跳至主要內容

對歐盟管制加密通訊的公開徵求意見和其他相關法案的想法

歐盟理事會(Council of the European Union) 在2020年12月14日通過對加密通訊採取安全管制的措施,主要是為打擊恐怖主義、組織犯罪及兒童性虐待等犯罪行為。 由於網路犯罪十分仰賴網路搜證,加密通訊造成執法部門搜證困難,所以向各服務業者、研究單位、技術團體徵求意見,為司法與執法單位或未來可能成立的特別組織在加密通訊服務中提供特殊管道,讓他們在有需要時可以取得必要的資訊。

「網路犯罪」的類別和定義則可參考 2001 年的《The Budapest Convention》,其中第 9 條則特別強調了兒童情色圖片,只要是處理、提供、散布兒童情色圖片,都確定是犯罪的。

3 月 11 日晚上參與了由歐洲議會議員 Dr. Patrick Breyer 所主持的線上討論,前半小時由主持人討論關於歐盟為了打擊網路上的兒童色情圖片與影音,想要管制加密通訊軟體,可能成立一個特殊單位並授予權限,要求各加密通訊服務提供後門讓他們監控,未來可能會利用人工智慧來掃瞄加密通訊頻道以提高效率。歐盟委員會也利用網路問卷方式向大眾徵求意見,從本年度的 2 月 11 日至 4 月 15 日止,而這個法案引起人權團體的注意

歐盟對加密通訊頻道的管制

在美國戰略暨國際研究中心於2017年出版的《The Effect of Encryption on Lawful Access to Communications and Data》報告裡提到「2017 年時,全球通訊有 18% 是經過加密通訊的」,而在歐盟委員會網站頁面中則提到 2019 年時,全球的加密通訊已成長至 22%。

在線上討論會裡,主持人提到了未來可能要求各平台服務業者提供一個管道,並以人工智慧程式去掃瞄加密聊天室裡的文字,這個範圍除了我們平常所了解到的各種加密通訊軟體外,也包括了暗網裡的平台。

雖然立意良善,但聽起來總是有些不對勁。線上討論的主持人提到了,因為是以人工智慧去判斷聊天室裡的資訊,但很難說會不會因為文字上的誤解而使無辜的參與者蒙受不白之冤而入獄,又或是可能侵犯使用者的隱私。會議中提到了如果未來法案成立,那關於管轄的主權會僅限於歐盟境內?若是伺服器在其他的國家?或是上傳資訊、閱讀資訊的人在非歐盟成員國時,該如何處理?會議的後半個小時,有德國政府的個資保護部門提出關於個資保護的意見,而主持人也建議他持續追蹤相關的資訊。

我相信對兒少保護來說,政府表示出保護兒童的決心所想出來的方法,是監控使用者的通訊內容,但隱約覺得不安,他們認為犯罪資訊都會通過加密的通訊軟體來傳遞,政府除了保障兒童的安全外,隱私也是需要保障的人權,若是以人力或是程式去掃瞄加密通訊軟體的內容,似乎面臨為保護兒童安全而侵犯了人權的兩難衝突,同時也需要避免管理單位可能濫用職權而侵犯隱私的情況。

其他國家對加密頻道處理的情況

2020 年 10 月時,日本、印度和五眼聯盟 (加拿大、美國、英國、澳大利亞、紐西蘭) 共同發表聯合聲明,要求 Facebook Messenger 和 WhatsApp 提供後門以預防兒童情色圖片、危及國家安全的犯罪訊息透過端對端 (End to End) 的加密通訊軟體中傳遞,讓政府錯失了預防犯罪的機會,畢竟犯罪行為發生後,還需要進行搜證,網路搜證是非常困難的工作,往往依賴國與國之間所簽署的法律互助協定 (Mutual legal assistance treaty,簡稱 MLAT),且往往追到發生地或是其中的一個跳板時,證據已經被刪除了;如果像台灣在國際上的地位不明,要與其他國家簽定 MLAT 是十分困難的事,所以很多時候也會依賴民間的社群合作,可能會比這些國與國之間的「正式協定」來得及時有效。

然而在今年 3 月,日本政府以違反其憲法第 21 條中的保密通信條款為由而退出了該聯合聲明。

中國政府是先讓網路服務自由發展,甚至是提供資源讓各種服務發展,當國營企業成熟時,便要求這些網路服務停止其運作,並改由國家經營的單位接手所有資料來經營。

歐盟委員會的決心

如前所言,日本、印度與五眼聯盟的聯合聲明並不具有法律效力,但在歐盟委員會對於歐盟的數位轉型規劃來說,對於「平台」的管束已經不是只有希望平台服務業者自律而已。

在一個早晨向與主管請教關於歐盟委員會對於網路服務的管制,他提醒我:「歐盟自 2018 年正式執行的『一般資料保護規範』 (General Data Protection Regulation,簡稱 GDPR) 到 2020 年的『數位服務法』(Digital Service Act. 簡稱 DSA ) 和『數位市場法』(Digital Market Act. 簡稱 DMA) ,在外界看起來都像是在對國外的大型企業進行管制,實際則是為了配合其 Digital Single Market的理想,在鼓勵歐盟會員國境內的各種平台服務業者,同時也對現在與未來要進歐盟市場的跨國業者進行區分、定義,並分別對不同規模的網路服務業者、平台服務業者進行『法遵」(Compliance) 的要求,不再只有要求業者『自律』,而是進一步要求業者們『守法』。可以看到 GDPR 裡有完成法遵要求程序,而 DMA 看起來也是,絕不會只有單純想要限制跨國平台在其境內發展而已。」

經主管解釋後,才有豁然開朗的感覺。歐盟執委會這也應該是以政府高度所該出現的態度。畢竟在網路發展的初期,各國政府並沒有把「網路」放在心上,於是後來出現各種不實資訊使社會氛圍動盪不安、濫用使用者隱私與個資去影響選舉結果或跨國的電子商務糾紛、網路犯罪等需要由政府介入但又難以管理的問題,也造成各國政府出現頭痛醫頭、腳痛醫腳,無法根治病源的規範或法案。歐盟委員會對這些平台的管制方式,則是提供一個讓業者遵循的方向、步驟,不會因為「法律沒有說不能做,所以我可以做」的情況出現,同時藉由公開徵求意見來收集相關利害關係人的意見。歐盟希望這些平台或服務業者可以在發展的同時就能守法,不是只有單純的自律,業者也能依循其法律來建立平台業者自身的管理原則,也能公開被使用者檢視、將其管理原則透明化 (DSA 的內容)。

單個人網路使用者的角度、或是習慣站在保護人權的立場來說,政府如果要求業者提供後門以配合其預防犯罪的需求,真的是踩到了侵犯人權的紅線;但若就鼓勵市場發展,但又希望業者能守法的情況下,我會較傾向歐盟委員會一連串相關的政策規劃及立法,而我們也看到人權團體或各種組織透過在網站上提供意見、評論、發表聲明,或像是我所參與的這場由德國海盜黨 (Pirate Party) 主持的線上討論會議收集意見,討論歐盟委員會的線上問卷藏有什麼風險使未來網路服務使用者可能會面臨什麼危機,連政府部門的人員都有參與這場線上討論。

理想的情況下,歐盟委員會的作法也沒有不好,站在政府的角度,他們的確是該有所行動,負起「政府」的責任與站在應有的高度。

台灣該怎麼做?

然而台灣在過去有太痛苦的白色恐怖歷史,連家人、朋友都無法信任彼此。我相信台灣執政的政府要是提出這樣的法案,大概會引起所有人的抗議和引起社會不安。

單就兒少保護的事件來說,台灣有「兒童及少年福利與權益保障法」,也有像「網路內容防護機構」處理網路內容不當的事件,多數則在事件發生後的亡羊補牢和受害者心理衛生及重建,對於預防發生事件則著重在通報系統,提供處理原則,避免有心人士任意通報,形成治標而無法治本且加重執行人員的工作負荷的窘境。若是有相關部門願意再提供一個可以讓企業有所依據的原則,而不是讓許多網站刊登從其他網站複製、貼上的使用者條款、隱私保護及聲明,都能讓企業更安心,同時也能讓使用者知道政府的高度、態度與決心。又另如曾經談過的「科技偵查法」草案,不止引起了許多人的恐慌,同時也無給予利害關係人足夠的時間、提供各種可溝通的管道,我們只看到下圖公告中,必須以「書面」方式向法務部陳述意見,這與本文開頭所述及先前談到歐盟 DSA 與 DMA 在徵求意見的期間 (2個月) 的時間長度相較,不但主管機關所提供的徵求意見時間不足,當其在媒體上苦口婆心勸大家能一同上太空的同時,卻要求大家返璞歸真提供書面意見。

然而歐盟對於兒少保護的立法能否成功?能否如 GDPR 成為多數國家個人資料保護法的學習標的?歐盟委員會的立法是否會加強對網路的壓力而造成網路碎片化?在處理加密通訊軟體的要求上,都還有很大的爭議性,但至少我們已看到在產業與市場發展上,歐盟委員會正在提供法遵的依循方向讓企業遵循。

寫這篇文章並不是為歐盟歌功頌德,藉著前面看到歐盟立法前的程序、步驟,就算在疫情封鎖期間,歐洲議會的議員們仍然透過視訊會議工具與利害關係人討論、解釋,從其立法的角度、態度、溝通方式到思考如何在法規管制、人權、產業發展之間找到平衡,這些細節都是台灣主事者、立法委員們可以參考的過程。

本文經修改後刊登於 工商時報:歐盟管理網路平台服務的新思維

相關資訊連結:

  1. Five Eyes and Japan call for Facebook backdoor to monitor crime
  2. Oppose Crypto Regulations - Japanese Government to withdraw from the "International Statement on End-to-End Encryption and Public Safety"!
  3. Encryption: Council adopts resolution on security through encryption and security despite encryption


Image by Pete Linforth from Pixabay

留言

此網誌的熱門文章

為什麼我支持《數位中介服務法》草案

在經歷許多次反抗台灣政府所立的網路相關法案後,我其實沒想過除了《數位通傳法》草案外,我還會再支持另一部法律草案,雖然 《數位通傳法》草案還壓在某處,但如果有人讀過《數位通傳法》的草案,再讀這部《數位中介服務法》草案,就會知道這部草案的重要性,而且也可以顯示台灣網路使用者的成熟度,更重要的,這是我第一次看到引入國際網路治理多方利害關係人機制的法律草案,而且是用在正確的地方。 有興趣想知道我在讀法條時的筆記和當下的感想,可以看我這則  Tweet 。這篇不使用逐條讀法條的方式來寫,因為那會讓人昏昏欲睡,我也不去比對歐盟《數位服務法》,因為我在讀《數位服務法》草案時,該草案特別強調是加強歐盟 E-Commerce Directive  ,而不是取代它,而且更多著重在預防盜版、仿冒,保護消費者的法案。所以當有輿論提到參考自《數位服務法》的《數位中介服務法》草案限縮言論自由時,我其實是一頭問號的,但一直到今天我才有時間讀《數位中介服務法》草案,這篇文章出自於我的個人經驗和閱讀法案的心得,與擔任的職務無關。 如果最近注意一下網路的資訊,有幾件事該注意一下: 有許多人在社群平台,如Facebook或是其他網路看到一些廣告,而這些廣告可能是要你支持台灣農產品、台灣製的產品,結果你收到時,上面還寫著簡體字,通常這是所謂的一頁式廣告詐騙,而行政院的消費者保護會在 2019 年時就有新聞稿在警告「 一頁式廣告詐騙多 小心查證保障多 」,之後像公視或是其他單位都有相關的活動在提醒大家小心這類廣告。但目前這些廣告其實多數不易處理,因為不容易取證、保留證據,等到追查到時已經找不到對方了。 有不少親密照片與影片在情侶分手後,被報復性的上傳到情色網站或透過即時通訊傳到親友的帳號裡,或是被洩露個資,遭到公開的霸凌。 之前有一個專題:「 青春煉獄:網路獵騙性私密影像事件簿 」,光是讀完這個專題報導我就覺得受傷。 有人使用 Deep Fake 把台灣名人的臉部照片合成至色情影片再上傳至色情影片平台,今年 7 月才被判刑。 還有許多創作者藉由網路分享作品時,被人盜用,甚至有國外的使用者修改台灣人的作品去參與比賽還獲獎。 有一次打電話問某個部會,如果消費者在國外電子商務平台買東西,但資料被外洩怎麼辦?雖然政府願意協助,但衡量至國外打官司的時間和成本,就會讓人卻步。 有些行為在現實世界裡有法可管,例如《兒童與

面對平台隱私變革:使用者的角色轉變與應對之道

在 X (原 Twitter)這個曾經是自由言論的社群媒體上,因該平台最近改變隱私條款,以致於又興起一股使用者搬到其他社群平台上的浪潮,這是很熟悉的場景,從 Facebook 的言論管制,到 X 目前讓被封鎖的使用者自討沒趣的去看封鎖他的人的訊息。我開始在想,在這一次又一次的搬遷潮裡,我學到什麼。 Google 曾經提供一個名為 Google Reader 的服務,使用者可以自訂資訊來源,將有提供 RSS 服務的網站或 Blog 資訊加入其中。當時,許多網站或 Blog 都提供 RSS 服務,讓使用者能方便更新資訊來源。然而,隨著社群平台的興起,越來越多使用者開始利用社群媒體的演算法來獲取資訊,Google 最終在 2013 年停止 Google Reader 的服務。這使得一些使用者選擇依賴社群平台提供的資訊,而另一些人則轉向其他類似的 RSS 閱讀服務,例如 Feedly。Google 停止 Google Reader 的一個好處是,其他類似的平台得以有機會生存,而不再由 Google 壟斷這類資訊來源的服務。 最近 Google 反對紐西蘭的新聞議價法案 (Fair Digital News Bargaining Bill),這件事的後續影響可能是 Google 會移除資料庫中紐西蘭新聞的來源。此外,Google 和 Meta 也因類似的法案移除過澳大利亞和加拿大的新聞內容。 這代表網路使用者不應該再如以往般依賴搜尋引擎、社群平台取得資訊來源,而是開始建立及掌握自己的資訊來源,對於新聞媒體而言,應該著力於提供品質良好的新聞,讓使用者願意付費訂閱,而不是使整個新聞版面充斥廣告,依賴廣告收入,讓使用者無法取得要閱讀的資訊,也讓廣告服務平台掌控收入來源,而有些新聞網站的版面看起來更像是內容農場一樣。 我使用 Twitter 已超過十年,有很長一段時間迷失於Facebook此類社群平台上的互動,直到我感受到社群平台的公開性,使某些惡意的使用者會追蹤社群平台內容,造成隱私隱憂時,便決定不再使用 Facebook,也改變我使用社群平台的策略,讓不同平台有不同的功能,也因為這樣,服務平台變動使用者服務條款或隱私權條款,對我並沒太大影響。 至於使用者們擔心 X 平台使用使用者內容訓練人工智慧,在講究著作權、智財權的年代,這乎是要發展人工智慧服務的平台會做的事。目前的平台使用者

各國政府在談資料跨境傳輸時,台灣需要什麼?

保護個人資料可能是各行各業的一個重要議題,不止增加了企業的資安相關成本也增加了法遵成本。尤其是需要跨國傳輸(個人)資料的企業,除了要配合各國的資料保護法(規範、規則)外,也要擔心資料外洩事件後續的成本,還有許多額外的行政手續。許多國家已經感受到資料流動的重要性,也紛紛的透過數位經濟協議、各種雙邊或多邊協議,來減輕企業跨境傳輸資料時的相關成本,以促進(數位)經濟發展,例如2018年時,美國、墨西哥、加拿大已簽署「美國-墨西哥-加拿大協定」(United States, Mexico, and Canada Agreement),讓這三個國家的企業可以在北美境內自由傳輸資料。 2019年由日本前首安倍晉三在世界經濟論壇和2019年的G20大阪峰會中提出提出「Data Free Flow with Trust」(簡稱DFFT),其核心概念是「基於信任的資料流通」。這樣的概念主要是建立彼此信任的跨境資料傳輸,促進資料自由流動,同時確保對隱私、安全和智慧財產權之信任。 在2019年G20大阪峰會時就已談出了DFFT的發展概念,2021年時已擬定發展的藍圖。當時也討論了所謂的資料在地化、資料主權等議題,並且也有著「資料的連結與使用是可提升生產力的重要因素,限制跨境資料流動,會是國際貿易體系的沉重成本之一,且資料在地化的要求可能會提高企業的生產與法遵成本」之共識。 到了2023年,因當時聯合國網路治理論壇(UN IGF)在日本京都舉辦、及G7日本廣島峰會的緣故,DFFT的概念再次被提出,且被熱烈討論著。G7廣島峰會裡則是建立了夥伴關係機制 (Institutional Arrangement for Partnership,IAP),並由OECD擔任協調的單位,來建立所謂的IAP;日本的JICA(Japan International Cooperation Agency)也在UN IGF 中提出執行 DFFT 之相關倡議。 如果有興趣進一步了解DFFT,可以閱讀: Digital Agency, Data Free Flow with Trust (DFFT) , World Economist Forum, Data Free Flow with Trust (DFFT): Paths towards Free and Trusted Data Flows 網路上的資料很多,