[https://2.bp.blogspot.com/-mkQnPbDXT3U/V75UW6p_adI/AAAAAAAAKy0/6F6h6scolxQiB94tNKo1qBYGeLKsKLr1QCLcB/s1600/Cybersecurity%2BPolicy%2Bfor%2BHRD.jpg]

一開始寫這篇文章的動機,是配合Global Partner Digital今年夏天讓人權工作者更了解網路政策的能力建議計畫進程,原本早該在一兩個月就寫完,但因為遇上一點障礙:不知道如何來整理論述自己目前為止對於「cybersecuirty」的理解,如何從人權觀點來挑戰某些問題,所以就荒廢了一段時間。但反正連這篇自己都不知道在記錄什麼筆記都公開了,還是趕快來清理一下殘稿吧。

前一陣子有寫了二篇文章介紹「Global Partner Digital」為鼓吹讓更多人權工作者、人權組織投入賽博網路政策的討論與規則建構,其不遺餘力地透過手冊、指南、工具箱、小短片的製作發表來介紹網路政策入門、其與各種人權議題之連結(請另參見:Cyber Policymaking For Human Rights Defenders?20160730; 系列小短片How to engage in cyber policy-人權篇20160805

接下來,GPD試著再把將「網路政策」,焦點放到了「網路安全」、「資訊安全」與人權運動之間的關係,其相關材料有一本100頁左右的手冊與二支動畫小短片,短片已嵌入在本文之中,而手冊則可在此處下載: http://www.gp-digital.org/publication/travel-guide-to-the-digital-world-cybersecurity-policy-for-human-rights-defenders

Cybersecurity Definitions https://www.youtube.com/embed/-_CNK_Aih9Q

Cyber Threats https://www.youtube.com/embed/dPX8_55G8iE

我自己先翻完手冊“Cybersecurity Policy for Human Rights Defender”之後,再觀看二支小短片。不過倒是建議可以先看影片後,再來翻讀手冊的文字內容(其實大概看完影片就差不多了),手冊共有四章,目錄架構如下:

Chapter 1–Understanding cybersecurity 1)Defining cybersecurity
2)What happens without cybersecurity?
3)Cybersecurity measures
4)The dimensions of cybersecurity policy

  • a)information security(另見Chapter 2)
  • b)cybercrime (另見Chapter 3)
  • c)cyber conflict (另見Chapter 4)

5)Cybersecurity stakeholders and the challenges they face
6)How human rights relate to cybersecurity

  • information
  • networks:此指的是硬體的基礎設施
  • CYBERSECURITY MEASURES: PROVIDING COVER FOR HUMAN RIGHTS VIOLATIONS?

7)What a human rights based cyberspace would look like

Chapter 2–Cybersecurity as information security 1)International technical standards:總而言是各唱各調,尚無一統天下的共主出現。 2)Coherence of legal obligations and responsibilities
3)Map: data protection laws around the world
4)Information–sharing practices: bilateral Mutual Legal Assistance Treaties (MLATs) 5)CERTs and CSIRTs CERTs stand for : Computer Emergency Response Teams 電腦網路危機處理團隊。台灣也有所謂的「台灣電腦網路危機處理暨協調中心」(一個看似NGO,但可能更是GNGO??)。 CSIRT Computer Security Incident Response Teams. 6)Recommendations for human rights defenders

Chapter 3 –Cybersecurity as cybercrime 1)The Budapest Convention
網路犯罪公約,這個國際協議是歐洲委員會Council of Europe(非歐盟理事會Council of the European Union)所發起的一項國際條約,但其簽署批淮的國家並不限於歐洲47個成員國。除了國際公約外,也有不少國家通對了針對利用網路工作從事犯罪行為的國內法律。 2)Mass surveillance
3)Encryption : 建議參閱Amnesty International 今年初發表的報告「Encryption and Human Rights」
4)Anonymous internet use
5)Internet restrictions and shutdowns
6)Recommendations for human rights defenders

Chapter 4–Cybersecurity as cyber conflict 1)Major policy priorities and debates
2)Relevant policy forums
3)Recommendations for human rights defenders

GPD在這個中單元花了不少力氣談「Cybersecurity」的定義、內容以及人權組織之所以要關注cybersecurity policy走向的理由,當我看到第一支小短片中引述UDHR聯合國世界人權宣言第三條「Everyone has the right to life, liberty and security of person」,心中一震:原來60多年前在討論普世性人權內涵時,早已把安全這個概念放入。於是決定先試圖著找出「security」的指涉定義,然後再把cyber這個詞彙冠上去看看好了。查了一下網路上牛津字典對security此字的解釋:

  1. the state of being free from danger or threat 1.1 The safety of a state or organization against criminal activity such as terrorism, theft, or espionage。 1.2 Procedures followed or measures taken to ensure the security of a state or organization 1.3 The state of feeling safe, stable, and free from fear or anxiety
2. A thing deposited or pledged as a guarantee of the fulfilment of an undertaking or the repayment of a loan, to be forfeited in case of default. 3. A certificate attesting credit, the ownership of stocks or bonds, or the right to ownership connected with tradable derivatives.

顯然在這裏只用得上第一個定義:所謂安全仍指讓人有免於恐懼與受威脅之自由;而在集體的社群、社會與國家層次,則是免受到犯罪行為甚致恐怖活動、入侵威脅所造成失序動蕩。從這兩種層次的意思,已經隱約地看到一個古典難題:也就是所謂的個人基本權利以及所謂「集體利益」「多數人利益」之間的競合,以及如何破解權力者假維護「多數人利益」之名,任意對個人基本權利踐踏侵害。犯了老毛病,順手再翻出由UDHR演生,對台灣政府與台灣公民已具有法律約束力的「公民與政治權利國際公約」、「經濟與社會文化權利國際公約」,兩公約除了各自在第九條中肯認了個人層次上當享有安全之保護外,但也在一些條文上,放入了某些例外狀況下對該基本權利的限制,包括「國家安全」、「社會秩序」、「公共衛生」。但不要選擇性地忽略公約條文中另一個同等重要的字眼–必要necessary,這些例外後門的通行與否都必須得經過法律與其必要性之檢視。

個人層次的網路安全

同樣的,在討論所謂「網路安全」時,不斥又再次要追問,當以國家安全之名,以保護大部份老百姓為最高目標,是否可忽略程序之正當、手段之必要與適當性這些對於個人保護的安全閥?難道因為數位化帶來的成本降低,讓原本應針對性處理的案例,便讓它隨意地昇級成為鋪天蓋網的批次連動式處分?當”國家”/“政客”/“上司”以安全故慮,而要檢查你的每一封往來電子郵件、聊天訊息的內容、了解你上了哪些網站、搜㝷什麼資訊,幾點幾分出現在哪個地點、購買哪些商品、聽什麼音樂看什麼書與電影(太好了,許多人根本是把不得快點把這些個人資訊交出來召告「眾人」啊),作為一個微小的個體可以做什麼主張與行動來保護「自己的安全」呢?

這幾年在全球人權運動的場域上,似乎有一股對公民社會遭到更嚴峻打壓的憂慮,其打壓不只來自集權獨裁政權學會了假法律工具大力箝制人民基本權利,還包括了「民主」體制中在面對經濟蕭條與外來者保守極端勢力抬頭的暗潮,一個中間階層流失,政治經濟各向往上下極端移動、意見自朝左右極靠攏取暖,不同觀點意見間能夠正向引發思考刺激火花的公共論壇日益萎縮。我自己在讀這些關於cybersecurity 材料的同時,心中想到的亦是:「shrinking of cyberspace」。或許shrinking一辭用在過往三十年互聯網蓬勃發展並不準確適當,但每每想到許多人可以毫不遲疑地投入超大型集中式數位平台服務的使用,我個人心裏實在感到發毛和擔憂。對「cybersecurity」套上萎縮一辭似乎也不是那麼恰當,某種程度,作為一個産業或是研究領域,它應該會是未來幾年的熱門顯學吧。我所憺心的萎縮恐怕是shrinking space for civil society and no cybersecuirty for human rights :當公民社會還以為這是20年前剛上線連網的年代,那個因為面對開放所以懂得謙遜、以為將是去中心化、權力分散作自己媒體的模式,早已不會再復返了,而吾人又該如何面對如今各自圍籬領地、失控地巨量監管和放手讓渡的個人自由意志呢?