2013年6月16日 星期日

陳電鋸 - PRISM break——從監聽思考公民權利

星期日生活   2013616

【明報專訊】綜合美國國家安全局外判電腦專家斯諾登口供和國家安全局事後發布種種資料,PRISM計劃是一個以網絡服務供應商提供的數據為基礎的數據挖掘計劃,目的旨在反恐,挖掘的數據包括用戶的電郵、網絡通話、傳輸檔案內容等等。科技界巨頭如微軟、谷歌、蘋果、facebook等等都有參與。唯一坦白承認有參與PRISM計劃的微軟表示,他們只會在法庭傳召之下才會提供用戶的數據,並不會主動向政府提供數據。其他幾家涉嫌的公司否認有參與此計劃。

合法數據截聽計劃眾多

說實在的,我對PRISM計劃的存在並不感到驚訝。國際間存在的合法數據截聽計劃不知凡幾,試舉幾個例:ECHELON——由美、加、英、澳、紐五國共建的情報收集網,能截聽一切經公眾電話、微波及光纖網絡傳送的數據;DCSNet——美國聯邦調查局的全美電話截聽系統,能夠隨時隨地截聽美國國內任何一部固網或無線電話,包括經手機互聯網數據傳送;NarusInsight——一台安裝在美國AT&T互聯網骨幹的超級電腦,用於監聽於此處交換的網絡數據包(network packet)資料……

以上的截聽系統有其限制,就是截來的數據太過原始,屬於機器才能閱讀的格式,要經過漫長的翻譯過程才能變成人類能夠閱讀的格式,方可用於舉證用途。此外,數據傳送間或翻譯過程中難免出現數據失真,增加舉證難度。相反,PRISM突破了以上的限制,卻是由網絡服務供應商伺服器裏取出資料,用戶的數據原汁原味呈上,原字照錄。如此的情報收集實在太過方便,無怪乎PRISM建立之後成為美國政府最重要的情報來源。

有一點必須注意,就是以上的數據挖掘系統全部合乎美國法律,屬於合法的數據截取,與前年揭發引起軒然大波的《世界新聞報》非法竊聽事件截然不同。以PRISM計劃為例,它是根據《美國保護法》和《外國情報監視法》而成立,每次挖掘數據行動要經過法庭批准才能行事。法庭會根據以上兩條法律原則決定是否批淮該行動。

沒理由犧牲公民權利

根據港式的「沉默大多數」的想法,若然你沒有做過任何犯法,沒有參與任何恐怖活動,或者與任何的國際恐怖活動組織有任何華洋轇輵,什麼PRISM計劃根本不足為懼。再者,這是完全合法的行動,那還有什麼好說嗎?同樣的理據亦可應用於支持香港《基本法》廿三條立法、《2011年版權(修訂)條例草案》(俗稱網絡廿三條),甚至學童驗尿計劃,若然你對有關立法建議有異議,會被質疑你是否支持分裂國家、網上侵權和少年吸毒。以PRISM為例,我亦同意如何平衡國家安全和憲法保障的私隱權和言論自由實在非常困難,但僅以「沒有犯法就根本不足為懼」,以及「合法就沒有問題」的想法去思考這個問題,就是將問題簡化得太過分。

PRISM計劃每次行動都要由法庭判定數據挖掘的對象是否涉及恐怖活動,有機會破壞美國國家安全。但如此定義跟「愛國愛港」一樣,實在太過含糊,無法以客觀方式量度,容易變成自由心證的測量。由於恐怖活動和威脅國家安全指涉嚴重,令人有合理懷疑法庭是會採取寧枉莫縱的原則處理。涉及恐怖活動的判準含糊亦可能引致寒蟬效應,一切在互聯網公開或私底下的反美言論,都可能招至數據挖掘的可能,令PRISM變成「羅織罪名」(Fishing Expedition)的工具。人們為求自保只好噤聲。若然此類監聽計劃以秘密、不透明的方式運作,本身對公眾非常不公平,我們自然也無法以善意(bona fide)原則思考。例如市民大眾無法得知有關計劃有否被濫用,令合法的公民都成為監聽的對象。五國合作的ECHELON情報網,就曾被歐盟多國質疑被濫用於從事商業間諜活動,例如協助美國政府竊取由西德和比利時研發的高科技產品設計。另外,ECHELON截取的數據涉嫌用於揭發歐洲空中巴士公司的貪污罪行,令人質疑此舉是為美國波音公司服務。機密執行的任何監聽計劃,無論用於防範任何嚴重的罪行,都會令所有人的人身自由減少。這一點,我是希望香港沉默的大數都必須引以為誡的,並不要僅僅以自身的利益來思考問題。市民大眾是沒有理由無條件白白犧牲憲法所保障的公民權利。

合法但未必合情

最後,我想談談「合法就沒有問題」的思考方式。法律之上,還有道德,合法的事情未必合情。此外,法律之間也有相冲的地方,不能只以事情合乎部分法例就當它是安全合法。筆者從事中國互聯網言論研究,每天見得最多的幾句是:「根據相關法律法規和政策,部分搜索結果未予顯示」、「根據相關法律法規和政策,該網站不可點播」、「根據相關法律法規和政策,相關微博未予顯示」……以上幾句的共通點是「根據相關法律法規和政策」,而被屏蔽的言論未必涉及違法事件,更多的只是政權所不願意面對的事實和言論,如六四、上訪、勞教、強拆、被自殺。就算這樣為維穩屏蔽異見是否有錯,看法可能是因人而異,但我們最少要認同這是道德上有爭議。可是,這樣做在中國的法例之下是合法的,最少是合乎《計算機信息網絡國際聯網安全保護管理辦法》。但這就代表完全沒有問題嗎?中國最近似PRISM計劃的事件,是師濤事件。中國記者師濤在二○○五年被控竊露國家機密,被判十年有期徒刑,直至今天仍在服刑當中。而向外國網站竊露的所謂國家機密,是指出中國政府禁止媒體報道妨礙和諧穩定的事件。(如大型群眾事件)在中國的法律匣架之下,何謂「國家機密」是沒有定義的。事件舉證過程當中,涉及位於香港的雅虎中國公司向中國國家安全部提供師濤的電郵和IP地址紀錄。沒錯,雅虎中國公司這樣做是「根據相關法律法規和政策」,是完全合法的。但為何時任雅虎總裁楊致遠又會被美國國會批評為「財經及科技的巨人,道德上的侏儒」?

時移世易,今天道德上的侏儒的候選人,新增了幾家科技公司以及美國國家安全局。既然計劃已曝光,亦為釋公眾疑慮,美國政府最少應該效法香港《截取通訊及監察條例》的要求那樣定期公布PRISM計劃於伺服器挖掘申請次數、違規挖掘次數、錯誤挖掘(misfire)等等資料,增加透明度。幾家涉及PRISM計劃的科技公司亦應該坦率承認有參與計劃,並公布至今為止向官方提供數據的維度和闊度。愈有可能侵犯市民私隱、言論自由的法案,愈須要民間的監察,暴露於陽光之下,公布愈多資料愈好。

沒有留言:

張貼留言