跳到主要內容

從「Privacy 是人權議題,由政府來立法保護,Security是 Nice to have」所引發的聯想



昨天下午參加了iThome所舉辦的2017台灣資安大會,其中一場講座的講者講了這麼一句話:
Privacy 是人權議題,由政府來立法保護,Security是 Nice to have
雖然在各個領域裡不斷強調要教育廠商、工程師、使用者(消費者)在產品與服務開發過程、使用過程中都要有資訊安全的概念,但說真的很不容易,以目前台灣的使用情境而言不是每個人都有保護自己、他人的隱私的觀念。

  • 案例一:有次在超商購物,聽到在咖啡座上,有個客人的電話應答:「XXX小姐您好,…您的出生年月日是XX年X月X日,身份證字號是0000000000,地址是…」我訝異的轉頭望向他,這位先生知道他已經在公共場合洩露他人的個資了嗎?
  • 案例二:中國的通訊軟體微信,一直以來都有使用者訊息被監控的情形出現。當我建議周遭的朋友們不要使用這款軟體時,他們會回應我:「我又不是什麼大人物,有什麼好擔心的。」
  • 案例三:總是會有因為使用者不當的操作或安裝了有安全疑慮的程式讓自己手機被入侵,使私密影片、照片,被公開社群網站上。更不用說四處打卡,連在家中也要打卡、拍攝自家內部裝潢給人看、讓人知道你的作息的人,只要有心人都能知道你家中什麼時間有沒有人在家。
在這樣的氛圍裡,我不禁有種:「私領域的不關心造就了危險的公共使用環境」的想法。由於民眾不願意對自己的行為負責,把保護自己與家人個資的責任交給政府,反而可能造成政府不當擴張權力的情況,例如不當的監控行為,甚至因為採購案,而讓不肖的廠商有機可趁。

由於隱私與人權有關,在理想的情況下,排除了利益團體為了盈收、政客為了選票…等情況下所預設的理想狀況,政府立法保護人民隱私,避免人民因為隱私外洩而造成的損失、人身安全、遭受歧視與不人道的對待,規範的對象是服務提供者與產品生產者,提醒他們有保護使用者隱私的責任。

政府所謂的「資訊安全」應該是環境面,著眼點應該是關鍵基礎建設,如水、電、能源運用等,如何讓人民維持日常生活、經濟事務活動運作,而不會因為資安危機導致服務中斷、破壞日常作息。在這樣的方向下,台灣出現了個人資訊保護法(簡稱個資法)及目前尚在草案狀態的資通安全管理法(簡稱資安法)。政府立法保護人民的隱私權、個資,廠商在法律規範下將資訊安全保護設計至生產流程中,這樣才能事半功倍,也才能避免政府或是有心人士過度擴張權力。

文章標題中的「Nice to have」是指廠商在生產、提供產品及服務時,能夠有安全措施及保護,對使用者來說,可以增加對產品與廠商的信心,也能提高品牌價值。但站在服務提供者、產品生產者的角度來說,安全問題是成本與風險的概念,利潤更是企業經營的重大考量。廠商把資安作法設計至生產流程中,可能會增加生產成本(例如資安強度增加時如何有順暢的使用者流程?這都要再請人設計,很多產品因為強調資安,使用者流程反而不順暢),成本增加,又想提升利潤,就必須提高產品售價;市場中的消費者想要便宜又好用的產品,對於資安、隱私保護觀念強度不夠,就算強調資安保護,消費者還是會以「價格高低」為優先考量。

以上所提的是理想的狀況。事實上台灣的個資法、資安法,雖然立意良善,但仍因為政治因素的干擾,呈現尚需改進的狀況。

在Facebok的台灣網路治理論壇社團討論時,有人提到了政府的監控與言論管制是與資訊安全有所抵觸的。

我的看法是,「監控」是政府站在國家安全的角度去行使他的權力,為了避免濫用權力,也有明確的法律限制政府該怎麼做,台灣目前有通訊保障及監察法通訊保障及監察法施行細則,其中通訊保障及監察法第五條來規範在什麼情形下可以進行監控。言論控制、監控是手段不是目的,要看政府這麼做的目的是什麼。以資訊安全或國家安全之名行言論監控之實,是政府明顯濫用權力的行為,對應的解決作法是人民的反監控,明確立法或修法規定國家在行使這樣權力時的行為,並時時監督政府有無濫用不該進行的監控。

另外一種談論「言論監控」、「言論審查」的情境可能也是與網路使用者人身安全相關,例如言語霸凌、假新聞、謠言,這些可能導致社會不安、危害社會秩序。在亞太區網路治理論壇上聽到的案例是,當網路發言者的IP、真實姓名被公布時,他可能就會喪失性命。在這樣的情況下,就要再另外討論,例如政府、網站維護者對於使用者的保護程度。

台灣的資安法與相關的執行細則是處於草案的狀態,但部份的條文總讓讓人不安、讓人無法信任。原因在於:

  1. 政府內部的資訊安全人才不足,儘管有培訓計畫,一個是緩不濟急,另一個是這些培訓出來的人要如何因應未知的資安危機?如果是外部聘入,當任期結束時,後續的處置要怎麼延續?
  2. 以政府的角度是希望公務機關依循行政院的通報機制,地方政府也要成立通報機制與資安單位,以大都市帶周邊城鄉的觀念來建立地區型的資安通報機制。現實面是,如果是駭客要攻擊,他一定先攻擊這些目標:大城市、金融業、交通、重要的民生設施、資訊中心,鄉下地方可能還會因為台灣網路基礎建設落差的關係,成為攻擊目標的機會反而較低,但有可能會成為攻擊的起點或跳板。從另一個角度看,也許還需要鼓勵產業間自己成立所謂的資安通報機制及應變手段,也許會更有效率,更能促進產業之間的人才交流,對於公務機關的負擔可能較沒有那麼重。
  3. 所謂的關鍵基礎設施其實不止水、電、能源等基礎設備,比如跨境電商,只要有影響到民眾日常生活與經濟活動的服務,就算是「關鍵基礎設施」。這樣的定義又更模糊了,雖然規定委託檢查的單位若是觸及敏感的公司資訊是不能外洩,但看到就是看到了啊!
  4. 諸多限制的目的是為了什麼?似乎已經到限制網路使用者自由使用網路的極限,這些限制也限縮了網路創業者的發展空間。
  5. 更糟糕的是,這些法令對於國外的廠商似乎發揮不了作用,國外業者可能選擇撤離台灣,卻緊緊限制了國內的業者。

先前曾經想過,由於政府積極的發展智慧城市,但智慧城市裡首要考量的就是安全的資料傳輸環境,屬於高度資訊安全需求的使用情境,若是由政府打造所謂安全的資料傳輸環境,會不會變成如中國一樣除非翻牆不然就是與世隔絕的網路環境?或是政府時時都在監控的通訊環境?

但能確定的是,如果人民、使用者不注意自己、家人、朋友的隱私,把自己該負的責任都交給政府時,就會讓政府、居心叵測的投機者對法規進行不當的設置,再來爭取所謂的「自由的網路使用環境」也就無任何意義了。

文章圖片取用自Pixabay

留言

這個網誌中的熱門文章

練習看公部門網站

2021.09.05 / 很多人來瀏覽這篇,這是 9 年前的文章,在採納許多人的建議後,國發會已經讓許多政府網站陸續更新,同時,我也離開「網站企劃」這個工作好一陣子。常常都是離開後再回頭看,會有更多感想,而且也比較不負面。如果你看到這篇或在搜尋引擎中看到這篇,請你也看看我在 9 年後寫的這篇文章: 台灣政府網站的改變 (2021年更新自己對政府網站的認知) 。 當我實際與國外的團隊一起工作,從他們的需求來看台灣政府網站時,覺得台灣政府網站並沒有太差,進步的速度看起來有點慢,除了從業人員的求好心切外,也要考量改版後民眾可能找不到資訊的挫折感。就看新的文章吧!人不能一直活在過去。 台灣政府網站的改變 (2021年更新自己對政府網站的認知) 。

21個關於愛情的人生場景

唱作俱佳組演員(左至右):李宏鳴、李忠琪、江翊睿、史茵茵、德仔、陳品伶 劇名:I Love You, You are Perfect, Now Change(簡稱: LPC ) 售票資訊: 兩廳院售票系統 地點:台北皇冠藝文中心小劇場 地址:台北市敦化北路120巷50號B1 地圖 票價:$750/$1,500(兩廳院會員打九折,學生憑證打八折) 嵐創作體: 官方網站 | 部落格 很愛「聽」音樂劇,因會經濟因素很少看國內的表演,都是買CD回來聽,自從去年看了嵐創的拜訪森林後,就很希望每年至少看一場國內的表演。還記得去看《 拜訪森林 》後心情的激動,淡水本來就很美,北藝大的校園及夜景也很美,音樂和演員都很棒,唯一的缺點是離舞台好遠。雖然驚豔於國內也可以聽到這麼美妙的英文音樂劇,但好像少了些什麼。 今年嵐創作體有兩齣劇,原以為錯過了,還好今年還有這麼一部,剛好雨漣在找團購,我們就決定去囉!偉展很希望在北藝大,不過這次在台北的皇冠藝文中心小劇場,要趕去其他地方會近一些。 在短短的兩個小時內,把二十一段愛情場景全部演完,從神創造男女的開始,男女之間的情感從生澀的戀情、花樣年華的戀情、拉警報的求愛、追求婚姻、妥協、婚禮、婚姻與家庭的經營及在幾十年後夫妻之間是否還存有當初的悸動,就在這些場景裡全部演出。 這部戲在國外演了十二年,感覺起來,人類的戀情模式在這十二年中沒有太大的改變,儘管男女之間的距離從表面上看起來愈來愈少,甚至女性從以往的被動轉為主動或主導戀情,但總是像劇中所演出的一樣,男女之間的關係一直都沒有改變-其實女性心底還是希望自己是被動、被呵護、被了解的那一方。 整個劇中讓我印象深刻的總共有三段,在開始之初的Tear Jerk,這是讓我會心一笑的片段。那次看完《最遙遠的距離》,雨漣、阿PO和我三個人在聊天,我說偉展因為工作的關係,如果看比較文藝的電影,他會睡著,所以我會自己去看試映會,偶爾我們會租一些比較輕鬆的劇情片或喜劇片一起看。其實我們第一次一起看電影,是看他送我的《The Big Blue》DVD,在片尾我們兩個人一起流淚,我一直沒有問他為什麼。昨天晚餐時我就問他了:「為什麼那個時候你會流眼淚啊?不會是想睡覺,眼睛流淚吧?還是被劇中兩個潛水員的友情感動了?」他本想不理我的,最後他說:「才不是感動,是覺得男主角的結局太悽慘了。」 於是我告訴他美國版的Happy End

聯合國電子商務週會議中關於資料自決權的討論

這一週是 聯合國電子商務週 的會議,主題是Data and Digitalization for Development。時間是4月25日至29日,這次是混合型會議,實際地點在日內瓦聯合國總部。但就算是線上會議,在亞太地區的時區(台灣是 UTC+8)也是下午四點開始到晚上十二點,要跟會議其實是蠻累的。也不建議再回頭看錄影,因為會浪費更多時間,加上聯合國電子商務週的討論很多都是高度理想化的。 外交基金會(Diplo Foundation)每天會替大家整理相關的重點,可以參考他們的 頁面 ,也提醒大家可以參考: Promotion of trustworthy data spaces and digital self-determination 。就不需要那麼累去跟會議。不過昨天有一場討論是關於「資料自決權」(Data self-determination),這在台灣比較少被討論,多數的討論會停留在「資料主權」(Data Sovereignty)和「資料在地化」(Data Localization)。 不討論「資料自決權」的原因很多,企業不會希望政府做出規定,政府可能也擔心如果人民討論起資料自決權,在法治教育不是那麼足夠的社會,會在行政上出現很多麻煩。歐盟的資料保護法GDPR,大多數人會想到GDPR第17條的被遺忘權,但其實很少人再進一步想關於資料自決權。 國際網路競爭網絡(International Competition Network ,ICN)和英國競爭和市場管理局(CMA)都有發現這點,網路企業會因為網路效應、規模經濟,用一些手段提高消費者的轉換成本、學習成本,讓消費者必須被綁在自己的服務平台上,例如,穿戴式裝置,各位手上的智慧手錶。Fitbit 的使用者如果想要更換其他品牌的智慧手錶,可否把資料從 Fitbit攜出,和 Garmin 或是 Huawei、Samsung、Apple watch 上使用?很難,非常難用。這樣的議題大家可能會想到歐盟最近通過的數位市場法(Digital Market Act,簡稱 DMA)、數位服務法(Digital Service Act,簡稱 DSA)主要還是限制平台的行為、資料的使用,若是關於資料的治理政策還要自歐盟要達成的目標、還有其資料治理相關的法規,如歐洲議會在今年4月所通過的 Data Governance Act