楊貴智
2021-10-14發佈
2024-01-24更新
科技偵查法讓國家成為駭客,如何確保人民的隱私|公共倡議
「設備端通訊監察」授權偵查機關可以侵入受監控者的手機內安裝木馬程式,並在受監控者不知情的情況下向指定地點發送資料,引發隱私及資安憂慮。
科技偵查法讓國家成為駭客,如何確保人民的隱私|楊貴智
2014 年的王姓海巡士官長案,在該案士官長為了查緝某公司的貨車是否有運送私菸的情形,在該公司的貨車底盤裝上GPS定位器以藉此取得貨車行車軌跡,反而因此遭到妨害秘密的刑事告訴。
高雄地院認為士官長安裝 GPS 定位器的目的雖然是偵查犯罪,然因屬於藉由公權力侵害私領域的「強制偵查」,如果無法律依據,自屬違法而不被允許。最後遭高雄地院、高雄高分院以構成「無故以電磁紀錄竊錄他人非公開活動罪」為由判處拘役50日、緩刑2年。檢察總長更兩度為士官長提出非常上訴,然而都無功而返。
司法對於人權保障日益嚴謹,如果沒有明確的法律授權,偵查機關不能擅自使用最新科技技術從事犯罪偵查,因此法務部喊出「不能人家上太空,我們還在殺豬公!」並推出《科技偵查法》草案,內容涵蓋監視、攝錄與追查位置,像是利用全球定位系統或是隱私空間的非侵入性調查等手段,也同時處理設備端通訊監察、數位證據與保全等問題,立即引發許多熱議。
延伸收聽:法客話題 EP106|讓政府當駭客的科技偵查法,我們的生活即將被看光光?
當大家都用通訊軟體講電話,傳統電信監聽越來越無用武之地
在行動通信網路越來越普及後,Line、WhatsApp 或 WeChat 等等利用網路電話(VoIP)技術的通訊軟體使用度已經超越傳統電話,這讓利用在電信機房掛線監聽的傳統通訊監察手段越來越無用武之地。
雖然我們使用網路軟體進行通訊的時候,傳輸的封包也會經過網路設備機房,然而只有在偵查機關已經鎖定明確的犯罪對象,而且明確掌握嫌疑人的通信地點的前提下,才有辦法利用伺服器等網路節點進行監察,尤其現在大部分通訊軟體都提供點對點加密功能,在節點攔截取得通訊資料都被加密而無法讀取,因此此種偵查作為在實務上可行度較低。
最具爭議的「設備端通訊監察」:透過木馬看光光你的生活
對此,在《科技偵查法》草案的相關規定中,法務部推出的是「設備端通訊監察」,也就是授權偵查機關可以侵入受監控者的手機內安裝木馬程式,並在受監控者不知情的情況下向指定地點發送資料。
例如瑞士政府植入木馬程式,透過電腦麥克風竊錄交談內容,德國政府則在透過木馬程式掃瞄硬碟以取得與犯罪相關之檔案(註一)。藉此解決破解加密及難以掌握嫌疑人地點的等困難,以達成犯罪偵查目的。
然而以色列 NSO 集團開發的間諜軟體「飛馬」便讓大眾注意到「設備端通訊監察」對隱私帶來的高度隱憂。
「飛馬」透過手機作業系統漏洞侵入目標手機,一旦成功安裝,智慧型手機立刻搖身一變成為全天候監控裝置,舉凡訊息、照片、通訊錄、通話紀錄、行事曆、電郵和網路瀏覽紀錄「飛馬」均能通通搜刮帶 走之外,「飛馬」甚至能在被監控者不知情的情況下啟動相機及麥克風側拍側錄被監控者的真實生活,也能顯示手機持有人在哪裡、去過何處、見過何人。
國際特赦組織指出,目前有超過 50,000 個號碼被「飛馬」監視,名單涵蓋了50多個國家的手機用戶,其中包括各國政府官員及王室成員、企業主管、人權運動者及記者。蘋果電腦公司更為此罕見在新系統 iOS15 發布前夕,緊急發布舊版iOS14 系統的安全性更新,並呼籲用戶儘速更新。由此可知,飛馬帶來的資安疑慮實不可小覷。
「設備端通訊監察」技術是一把中性的雙面刃,如果善加利用,可以用在打擊犯罪,但如果遭到濫用,則人民有如籠罩在 X 光檢查機下,一切生活均無所遁形,隱私毫無保障。
犯罪偵查與隱私保障的平衡有解方?
面對民間團體的質疑,法務部表示,可以透過相關技術以擔保犯罪偵查所取得的資訊限於必要範圍,然經本站詢問台灣駭客協會的王仁甫理事表示,相關技術的原理可以用「權限」來形容,想像手機裏面每一筆資料都放在各自的安全門之後,當你擁有權限越高的鑰匙(憑證),你自然就能打開越多道安全門來取得資訊。
例如 iPhone 系統因資安保護程度較高而破解不易,美國政府曾經要求蘋果公司在 iPhone 內設計後門,也就是在系統設計之初即留下一把最高權限的鑰匙(憑證)來讓美國政府進入手機取得資訊,但此要求遭到蘋果公司 拒絕。
此外,利用系統漏洞或是偽造的鑰匙(憑證)來取得資訊,也是另一條路徑。然而不論採行何種路徑,現實上的隱憂是:當國家取得開門的權力後,對於如何節制國家行使權力並確保不被濫用,現階段相關配套措施並不完善。
民間司法改革基金會常務理事林俊宏律師即表示,現在人民的生活已經離不開手機,光是透過掃描分析他人的電子郵件,即可取得像是計程車電子帳單、餐廳訂餐紀錄、網路購物消費紀錄等資料,更不用提各項書信往來的紀錄,因此當國家可以透過木馬程式取得人民手機內的資料,就能充分掌握人民的生活,而且可能比受監控的人還了解自己。
換言之,「設備端通訊監察」對人民隱私造成的隱憂,遠大於現行「通訊監察保障法」,因此「設備端通訊監察」的適用範圍以及相關程序,都應該比「通訊監察保障法」來的嚴謹。
然而林俊宏律師卻表示,如果仔細審視《科技偵查法》草案,會發現「設備端通訊監察」的適用範圍以及相關程序完全比照通保法。換言之,當國家的權力長大了,節制國家權力的最後一道防線卻沒有跟著長大,形同大人穿童衣一般讓人感到失衡。
王理事便舉例表示,在德國必須在「其他偵查手段沒有顯著效益」的前提下才可以進行設備端通訊監察,換言之,政府須先採行對人民隱私侵害較小的偵查手段,確實達不到偵查效果後,才可以向法官聲請進行「設備端通訊監察」。王理事也擔心,如果政府自行開發的木馬程式遭到其他駭客竊取濫用,將會對人民造成更大的危害。
林律師則質疑,法務部現在推出的草案,只要是最輕三年本刑以上的犯罪都可以使用「設備端通訊監察」,範圍恐怕過於浮濫,應將適用範圍限縮在更為嚴重的罪行。此外,應設計其他控制機制,例如要求法務部每年向立法院提出報告說明 「設備端通訊監察」的使用情況,讓國家權力得以接受檢驗。
監管之人,誰人監管?
Quis custodiet ipsos custodes?是一句有名的拉丁法諺,直譯為「誰來把守守衛者?」,亦譯「誰來監督監督者?」,我們透過法律賦予國家打擊犯罪並維護治安的權力及責任,然當這樣的權力遭到濫用,反而變成國家侵害人民的利器,而這樣的歷史不斷反覆上演,因此「科技偵查法」固然立意良善,然我們不能只看樂觀的一面,同時也必須做最悲觀的打算,才能確保每項制度都能用在對人民有益的地方,而不會變成反噬人民的工具。
註一:對以具加密功能之通訊軟體之通訊監察之理論與實務,法務部出國報告。
*希望跟大家一起討論各種公共政策,一起促成環境變得更好。