加密技術的應用如何在隱私與安全間取得平衡?

活動訊息

日期:2021年10月27日(三) 14:00-16:00
主持人:李榮耕教授(國立臺北大學 法律學系)
與談人:

  • 李相臣 處長(永豐金融控股股份有限公司 資訊安全處)
  • 林俊宏 常務董事(民間司法改革基金會)
  • 楊千旻 法務協理(台灣微軟股份有限公司 公共暨法律事務部)

李榮耕 教授

加密議題自古便存在,早在中國戰國時代的兵書《六韜》便已開始討論應用該技術,明朝名將戚繼光也曾透過切分音技術加密資訊,除中國史外,二戰時德國潛艦也曾透過恩尼格密碼機(德語:Enigma)加密資訊,使潛艦能先發動攻擊又同時遮蔽自身資訊,日本也曾使用過類似的技術。

得益於電腦運算能力大幅提升,加密技術也日趨複雜,其主要由明文、演算法、金鑰及密文組成。演算法可產生用於加密與解密的金鑰,取得金鑰後方能將明文加密為密文,或將密文還原為明文。目前加密技術相當可靠,一把128-bit的金鑰須花費高速電腦數十至百億年方能算出破解,因此衍生出金鑰託管(key escrow)技術,資訊交換方透過將金鑰交給第三方保管確保加密無虞。該技術有兩種用途,其一,用於偵辦犯罪:第三方可將金鑰交給執法機構以供解密,其概念在於透過加密技術對隱私進行絕對保護;其二,若個人或企業遺失金鑰,可透過第三方重新取回。

隱私權爭議是談論加密時最常被提出之議題,其面向有三。第一,國家透過金鑰託管解密通訊時即可能侵犯隱私;第二,若因制度要求將金鑰交給第三方,國家取得資料後就如同個人自白犯罪一樣,可能構成不自證己罪;第三,金鑰與言論自由議題相關,人們可透過程式語言溝通並將之加密,但第三方金鑰託管可能與言論自由牴觸。目前美國制度是採自願託管。

究竟加密制度如何規範?主辦方提出以下問題,請三位與談人提供解答。

  1. 當執法單位以偵查犯罪為由主張業者不得加密或要求交出加密金鑰的作法之效益為何?對隱私的衝擊有哪些?有無實際案例?是否有其他替代方案或適當監督機制?
  2. 科技公司可能會以保護客戶為由拒絕向政府提供資料,因此無法遵守相關要求,請問三位與談人對此有何評論?
  3. 科技企業是否能與政府合作研擬出兼顧隱私保護與執法需求之方案?

李相臣 處長

Ans 1:

國內外案例顯示出目前執法單位難以破解加密技術,近日英國高等法院裁定,情報服務機構不得僅靠一張搜索票監控大量電腦與手機,亦有助於加密技術發展。去年我國立委透過使用端到端加密技術的通訊軟體LINE傳遞收賄訊息,但LINE並未配合檢調調查,雖然警方最後透過直接進入電腦查看訊息破案,但也顯示出加密技術確實可能構成執法難題。目前使用加密技術的勒索軟體駭客猖獗,若無法取得金鑰亦難以處理。

因此,我國開始訂定《科技偵查法》以授權執法機關透過相關手段查看嫌疑人手機,但目前爭議仍多,據此研判短期內應無法通過。目前許多犯罪事實、證據和線索存在於科技設備當中,其中也包括許多直接或間接證據,解密能使執法單位查看這些資料,此外,解密對手機還能對持有者進行定位以排除緊急危難並進行緊急救助。但目前科技公司往往出於保護隱私、避免駭客攻擊造成的資料外洩 、技術無法克服、政府濫權、員工不當使用與奉行自由主義等理由拒絕提供金鑰。

取得金鑰的好處是可與國際合作共同打擊犯罪,未來應區分打擊犯罪與蒐集情報以制定出合理規範,可能方案是透過案件分類、法院命令、第三方監督委員會與透過國際組織取得國際共識以制定解密標準。最後,正當協助國家安全並保護人民應該也是企業社會責任的一種,科技公司應成立相關委員會提供執法部門「一次性」解密方案或僅提供最小必要資訊,以兼顧社會最大利益與企業隱私。

Ans 2:

如執法單位必須提供金鑰,須透過一次性解密金鑰的方式取得資料;若企業不便提供金鑰,可透過第三方審查機制提供僅因應執法所須之資料。目前科技仍無法破解加密犯罪,因此取得金鑰仍有其必要。

Ans 3:

政府和企業雙方須放下偏見,執法人員須對資料和技術有初步了解,科技企業也須體諒政府。美國的情況是企業會自動下架仇恨性資料,政府可能須透過委員會進行個案審查,科技企業須與客戶須簽訂契約,規範不得利用平臺進行危害國家安全和社會秩序之行為。以執法為由要求企業開後門是無法接受的,政府應與科技公司建立溝通機制,個案審查也須搭配明確指標。

林俊宏 常務董事

Ans1:

金鑰託管制度須建立在人民信任政府的前提下,但目前來看,我們似乎無法相信政府僅會將金鑰用於犯罪偵查目的,政府可利用資料統治和監控人民(例如中國)。為解除此疑慮,應透過更為嚴格的法律制度進行規範。

除金鑰託管外,政府應還有其他手段可進行執法,不過對執法單位而言,加密技術相對方便,但須對金鑰託管進行管制。且金鑰託管機構未來可能將被駭客針對,其安全問題也是考量要點。此外,尚須釐清並規範託管機構的責任義務,如政府要動用科技手段,須透過第三方單位進行監管審查,且須考量國家是否有取得過多不相干資訊的疑慮,國家使用侵入性科技手段時是否會造成相對應的破壞?當造成破壞後又該如何恢復?目前絕大多數法官並未具備審查這些專業知識的能力,所謂第三方審查因此淪為橡皮圖章,對既有制度進行調整是必要舉措。

目前可能須透過第三方機構協助法官進行合作判斷,當大家進行效率分工後才可能遏止國家濫權之行徑。在通訊監察後,資訊量大且隱密,因此法律要件和隱私權應開始增加,科技偵查所取得的資訊量較通訊監察更高,相關要件應進一步隨之增加。此外,犯罪嫌疑的程度認定又該如何進行?要求門檻是否應提升?技術擔保如何要求(德國和歐盟已要求)且是否應納入第三監督機構?這些問題都應列入考量,我們不能僅依賴政府善意,法制規管才是有效作法。

Ans 2:

從言論自由和隱私權角度看待,若資訊對外無影響,很難要求業者肩負監督平臺內容的責任。契約規範也將限縮人民選擇權,目前實際案例是臉書會關閉涉及中國評論的言論。企業社會責任是從利害關係人的角度看待問題,業者也開始討論配合政府進行執法,但這也可能導致企業社會責任概念無限上綱,並使其有淪為政府手腳之疑慮,若要求企業配合,須修訂明確門檻方能限制政府權力。

Ans 3:

本質上,科技公司希望吸引更多消費者,但若消費者意識到科技公司會將資料提供給政府,公司可能會流失消費者,此實為一大難題。人民期待的是明確法制,但究竟該如何訂定相關法律尚須磨合與討論,並容納利害關係人討論,目前尚無明確解答與結論。

楊千旻 法務協理

Ans 1:

2013年,微軟就意識到資料保護的重要,微軟的立場是在支持科技進步的同時也與政府合作,並重視客戶資料保護,目前保護資料的最佳手段仍是加密技術,因此微軟將持續使用。由於微軟僅是資料處理者,若執法單位要求交出金鑰,其立場是希望執法單位直接向資料所有人請求同意權,若資料所有人忘記密碼,微軟可另提供金鑰。假設執法單位出於特定法律要求進行調查,微軟也將全力配合,但須事先審查是否符合相關法遵要求。例如在美國儲存的資料須符合當地法規,且鑒於資料龐雜,依搜索票查看資料也須判斷內容是否合理,其內容須符合明確原則。

執法單位要求科技企業開後門對企業而言是很大的問題,因為駭客也會因此了解漏洞與弱點,因此企業陷入兩難。目前我國資通安全法和歐盟《通用資料保護規範》(General Data Protection Regulation ,GDPR)等相關法規也都建議透過加密保護資料,微軟也希望政府設置第三方司法機關明確政府執法機制如何操作及其公平性,在監督機制過程中也須考量國際人權公約當中對於言論自由之保障,若有牴觸,立法過程應說明其目的與適切性。

Ans 2:

科技業者選擇加密是順應法規要求,且企業合約中也明列加密服務條款。至於業者是否具監督義務?微軟提供的是技術服務而無關立場,因此無任何權力窺探客戶資料,也無法判斷相關標準。目前政府並未授權企業監督犯罪行為,但兒少性侵照片除外,目前微軟透過名為Photo DNA之技術處理該議題。若執法單位想調查犯罪也有其他其他方式,目前微軟與全台執法單位有密切合作,微軟可協助申請。

Ans 3:

微軟希望能協助政府共同打擊犯罪,並已與我國執法單位、FBI和歐洲刑警組織合作,但須建立相關因應制度。第一,須釐清資料境內外儲存的問題,由於目前許多資料在境外儲存,如本國執法單位欲取得可能會產生適法性議題,因此跨境取得資料須回到法律基礎與架構。微軟認為政府取得資料的原則有六,包括:科技公司須通知客戶並搭配進行說明、設置獨立第三方、有明確規範資料取得流程的法律基礎、透過國際協議處理因資料跨境導致的法律衝突、法規須與時俱進、法規透明化。

提問與回應

問題列表

  1. 根據我國法律,科技公司須配合政府要求提供資訊,但當用戶發現常用通訊軟體與警方合作,可能轉向使用其他軟體,這類情況也可見於美國,請問這種情況該如何處理?
  2. 不太認同林常務律師對於因法律從業人員不懂加密技術而無法規管之看法,想進一步請教與釐清。

與談人回應

李相臣 處長:

Ans 1:建議訂定明確框架供企業參考提供調閱資料,如此既能公開透明亦能保護客戶,開誠布公是最佳解決方案。

林俊宏 常務理事:

Ans 1:在消費者至上主義的概念下,企業確實可透過強調隱私保護吸引到在意隱私權的消費者,比較適切的方式可能是設計出具效率的第三方監督機構為人民把關。

Ans 2:科技偵查須透過一系列程式與軟體,法官可能無法判斷偵查人員說法的真偽,因此無法充分理解科技偵查的實際內容與效果。

楊千旻 協理:

Ans 1:微軟立場是持續與政府溝通,且每半年都會公布各國政府要求該企業揭露資料之情況,以解除客戶疑慮。