6 月 6 日英國衛報 爆料了一份被列為極機密的法院文件,該文件命令電信業者 Verizon 必須隨時將用戶通聯紀錄交給國家安全局 (National Security Agency,NSA)。 隔沒多久,一份以 「PRISM / US-984XN Overview」 為標題的 41 頁簡報當中的三頁,又被 華盛頓郵報 跟 英國衛報 先後爆料出來。

這是一份情治人員教育訓練的報告,完成於今年四月份。

簡報中指出:從 2007 年起,微軟、 Yahoo!、 Google、臉書、 PalTalk、 YouTube、 Skype、 AOL、蘋果陸續加入一個 名為 PRISM 的機密監聽計畫允許國安局直接取得上述公司用戶的私密通訊資料

欣見臺灣媒體終於開始報導資訊人權新聞;這裡補上英文報導連結及更多摘要,以及我根據技術難易度和搜尋結果所做的一些推測。

Verizon 事件當中,受到影響的主要是 美國國內 的電信用戶,以及 他們電話通聯的對象。國安局蒐集的情資,並不包含通話內容,但包含交談雙方 (或多方) 的電話號碼、手機識別碼 IMSA、 通話時間、 通訊路徑 (例如中間經過哪些機房、 最後從哪個機地臺出去等等) ……。

聯合報的摘要報導相當精確。文中的 William Binney 跟 Thomas Drake 應該與此次爆料無關,而是因為早就警告大眾卻一直被主流媒體忽略,所以在此次爆料之後接受訪問。 (可能的參考資料來源)

  • 國安局靠 PRISM 計畫,直接從網路、電信供應商的伺服器中拿取使用者的一切資料

至於 PRISM 計畫,聯合報的報導 也大致精確,以下的補充大半來自 衛報的報導。 這個計畫監聽的對象主要是 非美國人 以及他們的線上通訊對象 (那就可能包含美國人了)。

簡報指出:國安局蒐集的情資包含 e-mail、 聊天即時內容 (含視訊及音訊)、 影片、 相片、 存檔資料、 線上社交網站細節、 …… 等等網路活動。

這跟 Verizon 事件很不一樣。技術上,Verizon 可以每隔一段時間將 (一般伺服器都會正常儲存的) 記錄檔 (log file) 繳交資料給國安局;但 PRISM 計畫若真能取得即時內容,那勢必要有各公司更積極的技術配合,協助甚或直接讓國安局在公司內部的伺服器安插側錄軟體。

事實上簡報中也聲稱 「可以直接從 (各家公司的) 伺服器上搜集資料」。 但上述公司當中,被衛報問到的,都全盤否認。

  • PRISM 及其法律基礎都備受爭議!歐盟:將危害美國雲端服務供應商的外國客戶隱私

FBI 在 PRISM 計畫當中扮演穿針引線的角色。

PRISM 計畫的法律基礎,是 Foreign Intelligence Surveillance Act 法案,去年底在爭議中 國會通過讓它延續五年的效期。 它允許政府監聽外國組織;政府如果寄出 國安信件 給企業/組織/個人。要求調閱侵犯客戶/成員/親友的個資,收信人甚至不能告知隱私被侵犯的人 -- 這跟 EFF 「當政府來敲門」 報告 當中的第二個評分項目 「告知用戶權益被侵犯」 恰好衝突。

即使是完全依照這個法案行事,就已經極具爭議。參議員 Christopher Coons 指出:這些黑箱作業的監聽行動,讓公民無從得知政府是否真的遵循法令在執行公務。 歐盟議會的報告警告:美國這項「間諜法」將危害到美國雲端服務供應商的外國客戶的隱私。也請見 EFF 的分析跟 爭議法案 FISA 白話問答集

但這份被爆料的機密簡報,卻還不滿意地指出這個法案綁手綁腳 -- 「它對那些明明不應受到保護的人 (意指非美國公民) 提供隱私保護」、 「通訊雙方都是不在美國境內的外國人,但只因為我們要從美國國內的線路監聽通訊內容,就非得獲得法院授權不可」諸如此類的抱怨。

簡報指出:PRISM 計畫就是為了避開 FISA (不夠邪惡) 的這些「缺失」而產生的。

  • 軍事機構得以輕易透過民營企業取得一般公民資料,十足驚人

公民人權組織 ACLU 指出:國安局是軍事機構,它竟可以如此長驅直入民營企業取得一般公民的個資,十足令人驚嚇。

最近我國的智財、 電信、 國安單位都想要/已經把黑手伸進網路,小格固定讀者大概知道為什麼我要報這件事。今天先摘這樣;後續有需要再繼續補充在這帖。或請讀者幫忙摘要您看到的重要相關片段,我再貼入正文,因為之後的文章要用到。

貴哥(洪朝貴)在大學裡擔任資訊管理系副教授,在他眼裡,「網路」就是顛覆恐龍世界的廿一世紀最有趣、不必開發的現成玩具。現在,他的興趣是善用網路從事社會運動。想看更多,歡迎到他的個人部落格 資訊人權貴ㄓ疑

(圖片來源:Orange_Beard, CC Licensed)