這兩天有白帽 Hacker 公佈了從資料庫撈出來的普通民眾對話紀錄。內容是熱愛資料的中國政府如何傾聽人民的聲音。雖然我常跟朋友說監控在技術上可以做到多麽細膩,總覺得自己會被當成瞎操心。又或著,當我臉上露出些許對隱私的擔憂時,又可能被當成反烏托邦電影看太多的阿宅。

剛好趁著這件事情,隨意說一下我自己長久以來的想法。

簡單來說就是一位叫做 0xdude 的白帽駭客在 Twitter 上面公佈了他的發現,中國的監控程式每天都有定時把社交網站上面的訊息備份到好幾個異地的資料庫上。有位用中文大致解說了一些關鍵點,希望你看到這篇文章的時候,這些東西都還沒刪掉。

有時候跟朋友討論到隱私問題,覺得鮮少「極端例子」可以說明我們為什麼總是在杞人憂天,剛好這件事情可以當個教材。下面我也根據 0xdude 的推文抓圖說明一下,後面再講自己的想法,希望這篇文章可以讓我跟朋友在討論隱私問題的時候,能夠從比較高的共識開始。

0xdude 的 twitter 內容


一開始他問了有誰知道那幾個伺服器,他認為中國的監控軟體硬改過的 NSA 稜鏡計畫 復刻。監控軟體從六個社交平台取出姓名、id number(應該是平台上的 id)、照片以及 GPS 位置、網路資訊還有對話以及傳輸的檔案,匯入到一個大的線上資料庫。每天大概處理三億六千四百萬個線上帳號以及他們的傳輸內容。

因為是實名制,所以這些資訊會依據監控軟體的位置,分派到各省份以及 police station (我想他應該是指執法單位)。執法單位每天會檢查 2600 到 2900 個帳號跟訊息,並且每天建檔追蹤變化。所以他們會「人工」去看受監控者的公開與私密訊息。

最妙的是這些資料在 18 個地方同步的時候,全部是明文傳送沒有加密。(我覺得這樣才方便政府部門搜尋啊!),還附上了一個截圖證明他看到的東西。

用 Google 翻譯了其中一則中文內容,大致上就是一對年輕人在聊天的內容,應該是在討論「不是我胸部大,是衣服緊,你是豬嘛?」

有好幾個監控軟體同時會把網咖地點送給執法單位,要去敲門查水表的時候會很方便。

他覺得系統的這部分應該是專門針對在網咖玩遊戲的人,因為都強制要裝上「网吧管理软件」

他說在發文的 22 個小時以前已經回報給 ISP,因為他不知道「到底誰擁有這些資料」。從這邊看得出來 0xdude 在此事的態度上為單純地白帽駭客看到公開的未加密資料庫,恰好這個資料庫是中國網民的聊天內容,他進去逛了好一段時間然後遵照白帽駭客的倫理,把資訊回報上去。(當然,應該早就一堆黑帽的人玩到爛掉了吧!)

關於隱私的想法

上面是簡單的事情紀錄。如果你相信這位 0xdude 講的話,大概就是證實了中國政府監控人民訊息的細膩程度。

暫時不討論中國政府是好是壞,我也不是要隱私捍衛者的姿態(我當然不是!)來佈道,只是想透過這件事情讓你我想想,到底你是不是真如自己所想的那麼不在意個人資料。

先聚焦在「隱私到底重要不重要」,接下來才會是我該暴露多少隱私,進階可以談政府能知道多少隱私,或是能不能相信政府碰觸我們的私人資料,但我應該寫不了那麼多。

我們到底在意不在意隱私

我是個 Programmer,身邊的朋友對我應該是還滿信賴的,我想如果我開發了一個智慧型掃地機器人,遭週好友都很樂意試用我做的產品。

但是,如果我跟他們說,為了提供更好的體驗,我做的掃地機器人會不定時地拍照跟錄音,把資料傳到我的伺服器裡面給我分析資料,請大家相信我不會亂來,朋友的反應一定是這樣。

天曉得機器拍了什麼錄了什麼,每個人在自己家裡的 -嗶- 行為被我鉅細靡遺地看完了還能見人嗎?這種天殺的事情怎麼能發生?

我們並非完全不重視隱私,只是當你清楚地意識到自己的隱私會暴露在身邊的朋友眼皮底下,那種不舒服的感覺會被強烈放大。有趣的是,如果接收資料的人不是我,而是素昧平生你根本不知道哪來的人,大家反而會覺得安心。也就是說,如果聽到你跟伴侶嗯嗯啊啊聲音的是陌生人,大家反而比較能接受。我能體會這種感覺,正如前面提到的反應「我只是個小人物,人家又不知道我是誰」

我想絕大多數的人都同意,我們其實都重視隱私,只是我們對隱私暴露的風險以及程度,沒有一致的看法。

我們會暴露多少隱私給誰

說真的,在這個資訊技術主導一切的時代,要能夠完全保護自己的隱私實在不可能,只要想進入這個現代社會,勢必要拿自己的隱私去交換方便。

同時,建構人類社會很重要的基石就是「信任」。我們沒有辦法懷疑所有的事情,那樣的生活成本太高。也因此我們對「品牌」會有信任感,好比某些品牌出的食品我們就是比較信任,另外一些則否。所以當有人忽略品牌價值而直接從形式上面類比的時候,我們無法接受。

舉例來說,國家就是暴力機器無一倖免。但是我們對美國跟中國的想像還是會不一樣,即便我們知道美國的司法不可能完全獨立,也總是有政治力想要干預司法,但是美國跟中國一比,我們還是比較願意相信,人活在美國會比較受到政府的公平對待。形式上來說你知道國家就是想宰制人民的機器,但你不會因此覺得活在美國跟活在中國沒有差別。

Google 跟小米都熱愛收集資料,但是兩邊出的資訊產品我會寧願選擇 Google 而非小米。理所當然就是 Google 給我的信賴程度比較高。即便我不懷疑小米,卻也無法相信背後的國家體制。

以數量來說,我們很難去細數自己到底暴露了多少隱私出去,我自己也搞不懂,反而是不懂技術的人覺得自己很安全、超有信心。但至少在選擇產品上,我會盡量避開一些中國的產品,因為我對中國整個背後體制的不信任。

也有人覺得用小米的產品沒什麼關係,我也同意。因為這本來就不是技術問題,是個人的信仰問題。

常見的隱私回應

跟任何人討論到隱私時候,最常出現的幾項反應是

  1. 反正我只是小人物,沒有人會真正在看我
  2. 我沒什麼重要的資料
  3. 你又沒做什麼壞事,幹嘛怕政府知道
  4. 我相信這些資料交出去,也不會被亂用

沒有人在看你?

略懂程式的人對這一點大概都會皺眉頭。因為不懂技術的人可能會以為「看不到」,其實是「當下沒在看」而已。把所有用戶正在交談的資料儲存下來完全不是難事,只要資料的結構優良,要短時間內找出你的相關資料都沒問題。

以前面的觀察為例,反正就是把所有東西先存下來。哪天想要好好追蹤你,輕鬆地就可以羅列過往紀錄。不是看不到你,只是還不知道什麼時候打算看你而已。

沒什麼重要的資料?

這個可能是真的,端看你怎麼定義「重要」。譬如說每天跟情人聊天的內容,跟客戶談的生意,洗澡前的自拍照,個人病歷等等,到底這些重要與否因人而異。也是真的有人覺得自己的露鳥照被公開也毫無所謂,這我沒什麼好說的。

但是對於身份特殊的人,可能都要多在乎一點。譬如說身居黨政要職、網紅正妹、公司管理階級,要說這些人沒有任何重要的資訊也過度缺乏危機意識。光是一般人的每日交通資訊,就可以拿來好好策劃綁票案了,更別說重要人物的各式資訊。

沒做壞事就不怕人家知道?

看似合理的論點,但是換個問法就能夠挑出癥結點:「是不是只要沒做壞事,任何資訊都應該要問心無愧地公開?」當然不是!

如果政府在你家馬桶前方擺個閉路電視,會把影像備份在遠端機器,並且答應你在沒有經過同意前絕對不會去調閱影片,你的反應一定跟前面一樣。

因為這太誇張了。

所以話說回來,問題不在於受監控者有沒有做壞事,在於受監控者為什麼要接受這樣的對待,而且這樣的對待是否舒服,因人而異。如果有人覺得廁所裡裝監視器沒什麼不好,不代表你要接受。同樣的,你喜歡在自己家門口裝監視器,不代表其他人應該欣然接受,只因為「反正又沒做壞事」

這條界線很模糊,在每個國家都不一樣,由人民對隱私的重視程度決定它的前後,沒有一定的正確位置。

沒有人會亂用資料?

一般來說我反而比較相信私人企業而非政府。對私人企業而言,搞砸這件事情又被爆出來,通常公司就會完蛋。但是政府呢?政府才不怕你呢,而且在官僚體系之下責任早就分散出去了。當然我工作了這麼多年,深深地明白很多看是強大的私人企業其實裡面充滿混亂,而僵化的政府體制裡面其實也有優秀的公務員。只是兩者的天生使命不同,促使他們內在的力量也不一樣,對私人企業而言保護資料是重要的;對政府而言,保護資料的驅力主要來自….應該是不要被罵吧。

即便如此,美國還是藉國家安全之名跟私人企業要資料。中國就更不用講了,沒有企業敢跟政府作對。

人們常常有很矛盾的說法,譬如不相信司法整天在罵恐龍法官,同時又相信司法可以正確地給那些罪該萬死的人制裁。同時不相信政府的效率以及能力,同時又相信自己的資料能夠被政府好好地保護。更別說台灣也不怎麼大,你以為看資料的是陌生人,其實很有可能就是你叔母那個正在公家機關上班的表弟。

結語

回到前面說的,當我們把資料交給不認識的人,很容易覺得自己隱身在茫茫人海裡很安全,我覺得這是很自然的人性。

不過落落長寫了一大堆,也沒什麼重點,只是想比較完整地說一遍,那個「覺得自己其實很安全」是錯覺。因為在電腦技術上面,你並沒有躲在茫茫人海裡面,不是夾娃娃機裡面角落那個不起眼的小娃娃;你是雞舍裡面住在精準編號籠子裡面的雞,要不要找你下手只是意願問題而已。

對於某些身份可能比較重要的人,完全沒有隱私或是資訊安全的概念,我也滿無言的。也許現在你是 nobody,但以後你可能變 the one,到時候你暴露出去的這些資料,很有機會在敵人的手上反咬你一口。

這年頭我們不可能像 RED超危險特工裡面的 Marvin 那樣獨居在野外,勢必會暴露很多自己的資訊。但至少在選擇產品的時候,可以多想想自己該放什麼東西出去。面對比較在乎隱私的人,可以多點理解對方的動力。

《民粹時代》閱讀筆記 ← Prev Next → 2018 苗栗議員選舉紀錄