資料保存(Data Retention)在台灣(1):NCC不願說的真相

文/何明諠(台灣人權促進會專員)


這是一個長達九個月(2016.12 – 2017.08)的公文往返,最後卻換得一紙空白的故事。 下方會議記錄的圖片並未經過任何修改,也不是你眼花,早在我們拿到當初,它的結論就已經是「空。白。的。」

在數位時代,網路傳輸多得經過電信業鋪設的線路,大抵已是常識。但問題是,我們知道自己上網會留下哪些資料嗎?我們清楚它們何時會被提供給別人嗎?具體地說,台灣的電信業保存了哪些我們上網的資料,而業者和政府之間又是如何政府配合,分享資料,關於這些,網路使用者真的清楚嗎?又有辦法弄清楚嗎?

類似上述的行為,有一個專有名詞稱為「資料保存」(Data Retention)。「資料保存」近年來因世界各國防範恐怖攻擊、網路犯罪而被熱烈討論,是個飽富爭議的議題。其爭議的地方主要在於,我們是否要允許國家不加區別地留存大量資料,這樣的做法是否合法及正當。有關各國在「資料保存」上的制度及爭議,我們會試著在下一篇文章稍作整理。而本篇文章,則將先和大家聊聊這九個月,台權會和NCC就「資料保存」這個議題要求資訊公開,來往幾封公文的經過。

還是從頭說起吧。

老套的故事:延宕、反覆、封閉的資訊公開

2016年11月底,台權會接獲一個私下消息指出,國家通訊傳播委員會(下稱「NCC」)與刑事警察局,不久前曾召集各大電信業者與會,商討是否可能保存其電信用戶的「網際網路之連線紀錄」,以供刑事警察局必要時使用。 如前所說,Data Retention一直是隱私保護的爭議問題,因此得知消息後,我們隨即查詢了現有的電信法規的資料保存規範,並在2016年12月1日,擬了一份公文,要求NCC依據《政府資訊公開法》,揭露:(1)當前電信業者進行資料保存的法規、(2)當前應保存的項目、(3)可查閱相關連線資料的公務機關、以及(4)近五年的相關會議記錄及出席名單等。如下圖所示:

 

但因所有相關法規皆並未有「連線紀錄」這個名詞,因此我們最終還是選擇以「通信紀錄」當作通篇公文正式用語,並在文中附註「亦可稱『連線紀錄』」

約莫兩個月後,2017年1月23日,NCC首次回覆了我們的函件。此函大致回覆了台權會前述(1)~(3)的探問,但有關(4),NCC則表示近五年並無召開相關會議。如下圖所示:

由於第(4)點的會議紀錄,才是攸關台灣未來資料保存狀況的關鍵,因此我們再次與消息來源聯繫,確認NCC的確有召開這個會議後,最終決定將用語修改為「網際網路之『連線紀錄』」,並於2017年3月20日再次發函詢問,請其提供一切相關之會議記錄。如下圖所示:

針對這份簡短、沒有其他要求的公文,NCC卻間隔了接近80天,直到2017年6月9日才回覆。(註:《政府資訊公開法》容許公務機關回覆的期限最長為30天)。而更令人不解的是,NCC在這份歷時約兩個半月的回文中,並未提供任何具體所詢資訊,而僅僅是要求台權會依法在七天內附上資訊公開申請書,否則NCC可逕行駁回請求。如下圖所示:

姑且不論NCC何以需花費漫長時間,來草擬一個顯而易見的法律程序問題,或為何最初不要求提供申請書,而如今卻才開始要求。真正的問題在於,針對電信業大量保存資料的情形,從2016年12月到2017年6月,已經又過了七個月,而在這段期間內,人民根本無法獲得任何資訊,連討論、監督都不可能。 無論如何,由於法律的時限規定,我們隨即在2017年6月13日回函,並附上法務部網站上下載的制式的資訊公開申請書。如下圖所示:

而又過了約莫60天,就在約兩週前,我們終於收到NCC於2017年8月8日撰寫的回函,以及那份盼了九個月的會議記錄。但令人遺憾的是,NCC在本次回函中表示,因相關會議記錄為「犯罪偵查機關意思決定前之準備工作」,所以它們已把限制公開的部分遮蔽。如下圖所示:

這也是本文開頭那份一片空白的會議記錄的由來。 我們必須要提醒NCC,縱然《政府資訊公開法》第18條是限制或不予公開的條款,但被NCC引用的第3款,還是有「但對公益有必要者,得提供之」的但書。換言之,NCC若覺得本案與公益有關,還是可以揭露紀錄。 但顯然NCC並不這麼認為。

在此我們更要呼籲NCC,資料保存的範圍及必要性絕非是無法公開討論的議題。討論或許會引發爭議,但試想,今天這個由電信業的主管機關主動召開,討論內容又完全無法公開的會議,人民要如何確認電信業沒有迫於外力而保存了過多、過久的用戶連線資料?在這之上,人民又要從何得知自己是否已身陷大規模國家監控的風險之中? 倘若這還不具公益性,什麼才具公益性?

結語: 正在研擬中的保存項目

說完空白的故事,還是來談一些比較具體的東西。根據消息來源指出(為保護消息來源,恕我們無法提供完整資料),NCC及刑事局希望電信業者保存的「網際網路之連線資料」,大致包含:(1)通訊雙方的IP位址、(2)採用的通訊埠(port)、(3)通訊時間、(4)TCP/UDP、(5)流量大小、(6)TLS/SSL的憑證(Certificate)、(7)HTTP的Header和Cookie、(8)DNS的請求和回應等。 透過這些資料可以知道什麼,我們會在下一篇文章比較仔細的談。但重點是,政府會要求電信業留存這些資料早已不是秘密,澳洲兩年前就已經示範過一次

而最後我們還是要問,若今天沒有任何人願意告訴台權會有這樣的會議,NCC是否有任何一絲要告知人民的打算?在過去一年裡,NCC堪稱是所有政府機關中最強調開放、最敢高喊「網路治理(Internet Governance)」的單位;但這件耗時九個月的資訊公開案,我們看到的,只有NCC程序前後不一、刻意延宕、資訊封閉的狀況。 我們要告訴NCC,正因資料保存攸關人民的隱私權,我們絕不會妥協於行政機關漫長、無謂的消耗。也希望看到這篇的讀者,能和我們站在一起,一起向NCC發聲,要求其揭露相關的資訊。



 

延伸閱讀