跳至主要內容

對於台灣《科技偵查法》草案的想法

自社群媒體開始興盛,政府當局發現社群力量不容小覷,不但可以顛覆一個國家政局,也能傷害一個人的心靈,甚至讓年輕的孩子走上絕路時,便開始各種管制措施,雖然脫離不了保護國家安全、兒少保護的需求,但若是被有心人士用於不當的用途,就有可能使人權受到相當大的迫害。

政府對於網路內容與加密通訊的的管制

多數網路使用者可能會記得 2013 年 5 月的「土耳其之春」,抗爭者透過 Twitter 將政府壓制他們的暴力行為傳至網路上,這股力量也隨著社群傳播的威力,讓全球看見當局政府的威權管制。之後又有伊斯蘭國組織 (ISIS) 藉由社群網路傳遞招收年輕新人的訊息,導致愈來愈多年輕人離開自己的國家,參與他們的活動。也有著名的「藍鯨遊戲」利用青少年追求同儕認同的心理,引誘他們自殺,更不用說還有許多在社群媒體、即時通訊軟體之間傳遞的文字暴力、性別歧視與各種待被驗證的訊息。

對於這種會造成傷害的線上訊息 (Online Harm Content) ,各國政府開始進行管制,例如透過網路服務業者負擔內容審查的責任,像是最近很出名的《美國憲法第一修正案》 (First Amendment to the United States Constitution) 與《通訊規範法》第 230 條 (Communications Decency Act Section 230),而英國也自2019年4月出版《Online Harms White Paper》並向民眾諮詢,於2020年12月將諮詢討論、結果總結於《Online Harms White Paper: Full government response to the consultation》報告書中,並在這份報告書裡,將使用者產出各種型式內容、使用者的互動、搜尋引擎,不論公開或是私人的訊息都列在規範的架構中。台灣也曾經有為了保護未成年的網路使用者而有一份《電腦網路內容分級處理辦法》但已於2012年6月13日廢止,並將相關的罰責規到刑法來處罰。

除了對於「內容」的管制外,管理當局決定更加強力道,對於使用「加密通訊技術」進行進一步的要求,加密技術保護了資料傳輸時的隱密性,這裡的資料可能包括了你個人的資料、所在地點、使用加密通訊軟體 (如 TelegramSignal 或是 Threema) 所傳遞的訊息,或是你每天寫在某個不為人知的網路世界角落的心情,又不希望被人看到。相信有些人聽過以前的某個朝代的人民,為了反抗當時統治的政府,將準備起義的日期、時間、對象等資訊寫在紙條上並藏在餅中,於佳節時分以送禮的名義傳遞起義的資訊,把資訊藏在某個包裝裡,就也算一種古老的加密處理。

由於加密處理的方式很多,有時破解這些加密手法也耗費許多時間和資源,如果是具時效性的案件,可能在解密後也過了追訴效期,以政府治理者角度來說,需要保護最基本的國家安全與穩定,如果危害國家安全的資訊利用加密手法來傳遞,那就需要被管理。美國政府在2020年6月23日公布《合法訪問加密數據法》 S.4051(Lawful Access to Encrypted Data Act, S. 4051) 、五眼聯盟 (Five Eyes) 在2020年10月發表聯合聲明要求科技業者將使用者端的加密通訊軟體加上「後門」,讓政府可以提早避免危害國家安全、人民生命財產安全的事件發生[1]。2020年12月,歐盟理事會(Council of the European Union) 決定,為了便利於預防網路犯罪、便利取得網路犯罪的證據、保護人民的個人資料安全,要與科技業者、學術研究單位...等相關利害關係人保持對話,持續支持加密的重要性,但同時也對於使用加密技術加強管理 [2],可能在未來也包括檢視加密過的數據。同樣的,我們也看到了台灣政府在這次的COVID-19疫情中,利用電信技術追蹤群聚或是需要居家隔離的人員,甚至匆忙的想藉此縮短向民眾的諮詢《科技偵查法》草案的時間,最後引起民間極大的反彈,而不得不暫時停止。

民間人權組織的倡議:保持對話

對於政府對於加密處理資料的需求在未來可能會干擾人民的隱私,全球的人權組織與技術團體則是聯合成立了「全球加密聯盟」(Global Encryption Coalition),主要訴求是希望美國政府針對前述的《合法訪問加密數據法》 S.4051再精進修正、保持與技術團隊之間關於加密策略的溝通,避免降低網路的安全性、侵犯網路使用者的言論自由、干擾人民的隱私,要避免相關人員因缺法能力、保護相關的數據資料安全,造成數據資料外洩,也加重了處理人員的工作負擔。聯盟成員之一的 Global Partners Digital (GPD) 更是集結各國法規中關於「加密」的需求與規定,整理為一份「世界加密法律和政策地圖」 (World map of encryption laws and policies),讓網路使用者了解哪些國家已有加密相關的法規、規範的程度如何?而哪些國家沒有相關法令。台灣的相關加密法規已經讓 GPD 知道,應該也會在下一次的更新中刊登在上面。

應用程式服務商的提醒

除了人權團體與技術團隊的努力倡議外,四個歐洲的應用程式公司:ProtonMail、 Threema、 TresoritTutanota 這四個以加密技術、保障使用者隱私為優先的服務,發表聯合聲明[3],表示歐盟立法人員最近的行為正在迫使這些保障使用者隱私的服務必需為政府所謂的「合法的安全性要求」而開一道後門。在 Facebook 不斷的將使用者的資料、使用軌跡販售給行銷公司、其他企業,甚至併購WhatsAPP、Instagram 等大量使用者的服務,並要求使用者分享資料給不同服務後,造成使用者對隱私的憂慮,也紛紛轉而使用這些以保障使用者隱私的 End to End encryption 服務中,可以見到使用者們是在意自己的隱私,然而政府的強力干預,可能會迫使這些網路服務在配合政府「合法的安全性要求」裡,損失使用者對其的信任、影響其商譽。

對於台灣《科技偵查法》草案的想法

原本,我非常反對這法案,也很慶幸最後這個草案沒有送進立法院。直到 2020 年 12 月 31 日那晚,看到中央流行疫情指揮中心藉由啟動「電子圍籬 2.0」(又被暱稱為「天網」)找到應該在家自主管理健康者跑出來參加跨年活動,一個個都被找出來[4]時,我開始問自己:「如果我們處在一個人民不願自我管理,把責任和風險都推給其他無辜者,並要求所有人共同承擔他們不當行為的後果時,有沒有亡羊補牢的方法?」

在台灣沒有《科技偵查法》規範政府在運用科技技術對人民調查的前提下,可以依據的是現有的《通訊保障及監察法》(通保法) 。在人民不願自己承擔責任或是避免政府行使不當的手段時,有一則清楚的法律來規範政府與人民什麼可以做、什麼不能做,是比較好的處理手段。很明顯的,在2020年結束,2021年的第一天,在沒有《科技偵查法》的情況下,為了預防「可能」出現 COVID-19 的疫情擴散,跨年夜還是執行了「電子圍籬2.0」[5],也真的找到了絲毫沒有自制力的人。我同時也問自己,如果沒有這套法,是不是讓政府更肆無忌憚的進行他們要的活動?

在歐盟理事會的文件、英國政府回應民間倡議的報告裡,我讀到了文件中關於立法遵循的架構,也努力的保證會避免侵害人權、積極保持對話,同時也看到民間團體也是有憑有據的要求立法單位明確定義用詞、範圍,避免落入情緒用字;我也讀了台灣民間法律專業人士、民間團體對於《科技偵查法》的建議,在字句間也讀到了過去「白色恐怖」歷史對台灣人所留下的創傷與喪失信任、言論自由、個人隱私的恐懼。

於是找了一個時間重新再把《科技偵查法》的草案重新再讀過。讀完後,以一個非法律從業的市井小民來說,這套法比之前的《數位經濟法》草案來得完整,明確的規範了對象、輕重的處理,當然,法律用語真的艱澀難懂,有些條文要多讀幾次才知道自己誤解的部份早就有解釋在其中。若定義的不清楚,未來就算取得數據資料,也會對處理、保管的人員造成工作負擔,也會造成取得的資料一點用處都沒有。在《科技偵查法》和《資通安全管理法》中都有訂定罰則,且在《科技偵查法》裡,也有救濟的部份,這是讓我稍微覺得有保障但也很無奈的地方,畢竟救濟也是要耗費時間與各種成本的。

在人民仍然依賴法律規範的前提下,我其實是傾向有法律來規範政府與人民行為的。雖然這次法務部操之過急的高姿態[6]反而是造成這個法案沒有溝通的空間,但台灣還算是有言論自由的地方,所以在網路上還是可以找到人權團體、法律專業團隊的意見與建議,相關部會若願意解答民間的疑問,利害關係人之間能保持理性的對談[7],政府不是單向的一意孤行,人權團體、技術團隊進行相關的監督,避免模糊可操弄空間,也許這套《科技偵察法》會補足以往《通訊保障及監察法》(通保法) 或其他相關的法案在新科技運用及偵查使用上不足的地方,也可以規範及預防政府運用科技侵害人權。

文中提到的相關新聞:

  1. Five Eyes Repeat Encryption Backdoor Calls
  2. Encryption: Council adopts resolution on security through encryption and security despite encryption
  3. EU citizens’ rights are under threat from anti-encryption proposals
  4. 跨年夜「天網」防疫收成效 指揮中心:春節是否撒網再決定
  5. 電子圍籬2.0運作及防疫資料蒐集,兼顧個資保護
  6. 科技偵查法遭質疑 法務部:避免「人家已上太空 我們還在殺豬公」
  7. Moving the Encryption Policy Conversation Forward


Title Image by www_slon_pics from Pixabay

留言

此網誌的熱門文章

法制追不上AI:缺乏台灣AI基本法子法,公務員使用生成式AI的五大風險

昨晚看新聞,現任台北市長拋出一個政策宣示:未來公務員將配給自動化的AI工具,讓台北市政更「前進」。台北市資訊局也已快速推出 CiviClaw,目標是 2027 年讓每位公務員都能無門檻使用 AI。 這樣的政策方向讓我感到憂心。長期觀測各國個資保護規範的我清楚知道:台灣的個人資料保護主管機關至今仍是「籌備處」,尚未正式運作;《個人資料保護法》的修法呼聲雖久,AI相關條款卻付之闕如;《人工智慧基本法》已於今年1月施行,但高風險AI認定標準的子法至今仍是空白。 有網路、有 IoT 不等於智慧城市,有 AI 當然也不等於智慧城市,應該重視制度能否承接工具帶來的責任。 歐盟已明確禁止業者使用 AI 推測員工或學生的心理狀態;美國聯邦政府要求採購 LLM 時廠商必須提交模型卡與資料卡;韓國 AI 基本法的子法早已配套生效。這些都是台灣政府在推動配給公務員 AI 之前,必須正視的制度差距。 以下我與大家分享長期觀測的內容,由AI協助整理資料: 歐盟:從禁令到揭露義務的多層規制體系 歐盟的AI治理框架是由多部法律疊加起來的立體架構,最底層是2018年施行的 GDPR,處理的是個人資料如何被蒐集、儲存、使用的基礎規則,再來疊是2024年生效的《人工智慧法》(EU AI Act,下稱 AI 法),建立不同風險等級分類管理AI系統,從禁止使用到高強度監管、再到一般透明度義務,形成不同層次。最新的一層則是仍在立法程序中、但主要架構已確立的 Digital Omnibus ,試圖修補 AI 法與 GDPR 之間的規範衝突。 AI 法第50條是最直接影響生成式AI服務的條款,自2026年8月2日起全面適用。根據這條規定,凡是讓使用者與AI系統互動的業者,必須主動告知對方「正在與 AI 互動」,而不能讓人誤以為面對的是真人。AI生成的文字、影像、音訊等內容,還必須以機器可讀的格式加上標記,使平台與監管機關得以溯源辨識。與此同時,AI法第14條要求高風險AI系統必須設計成「可由自然人有效監控」的形式,確保機器的決策不會在缺乏人工審核的情況下直接作用於當事人。 AI法所稱的「高風險 AI 」,涵蓋的場景比一般想像的廣。依該法附件三列舉,生物辨識系統、關鍵基礎設施管理、教育與職業篩選、就業與人員管理、信貸與社會福利申請審核、執法、移民邊境管制,以及司法審判輔助,都在高風險範疇之內。這些場景的業者必須進...

為什麼我支持《數位中介服務法》草案

在經歷許多次反抗台灣政府所立的網路相關法案後,我其實沒想過除了《數位通傳法》草案外,我還會再支持另一部法律草案,雖然 《數位通傳法》草案還壓在某處,但如果有人讀過《數位通傳法》的草案,再讀這部《數位中介服務法》草案,就會知道這部草案的重要性,而且也可以顯示台灣網路使用者的成熟度,更重要的,這是我第一次看到引入國際網路治理多方利害關係人機制的法律草案,而且是用在正確的地方。 有興趣想知道我在讀法條時的筆記和當下的感想,可以看我這則  Tweet 。這篇不使用逐條讀法條的方式來寫,因為那會讓人昏昏欲睡,我也不去比對歐盟《數位服務法》,因為我在讀《數位服務法》草案時,該草案特別強調是加強歐盟 E-Commerce Directive  ,而不是取代它,而且更多著重在預防盜版、仿冒,保護消費者的法案。所以當有輿論提到參考自《數位服務法》的《數位中介服務法》草案限縮言論自由時,我其實是一頭問號的,但一直到今天我才有時間讀《數位中介服務法》草案,這篇文章出自於我的個人經驗和閱讀法案的心得,與擔任的職務無關。 如果最近注意一下網路的資訊,有幾件事該注意一下: 有許多人在社群平台,如Facebook或是其他網路看到一些廣告,而這些廣告可能是要你支持台灣農產品、台灣製的產品,結果你收到時,上面還寫著簡體字,通常這是所謂的一頁式廣告詐騙,而行政院的消費者保護會在 2019 年時就有新聞稿在警告「 一頁式廣告詐騙多 小心查證保障多 」,之後像公視或是其他單位都有相關的活動在提醒大家小心這類廣告。但目前這些廣告其實多數不易處理,因為不容易取證、保留證據,等到追查到時已經找不到對方了。 有不少親密照片與影片在情侶分手後,被報復性的上傳到情色網站或透過即時通訊傳到親友的帳號裡,或是被洩露個資,遭到公開的霸凌。 之前有一個專題:「 青春煉獄:網路獵騙性私密影像事件簿 」,光是讀完這個專題報導我就覺得受傷。 有人使用 Deep Fake 把台灣名人的臉部照片合成至色情影片再上傳至色情影片平台,今年 7 月才被判刑。 還有許多創作者藉由網路分享作品時,被人盜用,甚至有國外的使用者修改台灣人的作品去參與比賽還獲獎。 有一次打電話問某個部會,如果消費者在國外電子商務平台買東西,但資料被外洩怎麼辦?雖然政府願意協助,但衡量至國外打官司的時間和成本,就會讓人卻步。 有些行為在現實世界裡有法...

停不下來的更新

一直更新Blog的版型,我必須承認是一件很無聊的事,不過這次除了版型的更動外,連分類和文章內文也做了變動。 先說分類吧!在Blogger叫做Label,不過,Blogger在分類上有一些bugs,只能使用英文,以前這裡的分類大多都是中文分類,結果在link上就是一堆亂七八糟的亂碼,所以我把它改成英文,同時細分一些項目,把出版的文章和一些教學的文章分開來,雖然已經很久沒寫新的,不過既然放上來就做個分類。然而就在新舊label移轉之後,發現中文的label還會存在,而且還會出現莫名奇妙的幽靈數字,Blogger知道這是個bug,不過似乎一直沒有修復的跡象。所以在分類上就出現了如右圖一般的情況,在英文標籤裡會有文章,但是在中文標籤裡是沒有文章出現的,但奇怪的是,有些中文標籤已經不見了,然而在Beauty-Beta這個部落格裡,我也做了分類上的變動,由於以前用英文開頭的Label,所以在label的變動上倒是不用擔心會有這樣的情況。 再來是文章的內容,把以前的文章重新分類,標題前面的一些全形符號或是分類刪掉,除了一些比較特殊的,我會留著,例如壹陸壹,因為在label裡為了統一,我留著原本的E61,但人家的店名是壹陸壹,所以留下文章標題前面的中文分類,另外像是Entertainment項目裡,可能有音樂,可能有電影,就會在前面留下中文分類。 前簡單的CSS和HTML改成現在的XML,這無疑是讓我們再多學些東西,能有時間鑽研當然是好事,可是轉換後,我一直沒有時間去改,當然多半也是因為懶,到現在也是拿別人做好的版型去改配色而已,所以像裡面的設定、安裝的widget和analytics的javascript都要一個一個重新裝,上個星期幾乎每天都弄到天亮才睡,只為了整理這個blog。也因為之前在blog裡放了technorati的分類,所以還要修改以前的文章,把它們加入technorati,還有裡面的語法要更改,所以這個星期甚至下個星期都會一直收到這裡的更新訊息,對於不斷收到訊息干擾的朋友們,在這裡說聲抱歉。 在版面上因為blogger系統在feed接受上的更新,所以還有四個東西沒加進去,分別是最近的文章(Recent Post)、Comments(目前是用別人寫的widget)還有GVO的feed訂閱顯示、Beauty-Beta的訂閱顯示也都還沒放上去。 在Feed訂閱上,以前bl...