以安全為由不斷擴權

近年服務機構資安事件頻頻發生。去年8月數碼港遭因低級錯誤,第三方審查亦未有發現,結果被黑客入侵,400GB資料被竊。今年5月,公司註冊處因系統漏洞,11萬董事個人資料流出。同月消委會因系統缺失遭黑客入侵勒索。私人機構事故亦時有發生。去年11月阿里雲故障,依賴該服務的平台及API出現不同程度的服務問題。有見及此,特區政府準備立法擴權應對。保安局上月向立法會提交《建議訂立保障關鍵基礎設施電腦系統條例草案的立法框架》,並徵詢業界意見,計劃於今年底前將草擬法例交給立法會審議。前周,彭博新聞報道,指美國商會、多間美國科技巨企、亞洲互聯網聯盟等對框架表示擔心,包括執法機關權力過大,威脅到服務提供者的企業誠信,影響特區數字經濟的信心。今時今日,對於批評或反對意見,特區政府即時戰狼上身。保安局隨即發表聲明,指彭博報道偏頗,斷章取義,還指美國商會及亞洲互聯網聯盟提出正面建議,強調歐美等國家均有類似法例,法例絕不涉及個人資料及業務內容云云,但聲明卻未有提及這些組織的關注。

權力延伸審查私企

框架有甚麽內容?首先,框架只包私人企業,豁免政府部門。事實上,關鍵基礎服務卻不少是公營機構,豁免理據未有清楚向公眾交代。框架涵蓋的關鍵基礎設施包括銀行、金融機構、資訊科技、供電設施、交通系統、醫療保健、通訊和廣播,以及其它重要的社會和經濟活動以至影響國家安全的基礎設施,包括表演場地、研究機構等。單是「資訊科技」可涵蓋範圍極闊,加上國家安全20個範疇,若要納入指定機構、訊息平台、網絡公司等由當權者話事。保安局將成立專責辦公室,擁有調查、索取資料、進入處所、查閱電腦系統的權力。對懷疑犯罪行,無需搜查令,即可要求營運者提供任何其認為相關的資料。框架建議賦予保安局局長制定附屬法例,包括增加界別設定名單,定義索取的資料、重大變化、審查範圍及模式、需要報告事故的類型等,不用諮詢或經過立法程序。框架要求發生嚴重事故必須兩小時內通報,專責辦公室可要求營運者必須提交可取得的相關資料,即使該等資料位於香港境外。營運者若不願意或未能自行應對事故,當局可向法官申請手令在其關鍵系統連接設備或安裝程式。營運者必須至少每兩年一次參與由專責辦公室舉行的電腦系統安全演習,每年進行一次電腦系統保安風險評估,每兩年獨立電腦系統保安審計,並向專責辦公室提交報告,辦公室將擁有電腦系統的特權資訊。

(Freepik)
(Freepik)

控制關鍵數碼足跡

以上只是關鍵部份,筆者建議讀者看看框架原文,然後衡量彭博報道的風險是否存在。若閣下擔心公權力伸延至私人企業系統,可考慮下列動作。首先,整合一張清單,列出個人服務提供者。對於私隱要求高的服務例如VPN、網上加密儲存、電郵、即時通訊等,請查清楚服務所在地及適用的法律,避開公權力延伸範圍的供應商,或伺服器放在其法例行使的範圍。盡量選擇一些沒有關鍵資訊可以提供給監管者的服務,以網上儲存為例,若在服務設計上供應商根本沒有解密鎖匙,提供的網上儲存亦只能是一堆加密資料。請留意VPN,很多用家預設最快連線,可能因此連上使用者當地的伺服器,而墮入當地政府的權力範圍,建議預設連上自由國家的VPN。流動通訊網絡必然是監管重點,短訊及通話記錄、數據傳輸、位置軌跡是關鍵資料。避免使用固網電話通訊及SMS服務。如有必要,可利用外國購買非實名漫遊卡,但必須使用一部從未使用實名登記SIM卡的手機,否則手機IMEI可以暴露身份。若有條件,金融服務可採取分散風險的方式,例如在地的跨國銀行可協助客戶在外地開立銀行戶口,保險經紀可協助購買非本地的國際大型保險公司產品。請多加留意Web3.0中的去中心化金融服務(DeFi),加密貨幣是其中之一,沒有明顯的中央服務者,錢包及交易所亦不必在本地,可避開侵略性監管。

誠然,世界各地政府都有類似的公權力,分別在於公權力有否受到合理制衡與監察,有否在保障個人私隱取得平衡,有否公平地應用,而考慮因素包括三權如何互相制衡,國家安全有否被泛化,第四權的影響力等。特區何如,看官自行評估。◇

 

 

------------------

🏵️《九評》20周年
https://hk.epochtimes.com/category/專題/退黨大潮

🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand