Amazon Google 犯罪偵防 FBI 蘋果 IBM 資安 雲端 微軟

安全包括抗政府調閱監看 雲端業者挺身捍衛客戶

2016-05-27
微軟於今年4月14日在華盛頓州的聯邦法院對美國司法部提告,主張政府要求微軟提供客戶資訊(如Email及其他文件等)卻不准告知客戶之舉違憲,不僅違反美國憲法關於民眾受政府搜索扣押時被告知的權利,也侵害微軟的言論自由。
繼今年(2016)2月間蘋果公司拒絕依法院命令協助FBI破解恐怖攻擊嫌犯的iPhone手機之後,微軟公司於4月間也硬起來單挑美國司法部並向法院訴求:當政府要求獲取客戶資訊時,微軟有權告知客戶:「老大哥正在看著你」。此亦涉及民眾隱私與公共利益的衝突,微軟主張不僅客戶有知情權,微軟也有告知客戶的言論自由。不過政府可不這麼想,似認為透過黑箱監視有助於找到情資線索,以有效防範恐攻與追緝犯罪。

漫步在雲端

隨著網路科技進步及市場自由競爭,許多知名企業已轉型或多角化經營提供雲端儲存與運算等服務。雲端業者為能吸引客戶使用其服務,常採取「養 套 殺」的行銷模式,如先免費提供特定的儲存容量,等到客戶用得習慣且產生依賴性後,再推銷付費的升級版,以獲得長期穩定的現金流,未來還可進而推銷其他商品服務,賺更多錢。不過,雲端業者最重要的吸客術還是在於確保「雲端安全」,畢竟如果雲端被風一吹就飄散見光,誰還敢把企業或個人的重要資訊儲存在第三方業者的雲端?因此,安全已成為雲端商品行銷的重要訴求。

實務上對於雲端安全比較強調如何防範駭客攻擊,雲端業者多致力於建構固若金湯的堡壘以防範駭客採取如分散式阻斷服務攻擊(DDoS)、散佈病毒等攻擊。然而容易遭忽略的是雲端業者依政府的指示或命令,而交出或容許監看儲存在雲端裡的客戶資訊。畢竟雲端業者受到駭客攻擊時或有義務向客戶通報受災情形及因應方案(參見個資法第12條規定:「公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人」),而對於來自政府的索求,雲端業者卻未必會主動告知或被禁止告知客戶,使得客戶不僅過往的資訊被看光光,還繼續不自覺地上演楚門秀。

微軟硬起來

微軟於今年4月14日在華盛頓州的聯邦法院對美國司法部提告,主張政府要求微軟提供客戶資訊(如Email及其他文件等)卻不准告知客戶之舉違憲,不僅違反美國憲法關於民眾受政府搜索扣押時被告知的權利,也侵害微軟的言論自由。微軟指出其在過往18個月中遭政府以電子通訊隱私法為依據而啟動5,624次的命令要求其提供客戶資訊,其中有2,576次係禁止微軟通報客戶,更誇張的是在大多數的噤聲令中並沒有確定的失效日期,也就是說微軟的客戶對於其遭政府監看情蒐可能無限期被蒙在鼓裡。

在法治國家裡政府對人民進行搜索扣押須明確告知(如提示搜索票、扣押物品清單)。微軟認為當人民將私人資訊從實體儲存移到雲端,並未因此放棄受告知的權利。如果人民信賴第三方業者而將私人資訊移存到雲端空間,竟渾然不覺遭到政府監控,並不合理,應維持與現實環境中相同的法律保護。

打開黑箱

微軟對政府硬起來的舉動可說是為了捍衛民眾隱私以及微軟的言論自由,但也有解讀是圖謀雲端服務的商業利益,因為史諾登洩密事件引發民眾對於美國政府長期對於網路及電話監控的疑慮,業者乃強化其服務的安全保障,也不願輕易地對政府需求照單全收,甚至挺身提出法律挑戰,如今年發生的蘋果解鎖案與微軟噤聲案,即為著例。

雲端業者面對政府提出監控其客戶的需求時,其實有兩道關卡可以進行防禦工事。第一道關卡是質疑政府是否依法有權監控?網路虛擬監控類似實體搜索,法治國家中政府搜索民宅依法應獲得法院核發搜索票,電話掛線監聽也要有法院核發的通訊監察書,為何網路虛擬監控卻可不受拘束?並不合理。實務上政府多以發函方式請業者配合辦理,業者如自願上繳客戶資訊,猶如自願「被同意」搜索般是自廢武功且有損客戶權益。業者如硬起來拒絕配合,政府就得想辦法透過其他途徑命業者協助,最好的解決方式是能立法處理網路監控的問題,且能讓法院介入擔任把關的角色。

第二道關卡是告知客戶關於其被政府監控之事。即使業者守不住第一道關卡而不得不容許政府對客戶監控,亦可挺身維護告知客戶的權利。網路虛擬監控類似實體搜索,搜索應用搜索票並記載案由、對象、範圍、有效期間等事項,且應提示給在場人,如有扣押亦需製作扣押物品清單,刑事訴訟法訂有相關規定,雖非針對網路虛擬監控而量身訂做,應仍可參照。

如果監控內容涉及個資,固然依個資法第8、9條規定,公務機關或非公務機關不論是直接或間接向當事人蒐集個資,都得以個資之蒐集係公務機關執行法定職務所必要,或以告知將妨礙公務機關執行法定職務等理由而不告知當事人,惟該等條文僅規定「得免告知」並未禁止告知。如雲端業者要告知客戶有政府蒐集其個資,並非絕對不行,亦得援引前述個資法第12條通報當事人個資外洩的立法意旨作為護身符。

然而如果考量犯罪偵防及國家安全的公益需要而認為政府對網路虛擬監控不應讓當事人知悉,也應有一定期間的限制,讓當事人遲早還是能知悉其被監控的事實以利其維護權益,此可參照以電話監聽為主要適用範圍的通訊保障及監察法,不僅規定應以法院核發的通訊監察書為監聽依據,通訊監察書還應記載監察期間,且於監察通訊結束後原則上應通知受監察人,以保障人權。

打開黑箱

過往實務上雖有許多網路服務公司、電信公司、或手機公司並未與政府據理力爭就配合協助將民眾個資隱私提供給政府,但在資訊隱私越來越受到重視以及安全亦屬行銷一環的商業新興思維影響下,有越來越多業者願意挺身而出向政府嗆聲,司法攻防上至少可從上述兩道關卡去卡關,以爭取合理的解決方案。在資訊社會中,個人隱私與公共利益及商業利益的衝突如何尋求平衡解決,誠為一大課題。監控民眾隱私黑箱者,也應受監控,以免違法濫權而形成另一個黑箱作業。

<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!