澳洲通過反加密立法之觀察
2018.12.14
瀏覽數
118
壹、新聞重點
澳洲眾議院於2018年12月6日通過對《1997年電信法案》(Telecommunications Act 1997)的修訂,讓警察和情治機關在調查恐怖攻擊或是重大犯罪時,可以強制在澳洲經營業務的本地及外國資通訊相關業者,對其所加密(encrypted)的裝置或服務予以解密,以便獲取通訊內容。另外,對於政府的這項要求,業者必須保密不得對外透露,否則會受到處罰。澳洲此次的反加密立法(anti-encryption legislation)引發人權團體以及資通訊業者諸多批評,並且可能會對全球資訊安全帶來衝擊。 [1]
貳、安全意涵
自從2001年美國發生九一一攻擊事件以來,防範恐怖攻擊就成為歐美民主國家的首要之務,最常見的方式就是對於可疑份子加以監聽。美國國家安全局(National Security Agency)於2007年開始執行名為「稜鏡」(Prism)的大規模監聽計畫,對象包括任何使用美國網路通訊公司服務的境外客戶、以及與國外人士通訊的美國公民。
「稜鏡」計畫在2013年被史諾登(Edward Snowden)揭發後引起軒然大波,其後,許多科技公司為了保護客戶隱私,開始在其產品與服務加密,讓政府或他人無法任意窺探通訊內容。但加密措施也造成執法者在打擊犯罪時的困難,政府不再像以往能夠輕易獲取有用的情資,因而形成維護國家安全與保障隱私權的兩難。
一、國家安全與隱私權在歐美民主國家不斷拉鋸
在民主國家中,政府是否可以為了國家安全侵犯個人隱私,後續不斷發生爭議。較有名的例子為2015年12月美國加州聖伯納迪諾(San Bernardino)槍擊案發生後,美國司法部要求蘋果公司(Apple Inc.)編寫新程式以解鎖嫌犯的iPhone手機。蘋果公司拒絕,認為這會立下「危險的先例」,此決定也得到其他業者如谷歌(Google)、微軟(Microsoft)、臉書(Facebook)的支持,美國聯邦調查局(Federal Bureau of Investigation, FBI)只好尋求第三方協助才得以解鎖。 [2]
英國則是在2016年11月由女王簽署《調查權力法案》(Investigatory Powers Act),讓近50個政府機關可以駭入、監看、保留全體英國民眾的網路通訊記錄,以提高政府查緝恐怖活動的能力。[3] 但此法案在2018年4月被英格蘭高等法院(High Court in England)裁定為與歐盟法律不相容(incompatible),又在同年9月被歐洲人權法院(European Court of Human Rights)認定為非法(unlawful),讓英國政府以犧牲隱私權來維護國家安全的作法受到重挫。 [4]
從這些例子可以看到,國家安全與隱私權兩者孰輕孰重,成為當前民主國家的難題,類似的爭議在歐美不斷發生。雖然由前述的兩個例子看來,保護隱私權的一方似乎稍佔上風,但並沒有一個定論,兩者的拉鋸將會繼續成為民主國家的難題。
二、澳洲反加密立法增加資安風險
澳洲這項立法受到由跨國科技巨擘,包括臉書、谷歌、雅虎(YAHOO)、推特(Twitter)等公司在當地所組成的「數位工業團體組織」(Digital Industry Group Inc.)的反對,認為此法令將提高網路上的資訊安全風險。其原因在於,科技公司將被迫去編寫能夠將其裝置解鎖的後門程式,或是在系統中安裝監控軟體來對通訊資料解密,無論是何種方式,都是在其產品或服務上製造弱點,使其更容易受到外界攻擊。
資訊安全專家指出,一旦開了後門,任何人都可能去用。雖然在法律上這道後門只有政府能夠使用;但是在技術上,科技公司無法設計出一道真的只能讓政府使用的後門。如果這道後門被網路上的惡意人士發現並利用,將會帶來非常嚴重的後果。因此,澳洲這次的反加密立法,對全球的資訊安全將會帶來衝擊。 [5]
參、趨勢研判
一、澳洲將成為國際情報的重要來源
如前所述,美國與英國分別基於對人權的保障以及歐盟法律的限制,在解密獲取情資時遇到相當大的困難。而澳洲在通過反加密立法之後,可以強制國內外資通訊業者將資料解密,以獲取所需要的情資。由於澳洲身為國際情報分享團體「五眼聯盟」(Five Eyes)的一員,其他成員—英國、美國、加拿大、以及紐西蘭在難以獲得情資時,將會請求澳洲協助蒐集、分享其所需要的情報。可以預期,澳洲將會成為國際反恐、因應中國威脅、以及其他情報的重要來源,並且在「五眼聯盟」中扮演更重要的角色。
二、跨國資通訊企業恐將退出澳洲市場
保護客戶的個人隱私以及商業機密,是資通訊業者在設計產品或提供服務時的首要考量。澳洲的反加密立法將會影響跨國資通訊企業的經營策略以及市場選擇,原因有二。一方面,若是業者配合澳洲政府要求強制將資料解密,將會引起全球消費者很大的疑慮,對其銷售產品相當不利。
另一方面,歐盟在2018年5月開始實施《一般資料保護規則》(General Data Protection Regulation, GDPR),任何企業只要是對歐盟境內人民提供商品或服務、客戶中有歐盟公民、或是雇用來自歐盟的員工,就要受到GDPR的規範。由於在系統上提供後門程式會增加資安風險,此舉與強調保護個資的GDPR或有扞格之處,跨國企業若要配合澳洲的反加密立法,恐有違反GDPR之虞。澳洲人口不到兩千五百萬,市場規模不大,跨國資通訊企業不大可能為了澳洲而放棄歐洲市場。為避免影響其在歐洲市場的業務,跨國資通訊企業有可能在未來會退出澳洲市場。
[1]陳曉莉,〈不顧科技業者的反對,澳洲通過反加密法案,賦予政府取得加密內容的權力〉,《iThome》,2018年12月7日,https://www.ithome.com.tw/news/127548; Glenda Kwek, “Australia passes cyber snooping laws with global implications,” PHYS.ORG, December 6, 2018, https://phys.org/news/2018-12-australia-cyber-snooping-laws-global.html
[2]〈加州槍擊案:FBI成功解鎖疑犯蘋果手機〉,《BBC中文網》,2016年3月29日,https://www.bbc.com/zhongwen/trad/world/2016/03/160329_fbi_apple_case_end。
[3]陳曉莉,〈英國通過調查權力法案,讓政府監控民眾合法化〉,《iThome》,2016年11月30日,https://www.ithome.com.tw/news/109940。
[4]Rebecca Hill, “High Court gives UK.gov six months to make the Snooper's Charter lawful,” The Register, April 27, 2018, https://www.theregister.co.uk/2018/04/27/high_court_ip_act_unlawful _november_deadline/; Scott Carey, “Snooper's Charter dealt fresh blow by European Court of Human Rights,” Computerworld UK, September 14, 2018, https://www.computerworlduk.com/security/ snoopers-charter-dealt-fresh-blow-by-european-court-of-human-rights-3683787/
[5] Ben Anderson, “Aussie exodus fears over cyber law,” The West Australian, December 17, 2018, https://thewest.com.au/technology/security/aussie-exodus-fears-over-cyber-law-ng-b881042093z