雲端年代的隱私威脅

搜尋『facebook privacy evolution』，你就會了解：為什麻使用臉書，最好不要存有『隱私的幻想』。 Google 相對是一家比較不為惡的公司，但基於它的商業模式， google 難以避免地經常引發隱私爭議。

不過，跟各國政府大規模監聽比起來，上述商業考量下的侵犯隱私又顯得客氣許多。今年六月間, Edward Snowden 爆料美國國安局透過『稜鏡計畫』，對全球電信及網路大規模監聽。美國司法部為了管制言論、找出揭弊的吹哨者，也監聽美聯社記者。中國則除了『防火長城』之外，還有『手機實名制、封鎖 VPN』、『追蹤手機、監控 wifi』。在臺灣，除了特偵組的非法監聽之外，行政院推出的『資通安全』注意事項，其實是一個陷用戶於危險的『謊言』。

資訊產業也有許多「高度可疑、商業需要難以解釋」的監聽機制、侵犯隱私的技術，現在就藏在你桌上的 Windows 電腦、口袋裡的 iPhone 手機當中。『Intel RdRand』、『iMessage 後門』、『iCloud honeypot』、『iOS7 mdm 陰謀』、『一輩子無法更改的指紋鎖』... 不勝枚舉。不只是『蘋果與情治單位』之間有『曖昧關係』，『skype backdoor』、『outlook backdoor』、『windows NSA 後門』、『carrier IQ』、『finfisher』... 都是政商合作侵犯大眾隱私的實例。

雲端時代，真正能夠保護用戶隱私的技術有『homomorphic encryption』跟『unhosted』，可惜一個還沒商業化，另一個商業化的可能性很低。如果連公認安全的 RSA 加密演算法都可以因為有人在亂數產生器當中動手腳而使『公鑰夾帶私鑰』，那麼一般人還能信任什麼樣的資訊技術? 美國大法官 Louis Brandeis 說：『Sunlight is the best disinfectant.』資訊科技界亦然。 如果你在意資安與隱私，那麼「看得見原始碼」不是一個選項，而是一個先決條件。

所以，『西藏』人為了保命，改從開放原始碼的『f-droid』市集下載 android apps。所以，旨在保護手機通訊隱私的『Guardian project』，所有的程式碼一律以原始碼的形式放在 github 上面。所以，講者所推薦的『OTR messaging』即時通軟體 -- 不論是『chatsecure』或是『pidgin』或是『psi』 -- 都是自由軟體。

但自由軟體只是資訊安全的一環，而不是全部。資訊科技只能被用來協助保護而不能被用來 強制封鎖個資/隱私。比方說，機關組織在保護個資的同時，千萬不可為了管制『客戶個資』而侵犯了『員工隱私』。「保護個資」會不會被行政院拿來當作推動『集權 MDM』的藉口，最終反而侵犯公教人員? 這值得我們留心觀察。提升大眾自我保護及尊重他人的隱私意識與常識，可能比技術或法律更是治標的方法。最終，讓我們記得資訊安全專家 Bruce Schneier 提醒：『Security is a process, not a product.』保護隱私也是如此。

(請用以上『關鍵詞』或雙詞組搜尋相關文章與完整報導。也請搜尋『sozi 簡報』找到 "雲端時代的隱私威脅" 以及 "政府與企業對大眾的網路監控與管制" 兩份簡報。)