雅虎醜闻暴露大数据时代私隐危机 (转载)

[老弟]

明报社评 2016年10月8日 星期六

【明报社评】世界互联网巨擘之一的美国雅虎（Yahoo）公司一个月内连续爆出两宗侵犯客户私隐的醜闻，继上月底传出有5亿电邮帐户资料遭黑客盗窃後，上周该公司又被揭发应美国国家安全局（NSA）和联邦调查局（FBI）要求，用自创软件扫描数十亿封客户电子邮件，若发现内文、链结中或附件中有特定字眼，就会交给上述美国情报部门。虽然自斯诺登（Edward Snowden）踢爆「稜镜计划」（PRISM）以来，人们对美国政府大规模监控民众的电子私隐已不感惊奇，但在大数据云计算的时代，当政府与大公司联手作恶时，谁来保护互联网上芸芸众生的个人私隐，这个问题发人深省。

客户资料被盗两年後公布

助政府扫描电邮轻描淡写

迄今为止，雅虎对於扫描电邮的回应轻描淡写，先是自称自己是一间「守法的公司」，後又辩称所谓扫描软件在公司系统内「并不存在」，指相关报道「误导」，但却无法解释其保安总管愤而辞职的原因，也不敢矢口否认。

至於发生於2014年的5亿电邮帐户被黑客入侵一案，雅虎公司直到上月才对外宣布，更是离谱至极。如果不是为与Verizon公司的收购谈判而刻意隐瞒，就说明其对客户的保护形同虚设，简直就是中门大开。

雅虎出现这类问题并不令人意外，其在客户私隐保护方面的疏失，以及对政府监控的主动配合，曾多次为人诟病。从将异见者电邮资料主动提供给中国政府，令他们被定罪判监，到为一些广告和间谍软件提供便利，在搜寻结果中让其弹出广告窗口逼用户下载和安装间谍软件，都引发广泛批评和连串官司。问题是这些漏洞恐怕并非雅虎独家所有，雅虎暴露的弊病恐怕只是互联网业界的冰山一角。

当今世界，个人电脑、电子邮件、社交媒体、零售银行、保险公司，甚至政府资料外泄已屡见不鲜。雅虎事件的教训或许是，在网络安全方面，我们除了谴责作恶的当权者、敦促轻忽的营运者外，普通人有无自保之道呢？

在发生重大资料外泄事件後，大公司往往将以黑客有「国家支持」的背景来逃避责任。问题是多数黑客入侵利用的是公司的保安漏洞，正如专家所言，多数入侵都不是不可防範的。归根结柢，大公司或营运商并未有将客户的资料安全当作最高利益，而消费者对个人私隐的安全亦未能有充分的重视。大多数用户不愿为提高安全而接受轻微的不便，懒得安装更新，对低安全度密码的升级措施不耐烦。另一方面，对未能保护客户数据的机构施加惩罚的赔偿责任机制未能建立，也令互联网企业没有足够的经济动机去投资网络安全基础设施。

雅虎醜闻对消费者的教训是：当我们无法依靠营运商来保护个人信息时，唯一的自保办法是采取一些方法来降低风险，例如避免重複使用同一密码来开启多个帐户、采用双重身分认證等。同时，必须小心处理在网上储存和分享的资讯内容。

政府成互联网最大侵害者

美国仍欠香港人一个交代

可悲的是，应该担起监管责任以确保互联网安全的各国政府，却恰恰成为对互联网个人私隐的最大侵害者。

自从911事件之後，西方国家对互联网的监控变本加厉，而且在反恐战争的大旗下，由暗转明，有恃无恐。除了美国的「稜镜计划」以及规模更大、无远弗届的Xkeyscore项目外，从英国政府通讯总部（GCHQ）的「时代计划」（Tempora）、德国联邦刑事犯罪调查局（BKA）的「国家木马」（State Trojan）程式，都对国民的网上私隐，构成了实实在在的威胁，更不用说各国竞相支持的网络黑客大规模窃密行为，更是对全球网民的非法侵害。

斯诺登事件已过去3年，最新上画的荷李活电影《斯诺登风暴》勾起了港人对他曾在我城的回忆。人们不禁想起他曾披露香港有电脑系统被美国政府机构入侵。当年港府保安局还曾正式致函美国政府，要求美方就有关报道解释。保安局长黎栋国曾强调，政府会跟进事件，并期待美国政府尽快向港人作出圆满和全面的交代。而至今美国政府仍欠香港人一个交代。