想哭——網絡與政治 搞混戰爭與和平

自從上星期五,一隻名為WannaCry的勒索軟件,首先出現在西班牙和英國,至今全球已經有超過20萬宗感染個案。而且,中招的除了個人電腦,還有醫院、診所、銀行、油公司、速遞公司等等,影響層面極為廣泛。甚至,幾年前已經決定,不再為Windows XP更新的微軟公司,亦因為事態嚴重而要緊急發布相關的更新檔。這次橫掃全世界的網絡攻擊和勒索事件,至今仍未平息。有幸,兩位來自英美的程式員,意外地發現WannaCry以某個網址作為安全閥,購入網址後似乎能緩和這次感染的災情。到底黑客會否再作修改後,進行第二波攻擊,仍是未知之數。 事實上,WannaCry並非首例,近兩三年,網絡上出現愈來愈多勒索軟件,透過加密受害人的檔案並要求贖款來圖利。只是今次感染速度太快,影響太廣,而且受害者遍及全球,因而格外惹人注目。從政治理論的角度看,WannaCry不僅是一宗違法的黑客事件,更反映了現代發展下的恐懼與危機,一直縈繞在日常世界;同時,網絡世界的另一種政治秩序,跟網絡外的秩序產生愈來愈大的張力。 危機、危險、風險 過去在傳統社會,人類會面對各式各樣的危險,這些危險一般是自然災害,例如河水氾濫、疾病瘟疫、火山爆發等

詳情

【鍾言亦議特首選舉系列】冒牌網站

潮流興「A 貨」,民間全民投票亦不例外。 蘋果日報報導了「2017特首選舉全民投票」出現假冒網站的消息,明明是「popvote.hk」,卻多了一個「popvote.com.hk」。報導同時說明:「假網站由內地互聯網服務商『成都西維數碼科技有限公司』註冊,註冊人則係香港公司『西部數碼國際有限公司』,該公司唯一股東亦係成都西維數碼的總裁何小江。2014年港大民研為政改舉行民間投票,當時曾經出現兩個假網站,網站註冊商都係上述公司……」 事實上,當有關「山寨」網站出現之前,香港域名註冊有限公司已經善意提點我們,「popvote.hk」以前曾經出現過「popvotes.hk」的冒牌網站。因此,公司忠告我們,可以預早購入以下網站,防止偽冒: p0pvote.hk(第一個「o 」變「0」) popv0te.hk(第二個「o 」變「0」) p0pv0te.hk(兩個「o 」變「0」) popvotes.hk(加「s」) p0pvotes.hk(加「s」再把第一個「o 」變「0」) popv0tes.hk(加「s」再把第二個「o 」變「0」) p0pv0tes.hk(加「s」再把兩個「o 」變「0」)

詳情

仇人知道也不怕

正常社交,一般不會輕易將自己的家居生活、財務收支、地址電話、病歷療程和家人資料向外人公開。然而,不少人在網上表露這些資料時,因為只是對着屏幕和鍵盤,警覺性會鬆懈下來。而展示時,也沒有想到日後會有人拿着這些「無關重要」的資料來害你。有些學生以為:我們網上閒聊的內容除了圍內幾個朋友外,根本無人知道,也無人會感興趣。美國曾有人將今天下午全家去看球賽的資料公告天下,便招來小偷把家當搬清了。家人吵架內容、尖酸刻薄的罵人話甚至髒話,公諸網上後,駟馬難追。要警覺:發放網上的資料,必須清潔安全,即使大仇家知道都不損你分毫。網上資料的流傳之廣、存留之久,往往出乎意料。十多年來於招聘員工時,我作為負責人,必定要求校內同事先行上網蒐集申請人的資料。早在八九年前,美國已經有不少人因為在網上的言論和表現,長期找不到工作。最後要申請改名換姓。也有申請人主動介紹自己在網上資訊供未來僱主參考,包括他放在網上的筆記講義、自拍的教學視頻短片和網誌文章等。甚至主動讓我們進入其「臉書」中觀看其與學生互動的內容。網上發放資訊是雙刃劍,亟宜善用慎用。有些學校遇到危機,仍只沿用往昔的紙媒或新聞稿作「公關」媒介。但在幾個小時裏,信息往往已經在家長、學生或校友中輾轉傳播或被扭曲,謠言或猜度已經發酵、膨脹和轉型,待明天見報時可能已經太遲了。校內危機小組必須有人關注網媒信息。文:德叔原文載於2016年5月27日《明報》副刊 網絡安全

詳情

個人資料 電訊商有幾多?

二○一○年,八達通爆出售賣客戶個人資料後,香港人好像提高了關注私隱的意識,在與機構簽服務合約前,總記得自己有權拒絕機構把自己的資料與第三方分享。不過,中大新聞及傳理系助理教授徐洛文說,這其實並不足夠——人們大概沒留意,早在八達通事件發生的十五年前,法例早賦予我們有權向任何機構查問自己的個人資料被收集的情况,但一直以來,香港收集最多個人資料的各大電訊商,幾乎沒收過任何人的查問。有法例 沒人用數天前,研發大半年的「誰手可得」網站面世,徐洛文說,這是為了讓香港人更容易行使法律早已賦予的權利。早在一九九五年,《個人資料(私隱)條例》第18條已寫明「要求資料使用者告知他該使用者是否持有該名個人屬其資料當事人的個人資料」,而在八達通事件後兩年,條例亦規定機構有沒有持有該個人資料,都須在四十天內回覆。今年初,徐洛文曾與友人發信至幾個大型電訊商查問,「結果很有趣,它們明顯未曾收過類似的要求」。個人資料 有價有市徐洛文說,在個人資料的保障上,香港法律與其他國家比較,其實算是做得不錯,不過法律不能只停留在白紙黑字的層面,要執行、使用,我們才知道它實際可以給予多少保障。「它們收集了多少?儲存多久?有沒有與第三者『共享』過?」除了最傳統的個人資料如電話、地址、身分證號碼,現在人人機不離手,手機的網絡位址(IP Address)、地理位置(GPS location)、瀏覽紀錄,一些我們以為瑣碎至極的資料,電訊商很大可能其實都盡在掌握之中,而且多年來巨細無遺地存檔。存檔對它們有什麼好處?在互聯網發展初期,的確沒人在意,全球網民的數據資料只在一個汪洋大海中瑣碎地存在,看似可有可無。但在科技發展至可以分析大量數據後,這就是另一回事了。二○○八年,喬治城大學法學院教授兼私隱及技術研究中心主任保羅拉姆在論文中提出,社會裏沒有機構比網絡供應商更能威脅我們的私隱,處理大數據的技術已出現,他們能輕易地追蹤和分析我們的資料,掌握你什麼時候在哪裏、逗留多久、瀏覽了什麼網頁。機構應設保障措施 提高透明度香港的八達通事件,以及全球各地相繼出現的黑客盜取資料,反映個人資料在商業、政治、法律上都有價有巿,人們需要提高警惕。「其中一個方法是從程式上保護,例如最近Whatsapp開始實行點對點加密,可確保對話內容只有對話雙方知道,連Whatsapp也沒有解密鑰匙,第三方基本上無法合法地取得。第二個方法,就是從法律上保護,行使權利令擁有用戶資料的機構做更多保障措施。」人們除了可以查問機構擁有什麼資料,徐洛文認為機構亦需要設立一套機制,防止資料隨便地交到第三方手上。徐洛文在到中大教書前,曾在Google負責處理亞太區的言論自由事務(Head of Free Expression),指Google在這方面有較完善的機制,「Google向第三方提供個人資料前,會跟從早已公開的程序,例如第三方要先拿法庭命令,收到要求,Google不一定有求必應,還要仔細審視要求是否恰當,法庭命令是真是假?要求索取的資料是否太多、內容是否不恰當?」他說,香港法律是有了,但未有機構主動訂立程序、提高透明度,私隱專員甚至說執法機關毋須先拿法庭命令才要求電訊商提供資料。「政府近年說要發展創新科技,網絡發展只會愈來愈滲透至每一個角落,但人們對執法機關、政府的信任低迷的話,其實創新科技根本無從說起。趁時候還早,該盡早鞏固人們的信心。」「個人資料」是什麼?根據私隱專員公署的網頁,個人資料「是關乎一名在世人士,並可識別該人士身分的資料,資料存在的形式令資料可讓人切實可行地查閱或處理」,這包括個人姓名、電話號碼、地址、身分證號碼、相片、病歷和受僱紀錄等。不過,別以為這定義已夠清晰,法律一天未執行過,也未必知道具爭議的地方在哪。年初,徐洛文曾去信不同電訊商查問個人資料,「地址、電話、病歷等,通話紀錄也沒多大爭議,通話紀錄包括你打給誰、什麼時候打、打幾耐。但他們說,你看過的網站紀錄,不是個人資料」。徐洛文認為,現階段電訊商與社會都未有共識,什麼算是個人資料,但是時候要起步討論。仲有咩要知?儲存資料多久﹕「電訊商儲存個人資料,究竟會儲一年、抑或十年?為什麼不銷毁?用戶十分鐘前上過什麼網,抑或被儲下十年的紀錄,那威脅性差好遠。」參考網址:按《個人資料(私隱)條例》,巿民可以填寫專用表格,向曾經收集其個人資料的機構組織查詢被收集的資料。不過,徐洛文認為,表格長且複雜,不容易操作,於是與關注網絡公民權益的加拿大組織Citizen Lab共同研發香港版的「誰手可得」,網站讓人可以用簡單的方法草擬相關信件,網址為﹕accessmyinfo.hk相關法例《個人資料(私隱)條例》自1995年已制定,至1996年12月實施。《個人資料(私隱)條例》第18條中列明,任何人都可以要求資料使用者告知(如電訊商)是否持有當事人的個人資料,若持有,可要求提供複本;另外,第19條規定,資料使用者(如電訊商)若收到查閱資料的要求,須在40日內以書面回覆。(圖片為網上圖片。)原文載於2016年4月24日《明報》星期日生活 網絡安全

詳情

自己資料自己攞

小時候,有一次回到家,我如常看看郵筒裏有沒有寄給我的信。信箱內有一封信,是寄給我的,已被拆開。究竟是誰拆開了我的信?我問媽媽什麼回事;正忙於清潔的她,一邊工作,一邊應聲說她誤以為信是她的,所以拆開了信件。但我倆的名字差天共地,怎會認錯?「有冇搞錯呀!」我說,但她只聳聳肩,堅稱以為信是她的。雖然我當時還小,但我已知這事有點不妥。她為什麼要打開一封明明不是屬於她的信?我相信我媽是出於關心,才拆開我的信件,我卻為自己的私隱被侵犯而不安,她的舉動亦漸漸傷害了我們之間的信任。這事令我體會到保護個人私隱和個人資料的重要。「沒機構比網絡供應商更能威脅私隱」時移世易,我們已甚少寫信,愈來愈依賴電郵、聊天軟件和社交媒體等等媒介來溝通。我們留下的數碼腳印當中,亦包括愈來愈多個人資料。誰可以獲取這些個人資料呢?我們經常打趣道,facebook和Google知道我們所有事情;其實,網絡供應商和電訊公司掌握的個人資料也許更多。喬治城大學法學院教授保羅拉姆(亦是該校私隱和技術研究中心的主任)在2008年的一篇論文中強調「社會裏沒有機構比網絡供應商更能威脅我們的私隱」。他指出,以前由於技術所限,網絡供應商沒法處理大量的個人資料;但今時不同往日,技術進步遠超你我想像,他們已經可以輕而易舉地追蹤和分析我們的個人資料。他們能知道你什麼時候在哪裏、逗留了多久、瀏覽了什麼網頁,以至種種敏感的個人資料。因此,我和其他民間團體一起開發了「誰手可得」這個網站,目的是了解我們的個人資料究竟怎樣被收集、處理和分享。用家只需選取為自己提供服務的公司並填寫簡單的個人資料,網站就會幫用家撰寫一封「查閱個人資料要求」的信件,用家隨後可以發送給該公司的私隱條例事務主任。根據《個人資料(私隱)條例》第18條,我們有權查閱公司收集了的個人資料。根據個人資料條例第19條,公司亦必須在40日內依從「查閱資料要求」回覆查詢。為何建立這個網站呢?我是中文大學新聞與傳播學院的助理教授和美國哈佛大學貝克曼研究中心(Berkman Center for Internet & Society)的研究員。我一向研究網絡自由,十分關注網絡政策。參與這個研究計劃的機構,包括同樣關心網絡自由的「獨立媒體(香港)」和「鍵盤戰線」。另外,跟我們合作的多倫多大學的研究智庫Citizen Lab和Open Effect在2014年研發類似網站,成為這個程式的藍本。我們希望透過「誰手可得」了解有關個人資料的保障現况,包括我們的個人資料如何被收集和處理?它們會被保留多久?誰能夠拿到這些資料?我們留下的數碼足印會不會被各種各樣的機構利用,甚至濫用?為何要關心個人資料?也許你會覺得個人資料都是雞毛蒜皮的小事,如果身家清白,為何要關心呢?讓我分享兩個故事。故事一:2005年內地記者師濤被判監禁10年。案件源自他將一份中共的文件「泄露」給海外民運網站。這份文件要求記者不得報道有關六四事件的紀念活動。師濤用他的雅虎電郵寄出了這份文件,而雅虎公司將師濤的資料,包括辦公室地址、電話號碼和電腦的IP地址交予中國執法機關,成為他被判監的關鍵證據。雅虎的做法被國際媒體和社會批評,亦被控違反香港個人資料條例。出乎意料之外,私隱專員和行政上訴委員會卻指雅虎交給執法機關的資料,不屬於個人資料。故事二:2010年八達通公司被發現在未經客戶同意下,售賣客戶個人資料,包括電話號碼、住址、職業、收入水平和「日日賞」計劃的消費資料。八達通公司將140多萬客戶的資料售賣給不同公司,包括保險公司和市場調查公司。八達通公司終承認過去4年半出售客戶資料作推銷用途,獲利4400萬元,佔其間總收入近三分之一。這兩個故事告訴我們,保護我們的個人資料十分重要。無論是出於商業、政治或法律原因,有很多機構對我們的個人資料甚感興趣。作為公民,如果想保障個人資料,我們能做什麼?我們是否無能為力?幸好香港有法律保障個人資料。經過八達通事件,個人資料條例經修改。根據現時的個人資料條例,我們有權查閱網絡供應商和電訊商收集了哪些個人資料。如果你的個人資料不準確,你甚至有權更改。換句話說,我們能評估我們個人資料泄露的風險和了解個人資料的去向。要行使你查閱個人資料的權利,你需正式寫信向機構提出要求。「誰手可得」可幫你撰寫這封信,讓你確認這些公司是否對我們的私隱負責任。權利需不斷運用才會增強香港正在努力推動創新及科技發展,但如果我們想推動創新經濟,我們要能夠信任收集、處理和分析我們個人資料的公司。權利就像肌肉一樣,需要不斷「運用」才會增強。研究個人資料保障也一樣,不能單靠文字描述或分析,亦要透過行使我們的權利,才能真正了解法律的本質。珍惜我們擁有的權利就要好好運用。請登錄「誰手可得」(accessmyinfo.hk),寫信給你的網絡供應商或電訊公司,一起行使我們的權利吧:自己資料自己攞。文:徐洛文作者是香港中文大學新聞與傳播學院助理教授原文載於2016年4月21日《明報》觀點版 網絡安全

詳情