網路作戰情資與個資的蒐集處理
2021.02.19
瀏覽數
241
壹、新聞重點
根據《紐約時報》(New York Times)於2021年1月22日報導,美國國防情報局(Defense Intelligence Agency, DIA)遭奧瑞岡州Ron Wyden參議員辦公室質疑其在商業市場購得包含國內民眾所用之智慧手機位置資料,且該舉動並未事先取得搜索令。DIA在回覆時表示,以該局的理解,在商業市場購買資料本身並無須事先取得搜索令。[1]類似事件可對照去(2020)年9月《自由亞洲電台》(Radio Free Asia, RFA)所揭露,疑似中共解放軍與國安部門透過中國深圳振華資料資訊公司蒐集超過240萬全球有影響力人士的個人資料。[2]鑒於此類事件涉及(軍事)情報機關透過(設立)資料公司以蒐集或收購商業資料庫之個資,除牽涉公私協力蒐集分析情資及網路情資產業化,還涵蓋安全、隱私與網路情報行動合法性議題,實有必要檢視此複雜爭議。
貳、安全意涵
一、軍事情報機關對國內外情資有不同蒐集處理方法
民主國家情報機關蒐集數位情資,或者網路部隊超前部署網戰行動,均屬資訊作戰的範疇。因此,情報機關蒐集資料如包含國外人士之個人資料,雖然通常不致遭受國內民意監督機關與司法制衡機關之質疑,但對於資料來源國而言,卻形成個資隱私保護的資訊安全與人權保障議題。自史諾登(Edward Snowden)在2013年爆料美國國家安全局(National Security Agency, NSA)透過電信與網路業者,監聽取得包括德國政要的通訊內容,歐盟從此不再信任美國對歐盟人民個資之保障,進而於2018年實施《一般資料保護規則》(General Data Protection Regulation, GDPR),對歐盟人民網路及通訊資料的跨境傳輸,予以把關設限。值得注意的是,歐盟當初這一資料落地(data localization)的舉動,如今已被視為非極權體制伸張數位主權(digital sovereignty)之先驅。
另一方面,由於民主國家軍隊之任務在於抵禦外來威脅,國內行動有嚴格的限制,軍事情報機關的國內情報行動因而比對外活動面臨更大的侷限。然而,在網路空間難以區分國界的情況下,軍事部門藉網路蒐集資料或在網路之行動,即使概括視為軍事情報活動,其於國內之網路實體遂行活動或者蒐集到國內資料時,除事後仍須接受民意機關的監督,更重要的是事前取得司法或行政機關的授權,而司法機關授權即指搜索票。在前述DIA回覆備忘錄中,就透露出對此國內外分際界線謹遵恪守。爭點在於,DIA認為其自商業市場購買得手的資料不在此限,意味在其眼中,向仲介商購買大宗商品(個資),有別於經自身情戰活動蒐集到的情資,故不在國內情報活動的範疇中。
二、情報機關對個資蒐處模式與商業情報有別
民主國家情報機關藉網路蒐集資料或在網路之行動,一旦蒐集到個人資料,其處理方式與民間私部門大相逕庭。民間私部門所著重的焦點,在於藉大數據分析將個資轉化為商業情報。私部門通常會側錄消費者網路行為,藉由儘可能地蒐集大量個人資料,再經大數據分析潛在消費群的行為態樣,進而形成商業情報,之後再對分眾之群體乃至個人,量身訂做後投遞客製化資訊。因此,致力於撈取網路或實體空間資料的資料仲介業者蓬勃發展之外,其餘提供分析資訊、形成商業情報以及客製投遞訊息的業者,也逐步興起並鏈結形成資料經濟產業價值鏈。
情報機關則多先設定特定對象或潛在可疑群體進行情蒐,在蒐集大量資料後,也通常有針對性地以特定性質之個人或群體之個人資料進行蒐集、分析與串接、傳布與運用。據此特性,軍事情報機關即使經由設置外圍組織或直接、間接向外購買大量資料,因為需要分析與處理的往往只是特定對象的資料,其餘資料接續就可能會循DIA回覆所闡述,將資料依「國內、外」與「個資」標準,做出區分後予以儲存。[3]
參、趨勢研判
一、數位主權及乾淨網路資料落地將讓情報機關更倚重資料仲介產業
前述的資料產業鏈生態圈受到多國在網路實體與虛擬空間伸張網路暨數位主權影響,先是遭受歐盟、美國之間對於隱私保護爭執而產生資料落地限制,後來又遭遇美國與中共、俄羅斯因國家安全與營業秘密保護之競爭優勢考量,美國主張「乾淨網路」(Clean Network)倡議,中共提出資料安全倡議、而俄羅斯甚至揚言建構獨立根伺服器網路系統(Runet)。這種種均可能對數位資料的跨境傳輸及其治理造成相當窒礙,增添溝通與交易成本,折損資料驅動經濟的效能。[4]
鑒於數位資料治理愈益分岐割裂,網路作戰、情報戰與影響力作戰所倚重之資料蒐集、分析及內容產出業者,勢必走向在地化。這意味著所謂的「在地協力者」呈現的特質,很可能將顛覆傳統的神祕「第五縱隊」特工刻板印象,轉為產業化下偏向商業考量的比較利益專業分工–資料仲介業(data broker)。
二、網路作戰情蒐勢將需要足為阻卻違法事由之法制授權
包含網路部隊在內的軍事情報機關所遭遇的課題,在於不論是網戰超前部署、滲透(測試),還是情蒐、資訊操縱,第一線網路作戰官士兵在實務作業上,均可能非預期性地遭遇接觸到國內民眾個資的狀況。倘若第一線作業原先並無相關法律上的授權、或者狀況超越原先法律授權的範圍,往往面臨需要斷線離開、轉介其他國內情治機關接手、或者持續情報作業的抉擇。
鑒於該類狀況牽涉議題屬於視個案授權、還是常規化授權的爭辯與選擇,顯已超出第一線網路作戰官士兵或者軍方法律專業機關所能因應範疇。雖然如此,但觀諸美軍案例發展,民主國家網路作戰之作業均可能面臨遭指控情報作為有違法侵害個資隱私保障之虞。因此,足以成為阻卻違法事由之法制授權保護傘,可望成為在民主法治監督制衡下,第一線網路作戰作業上的迫切需求。
[1] Charlie Savage, “Intelligence Analysts Use U.S. Smartphone Location Data Without Warrants, Memo Says,” New York Times, January 22nd, 2021, https://www.nytimes.com/2021/01/22/us/politics/dia-surveillance-data.html.
[2] 高鋒,〈振華資料庫監控240萬人 臺灣名單首次曝光〉,《自由亞洲電台》,2020年9月15日,www.rfa.org/mandarin/yataibaodao/junshiwaijiao/jt-09142020110020.html。
[3] “Clarification of information briefed during DIA's 1 December briefing on CTD response to request for information from Senior Advisor for Privacy and Cybersecurity, Office of Senator Ron Wyden (D -OR).,” U.S. Defense Intelligence Agency, January 15th, 2021, https://int.nyt.com/data/documenttools/dni-to-wyden-on-commercially-available-smartphone-locational-data/5d9f9186c07993b6/full.pdf.
[4] 相關論點可參照Michael Rawding and Samm Sacksarchive, “The balkanization of the cloud is bad for everyone,” Technology Review, December 17th, 2020, https://www.technologyreview.com/2020/12/17/1014967/balkanization-cloud-computing-bad-everyone/;以及Matthew P. Goodman and Pearl Risberg, “Advancing Data Governance in the G-7,” CSIS Commentary, February 2nd, 2021, https://www.csis.org/analysis/advancing-data-governance-g7。