資安管理:
自由軟體於教育體系個資保護的應用
以及其他隱私提醒

朝陽資管 洪朝貴
@中興大學 個資保護種子教師研習營

使用臉書, 最好不要存有 『隱私的幻想』。 Google 相對是一家比較不為惡的公司, 但基於它的商業模式, google 難以避免地經常引發隱私爭議。

不過, 跟各國政府大規模監聽比起來, 上述商業考量下的侵犯隱私又顯得客氣許多。 今年六月間, Edward Snowden 爆料美國國安局透過 『菱鏡計畫』, 對全球電信及網路大規模監聽。 美國司法部為了管制言論、 找出揭弊的吹哨者, 也監聽美聯社記者。 中國則除了 『防火長城』 之外, 還有 『手機實名制、 封鎖 VPN』、 『追蹤手機、 監控 wifi』。 在臺灣, 除了特偵組的非法監聽之外, 行政院推出的 『資通安全』 注意事項, 其實是一個陷用戶於危險的 『謊言』。

資訊產業也有許多高度可疑、 非商業需要可以解釋的監聽機制、 侵犯隱私的技術, 現在就藏在你桌上的 Windows 電腦、 口袋裡的 iPhone 手機當中。 『Intel RdRand』、 『iMessage 後門』、 『iCloud honeypot』、 『一輩子無法更改的指紋鎖』... 不勝枚舉。 不只是 『蘋果與情治單位』 之間有 『曖昧關係』, 臺灣政府推動 『集權的 MDM』、 『skype backdoor』、 『outlook backdoor』、 『windows NSA 後門』、 『carrier IQ』、 『finfisher』... 都是政商合作侵犯大眾隱私的實例。

雲端時代, 真正能夠保護用戶隱私的技術有 『homomorphic encryption』 跟 『unhosted』, 可惜一個還沒商業化, 另一個商業化的可能性很低。 如果連公認安全的 RSA 加密演算法都可以因為有人在亂數產生器當中動手腳而使 『公鑰夾帶私鑰』, 那麼一般人還能信任什麼樣的資訊技術? 美國大法官 Louis Brandeis 說: 『Sunlight is the best disinfectant.』 資訊科技界亦然。 如果你在意資安與隱私, 那麼自由軟體不是一個選項, 而是一個先決條件。 而自由軟體也不是萬能的。 資訊安全專家 Bruce Schneir 提醒: 『Security is a process, not a product.』 也許大學需要開一門 「如何保護隱私與資安」 的通識課; 資說教授們應該出來建一個資安新聞網站, 協助大眾保護自身資安與隱私。

(請用以上 『關鍵詞』 或雙詞組搜尋相關文章與完整報導。 也請搜尋 『sozi 簡報』 找到 "雲端時代的隱私威脅" 以及 "政府與企業對大眾的網路監控與管制" 兩份簡報。)