專欄 | 報導者時間:國安法殺到、Telegram和連登被監控滲透,香港網絡自由還能撐多久?-牆國與水之間的資安戰爭(文/劉致昕 攝影/陳朗熹)
5月21日晚間,中國人民大會將跳過香港立法會、制定港版《國安法》的新聞曝光,一小時內,VPN一躍成爲香港地區搜尋關鍵詞榜首。24小時內,香港人下載量最高的App,前10名有7個都是用來藏起自身位置的VPN程序。攝影/陳朗熹
5月21日晚間,中國人民大會將跳過香港立法會、制定港版《國安法》的新聞曝光,一小時內,VPN一躍成爲香港地區搜尋關鍵詞榜首。24小時內,香港人下載量最高的App,前10名有7個都是用來藏起自身位置的VPN程序。
凜冬將至,網絡的監控與審查被視爲第一道冷鋒,這對以網絡爲根基、無大臺的反送中運動,是直取核心。“一年來我們最大的體悟是,民主運動的前提是信息安全,”一名香港運動者如是說。《報導者》採訪了運動者、學者、記者、非營利組織、立法會議員等,看見因中國政府介入而緊收和惡化的香港網絡自由,和香港人由下而上發起的數據守護戰。
2019年6月因爲參與反送中游行被捕,還在唸大學的Lawrence(化名)遭48小時的關押,被釋放後的第一件事,是從網絡上“撤退”。
他刪除社羣媒體上所有的貼文、凍結賬號,並通知所有對話羣組把他踢除,他說這是手機被警察取走之後的標準程序,是爲防止警察透過他的人脈網絡,滲透進自己的朋友圈,或甚至用對話紀錄將朋友“定罪”。
“(被捕之後)我失去了所有的社會連結,3、4個月不使用社羣媒體,”Lawrence稱,在警局裏,香港公民雖能依法拒絕提供手機密碼,但警察常以恐嚇威脅,或是強迫面部、指紋解鎖,甚至用破解軟件等方式,強行進入尚未定罪的民衆手機,蒐集數據,並摸清每個被捕者參與的對話羣組、訊息來源,“警察就是這樣在Telegram佈下監控網的,”Lawrence形容。
一直到一年之後,他纔開始慢慢在網絡上浮出,重新走上街頭,現在的他不再用自己的真名上網,手機號碼也是不需登記實名的預付卡,反送中運動一週年後,他還多了一個新身分:網絡安全顧問。他將自己的經歷發在Telegram裏傳播,他說這是提供港人“一個保持安全的機會”。
民間資安需求暴增,網絡互動面貌丕變
“現在大家都在想辦法保護自己,”香港立法會議員、互聯網協會創會主席莫乃光接受《報導者》訪問時說,過去一年來,香港民間對於網絡自由消失的憂慮逐漸升高,非營利組織、學校、小區、新聞記者,紛紛提出信息安全培訓的需求,信息背景的專家學者,也開始提供各種義務課程和互助服務,Lawrence只是熱潮中的一員。香港中文大學新聞傳播學院助理教授徐洛文也說,他的學生,現在連加入私密的對話羣組都要考慮再三,“每個人的社交網站頭貼都換成黑的,名字也都是假的,我有時都不知道誰是誰了,”徐洛文形容。
反送中一週年之際,如Lawrence般把實名的自己從網絡上撤退,從公開的社羣平臺、論壇,轉往私密的小羣組,甚至非網絡的溝通方式,開始成爲流行。“過去我們很容易跟陌生人一起合作,搞運動,現在沒辦法了,都必須是認識的,才能一起做事,”一名參與抗爭的學生告訴我們。
“就算是在Telegram上,大型的頻道不再是大家討論的地方,大家各自帶去不同的小組討論,然後再把結果帶回來。反正就是做了心理準備,任何大一點的頻道都有警察在監控就對了,”另一名運動者說,他們也爲“斷網”做準備,備好電臺或其他不仰賴靠網絡的溝通工具。還有人成立事實查覈頻道,有人提供資安建議,有人擔任第三方認證角色,替需要“義載”的運動者跟志工司機媒合。
當去中心化的網絡被有心人滲透
以無大臺、去中心化網絡通訊而持續至今的香港抗爭,在一年後風景已不同。過去作爲人們討論中心的香港匿名論壇“連登討論區(LIHKG)”,也被使用者發現有操作風向、散佈假新聞的有心人介入,在去年運動一開始,即有大量新使用者註冊,試圖影響平臺風向,讓連登祭出新規,替新使用者設下發文限制。即使如此,有心人仍能以買賬號、網軍推文等方式,在平臺上干擾、帶領政治討論。“(今年)5月27日的遊行前一晚,就有一些文章在相近的時間出現,說上街無用啊、該放棄了啊的論調,但現在大家變聰明瞭,連看到蔡英文要放棄香港的假訊息,都懂得去找原文,那則假訊息一、兩個小時就沒人理了,”一名來自香港的大學生說。
港人使用網絡服務的種種轉變,都與政府的舉措有關。5月底,中國人大決議制定港版《國安法》草案(注:《全國人民代表大會關於建立健全香港特別行政區維護國家安全的法律制度和執行機制的決定》,又稱港版《國安法》草案,將於8月左右推出法案細節),除了被視作一國兩制的終結,也被認爲是香港網絡自由消失的號角。
“你要怎麼把香港青年變成愛國愛黨的小粉紅?除了教育,就是從關閉自由網絡開始,”莫乃光預測。但香港的電信服務和網絡服務高度國際化,不像中國只有中國籍的電信服務商,透過過濾以監控網絡信息的網絡長城,短期內無法在香港實現。
要在沒有城牆的地方控制網絡,面對的又是以Be Water爲特色的香港羣衆運動,過去一年,港府與中國政府祭出各種威嚇、監控與審查手段,展開一場牆與水之間的戰爭。
震懾:檯面下起底、檯面上禁制令齊發,掀起港版白色恐怖
香港網絡自由的危機,從震懾戰開始,最直接的手法是“網絡起底”。不論是反對港府或是支持港府的兩方,在過去一年,皆大量對“敵對陣營”起底,透過新聞畫面、直播、或是街頭的親手拍攝,將香港警察或是抗爭民衆的照片與個資公佈,讓當事者甚至家人感到害怕而不能行事。
根據港府的資料,在去年反送中運動開始的4個月,就收到約1,500件與起底相關、關於隱私侵犯的申訴,其中有40%的申訴與警察人員和其家人有關。爲保護港警權利,去年10月25日,香港律政司及警務處處長向高等法院申請的臨時禁制令中,包括一項對警員起底行爲的禁止,並要求撤下網上所有透露警察及其家人隱私的訊息。至年底,法庭修訂禁制令,將保護範圍擴展到特別任務警察。
同時,被支持政府方起底的抗爭民衆,隱私權卻顯然不是港府在乎的事,他們被起底的數據不但不在禁制令的範圍內,還面臨成爲中國政府黑名單的風險──網絡上幾個超過10萬人的羣組、頻道,要羣衆將抗爭者的資料和照片傳上中國國家安全機關舉報平臺(12339.gov.cn),舉報爲威脅國家安全的罪犯。爭議性更大的是,這些羣組中流傳的起底照片,有的在事後被證明來自警方取得的抗爭錄像、對記者拍攝的存證照片等。
震懾的手法,還透過港府申請的禁制令,大規模的對所有香港民衆襲來。
港府在去年10月底向高等法院提出的禁制令,包括一項禁止任何人於網上(包括連登及Telegram)發佈或轉發任何促進、鼓勵或煽動使用或威脅使用暴力言論的要求。
對此,香港互聯網協會透過羣衆募資在11月提出複覈審理,希望能擋下形同言論審查的禁制令,但高等法院雖然要求文字調整,卻沒有撤回禁制令。發起司法複覈的香港互聯網協會主席鄭斌彬對《報導者》表示,禁制令對網絡平臺業者、對話羣組的管理者刑責描述模糊,不只影響連登及Telegram,更廣泛的是對網絡服務供貨商、論壇管理者和一般民衆的心理恐嚇,讓大家心心念念着自己“有機會”因平臺上的言論而招致刑責,他以完全審查的“封網”前兆形容之。
禁制令發佈至今,民間已經有不少出現因爲分享遊行心得而被抓,或是開設Telegram頻道而引來警察上門。5月,區議員岑敖暉也收到警方警告,要他刪去Facebook貼文,否則就是煽動暴力。
“他不一定實質上可以提告,但他要你恐懼、自我審查,希望你會自己害怕,自問『我真的要說這個嗎?』”香港網絡安全倡議者鄺頌晴說,這如同港版的白色恐怖,讓與示威相關的言論從網絡上消失。
一位熟悉香港信息安全法律的相關人員告訴我們,逮捕民衆除了有威嚇效果之外,關鍵是警方能以蒐證爲名,藉機沒收被捕者的手機,“我看到的時候數字是3,000(支手機),現在一定更多。”這些被沒收的手機,警方再以第三方技術破解讀取,或是發出搜查令,讓他們“有權”搜查手機內容,展開上述的資料蒐集跟滲透。
香港衆志祕書長黃之鋒是其中一例,在他去年8月底因包圍警察總部被捕,之後手機被扣留在警方總部,而後警方向法庭申請對警方總部辦公室的搜查令,以此“合法”破解存放在總部內的黃之鋒手機,作爲後來向法庭提告的物證。手機的主人黃之鋒,是在法庭上看見被舉證個人訊息才恍然大悟。
禁制令外,港警也向法庭申請搜查令,前往Facebook香港辦公室,要求存取香港衆志成員周庭的Facebook粉絲專頁的追蹤者數據、IP地址及帳戶活動紀錄等。即使因資料由美國公司持有,Facebook以美國法律拒絕警方索取資料的要求,但已成功造成民衆恐慌,紛紛對周庭退贊,日減數千,港警又下一城。
強攻:釣魚、大炮與黑客,直攻“無大臺”的弱點
震懾之外,是強攻。“其實我們被當作目標也不是什麼奇怪的事。”還在大學唸書的Steven,在Telegram上收過幾次不明連結──關於“黑警”的數據,或是其他與香港示威相關的網址──他點過幾次,後來才請資安人員查看,原來是釣魚連結,點下之後自動安裝病毒,讓發件人得以遠程監控、讀取、甚至操作Steven的手機。他也稱自己用Zoom遠程上課,用學校信箱登入使用,但隨即就收到有不明人士試圖登入信箱的通知。
“釣魚郵件一直都有,(附檔)表面上看起來是一份文件,但就是木馬程序,按下去之後就開始安裝了,”由科技界人員組成的倡議組織《前線科技人員》5年來提供香港民間團體信息科技相關的訊息與訓練,收到媒體、運動分子、議員等求助,他們接受《報導者》專訪時表示,釣魚郵件的成效,端看用戶是否在網絡上透露太多信息,假設在Telegram上聊天時說了太多關於自己的事,包括住址、職業、興趣、喜好、最近的活動等,這些很容易成爲有心人設計釣魚郵件的依據,僞裝成當事人願意點開的內容。通常來說,發出釣魚郵件、植入病毒,是爲了解目標內部運作、進一步掌握動態,是有目的性的攻擊。
用騙的之外,也有更直接的網絡攻擊,例如來自中國的“大炮”DDoS攻擊。連登是過去一年最主要的目標,美國AT&T Alien實驗室的安全研究員克里斯.多曼(Chris Doman)在接受《美國之音》(Voice of America)採訪時解釋,北京發動“大炮”攻擊,是要徹底擊垮連登討論區,癱瘓民衆分享訊息、協調、組織抗議活動的信息中心。
阻斷信息的攻擊也包括對意見領袖、分衆媒體、私人羣組。在4月,香港中文大學的電臺、學生會、社會科學學會社交媒體賬號接連被駭,多次發現有不明他人試圖登入賬號,大量刪除半年來針對反送中運動的相關報導貼文。在中大校園電臺被駭的事件中,還發現一筆來自中國廣東省桂州鎮的登入紀錄。Telegram頻道也是攻擊目標,從頻道管理者被捕,到直接封鎖頻道,都是香港現在進行式,採訪期間,記者所在的一個Telegram頻道,就收到被封鎖的通知。
威嚇、駭入、癱瘓、封鎖,這些手段在仍自由的香港網域中至今仍比不上防火長城的效果,人們Be Water的精神,如今發揮在更零散的羣組,或回到真實的人際關係中聯絡。只是,對於開放的、去中心化的運動來說,“被滲透”,成了面對極權政府時的弱點。“對方知道我們是這樣聯絡的,這就是無大臺之下的弱點,”Lawrence說,支持港府者、建制派或是中國網軍,以假的粉絲頁、假的社交賬號出現在各大網絡平臺中,佯裝成抗爭者加入討論。Steven傳給記者兩張疑似爲共青團成員所在的Telegram頻道截圖,裏頭他們討論着如何以激進的方式,引起抗爭者與泛民陣營的分裂,號召羣組成員扮演“熱血公民”鼓吹激進的抗爭。“總之擋不住、刪不完,就發假新聞吧,”一名《前線科技人員》的志工如此評論背後的有心人。
監控隱私:“把中國手法套用在香港,幷包裝得很漂亮”
無論是什麼樣的手段,圍繞着網絡進行的對抗,成功與失敗的關鍵最終與隱私相關。從路上的監視鏡頭、公共Wi-Fi到社交賬號的登入資料,這些屬於每個人的數據和隱私,如果成爲政府手中的資源,則前文所述的各種攻擊手段,都將大大提升“效能”。例如,港府衛生單位爲防止傾倒垃圾而設的300支監視鏡頭,若作爲警方爲抗爭者建文件的影像,從此影像的蒐集便不必再仰賴網民在網絡上的起底行動。又例如警方若能取得臉部辨識技術,實時地透過智慧燈柱,辨認街上的行人身分,就能做到實體空間的監控。或是港人在各種網絡應用上留下的數據,如果被移轉至中國作爲建檔,未來就不必仰賴民衆上國家平臺舉報了。
以上所述,是已經發生,或是港府有能力做到的事。根據莫乃光的問政紀錄,他發現警方在街頭抗爭的日子,會向衛生單位提出影像紀錄的存取要求。而《彭博商業週刊》(Bloomberg Businessweek)的報導也發現,香港政府已購買使用澳洲企業iOmniscient臉部辨識功能至少3年,港警藉由操作軟件,可自動掃描影片,將拍攝到的人臉與警方數據庫配對。而港人數據移轉至中國使用,根據香港政府在移交中國管轄前訂下、全亞洲第一部《個人資料(私隱)條例》的33條,禁止將香港公民個人資料移至香港以外地方,除非獲資料當事人書面同意、或者該地方與香港有相同的隱私保護,只是33條至今沒有啓用,香港人在數據隱私上確保一國兩制的機會,至今仍未實現。
“這是把中國的手法套用在香港,幷包裝得很漂亮,”鄺頌晴批評,從管理車流、禁倒垃圾到智慧燈柱的實驗等,都因爲港人與政府間失去信任,而港府使用大衆數據的方式又不透明公開,於是引來抗爭民衆的懷疑。去年引起軒然大波的智慧燈柱,今年在剛開完的公聽會上宣佈,不再安裝視像鏡頭,改以熱偵測爲主,但又因熱偵測仍具有監控人身行動功能,在美國已有被禁用紀錄,而依然引起民衆不滿。
科技業出身的莫乃光,是最常向港府要求提出數據使用紀錄的立法會議員。他無奈表示,不管是實體世界還是網上,港府面對他的提問,大都忽略或是以「沒有紀錄」回覆,「不可能沒有record,香港是有多大?」他氣憤地表示,香港雖然在移交前,由英國人主導留下亞洲第一部《個人資料(私隱)條例》,但至今未更新,沒有法律規範政府如何使用數據,更沒有法律要求政府留下紀錄、透明公開。加上一國兩制之下非民主的治理,即使他身爲立法會議員,也無法監督政府使用數據方式;如今數據二字又高度政治化,雖然香港民間推動政府開放資料已近6年,仍處處碰壁。
“我們的政府不會想要開放透明來取得信任,他們的老闆不是我們,他們(給人民)的答案是更多控制,以取得中央的信任,”莫乃光嘆道,從數據開始討回人民的權利,在《國安法》的頒佈下,是難上加難,但從數據開始守住人民自由,卻也是他們利用既有法制,必須展開的抵抗。多年來推動個人隱私保護和數據自由的香港中文大學助理教授徐洛文也同意,即使港府加快油門,從放出網絡實名制、假新聞法的風聲到確立《國安法》,來威脅香港的網絡自由,他們也必須以現下仍有的公民權利,來守住每個人的數據自主、保護隱私。
《國安法》殺到,水能否破牆?
這樣的防守,不只是對公部門的數據蒐集,對私人企業也相同。
“你要很小心,你給了多少數據給Twitter、Facebook,你的小細節被政府知道,你會有麻煩的,”鄺頌晴說,一年過去港人最大的體悟是“民主運動的前提,信息安全是必須的”,而守住每個人的隱私和數據,正是守住安全的第一步。畢竟一國兩制若因《國安法》的頒佈告終,香港若也適用中國《網絡安全法》的原則,未來,政府以國安爲由便能取用境內所有使用者在各家專用網平臺上的數據。
根據Google統計至2019年上半年,與Facebook統計至2019年下半年的公開資料,港府對兩家平臺業者索取用戶數據的申請次數,皆創下歷史新高,伸手掌控數據的心已迫不及待。
《國安法》細則未明,但經過一年的混戰,作爲倡議網絡安全的第一線,鄺頌晴認爲,牆國與水的對抗因《國安法》的到來進入新的階段,“即使是本來親中的人,他們現在會想,自己不能再用Netflix、Facebook、WhatsApp,是要用微信了?!中國這一步是把這些潛在的情緒都推了出來。”作爲反政府、反親中的一方,她對香港維權運動的持續並不悲觀。
這些方法是否徒勞,受訪的香港人沒時間往這思考──他們持續爲保有香港的隱私和自由、不失去自救的能力而努力着。
※本報導爲《報導者》與自由亞洲電臺(RFA)中文部共同製作。
