上回簡單介紹過 Swire 等人於 2016 年 2 月初次發表的報告「Online Privacy and ISPs」,Swire Paper 主張鑑於現今( 2016 年左右)網路生態變化與技術發展, ISP 能夠掌握的用戶資料已比諸 20 年前大幅減低,今天對個人資料收集與隱私傷害威脅更巨者應是來自:社交媒體公司、搜尋引擎服務、網頁電郵與聊天訊息軟體、手機作業系統、瀏覽器,線上影音和電子商務等等其它網路業者。
然而有人則不盡同意 Swire Papers 之見解,Upturn 隨即在不到一個月的時間內( 2016 年 3月)發表了「What ISPs Can See」,爭執 Swire Papers 主張科技進展可削弱 ISP 對消費者網路使用活動監控之樂觀立場,Upturn 盼望透由此文提出更週嚴意見的補充,有助於決策者、數位權利倡議組織、一般社會大眾能更周全地掌握科技現實的進展與應用狀況,以理性討論與建設性對話作為公共政策制定的理性基礎。
既然已寫過 Swire Paper,同樣為了平衡資訊比重,當然不能略過對這篇「What ISPs Can See」之介紹。
若還記得前文網路隱私、個人資料與 ISP(上)整理了 Swire Paper 提出三大理由主張 ISP 在 2016 年的網際網路生態系統的消費者隱私影響力已大為降低,Upturn Paper 即針對此三大理由提出反駁(或曰進一步的澄清和意見補充)。
近年來網路流量加密雖有長足的進展,但互聯網距離達到充份完整的加密仍待努力。 Swire 等人的報告主張,網頁瀏覽流量已超過三分之二採用多加一層加密保護,但 Upturn 則認為這種所謂的網路三分之二流量數據並未考慮到其中影音多媒體的瀏覽觀賞吃掉了現今互聯網流量大部份的現實,故所謂過半的流量恐怕是被灌水後的過份樂觀。再者不同資料種類其敏感性亦有其差異,資料敏感與否不必然與它的容量大小有正相關。所以有些網站其流量雖然很微小,但如果資料性質非常敏感,它又仍處未被加密「那些少數」,則用戶訪問這類未加密的網站,停留在某個 url 時間有多長,這個 url 內容是關於什麼,甚致透過明文未加密方式傳送接收訊息,則 ISP 可以一覽無遺地記錄掌握。 Upturn 在 2016 年當時作了一番簡單調查,健康、新聞、購物這三類可能包含較敏感資訊的網站,仍然有超過 80%並未探用 HTTPS。( 二年後我閱讀此文件時,順手檢查了一下它所列出的幾個代表性網站,其中15個網站中有10個已採用 HTTPS) 除了上網最常使用瀏覽器外,曰漸普及的物聯網(IOT, Internet of Things)也被爆料許多設備硬體的流量傳輸並未予以加密,成了今曰互聯網資訊安全的不定時炸彈。
HTTPS 不是萬靈丹 雖然距 Upturn Paper 寫成兩年多之後,我重新查看它所列舉未採 HTTPS 的網站有過半(約三分之二)已加裝了 SSL, 但這不表示用戶可以就此高枕無憂。從 ISP 端,他們仍然可以透過 DNS 請求與解析服務記錄,知道其用戶訪問了哪些網站。Swire 等人卻認為在成本效益的考量下,ISP 該不會刻意地收集與記錄用戶的 DNS 請求查詢,但 Upturn 則駁斥此番說法既無實際證據亦無技術文件來支橕此論點。實務上, ISP為了自身的網路安全管理考量,例如偵測用戶設備上是否不幸感染上惡意軟體,因為某些網域網站可能是高危險群的惡意軟體傳播處,或是網站已遭到攻陷破壞但用戶並不知情。因此 ISP 往往會監控用戶的 DNS 查詢請求,以適當介入提醒用戶相關的安全風險。儘管看起來 ISP 對於 用戶的 DNS 查詢監控似乎是一種必要之惡,但當有人知道你訪問某些域名敏感的網站,例如提供生育控制、墮胎等等,又如何去平衡個人私密與網路使用安全之間微妙的關係呢?
即便傳輸內容或 url 加密,但有心者仍可透過其它方式推測猜測網路傳輸的內容 網路安全與密碼學派當中有一門叫作"旁門"(side channel)分析方法,也就是不直接與已加密資料內容硬碰硬地對幹找出解密方式以破解其內容,反而是透過其它周邊資訊的蜘絲馬跡以猜測推斷加密的內容是什麼資訊。 Upturn 認為,學界與技術界對於"side channel"這一類的研究與應用越來越多,恐怕有朝一日 ISP 仍可透過其它旁門方法來洞悉用戶的網路活動狀況。
VPN 雖好但普及度不足,亦有其技術缺陷 雖然一般網路安全使用常識認為使用 VPN 可以有效提高用戶個資保護與瀏覽隱私,但這種入門級的安全保護常識,其使用者仍限於「業內人士」,對大部份終端使用者 VPN 仍是陌生的名詞(當然此處指的是網站封鎖不算常態的國家,VPN 常常是一些國家網民用來「翻牆」的必備工具)。Swire paper 引用了一份 2014 年所作的調查,美國加拿大大約有 16% 用戶會使用 VPN 來接取互聯網,更何況這不到五分之一的使用人口,也不是每次連網時都會利用 VPN,其中大多數都是基於工作所需,或是業務要求才會使用。換言之 VPN 多為企業級用戶,基於網路安全或商務機密考量而用之,個人用戶仍是極為少數,故對於一般使用者上網的隱私保護力道有效。 所以 Upturn 認為,理論上和技術上使用 VPN 雖能有效減少 ISP 對用戶網路活動狀況的掌握監控,但現實中它的普及性仍嫌不足,VPN 同樣也不是百解憂萬靈丹,最近美國 Freedom of the Press Foundation 發佈了 An In-Depth Guide to Choosing a VPN,算是比較中肯,有點技術介紹又不至於太過艱澁生硬的內容來說明使用 VPN 目的、好處、它所無法做到的保護,潛在風險,以及挑選 VPN 的考量點。
話說前後寫了這麼二篇稍微一點入門的技術面來討論 ISP 可以看到用戶哪些個人資料,哪些技術應用會與互聯網生態體系的變化如何影響 ISP 對用戶掌握的資料量多寡,這些現實是否會對用戶網路行為與現實生活的隱私與資料自主造成侵害。其實我個人的重點不是在討論使用者可以透過什麼應變手段來阻止或減少自己的資料與行為被他人所洞悉或掌握,而是最最基本的問題:你在意自己在網路上走過的每一步足跡、十年前五年前自己都忘了曾看了什麼讀些什麼、(聊天寫信的內容)都處在隨時可能被他人監控記錄掌握的狀態嘛?不管答案是"Yes",“No”,“不知道”,“看情況”……,這個答案背後的理由又是什麼呢?
我當然有自己的觀點與答案,姑且就不以讓人覺得像說教的方式在此多言了。但是你的意見呢?唯有當個人對於想不想去了解與控制自己個人資料的被使用狀況,唯有當個人對此課題産生了一點點看法意見,或許我們才能開始討論、對話、進而發生改變、改善的可能吧。