2016年全球數位政策發展之回顧與剖析(一)/Vincent Chen
從2016年全球數位政策發展(Digital Policy Development:DPD)的主要歷程之檢視與反思,可以做為掌握2017年全球數位政策發展脈絡之依據。
GIP(日內瓦網路平台數位觀測中心 Geneva Internet Platform:Digital Watch)的專家群,檢視追蹤過去2016年每個月全球數位政策發展相關事件,包括歐盟、美國、中國、國際組織如UN、OECD、ICANN及各主要網路公司所關注及回應處理之重要數位政策議題。
雖然這些議題仍有以歐盟為中心之思維,但彙整提出全球最關鍵的二十個數位政策發展議題,還是非常值得參考,這二十個數位政策議題如下:
網路空間:冷戰與緩和之拉鋸
Apple/FBI案例聚焦於隱私、安全、加密、監控
科技公司為使用者強化加密機制
對抗線上暴力極端主義之措施及倡議計畫
系統弱點導致網路犯罪遽增
DDoS攻擊導致IoT安全之更多關注
AI帶來新的應用及顧慮
永續發展及網路近用之持續政策討論
資料外洩事件後之資料治理爭議
隱私盾架構取代安全港協議
隱私、資料保護及資料保存之法院裁決
持續網路服務之限制與分裂化
零費率爭議後之新網路中立規範指引
數位革命孕育之經濟成長
指引及裁決形塑新分享經濟的未來
稅單與調查對數位公司之衝擊
解決IPR的法院案例
假消息及個人資料過濾
微軟個案勾畫出司法管轄範圍爭議
完成IANA管理移轉及持續當責改革
關鍵數位政策議題脈絡與剖析
由以上二十個議題,大致上可以勾勒出全球數位政策發展樣貌,進而持續追蹤其發展,即可有效掌握全球數位政策發展脈動。本文中所勾勒之事件發生時間,如僅有月份及(或)日期,皆表示為2016年發生的事件。以下依序將20個主要議題概略脈絡分述,並就該議題對我國數位政策之意涵進行剖析。
一、網路空間:冷戰與緩和之拉鋸
發生事實
2016年底,美國中情局控訴俄羅斯利用網路干擾美國大選;12月29日美國總統簽署制裁俄國情報人員指令,包括驅逐35名外交人員、關閉2個俄羅斯在美國設施等,未來的網路冷戰或緩和,仍有待持續觀察。
將數位網路技術結合各項主權策略,提升為數位國安策略等,屬國家上位策略層次,攸關國家發展甚鉅。
逐漸有更多國家正在考慮,視網路為國家安全的主要部分之一,並開始發展各自的網路能力及策略。6月份NATO(北大西洋公約組織)宣稱網路空間視同一個運作領域(Operational Domain,猶如路、海、空之外的第四領域空間)。現行大部分衝突皆涉入網路,因此NATO正決定對潛在的網路攻擊,建立更好的協調機制,並發展保護會員國網路之能力。
2016年也看到很多在網路安全之國際合作案例。歐洲安全合作組織(The Organization for Security and Co-operation in Europe: OSCE)通過網路信心建立措施(Cyber Confidence-Building Measures: CBM),並至少有20個網路安全雙邊協議。第五屆聯合國資通訊領域有關國際安全的政府專家群(UN Group of Government Expert Group: GGE)持續召開強化網路安全之合作會議。
為什麼重要
網路穩定性影響全球關鍵基礎設施,所有國家都正在尋找保護網路空間之方法與手段。由於網路空間具有相互依賴之特性,在跨越領土疆界外,應尋求減少風險之措施,並發展一些規範來管理潛在的可能網路衝突發生。
UN GGE 在一次陳述國際法適用於網路空間。下一個主要挑戰是考慮網路特殊性,國際法如何適用於網路空間;例如發生網路衝突時,各國如何主張UN憲章中之自我防護權利?各國要如何負起源自於領土疆域內電腦設施之網路攻擊的責任?不充分的規範及程序所導致之衝突,將會致使網路空間的不穩定性,進而會嚴重影響網路及經濟發展之成長。
其它網路空間相關發展
6月23日:微軟發表ICT產業及政府網路安全規範白皮書,供政府及產業界參考。
7月8日:NATO國家藉由「網路防禦宣言」許諾發展能力、分配足夠資源、強化多方關係人互動及增進對威脅之了解、強化技術及認知、網路教育人才培育、跟催網路防禦承諾之建置情況等。
8月29日:UN GGE開始討論及研究網路安全之現行與潛在威脅及可能合作措施,包括國際法如何適用於各國ICT之利用、負責任國家之規範及原則等。
9月6日:G20領袖強調各國成長與發展之數位經濟角色及新產業革命之重要性。
10月16日:BRICS(金磚五國)認可在確保使用ICT之穩定及安全方面,要扮演領導性角色。
此議題對我國數位政策之意涵
網路空間涉及網路主權、網路衝突(戰爭)、網路攻擊的議題,一般屬國家安全層次,從過去傳統的國防、外交,到新型態的數位國防、數位外交模式皆屬之。
上述美國、俄羅斯及歐洲安全合作組織(OSCE)、北大西洋公約組織(NATO)、聯合國政府專家群(GGE)等,在網路衝突的領域,皆扮演重要角色。甚至中國的網路安全法中,強勢宣示保護網路空間主權,此部分是我國比較少深入探討或國際參與的部分。從網路安全邁向國家安全層次之作為,即將數位網路技術,結合各項主權策略,提升為數位國安策略等,屬國家上位策略層次,攸關國家發展甚鉅。
二、Apple/FBI案例聚焦於隱私、安全、加密、監控
發生事實
2月17日,加州法院命令Apple協助FBI將San Bernardino案之恐怖份子的手機上的資料解鎖,Apple被要求提供軟體讓FBI人員打開手機輸入密碼時,可以跳過或讓「自動刪除功能」失效。結果Apple斷然拒絕法院要求,此拒絕也廣獲科技公司之支持。Apple宣稱假如同意FBI要求,將會導致弱化手機安全,進而危及數百萬人的隱私權利。在法院聽證會的前一天,美國政府宣稱已有第三方公司已找到破解手機的方法,到底第三方是誰? 如何破解?迄今仍是一團謎,但此熱烈爭議仍有諸多未解的議題。
為什麼重要
這個個案帶出了隱私、安全交互影響的焦點:一方面FBI如能存取資料,將會導致可能會允許FBI進一步執行一些無辜人民生活的調查;另一方面,如Apple協助存取,將可能弱化手機安全並危及數百萬人的權利,Apple強烈拒絕承擔此一風險。
國家社會的集體安全,與個人隱私保障間的爭議,是否有可能達成雙贏,或僅能照顧其中一方?
主要的困境是,數位政策是否有可能達成雙贏(更多安全「且」更多隱私)?或僅有單邊輸贏(更多安全「或」更多隱私)的解決方案?此個案已凸顯了利害關係人應有的責任,例如民營公司在政府要求時,是否有弱化其產品加密的義務?在哪一個時點,可以跨過紅線要求民營公司的協助?當然此案例是在法庭外解決,主要的爭議仍在,可能也會隨時再浮現出來。若有新的法院個案,是否會敦促法官裁決?政府或網路公司,屆時要如何進行攻防呢?
發展時間表
2月17日:加州法院命令Apple協助FBI將San Bernardino案之恐怖份子的手機上的資料解鎖。
3月1日:紐約法官指美國司法部無權要求Apple提供存取。
3月1日:Apple在國會作證,宣稱此系統如可以提供破解加密,將弱化每一隻iPhone手機之安全。
3月4日:Apple接到眾多科技公司的支持。UN人權委員說此個案可能危害數百萬人的權利。
3月8日:美國司法部宣稱他們的要求並不過分,而且僅針對一個特定個案。
3月16日:Apple說美國憲法禁止其遵循法院命令。
3月22日:美國政府宣稱不用Apple幫忙,已發現手機解碼的方法。
3月29日:美國政府撤除對Apple的要求。
3月31日:美國人權聯盟確認有政府要求公司協助解鎖的63件法院命令。
4月13日:FBI被認為是經由專業駭客的協助,解鎖該案件之手機密碼。
4月27日:FBI宣稱他們無法透漏該解鎖是如何進行及使用那些工具等。
9月15日:劍橋大學研究人員展示iPhone上的資料如何存取。
此議題對我國數位政策之意涵
本個案雖然為美國FBI要求Apple公司之個案,一方為政府執法機關,一方為全球最大的電腦公司;如換成另一個監管機關或另一家公司,或一個在美國、一個在另一個國家,各式組合皆可能會一再出現。不但涉及技術,也涉及隱私與資料保護、加密、網路安全、網路犯罪等政策議題,尤其是跨境司法管轄、跨部會監管等複雜流程。相關案例甚為值得我國相關部門深入剖析,預做因應。
三、科技公司為使用者強化加密機制
發生事實
在FBI/Apple爭議案件之後,愈來愈多的科技公司開始為其服務導入「端對端加密」。如服務已經加密,則仍進一步尋求強化用戶之通訊及隱私之加密機制。Apple、Google、Facebook、Snapchat、WhatsApp及WordPress,也已準備好提供強化及整合加密服務。
為什麼重要
FBI/Apple爭議會引起法院的裁決,可能會導致私人公司產品安全性的弱化。這是由政府監管部門提出之要求,假如該案一直持續進行,最終裁決由FBI勝訴,將會建立史無前例的先例。大部分的科技公司對Apple整個訴訟案過程,都表達強烈支持,同時也多開始導入及強化各自加密服務,以確保發送方及接收方之私人通訊的安全性。
當私人公司天經地義地追求商業利益的同時,對用戶權益的保護能作到甚麼程度呢?這些裝置都應無法滲入或無法解密,或為了兼顧公共安全及正義而應弱化加密嗎?所有利害關係人都可能會持續面對此一開放議題之爭辯。
主要案例
3月15日:多家科技公司,包括Facebook、Google、Snapchat等,宣布計畫強化其服務加密機制。
3月16日:Google宣布其75%的伺服器服務要求,都經過加密通道傳輸;該公司且已導入新的部門,專門負責網站及網路加密服務之透明度報告(Transparency Report)。
4月5日:WhatsApp導入端對端加密服務,包括相片、影音、檔案、語音與群組訊息,也多使用加密傳輸。
4月8日:WordPress為其代管在WordPress.com之客戶導入加密服務。
5月3日:Google為其Blogspot.com之部落格啟動HTTPS服務。
5月18日:Google的新服務Allo及Duo,亦提供端對端加密。
6月15日:Apple宣布自2017年1月1日起,所有App Store的APP都需要啟動App Transport Security(ATS)。ATS強迫應用程式利用HTTPS對其網路服務進行連接時,讓傳輸時的使用者資料可以加密。
8月2日:Google指出YouTube與Google Calendar的加密連結傳輸已分別達到97%與93%;該公司將逐漸淘汰非安全性的連結。
8月10日:Netflix指出其視訊串流也朝向加密進行,大部分的串流在2016年底都會利用Transport Layer Security(TLS)加密。
9月9日:從2017年1月起,Chrome瀏覽器將會開始將非HTTPS連結標示為「不安全(Non-Secure)」。此一標示措施,旨在教育使用戶連上非加密網站之風險。
10月1日:Verisign宣布將DNSSEC之加密金鑰的程度加倍,此一措施由Verisign與ICANN、IANA、US NTIA進行合作,以強化根伺服器簽署金鑰之安全性。
10月5日:Facebook導入「Messenger聊天」之私密通話,讓使用者可以選擇端對端加密通話。
此議題對我國數位政策之意涵
檢視上述公司之積極作法,已讓網路加密服務蔚為風潮。不只類似金融服務需要加密服務,一般網頁或涉及個資的服務,資料及傳輸加密都可說是基本功能。道高一尺,魔高一丈,核心的背後就是加解密技術,因此加密是一項持續進展的議題,也受各國之重視,在一般網路應用服務中,也會愈來愈重要。
反觀我國各項網路加密服務(如HTTPS)比率仍甚低,亟待提升。如無加密服務,屆時連保護用戶資料權益的機會都沒有,更遑論訴訟之攻防。
四、對抗線上暴力極端主義之措施及倡議計畫
發生事實
2016年,恐怖分子增加利用網路來散佈恐怖宣傳及暴力極端主義言論,恐怖分子已開始使用VPN及其他線上工具進行訊息加密及建立黑網(dark web)。私人公司倡議導入一些措施,如建立內容移除政策、指引極端內容搜尋至反恐怖內容等,然而中介機構已面臨許多無法執行的法院判決,或對恐怖分子提供內容支援等。
監理單位則正倡議與產業界成立專責工作小組,並與公民社群合作成立論壇,共同接受線上恐怖內容之挑戰。聯合國將於2017年4月成立反恐委員會(Counter-Terrorism Committee: CTC),預計會提出一個廣泛性的國際架構建議。在「回應恐怖分子使用網路及ICT之私部門合作」之報告中指出,可形成公私合作之政策架構。該報告是在ICT4Peace及聯合國反恐執行理事會在12月份之CTC會議提出。
G7領袖也指出,在阻止恐怖份子非法線上活動時,與私部門、公民社群合作的必要性。BRICS金磚五國領袖(巴西、俄羅斯、印度、中國、南非)也強調對強化國際合作以對抗不當使用ICT的恐怖分子及犯罪活動。
為什麼重要
對抗極端分子之內容已成為國際政治的主要議題。大部分極端分子或恐怖份子的內容,都是在線上散佈,這也是網路公司在此議題中受關注的原因之一。因此美國矽谷的一些科技公司,也開始與政府合作,以對抗線上恐怖份子與極端分子的線上內容散佈。
大部分極端分子或恐怖份子的內容,都是在線上散佈,如何偵防並兼顧言論自由?
2016年,美國政府已開始與科技公司透過技術激盪會議,來討論合作事宜;科技公司也開始利用如同對抗兒童色情濫用之雜湊技術(Hashing Technology),讓線上暴力極端主義的內容自動下架(Automatic take-down)。同時私人公司也承受來自監管機構、取得法院判決之受害者家屬的莫大壓力。一方面,受害者家屬及安全倡議人士要求中介機構仍然未盡全力合作,另一方面,人權倡議者則要求某些措施可能會扼殺言論自由。
線上激進言論快速發生,情形愈演愈烈,問題是中介機構是否採取足夠措施,也益發引起討論。
主要案例
中介機構宣稱無法採取行動,所需面對的各種法院案件:
6月17日:2015年11月巴黎恐攻受害者父親,控訴Google、Facebook、Twitter提供線上內容支持恐怖份子。科技公司回應,他們已有反極端分子的內容政策,而美國相關法律也豁免將內容放置於其網路上之中介機構責任。
7月12日:巴勒斯坦恐攻的美國受害者,控訴Facebook「知悉內容並支持提供伊斯蘭哈瑪斯恐怖份子資源」,及「促進恐怖份子群組溝通、招募會員、計劃與執行攻擊等」。
8月10日:有兩個美國政府雇員於2015.11在約旦遭殺害,家屬控告,指Twitter知悉ISIS使用社群網路作為工具來散佈極端言論宣傳、募資、招募新人等;可是原告無法解釋Twitter如何提供帳號給ISIS導致被槍殺,最後加州法院駁回Twitter提供內容支持恐怖份子之控訴案。
12月12日:Orlando Plus俱樂部槍殺案的受害者家屬,於2016年6月控訴Google、Twitter、Facebook在激進槍殺案件中的角色,訴訟案中宣稱假如沒有Google、Twitter、Facebook,ISIS這幾年不可能成長如此快速;他們也指控這些科技公司經由ISIS的貼文內容獲取廣告收益。
此議題對我國數位政策之意涵
此議題發生之背景,來自控訴網路成為助長恐怖主義或恐怖攻擊之利器;提供網路服務之公司,應善盡責任,減少或阻絕恐攻暴力之發生。當然此類情形在我國發生情形較少,但為與國際接軌及配合國際恐攻防禦,了解此議題,亦可知悉線上暴力助長極端主義之態勢。諸如中國新疆、西藏等地區亦有可能發生恐怖攻擊事件,另一方面也可以了解各大網路平台業者之線上暴力內容自動偵測技術及政策等,對應用至如我國網路霸凌、網路犯罪防護等,亦應有所助益。
五、系統弱點導致網路犯罪遽增
發生事實
網路空間的脆弱性所造成的網路犯罪事件,已經經常成為新聞熱門議題。從個人、網路公司、大學到公務機構,都是受攻擊目標。
Yahoo已承認2013及2014年的兩件網路攻擊,導致大量的用戶帳號遭偷竊;2013有超過100萬用戶受影響,2014年有500萬用戶受影響。雖然Twitter宣稱個人身分資料並未外洩,3300萬Twitter帳號之資料庫,也在Dark Web網路犯罪市場待價而沽。另孟加拉中央銀行由於SWIFT系統受惡意程式入侵,損失8000萬美元,致金融及財務機構高度關注可能的駭客入侵事件。
針對Windows等作業系統的零日(Zero-Day)弱點繼續在網路犯罪市場上流行,也引起專家的關注。8月份,一群駭客揭露了屬於另一個駭客組織的高度複雜的網路攻擊工具的軟體代碼,該駭客組織據信與美國國家安全局(NSA)有聯繫。
2016年10月,日本富山大學公佈了2015年駭客對該校核研究實驗室的網路間諜攻擊,約1500名研究人員的研究成果資訊和個人資料被盜。
另一起案例,駭客攻進屬於巴拿馬律師事務所與企業服務商Mossack Fonseca的電子郵件伺服器,導致所謂的「巴拿馬文件」(Panama Papers)洩漏;該文件顯示了多國公職人員個人財富和避稅訊息。
為什麼重要
雖然這只是冰山一角,但這些例子表明網路空間的脆弱性,如何被各種各樣的行為者所利用。雖然網路犯罪的風險和損失正在增加,但是由政治動機的行為者(國家及其代理人)濫用網路的現象越來越占主導地位。此外,網路攻擊繼續增加,從大規模欺詐轉移到針對個人的複雜攻擊,以及駭客攻擊特定公司或機構。透過先進的攻擊技術,讓金融和政府機構也成為網路犯罪的目標。
網路攻擊繼續增加,從大規模欺詐轉移到針對個人與特定公司的複雜攻擊,成為各國最新的頭痛問題。
這一趨勢要求政府、跨政府組織和私人企業投入更多心力,努力確保並實施更充分的應對措施。雖然更多國家正在加強其執法機構,但是在發展中國家,這些機構可用的資源總量仍然很少,這主要是由於對網路安全挑戰的政治理解有限。
歐洲委員會網路犯罪公約(Europe’s Convention on Cybercrime)慶祝其成立15週年(11月19日),共有50個締約國,無論是在國家立法準則方面,還是作為一個跨利害關係人的能力建構和合作框架,該公約仍然是打擊網路犯罪的最相關的國際協定。
監管機構和公司對威脅的主要反應
7月6日:歐洲議會通過網路和資訊安全(NIS)指令,要求成員國建立「計算機安全事件回應小組」(CSIRT)和主管國家資安事務的機構,並成立一個跨歐盟合作戰略小組和CSIRT運作之合作網路。
11月2日:英國批准了2016年至2021年的新版「國家網路安全戰略(National Cyber Security Strategy)」;該戰略圍繞三個主要方面:保衛其基礎設施、阻止罪犯及發展網路能力(Cyber-Capabilities)。
11月7日:中國公布新的「網路安全法」來對抗網路威脅,例如駭客和恐怖主義。該法將於2017年6月1日生效。12月27日,中國宣布了國家網路安全戰略。
11月16日:美國政府啟動連接克里姆林宮和白宮的安全語音通信線路,以防止美國大選期間的網路意外事件。
12月1日:美國強化國家安全委員會(US Commission on Enhancing National Cybersecurity),在其「安全和數位經濟成長報告」中提出了16項建議。
此議題對我國數位政策之意涵
隨著數位經濟議題持續升溫,網路犯罪將持續增加已成常態,尤其是金融機構被駭及網路勒索案件層出不窮;我國進而於行政院成立資安處統籌全國資安事宜,並研議「資訊安全管理法」,擬對資訊關鍵基礎設施強化防護,這些都是2016年重要之發展。
另外,偵辦網路犯罪的警政署刑事警察局,也扮演非常重要角色。網路犯罪經常涉及跨境合作引渡,持續強化國際合作及提升偵防鑑識技術等,都是非常重要的工作。網路犯罪議題將持續會是我國數位政策重要項目之一。
(未完,待續)