跳至主要內容

從「Privacy 是人權議題,由政府來立法保護,Security是 Nice to have」所引發的聯想

圖片
作者:


昨天下午參加了iThome所舉辦的2017台灣資安大會,其中一場講座的講者講了這麼一句話:
Privacy 是人權議題,由政府來立法保護,Security是 Nice to have
雖然在各個領域裡不斷強調要教育廠商、工程師、使用者(消費者)在產品與服務開發過程、使用過程中都要有資訊安全的概念,但說真的很不容易,以目前台灣的使用情境而言不是每個人都有保護自己、他人的隱私的觀念。

  • 案例一:有次在超商購物,聽到在咖啡座上,有個客人的電話應答:「XXX小姐您好,…您的出生年月日是XX年X月X日,身份證字號是0000000000,地址是…」我訝異的轉頭望向他,這位先生知道他已經在公共場合洩露他人的個資了嗎?
  • 案例二:中國的通訊軟體微信,一直以來都有使用者訊息被監控的情形出現。當我建議周遭的朋友們不要使用這款軟體時,他們會回應我:「我又不是什麼大人物,有什麼好擔心的。」
  • 案例三:總是會有因為使用者不當的操作或安裝了有安全疑慮的程式讓自己手機被入侵,使私密影片、照片,被公開社群網站上。更不用說四處打卡,連在家中也要打卡、拍攝自家內部裝潢給人看、讓人知道你的作息的人,只要有心人都能知道你家中什麼時間有沒有人在家。
在這樣的氛圍裡,我不禁有種:「私領域的不關心造就了危險的公共使用環境」的想法。由於民眾不願意對自己的行為負責,把保護自己與家人個資的責任交給政府,反而可能造成政府不當擴張權力的情況,例如不當的監控行為,甚至因為採購案,而讓不肖的廠商有機可趁。

由於隱私與人權有關,在理想的情況下,排除了利益團體為了盈收、政客為了選票…等情況下所預設的理想狀況,政府立法保護人民隱私,避免人民因為隱私外洩而造成的損失、人身安全、遭受歧視與不人道的對待,規範的對象是服務提供者與產品生產者,提醒他們有保護使用者隱私的責任。

政府所謂的「資訊安全」應該是環境面,著眼點應該是關鍵基礎建設,如水、電、能源運用等,如何讓人民維持日常生活、經濟事務活動運作,而不會因為資安危機導致服務中斷、破壞日常作息。在這樣的方向下,台灣出現了個人資訊保護法(簡稱個資法)及目前尚在草案狀態的資通安全管理法(簡稱資安法)。政府立法保護人民的隱私權、個資,廠商在法律規範下將資訊安全保護設計至生產流程中,這樣才能事半功倍,也才能避免政府或是有心人士過度擴張權力。

文章標題中的「Nice to have」是指廠商在生產、提供產品及服務時,能夠有安全措施及保護,對使用者來說,可以增加對產品與廠商的信心,也能提高品牌價值。但站在服務提供者、產品生產者的角度來說,安全問題是成本與風險的概念,利潤更是企業經營的重大考量。廠商把資安作法設計至生產流程中,可能會增加生產成本(例如資安強度增加時如何有順暢的使用者流程?這都要再請人設計,很多產品因為強調資安,使用者流程反而不順暢),成本增加,又想提升利潤,就必須提高產品售價;市場中的消費者想要便宜又好用的產品,對於資安、隱私保護觀念強度不夠,就算強調資安保護,消費者還是會以「價格高低」為優先考量。

以上所提的是理想的狀況。事實上台灣的個資法、資安法,雖然立意良善,但仍因為政治因素的干擾,呈現尚需改進的狀況。

在Facebok的台灣網路治理論壇社團討論時,有人提到了政府的監控與言論管制是與資訊安全有所抵觸的。

我的看法是,「監控」是政府站在國家安全的角度去行使他的權力,為了避免濫用權力,也有明確的法律限制政府該怎麼做,台灣目前有通訊保障及監察法通訊保障及監察法施行細則,其中通訊保障及監察法第五條來規範在什麼情形下可以進行監控。言論控制、監控是手段不是目的,要看政府這麼做的目的是什麼。以資訊安全或國家安全之名行言論監控之實,是政府明顯濫用權力的行為,對應的解決作法是人民的反監控,明確立法或修法規定國家在行使這樣權力時的行為,並時時監督政府有無濫用不該進行的監控。

另外一種談論「言論監控」、「言論審查」的情境可能也是與網路使用者人身安全相關,例如言語霸凌、假新聞、謠言,這些可能導致社會不安、危害社會秩序。在亞太區網路治理論壇上聽到的案例是,當網路發言者的IP、真實姓名被公布時,他可能就會喪失性命。在這樣的情況下,就要再另外討論,例如政府、網站維護者對於使用者的保護程度。

台灣的資安法與相關的執行細則是處於草案的狀態,但部份的條文總讓讓人不安、讓人無法信任。原因在於:

  1. 政府內部的資訊安全人才不足,儘管有培訓計畫,一個是緩不濟急,另一個是這些培訓出來的人要如何因應未知的資安危機?如果是外部聘入,當任期結束時,後續的處置要怎麼延續?
  2. 以政府的角度是希望公務機關依循行政院的通報機制,地方政府也要成立通報機制與資安單位,以大都市帶周邊城鄉的觀念來建立地區型的資安通報機制。現實面是,如果是駭客要攻擊,他一定先攻擊這些目標:大城市、金融業、交通、重要的民生設施、資訊中心,鄉下地方可能還會因為台灣網路基礎建設落差的關係,成為攻擊目標的機會反而較低,但有可能會成為攻擊的起點或跳板。從另一個角度看,也許還需要鼓勵產業間自己成立所謂的資安通報機制及應變手段,也許會更有效率,更能促進產業之間的人才交流,對於公務機關的負擔可能較沒有那麼重。
  3. 所謂的關鍵基礎設施其實不止水、電、能源等基礎設備,比如跨境電商,只要有影響到民眾日常生活與經濟活動的服務,就算是「關鍵基礎設施」。這樣的定義又更模糊了,雖然規定委託檢查的單位若是觸及敏感的公司資訊是不能外洩,但看到就是看到了啊!
  4. 諸多限制的目的是為了什麼?似乎已經到限制網路使用者自由使用網路的極限,這些限制也限縮了網路創業者的發展空間。
  5. 更糟糕的是,這些法令對於國外的廠商似乎發揮不了作用,國外業者可能選擇撤離台灣,卻緊緊限制了國內的業者。

先前曾經想過,由於政府積極的發展智慧城市,但智慧城市裡首要考量的就是安全的資料傳輸環境,屬於高度資訊安全需求的使用情境,若是由政府打造所謂安全的資料傳輸環境,會不會變成如中國一樣除非翻牆不然就是與世隔絕的網路環境?或是政府時時都在監控的通訊環境?

但能確定的是,如果人民、使用者不注意自己、家人、朋友的隱私,把自己該負的責任都交給政府時,就會讓政府、居心叵測的投機者對法規進行不當的設置,再來爭取所謂的「自由的網路使用環境」也就無任何意義了。

文章圖片取用自Pixabay
Labels:

留言

發佈留言

請勿匿名留言,待審核後才會出現。

此網誌的熱門文章

讀歐盟「數位服務法」和「數位市場法」草案心得

作者:
在 3 月 24 日時參與了 台灣網路講堂 所舉辦的 活動 ,這個活動是以在台灣較知名的美國 Parler 案為題,來討論歐盟的「數位市場法」 (Digital Market Act. 簡稱 DMA ) 對於「守門人」(Gatekeeper) 平台的管制,並邀請了從競爭法、經濟學、公平會、傳播及科技法律不同角度的講者來討論這個議題。 受限於時間,講者們只能把不同角度的重點讓參與者了解,事後再看 DMA 時,才了解並不是只有單純只對守門人做規範,而是從整個歐盟打算將會員國打造成「數位單一市場」(Digital Single Market)的整個脈絡,並從其發展資料經濟 (Data Economic)所發展不同階段的相關政策、指令與法律,而主管 (也是當天活動的引言人) 也提醒,還可以自歐盟在 2018 年 5 月正式執行的「一般資料保護規範」(General Data Protection Regulation,簡稱 GDPR) 觀察,歐盟當局不是只有外表看到的禁止、設限,更重要的,它是希望藉由明確的「法遵」 (Compliance) 要求,建立一個健全、具有發展與競爭機會的數位經濟市場。 這些法遵要求不論是對歐盟會員國境內發展數位服務的廠商、中小企業、不同規模的平台,到跨國企業進入歐盟市場發展,除了要面臨相關的市場調查外,也同樣要遵守。 如果無法看整個歐盟的數位單一市場發展,應該要了解 DMA 其實是「The Digital Services Act package」的法案之一,另一個則是「數位服務法」 (Digital Service Act. 簡稱 DSA ) ,DSA 規範了不同規模的「線上中介產業」 (online intermediary) 該做的事及責任,而 DMA 則是針對法案草案中所規範的守門人更加上了「義務」(Obligation)。由於台灣網路資訊中心已在其部落格中有整理相關的 摘要 ,且台灣網路堂也會公布當天活動的錄影,所以在這篇文章就不再解釋 DSA 和 DMA ,有興趣的人可以自己再去閱讀兩個法案的草案內容,歐盟執委會也有整理許多相關的問答在其網站中,十分好閱讀。 DSA、DMA 與歐盟其他法案的關係 在歐盟執委會網站中有提到,DSA  是一個水平的計劃,重點關注線上中介業者對第三方內容的責任,網路用戶的安全或對信息社會的不同提供者...
發佈留言
閱讀更多

哪個應用、服務、平台可以代表台灣?

作者:
大概 2003、 2004 年,我還是個大學生,那個時候「電子商務」是一門選修課,那個時候台灣還在所謂的電子商務泡沫化中復甦,很多熱極一時的「電子商務」就像今天大家看到的 FTX 事件一樣,一點都不真實,很多執行長、總裁瞬間就失業了,也有很多投資人的錢拿不回來。 看過歷史上的鴻源事件、經歷過電子商務的虛無飄渺時期,再看到 FTX,其實也不會太驚訝。通常泡沫消散後,未來才會到來。 回到大學課堂,穿著輕便但言語犀利的老師談到當時的 Amazon 網路書店,他問大家對 Amazon網路書店的看法,那時的Amazon一直被看壞,所有的媒體都不看好它。甚至會有各種市場傳言,覺得 Amazon會被賣給哪家公司或哪家公司、網路書店會主動併購它。 最後老師說,不會,Amazon書店不會那麼輕易就垮掉,它有其代表的意義。 這個答案給了我很深的印象,我常會問自己,台灣有哪個服務會具有這樣的意義? 偶爾我會問身邊的朋友、同事,對於台灣的哪個服務,會覺得有不能輕易垮掉、要支持它的?我列一下自己所接觸過的,這個世代的應用: 通訊服務:ICQ、MSN Messenger、LINE、Cubie Messenger(台灣,已無服務)、Google Talk、WhatsApp、Telegram、Skype、Signal,還有一些台灣可能較少聽到。 社群平台:Twitter、Facebook、LinkedIn、無名小站(已停止服務,它雖然是Blog,但比較像社群)、Plurk、PTT、Dcard、Instagram、AKASHA、Pinterest Blog平台或架站:Blogger、Wordpress、Drupal 共享書籤 : HemiDemi(已沒有提供書籤服務)、美味書籤delicious 叫車服務:UBER、55688 、呼叫小黄、LINE Taxi、yoxi  當然還有很多是我沒接觸過的,請原諒我的見識不夠廣泛,忽略了哪一個平台、應用或服務。一時想到的大概就這些。有一些服務已經消失或在被併購後就消失了,我也忘了名稱,至於 TikTok 和小紅書,是我不想碰觸的應用服務。 在韓國有 Kakao,日本有 LINE、PayPay,東南亞國家有Grab,中國有自己的網路應用,那台灣呢?之前 KaKao 中斷服務,造成民生應用的線上服務也幾乎中斷,過度集中依賴在一個服務上的確是一個缺點。在和...
發佈留言
閱讀更多

歐盟 AI Act 2026 年 5 月進度整理

作者:
台灣有不少企業直接在歐盟市場做生意,或是與歐盟企業有供應鏈往來。只要產品或服務觸及歐盟,AI Act 的規範就可能適用,這件事與台灣企業的距離很近,而今年5月是AI Act進度發展密集的一個月,值得整理一下發生什麼事。 AI Omnibus 修正案:從提案到5月協議 AI Omnibus 修正案 (一攬子修正案,以下簡稱Omnibus )是指把多項修正打包成一個法案同步處理的立法方式。這次的 AI Omnibus,是《AI Act》2024年正式生效以來的首次實質修正。 它的起點在2025年11月。當時歐盟執委會(European Commission)提出修正提案,認為《AI Act》中的高風險 AI 的法遵負擔過重,有必要調整期限並減輕中小企業壓力。歐盟理事會(Council of the European Union)與歐洲議會在2026年3月分別通過各自的談判立場,三方協商正式展開。歐盟理事會與歐洲議會在5月7日凌晨達成暫定協議,打包以下2項修正: 時程延後: 就業審查、執法、信用評分等領域的AI系統( Annex III ),遵法的截止日從2026年8月延到2027年12月;嵌入醫療器材、機械等產品的AI( Annex I ),則延到2028年8 月。 新增禁令: AI生成非自願性親密影像(俗稱AI裸化應用),以及生成兒童性剝削內容的AI系統,2項均在2026年12月生效。 這份協議目前仍是暫定協議,需要歐洲議會全體投票與理事會正式採納,預計2026年6至7月完成。 行程緊湊的歐盟AI Office Omnibus 協議簽完,歐盟AI Office在5月做2件事: 透明度義務指引草案(5月8日): 歐盟執委會就《AI Act》第 50 條的 透明度義務公開徵求意見 至6月3日。這份指引將規範「互動式 AI 系統必須主動告知使用者正在與 AI 互動,生成式 AI 的內容也必須植入機器可讀的浮水印」,這項義務沒有延後,依然在2026年8月2日生效,距現在只剩10週。 高風險AI分類指引草案(5月19日): 148 頁的草案出爐,涵括生物辨識、教育、就業、基本服務、執法、移民、司法等7大領域,逐一說明什麼樣的AI系統會被認定為高風險。「 高風險AI分類指引草案 」公開徵詢意見至6月23日。這份指引原定2月發布,實際延遲整整3個月才出來。但歐盟 AI Of...
發佈留言
閱讀更多