跳至主要內容

對歐盟管制加密通訊的公開徵求意見和其他相關法案的想法

歐盟理事會(Council of the European Union) 在2020年12月14日通過對加密通訊採取安全管制的措施,主要是為打擊恐怖主義、組織犯罪及兒童性虐待等犯罪行為。 由於網路犯罪十分仰賴網路搜證,加密通訊造成執法部門搜證困難,所以向各服務業者、研究單位、技術團體徵求意見,為司法與執法單位或未來可能成立的特別組織在加密通訊服務中提供特殊管道,讓他們在有需要時可以取得必要的資訊。

「網路犯罪」的類別和定義則可參考 2001 年的《The Budapest Convention》,其中第 9 條則特別強調了兒童情色圖片,只要是處理、提供、散布兒童情色圖片,都確定是犯罪的。

3 月 11 日晚上參與了由歐洲議會議員 Dr. Patrick Breyer 所主持的線上討論,前半小時由主持人討論關於歐盟為了打擊網路上的兒童色情圖片與影音,想要管制加密通訊軟體,可能成立一個特殊單位並授予權限,要求各加密通訊服務提供後門讓他們監控,未來可能會利用人工智慧來掃瞄加密通訊頻道以提高效率。歐盟委員會也利用網路問卷方式向大眾徵求意見,從本年度的 2 月 11 日至 4 月 15 日止,而這個法案引起人權團體的注意

歐盟對加密通訊頻道的管制

在美國戰略暨國際研究中心於2017年出版的《The Effect of Encryption on Lawful Access to Communications and Data》報告裡提到「2017 年時,全球通訊有 18% 是經過加密通訊的」,而在歐盟委員會網站頁面中則提到 2019 年時,全球的加密通訊已成長至 22%。

在線上討論會裡,主持人提到了未來可能要求各平台服務業者提供一個管道,並以人工智慧程式去掃瞄加密聊天室裡的文字,這個範圍除了我們平常所了解到的各種加密通訊軟體外,也包括了暗網裡的平台。

雖然立意良善,但聽起來總是有些不對勁。線上討論的主持人提到了,因為是以人工智慧去判斷聊天室裡的資訊,但很難說會不會因為文字上的誤解而使無辜的參與者蒙受不白之冤而入獄,又或是可能侵犯使用者的隱私。會議中提到了如果未來法案成立,那關於管轄的主權會僅限於歐盟境內?若是伺服器在其他的國家?或是上傳資訊、閱讀資訊的人在非歐盟成員國時,該如何處理?會議的後半個小時,有德國政府的個資保護部門提出關於個資保護的意見,而主持人也建議他持續追蹤相關的資訊。

我相信對兒少保護來說,政府表示出保護兒童的決心所想出來的方法,是監控使用者的通訊內容,但隱約覺得不安,他們認為犯罪資訊都會通過加密的通訊軟體來傳遞,政府除了保障兒童的安全外,隱私也是需要保障的人權,若是以人力或是程式去掃瞄加密通訊軟體的內容,似乎面臨為保護兒童安全而侵犯了人權的兩難衝突,同時也需要避免管理單位可能濫用職權而侵犯隱私的情況。

其他國家對加密頻道處理的情況

2020 年 10 月時,日本、印度和五眼聯盟 (加拿大、美國、英國、澳大利亞、紐西蘭) 共同發表聯合聲明,要求 Facebook Messenger 和 WhatsApp 提供後門以預防兒童情色圖片、危及國家安全的犯罪訊息透過端對端 (End to End) 的加密通訊軟體中傳遞,讓政府錯失了預防犯罪的機會,畢竟犯罪行為發生後,還需要進行搜證,網路搜證是非常困難的工作,往往依賴國與國之間所簽署的法律互助協定 (Mutual legal assistance treaty,簡稱 MLAT),且往往追到發生地或是其中的一個跳板時,證據已經被刪除了;如果像台灣在國際上的地位不明,要與其他國家簽定 MLAT 是十分困難的事,所以很多時候也會依賴民間的社群合作,可能會比這些國與國之間的「正式協定」來得及時有效。

然而在今年 3 月,日本政府以違反其憲法第 21 條中的保密通信條款為由而退出了該聯合聲明。

中國政府是先讓網路服務自由發展,甚至是提供資源讓各種服務發展,當國營企業成熟時,便要求這些網路服務停止其運作,並改由國家經營的單位接手所有資料來經營。

歐盟委員會的決心

如前所言,日本、印度與五眼聯盟的聯合聲明並不具有法律效力,但在歐盟委員會對於歐盟的數位轉型規劃來說,對於「平台」的管束已經不是只有希望平台服務業者自律而已。

在一個早晨向與主管請教關於歐盟委員會對於網路服務的管制,他提醒我:「歐盟自 2018 年正式執行的『一般資料保護規範』 (General Data Protection Regulation,簡稱 GDPR) 到 2020 年的『數位服務法』(Digital Service Act. 簡稱 DSA ) 和『數位市場法』(Digital Market Act. 簡稱 DMA) ,在外界看起來都像是在對國外的大型企業進行管制,實際則是為了配合其 Digital Single Market的理想,在鼓勵歐盟會員國境內的各種平台服務業者,同時也對現在與未來要進歐盟市場的跨國業者進行區分、定義,並分別對不同規模的網路服務業者、平台服務業者進行『法遵」(Compliance) 的要求,不再只有要求業者『自律』,而是進一步要求業者們『守法』。可以看到 GDPR 裡有完成法遵要求程序,而 DMA 看起來也是,絕不會只有單純想要限制跨國平台在其境內發展而已。」

經主管解釋後,才有豁然開朗的感覺。歐盟執委會這也應該是以政府高度所該出現的態度。畢竟在網路發展的初期,各國政府並沒有把「網路」放在心上,於是後來出現各種不實資訊使社會氛圍動盪不安、濫用使用者隱私與個資去影響選舉結果或跨國的電子商務糾紛、網路犯罪等需要由政府介入但又難以管理的問題,也造成各國政府出現頭痛醫頭、腳痛醫腳,無法根治病源的規範或法案。歐盟委員會對這些平台的管制方式,則是提供一個讓業者遵循的方向、步驟,不會因為「法律沒有說不能做,所以我可以做」的情況出現,同時藉由公開徵求意見來收集相關利害關係人的意見。歐盟希望這些平台或服務業者可以在發展的同時就能守法,不是只有單純的自律,業者也能依循其法律來建立平台業者自身的管理原則,也能公開被使用者檢視、將其管理原則透明化 (DSA 的內容)。

單個人網路使用者的角度、或是習慣站在保護人權的立場來說,政府如果要求業者提供後門以配合其預防犯罪的需求,真的是踩到了侵犯人權的紅線;但若就鼓勵市場發展,但又希望業者能守法的情況下,我會較傾向歐盟委員會一連串相關的政策規劃及立法,而我們也看到人權團體或各種組織透過在網站上提供意見、評論、發表聲明,或像是我所參與的這場由德國海盜黨 (Pirate Party) 主持的線上討論會議收集意見,討論歐盟委員會的線上問卷藏有什麼風險使未來網路服務使用者可能會面臨什麼危機,連政府部門的人員都有參與這場線上討論。

理想的情況下,歐盟委員會的作法也沒有不好,站在政府的角度,他們的確是該有所行動,負起「政府」的責任與站在應有的高度。

台灣該怎麼做?

然而台灣在過去有太痛苦的白色恐怖歷史,連家人、朋友都無法信任彼此。我相信台灣執政的政府要是提出這樣的法案,大概會引起所有人的抗議和引起社會不安。

單就兒少保護的事件來說,台灣有「兒童及少年福利與權益保障法」,也有像「網路內容防護機構」處理網路內容不當的事件,多數則在事件發生後的亡羊補牢和受害者心理衛生及重建,對於預防發生事件則著重在通報系統,提供處理原則,避免有心人士任意通報,形成治標而無法治本且加重執行人員的工作負荷的窘境。若是有相關部門願意再提供一個可以讓企業有所依據的原則,而不是讓許多網站刊登從其他網站複製、貼上的使用者條款、隱私保護及聲明,都能讓企業更安心,同時也能讓使用者知道政府的高度、態度與決心。又另如曾經談過的「科技偵查法」草案,不止引起了許多人的恐慌,同時也無給予利害關係人足夠的時間、提供各種可溝通的管道,我們只看到下圖公告中,必須以「書面」方式向法務部陳述意見,這與本文開頭所述及先前談到歐盟 DSA 與 DMA 在徵求意見的期間 (2個月) 的時間長度相較,不但主管機關所提供的徵求意見時間不足,當其在媒體上苦口婆心勸大家能一同上太空的同時,卻要求大家返璞歸真提供書面意見。

然而歐盟對於兒少保護的立法能否成功?能否如 GDPR 成為多數國家個人資料保護法的學習標的?歐盟委員會的立法是否會加強對網路的壓力而造成網路碎片化?在處理加密通訊軟體的要求上,都還有很大的爭議性,但至少我們已看到在產業與市場發展上,歐盟委員會正在提供法遵的依循方向讓企業遵循。

寫這篇文章並不是為歐盟歌功頌德,藉著前面看到歐盟立法前的程序、步驟,就算在疫情封鎖期間,歐洲議會的議員們仍然透過視訊會議工具與利害關係人討論、解釋,從其立法的角度、態度、溝通方式到思考如何在法規管制、人權、產業發展之間找到平衡,這些細節都是台灣主事者、立法委員們可以參考的過程。

本文經修改後刊登於 工商時報:歐盟管理網路平台服務的新思維

相關資訊連結:

  1. Five Eyes and Japan call for Facebook backdoor to monitor crime
  2. Oppose Crypto Regulations - Japanese Government to withdraw from the "International Statement on End-to-End Encryption and Public Safety"!
  3. Encryption: Council adopts resolution on security through encryption and security despite encryption


Image by Pete Linforth from Pixabay

留言

此網誌的熱門文章

聽死神說故事--偷書賊

書名:偷書賊(THE Book Thief) 作者:Markus Zusak ISBN:9789866973420 作者網站: Markus Zusak 譯者:呂玉嬋 出版:木馬文化 封面取自博客來網路書局。 購買於小小書房。 這個夏天讀《偷書賊》和《失物之書》,會在兩本不同的故事裡看到同一個時空背景所發生的故事,同樣是發生在孩子身上的事,同樣在說文字的力量,但《偷書賊》的節奏比《失物之書》緩慢一些。我盡量不要比較這兩本書,因為這是很無聊的事,但在閱讀的過程裡總驚訝這兩個故事有那麼多巧合之處,不是情節上的相似,而是在人物角色和背景總是有相似或是對立的情況出現。 《偷書賊》的女主角是被德國夫妻領養的莉賽爾,原本也要一同被領養的莉賽爾的弟弟卻死於火車上,莉賽爾在遭受與父母分離及弟弟的死亡後,在精神上受了極大的創傷,幸運的是領養她的父母是故事書中最仁慈的角色,給了莉賽爾完整的愛,不同於此時期裡其他的孩子可能瀕臨餓死或是送入集中營或是在街頭流浪被流彈波及,莉賽爾因為養父母的照顧和周遭的朋友、躲在地下室的猶太人…還有偏愛她的死神。 這個故事的特別處之一,敘述者不是主角或是任何一個書中的角色,而是沒有時空限制,總是旁觀的第三者,特別是在二戰的年代,無所不在的死神,戰場、集中營、巷弄裡,特別的是,這個死神總是想要表現祂冷酷無情和輕蔑人類的一面,但實際上我們從書中讀到的,是祂憐憫人類、輕視、無奈、驚訝人類的個性,也像人類一樣會抱怨工作、具有詩意、幽默感,也就是具有人性的一面: 人類只有在一天的開始與結束時,才會觀察顏色的變化。 但是對我而言,一天當中,每個短暫片刻都呈現出不同的色度與調性。 光是一個小時的時間,就包含了幾千種不同的顏色:蜜蠟黃、柔絲藍、陰鬱黑。 我是做這行的,當然特別注意顏色的變化。 …她貫徹始終,只要經過三十三號的門口,從沒有忘記吐痰,還會外加一句「死豬」。我發現德國人有個特點:他們真的很愛豬。 這個具有人性的死神成了說書者,祂說著在戰時會發生在任何一個角落的故事,然而我們透過祂的眼睛,看到一個帶著色彩、煙硝味濃厚、心驚膽跳與眼淚的故事,祂不儘是旁觀者,同時也是貫穿整個故事的主要角色之一。 整個故事讀起來有對納粹主義的不滿也有對當時情況的無奈。裡面對於創傷後壓力症候群( PTSD )的描寫也很貼切,莉賽爾和猶太人麥克斯分別經歷了不同程度的打擊,也產生了同樣的症狀,

[movie]記憶中失落的迷人氣味 Perfume

書本: Perfume: The Story of Muder 香水 作者:Patrick Suskind 徐四金 譯者:洪翠娥 出版社:皇冠 電影:Perfume: The Story of Muder 香水 導演:Tom Tykwer 演員:Ben Whishaw, Dustin Hoffman, Alan Rickman, Rachel Hurd-Wood 原聲帶: Perfume: The Story of a Murder - O.S.T. 在博客來網路書局買香水電影原聲帶 配樂:Berliner Philharmoniker 柏林愛樂交響樂團演奏 相信有不少人都看過德國作家徐四金所寫的著名小說《香水》,對這部電影的上映也是又期待又害怕。今天和排休的偉展兩個人到中和國賓影城看了這部電影後,都覺得這電影票錢花得值得,而且也意猶味盡的準備買下DVD和原聲帶。 雖然說這部電影在上映時,作者並未出席首映會,但對於讀者來說,雖然電影的部份有做部份的修改,刪掉書中的部份情節,忽略了小說開頭最重要的部份,但仍是相當好看的,在配樂上、男主角的確有詮釋出 葛奴乙 對於香氣保存的渴望與對氣味的貪婪,由其是他臉上的肌肉會因為對氣味貪婪而顫動著,難怪導演選角選了很久。 在目前所能看到的商業活動文宣裡都提到葛奴乙生來是沒有氣味的,這點其實有些問題。他並非天生就沒有氣味的,在書裡,他出生在一個非常炎熱與臭味衝天的環境裡,小說裡是這麼寫的: 「這種臭她感覺起來不像別的臭,而只更像一種令人受不了的醉人的東西,像百合田,或像放太多黃水仙的密封房間」 因為這醉人的香氣,她暈了過去並滾到路面上,雖然醒來繼續做生意,但沒多久就上斷頭台了(電影裡是受絞刑)。所以葛奴乙並非是生來無氣味的,在我的解讀裡,他一生中的氣味就在出生的那一剎那散發了出來,也許是回饋給那位沒愛過他且嗅覺已遲鈍的年輕母親。然而一個剛出生的嬰兒會有這樣的味道其實也不尋常,嬰兒的味道其實是一種甜甜的蜂蜜牛奶香,暖呼呼的,當然還帶著點尿布的味道,書裡也有描寫,但如果沒有確實的聞到嬰兒身上的香氣,其實很難想像出來。 這也是這部小說和電影成功的地方。在小說的剛開頭章節裡,幾乎都是對於氣味的描寫,讀者要一邊閱讀著文字,大腦裡還要一邊將文字處理成氣味的記憶,但平凡如我,也無法聞過所有的香氣,有

Recommerce 二手商品交易市場再起,順便小聊一下數位稅

最近會抽一點時間讀 Circle ID 上的文章,有些涉及 DNS 系統、網路基礎架構層面的技術性職文章對我來說較有進入障礙,有些則是進入門檻較低的商業公司市場報告,雖然和一般我們在台灣媒體看到所引用的報告來源不同,但十分建議大家多閱讀上面的資訊。