Tuesday, April 18, 2006

ISP交出客戶資料的爭議

My friend Ms S.C. Leung of PISA wrote this article for the April issue of RTHK's Media Digest magazine.

ISP交出客戶資料的爭議

  香港海關在二零零五年十一月提出全球首宗針對「BT」用戶的檢控,對網上侵犯版權活動迎頭痛擊。國際唱片業協會(IFPI)香港分會聯同一些本地唱片公司乘勢追擊,今年一月獲法院頒令,要求四間互聯網服務供應商交出廿二名涉嫌在互聯網上下載盜版音樂的人士的資料;三、四月間開始循民事途徑起訴涉嫌侵犯 版權的網民。不過,跟早前檢控「BT」一案時不同,業界內似乎沒有傳來喝采聲,部份人士甚至擔憂這會成了先例,使在打擊侵權活動的旗幟下,有更多的網民個人資料要被披露。

  專業資訊保安協會最近邀請了三名業界人士,就「ISP(Internet Service Providers 互聯網服務供應商)交出客戶記錄問題上的爭議」專題對話,分享他們的觀點。被邀嘉賓分別是:資深網絡服務從業員建明、香港互聯網協會會長莫乃光和專業資訊保安協會前主席梁兆昌。

判決的涵義

  在處理用戶涉嫌及網上侵權個案方面素有經驗的建明估計,因為法院的判決明顯降低索取有關資料的難度,未來提出這類資訊要求的密度將會增加。判 決雖然澄清了互聯網供應商在此情況下披露網民資料並無違反《個人資料及私隱條例》,但有關私隱和人權等重要的問題都沒有足夠的辯論去釐清。此外,莫乃光擔心法院在民事搜證時輕易地頒令披露個人資訊,會觸動香港法律制度的「無罪推定」(presumed innocence)的重要原則。他呼籲唱片業界提高他們收集資訊過程的透明度:收集些甚麼資訊、資訊的多寡、資訊的存放和處理、與誰分享這些資訊等。公眾有權知道他們會怎樣被監察,和他們的個人私隱的資料受到甚麼程度的保障。

技術錯誤導致不公平

  日誌記錄通常會包含日期及時間、IP(Internet Protocol)位址的資訊,還可以記錄特別活動(如開立新用戶帳號)和事件(如磁盤超載、登錄成功和失敗)。但是,記錄是有制約的,譬如,在監察電郵的活動時,可以記錄電郵來源地和目的地的IP位址、日期及時間、訊息所佔的容量等,但就不可以記錄電郵的內容等屬於個人私隱的資訊;此外,記錄還需要有妥 善的保存、使用和銷毀步驟;互聯網服務供應商還需要遵循電訊管理局的規管條例。

  因為IP位址多是用戶群的共用資源,所以要辨認某位正在上下載檔案的人士的身份,需要確切地知道時間和他的電腦當時使用的IP位址,再從日誌 記錄推敲用戶的身份。建明在協助調查時,就有過好幾次不愉快的經驗。他在檢索日誌時,竟然發現在所述時間內,控方所提供的IP位址根本未被使用!他懷疑控方的電腦時鐘不準確,沒有把電腦時鐘跟香港天文台時間伺服器同步,曾鍥而不捨地追問控方,但是卻不得要領。有時,雙方的電腦時鐘的偏差,大得令他懷疑控方 在獲得時間資訊上,犯了技術錯誤。

  原來,某些控方是詢問WinMX跟蹤伺服器來獲得IP位址,卻不知用戶也許已登出了一段時間而又沒有向跟蹤伺服器報告,得來的資訊的準確性是 非常有疑問了。他概嘆批出命令的法官不大可能瞭解這些技術錯誤,是會導致不公正和侵犯私隱的問題。另一個問題,是控方提供的涉嫌用戶登入的時間有時祇是一個點(例如上午11:25),而不是一個時段,令網絡管理人員不能確定目標是在該時間之前還是之後使用網絡的人。

  談到搜證者的責任時,他指出控方要回答幾個問題:
一.當監視涉嫌用戶時,控方的電腦時鐘有否跟任何標準的參考時間同步?有否核實電腦時鐘的準確性?
二.控方是透過詢問WinMX跟蹤器,還是透過直接與涉嫌用戶的連接獲得IP位址資訊?
三.控方可否提供涉嫌用戶連接上系統的時段的資訊,而不是一個點?

  至於互聯網服務供應商,也應該採取類似的措施,保證時鐘與天文台時鐘同步;核實電腦時鐘的準確性,最好是使用時間伺服器和客端軟體去自動追蹤時間偏差的和修正,使雙方都有信心。

不應提交有問題證據

  專業的從業員必須依照法律和道德規範,審慎和誠實地履行職務,不應提交有問題的證據。若互聯網服務供應商懷疑控方的電腦時鐘有嚴重偏差時,或 者在指定的時段內發現有超過一個用戶使用某IP位址,他們應該說:「我們無法肯定哪一個用戶要負責。」以免錯怪無辜。但是拒絕提供日誌記錄卻可被視作藐視法院,這真是一個兩難。

  當下有兩派說法,一派認為在索取者提供不充份資訊的情形下,供應商無法提供記錄。另一派聲稱這不是問題,因為可留待被告律師去質詢證據的基 礎,讓法院衡量證據的份量。筆者建議如果要提供任何證據,應在證據前面加註,作為證據完整不可分割的一部份,附註應該陳述控方所提供資訊的局限、蒐集證據的過程和所作的假定。若有疑問時,應該尋求法律意見。

展望事件的發展方向

  莫乃光認為要處理好兩個方面的公平問題,包括唱片業應該與互聯網服務供應商共同分擔對無辜一方所造成任何損害的責任和財政負擔。同樣,因為應 付唱片業大量索取資料而增加的成本也是個問題,要互聯網服務供應商或他們的用戶,承擔唱片業在為自己索償的民事訴訟中產生的費用,是否公平呢?

  與會者都樂於見到香港的網上盜版行為絕跡,更想見到打擊的行動能夠體現出審慎的調查和公正的審訊。既然二零零四年十月美國最高法院裁定互聯網供應商不須向唱片業商會提供用戶的資料,香港的供應商應該挺身而出,為客戶的私隱和自由權利提出上訴,釋除判決的疑慮。

  另一方面,法院亦應小心地處理案件,按個別案件的情況考慮,收緊授予傳票的標準,在保障唱片業的利益的同時,也保障每個人的權益。

梁兆昌
專業資訊保安協會前主席

0 Comments:

Post a Comment

<< Home

-->