正在閱讀
【薄荷薄荷】我們真的保有「數位隱私」嗎?密碼龐克作為一種社會運動——讓隱私成為弱者最後的武器

【薄荷薄荷】我們真的保有「數位隱私」嗎?密碼龐克作為一種社會運動——讓隱私成為弱者最後的武器

不知道你是否有這種感覺:雖然科技公司的廣告常常主打隱私保護,但在使用上其實沒什麼受到保護的感覺,甚至在使用不同應用程式的過程中常常有被竊聽的感覺。我們真的保有「數位隱私」嗎?我們真的可以放心依賴這些跨國企業嗎?本文將從1990年代為數位世界帶來了決定性改變的「密碼龐克」運動談起,探看在企業利益與個人隱私之間,國家安全與秘密通訊之間,公民個人可以仰仗的是企業、國家,還是有第三條路?

國中時我就讀國高中一貫的鄉下美術班,但這所學校的校刊非常跟得上時代,由高中學長姐編輯,有一期校刊的有獎徵答令我終生難忘。

記得那一期作者不知怎麼地花了很長的篇幅介紹「非對稱密碼學」,以淺顯易懂的方法講解RSA加密演算法,這是一種神奇的發明,透過各種數字超大的質數相乘來保證不會被其他人破解。

文章末尾向全校學生開了一個挑戰題,附上一段加了密的文字暗碼,只要解開題目,就可以在校園內找到獎品。國中生的我看到獎品便非常興奮,上課也不好好上了,甚至還學會了模數算數(modulo),最終在發刊第二天解開題目,但到了解答揭示的地點,獎品已經被拿走了。

這是我最早接觸到密碼龐克運動(CypherPunk)的回憶,後來職涯也沒走向理組。不過活到現在,我還是可以自豪的說,數學不會就是不會,但透過某些數學方法,我們甚至可以保證(某些秘密)全世界都解不開。

這段話打開了全新的社會關係,意味著我們終於可以公開展示秘密,但是只讓特定的人知道。密碼學讓數位隱私成為可能。

甚至可以誇張一點地說,加密工具是弱者最後的武器。無論是威權國家的獨立記者、流亡人士、還是支持自由的公民,這些工具歷經了好大一段歷史,成為人人「少數」可以完全掌握的工具,不用偷渡、違法買賣,就可以使用。

但宣傳加密演算法,在30年前的美國可是違法行為。不過我們暫且先將時間回到2024年。

這個月,Apple宣布推出更新一代的iPhone 16,薄荷薄荷專欄的責編傳來訊息討論說,Apple常常在廣告中主打隱私保護,但在使用上其實沒什麼受到保護的感覺,甚至在使用不同應用程式的過程中常常有被竊聽的感覺,我們應該如何看待隱私權呢?

確實Apple與Google在手機的隱私技術上厥功甚偉,包含收納各種機敏資料(註1)的安全晶片、無需牢記各種密碼的通行密鑰、只有使用自己的臉或指紋(生物特徵)才能登入的功能等。這些工具讓我們一般人可以免受無孔不入的有心人士攻擊;但是我們真的可以完全放心依賴這些跨國企業嗎?

這是一個複雜的問題,將「隱私」放在不同的時空背景會得出不同的結果。首先我們必須回到原始的問題,為什麼我們在使用電子產品時需要隱私?隱私是一種理所當然的「服務」嗎?

最近兩間大型國際企業的新聞令關注者譁然。臉書這個月同時於英國澳大利亞承認將使用者的貼文用於訓練其自家的開源AI模型LLAMA,這代表你我的文字在不知不覺中已經成為新一代人工智慧的餌食;另一則新聞則是大型科技公司甲骨文董事長公開聲稱自家開發的AI技術已準備好大規模監控技術,讓美國公民更加奉公守法。

兩則新聞都提到AI,更牽涉到數位隱私的概念。在資料流通越來越快的世代中,個人隱私的邊界更加模糊。在許多國家,數位隱私權被認為是原始隱私的延伸。譬如台灣的《憲法》第12條為「人民有秘密通訊之自由。」

或許你會問,國家是否應該「阻擋」企業,以便保護人民?但是從歷史的脈絡看來,民主國家很常扮演破壞秘密通訊的角色,譬如2013年被愛德華.史諾登公開的「稜鏡計畫」(PRISM),就是由美國國家安全局執行的大規模網路監聽計畫。更不用提威權政府所創造的監控體系,即使不是在網路時代,監控技術已經無孔不入,譬如台灣人現在可以申請「監控檔案當事人閱覽計畫」,閱讀戒嚴時期情治機關替自己寫下的「日記」。

因此,在企業利益與個人隱私之間,國家安全與秘密通訊之間,公民個人可以仰仗的是企業或者國家,還是有第三條路?

這便是1990年代密碼龐克社群關心的議題。他們的行動對整體數位世界的走向,帶來決定性的改變。

圖為連線雜誌(Wired)1993年5-6月號封面。(© Wired)

密碼龐克宣言(A Cypherpunk’s Manifesto)於1993年公開,內文提到:

隱私對於電子時代的開放社會是必要的。我們不能指望政府、公司或其他大型的、不露面的組織授予我們隱私。如果我們期望擁有自己的隱私,我們必須自己保護自己的隱私。密碼龐克們編寫程式碼。我們知道必須有人寫軟體來捍衛隱私,而且……就是我們要把它寫出來。

連載至今,以數位議題為主的《連線雜誌》(Wired)於1993年1月發行,而同年2月就有一篇名為〈加密叛客〉(Crypto Rebels)的長文發表,其鉅細靡遺的描寫當時「非對稱加密演算法」如何被視為與軍火相等的機敏科技,而被美國政府列為禁出口名單,密碼龐克社群又是如何與國家纏鬥,甚至進行訴訟,最後讓加密工具成為由全球自由公民掌握的工具,而非美國政府專屬的科技。

該文的副標寫道:「與全球各地的聯邦調查局(FBI)、國家安全局(NSA)和易速傳真(Equifax,美國一大信貸機構)對抗的是一股不斷壯大的社會運動,參與者包括密碼龐克、自由公民主義者和身懷百萬巨款的駭客。攸關的問題是:隱私權在21世紀是否能夠存在。」

過了30年,很顯然的密碼龐克社群成功了。雖然網際網路(WWW)已於1990年誕生,但是在那個年代,加密演算法仍然名列軍火進出口管制清單。若「非對稱加密演算法」至今仍然被掌控在政府手上,只有特許企業可以使用難以被破解的密文傳遞資訊,一般人只能使用較短、較容易被破解的簡短密碼,那麼從一開始,整個世界就是一個被「稜鏡計畫」所包圍的計畫,所有一般網路使用者所使用的密文都可以被監看,數位空間從一開始就是一個全景監獄。而PGP演算法、RSA演算法乃至於更晚近的橢圓加密演算法與抗量子演算法被帶入俗世之後,一般使用者掌握了強悍的加密工具,隱私成為便宜的「預設」文化。這樣的文化在後來的30年內,帶來了自發湧現的網路行動,如阿拉伯之春、318學運、反送中運動等。公民需要秘密結社與隱私自主的精神,才可以對抗威權。

時間回到1991年,發明「非常良好的隱私」(Pretty Good Privacy, PGP,註2)的Phil Zimmermann一口氣將PGP的原始碼出版為書籍,透過美國憲法修正案保障的言論與出版自由,將內容出版到海外,繞過了軍火出口的禁運清單。任何擁有PGP書籍的人都可以將內文還原為電腦程式,進而替自己的電子郵件、網頁內容加密,抑或是電子簽章,讓第三方人士無法監看內容。這簡直是密碼龐克界的普羅米修斯,將管制的天火送給自由公民。

任何一個反抗權威、反抗機構的人,都應該要理解非對稱密碼的反抗美學。就如同甫過世的人類學家詹姆斯.斯科特(James Scott)在《弱者的武器》所描寫,進行最低程度反抗的農民:「農民利用心照不宣的理解和非正式的網絡,以低姿態的反抗技術進行自衛性的消耗戰,用堅定強韌的努力對抗無法抗拒的不平等,以避免公開反抗的集體風險。」

密碼龐克社群的早期貢獻者催生了電子前哨基金會(Electronic Frontier Foundation, EFF),譬如發表「網路空間獨立宣言」的約翰.佩里.巴洛(John Perry Barlow)與維護密碼龐克信件清單的約翰.吉爾摩(John Gilmore)。

EFF最出名的一役之一,便是協助丹尼爾.伯恩斯坦(Daniel J. Bernstein)打贏了加密演算法進出口禁令,此後所有人都可以自由在網路上「出口」加密軟體,讓數位隱私成為21世紀地球人的標準配備。 EFF的歷史頁面寫道:「數年前,政府將加密技術——一種將訊息加密,使其只能被預定接收者理解的方法——列入美國軍火清單,作為一種需為國家安全目的加以管制的武器,加密技術與炸彈和火焰噴射器並列。出口軍火清單上的物品(包括具備加密功能的軟體)的公司和個人,必須事先獲得國務院的批准。……法院首次裁定,書面軟體原始碼屬於受第一修正案保護的言論。法院進一步裁定,加密技術的出口管制法律違反了伯恩斯坦的第一修正案權利,因為它禁止了他在憲法上受到保護的言論。結果政府改變了出口規定。現在任何人都有權在網路上發布加密軟體,無需事先獲得美國政府的許可。」

訊號基金會(Signal Foundation)致力於透過開源隱私技術保護言論自由,並實現安全的全球通訊。(圖片取自基金會官網,© Signal Foundation)

再次回到2020年代,科技的發展很大程度沿著密碼龐克社群的路徑繼續演化。關於密碼與隱私的關聯性,約翰.吉爾摩認為應該「用物理學和數學來保證,而不是用法律來保證,我們可以給自己真正的私人通訊隱私。」

電子前哨基金會於2023年將「通訊隱私大獎」(EFF Award for Communications Privacy)頒發給訊號基金會(Signal Foundation),Signal以非盈利之姿,推出了點對點通訊的同名APP,加速其他競品如Whatsapp等也提供了點對點通訊的功能,連企業平台都無法監控使用者的內容,加速了現代數位隱私權的成熟。

更不用說1990年代密碼龐克社群探討的電子貨幣已經實作出來,就是如今已為人熟知的web3加密貨幣,如比特幣、以太坊、門羅幣等,這些都是建構在非對稱加密演算法之上。

如今遇到隱私議題,懷抱自由主義的公民可以在企業與國家之外,自主掌握第三種隱私武器,那就是各種加密應用程式。當然時代的進步往往是在政府、企業與公民社群之間的合縱連橫,不過擁有能完全掌握的工具,才有談判的可能。這是1990年代密碼龐克運動帶給我們的啟發。


註1 機敏資料(Sensitive Data)指的是包含個人隱私、機構機密或其他需高度保護的資訊,若外洩或未經授權使用,可能會對個人、公司或機構造成重大損害。常見的機敏資料包括:

1. 個人身份資訊(PII):如姓名、身分證號碼、住址、出生日期、電話號碼等。

2. 財務資訊:如銀行帳號、信用卡號、交易記錄等。

3. 健康資訊:如醫療記錄、病歷、保險資訊等。

4. 商業機密:如公司內部的財務報告、產品設計、技術方案等。

5. 法律文件:如合約、訴訟相關資料、機密協議等。

這些資料的保護通常受到法律或規範的管控,確保不會遭到未經授權的存取、洩露或濫用。

註2 PGP(Pretty Good Privacy)加密技術是一種用來保護電子郵件和文件安全的技術。它使用兩把密鑰:公鑰和私鑰。公鑰是公開的,任何人都可以用它來加密要給你的訊息;而私鑰由自己保管,只有用它才能解密別人給你的加密訊息。PGP可以確保內容隱私和安全,讓內容加密與數位簽章成為可能,但三十年來由於使用者體驗難度高,普及率並不高。

黃豆泥( 24篇 )

分散自治與數位主權探求者,白天於公部門服務,晚上為FAB DAO與Volume DAO成員,曾以《百岳計畫》(Project %)參與2022年林茲電子藝術節,並規劃北師美術館《Kng DAO》(2022)、台北國際藝術村《鏈上駐村》(2022, 2023)。嚮往制度設計與新興科技的撞擊,正在尋找有別於電馭極權與財閥亂鬥的第三條路。

查看評論 (0)

Leave a Reply

Your email address will not be published.