的使用情境而言不是每個人都有保護自己、他人的隱私的觀念。

  • 案例一:有次在超商購物,聽到在咖啡座上,有個客人的電話應答:「XXX小姐您好,…您的出生年月日是XX年X月X日,身份證字號是0000000000,地址是…」我訝異的轉頭望向他,這位先生知道他已經在公共場合洩露他人的個資了嗎?
  • 案例二:中國的通訊軟體微信,一直以來都有使用者訊息被監控的情形出現。當我建議周遭的朋友們不要使用這款軟體時,他們會回應我:「我又不是什麼大人物,有什麼好擔心的。」
  • 案例三:總是會有因為使用者不當的操作或安裝了有安全疑慮的程式讓自己手機被入侵,使私密影片、照片,被公開社群網站上。更不用說四處打卡,連在家中也要打卡、拍攝自家內部裝潢給人看、讓人知道你的作息的人,只要有心人都能知道你家中什麼時間有沒有人在家。
在這樣的氛圍裡,我不禁有種:「私領域的不關心造就了危險的公共使用環境」的想法。由於民眾不願意對自己的行為負責,把保護自己與家人個資的責任交給政府,反而可能造成政府不當擴張權力的情況,例如不當的監控行為,甚至因為採購案,而讓不肖的廠商有機可趁。

由於隱私與人權有關,在理想的情況下,排除了利益團體為了盈收、政客為了選票…等情況下所預設的理想狀況,政府立法保護人民隱私,避免人民因為隱私外洩而造成的損失、人身安全、遭受歧視與不人道的對待,規範的對象是服務提供者與產品生產者,提醒他們有保護使用者隱私的責任。

政府所謂的「資訊安全」應該是環境面,著眼點應該是關鍵基礎建設,如水、電、能源運用等,如何讓人民維持日常生活、經濟事務活動運作,而不會因為資安危機導致服務中斷、破壞日常作息。在這樣的方向下,台灣出現了個人資訊保護法(簡稱個資法)及目前尚在草案狀態的資通安全管理法(簡稱資安法)。政府立法保護人民的隱私權、個資,廠商在法律規範下將資訊安全保護設計至生產流程中,這樣才能事半功倍,也才能避免政府或是有心人士過度擴張權力。

文章標題中的「Nice to have」是指廠商在生產、提供產品及服務時,能夠有安全措施及保護,對使用者來說,可以增加對產品與廠商的信心,也能提高品牌價值。但站在服務提供者、產品生產者的角度來說,安全問題是成本與風險的概念,利潤更是企業經營的重大考量。廠商把資安作法設計至生產流程中,可能會增加生產成本(例如資安強度增加時如何有順暢的使用者流程?這都要再請人設計,很多產品因為強調資安,使用者流程反而不順暢),成本增加,又想提升利潤,就必須提高產品售價;市場中的消費者想要便宜又好用的產品,對於資安、隱私保護觀念強度不夠,就算強調資安保護,消費者還是會以「價格高低」為優先考量。

以上所提的是理想的狀況。事實上台灣的個資法、資安法,雖然立意良善,但仍因為政治因素的干擾,呈現尚需改進的狀況。

在Facebok的台灣網路治理論壇社團討論時,有人提到了政府的監控與言論管制是與資訊安全有所抵觸的。

我的看法是,「監控」是政府站在國家安全的角度去行使他的權力,為了避免濫用權力,也有明確的法律限制政府該怎麼做,台灣目前有通訊保障及監察法通訊保障及監察法施行細則,其中通訊保障及監察法第五條來規範在什麼情形下可以進行監控。言論控制、監控是手段不是目的,要看政府這麼做的目的是什麼。以資訊安全或國家安全之名行言論監控之實,是政府明顯濫用權力的行為,對應的解決作法是人民的反監控,明確立法或修法規定國家在行使這樣權力時的行為,並時時監督政府有無濫用不該進行的監控。

另外一種談論「言論監控」、「言論審查」的情境可能也是與網路使用者人身安全相關,例如言語霸凌、假新聞、謠言,這些可能導致社會不安、危害社會秩序。在亞太區網路治理論壇上聽到的案例是,當網路發言者的IP、真實姓名被公布時,他可能就會喪失性命。在這樣的情況下,就要再另外討論,例如政府、網站維護者對於使用者的保護程度。

台灣的資安法與相關的執行細則是處於草案的狀態,但部份的條文總讓讓人不安、讓人無法信任。原因在於:

  1. 政府內部的資訊安全人才不足,儘管有培訓計畫,一個是緩不濟急,另一個是這些培訓出來的人要如何因應未知的資安危機?如果是外部聘入,當任期結束時,後續的處置要怎麼延續?
  2. 以政府的角度是希望公務機關依循行政院的通報機制,地方政府也要成立通報機制與資安單位,以大都市帶周邊城鄉的觀念來建立地區型的資安通報機制。現實面是,如果是駭客要攻擊,他一定先攻擊這些目標:大城市、金融業、交通、重要的民生設施、資訊中心,鄉下地方可能還會因為台灣網路基礎建設落差的關係,成為攻擊目標的機會反而較低,但有可能會成為攻擊的起點或跳板。從另一個角度看,也許還需要鼓勵產業間自己成立所謂的資安通報機制及應變手段,也許會更有效率,更能促進產業之間的人才交流,對於公務機關的負擔可能較沒有那麼重。
  3. 所謂的關鍵基礎設施其實不止水、電、能源等基礎設備,比如跨境電商,只要有影響到民眾日常生活與經濟活動的服務,就算是「關鍵基礎設施」。這樣的定義又更模糊了,雖然規定委託檢查的單位若是觸及敏感的公司資訊是不能外洩,但看到就是看到了啊!
  4. 諸多限制的目的是為了什麼?似乎已經到限制網路使用者自由使用網路的極限,這些限制也限縮了網路創業者的發展空間。
  5. 更糟糕的是,這些法令對於國外的廠商似乎發揮不了作用,國外業者可能選擇撤離台灣,卻緊緊限制了國內的業者。

先前曾經想過,由於政府積極的發展智慧城市,但智慧城市裡首要考量的就是安全的資料傳輸環境,屬於高度資訊安全需求的使用情境,若是由政府打造所謂安全的資料傳輸環境,會不會變成如中國一樣除非翻牆不然就是與世隔絕的網路環境?或是政府時時都在監控的通訊環境?

但能確定的是,如果人民、使用者不注意自己、家人、朋友的隱私,把自己該負的責任都交給政府時,就會讓政府、居心叵測的投機者對法規進行不當的設置,再來爭取所謂的「自由的網路使用環境」也就無任何意義了。

文章圖片取用自Pixabay

留言

這個網誌中的熱門文章

讀百年孤寂的一些感想

馬奎斯的小說,買回家的那天晚上就讀的欲罷不能。第一次閱畢,只能感受到文字所帶給我的感受,當我讀第二次、第三次後,總在生活裡的某些情境下憶起書中的情節與書中人物的苦悶。這場空虛夢幻開始於愛情與理想-老邦迪亞帶著易家蘭與朋友們離開家鄉,開創了馬康多這個奇幻的城市;也結束於愛情與理想-倭良諾與小亞瑪蘭塔的亂倫生下了預言中帶著豬尾巴的嬰兒,之後倭良諾翻譯完吉卜賽人的手稿,整個馬康多毀滅。這個家族的女性:易家蘭的堅毅性格與匹達黛的沉默付出;叫亞瑪蘭塔的女孩總是勇敢追求愛情而心態扭曲;這個家族的男人一生都在追求著自己生命中的目標,亞克迪奧的狂妄無羈,先是追求情欲,他的兒子追求名利;老邦迪亞追求著心中的理想(新的生活、發明);小邦迪亞追求政治上的勝利與心靈的平靜、席甘多與席根鐸兄弟兩人,哥哥追求的是欲望的滿足,弟弟追求的是心靈上的滿足與事實的存在;卡碧娥追求的「當女王」的夢想,而這個家族又與吉卜賽人有著密不可分的關係。當我啃食著書中文字時,馬奎斯的文字也在我的腦海裡建立著一幅又一幅的圖像:從有著鳥鳴鐘與銀杏葉的美麗城市、莉比卡張著大眼驚恐的坐在小椅上吮著手指的灰藍色畫面,;卡碧娥處於高地的城市除了虛偽的白色聖潔外還有一種孤獨的藍色;小邦迪亞與莫氏柯蒂近乎於天真的愛情與最後政治鬥爭的失敗而封閉是一種苦悶摻著靛藍色的灰;美女瑞米迪娥的升天是白色與藍色的純潔,對比著卡碧娥愚昧的世俗、席根多與席甘鐸在死亡前的面容與棺木被放反了墓穴、美美為了愛情的放蕩、最後倭良諾讀完吉卜賽人留下手稿的那一陣風…所有的畫面總蒙上一層昏暗的黃色光,對我而,那是一種孤單與遺忘。當我身在雨下個不停又溼冷的淡水時,腦海裡閃過的是書中四年多的雨季;當妖精國王講到失眠時,我腦海裡浮現的是馬康多的集體失眠;當夏日一陣風拂過,閃過的是倭良諾最後發現整個邦迪亞家族是一場夢幻的空虛與毀滅。而黃昏的夕陽,總讓我想起倭良諾與小亞瑪蘭塔放肆的愛情。我們總在生命中追求著自己的理想,如書中的每個角色:追求愛情、追求名利、追求所謂的「真實」,總在生命的最後一刻才發現自己的一生甚至所看到的一切是一個虛幻的畫面,就像馬康多,這個城市從未存在過,對書中的人而言,馬康多是存在著的,但對我們而言馬康多是虛構的、建構在文字與腦海裡的。我所看到的世界是我腦海裡建構出來的世界,這個城市是我心中的馬康多,眼裡所見的是腦中點線面建構出來的空間,而我的心情就…

【隨手記】不歡迎匿名回應者

致 小白先生/女士,你的編號是47,727,就是喜歡當藏鏡人是吧?只要是匿名回應,管你留了什麼好的、壞的、非商業性、公益活動,我就是不放出來。要說什麼好話什麼義正言辭,回你自己家說去,在我這裡,少用匿名在這裡長篇大論,具名回應是種禮貌,你對我沒禮貌,我何必把你說的話放在自家的部落格裡?柯南說:「兇手是會回去案發現場檢視自己成果的。」這是貓玲玲提醒我的,哈哈哈。Technorati Tags:

新加坡 Smart Nation 初探

在陸續的聽了一些關於新加坡 Smart Nation 相關計畫的介紹(研討會、網路新聞)及資料收集後,看看台灣目前的作法,寫下一點點心得。

先自一些線上調查來看,聯合國2014年對193個成員國所做的的電子化政府評比中,新加坡的電子化政務(EGDI)是在前三名,電子參與(EPI)也是前十名;世界經濟論壇今年初所完成的全球資訊科技報告(Global Information Technology 2015)中也提到新加坡的網路就緒指數(Network Readiness Index)在所調查的143個經濟體中排名第一。這些評比成果都顯示新加坡在電子政務上、基礎建設上都相當完善。

新加坡的 Smart Nation 很明確的定義出 Smart Nation 是要解決問題,對象是「人」。他們找出了要解決的問題:人口老化、教育、交通、資源的問題,針對這些問題擬定了要解決的作法,例如為了解決日後人口老化所衍生的健康照護問題,他們建造智慧住宅,對住戶的生活習慣收集資訊、分析日常行為,如果有一些行為是反常的,可能就會進一步的通知或實地查訪。對於某些人來說可能會覺得隱私被侵犯,但這是最有可能解決獨居老人發生意外而無人及時救援的方案之一。