雲端年代的隱私威脅
朝陽資管 洪朝貴
@中興大學法政學院個資法診所「名家講座」
搜尋 『facebook privacy evolution』, 你就會了解: 為什麻使用臉書, 最好不要存有 『隱私的幻想』。 Google 相對是一家比較不為惡的公司, 但基於它的商業模式, google 難以避免地經常引發隱私爭議。
不過, 跟各國政府大規模監聽比起來, 上述商業考量下的侵犯隱私又顯得客氣許多。 今年六月間, Edward Snowden 爆料美國國安局透過 『稜鏡計畫』, 對全球電信及網路大規模監聽。 美國司法部為了管制言論、 找出揭弊的吹哨者, 也監聽美聯社記者。 中國則除了 『防火長城』 之外, 還有 『手機實名制、 封鎖 VPN』、 『追蹤手機、 監控 wifi』。 在臺灣, 除了特偵組的非法監聽之外, 行政院推出的 『資通安全』 注意事項, 其實是一個陷用戶於危險的 『謊言』。
資訊產業也有許多 「高度可疑、 商業需要難以解釋」 的監聽機制、 侵犯隱私的技術, 現在就藏在你桌上的 Windows 電腦、 口袋裡的 iPhone 手機當中。 『Intel RdRand』、 『iMessage 後門』、 『iCloud honeypot』、 『iOS7 mdm 陰謀』、 『一輩子無法更改的指紋鎖』... 不勝枚舉。 不只是 『蘋果與情治單位』 之間有 『曖昧關係』, 『skype backdoor』、 『outlook backdoor』、 『windows NSA 後門』、 『carrier IQ』、 『finfisher』... 都是政商合作侵犯大眾隱私的實例。
雲端時代, 真正能夠保護用戶隱私的技術有 『homomorphic encryption』 跟 『unhosted』, 可惜一個還沒商業化, 另一個商業化的可能性很低。 如果連公認安全的 RSA 加密演算法都可以因為有人在亂數產生器當中動手腳而使 『公鑰夾帶私鑰』, 那麼一般人還能信任什麼樣的資訊技術? 美國大法官 Louis Brandeis 說: 『Sunlight is the best disinfectant.』 資訊科技界亦然。 如果你在意資安與隱私, 那麼 「看得見原始碼」 不是一個選項, 而是一個先決條件。
所以, 『西藏』 人為了保命, 改從開放原始碼的 『f-droid』 市集下載 android apps。 所以, 旨在保護手機通訊隱私的 『Guardian project』, 所有的程式碼一律以原始碼的形式放在 github 上面。 所以, 講者所推薦的 『OTR messaging』 即時通軟體 -- 不論是 『chatsecure』 或是 『pidgin』 或是 『psi』 -- 都是自由軟體。
但自由軟體只是資訊安全的一環, 而不是全部。 資訊科技只能被用來協助保護而不能被用來 強制封鎖個資/隱私。 比方說, 機關組織在保護個資的同時, 千萬不可為了管制 『客戶個資』 而侵犯了 『員工隱私』。 「保護個資」 會不會被行政院拿來當作推動 『集權 MDM』 的藉口, 最終反而侵犯公教人員? 這值得我們留心觀察。 提升大眾自我保護及尊重他人的隱私意識與常識, 可能比技術或法律更是治標的方法。 最終, 讓我們記得資訊安全專家 Bruce Schneier 提醒: 『Security is a process, not a product.』 保護隱私也是如此。
(請用以上 『關鍵詞』 或雙詞組搜尋相關文章與完整報導。 也請搜尋 『sozi 簡報』 找到 "雲端時代的隱私威脅" 以及 "政府與企業對大眾的網路監控與管制" 兩份簡報。)