立即捐款

【監聽條例3】警向互聯網供應商直取市民資料 莫乃光:「如不配合,曾稱會整部電腦搬走」

資訊科技界立法會議員莫乃光在《截取通訊及監察條例》修訂辯論時提出一大《條例》漏洞——執法機關可直接到電訊或互聯網供應商,不須法庭搜查令,便可索取市民的私人資料作搜證用途。過去有不少公司指,警察致電後隨即前來取資料,甚至曾稱如不配合,會直接搬走整部電腦。(攝:朱嘉浩)

(獨媒特約報導)《截取通訊及監察條例》修訂今午在立法會三讀通過,早前社民連立法會議員梁國雄在辯論期間,提出黃浩銘被警收手機並要求解鎖搜證的案例,直指出《條例》的一大漏洞——遊行示威時被警收手機,警方要求當事人電話開鎖拿資料作搜證,不屬監聽。但此舉同樣是在侵犯市民私隱,變相現時已可繞過《條例》監管及法庭手令,直接獲得市民的私人資料作搜證。

資訊科技界議員莫乃光(Charles)在辯論時提出另一大《條例》漏洞——執法機關可直接到電訊或互聯網供應商,不須法庭搜查令,便可索取市民的私人資料作搜證用途。

市民通訊方式改變
不須勾線 都可索取網絡通訊資料

「Digital communication裡,內容會在手機或電腦中留底。」Charles說。

Charles指出政府漠視在科技發展下,市民通訊方式的改變——由講電話,到用電郵,到用SMS,再到用網絡即時通訊軟件(whatsapp、telegram等),通訊方式改變的核心是,現今網絡通訊會在不同的地方「留底」。因此執法機關如要搜證,已不用傳統地「勾線」,只須直接拿你「留底」的資料。

「執法部門會透過warrant(法庭搜查令)搜證市民留底的資料,特別是警察和海關,而他們透明度十分低。對於曾經搜集過個人資料及要求remove data(移除資料)的數目都不肯回答,甚至連拿了幾多個warrant都不肯公開,更聲稱沒有紀錄這方面的數據。」

立法會議員梁繼昌曾在去年在立法會提交質詢,要求保安局交代執法機關截取通訊內容及用戶個人資料的權力和數字。保安局局長黎棟國當時只提供2010年至2014年的數據,並指執法機關向網絡服務供應商索取用戶資料和憑藉法院手令搜證,每年平均超過4,000宗,但並不屬於《條例》的規管範圍。

11179798_960626823970681_440623330_o
2010年至2014年,執法機關向網絡服務供應商索取用戶資料平均超過4,000宗,但並不屬於《條例》的規管範圍。

其後,莫乃光再在本年1月27日,向新上任的創新科技局局長楊偉雄提問,要求當局書面回覆2015年2月至今,政府向(網絡/電訊)供應商提出披露資料(元數據,Metadata為主)要求的詳情。

結果一如既往,警務署以「防止及偵查罪案(主要涉及科技罪案或使用互聯網的罪案)」為由,提出「披露及移除資料」的要求仍然稱冠,分別是3,760次及87次。當中值得注意的是,只有警務署不能提供共向多少間網絡/電訊供應商索取用戶資料,其原因是「沒有備存有關統計數字」。第二高的是海關,以「遏止侵權罪行」為由,數字分別是128次及31次,並列明所取的資料包括用戶的IP地址。

policestat
2015年2月至今,警務署提出「披露及移除資料」的要求仍然稱冠,分別是3,760次及87次。當中值得注意的是,只有警務署不能提供共向多少間網絡/電訊供應商索取用戶資料,其原因是「沒有備存有關統計數字」。

「《條例》監管所有『通訊』,然而隨著科技發展,『通訊』除了voice還有digital。政府只執著『通話及傳送過程』(如勾線、傳送網上訊息的過程),實在濫用了法例的原意。」Charles說。

沒法庭搜查令 警曾稱會搬走整部電腦
小型公司無法律支援 無奈配合

「執法部門拿warrant但不公佈拿warrant的總數,另一方面其實他們拿warrant難度很低,因此很難保障電訊公司﹑互聯網供應商。行內都知道公司不會公佈政府曾經拿取幾多資料,因此又很難去監管執法部門。但過去有不少公司都指,警察打個電話就來取資料,甚至恐嚇他們指會直接搬走整部電腦,但現在情況有改善。」

Charles表示這些公司早兩年曾透過他與警察﹑海關洽談,提出要求執法部門要填一份表格,其內容是他們要拿的資料關於什麼內容及原因,然後有高級的警察簽署負責,以保障公司的安全及權利。但Charles指出,海關及警察最後拒絕,但沒有提供任何原因。

「於是這些公司,特別是小公司,自發地要求警察填表格,警察填了幾次後,後來竟然開始拿warrant。」

Charles說這些表格通常是幫細公司較多,因大公司通常有法律團隊,條例對他們影響較小,但拿warrant及填表格至少可從被動角度保護客戶。當中,對公司最大的影響是,例如整部電腦或伺服器(server)搬走,會影響公司對其他客戶的服務供應。

「電腦內甚至會有其他客戶的私人資料,因此對電訊及網絡供應商的工作有很大影響。」

最危險是元數據
揭露市民日常生活足跡

對於眾多議員關注《條例》是否監管網絡即時通訊(如whatsapp,telegram),Charles反更擔心執法機關會到互聯網供應商索取「元數據(metadata)」。

「電郵、whatsapp、telegram等不是最危險,特別是whatsapp現時有點對點加密的功能。而他們大多是外國公司,香港政府要取證就更難,因為他們不會向香港政府提供資料。我們反而要考慮的是互聯網供應商的metadata,當中包括你的網上資料、IP地址及你曾瀏覽過的網站。例如Chrome會有紀錄你上的網站,但PCCW等的電訊公司則未必有。」

Charles表示,外國也正在為能否索取這些紀錄而引起熱烈爭議,在現時相關的香港法例下,網絡私隱安全危機非常多,政府必須儘快檢討及修例,提升對市民網絡私隱的保障。

另看:
【監聽條例1】十年人事 一條無法諮詢的「國家安全」法誕生
【監聽條例2】張德江訪港掛直幡 警收手機要求開鎖取證 黃浩銘:應向法庭申請!