跳至主要內容

從「Privacy 是人權議題,由政府來立法保護,Security是 Nice to have」所引發的聯想

圖片
作者:


昨天下午參加了iThome所舉辦的2017台灣資安大會,其中一場講座的講者講了這麼一句話:
Privacy 是人權議題,由政府來立法保護,Security是 Nice to have
雖然在各個領域裡不斷強調要教育廠商、工程師、使用者(消費者)在產品與服務開發過程、使用過程中都要有資訊安全的概念,但說真的很不容易,以目前台灣的使用情境而言不是每個人都有保護自己、他人的隱私的觀念。

  • 案例一:有次在超商購物,聽到在咖啡座上,有個客人的電話應答:「XXX小姐您好,…您的出生年月日是XX年X月X日,身份證字號是0000000000,地址是…」我訝異的轉頭望向他,這位先生知道他已經在公共場合洩露他人的個資了嗎?
  • 案例二:中國的通訊軟體微信,一直以來都有使用者訊息被監控的情形出現。當我建議周遭的朋友們不要使用這款軟體時,他們會回應我:「我又不是什麼大人物,有什麼好擔心的。」
  • 案例三:總是會有因為使用者不當的操作或安裝了有安全疑慮的程式讓自己手機被入侵,使私密影片、照片,被公開社群網站上。更不用說四處打卡,連在家中也要打卡、拍攝自家內部裝潢給人看、讓人知道你的作息的人,只要有心人都能知道你家中什麼時間有沒有人在家。
在這樣的氛圍裡,我不禁有種:「私領域的不關心造就了危險的公共使用環境」的想法。由於民眾不願意對自己的行為負責,把保護自己與家人個資的責任交給政府,反而可能造成政府不當擴張權力的情況,例如不當的監控行為,甚至因為採購案,而讓不肖的廠商有機可趁。

由於隱私與人權有關,在理想的情況下,排除了利益團體為了盈收、政客為了選票…等情況下所預設的理想狀況,政府立法保護人民隱私,避免人民因為隱私外洩而造成的損失、人身安全、遭受歧視與不人道的對待,規範的對象是服務提供者與產品生產者,提醒他們有保護使用者隱私的責任。

政府所謂的「資訊安全」應該是環境面,著眼點應該是關鍵基礎建設,如水、電、能源運用等,如何讓人民維持日常生活、經濟事務活動運作,而不會因為資安危機導致服務中斷、破壞日常作息。在這樣的方向下,台灣出現了個人資訊保護法(簡稱個資法)及目前尚在草案狀態的資通安全管理法(簡稱資安法)。政府立法保護人民的隱私權、個資,廠商在法律規範下將資訊安全保護設計至生產流程中,這樣才能事半功倍,也才能避免政府或是有心人士過度擴張權力。

文章標題中的「Nice to have」是指廠商在生產、提供產品及服務時,能夠有安全措施及保護,對使用者來說,可以增加對產品與廠商的信心,也能提高品牌價值。但站在服務提供者、產品生產者的角度來說,安全問題是成本與風險的概念,利潤更是企業經營的重大考量。廠商把資安作法設計至生產流程中,可能會增加生產成本(例如資安強度增加時如何有順暢的使用者流程?這都要再請人設計,很多產品因為強調資安,使用者流程反而不順暢),成本增加,又想提升利潤,就必須提高產品售價;市場中的消費者想要便宜又好用的產品,對於資安、隱私保護觀念強度不夠,就算強調資安保護,消費者還是會以「價格高低」為優先考量。

以上所提的是理想的狀況。事實上台灣的個資法、資安法,雖然立意良善,但仍因為政治因素的干擾,呈現尚需改進的狀況。

在Facebok的台灣網路治理論壇社團討論時,有人提到了政府的監控與言論管制是與資訊安全有所抵觸的。

我的看法是,「監控」是政府站在國家安全的角度去行使他的權力,為了避免濫用權力,也有明確的法律限制政府該怎麼做,台灣目前有通訊保障及監察法通訊保障及監察法施行細則,其中通訊保障及監察法第五條來規範在什麼情形下可以進行監控。言論控制、監控是手段不是目的,要看政府這麼做的目的是什麼。以資訊安全或國家安全之名行言論監控之實,是政府明顯濫用權力的行為,對應的解決作法是人民的反監控,明確立法或修法規定國家在行使這樣權力時的行為,並時時監督政府有無濫用不該進行的監控。

另外一種談論「言論監控」、「言論審查」的情境可能也是與網路使用者人身安全相關,例如言語霸凌、假新聞、謠言,這些可能導致社會不安、危害社會秩序。在亞太區網路治理論壇上聽到的案例是,當網路發言者的IP、真實姓名被公布時,他可能就會喪失性命。在這樣的情況下,就要再另外討論,例如政府、網站維護者對於使用者的保護程度。

台灣的資安法與相關的執行細則是處於草案的狀態,但部份的條文總讓讓人不安、讓人無法信任。原因在於:

  1. 政府內部的資訊安全人才不足,儘管有培訓計畫,一個是緩不濟急,另一個是這些培訓出來的人要如何因應未知的資安危機?如果是外部聘入,當任期結束時,後續的處置要怎麼延續?
  2. 以政府的角度是希望公務機關依循行政院的通報機制,地方政府也要成立通報機制與資安單位,以大都市帶周邊城鄉的觀念來建立地區型的資安通報機制。現實面是,如果是駭客要攻擊,他一定先攻擊這些目標:大城市、金融業、交通、重要的民生設施、資訊中心,鄉下地方可能還會因為台灣網路基礎建設落差的關係,成為攻擊目標的機會反而較低,但有可能會成為攻擊的起點或跳板。從另一個角度看,也許還需要鼓勵產業間自己成立所謂的資安通報機制及應變手段,也許會更有效率,更能促進產業之間的人才交流,對於公務機關的負擔可能較沒有那麼重。
  3. 所謂的關鍵基礎設施其實不止水、電、能源等基礎設備,比如跨境電商,只要有影響到民眾日常生活與經濟活動的服務,就算是「關鍵基礎設施」。這樣的定義又更模糊了,雖然規定委託檢查的單位若是觸及敏感的公司資訊是不能外洩,但看到就是看到了啊!
  4. 諸多限制的目的是為了什麼?似乎已經到限制網路使用者自由使用網路的極限,這些限制也限縮了網路創業者的發展空間。
  5. 更糟糕的是,這些法令對於國外的廠商似乎發揮不了作用,國外業者可能選擇撤離台灣,卻緊緊限制了國內的業者。

先前曾經想過,由於政府積極的發展智慧城市,但智慧城市裡首要考量的就是安全的資料傳輸環境,屬於高度資訊安全需求的使用情境,若是由政府打造所謂安全的資料傳輸環境,會不會變成如中國一樣除非翻牆不然就是與世隔絕的網路環境?或是政府時時都在監控的通訊環境?

但能確定的是,如果人民、使用者不注意自己、家人、朋友的隱私,把自己該負的責任都交給政府時,就會讓政府、居心叵測的投機者對法規進行不當的設置,再來爭取所謂的「自由的網路使用環境」也就無任何意義了。

文章圖片取用自Pixabay
Labels:

留言

發佈留言

請勿匿名留言,待審核後才會出現。

此網誌的熱門文章

哪個應用、服務、平台可以代表台灣?

作者:
大概 2003、 2004 年,我還是個大學生,那個時候「電子商務」是一門選修課,那個時候台灣還在所謂的電子商務泡沫化中復甦,很多熱極一時的「電子商務」就像今天大家看到的 FTX 事件一樣,一點都不真實,很多執行長、總裁瞬間就失業了,也有很多投資人的錢拿不回來。 看過歷史上的鴻源事件、經歷過電子商務的虛無飄渺時期,再看到 FTX,其實也不會太驚訝。通常泡沫消散後,未來才會到來。 回到大學課堂,穿著輕便但言語犀利的老師談到當時的 Amazon 網路書店,他問大家對 Amazon網路書店的看法,那時的Amazon一直被看壞,所有的媒體都不看好它。甚至會有各種市場傳言,覺得 Amazon會被賣給哪家公司或哪家公司、網路書店會主動併購它。 最後老師說,不會,Amazon書店不會那麼輕易就垮掉,它有其代表的意義。 這個答案給了我很深的印象,我常會問自己,台灣有哪個服務會具有這樣的意義? 偶爾我會問身邊的朋友、同事,對於台灣的哪個服務,會覺得有不能輕易垮掉、要支持它的?我列一下自己所接觸過的,這個世代的應用: 通訊服務:ICQ、MSN Messenger、LINE、Cubie Messenger(台灣,已無服務)、Google Talk、WhatsApp、Telegram、Skype、Signal,還有一些台灣可能較少聽到。 社群平台:Twitter、Facebook、LinkedIn、無名小站(已停止服務,它雖然是Blog,但比較像社群)、Plurk、PTT、Dcard、Instagram、AKASHA、Pinterest Blog平台或架站:Blogger、Wordpress、Drupal 共享書籤 : HemiDemi(已沒有提供書籤服務)、美味書籤delicious 叫車服務:UBER、55688 、呼叫小黄、LINE Taxi、yoxi  當然還有很多是我沒接觸過的,請原諒我的見識不夠廣泛,忽略了哪一個平台、應用或服務。一時想到的大概就這些。有一些服務已經消失或在被併購後就消失了,我也忘了名稱,至於 TikTok 和小紅書,是我不想碰觸的應用服務。 在韓國有 Kakao,日本有 LINE、PayPay,東南亞國家有Grab,中國有自己的網路應用,那台灣呢?之前 KaKao 中斷服務,造成民生應用的線上服務也幾乎中斷,過度集中依賴在一個服務上的確是一個缺點。在和...
發佈留言
閱讀更多

女性在防災包中應準備的物品

作者:
全球在這幾年地震頻繁,再加上戰爭的陰影愈來愈大,坊間已經有各種災難包的清單作為一般人備災參考,也看到有些廠商會與名人合作,推廣救災包的重要性。我也採購一個以減少準備的成本,但在檢視與思考廠商陳列的物資清單裡,還是少了什麼,特別是如果遇到戰爭時,那些救災包,不論是幫小朋友準備的、幫寵物準備的,看似很棒,仔細想想,比較像露營用的物品清單。 這讓我很沮喪,因為我買了一個還要花更多成本準備急救藥品的防災包。身為女性,我會選擇多備急救藥品及衛生物品,因為那是能保護生命與尊嚴的基本協助。 網站中所販售的急救內容物是備而不用,反而有些必要的物品,如 止血帶 、止痛藥等,可能因為法規管制而沒有被列在販售的急救藥品清單中,但也沒有詳細的列在教學文章中,許多必要的物品都被輕描淡寫的帶過。我雖然已採購該防災包,但仔細想想,那個可能比較像露營用的清單,有點後悔,但我會留著當基礎,再把沒必要的東西改為必要的物品。災難來臨時,我們都只能選擇必要的,而不是選擇想要的。 急救訓練時的經驗 專科時曾與同學接受紅十字會的急救訓練,有一堂課裡,參與的學員們都討論過「物盡其用」這件事,例如在山上突然骨折或不幸出現開放性傷口時,有什麼東西是可以拿來急救使用的?且當災難來臨時,我們只能帶必要的物品離開,也能減少不必要負重,確保行動方便。 我曾檢視過多份清單,但都沒有看到女性必備的物品。有些東西不論在何時對女性來說是必備的:保險套、避孕藥、衛生棉、消毒藥片,有些物品因為國內法規管制,所以不會在販售清單上出現,所以還是需要自己準備。 保險套 :在戰亂或災區,被迫流離失所時,女性容易因性暴力而面臨傳染病或非預期懷孕風險。雖然保險套無法完全保護女性尊嚴,但至少能減少性病與意外懷孕的風險。另一方面,與許多大型儲水袋相比,保險套體積小、攜帶方便,也能臨時裝水,在缺乏乾淨飲用水的環境下派上用場。 避孕藥 :若在災難或戰爭環境中,醫療資源極度不足,女性若意外懷孕,將面臨極高的健康危機。避孕藥雖然在一般通路不易買到,但若能事先向醫師取得處方並納入防災包,就能有效降低非計畫性懷孕。 衛生棉 :一般型的衛生棉也好,或是夜安型(例如34、40公分)的衛生棉,除了生理期使用外,厚實且吸水量大,在臨時缺少紗布或繃帶時,也可用作包紮或止血墊。如果場地髒亂,同時也能暫時保持傷口乾燥,減少感染風險。雖然占空間,但在災難環境中,這些吸水性佳的材...
發佈留言
閱讀更多

因為日常事務,我遇到網路詐騙了

作者:
在各位閱讀我的個人被詐騙經驗前,請看一下內政部警政署的 打詐儀表板 網站,了解一下台灣每天有多少人被網路詐騙,各種網路詐騙的手法,好好保護自己,希望不會有人再被詐騙。 為什麼沒有洗滌貼身衣物的小家電? 台灣的女性多少都有被教導貼身衣物要與一般日常衣物分開洗滌的觀念,且不要與襪子一起洗,加上女性貼身衣物的材質也不適合洗衣機洗,所以多數女性在洗澡時會順手洗滌自己的貼身衣物。因為浴室空間有限,所以我也是拿個小板凳、洗臉盆、洗衣板,在小小的空間內把貼身衣物洗乾淨。隨著年齡增長,我開始覺得這是一種負擔,甚至遇到出差過夜時,晚上會累到沒力氣洗貼身衣物,帶回來洗,就更疲倦。 有時候在居住的地方,是公用的洗澡間,更不好意思拿著裝著貼身衣物的洗臉盆在洗手台洗衣服,如果在公共淋浴間裡洗衣服,還要注意自己是否占用其他人使用浴室的時間。 所以長期都在注意有無這種小家電,我相信它有需求存在,例如寶寶的口水巾、衣服,就不適合與大人的衣服襪子一起洗,但寶寶的衣服都小小的,就像女性的貼身衣物的布料也沒有太多,全丟進洗衣機裡,又十分浪費水。 不幸的是,大多數這種專門洗滌貼身衣物的機器都來自中國,而且台灣似乎都覺得反正手洗就好了。那有人算過手洗一套貼身衣物要花多少時間嗎?一個家長還要再手洗嬰兒衣物的時間要花多少?這個需求存在,卻沒有人想要做這一塊。或者,消費者得冒險去買中國的產品。 一個冠上台灣品牌合作的迷你洗衣機吸引我的眼光 我覺得不用 Facebook 是人生最棒的決定,但我仍使用 Twitter、Instagram 與 WhatsApp, 用Instagram連結植物社群,Twitter 與 WhatsApp是連結網路治理社群與國外的朋友。其他通訊軟體如 Signal、Telegram,我都有使用。 今年 5 月是我個人意外忙碌的月份,需要台北台南兩地跑,所以迫切的需要一台方便的清潔小家電來節省我更多的時間,於是我睡前滑手機時,在 Instagram 上看到所謂「玉如阿姨與東元家電TECO」合作的迷你洗衣機,我還轉發給朋友,想到這個東西的人很厲害,因為它就把果汁機裡的刀片拿掉就好了。 因為是睡前,所以沒有想太多再去查證,更何況它的價格還算合理,且是貨到付款,不用先匯款,所以我就下單,填寫收件資料後就去睡了,雖一讓我感到奇怪的是,它不需要填寫電子信箱位置,它只要收件人姓名、電話、超商店名即可。 因...
2 則留言
閱讀更多