文/何明諠(台灣人權促進會專員)
(雖然我們辦公室的所有手機都快被Pokemon攻陷了,但這篇真的和Pokemon沒啥關係,只是希望能藉此吸引大家看看以下的文章,因為我們覺得它應該值得一讀。)
就在幾天前(8月1日),隱私國際(Privacy International)與透明工具箱(Transparency Toolkit)的團隊,共同釋出了一個相當驚人的資料庫:「監控產業指南(Surveillance Industry Index,以下稱SII)。
之所以說SII驚人,是因為該資料庫裡的資料,全是與販賣監控技術給政府或其他企業的公司有關的資料。為了製作SII,整個工作團隊共搜集了1,500本以上的手冊、600條以上的監控技術出口條目,最後所完成的資料庫,涉及了全球超過520家的監控公司;儘管隱私國際表示,因為願意開放出口條目供查詢的國家有限,所以買賣條目並不完整,但此資料工程之浩大,整合程度之高,已是前所未有。而在SII釋出的三天後,端傳媒也迅速完成了一份背景報導,介紹了整個資料庫的製作背景及重點發現,大家若有興趣,就請自行點擊連結,這邊就不再贅述。
因為是可搜尋的資料庫,所以我們也就試著整理了一些和台灣有關的資料。底下的文章主要將分成三個部分:首先,我們會呈現該資料庫中與台灣相關的搜尋結果;其次,我們會說明這些搜尋結果在台灣脈絡下有關政府監控的意涵;最後,則是總結以上研究成果,並試著回應台灣近期一些相關的言論。
與台灣有關的搜尋結果
這個步驟相當簡單,只要在SII的搜尋欄上輸入「Taiwan」,就可以取得相關結果了。 搜尋後發現,與台灣有關的筆數共有17筆。 
這17筆分別是什麼呢?它們包含了2筆公司的介紹、10筆有關公司或技術的文件資料、以及5筆的交易紀錄。 首先來談談2筆公司。 2筆公司分別是提及AVTech(陞泰科技)與Decision Group(定興科技),前者是專門從事影像監控的公司,而後者則在2000年後專門販售網路監控軟體。為了讓讀者更清楚兩家公司的性質,我們分別從兩家公司網站上擷取了一小段介紹:
陞泰科技-AVTECH在臺灣的半導體通路與CCTV產業中一直居於領導者的地位,自1999 年以來已連續 9 年創下EPS 10 以上的成績,幷且在全球安防公司排名也躍居前茅。專注于技術、産品、應用之創新,不斷推出領導市場的優質産品。近年來已成爲全球最大Standalone DVR(單機式數位錄放影機)生産廠商,而各式彩色攝影機也同樣居于市場領先地位。
定興科技擁有高度之R&D實力,懷抱科學新知,深信電腦科技能改善人類生活。以團隊設計製造特殊用途之 Data Acquisition 工業控制介面卡 , RS-232 / 422 / 485 Multi Port Serial Card 通信用途介面卡產品系列為主要業務。民國90年起,增加發展 (DPI/DPC)深度網路封包解譯研發 , 開發與研究先進之通訊監察(Lawful Interception) 數位鑑識技術 (Digital Forensics)及數位資產保存稽核類產品。
因為懷疑其與國家監控的關聯,我們遂試探性地在政府採購網上查詢了兩家公司從2000年至今的得標紀錄,並表列如下:
關於AVTech的採購案,幾乎全與國防部軍備局中科院有關,但因採購名稱上瞧不出特別的端倪,所以我們就不多著墨。相較之下,Decision Group性質就較為明顯,除了得標的採購案幾乎悉數是由法務部調查局發包外,大半的案子也和網路偵查或封包破譯有關,合理推測Decision Group應是調查局網路通訊監察系統的主要建置及維護廠商之一。
而除了在國內拓展市場外,Decision Group也曾協助摩洛哥政府建置通訊監察系統,目的是為了讓摩洛哥政府有效打擊近幾年來,接二連三由人民發起的民主化運動。相關的平衡報導,亦可參見隱私國際出版的報告:「他們正在監控我--摩洛哥的監控故事」 。
簡單介紹2筆公司資料後,我們再來看看那10筆的文件資料。
這10筆資料會出現在結果中,部分是因該監控系統、技術、或公司,所涉及的系統或模組有支援台灣的繁體中文介面,如Thuraya、Eagle、Melanie;部分則是由於技術發展的背景介紹與台灣有關,如3D MEMS;部分則是台灣有進口其商品,所以經濟部標檢局給予了通知,如Blue Coat。
由於所知有限,我們只能憑藉網路上查到的資料來稍作說明。 以Eagle這個監控系統為例,它是法國的Amesys Bull公司所研發。Eagle會運用深度封包檢測(Deep Packet Inspection)的技術,來審查傳輸中的封包內容並辨識其中的網路活動,這間公司過往惡名昭彰,因其也販售類似的系統給利比亞過去的格達費政權,Amesys Bull同時也是無國界記者所列的網路敵人之一。
而3D MEMS(3維微機電系統,3D microelectromechanic systems)這個技術,是位於加州的Glimmerglass公司的專利技術,Glimmerglass公司的核心產品是名為CyberSweep的監控系統。CyberSweep運用3D MEMS,使該系統使用者能從光纖電纜中攔截特定訊號、並加以分析。
另外則是Blue Coat公司,這間位於美國加州的資安公司,專門販售Web匝道設備(ProxySG&PacketShaper)給各國企業或政府,其產品銷往全球含台灣在內的八十多個國家;Blue Coat的產品雖能被用於維持網路運作與維護資訊安全,但也能透過深度封包檢測的技術,封鎖特定的網路資訊,及監控並紀錄私人的通訊。正因如此,不少人權遭受嚴重侵害的國家,如伊朗、緬甸、敘利亞的政府,都樂於使用Blue Coat的設備作為國家網路基礎建設的一部份,以監控活躍的記者、社運或異議人士。無國界記者也因而將Blue Coat列為網路的敵人。
儘管Blue Coat曾表示不願見到其設備為這些國家所用,但倘若真想維持公信力,其根本方式,是Blue Coat根本不該讓這些國家有機會使用其設備,或至少應從嚴審核各個客戶的背景,並公告其產品販售政策。這間全球知名的資安公司,幾天前才被台灣人都很熟悉的資安公司賽門鐵克併購,我們在後面的篇幅中也會再次提到它。 [caption id="" align="aligncenter" width="842"]
無國界記者將Blue Coat列為網路的敵人,同為名單中的,還有Amesys Bull、Hacking Team、Gamma International等[/caption]
最後,僅透過這10筆文件資料,我們無從得知何以部分監控系統或技術會需要支援繁體中文介面,或台灣政府是否曾使用上述提及的項目。
台灣當前可能面臨的監控
在先前的章節中,我們提到,搜尋結果除了2筆公司資料、10筆有關公司或技術的文件資料外,還包含了5筆交易紀錄。這些交易紀錄有些源自各國政府的官方資料,有些則是經過研究單位調查後,在台灣發現了相關監控系統活動的證據。
這5筆交易紀錄中,有1筆為德文資料,另1筆則需要註冊英國商業、創新與技術局的帳號方能查詢,礙於語言問題與無法註冊,這邊就暫且擱下不提;但除此之外,另外3筆資料都清楚指名了涉及的監控系統或公司,讓我們來看看他們分別是什麼。 
3筆有指名的資料分別涉及了EXFO、Blue Coat與Gamma International這三家公司。其中Blue Coat台灣已確定有購買其設備,但EXFO與Gamma International則不確定。
我們先談談確定的吧。
Blue Coat先前提過,是一家專賣Web匝道器的公司。其設備既能用於和平用途,但也能用於軍事或情報搜集用途,因此其出口產品一直受到美國出口法規的管制。在2011年,有網站揭露Blue Coat的設備已在敘利亞啟用,儘管Blue Coat起初只是矢口否認曾售出相關產品到敘利亞,但不久後即承認其設備的確有在敘利亞啟用的狀況。而加拿大多倫多大學的公民實驗室(Citizen Lab)在2011年的一份報告也另外指出,在同樣遭美國限制出口的緬甸,也能偵測到Blue Coat的設備啟用的情形。
回到台灣,在此次揭露的資料庫中,同樣是透過公民實驗室在2013年7月另一篇有關Blue Coat的專案報告,以及標檢局所核發的通知,確認了台灣有進口並使用Blue Coat的設備。而公民實驗室在2013年的報告中,還另外證實了台灣在公共網路(即由ISP業者架設的網路)上,同時使用了Blue Coat的ProxySG和PacketShaper這兩項設備。(ProxySG透過Blue Coat定時更新的資料庫,以屏蔽網路上部分範疇的內容;至於PacketShaper,則是能從成千上萬的網路流量中,識別並篩選出特定的封包,進行封鎖。) 
而從該份報告,我們無法掌握究竟是哪些ISP業者使用了Blue Coat的設備,以及拿來做為何種用途。為了確保企業基本的可課責性與大眾監督的可能,台灣目前從事網路實體線路架設的一類電信業者至少有義務要向大眾交代,是否有使用這些設備,以及對於這些設備的使用政策。
談完確定有成交的之後,接著來談談不確定是否成交的。不確定的有兩家,分別是EXFO和Gamma International。
EXFO是總部位於加拿大的網路與光電公司,在芬蘭也有分公司,資料庫中的交易紀錄就是從芬蘭外交部公佈的記錄所得,但由於資料庫並未附上相關連結,且網路上談論該公司與監控有關的資料也少,加上官網介紹實在又太專業,真的讀不懂,我們只能簡略帶過。唯一可簡單提及的是,資料庫將EXFO提供的監控類型歸類為Off The Air Interception,這類監控類型通常又被稱為「被動攔截(passive interception)」。所謂被動攔截,是意指在眾多傳輸及交換的訊號中,去攔截這些傳輸的訊息以識別出特定對象;相對於此,自然也有「主動攔截」,它則是意指會模擬相關交換訊號的訊號,在發送方及接受方之間,再額外架起另一個交換平台,以取得來往資訊。而主動攔截因為實際干擾了訊息傳輸,所以被發現的機會也高,相對地,被動攔截則幾乎不可能被察覺。
至於Gamma International這家公司,就赫赫有名了。它製作的間諜監控軟體Finfisher舉世聞名,專門販售給各國政府從事監控與執法之用。在2012年,維基解密披露了Finfisher的技術手冊,手冊內容表示,只要一台電腦感染了FinSpy(與Finfisher配合的木馬病毒),Finfishr就可以遠端存取並監控該台電腦。Gamma International在技術手冊裡,洋洋灑灑一共列出了Finfisher的19項功能,這些功能包含存取檔案、記錄鍵盤敲擊、搜集用戶密碼、遙控攝影機或麥克風、竊取Email、竊取聊天記錄、記錄使用IP等。有關Finfisher對世界各國人民隱私權所造成的危害,朝陽科技大學的洪朝貴老師在三年前的文章已談了很多,我們這邊就不再多談。我們這邊要來談談台灣的情形。 
SII中有關台灣為Finfisher可能交易國的資料,是來自公民實驗室(Citizen Lab)2015年底的一篇報告。公民實驗室在去年透過一連串的技術研究,證實了包含台灣在內,全球共有32個國家存在Finfisher的伺服器。該篇報告雖無法確認究竟是哪個台灣的單位在管理該伺服器,但考量到:
- (1)Finfisher的功能
- (2)Gamma International的客戶群
- (3)目前遭確認Finfisher的使用者幾乎全為警察或情治機構
- (4)類似Finfisher這種侵入式監控(Intrusive Surveillance)軟體,已不是第一次在與台灣有關的文獻中出現,去年維基解密揭露專售侵入式監控軟體給各國政府的義大利公司Hacking Team時,台灣刑事局也出現在曾與其聯繫的名單。
基於以上四個理由,我們很難排除台灣已有政府單位實際引入了Finfisher,並著手使用的可能。
結語:偵防手段務必考量合法性與必要性
看了這麼多資訊,最後,讓我們來審視一下近期國內比較令人憂心的相關言論吧。
因應一銀ATM盜領案破案,新北市很愛宣傳自己看過寒戰的副市長侯友宜在7月30日,才以「反恐第一戰:雲端偵防」為題投書媒體,認為在雲端通訊軟體的廣泛使用下,為了日後的犯罪偵防及預防恐怖攻擊,應儘速發展對加密通訊的反制技術與工具,並建構雲端與IP定位資料保存規範機制。侯副市長所言鑿鑿,但作為來自人權團體的善意提醒,我們認為有一些面向,恐怕是侯副市長要同等考量,甚至應更加認真看待的。 
監控技術的日新月異,也許在犯罪預防、偵辦以及恐怖份子的情資蒐集上,提供了一定的便利性。但觀諸全球各國最近在監控技術上的濫用,卻也幾乎毫無例外地,全以犯罪偵防、防範恐怖份子的名義來進行。從Snowden揭露稜鏡計劃、到五眼聯盟(Five Eyes)間相互協助其他國監控該國人民、再到我們這篇所介紹的,各國以類似名義引入最新的監控技術,只是為了打壓某些異議或社運人士的做法,我們都知道,打著犯罪偵防、防範恐怖份子的名義,絕無法證成國家可持續增加其監控強度。
此外,更陰謀論一點來談,侯副市長在文章中所談的反制加密手段,若採用的是如Finfisher這樣的侵入性監控軟體,因其較諸其他通訊監察的方式侵害隱私更鉅,倘無在通訊保障及監察法中新增適當規範,濫用事件恐怕早已悄悄開始發生。
怎麼證成各種通訊監察方式的合理性呢?2013年時,以美國的電子前鋒基金會(EFF)為首的人權組織們,曾共同擬出一份「國家通訊監察應遵守之國際人權原則」。這份原則至今已在全球得到超過四百個團體、三萬五千名個人的連署,並曾多次被聯合國特別報告員,美國或其他國家官方文件援引。而原則認為,通訊監察的實施,應一併考量合法性、比例原則、公眾監督機制、正當程序、事後通知、透明性、不過度整併系統、國際合作等因素。
日新月異增進的通訊監察技術是否可成為犯罪偵查的必要之惡,除技術本身外,也仰賴我國政府是否願意在未來的通訊監察上更多地兼併人權考量。或許政府也應多參考國外公民社會在意的事,並開始試著和台灣的人民交代,究竟是否已掌握本文提及的爭議較大的監控技術或系統,以及相關的使用政策等。如此一來,方能增加政府的公信力與可課責度,並在信任與懷疑之間,開啟實質的對話。
