〔APrIGF2016側記〕侵入式的監控技術,應如何管控才不致侵害人權?

本站非常榮幸,成為2016年亞太區域網路治理論壇(APrIGF, Asia Pacific regional)台北年會官方贊助媒體。目前大會正在台北市台大醫院國際會議中心舉行,本站將以側記方式,將大會各項議題深入淺出地介紹給本站讀者。

人權是這次APrIGF台北年會中一個相當重要的議題,有不少分組討論的主題都和網路科技與人權有關,例如這場在第二天上午進行的討論。

參與討論的專家,有三位來自韓國,其他的分別來自香港、巴基斯坦、印度和泰國,分別討論了侵入式監控技術的現況、在不同國家被情治機關濫用的情形,以及如何透過立法來管控。

無所不在的侵入式監控

來自韓國的與會專家首先分享了韓國的情形。

2015年7月,一家名為Hacking Team,專門提供各國政府情治單位各種網路監控竊聽服務的義大利公司,被駭客攻破並公布大量資料;這些被公開的資料顯示韓國國家情報局也利用Hacking Team提供的RCS[footnote]Remote Control System,可透過系統漏洞或惡意軟體植入電腦與手機中監控所有用戶使用情形,也能遠端開啟麥克風和攝影鏡頭進行盜錄。[/footnote]對不明對象進行監控,在韓國國內引起軒然大波。但韓國國家情報局以國家安全為由,甚至連國會的說明要求都加以拒絕。

像RCS這樣的侵入式監控技術,事實上可說無孔不入,也不只一家公司或一國情治單位正在使用。這些侵入式的監控技術利用各種科技裝置的後門或漏洞,透過釣魚信件、簡訊等方式夾帶惡意軟體入侵系統,比起傳統掛線監聽方式,更能全面掌握被監控者的一舉一動;用戶所有資料,包括通聯記錄、相片、通訊錄、語音與文字通訊內容、造訪過的地點、以及其他所有檔案,都被一覽無遺。

RCS的控制界面,可以看到正在監控的活動,以及支援的作業系統。

侵入式監控真的能保障社會安全嗎?還是淪為當權者的統治工具?

雖然各國國安單位都宣稱侵入式監控科技為了保障國家社會安全,但實際上並沒有證據指出這樣的監控確實遏止了哪些攻擊行為;相對的,最近在世界各地發生的恐怖攻擊事件,沒有一個事先就遭到監控。

另一個嚴重的問題是,如果這些監控活動監控不到真正的恐怖分子,那到底都在監控誰?從流出的資料發現韓國國家情報局監控的對象,新聞記者赫然在列,而加泰隆尼亞的獨立運動人士也指控西班牙政府對他們進行秘密監控;香港也發生了獨立書店經營者被秘密綁架到中國審問的事件。在巴基斯坦,當局也將各種侵入式監控科技用在反對運動或社運人士身上。

透過立法規範侵入式監控

就像大多數的科技都走在法律之前一樣,侵入式的監控科技也缺乏足夠的監管,造成情治單位的濫用,以及對人權的傷害。

印度、泰國、韓國的專家都指出了各國在管控侵入式監控上的不足之處,以及立法規範的要點,包括:

  • 什麼單位可以合法進行監控?

  • 有沒有嚴謹的審核過程,以認定確實需要進行監控?

  • 哪個單位可以核准監控?透過何種程序認定?

  • 監控範圍、期間與監控方式的限制

  • 對當事人的告知方式

  • 監控過程與結果的回報

總而言之,各國專家都同意在某些場合下侵入式的監控技術是必要之惡;如何集結技術社群、社運團體與立法機構,透過完整而嚴謹的立法,來防止這類科技濫用於平民百姓、社運或異議人士之上,成為當權者打擊異己、強化統治的工具,可說是當務之急。