2012 年 02 月 的封存

個人資料保護法 「安全維護措施」 的提醒: 不只客戶, 員工的隱私權也應受尊重

原文地址:http://ckhung0.blogspot.com/2012/02/privacy-law.html

 

你的電腦受到公司監控嗎? 不少企業基於保護商業機密、 盤點智財避免侵權等等因素, 早就開始對員工的電腦進行監控。 個人資料保護法 預計將於 七月一日上路, 這讓企業有更大的壓力與正當性要求 IT 部門擴大規模佈署這類監控技術, 作為保護客戶個資的 「安全維護措施」。 而員工在公司 (說不定連回家以後也是) 使用電腦/平板/手機的一言一行, 也將有更多機會與細節會曝露在僱主或上司的目光之下。 本文要提醒員工: 個資法保護的對象並不只有客戶, 也包含你自己 — 尤其是自備機器上班 (BYOD) 的情況 — 你也有權利依據個資法向公司詢問自身隱私資料如何被使用。 也要提醒企業: 不要迷信技術, 把 「安全維護措施」 通通交給軟體。 事實上, 從降低企業自身風險與責任的角度來看, 最好:

  1. 用互信的文化培養員工的向心力以及對所有人隱私的尊重; 把重心放在防止粗心洩密的制度和員工資安意識/職業道德宣導而不是軟體監控技術
  2. 避免資訊外洩的 「安全維護措施」, 技術部分宜採 「軟體提醒/警告」 取代 「軟體監控」
  3. 在滿足法律責任的前提下, 監控員工電腦行為的相關記錄檔應該盡量減少蒐集資料量、 縮短保留期限 (data retention)

個資法的立意良好; 對於 舊版施行細則 應如何修正, 法務部也慎重地 預告修正草案並徵詢各界意見, 充分展現其對於民意的尊重。 法條就留給法律專家分析; 本文僅僅針對 施行細則當中的第九條 「適當安全維護措施」 提出一個觀察: 某些企業很可能會以 「個資法要求保護客戶隱私」 為由, 在員工的電腦上安裝各種監控軟體, 監看員工的一舉一動 — 在聲稱保護客戶隱私的同時, 卻也矛盾地侵犯了員工的隱私。

但重視個人隱私權的員工應該要注意到: 個資法並未限定保護對象只有客戶。 公司對員工 — 例如透過企業內部的監控軟體 — 進行 「個人資料之蒐集、處理及利用」 一樣也要受到個資法的規範! 也就是說, 一方面個資法的施行, 讓企業繃緊神經強化內部控管以保護客戶隱私, 另一方面卻也同時讓員工本身開始有法律依據可以爭取 「不被監控」 的權利。 你在公司使用 e-mail、 msn 等等個人通訊軟體, 是否疑似被公司監視/側錄? (可疑跡象: 速度比其他網站慢、 會掉信、 掉訊息、 管理階層知道你的秘密 ==> 公司可能安裝 DPI 深度封包檢測軟體侵犯你的隱私) 勞工團體、 各行業的工會應該更積極地針對此事提醒勞工捍衛自身權益。

對於公司在辦公室所配發的電腦, 一般員工也許早已很能接受遭到監控。 (其實你並不需要百分之百照單全收。) 但至少在一個場域裡, 員工特別應該勇敢站起來捍衛自身權益: BYOD。 Bring Your Own Device 就是帶你自己的筆電/手機來上班。 員工如果 只從 「自己的電腦/手機配備比公司的棒」 的角度著眼, 或許會欣喜地迎接 BYOD。 但是從另一個角度來看, 公司的 IT 部門是否有權利監視、 遙控、 甚至銷毀員工自己擁有、 帶入辦公室的電腦/平板/手機 (或其中資料) 呢? 既然公司的機密資料進了員工自購的電腦/平板/手機, 公司甚至可能還幫員工付部分的通訊費用, 那麼公司上述行為的正當性似乎也就確實提高了一些。 員工是否意識到: 公司 IT 部門以 「保護商業機密、 盤點智財避免侵權、 保護客戶個資」 為由, 在自己的電腦/平板/手機安裝了監控軟體, 有可能會:

  1. 自動鎖機或遠端搖控鎖機?
  2. 遠端搖控刪除資料? (公司資料還是全部資料 — 包含我的通訊錄?)
  3. 上傳我這支手機的行蹤及各種使用記錄? 包含我瀏覽網頁、 使用臉書或噗浪的記錄?

公司做這些事情的時候, 會通知我嗎? 我的電腦/平板/手機在非上班時間也受到控管嗎? 公司裡有哪些人有權限可以看到我手機及電腦裡面的上述種種個人資料? 如果我這部電腦/平板/手機跟家人共用, 他是否也受到監控? 如果我這部電腦/平板/手機因為疑似 (我或他人) 不當使用而遭鎖機或沒收檢查, 公司對我有沒有相對應的補救措施, 例如允許或幫我把我私人的資料救出來、 借我一部備用機等等? 我離職的時候, 公司還保留著這些資料嗎?

The Dark Side of BYOD – Privacy, Personal Data Loss and Device Seizure 一文提醒員工: 「如果你不怕聽到答案的話, 你應該向公司提出上面這些問題。」 個資法固然不能解決上述所有問題, 至少讓員工可以依法對公司提出上述隱私相關部分的問題。 值得一提的是: 據說最受歡迎的 BYOD 裝置是蘋果的產品; 但蘋果在為企業設計行動裝置管理 (MDM) 的時候, 似乎主要是 從公司控管 (而不是從員工隱私與自主權) 的角度出發。

再來從公司 — 特別是 IT 人員 — 的角度來看監控員工電腦的問題。

首先指出一個重要的基本觀念: 安裝在使用者的機器上的任何監控軟體, 永遠都無法徹底阻止有心人士偷渡資料。 軟體應該 協助員工避免意外 洩漏公司機密資料 (包含客戶隱私資料), 而不是 禁止員工主動 外洩公司機密資料。 DRM 遙控數位枷鎖的失敗, 就是一個很好的警惕。 DRM 原本意圖封鎖的, 是受到智慧財產權所保護的數位內容; 現在因應個資法, 未來市場上也可能會出現一些軟體聲稱可以封鎖員工電腦上的客戶隱私資料。 兩者企圖封鎖的內容固然不同, 但面對的技術困難與侵犯用戶人權的事實則是一致的。 事實上還有先前中國大陸… 企圖封鎖言論 呃, 根據官方說法, 是要封鎖色情 … 的 「綠壩」 也一樣。 從軟體設計的角度來看, 意欲封鎖資訊的內容固然不同 (版權有限的數位內容/不和諧的言論/色情/客戶隱私); 軟體的邏輯和面對的挑戰都是一樣的。

協助員工保護客戶隱私的軟體 (以下簡稱 「客戶隱私保護軟體」), 其設計原則應該摒棄 DRM 或綠壩的心態/思考模式, 改從封鎖第五和第六類資訊的心態/思考模式出發 — 阻擋垃圾信及防毒軟體。 再一次地, 封鎖垃圾信的技術也必須面對上述各種應用所面對的類似技術問題 (例如: 要不要進入壓縮檔和映象檔 zip/7z/tgz/tbz/iso/… 裡面檢查? 要不要進行圖=>文轉換 OCR? 要不要進行深度封包檢測 DPI? …); 但垃圾信過濾軟體或防毒軟體 vs DRM 或綠壩的最大的差別在於: 垃圾信過濾軟體或防毒軟體尊重使用者最終的判斷, 把最後的決定權交回到使用者手上。 任何垃圾信件過濾軟體都提供誤判回報, 並且讓使用者可以自行新增刪除過濾條件。 設計客戶隱私保護軟體, 也應有相同的心態: 它的任務應該是 警告 而不是 禁止 員工, 減少員工 意外 傳送 電腦判斷 疑似 客戶隱私的資料 (及公司機密) 的機會。 因為這個根本上的 心態/思考模式 差異, 讓垃圾信過濾軟體和防毒軟體免於 DRM 軟體及綠壩的窘境 — 後二者的演算法見不得人, 所以從資訊安全的角度來看, 不符合 Kerckhoffs’ principle, 是必敗的技術。

採用這個心態/思考模式來設計客戶隱私保護軟體, 也更能促使軟體設計者盡量減少回報與記錄員工的電腦活動, 降低企業對 員工隱私 保護的法律重擔。 例如, 如果我來設計這類軟體, 可能只會將員工的 「警告過濾器設定檔的更新歷史」 跟 「軟體判斷封鎖但員工認定放行」 的資料記錄並傳回公司主機。 還有, 為了提高安全性, 我會盡量撿既有的自由軟體來改, 並公佈修改後的程式碼 — 這也比較符合個資法七、八、九條強調 「告知」 的概念, 遇到法律爭議時, 可以用這點展現公司尊重員工隱私的誠意。 我不會 用苦行僧的方式從頭開發, 更不會採購自己看不見原始碼的軟體安裝到員工的電腦上。 如果有一天員工依據個資法要求公司告知公司透過電腦對他所蒐集的個人隱私資訊時, 開誠佈公釋放原始碼的這種策略比較有利於公司自保 — 比較容易說明公司蒐集員工資料的行為符合個資法第五條的 「尊重、 誠實、 信用、 不踰越、 有正當合理關聯」。

另一方面, 軟體 尊重員工最終判斷, 並不表示公司同意員工可以自行決定任意洩漏客戶隱私或公司的其他機密。 這只表示公司具有正確的資訊安全意識: 軟體不可能百分之百正確判斷每一筆資料是否為客戶隱私或公司其他機密。 軟體尊重員工的最終判斷, 反而讓軟體作者可以放心大膽地從嚴判斷、 誠實以告, 對於任何可能洩密的未檢查或已檢查但沒把握的途徑都不厭其煩地提醒員工。 (「您有一個無法辯識的映象檔未經本程式掃描。 請手動掛載並啟動本程式掃描。」)

推薦採取如此心態/思考模式的原因, 不只是技術考量, 更重要的是企業文化考量。 第一, 最終的責任歸屬 ( accountability, 不是 responsibility) 因而落在員工身上, 而不是落在難以究責的軟體供應商身上。 被軟體提醒的員工如果遇到沒有把握的狀況, 應該主動請示相關主管, 這才是保護客戶隱私資料負責的態度與流程。 第二, 尊重員工 (的隱私與自主權), 是尊重客戶 (的隱私與自主權) 的第一步。 企業主/CEO/CIO/其他高層/IT員工 這些人對於基層員工隱私的態度, 究竟是認真地予以尊重, 或是仗著本身的業務優勢而為所欲為? 看在所有員工眼中, 這將造成一種具有潛移默化效果的 企業文化。 當員工有機會接觸客戶資料的時候, 也會有類似的心態。

最終, 資訊總是渴望自由。 不論你我喜不喜歡, 除了對所有員工 (還有訪客) 挖眼睛挖耳朵改植 DRM 版本以封鎖類比漏洞 (analog hole) 之外, 技術方法是不可能完封資訊的。 而且, 企業資安出問題的原因經常是因為員工疏忽而不是因為員工惡意外洩或外人入侵。 技術只能稍微提高門檻, 讓資訊不容易因為員工疏忽而外洩。 也就是說, 從技術的角度來看, 「監控員工」 並不是保護客戶個資 (及公司機密) 的好方法。 單單從技術觀點來看, 最重要的是: 員工資訊安全意識的教育訓練 (你們的 CIO 還沒叫大家 丟棄舊版 IE 嗎!?)、 密碼限制存取、 (最後, 如果有額外的資源, 才是…) 軟體檢查警告。

Security is a process, not a product.
(資訊) 安全是一個程序, 而不是一個產品。 — Bruce Schneier

更何況, 比技術更重要的事, 是提升員工對公司的向心力以及尊重他人隱私的文化。 而 「採用軟體監控員工」 恰好會大大地破壞這兩者, 對於保護客戶個資的目標來說, 最終很可能得不償失。

CIO 如果還是堅持繼續延續過去 「一切問題用採購軟體搞定」 的錯誤心態, 主張採用 「監控員工以確保客戶隱私不外流」 的矛盾策略的話, 除了會產生上述員工將失去向心力、 可能會不顧情面依法強勢捍衛隱私 (尤其是離職員工)、 … 等等問題之外, 還會遇到許多實作上的困擾。 企業內高階主管的電腦要不要接受監控? IT 部門員工的電腦要不要接受監控? 誰來確認這些人也受到監控? CIO 建議要把監控的業務委外給軟體廠商嗎? (如果我是老闆, 聽到這個建議, 就先開除 這個欠缺職業道德的 CIO 。) 如果不委外, 那麼誰才是最終握有監控紀錄檔密碼的企業內部 KGB 特務警察頭子? 當個資外洩時, 特務頭子是否永遠免責, 不會受到懷疑? 或者特務頭子永遠是第一個被懷疑的? IT 部門整天接受來自客戶及員工 「依據個資法第三條」 的查詢請求, 還能做其他的事嗎? 做這等煩鎖小事的, 顯然不是特務頭子。 那麼全公司的個資都握在這個年輕小子手上, 而他與其他員工彼此猜忌, 客戶個資會更安全嗎?

最後, 也要提醒各事業主管機關: 未來進行行政檢查時, 不要過度解釋 「安全維護措施」、 不要對監控軟體有不切實際的期待, 不要迫使企業以保護客戶隱私為名, 在員工電腦/平板/手機上安裝監控軟體, 實行侵犯員工隱私之實。 各事業主管機關 (Hi, 教育部!) 如果過度解釋, 迫使企業犧牲員工隱私, 恐怕不是造成 「企業大門, 民主止步」 (照原文直譯應該是 「工廠大門…」) 就是造成 「離職員工依據個資法控告企業主侵犯隱私」 的案件大增, 不論是何者, 對社會都不是好事, 也都違背了個資法的初衷。 只看法條, 不用 去感受法律的原始良善用意, 恐龍法官就是這麼產生的。 法律專業的他們, 這麼做也許還有一點藉口; 一般人自己如果也這麼做, 以後還好意思批評恐龍法官嗎?

從事業主管機關到企業內部上下, 請讓我們一起用 去感受法律的原始良善用意, 彼此 釋出誠意 以換得對方的信任和體諒, 一起建立 「尊重所有人 — 客戶與員工 — 隱私」 的文化, 一起處理導入保護個資作業流程當中所遇到的問題。

* * * * *

特別感謝上學期研究所在職專班 「網路公民素養」 課程的修課同學。 他們提供了這個重要的題目、 許多顧憂慮、 一些想法、 和很多連結, 才促成我完成這篇文章。

* * * * *

手邊沒電腦; 口頭推薦本文嗎? 可以請您的朋友搜尋 「」 或 「」。

發表留言

我用Linux的五大理由

這篇算是有感而發。

 

雖然直至現今仍然有許多人都認為Linux是只有精通電腦的人才能夠使用的東西,但事實上早就已經不是這樣了。自從Ubuntu等等的發行版推出後,它便已經開始變得更平易近人;因此有不少的電腦使用者因此而放棄Windows,改投Linux的擁抱--我也是其中一員。到底Linux對我來說有什麼吸引的地方呢?

1.基本上沒有版權的問題。

如果我問:「有誰的家裡的Windows是用正版的?」相信會答「是」的人應該屈指可數吧?除非是在公司裡面使用,否則沒有幾個人會願意花一大筆錢去買這種東西--然而當他們這樣做的時侯,便已經成為侵犯版權的罪犯了。但當我們的電腦採用Linux的時侯,由於它是可以隨意散播或修改的自由軟體,所以即使這個系統發行版是從非官方網站下載下來的,什至將它改造成別的樣子再以自己的名義散播出去,我們也不會因此觸犯法律;只要你再發佈時仍然遵守自由軟體的守則便可以。(小部份除外)

2.免費。

我只是個每個月零用錢只有100港元的學生,怎可能買得起Windows這種「高檔貨」呢。:P

3.每個人的系統都是獨一無二的。

即使是初學者也好,只要你願意學習,要組裝一個擁有個人風格的系統絕對不是一件難事。從挑選發行版到佈景主題,全部都可以掌握在你自己的手中,而不用像Windows那樣必須安裝第三方主題破解以及一堆美化軟件才行。如果你是採用ArchLinux的話,那便更好了--因為你幾乎是從無至有地親自組裝一個系統!當初我也曾經嘗試過這樣做,不過因為實在太麻煩所以還是放棄了。(懶)

4.優質的社群。

絕大部份Linux發行版都擁有屬於自己的社群,而裡面的人都相當樂於助人;無論你有什麼疑問,大家都很樂意會幫你解答問題。這點在Ubuntu等知名發行版更為明顯。

5.驅動程式的問題幾乎不存在

雖然目前仍然有部分顯示卡未能在Linux中完全支援,但基本上我們平時用到的硬體都能夠運行順暢,而不需要大量安裝額外的驅動程式。有誰會想要辛苦地安裝好自己的作業系統後,還得完成許多的準備工作呢:P?

以上便是我採用Linux作為自己主要作業系統的原因。老實說如果不是自己對遊戲還有些留戀,Wine又不能夠順利地運行它們的話,我真的恨不得把Windows移除掉。不過自從迷上Linux後,這東西也早就已經蓋滿灰塵了。真希望哪天遊戲廠商能夠開始重視這個市場,造福一下我們這些用家啊!

7 則迴響

惡意軟體 Citadel 採用開放源碼模式開發

原文地址:http://is.gd/rCPFPV

作者是 謝良奇/編譯

開放源碼成功地為用戶帶來了 Linux、Apache、Hadoop 等軟體,既然如此,那為何不能將開放源碼的開發模式,運用到其他類型的軟體上呢?大量惡意木馬軟體背後的電腦犯罪者,已經開始採用開放源碼模式來加強其惡 意軟體的功能。根據網路安全公司 Seculert Research 的報告,Zeus 木馬程式的變種 Citadel,正是開放源碼模式下的產物。

去年惡名昭彰的 Zeus 電腦犯罪工具集釋出原始程式碼,電腦犯罪者就開始在此銀行木馬程式的開發上,擁抱開放源碼模式。最近數週內出現了名為 Citadel 的多個 Zeus 木馬程式變種。

Zeus 可說是最早、最常見的線上銀行木馬程式之一。Zeus 的作者在 2010 年底停止開發,並於數月後在網路上釋出該軟體的原始程式碼。此後,Zeus 的程式碼成為其他木馬程式的開發基礎,包括 Ice IX 與新的 Citadel。2011 年 12 月 17 日,Seculert 的研究實驗室首度發現 Citadel 殭屍網路的跡象。該公司宣稱,Citadel 的普及與開發都在快速成長中。

除了開放源碼,Seculert 的報告更指出,該軟體的主要開發者也採用了軟體即服務 (SaaS) 模式,並使用客戶關係管理系統 (CRM),透過論壇和留言板與使用該木馬的犯罪者溝通。

Citadel 的用戶可以提出新功能的需求、貢獻模組、進行測試並回報臭蟲,並且和其他電腦犯罪者進行討論。Seculert 指出此種模式大大助長了惡意軟體的開發。Citadel 因此增加的新功能與模組包括了可針對設定檔與伺服器通訊進行 AES 加密、避免追蹤網站的偵測、支援安全廠商網站黑名單,以及基於觸發器的影片錄製。

Seculert 技術長 Aviv Raff 表示,由於採用這種新的開發週期,這套惡意軟體得以快速演進,從去年 12 月以來他們已經發現由 Citadel 作者釋出的 5 個新版本,每個版本都增加了新功能與模組。

擁抱開放源碼惡意軟體的電腦犯罪者,使用新的 Citadel 惡意軟體建構了 20 個殭屍網路。該軟體逐漸成為電子銀行詐欺者的強大工具。Raff 指出,其中若干殭屍網路已經感染了超過 10 萬部機器。

事實上,網路犯罪者跟隨合法業界的潮流早已行之有年,例如 Citadel 作者會提供其用戶使用手冊、發行說明、授權協議。Seculert 指出,他們認為採用開放源碼模式的趨勢將日益增長。網路犯罪圈對於快速開發、尖端技術的追求,以及黑客們對於不斷受到認可的渴望,恐怕將使開放源碼模式在 網路犯罪生態圈裡也和在軟體世界一樣,受到廣泛採納。

相關網址

  1. 壞傢伙也開始使用開放源碼了
    http://www.networkworld.com/community/node/79789
  2. 惡意軟體開發者擁抱開放源碼
    http://www.theregister.co.uk/2012/02/10/open_source_malware/
  3. Citadel 銀行木馬程式透過開放源碼開發演進
    http://www.computerworlduk.com/news/security/3336390/citadel-banking-trojan-evolving-through-open-source-development/
  4. Citadel 木馬程式:開放源碼惡意軟體社群多了客戶服務
    http://www.techweekeurope.co.uk/news/citadel-trojan-open-source-malware-community-adds-customer-care-60069
  5. 惡意軟體作者透過社群改進網路攻擊
    http://www.computing.co.uk/ctg/news/2145226/malware-authors-social-improve-cyber-attacks

=================================================================================================

連木馬等的惡意軟體都已經開始採用開放源碼的方式發佈了,我們到底應該為此感到歡喜還是悲傷呢?

儘管Cracker行為是讓人唾棄的,但換個角度上--這不是證明了開放源碼軟體的威力到底有多強大了嗎?所以某種程度上這應該也能說得上是一件好事…只是應該。

嘛,不管怎樣說也好--但願這種好現象能夠持續下去(當然,只限於非惡意軟體!)吧。

 

發表留言

[不看條文的] 臺灣高層 愛戀 [侵權更甚於 SOPA 與 ACTA 的] TPP?

原文網址:http://ckhung0.blogspot.com/2012/02/sopa-acta-tpp.html

[不看條文的] 臺灣高層 愛戀 [侵權更甚於 SOPA 與 ACTA 的] TPP?

[不看條文的] 臺灣高層 愛戀 [侵權更甚於 SOPA 與 ACTA 的] TPP? 美國正在與環太平洋各國談判 Trans-Pacific Partnership (跨太平洋經濟戰略夥伴協定); 臺灣的政府和一些主流媒體似乎一心期待加入 TPP、 得到 TPP 的關愛; 但卻沒有人真的把條文拿出來分析, 彷彿只要是美國老大哥開出來的條件, 讀都不必讀, 就可以確定是臺灣的救命仙丹一樣。 沒錯, TPP 跟 ACTA 一樣, 是一份黑箱密約, 所以無法從正常管道拿到條文; 但正因為它的不透明, 我們更應該提高警覺性, 不是嗎? 從洩漏出來的文件當中可以看到許多侵犯人權及國家主權的可怖條文。 如果前一陣子的 SOPA 是一個只取不予的男友 (太客氣的比喻了), 那麼 ACTA 便是家暴老公, 而 TPP 則是僵屍; 但臺灣高層與一些媒體卻對它充滿期待與憧憬? 法律實在不是貴哥的強項; 不過看到這荒謬的景象, 還是忍不住要跳出來當一面照妖鏡, 提醒大眾不要被愚弄。

要了解 TPP 有多邪惡, 先從大家比較熟悉的 SOPA 談起。 公民組織 CTD (民主與科技中心) 的 兩頁摘要 我再將它濃縮摘譯條列:

  1. 一旦發生疑似盜版事件, 雲端廠商/網路平臺之類的第三方都必須為盜版內容負責。 也就是說, 以後 ISP、 臉書、 dropbox、 youtube、 flickr (請想像無名相簿)、 搜尋引擎、 維基百科、 paypal、 … 都被迫必須扮演盜版警察, 自行審查用戶上傳的內容是否 「疑似」 盜版。
  2. 何謂 「疑似」? 只要著作權人提出指控, 雲端廠商/網路平臺就必須先撤下 「疑似」 盜版的內容。 在過去, google 之類的雲端廠商/網路平臺曾經替用戶及客戶的權益挺身而出, 要求指控者必須拿到法院的命令才會配合撤下資料; 但 SOPA 說: 未來如果雲端廠商/網路平臺保護用戶, 那麼著作權人可以回過頭來控告雲端廠商/網路平臺。
  3. 一旦發生疑似盜版事件, DNS 對照表 (就是讓你可以方便地打 “www.hinet.net" 而不是難記的 “202.39.224.7″ 的那個對照表) 將受到管制, 必須移除疑似盜版網站的資料。
  4. 不只是盜版事件受到管制, 仿冒品網站也比照辦理。
  5. 不只是仿冒品網站受到管制, 還有 (被污名為仿冒的) 山寨品網站 也比照辦理。
  6. 利用不同國家的藥品價差合法經營的網路藥品商也將被歸類為非法, 造成 藥品價格提高。

難怪 網頁之父 Tim-Berners Lee 維基百科 世界各國部落客、 … 都站出來抗議。 只要你有在使用任何雲端/網路服務, 都應該站出來抗議。 如果你以為自己是一個守法的公民、 以為自己永遠不會跟盜版/仿冒/山寨扯上任何關係, 那是因為你不了解利益團體如何扭曲擴張解釋這些詞彙。 那是因為你不了解 SOPA 是一個連坐法, 即使是最純潔的乖寶寶也會被莫名奇妙的關站警告給牽連。 而利益團體 MPAA — SOPA 主要推手之一 — 的 “坦率" 回應卻更令人傻眼: Chris Dodd: 「我的錢都已經付給國會議員了, 為什麼不通過我要的法案?」 眾人上白宮網站連署, 要求調查 Chris Dodd 公開行賄; 白宮拒絕評論

波蘭政府強渡關山, 配合美國壓力簽署黑箱密約 ACTA, 國會小黨戴上 anonymous 面具抗議 其次是 ACTA: 由美國主導, 限定加、墨、日、韓、新加坡、紐、澳、歐盟、瑞士、摩洛哥等等國家參與。 請注意: 中國、 巴西、 印度等等新興經濟大國都沒受到邀請。 臺灣當然就更不可能直接參與 ACTA; 也因此我很少談 ACTA。 簡單地說, 這是全球高級會員國裡面的高級利益團體俱樂部密謀控制全球 (不只) 經濟 (還有生活各面向) 的另一個黑箱密約。 加拿大法學教授 Michael Geist 長期關心這個議題。 經過許多抗議及維基解密的爆料, 美國終於勉強公告一份摘要。 請見 法律事務所的白話摘要。 ACTA 除了把 「翻譯檔案格式? 有罪!」 的 DRM 進一步提升到 「任何實體商品膽敢與我相容/競爭? 有罪!」 的 PRM (PRM 也是智財洗腦教育要污名化山寨產品的原因) 另外還包含國界搜身/搜電腦、 種子專利、 … 以及 SOPA 大部分的內容。 容我用一個富比士雜誌的連結偷懶: 「如果你覺得 SOPA 已經夠糟了, 那麼等到你看到 ACTA 就知道天外有天。」 難怪 波蘭國會小黨要戴上 anonymous 面具抗議; 難怪 斯洛維尼亞大使要對 「她自己在日本粗心簽字」 的行為公開道歉; 難怪 公民抗議 ACTA 的行動在歐洲如野火般竄燒, 2/11 日即將大爆發。

再來是 TPP。 顧名思義, 參與 TPP 協商的, 包含環太平洋的國家: 美國、 秘魯、 智利、 星、 馬、 越、 汶萊、 紐、 澳。 再一次地, 這又是黑箱密約; 再一次地, 秘密文件又被攤在陽光下; 再一次地, 這些條款又是從智財觀點出發、 以侵犯人權及國家主權收場。 EFF 有一份白話摘要; 公民網站 「資訊正義」 (infojustice) 貼出 昆士蘭大學教授 Kimberlee Weatherall 的分析TPP 除了包含類似 ACTA 的大部分邪惡條款之外, 還加上:

  1. 快取 (Cache) 限制 (對! 上網就有可能犯法, 因為你的電腦裡面存放著頁面的快取備份!)
  2. 大幅延長著作權年限。
  3. 禁止商品平行輸入。
  4. 更強的 TPM (technological protection measures, 也就是上述連結 Ed Felten 所說的 PRM) 幾個淺顯易懂的例子: 非原廠墨水通通犯法、 不同廠牌手機 (透過強勢綁約及刻意製造且不准迴避的不相容) 終將只剩下一家合法手機廠商。
  5. 法院判定之前, 預設專利及商標有效。 (儘管美國專利品質為人垢病已久)
  6. 法院判定之前, 控方即可索求 「疑似侵權者」 的個人隱私資料或公司商業機密。
  7. 海關即可 (而不必透過法官) 判定是否侵權。
  8. 工具生產者入罪 (為了 「相容封閉格式或協定」 所創作的自由軟體, 極有可能被認為觸法)

Weatherall 並指出: 先前在 ACTA 當中至少還稍微穿插了一些條款, 讓被控侵權的一方有一點抗辯的空間; 但在 TPP 當中許多這類 「煞車條款」 都不見了。 例如:

  1. 保護被控方隱私及商業機密的條款
  2. 稍微尊重簽約國國內既有法律的條款
  3. 比例原則 (小罪勿大罰)、 補償方式 (萬一誤判侵權怎麼辦?)、 …
  4. 相關官員若未能完全抓出侵權案例, 並不表示這些官員也必須一起被究責

美國大學華盛頓法學院/耶魯大學/西北大學也有四位教授 共同撰寫一篇分析。 以下是摘譯:

目前國際上既有的智財架構兼顧兩面: 一方面要給予作品及科技物所有權人一點壟斷權, 另一方面又要保障大眾、 競爭對手、 創新者的權利。 美國的提案一旦通, 這種兼顧兩面的平衡將會被打破。 1994 年 WTO 所通過的 TRIPS 條款儘管不如人意, 至少還試著做到雙面平衡; 但 TPP 比 TRIPS 糟糕太多了。 ACTA 以及美韓之間的 FTO 都採取黑箱作業, 也都因為採取 (智財) 極端標準 (maximalist standards) 而引發許多爭議; TPP 以此二者為基礎, 甚至經常有過之而無不及。 目前已有報告拿越、 馬、 澳、 秘各國既有的法律來跟 TPP 對照比較, 沒有一個國家的法律跟 TPP 相容; 即便是美國自己的法律也與 TPP 不相容。 發表於 2007 年美國府會協議的聲明裡, 對於開發中國家尚且給予醫藥智財的彈性空間; 但 TPP 棄之不顧, 顯示美國國際關係更強勢地前進了一步。

由美國所策畫的這部條約對開發中國家極為不利 — 他國壟斷市場的廠商具有絕對的定價權 (exclusionary pricing) 將對這些國家產生重大影響。 對照 [納入 「開發中國家考量」 (development agenda)、 透明開放過程辯論出來] 的其他多邊協議, 這份協訂更突顯了美國最近在國際上推動的智財極端主義。 前者試圖在異中求同, 強調 「保護與執法 (在各國) 應有差異與彈性」, 只定出一個全球通用的最低標準, 並且關注允許例外, 例如視障者、 圖書館、 教育使用等等彈性使用, 並且試圖提升科技與藥物的使用率。 (但後者則不然。)

回頭看看我們的主流媒體對於 TPP 的報導。 搜尋 「tpp」, 只有 Nownews 這篇 「TPP美中態度各異 台灣成角力場關鍵棋子?」 比較審慎保守地把 TPP 看成是美中政治角力; 其他多數報導都幾乎毫不質疑地把 TPP 看成是一個獎盃:

  1. 自由時報: TPP 框架成形 邁向全球最大自貿區
  2. 自由電子報: 加入TPP?我得看中國臉色
  3. 軍事新聞網/青年日報: 學者專家盼政府掌握契機 做好加入TPP準備
  4. 聯合新聞網: 薄瑞光:台灣加入TPP 不一定要等十年
  5. 中央社: 總統:目標十年內加入TPP

最不可思議的是國家政策研究基金會所刊出的空中大學謝明瑞教授 「黃金十年與 TPP」 一文, 對於 TPP 的正面效用吹捧有加; 對於其傷害卻輕描淡寫。 我很好奇 (1) 這些新聞背後是否有一個共同的來源? (2) 謝教授以及其他提供意見給馬總統的學者專家到底有沒有看過 TPP 外洩的稿件, 或像不專業的貴哥一樣至少看過分析外洩稿件的文章? 不論答案是肯定或否定的, 都指向一件事: 美國利益團體認為臺灣人很好騙, 只要透過政府/學者/媒體喊一些拼經濟的口號, 就算實際上對臺灣的經濟有傷害也沒關係, 因為許多臺灣人不必分析 (甚至不必看) 條文, 光聽到拼經濟的相關口號就會覺得心裡酥酥癢癢的非常愉快, 就算只是想像 「不必等十年就可以躺在 TPP 的懷抱裡」 也很銷魂。 難怪美國在處理 ACTA 和 TPP 時, 會採用兩種不同標準的差異手法。 國家好騙的等級不同。 關於 TPP, 我突然覺得自己對於主流媒體、 政府高層及 「國家政策研究基金會」 的信心, 不如我對道士的信心。 不管道士做法驅趕 TPP 的邪氣有多大的效果, 至少美國利益團體的黑手可能還沒有滲透進道士這一行, 至少道士服務的對像會是付錢的國人, 而不是美國的利益團體。

* * * * *

手邊沒電腦; 口頭推薦本文嗎? 可以請您的朋友搜尋 「TPP 更甚於 SOPA」 或 「TPP 侵權」。

發表留言