歐盟理事會(Council of the European Union) 在2020年12月14日通過對加密通訊採取安全管制的措施,主要是為打擊恐怖主義、組織犯罪及兒童性虐待等犯罪行為。 由於網路犯罪十分仰賴網路搜證,加密通訊造成執法部門搜證困難,所以向各服務業者、研究單位、技術團體徵求意見,為司法與執法單位或未來可能成立的特別組織在加密通訊服務中提供特殊管道,讓他們在有需要時可以取得必要的資訊。
「網路犯罪」的類別和定義則可參考 2001 年的《The Budapest Convention》,其中第 9 條則特別強調了兒童情色圖片,只要是處理、提供、散布兒童情色圖片,都確定是犯罪的。
3 月 11 日晚上參與了由歐洲議會議員 Dr. Patrick Breyer 所主持的線上討論,前半小時由主持人討論關於歐盟為了打擊網路上的兒童色情圖片與影音,想要管制加密通訊軟體,可能成立一個特殊單位並授予權限,要求各加密通訊服務提供後門讓他們監控,未來可能會利用人工智慧來掃瞄加密通訊頻道以提高效率。歐盟委員會也利用網路問卷方式向大眾徵求意見,從本年度的 2 月 11 日至 4 月 15 日止,而這個法案引起人權團體的注意。
歐盟對加密通訊頻道的管制
在美國戰略暨國際研究中心於2017年出版的《The Effect of Encryption on Lawful Access to Communications and Data》報告裡提到「2017 年時,全球通訊有 18% 是經過加密通訊的」,而在歐盟委員會網站頁面中則提到 2019 年時,全球的加密通訊已成長至 22%。
在線上討論會裡,主持人提到了未來可能要求各平台服務業者提供一個管道,並以人工智慧程式去掃瞄加密聊天室裡的文字,這個範圍除了我們平常所了解到的各種加密通訊軟體外,也包括了暗網裡的平台。
雖然立意良善,但聽起來總是有些不對勁。線上討論的主持人提到了,因為是以人工智慧去判斷聊天室裡的資訊,但很難說會不會因為文字上的誤解而使無辜的參與者蒙受不白之冤而入獄,又或是可能侵犯使用者的隱私。會議中提到了如果未來法案成立,那關於管轄的主權會僅限於歐盟境內?若是伺服器在其他的國家?或是上傳資訊、閱讀資訊的人在非歐盟成員國時,該如何處理?會議的後半個小時,有德國政府的個資保護部門提出關於個資保護的意見,而主持人也建議他持續追蹤相關的資訊。
我相信對兒少保護來說,政府表示出保護兒童的決心所想出來的方法,是監控使用者的通訊內容,但隱約覺得不安,他們認為犯罪資訊都會通過加密的通訊軟體來傳遞,政府除了保障兒童的安全外,隱私也是需要保障的人權,若是以人力或是程式去掃瞄加密通訊軟體的內容,似乎面臨為保護兒童安全而侵犯了人權的兩難衝突,同時也需要避免管理單位可能濫用職權而侵犯隱私的情況。
其他國家對加密頻道處理的情況
2020 年 10 月時,日本、印度和五眼聯盟 (加拿大、美國、英國、澳大利亞、紐西蘭) 共同發表聯合聲明,要求 Facebook Messenger 和 WhatsApp 提供後門以預防兒童情色圖片、危及國家安全的犯罪訊息透過端對端 (End to End) 的加密通訊軟體中傳遞,讓政府錯失了預防犯罪的機會,畢竟犯罪行為發生後,還需要進行搜證,網路搜證是非常困難的工作,往往依賴國與國之間所簽署的法律互助協定 (Mutual legal assistance treaty,簡稱 MLAT),且往往追到發生地或是其中的一個跳板時,證據已經被刪除了;如果像台灣在國際上的地位不明,要與其他國家簽定 MLAT 是十分困難的事,所以很多時候也會依賴民間的社群合作,可能會比這些國與國之間的「正式協定」來得及時有效。
然而在今年 3 月,日本政府以違反其憲法第 21 條中的保密通信條款為由而退出了該聯合聲明。
中國政府是先讓網路服務自由發展,甚至是提供資源讓各種服務發展,當國營企業成熟時,便要求這些網路服務停止其運作,並改由國家經營的單位接手所有資料來經營。
歐盟委員會的決心
如前所言,日本、印度與五眼聯盟的聯合聲明並不具有法律效力,但在歐盟委員會對於歐盟的數位轉型規劃來說,對於「平台」的管束已經不是只有希望平台服務業者自律而已。
在一個早晨向與主管請教關於歐盟委員會對於網路服務的管制,他提醒我:「歐盟自 2018 年正式執行的『一般資料保護規範』 (General Data Protection Regulation,簡稱 GDPR) 到 2020 年的『數位服務法』(Digital Service Act. 簡稱 DSA ) 和『數位市場法』(Digital Market Act. 簡稱 DMA) ,在外界看起來都像是在對國外的大型企業進行管制,實際則是為了配合其 Digital Single Market的理想,在鼓勵歐盟會員國境內的各種平台服務業者,同時也對現在與未來要進歐盟市場的跨國業者進行區分、定義,並分別對不同規模的網路服務業者、平台服務業者進行『法遵」(Compliance) 的要求,不再只有要求業者『自律』,而是進一步要求業者們『守法』。可以看到 GDPR 裡有完成法遵要求程序,而 DMA 看起來也是,絕不會只有單純想要限制跨國平台在其境內發展而已。」
經主管解釋後,才有豁然開朗的感覺。歐盟執委會這也應該是以政府高度所該出現的態度。畢竟在網路發展的初期,各國政府並沒有把「網路」放在心上,於是後來出現各種不實資訊使社會氛圍動盪不安、濫用使用者隱私與個資去影響選舉結果或跨國的電子商務糾紛、網路犯罪等需要由政府介入但又難以管理的問題,也造成各國政府出現頭痛醫頭、腳痛醫腳,無法根治病源的規範或法案。歐盟委員會對這些平台的管制方式,則是提供一個讓業者遵循的方向、步驟,不會因為「法律沒有說不能做,所以我可以做」的情況出現,同時藉由公開徵求意見來收集相關利害關係人的意見。歐盟希望這些平台或服務業者可以在發展的同時就能守法,不是只有單純的自律,業者也能依循其法律來建立平台業者自身的管理原則,也能公開被使用者檢視、將其管理原則透明化 (DSA 的內容)。
單個人網路使用者的角度、或是習慣站在保護人權的立場來說,政府如果要求業者提供後門以配合其預防犯罪的需求,真的是踩到了侵犯人權的紅線;但若就鼓勵市場發展,但又希望業者能守法的情況下,我會較傾向歐盟委員會一連串相關的政策規劃及立法,而我們也看到人權團體或各種組織透過在網站上提供意見、評論、發表聲明,或像是我所參與的這場由德國海盜黨 (Pirate Party) 主持的線上討論會議收集意見,討論歐盟委員會的線上問卷藏有什麼風險使未來網路服務使用者可能會面臨什麼危機,連政府部門的人員都有參與這場線上討論。
理想的情況下,歐盟委員會的作法也沒有不好,站在政府的角度,他們的確是該有所行動,負起「政府」的責任與站在應有的高度。
台灣該怎麼做?
然而台灣在過去有太痛苦的白色恐怖歷史,連家人、朋友都無法信任彼此。我相信台灣執政的政府要是提出這樣的法案,大概會引起所有人的抗議和引起社會不安。
單就兒少保護的事件來說,台灣有「兒童及少年福利與權益保障法」,也有像「網路內容防護機構」處理網路內容不當的事件,多數則在事件發生後的亡羊補牢和受害者心理衛生及重建,對於預防發生事件則著重在通報系統,提供處理原則,避免有心人士任意通報,形成治標而無法治本且加重執行人員的工作負荷的窘境。若是有相關部門願意再提供一個可以讓企業有所依據的原則,而不是讓許多網站刊登從其他網站複製、貼上的使用者條款、隱私保護及聲明,都能讓企業更安心,同時也能讓使用者知道政府的高度、態度與決心。又另如曾經談過的「科技偵查法」草案,不止引起了許多人的恐慌,同時也無給予利害關係人足夠的時間、提供各種可溝通的管道,我們只看到下圖公告中,必須以「書面」方式向法務部陳述意見,這與本文開頭所述及先前談到歐盟 DSA 與 DMA 在徵求意見的期間 (2個月) 的時間長度相較,不但主管機關所提供的徵求意見時間不足,當其在媒體上苦口婆心勸大家能一同上太空的同時,卻要求大家返璞歸真提供書面意見。
然而歐盟對於兒少保護的立法能否成功?能否如 GDPR 成為多數國家個人資料保護法的學習標的?歐盟委員會的立法是否會加強對網路的壓力而造成網路碎片化?在處理加密通訊軟體的要求上,都還有很大的爭議性,但至少我們已看到在產業與市場發展上,歐盟委員會正在提供法遵的依循方向讓企業遵循。
寫這篇文章並不是為歐盟歌功頌德,藉著前面看到歐盟立法前的程序、步驟,就算在疫情封鎖期間,歐洲議會的議員們仍然透過視訊會議工具與利害關係人討論、解釋,從其立法的角度、態度、溝通方式到思考如何在法規管制、人權、產業發展之間找到平衡,這些細節都是台灣主事者、立法委員們可以參考的過程。
本文經修改後刊登於 工商時報:歐盟管理網路平台服務的新思維
- Five Eyes and Japan call for Facebook backdoor to monitor crime
- Oppose Crypto Regulations - Japanese Government to withdraw from the "International Statement on End-to-End Encryption and Public Safety"!
- Encryption: Council adopts resolution on security through encryption and security despite encryption
Image by Pete Linforth from Pixabay
留言
發佈留言
請勿匿名留言,待審核後才會出現。