我們這個時代的自由課:數位年代,為自己設計隱私安全網
昨晚,我去參加了 Matters Lab 的一場群眾募資線上講座──「天眼時代,個人數據與隱私保護全教程」。
當晚的活動透過線上會議 Zoom 來舉行(為什麼這個時間點、這個議題,仍使用 Zoom,可以請 Matters 的朋友聊聊),chatroom 裡都是因大環境因素無法實體聚會的香港與中國網友。但螢幕這一端,台北的參與者聚集在北車附近的共享空間,有點嚴肅又帶點慵懶地躺在懶骨頭沙發上。
這是一場滿滿乾貨、講求實務實戰的講座。講者 Johnson 是國際特赦組織香港分會的執委,長年推動資訊安全與人權,當晚的投影片寸土寸金,每頁都被各種能夠立即上手的工具資源,塞好塞滿。
當晚活動最重擊人的一句,是講者在分享完各種加密服務(email、通訊軟體、視訊會議…),教你如何自保時,默默補了的那一句:
「確實這些工具都需要翻牆才能使用。」
聽在生活在不需要翻牆的台灣人耳裡,頓時無語。
整場講座,Johnson 不談理論、不談 concept,只談我們具體可以怎麼保護自己,有種希望快點把「戰術」傳授出去,讓大家立刻武裝好自己的急迫。這就是香港現在的窒息感嗎?在台北的我無法驗證,只能自溺腦補。
你在怕誰?
先說結論,坦白說,講座的內容跟我原先預期的,是有出入的。
我來這場,原本期待能夠聽到,作為消費者與網路使用者,在面對如 Facebook 或 Google 等科技公司時,如何保護自己的數據跟個資不遭濫用;但講者所設定的「對抗對象」,卻是「公權力」 ── 香港政府、港警,以及中共政權。這導致講者把許多「保護自由」的信心,放到 Google 這類私人大公司身上。
講者不斷講到,Google 是間大公司,有資源、有相對設計完善的防禦機制,能夠幫使用者過濾不懷好意的「惡意侵入」。其中一個自保的手法,是當你收到任何附件時,不要急著直接在通訊軟體或 Email 中打開,而是先上傳到 Google Drive,在雲端上操作,讓 Google Drive 掃描安全性,避免直接感染電腦。
講者又提,當使用者授權給 Google 更高的安全設定,Google 便有更高權限能夠對你的資料,進行更深入的掃毒防禦。聽到這,我當下納悶,那我們如何確保像 Google 這樣的服務供應商,不會濫用我們的資料?這是法律問題,也是信任問題。
但回到講座的脈絡,站在講者身處的環境來看,他們首要有戒心的對象,顯上 Google 怎麼排也排不上前幾名。面對公權力的威脅,法律或信任皆蕩然無存。
這也讓我意識到,不同時空背景、不同生活情境下,我們對於需要被保護的「網路足跡」跟「個資」,定義居然能夠這麼不同;而需要的保護目的、手段強度,也完全不同。這算是種因生活體驗不同而生的數位差異嗎?
不同的自由課
這個不同,當然其來有自。
昨夜 Q&A ,Matters 創辦人張潔平分享了作為媒體人,在險惡的採訪環境下,她是如何幫自己設計了一套小心翼翼的 SOP,不透露行蹤、有任何想說的話一定開地球,避免遭人截圖惡意使用。
聽的當下我心想,這麼戰戰兢兢,真辛苦呀,真的需要如此謹慎嗎?但接著,我想到前幾天《民視》節目「新聞觀測站」專訪媒體人出身的台灣文化部長李永得,其中的一段對話。
李永得回憶年輕時跑新聞,曾獲准進入中國採訪,當時台灣的媒體團隊,提出了幾點「不」,不接受地陪、不接受吃飯招待、不過問內容…。他們每跑一個點,都選擇在離飯店好幾個街區外的路上,隨手攔計程車,而不是搭飯店門口排隊等待的車輛。這麼麻煩,如此謹慎,築起一條條保護網,為的就是降低被監控、被干預、被介入的風險。
早年,甩開地陪就可以、甩開警察就可以,數位年代,要甩的東西越來越多,虛擬的縫隙,都是眼線。
水能載舟,亦能覆舟;同理,水能覆舟,亦能載舟,回歸到個人,不管是不是街頭抗爭者,我們要如何透過更細膩的數位手法,在日常生活中,填補這些虛擬縫隙?
設計你的安全範圍
你需要多大的安全?你需要保護什麼?透過以下四個簡單提問,講者昨晚邀請大家一起構思自己的「安全網」:
- 列張清單,你正在使用哪些數位工具?你的資料都存放在哪裡?
哪些雲端服務、多少社群平台跟軟體、哪幾個電子載具、哪些 hosting site? - 排序資料的重要程度:哪些需要集中保護?我要保護什麼資料?
- 誰可能竊取你的資料?會用什麼方式獲取?
- 上述的情況,有多少程度會發生?而我,以及我的夥伴,願意付出多大的麻煩與代價,去避免上述情況發生?
根據 Johnson 的研究,超過 90% 的數位攻擊,發生在「遠端備份」跟「電子裝置」上。前者常見的有遠距盜取用戶密碼、手機密碼跟寄至 Email 的驗證碼,或駭進服務供應商;後者則是透過釣魚網站、Email、訊息或開啟來歷不明的應用程式,讓裝置直接被植入惡意程式。
講座上 Johnson 分享不少基本自保的方法,以下列舉最基本的:
防範惡意程式
- 使用正版軟體
- 定期更新作業系統跟 Apps
- 電腦裝設防毒軟體,手機可使用 Lookout 這個工具
防範釣魚網站
- 核實來信者身份
- 不要共用 USB
- 開啟附件時,先移動到 Google Drive 進行掃描,在雲端開啟,切勿直接下載
- 只透過正式途徑下載 Apps,例如 AppStore, Google Play Store
- 觀察網址,使用 HTTPS 的網站
密碼安全
- 使用至少 16 位以上密碼
- 不同帳戶切勿使用同一組密碼
- 使用密碼管理工具管理密碼,例如 1Password, KeepPass XC
密碼這邊,講者幫我們打破了一個小迷思。以往,我們以為多個符號組成的密碼,就比較安全,但在實務上,反而造成使用者難以記住。密碼安不安全,在於長度,越長的密碼,因為所需破解的組合多,越花時間,也因此越難。Johnson 給了一個頗為實用的小撇步:
選中文四個字,轉為英文拼音。
其他保護資料的方法,還包含:
- 使用雙重認證,但切記不要用容易被攔截的 SMS 或 Email 接收驗證碼;可使用 Google Authenticator 代為服務
- 使用端對端加密,例如加密 Email 服務(Protonmail, Thunderbird)、加密通訊軟體(Signal)、加密視訊會議(FaceTime, BlueJeans, Google Meet)
上述的每一個方法、每一道繁瑣的工,積累起來,都是在讓保護殼變得更厚實,就像早年那些媒體人,每多繞遠一條路,就是在築一道防護網,幫自己爭取多一點時間。
與時間賽跑
就在講座的隔天一早,手機傳來黎智英被捕的快訊,消息塞滿 Facebook 河道。一張來自《誌 hk. feature 》的照片蹦出,畫面上大批港警湧入香港壹傳媒大樓。該貼文寫道:
「《誌》收到《蘋果日報》的內部通知。勸上班中的員工即時折返。有《蘋果日報》員工在途中見到即時新聞,大批軍裝進入壹傳媒大樓,在途中折返。《蘋果日報》總編輯羅偉光向內部發出通知:『各位同事,請大家緊守崗位,今日所有新聞照常出街。公司已安排律師。謝謝大家。』」
回憶昨晚講座的主軸 ──「我們這個時代的自由課」,講者準備的素材、設定的實戰方向、張潔平身為媒體人的壓力,真實感瞬間爆表、完全合情合理。只是在台灣的我,不是直接的 TA,就算同樣追求自由,我們面臨的存亡感跟急迫性,還是有明顯的時差。
時差也許帶來抽象的距離感,但物理上的距離,一點也不遠,就在台灣隔壁而已。
我們從未想過這一兩年香港的天翻地覆,我也從未想過,幾年前還在爭論 Facebook 或 Google 等科技巨擘如何侵蝕我們的數位隱私,如今在一場談論隱私與網路足跡的場合,這些爭議暫時被擱置,因為,更大的侵犯,來自政府。
*想了解更多講者 Johnson 當晚的內容(包含簡報),歡迎來訊詢問,或洽 Matters 團隊。