網友分享訊息, 說政府可能會訂定 「行動電話機系統內建軟體資安檢測技術規範」 草案。 搜尋一下, 似乎是 立法委員江惠貞的提案, 主張 「手機出廠前, (政府應) 對內建 apps 進行嚴謹的資訊安全檢測」。 本來以為這只是一個欠缺技術知識的不專業善意建議, 想說寫一篇 (難得) 客氣的文章呼籲政府修正方向。 不過更認真搜尋之後, 才發現自己太善良太好騙了。 決定放棄對政府與立委喊話, 還是回過頭來直接警告網友比較實在一點。 突然之間, 資訊軟體協會 (CISA) 就要在 12/04 舉辦 「手機APP軟體基本資安規範」小型座談會 (超有效率!) 邀請資策會說明國家新政策: 「未來將要求國內通訊應用軟體業者, 將其開發之產品送行檢測, 並將檢測結果不符合規範之通訊軟體, 予以揭露其安全性, 提醒消費者注意使用該通訊軟體危險性。」 看來大家都很積極地趕時程, 我也只能將現有的不完整發現與猜想草草分享。
一、 民意代表的心意真難懂
首先, 立法院的 「公開資訊」 很難被搜尋到。 本文的資訊都是先在別處找到, 再用內文搜尋回立院官方文件。 而且立法院的 pdf 檔沒有日期, 斷頁也很奇怪。 一個建議: 改用 html 檔, 每案一頁, 首尾有日期並有連結指回索引頁, 這樣不是比較簡單好用嗎?
上面的江惠貞提案頁面來自一個江西臺灣交流網站。 (?) 後來終於用內文搜尋到 10/17 及 10/21 第8屆第6會期第6次會議議事 的 專案質詢關係文書。
另外又搜尋到 「口袋國會.tw」 的頁面 1、 2, 再用內文終於搜尋到 官方立院公報第 101 卷第 22 期 (4月24日) 第41頁原文, 有一群立委提案要對 app 進行分級。
提案立委六位都是國民黨; 連署有 25 人。 提案的除了陳碧涵、 楊玉欣、 吳育仁、 江惠貞等人之外, 特別搶眼的是 「尚未腦死, 良心就已遭強行摘除」 的政黨意識受害者蘇清泉醫師。
至於領銜提案的, 則是台北市兒少福利委員 王育敏。 這一位國民黨的不分區立委一方面為了保護兒童食品健康, 主張管制垃圾食品廣告 (請搜尋 「王育敏 垃圾」) 另一方面卻又 護航頂新, 聽到頂新的名字就嚇得宣佈散會, 且讚許衛福部隱匿進口廢油相關資訊。 這兩件事從維護食品安全的角度看, 似乎很矛盾; 但從手段的角度來看, 其實很一致: 都是採取禁止/限制資訊流通的方式在 "解決" (大眾的, 或她私人的) 問題。 哦, 還有她在現場 驅趕旁聽的公民監督國會聯盟志工, 事後又說 要控告公督盟誹謗。 後者看起來像是 「針對公眾參與的策略性訴訟」 (SLAPP) 。 看起來王育敏一路走來始終如一的立場就是支持資訊封鎖與言論管制。
當然, 我們不宜以人廢言。 還是要看看 廢言
發言的真實內容才好進一步評論: 「為落實兒少法之規定,
國家通訊傳播委員會應儘速邀集經濟部工業局、
內政部兒童局等相關部會依法推動、
建立過濾軟體及內容分級制度,
並推動網際網路平臺提供者建立自律機制。
針對 APP 軟體, 更應儘速訂立管理辦法, 並予以分級。」
再查一下, 同樣是以王育敏為首的一群立委所提的
兒少修法 當中, 主張將 app 增列入分級管理範圍, 並且已於 1/22 二讀通過。
對於網站內容採取 「業者自律分級」 取代政府強行介入管制的政策, Lawerence Lessig 倒是支持的。 至於手機 app 的暴力色情問題到底有多嚴重? 需要立法要求業者自律分級嗎? 會有哪些副作用? 有實質效果嗎? 還是有其他更有效、 副作用更小的替代方案? 如果 「業者自律分級」 是這些立委提案的真實目的, 也是未來座談會所討論的主軸, 那麼恐怕還有很多討論的空間, 不宜燥進。
二、 執政者管制網路的意圖倒是很好懂
不過令我更不安的是另一種 (目前欠缺直接證據的) 可能性。 王育敏跟蘇清泉兩人都有扭曲語言/答非所問/欺騙大眾的不良記錄。 行政院也有掛羊頭賣狗肉的不良記錄。 立法委員的 「app 業者自律分級」 跟 「手機出廠預裝 app 的資訊安全」 兩個案子, 為什麼到了資策會及資訊軟體協會手裡, 就變成了 「要求國內通訊應用軟體業者, 將其開發之產品送行檢測」? 到底是哪些黑手在幕後操作、 扭曲改變議題? 是行政部門自作主張嗎? 還是像 盜版三振垃圾法案 一樣, 有外力介入, 操作丁守中及其他傀儡立委假冒民意? 這個制度到了實作現場, 會不會根本完全走樣, 竟變成言論管制的工具? 有鑑於過去在國內發生過其他類似事件, 以及政府及立委經常答非所問的習性, 如果要等到把問題釐清、 證據到齊才寫文章討論, 恐怕就太晚了。 以下是我個人對網友及資訊產業朋友的警告。
這幾年來, 臺灣的執政者有太多次管制言論的企圖, 一再地掛羊頭賣狗肉扭曲各種藉口只為管制網路資訊流通, 而且履敗履戰。 跟這次特別相似的, 是 「方便黑箱作業、 事後遮醜、 阻撓揭弊」 的國安修法 -- 前面大談資安, 實際上後面只對管制言論有興趣。 行政院資通會報技術服務中心 「行動裝置資通安全注意事項」 的謊言剖析 也是一個類似的案例: 說是要保護手機平板的資訊安全, 其實是政府想要入侵公教人員的行動裝置, 取得最高控制權。 另外, 白絲帶關懷協會令人憂心的網路管制角色 與此次事件同樣都是以保護兒少視聽出發; 也同樣都有機會被濫用於資訊封鎖。 當然還有 「替其他單位/其他法案管制網路打好基礎建設」 的電信修法, 在法律層面也是 「把 app 分級扭曲解釋成具有言論管制正當性」 的絕佳後援。
這次的 app 管制會不會走到禁用某些 app 或是政府要求在簡訊軟體植入後門的地步? 我希望不要。 也呼籲資策拿出專業良知, 千萬不要變成政治工具, 配合政府把議題誤導到(看起來假惺惺的)資訊安全, 甚至變成全面(而非僅針對出廠預裝部分) 管制 app。 如果 CISA 辦座談會要推動的是王育敏的 app 分級案, 那麼請專注談 app 分級, 而不要擴大解釋成 app 管制。 如果要推動的是江惠貞的手機出廠 app 案, 那麼你應該邀請手機廠商而不是 app 廠商來參與。
而且我很懷疑 CISA 跟資策會到底有沒有能力與勇氣談論真正的資訊安全問題。 從以前到現在, 從 IE6 漏洞 到 Windows 後門 再到 iMessage 後門, 這些震驚國際的資安與隱私議題發生時, 你們有哪幾次跳出來大聲疾呼? 只要侵犯大眾隱私的是國際大廠, 你們都乖乖地閉嘴不是嗎? 現在政府黑手要伸進國內資訊產業, 大眾憑什麼相信你們會站在我們這一邊? 我直接在這裡先提出具有國際觀點的手機 app 資訊安全建議好了; 資安與隱私的議題就不勞你們費神了。
三、 保護資訊安全的要領? 兩句話就懂!
「政府認證」 並不是保障資訊安全的好方法。 MS Windows 裡的 Dual_EC_DRBG (是的, 你的 Windows 電腦裡也有) 就是經過美國國家標準局 (NIST) 所認證的國安局 NSA 後門。 「廠商出廠預裝」 也不是保障資訊安全的好方法。 2011 年在美國上市的三星、 HTC、 Nokia、 RIM (黑莓機製造商) 等等各家手機, 都在出廠時直接預藏有 側錄軟體 Carrier IQ ( 蘋果也不能免俗)。 那麼, 「政府跟廠商聯手認證」 比較安全嗎? 別忘了: 蘋果、 Nokia、 RIM 三大廠都 都幫竊聽側錄軟體 FinFisher 數位簽章掛保證: 「政府用它來竊聽民眾, 讚啦!」 素行不良、 多次展現管制與竊聽意圖的國民黨政府, 對廠商的認證機制如果最終竟是黑箱作業, 那麼經過政府認證的手機只會更加令人感到不安。
怎樣才是真正的資訊安全? 廿世紀初的美國大法官 Louis Brandeis 說過: 「陽光是最好的消毒劑。」 這句話不僅適用於政治領域, 也適用於資訊領域。 原始碼攤在陽光下, 讓大眾檢視, 這才是真正邁向資訊安全的第一步。 小格有很多文章不斷地重複地說這句話, 連結就省略不給了。
開放原始碼只是資訊安全的第一步, 並不是安全的必然保證。 比方說, 當開放原始碼的 TrueCrypt 被質疑是否藏有後門時, 大家的做法是 募款僱人稽核程式碼。 此外, 參與稽核的人士也要具名負責, 才有公信力。
至於第三方的認證或評鑑, 我當然會選擇相信 EFF 之類長期關心資訊人權問題的機構 -- 例如 EFF 對簡訊軟體的記分表 -- 而不會相信一個素行不良的政府所做的推薦。 (右圖為中譯版, 取自 「推動網路中立性立法」 網站)
如果資策會想要代表政府談 app 資安、 想要對業者提出要求, 那麼第一優先值得做的事, 不是要求 app 業者, 而是 (1) 鼓勵硬體廠商公開支援完全開放原始碼的 replicant 手機作業系統, 把它作為產品出廠預先安裝 OS 的一個選項 (2) 鼓勵硬體廠商開放自身的驅動程式原始碼。 今日的 android 手機不夠安全, 並非因為它太開放, 而是因為它不夠開放。 詳見: 手機不該 Root/越獄/刷機的理由有很多; 但 「安全」 絕對不是其中之一。
不論政府怎麼做, 硬體廠自行推出 「預裝 replicant」 的機型對自己好處多多。 我保證寫一篇英文開箱文請國際自由軟體社群推爆你的產品 -- 因為對於這樣的產品, 現在的市場有需求, 但廠商沒供給。 基於很多原因, 市場對於這種產品的接受度, 會比 「預裝 linux 的桌機筆電」 要高很多。 最好跟著防竊聽的 JackPair 搭著賣, 在 「手機市場史內卜」 NSA 的反串代言之下, 保證熱銷。 ( EFF 呼籲 NIST 不要再跟 NSA 聯手打擊美國資訊產品的信譽) 我很想推薦 HTC 的國產手機; 但他們的機器對於刷機很不友善, 所以我只能勉強推薦友善刷機的三星 (但也請見 三星產品的後門)。 經過這次的選舉, 如果你還看不懂白目的力量 [1、 2] 能夠召喚出多少網路的迴響與支持, 那麼你們公司的處境可能很快就會比國民黨更辛苦了。 你們公司跟國民黨很不一樣 -- 你們沒有黑道朋友、 你們經營的是科技產業、 你們沒有機會直接動用國家行政資源 (國民黨選輸, 卻是中華民國行政院長要負責下臺的意思, 就是擺明了在指責行政院長沒有善用行政資源替黨輔選, 所以這個酬庸職位必須被拔掉啊!) 而且你們沒有 268億的黨產可以燒。
至於 app 廠商, 不論你是否支持開放原始碼, 未來你的產品如果真的遭到政府不當的黑箱要求, 請記得盡量蒐集白紙黑字的公文或威脅語言的錄音檔之類的第一手證物, 用 gpg 加密寄 mail 給我。 特別是技術規範之類的文件, 當然本來就應該要公開。 如果連你自己都不懂得捍衛正當的權益, 更沒有人會站出來替你說話。
* * * * *
手邊沒電腦; 口頭推薦本文嗎? 可以請您的朋友搜尋 「」 或 「」。