- A+
基于资安理由,政府单位也陆续执行禁止採用中国品牌通讯产品,特别是手机与网路产品类别,此一相关议题也引发各种不同看法。手机或扩大至所有资通讯产品的发展不过是近百年的事,随着资通讯半导体日新月异的发展,优异性能虽然造就对人类不可或缺的便利性,但强大与危险是一体两面,水可载舟亦可覆舟,资通讯的力量如果遭有心个人、企业甚至政权滥用,注定是人类历史浩劫。
通讯产品涉及隐私与国安
由于手机或相关资通讯产品已深入你我的日常生活,不只隐私对话、影像甚至生物医学特徵如心跳(最新 Apple Watch 4 已有心电图功能),都可记录在设备里,如何管理做到资讯安全,已成为关于国家或公共安全的重要议题。
当一个议题涉及严重公共安全,造成公共危险时,无须先有损害发生才能禁止,例如我国刑法明定 173 条放火烧毁现供人使用之住宅或现有人所在之建筑物、矿坑、火车、电车或其他供水、陆、空公众运输之舟、车、航空机者,处无期徒刑或七年以上有期徒刑。无须等到火被证明造成对人或物的损害,放火就已足以禁止行为,国家主管机关当然有义务本着维护国家或公共安全,禁止有任何公共危险的设备装置进入国内。
那资讯安全的管理权则应是哪个单位呢?坊间流传国家通讯传播委员会(NCC)可管理手机硬体资讯安全设备,其实这是对硬体与电波完全陌生的误解。NCC 职责主要负责管理电波频谱使用,毕竟国家频谱是公共财,每个人任意使用频段发射电波只会互相干扰。简单来讲,NCC 的工作只是红绿灯或指挥交通的警察,并无能力确保任何一台资通讯设备是否有资讯安全,就跟红绿灯没法保证车子一定不会闯红灯撞死人,也没法保证驾驶有没有在车里杀人,连保证有没有超速都做不到,真正有能力控制车子的只有驾驶本身。
既然 NCC 无法保证资讯安全,有哪个机关可保证资通讯设备资讯绝对安全?答案是:一个都没有。不只中国台湾,全世界没有任何一个机构能保证某产品绝对资讯安全,就跟不会有机构发证书说某人绝对不会闯红灯、绝对不会杀人。资通讯设备常需要软体(不管是作业系统或 App)更新,今天没有问题不保证明天更新后也没有问题。
技术审查无法百分百确定安全
为什么从技术审查资通讯产品资讯安全不可能?主要原因有二。
第一,资通讯产品越做越复杂,早年英特尔推出第一个微处理器 4004 只有 2,300 颗电晶体,目前很多硕士生做数位设计的专题都远超过这个数目,但目前商业上 iPhone XS Max 使用的 A12 晶片高达 69 亿颗电晶体,要审查 69 亿颗电晶体及相关数以亿计的程式码作业系统、通讯协定程式码,前提还得厂商愿意交出原始码才行。即便如此,审查目前以数十亿为单元的程式码无异大海捞针。
第二,科技日新月异,许多骇客攻击手法每年甚至每月翻新。以近年国际很夯的 DRAM Row Hammer 骇客攻击事件,就是非常典型的新形态硬体攻击资讯桉例。 此例特别的地方在于骇客利用半导体微缩之后的物理特性来资讯攻击,十年前 DRAM 还没有进入 4x 奈米时并没有这攻击存在,但制程微缩后,由于 Row 跟 Row 之间的距离变近,某条 Row 频繁存取就会导致周边邻居 Row 资料遗失,新型骇客就是利用此方法扰乱作业系统的记忆体管理,进而取得作业系统的最高权限。
既然从技术观点,无论理论或实务审查设备资讯安全根本不可行,但 5G、AI 等新型应用越来越多,资通讯产品介入人类生活也从早期只有电脑扩散到手机、智慧手錶、眼镜及所有相关电子产品,是否人类对资讯安全防范已无能为力?笔者建议,不妨回到人类发展宪政的历史来检视这件事。
立宪原则或可成借镜
西方立宪的发展皆来自不相信有圣君存在,只有权力分立与制衡才能确保大众安全,越强大的政府越需要制衡与权力分立,同样也可应用在审查资讯设备装置。政府不妨从几点观察外国资通讯产品是否具有下列特性,综合审查来决定是否有危害公共安全的风险。
第一,外国资通品牌厂商本国与我国是否秉持对等善意交流?是否承认我国护照?是否公平对待我国人民与厂商在该国贸易?该品牌厂商是否有窃取商业祕密的前科?
第二,外国品牌本国权力分立如何?如苹果曾以保护用户隐私安全拒绝 FBI 解锁枪击嫌犯 iPhone 的要求,其他外国厂牌面对该国政府要求提供使用者资料时,是否有权利说不?
第三,如媒体在立宪发展扮演的第四权角色,外国资通品牌所在国媒体监督政府的能力如何?如上述桉件,苹果是否该牺牲用户资料来配合政府,在美国媒体引起广泛讨论,公开透明的媒体才能保证所有人言论自由不受干涉,例如我国 2018 年新闻自由排名亚洲第一,即便文组出身的管理学者或土木博士,都能自由发表对计算机架构软硬体分工的看法。只有透明公开的不断分立与监督,才能确保强大的资通讯能力真正造福公共利益,而不是沦为少数掌权者统治的工具。
因此从这些判断原则来看,就很容易理解与判断到底到底该信任什么样的品牌,特别这还是牵涉到个人隐私与国家机密资料的手机通讯与网路架构产品。