个资隐私,在这个年头越来越受到重视,当使用各种方便的网络与电信服务时,这些公司都掌握了我们的切身隐私资讯。不仅是基本的姓名、身份证字号、电话号码、信用卡号码,甚至是更敏感的数位个资──即时行踪、消费纪录、联络人、即时通讯息等,这些公司是否会保护我们的隐私?是否会出卖消费者,或者遇到霸道的政府膝盖就软了?近日知名国际民权组织──电子前哨基金会(Electronic Frontier Foundation ,缩写 EFF)发表了报告“谁掌握了你的底?”(Who Has Your Back?),里面评比了 26 间美国知名企业对消费者个资保护的努力。
随着数位网络科技的进步,现代人的生活越来越方便,然而我们的种种行为也更加容易地留下各种数位纪录,存在科技公司的云端或者是电信公司的机房里面,这是很多政府单位很想监控的。2016 年,美国政府就向 Facebook 索求了至少 49,868 次用户资料,同一时期,也向 Google 索求了 27,850 次、向苹果索求 9,076 次,当然也不只有这些公司啰。
有 3 个保障措施确保我们发送给科技公司的资料最终不会被传到政府的数据库里:技术、法律、公司政策。技术上,每个人可以把自己的资料删除、隐藏、加密,这样政府就看不到我们的隐私了。不过这超出该报告的范围而不被探究。该报告重点放在法律和企业政策,这份报告关注当美国政府敲门向科技公司要资料时,科技公司的政策如何强化对用户隐私权的保护(或者弱化)以及是否支持相关法律的改革。
电子前哨基金会从 7 年前开始发表《谁掌握了你的底?》报告,7 年来许多公司在透明度上日益精进,这转变很大程度上受到公众的关注,尤其是 2013 年的史诺登事件以及诸多数位隐私的公开讨论催化了许多公司隐私政策的大变革。
在 2013 年的报告中,只有两家公司拿到满星(当时的评比标准还没有今日严格);在 2014 年,则有 9 家公司拿到满分。一直到今天,每一年标准变得日益严格,很多公司努力让自己有好成绩,然而仍有很多公司落后,当政府来“查水表”时,不把保护用户隐私当一回事。
(Source:EFF)
五大评比项目说明
笔者一一说明之。
1. Follows industry-wide best practices
对于产业界基本底限的共识,有无以最高标准去实践?
- 必须承诺此方针:政府向公司索求使用者的通讯内容时,必须持有法官给的搜索票。
- 必须自 2016 年 4 月 1 日起发布透明度报告,报告内容应包括有政府索求多少次用户的资料,以及公司提供用户资料给政府的频率。
- 该公司必须公开或者有印出来的法务指南,解释如何处理来自政府对用户个资的索求。
公司必须完全达成这 3 项要求才能得这颗星。
2. Tells users about government data requests
当公司向政府“投降”交出使用者的资料前,是否先告知使用者。
除非法律规定的特殊紧急情况,不然得事先通知用户让他们有机会保护自己的资料,因此排除这状况,一个公司只因为政府单位声称事先通知可能危及调查、延误审讯,而要求延迟通知用户,这样就无法在此项目夺星。当然在紧急情况下,涉及任何人可能死亡或导致严重身体伤害的状况,的确无法事先通知, 然而公司必须对大众制定政策,以便在紧急情况解除或者政府的保密要求解除时,必须向用户发出通知,用户不能被闷在鼓里。
3. Promises not to sell out users
承诺不“出卖”使用者。
科技公司必须制定相关政策,承诺不把用户资料转卖给第三方政策宽松的公司,然后再把资料转卖给政府。如果公司承诺不把资料转给其他公司,或者转给的第三方公司也遵守跟公司一样的严谨政策也可以,此外在法律允许的范围内,也允许例外—公司与第三方的公司,可因为报告公司本身或其用户因为犯罪行为而受害的状况,或共享电脑安全威胁的警告,而把资料紧急分享给执法机构或情报机构。
4. Stands up toNSL gag orders
反对来自 NSA (美国国家安全局)的封口国家安全信函(National Security Letter gag orders)。
国家安全信函是美国联邦政府因应国安项目的收集讯息所签发的行政传票,这种传票不需要法官的事先批准就可以发出,索求的是通讯纪录如交易纪录和拨打的电话号码、逛的网址、电子邮件账号名称之类,而不能要求通讯或电子讯息内容。然而这样封口命令甚至可以是无限期的,是否合宪一直受到质疑,不过现在科技公司可以援引 2015 年通过的美国自由法案( USA FREEDOM Act ),来加以拒绝NSA 想要擅自监控、搜集一般民众的通讯纪录的行为,除非有得到法院的批准。
注:美国法律是不成文法,虽然 NSL 的法源没有被修,所以这类似酸碱中和的概念,用 B 法来挡 A 法。
5. Pro-user public policy: Reform 702
是否支持《外国情资监视法》( FISA Amendments Act)第 702 节的修正案?
该节是美国国家安全局援引来对互联网进行大规模监控的法源依据,以进行棱镜计划(PRISM )和上游计划(UPSTREAM ),从私人公司服务器与光纤中对外国搜集大数据(也包含任何有跟外国人接触的美国人),这就是当年史诺登所揭穿的──美国政府大量非法监听(含网络)无辜外国人甚至是自身盟国的高官与元首。各公司必须在 2015 年 6 月 2 日之后,以公司正式的名义,用书面形式支持这项修正案或有被列入国会证词。
整体讲评
- 所有入榜的公司在第一项都过关
- 得到满星的,共有 9 家公司:Adobe 、Credo 、Dropbox 、Lyft 、Pinterest 、Sonic 、Uber 、Wickr 、Wordpress。
- 表现最差的公司都是电信业者:AT&T 、Comcast 、T-Mobile 、Verizon。
- 跟其他网络科技业者比起来,Amazon 、WhatsApp 敬陪末座,这值得特别关注。
其中特别令人激赏的,是 9 间五星级的公司,每一间都有过捍卫过用户个资的纪录,其中 Lyft 与 Uber 两年都是夺得五星(虽然 Uber 在其他方面可能恶名昭彰,但是个资保护的成绩令人刮目相看),Credo 与 Sonic 从入榜以来,更是长期主动支持透明度与保护使用者隐私。其他公司 Adobe 、Dropbox、Pinterest、Wickr、Wordpress 多年来则是一直在改进公司政策,并在本年度报告中,达成了最好表现,而且这个报告有一个特色,就是电子前哨基金会每年都大更新标准,越来越严谨,能够数年都维持五颗星的非常难能可贵。但也有不少公司在退步,尤其是像 AT&T 、Comcast 、T-Mobile 、Verizon 之类的电信公司特别容易向政府低头,然而电信公司也不是做不到,例如五星级的 Credo 跟 Sonic 都是电信公司。
各单项最佳表现公司
接着发表 MVC(Most valuable Company ,不是 MVP 喔)。
Follows industry-wide best practices:Twitter 与 Facebook
Twitter 公司有一份透明度报告,是每月更新一份全球各国政府对 Twitter 索求资料的频率,不单单有图表,使用者还可以下载 csv 格式的数据库回去好好研究。
(Source:EFF)
此外不单单政府要跟这些公司调使用者的影片、各种讯息(简讯或者即时通讯息)都需要法院的搜索票,甚至连位置资料都要,例如 Facebook 就有详细告知用户这个方针。
Tells users about government data requests:Pinterest 与 WordPress
它们都提供了清楚的方针给用户,说明在当法院要求过期或者紧急状况解除后,就会即刻通知用户,Wordpress 甚至给出承诺会给用户 7 天甚至更多的时间来合理质疑政府的搜索要求。
Promises not to sell out users:Twitter 与 Microsoft
这个项目其实是今年第一次出现的,这个项目其实是受 2016 年美国总统大选动荡时 Twitter 一项新政策的启发──开发者不能运用 Twitter 的 API 存取资料来做政府监控,违反者会被吊销 API 使用权;而 Microsoft 也有公布这方面的严格政策。
Stands up toNSL gag orders:Wordpress 与苹果
电子前哨基金会其实已经跟 NSL gag 在法院上对阵多年,在 2013 年终于在加州北区的法院赢得联邦法官宣布国家安全信函有一项法规违宪(无限期), 此后不断继续努力,也呼吁各公司勇敢站出来,Wordpress 跟苹果就在其公开方针严正的声明,表示他们除非有收到法院的认证,不然不会执行国家安全信函的索求。
Pro-user public policy: Reform 702
21 间公司里面的大部分都有致信给国会的司法委员会主席,要求修法限缩国安会 NSA 的情搜。对于像我们这样美国以外国家的公民来说这很重要,因为该法规“认为非美国人都是没有隐私的”,那这样我们怎能安心使用美国跨国企业的产品或服务呢?
当然,你在使用这项目没有拿到星的公司之产品时,你的隐私可能就要自求多福了。
在这个时代,电影《全民公敌》描述的情节可以说不是空想,而是真有可能发生。当我们看到美国诸多公司这么自律,戮力保护消费者个资权益时,反观自己国家的公司,有多少做到了哪些努力呢?(例如不少公司常态性地外泄客户个资),值得大家追踪。
- Who Has Your Back? Government Data Requests 2017
(首图来源:pixabay)
