跳至主要內容

對歐盟管制加密通訊的公開徵求意見和其他相關法案的想法

歐盟理事會(Council of the European Union) 在2020年12月14日通過對加密通訊採取安全管制的措施,主要是為打擊恐怖主義、組織犯罪及兒童性虐待等犯罪行為。 由於網路犯罪十分仰賴網路搜證,加密通訊造成執法部門搜證困難,所以向各服務業者、研究單位、技術團體徵求意見,為司法與執法單位或未來可能成立的特別組織在加密通訊服務中提供特殊管道,讓他們在有需要時可以取得必要的資訊。

「網路犯罪」的類別和定義則可參考 2001 年的《The Budapest Convention》,其中第 9 條則特別強調了兒童情色圖片,只要是處理、提供、散布兒童情色圖片,都確定是犯罪的。

3 月 11 日晚上參與了由歐洲議會議員 Dr. Patrick Breyer 所主持的線上討論,前半小時由主持人討論關於歐盟為了打擊網路上的兒童色情圖片與影音,想要管制加密通訊軟體,可能成立一個特殊單位並授予權限,要求各加密通訊服務提供後門讓他們監控,未來可能會利用人工智慧來掃瞄加密通訊頻道以提高效率。歐盟委員會也利用網路問卷方式向大眾徵求意見,從本年度的 2 月 11 日至 4 月 15 日止,而這個法案引起人權團體的注意

歐盟對加密通訊頻道的管制

在美國戰略暨國際研究中心於2017年出版的《The Effect of Encryption on Lawful Access to Communications and Data》報告裡提到「2017 年時,全球通訊有 18% 是經過加密通訊的」,而在歐盟委員會網站頁面中則提到 2019 年時,全球的加密通訊已成長至 22%。

在線上討論會裡,主持人提到了未來可能要求各平台服務業者提供一個管道,並以人工智慧程式去掃瞄加密聊天室裡的文字,這個範圍除了我們平常所了解到的各種加密通訊軟體外,也包括了暗網裡的平台。

雖然立意良善,但聽起來總是有些不對勁。線上討論的主持人提到了,因為是以人工智慧去判斷聊天室裡的資訊,但很難說會不會因為文字上的誤解而使無辜的參與者蒙受不白之冤而入獄,又或是可能侵犯使用者的隱私。會議中提到了如果未來法案成立,那關於管轄的主權會僅限於歐盟境內?若是伺服器在其他的國家?或是上傳資訊、閱讀資訊的人在非歐盟成員國時,該如何處理?會議的後半個小時,有德國政府的個資保護部門提出關於個資保護的意見,而主持人也建議他持續追蹤相關的資訊。

我相信對兒少保護來說,政府表示出保護兒童的決心所想出來的方法,是監控使用者的通訊內容,但隱約覺得不安,他們認為犯罪資訊都會通過加密的通訊軟體來傳遞,政府除了保障兒童的安全外,隱私也是需要保障的人權,若是以人力或是程式去掃瞄加密通訊軟體的內容,似乎面臨為保護兒童安全而侵犯了人權的兩難衝突,同時也需要避免管理單位可能濫用職權而侵犯隱私的情況。

其他國家對加密頻道處理的情況

2020 年 10 月時,日本、印度和五眼聯盟 (加拿大、美國、英國、澳大利亞、紐西蘭) 共同發表聯合聲明,要求 Facebook Messenger 和 WhatsApp 提供後門以預防兒童情色圖片、危及國家安全的犯罪訊息透過端對端 (End to End) 的加密通訊軟體中傳遞,讓政府錯失了預防犯罪的機會,畢竟犯罪行為發生後,還需要進行搜證,網路搜證是非常困難的工作,往往依賴國與國之間所簽署的法律互助協定 (Mutual legal assistance treaty,簡稱 MLAT),且往往追到發生地或是其中的一個跳板時,證據已經被刪除了;如果像台灣在國際上的地位不明,要與其他國家簽定 MLAT 是十分困難的事,所以很多時候也會依賴民間的社群合作,可能會比這些國與國之間的「正式協定」來得及時有效。

然而在今年 3 月,日本政府以違反其憲法第 21 條中的保密通信條款為由而退出了該聯合聲明。

中國政府是先讓網路服務自由發展,甚至是提供資源讓各種服務發展,當國營企業成熟時,便要求這些網路服務停止其運作,並改由國家經營的單位接手所有資料來經營。

歐盟委員會的決心

如前所言,日本、印度與五眼聯盟的聯合聲明並不具有法律效力,但在歐盟委員會對於歐盟的數位轉型規劃來說,對於「平台」的管束已經不是只有希望平台服務業者自律而已。

在一個早晨向與主管請教關於歐盟委員會對於網路服務的管制,他提醒我:「歐盟自 2018 年正式執行的『一般資料保護規範』 (General Data Protection Regulation,簡稱 GDPR) 到 2020 年的『數位服務法』(Digital Service Act. 簡稱 DSA ) 和『數位市場法』(Digital Market Act. 簡稱 DMA) ,在外界看起來都像是在對國外的大型企業進行管制,實際則是為了配合其 Digital Single Market的理想,在鼓勵歐盟會員國境內的各種平台服務業者,同時也對現在與未來要進歐盟市場的跨國業者進行區分、定義,並分別對不同規模的網路服務業者、平台服務業者進行『法遵」(Compliance) 的要求,不再只有要求業者『自律』,而是進一步要求業者們『守法』。可以看到 GDPR 裡有完成法遵要求程序,而 DMA 看起來也是,絕不會只有單純想要限制跨國平台在其境內發展而已。」

經主管解釋後,才有豁然開朗的感覺。歐盟執委會這也應該是以政府高度所該出現的態度。畢竟在網路發展的初期,各國政府並沒有把「網路」放在心上,於是後來出現各種不實資訊使社會氛圍動盪不安、濫用使用者隱私與個資去影響選舉結果或跨國的電子商務糾紛、網路犯罪等需要由政府介入但又難以管理的問題,也造成各國政府出現頭痛醫頭、腳痛醫腳,無法根治病源的規範或法案。歐盟委員會對這些平台的管制方式,則是提供一個讓業者遵循的方向、步驟,不會因為「法律沒有說不能做,所以我可以做」的情況出現,同時藉由公開徵求意見來收集相關利害關係人的意見。歐盟希望這些平台或服務業者可以在發展的同時就能守法,不是只有單純的自律,業者也能依循其法律來建立平台業者自身的管理原則,也能公開被使用者檢視、將其管理原則透明化 (DSA 的內容)。

單個人網路使用者的角度、或是習慣站在保護人權的立場來說,政府如果要求業者提供後門以配合其預防犯罪的需求,真的是踩到了侵犯人權的紅線;但若就鼓勵市場發展,但又希望業者能守法的情況下,我會較傾向歐盟委員會一連串相關的政策規劃及立法,而我們也看到人權團體或各種組織透過在網站上提供意見、評論、發表聲明,或像是我所參與的這場由德國海盜黨 (Pirate Party) 主持的線上討論會議收集意見,討論歐盟委員會的線上問卷藏有什麼風險使未來網路服務使用者可能會面臨什麼危機,連政府部門的人員都有參與這場線上討論。

理想的情況下,歐盟委員會的作法也沒有不好,站在政府的角度,他們的確是該有所行動,負起「政府」的責任與站在應有的高度。

台灣該怎麼做?

然而台灣在過去有太痛苦的白色恐怖歷史,連家人、朋友都無法信任彼此。我相信台灣執政的政府要是提出這樣的法案,大概會引起所有人的抗議和引起社會不安。

單就兒少保護的事件來說,台灣有「兒童及少年福利與權益保障法」,也有像「網路內容防護機構」處理網路內容不當的事件,多數則在事件發生後的亡羊補牢和受害者心理衛生及重建,對於預防發生事件則著重在通報系統,提供處理原則,避免有心人士任意通報,形成治標而無法治本且加重執行人員的工作負荷的窘境。若是有相關部門願意再提供一個可以讓企業有所依據的原則,而不是讓許多網站刊登從其他網站複製、貼上的使用者條款、隱私保護及聲明,都能讓企業更安心,同時也能讓使用者知道政府的高度、態度與決心。又另如曾經談過的「科技偵查法」草案,不止引起了許多人的恐慌,同時也無給予利害關係人足夠的時間、提供各種可溝通的管道,我們只看到下圖公告中,必須以「書面」方式向法務部陳述意見,這與本文開頭所述及先前談到歐盟 DSA 與 DMA 在徵求意見的期間 (2個月) 的時間長度相較,不但主管機關所提供的徵求意見時間不足,當其在媒體上苦口婆心勸大家能一同上太空的同時,卻要求大家返璞歸真提供書面意見。

然而歐盟對於兒少保護的立法能否成功?能否如 GDPR 成為多數國家個人資料保護法的學習標的?歐盟委員會的立法是否會加強對網路的壓力而造成網路碎片化?在處理加密通訊軟體的要求上,都還有很大的爭議性,但至少我們已看到在產業與市場發展上,歐盟委員會正在提供法遵的依循方向讓企業遵循。

寫這篇文章並不是為歐盟歌功頌德,藉著前面看到歐盟立法前的程序、步驟,就算在疫情封鎖期間,歐洲議會的議員們仍然透過視訊會議工具與利害關係人討論、解釋,從其立法的角度、態度、溝通方式到思考如何在法規管制、人權、產業發展之間找到平衡,這些細節都是台灣主事者、立法委員們可以參考的過程。

本文經修改後刊登於 工商時報:歐盟管理網路平台服務的新思維

相關資訊連結:

  1. Five Eyes and Japan call for Facebook backdoor to monitor crime
  2. Oppose Crypto Regulations - Japanese Government to withdraw from the "International Statement on End-to-End Encryption and Public Safety"!
  3. Encryption: Council adopts resolution on security through encryption and security despite encryption


Image by Pete Linforth from Pixabay

留言

此網誌的熱門文章

聽死神說故事--偷書賊

書名:偷書賊(THE Book Thief) 作者:Markus Zusak ISBN:9789866973420 作者網站: Markus Zusak 譯者:呂玉嬋 出版:木馬文化 封面取自博客來網路書局。 購買於小小書房。 這個夏天讀《偷書賊》和《失物之書》,會在兩本不同的故事裡看到同一個時空背景所發生的故事,同樣是發生在孩子身上的事,同樣在說文字的力量,但《偷書賊》的節奏比《失物之書》緩慢一些。我盡量不要比較這兩本書,因為這是很無聊的事,但在閱讀的過程裡總驚訝這兩個故事有那麼多巧合之處,不是情節上的相似,而是在人物角色和背景總是有相似或是對立的情況出現。 《偷書賊》的女主角是被德國夫妻領養的莉賽爾,原本也要一同被領養的莉賽爾的弟弟卻死於火車上,莉賽爾在遭受與父母分離及弟弟的死亡後,在精神上受了極大的創傷,幸運的是領養她的父母是故事書中最仁慈的角色,給了莉賽爾完整的愛,不同於此時期裡其他的孩子可能瀕臨餓死或是送入集中營或是在街頭流浪被流彈波及,莉賽爾因為養父母的照顧和周遭的朋友、躲在地下室的猶太人…還有偏愛她的死神。 這個故事的特別處之一,敘述者不是主角或是任何一個書中的角色,而是沒有時空限制,總是旁觀的第三者,特別是在二戰的年代,無所不在的死神,戰場、集中營、巷弄裡,特別的是,這個死神總是想要表現祂冷酷無情和輕蔑人類的一面,但實際上我們從書中讀到的,是祂憐憫人類、輕視、無奈、驚訝人類的個性,也像人類一樣會抱怨工作、具有詩意、幽默感,也就是具有人性的一面: 人類只有在一天的開始與結束時,才會觀察顏色的變化。 但是對我而言,一天當中,每個短暫片刻都呈現出不同的色度與調性。 光是一個小時的時間,就包含了幾千種不同的顏色:蜜蠟黃、柔絲藍、陰鬱黑。 我是做這行的,當然特別注意顏色的變化。 …她貫徹始終,只要經過三十三號的門口,從沒有忘記吐痰,還會外加一句「死豬」。我發現德國人有個特點:他們真的很愛豬。 這個具有人性的死神成了說書者,祂說著在戰時會發生在任何一個角落的故事,然而我們透過祂的眼睛,看到一個帶著色彩、煙硝味濃厚、心驚膽跳與眼淚的故事,祂不儘是旁觀者,同時也是貫穿整個故事的主要角色之一。 整個故事讀起來有對納粹主義的不滿也有對當時情況的無奈。裡面對於創傷後壓力症候群( PTSD )的描寫也很貼切,莉賽爾和猶太人麥克斯分別經歷了不同程度的打擊,也產生了同樣的症狀,

Some reflections when I see those internet giants controlling our daily lives

DALL·E - A vibrant, detailed scene capturing the essence of technology monopolies, represented by towering skyscrapers with logos of major tech companies. Twenty years ago, I was a student in a 5-year college. My major was international trade. The world was wild for globalization, and the internet was beginning. We studied international trade rules in the commercial college, L/C, insurance of the cargo (on board or before on board, or other conditions), the difference between container terminals and freight stations, etc. Some rules are still workable in e-commerce. E-commerce or online shopping is still working on the basics of international trade. As a student, I learned what we should pay attention to when a company wants to set up a branch company or expand its subsidiary in another country; the company needs to follow the local law and customs and respect the local culture, especially when a company needs to have advertisement or marketing events to promote their products. Also, t

為什麼我支持《數位中介服務法》草案

在經歷許多次反抗台灣政府所立的網路相關法案後,我其實沒想過除了《數位通傳法》草案外,我還會再支持另一部法律草案,雖然 《數位通傳法》草案還壓在某處,但如果有人讀過《數位通傳法》的草案,再讀這部《數位中介服務法》草案,就會知道這部草案的重要性,而且也可以顯示台灣網路使用者的成熟度,更重要的,這是我第一次看到引入國際網路治理多方利害關係人機制的法律草案,而且是用在正確的地方。 有興趣想知道我在讀法條時的筆記和當下的感想,可以看我這則  Tweet 。這篇不使用逐條讀法條的方式來寫,因為那會讓人昏昏欲睡,我也不去比對歐盟《數位服務法》,因為我在讀《數位服務法》草案時,該草案特別強調是加強歐盟 E-Commerce Directive  ,而不是取代它,而且更多著重在預防盜版、仿冒,保護消費者的法案。所以當有輿論提到參考自《數位服務法》的《數位中介服務法》草案限縮言論自由時,我其實是一頭問號的,但一直到今天我才有時間讀《數位中介服務法》草案,這篇文章出自於我的個人經驗和閱讀法案的心得,與擔任的職務無關。 如果最近注意一下網路的資訊,有幾件事該注意一下: 有許多人在社群平台,如Facebook或是其他網路看到一些廣告,而這些廣告可能是要你支持台灣農產品、台灣製的產品,結果你收到時,上面還寫著簡體字,通常這是所謂的一頁式廣告詐騙,而行政院的消費者保護會在 2019 年時就有新聞稿在警告「 一頁式廣告詐騙多 小心查證保障多 」,之後像公視或是其他單位都有相關的活動在提醒大家小心這類廣告。但目前這些廣告其實多數不易處理,因為不容易取證、保留證據,等到追查到時已經找不到對方了。 有不少親密照片與影片在情侶分手後,被報復性的上傳到情色網站或透過即時通訊傳到親友的帳號裡,或是被洩露個資,遭到公開的霸凌。 之前有一個專題:「 青春煉獄:網路獵騙性私密影像事件簿 」,光是讀完這個專題報導我就覺得受傷。 有人使用 Deep Fake 把台灣名人的臉部照片合成至色情影片再上傳至色情影片平台,今年 7 月才被判刑。 還有許多創作者藉由網路分享作品時,被人盜用,甚至有國外的使用者修改台灣人的作品去參與比賽還獲獎。 有一次打電話問某個部會,如果消費者在國外電子商務平台買東西,但資料被外洩怎麼辦?雖然政府願意協助,但衡量至國外打官司的時間和成本,就會讓人卻步。 有些行為在現實世界裡有法可管,例如《兒童與