我們這個時代的自由課：數位年代，為自己設計隱私安全網

昨晚，我去參加了 Matters Lab 的一場群眾募資線上講座──「天眼時代，個人數據與隱私保護全教程」。

當晚的活動透過線上會議 Zoom 來舉行（為什麼這個時間點、這個議題，仍使用 Zoom，可以請 Matters 的朋友聊聊），chatroom 裡都是因大環境因素無法實體聚會的香港與中國網友。但螢幕這一端，台北的參與者聚集在北車附近的共享空間，有點嚴肅又帶點慵懶地躺在懶骨頭沙發上。

這是一場滿滿乾貨、講求實務實戰的講座。講者 Johnson 是國際特赦組織香港分會的執委，長年推動資訊安全與人權，當晚的投影片寸土寸金，每頁都被各種能夠立即上手的工具資源，塞好塞滿。

當晚活動最重擊人的一句，是講者在分享完各種加密服務（email、通訊軟體、視訊會議…），教你如何自保時，默默補了的那一句：

「確實這些工具都需要翻牆才能使用。」

聽在生活在不需要翻牆的台灣人耳裡，頓時無語。

整場講座，Johnson 不談理論、不談 concept，只談我們具體可以怎麼保護自己，有種希望快點把「戰術」傳授出去，讓大家立刻武裝好自己的急迫。這就是香港現在的窒息感嗎？在台北的我無法驗證，只能自溺腦補。

你在怕誰？

先說結論，坦白說，講座的內容跟我原先預期的，是有出入的。

我來這場，原本期待能夠聽到，作為消費者與網路使用者，在面對如 Facebook 或 Google 等科技公司時，如何保護自己的數據跟個資不遭濫用；但講者所設定的「對抗對象」，卻是「公權力」 ── 香港政府、港警，以及中共政權。這導致講者把許多「保護自由」的信心，放到 Google 這類私人大公司身上。

講者不斷講到，Google 是間大公司，有資源、有相對設計完善的防禦機制，能夠幫使用者過濾不懷好意的「惡意侵入」。其中一個自保的手法，是當你收到任何附件時，不要急著直接在通訊軟體或 Email 中打開，而是先上傳到 Google Drive，在雲端上操作，讓 Google Drive 掃描安全性，避免直接感染電腦。

講者又提，當使用者授權給 Google 更高的安全設定，Google 便有更高權限能夠對你的資料，進行更深入的掃毒防禦。聽到這，我當下納悶，那我們如何確保像 Google 這樣的服務供應商，不會濫用我們的資料？這是法律問題，也是信任問題。

但回到講座的脈絡，站在講者身處的環境來看，他們首要有戒心的對象，顯上 Google 怎麼排也排不上前幾名。面對公權力的威脅，法律或信任皆蕩然無存。

這也讓我意識到，不同時空背景、不同生活情境下，我們對於需要被保護的「網路足跡」跟「個資」，定義居然能夠這麼不同；而需要的保護目的、手段強度，也完全不同。這算是種因生活體驗不同而生的數位差異嗎？

不同的自由課

這個不同，當然其來有自。

昨夜 Q&A ，Matters 創辦人張潔平分享了作為媒體人，在險惡的採訪環境下，她是如何幫自己設計了一套小心翼翼的 SOP，不透露行蹤、有任何想說的話一定開地球，避免遭人截圖惡意使用。

聽的當下我心想，這麼戰戰兢兢，真辛苦呀，真的需要如此謹慎嗎？但接著，我想到前幾天《民視》節目「新聞觀測站」專訪媒體人出身的台灣文化部長李永得，其中的一段對話。

李永得回憶年輕時跑新聞，曾獲准進入中國採訪，當時台灣的媒體團隊，提出了幾點「不」，不接受地陪、不接受吃飯招待、不過問內容…。他們每跑一個點，都選擇在離飯店好幾個街區外的路上，隨手攔計程車，而不是搭飯店門口排隊等待的車輛。這麼麻煩，如此謹慎，築起一條條保護網，為的就是降低被監控、被干預、被介入的風險。

早年，甩開地陪就可以、甩開警察就可以，數位年代，要甩的東西越來越多，虛擬的縫隙，都是眼線。

水能載舟，亦能覆舟；同理，水能覆舟，亦能載舟，回歸到個人，不管是不是街頭抗爭者，我們要如何透過更細膩的數位手法，在日常生活中，填補這些虛擬縫隙？

設計你的安全範圍

你需要多大的安全？你需要保護什麼？透過以下四個簡單提問，講者昨晚邀請大家一起構思自己的「安全網」：

1. 列張清單，你正在使用哪些數位工具？你的資料都存放在哪裡？
   哪些雲端服務、多少社群平台跟軟體、哪幾個電子載具、哪些 hosting site？
2. 排序資料的重要程度：哪些需要集中保護？我要保護什麼資料？
3. 誰可能竊取你的資料？會用什麼方式獲取？
4. 上述的情況，有多少程度會發生？而我，以及我的夥伴，願意付出多大的麻煩與代價，去避免上述情況發生？

根據 Johnson 的研究，超過 90% 的數位攻擊，發生在「遠端備份」跟「電子裝置」上。前者常見的有遠距盜取用戶密碼、手機密碼跟寄至 Email 的驗證碼，或駭進服務供應商；後者則是透過釣魚網站、Email、訊息或開啟來歷不明的應用程式，讓裝置直接被植入惡意程式。

講座上 Johnson 分享不少基本自保的方法，以下列舉最基本的：

防範惡意程式

• 使用正版軟體
• 定期更新作業系統跟 Apps
• 電腦裝設防毒軟體，手機可使用 Lookout 這個工具

防範釣魚網站

• 核實來信者身份
• 不要共用 USB
• 開啟附件時，先移動到 Google Drive 進行掃描，在雲端開啟，切勿直接下載
• 只透過正式途徑下載 Apps，例如 AppStore, Google Play Store
• 觀察網址，使用 HTTPS 的網站

密碼安全

• 使用至少 16 位以上密碼
• 不同帳戶切勿使用同一組密碼
• 使用密碼管理工具管理密碼，例如 1Password, KeepPass XC

密碼這邊，講者幫我們打破了一個小迷思。以往，我們以為多個符號組成的密碼，就比較安全，但在實務上，反而造成使用者難以記住。密碼安不安全，在於長度，越長的密碼，因為所需破解的組合多，越花時間，也因此越難。Johnson 給了一個頗為實用的小撇步：

選中文四個字，轉為英文拼音。

其他保護資料的方法，還包含：

• 使用雙重認證，但切記不要用容易被攔截的 SMS 或 Email 接收驗證碼；可使用 Google Authenticator 代為服務
• 使用端對端加密，例如加密 Email 服務（Protonmail, Thunderbird）、加密通訊軟體（Signal）、加密視訊會議（FaceTime, BlueJeans, Google Meet）

上述的每一個方法、每一道繁瑣的工，積累起來，都是在讓保護殼變得更厚實，就像早年那些媒體人，每多繞遠一條路，就是在築一道防護網，幫自己爭取多一點時間。

與時間賽跑

就在講座的隔天一早，手機傳來黎智英被捕的快訊，消息塞滿 Facebook 河道。一張來自《誌 hk. feature 》的照片蹦出，畫面上大批港警湧入香港壹傳媒大樓。該貼文寫道：

「《誌》收到《蘋果日報》的內部通知。勸上班中的員工即時折返。有《蘋果日報》員工在途中見到即時新聞，大批軍裝進入壹傳媒大樓，在途中折返。《蘋果日報》總編輯羅偉光向內部發出通知：『各位同事，請大家緊守崗位，今日所有新聞照常出街。公司已安排律師。謝謝大家。』」

回憶昨晚講座的主軸 ──「我們這個時代的自由課」，講者準備的素材、設定的實戰方向、張潔平身為媒體人的壓力，真實感瞬間爆表、完全合情合理。只是在台灣的我，不是直接的 TA，就算同樣追求自由，我們面臨的存亡感跟急迫性，還是有明顯的時差。

時差也許帶來抽象的距離感，但物理上的距離，一點也不遠，就在台灣隔壁而已。

我們從未想過這一兩年香港的天翻地覆，我也從未想過，幾年前還在爭論 Facebook 或 Google 等科技巨擘如何侵蝕我們的數位隱私，如今在一場談論隱私與網路足跡的場合，這些爭議暫時被擱置，因為，更大的侵犯，來自政府。

＊想了解更多講者 Johnson 當晚的內容（包含簡報），歡迎來訊詢問，或洽 Matters 團隊。