FCC推出新用戶資訊法　專家認為恐將損害網路安全／楊鎵民編譯

FCC推出新用戶資訊法　專家認為恐將損害網路安全
Giuseppe Macri著／楊鎵民譯（註一）

 

　　今年三月，美國聯邦通訊傳播委員會（Federal Communications Commission）公布新用戶資訊法，新法內容不利於網路服務供應商取得用戶個資，以致影響營運，因此遭到供應商強烈反彈。但另一方面，對於供應商之間用戶資訊共享能夠減輕網路攻擊的威脅，勢必受到新法的限制而可能產生事倍功半的反效果。

　
　　相較於過去網路服務供應商如康卡斯特（Comcast）、威訊（Verizon），直接擷取用戶資料而未經告知，聯邦通訊傳播委員會在年初公布新法草案綱要，規範網路服務供應商必須取得用戶允許，才能夠紀錄用戶個人資料。

　
　　新法整體目的在於防止網路服務供應商在未告知、以及沒有經過用戶的允許，不擇手段的收集、甚至貨幣化用戶的個人資料。但另一方面，規範衍生的副作用是妨礙供應商在數據共享上最常投入的行動─防治網路威脅。

　
　　網路服務供應商彼此會分享被惡意軟體感染的電腦黑名單，以及具有網路犯罪行為的伺服器IP位址，以作為預先避免殭屍網路攻擊的方式。美國喬治城大學計算機科學研究教授艾瑞克‧伯格指出：「因此掌握那些來自羅馬尼亞、俄羅斯、烏克蘭或其他地區的惡意IP位址，使你可以預先防範網路攻擊。就如同你把殭屍的頭砍斷，使他無法接受腦波指示來做壞事，因而維持在休眠的狀態。」

　
　　在喬治城大學，由伯格教授領導的軟體工程研究中心，最近提出針對聯邦通訊傳播委員會與新法的評論。伯格指出，按照聯邦通訊傳播委員會的議擬規範公告（Notice of Proposed Rulemaking），其字面含意顯示：「這個IP位址的資料，由於涉及用戶之間的傳遞內容，因此受到我們對客戶專屬網路資訊（Customer Proprietary Network Information）的規範，因此網路服務供應商不能分享這個IP位址給任何人。」伯格戲稱就像是「把嬰兒連同洗澡水一起倒掉」（意指好的、壞的通通捨棄）。

　
　　聯邦通訊傳播委員會的新法是建立在三十年前的舊法基礎之上，後者被研擬來保護客戶專屬網絡資料，免於受到電話供應商的利用。依此，聯邦通訊傳播委員會電信固網競爭局（Wireline Competition Bureau）主任馬修‧德爾尼祿，他在今年三月解釋：「通俗地說，基於用戶與供應商的關係，供應商擁有你的資料。」（註二） 在今年五月國會開會之前，聯邦通訊傳播委員會主席湯姆‧惠勒也詳細說明新法用意：「當我打電話訂購商品，然後收到來自哈馬赫爾‧施萊默（Hammacher Schlemmer，主要生產創意產品）的郵件清單時，這是我與哈馬赫爾‧施萊默的關係。（註三）」惠勒指出：「在這層交易關係的過程中，並沒有提取我個資的必要性」。

　
　　新法也可能阻礙研究人員向網路服務供應商取得資料，以修復網絡問題，或者開發新的策略來增強網路安全。因此，伯格預期聯邦通訊傳播委員會將修正新法內容，而他也預測供應商會利用新法的缺陷，以及嘗試說服新法的提議者，來進一步延緩法規制訂過程。

　
　　伯格指出：「如果我們給予威訊維護網路安全的免責權，那他們會不餘遺力的維護網路安全。」他接著說：「但同時，會有民眾宣稱我們不能給予免責權，因為威訊會說他們正在研究有關你的購物習慣，但實際上是要向你兜售商品。」

　
　　根據伯格說法，相關爭辯又將延長懸而未決的法規制定過程，這也將導致現有新法內容隨著時間的推移而「過時」與「錯誤」。

　
　　根據今年五月的國會聽證會，惠勒向國會議員說明新法將徹底改變訊息市場將個人資料貨幣化的情況，並從「個資隱私中撤退」。惠勒陳述：「我瀏覽WebMD（美國醫學健康資訊服務公司），而WebMD擷取我的資料；我使用Weather.com（美國天氣頻道The Weather Channel官網），而Weather.com記錄我的資料；我逛臉書，而臉書也自動收集我的資料。雖然我登錄在各式各樣的網站，但只有一個實體（數據開發公司）蒐集了我個人的全部資料，並將其轉化為貨幣。」

　
　　但是另一方面，伯格指出網路服務供應商掌握了用戶在網站上的一舉一動，這起因於網路的特性而難以避免。他解釋：「網路促使網路服務供應商必須知道你在和誰說話，就如同看診時收集病患的個資與看病紀錄，對醫院來說取得這些數據具有必要性。」伯格說：「從另一方面說，數據資料庫提供商不應該看得見你的健康紀錄。我不會說這並非他們的錯誤，但就像是你把車子停在沃爾瑪的停車場，離開前沒有熄火且車門敞開，而結果，就是你為車子被他人偷走而感到苦惱。他的確偷走你的車子，但是在這種情況下，你也需承擔許多責任及譴責。」

　
　　伯格再說：「如果網路服務供應商沒有使用網路兩端連結的加密，這代表他們非常的粗心與隨便。」今年初，一篇來自美國喬治亞理工學院的研究發現，隨著網路裝置的多元化，例如智慧型手機與平板電腦，網路匿名工具如加密與虛擬私人網路的使用率也跟著增加，因而創造了網路使用行為的不完整圖像，這超過聯邦通訊傳播委員會對於用戶資料外洩的想像。 （註四）

　
　　伯格說：「我不知道我是否應該將網路服務提供商視為太過愚蠢，以致於無法破解加密的資料。」他說明：「如果你僅只是說『這些資料都是一堆廢話而沒有資訊價值』，如此則太不實際。因為你可以看見我搜尋Google、你可看見我使用WebMD，以及你可以看見我瀏覽HIVsupport.org（愛滋病友善網站），所以你有足夠的資料判斷我有結核病、我有愛滋病，然而這是非常敏感的個人隱私資料。」

　
　　伯格認為儘管網路服務供應商能夠將使用者的資料拼湊成一塊，但只要使用者利用類似加密的工具來保護個資，則供應商對於用戶資料的威脅將會減輕。他指出：「只要使用者做到網路端對端加密的措施，供應商就無法判斷你是否有愛滋病，或你只是捐贈金錢給相關基金會、或撰寫有關愛滋病的研究論文。」因此他說：「那樣意味著這些數據本身並沒有價值。」

 

———————-

 

（註一）引用來源Legal Scholars Slam FCC Privacy Standards for Internet Providers，網址：http://www.insidesources.com/law-schools-slam-fcc-privacy-regs/

（註二）引用來源FCC Official Hints at What Broadband Privacy Rules Will Cover，網址：http://www.insidesources.com/fcc-official-hints-at-broadband-privacy-rules/

（註三）引用來源FCC Commissioner: Privacy Rules Won’t Help Protect Consumers’ Privacy，網址：http://www.insidesources.com/fcc-privacy-rules-wont-protect-consumers/

（註四）引用來源Tech Expert Says FCC Privacy Rules Could Hurt Cybersecurity，網址：http://www.insidesources.com/tech-expert-says-fcc-privacy-rules-could-hurt-cybersecurity/