香港反送中週年

牆國與水之間的資安戰爭

國安法殺到、Telegram和連登被監控滲透,香港網路自由還能撐多久?

5月21日晚間,中國人民大會將跳過香港立法會、制定港版《國安法》的新聞曝光,一小時內,“VPN”一躍成為香港地區搜尋關鍵字榜首。24小時內,香港人下載量最高的App,前10名有7個都是用來藏起自身位置的VPN程式。

凜冬將至,網路的監控與審查被視為第一道冷鋒,這對以網路為根基、無大台的反送中運動,是直取核心。「一年來我們最大的體悟是,民主運動的前提是資訊安全,」一名香港運動者如是說。《報導者》採訪了運動者、學者、記者、非營利組織、立法會議員等,看見因中國政府介入而緊收和惡化的香港網路自由,和香港人由下而上發起的數據守護戰。

2019年6月因為參與反送中遊行被捕,還在念大學的Lawrence(化名)遭48小時的關押,被釋放後的第一件事,是從網路上「撤退」。

他刪除社群媒體上所有的貼文、凍結帳號,並通知所有對話群組把他踢除,他說這是手機被警察取走之後的標準程序,是為防止警察透過他的人脈網絡,滲透進自己的朋友圈,或甚至用對話紀錄將朋友「定罪」。

「(被捕之後)我失去了所有的社會連結,3、4個月不使用社群媒體,」Lawrence稱,在警局裡,香港公民雖能依法拒絕提供手機密碼,但警察常以恐嚇威脅,或是強迫面部、指紋解鎖,甚至用破解軟體等方式,強行進入尚未定罪的民眾手機,蒐集數據,並摸清每個被捕者參與的對話群組、訊息來源,「警察就是這樣在Telegram布下監控網的,」Lawrence形容。

一直到一年之後,他才開始慢慢在網路上浮出,重新走上街頭,現在的他不再用自己的真名上網,手機號碼也是不需登記實名的預付卡,反送中運動一週年後,他還多了一個新身分:網路安全顧問。他將自己的經歷發在Telegram裡傳播,他說這是提供港人「一個保持安全的機會」。

資安需求暴增,網路互動面貌丕變

Fill 1
國安法、Telegram、連登、監控滲透、香港、網路自由
香港反送中運動期間,常可見到示威者遮蔽街頭監視器。(攝影/陳朗熹)

「現在大家都在想辦法保護自己,」香港立法會議員、互聯網協會創會主席莫乃光接受《報導者》訪問時說,過去一年來,香港民間對於網路自由消失的憂慮逐漸升高,非營利組織、學校、社區、新聞記者,紛紛提出資訊安全培訓的需求,資訊背景的專家學者,也開始提供各種義務課程和互助服務,Lawrence只是熱潮中的一員。香港中文大學新聞傳播學院助理教授徐洛文也說,他的學生,現在連加入私密的對話群組都要考慮再三,「每個人的社交網站頭貼都換成黑的,名字也都是假的,我有時都不知道誰是誰了,」徐洛文形容。

反送中一週年之際,如Lawrence般把實名的自己從網路上撤退,從公開的社群平台、論壇,轉往私密的小群組,甚至非網路的溝通方式,開始成為流行。「過去我們很容易跟陌生人一起合作,搞運動,現在沒辦法了,都必須是認識的,才能一起做事,」一名參與抗爭的學生告訴我們。

「就算是在Telegram上,大型的頻道不再是大家討論的地方,大家各自帶去不同的小組討論,然後再把結果帶回來。反正就是做了心理準備,任何大一點的頻道都有警察在監控就對了,」另一名運動者說,他們也為「斷網」做準備,備好電台或其他不仰賴靠網路的溝通工具。還有人成立事實查核頻道,有人提供資安建議,有人擔任第三方認證角色,替需要「義載」的運動者跟志工司機媒合。

當去中心化的網絡被有心人滲透

以無大台、去中心化網路通訊而持續至今的香港抗爭,在一年後風景已不同。過去作為人們討論中心的香港匿名論壇「連登討論區(LIHKG)」,也被使用者發現有操作風向、散布假新聞的有心人介入,在去年運動一開始,即有大量新使用者註冊,試圖影響平台風向,讓連登祭出新規,替新使用者設下發文限制。即使如此,有心人仍能以買帳號、網軍推文等方式,在平台上干擾、帶領政治討論。「(今年)5月27日的遊行前一晚,就有一些文章在相近的時間出現,說上街無用啊、該放棄了啊的論調,但現在大家變聰明了,連看到蔡英文要放棄香港的假訊息,都懂得去找原文,那則假訊息一、兩個小時就沒人理了,」一名來自香港的大學生說。

港人使用網路服務的種種轉變,都與政府的舉措有關。5月21日,中國人大決議制定港版《國安法》草案
《全國人民代表大會關於建立健全香港特別行政區維護國家安全的法律制度和執行機制的決定》,又稱港版《國安法》草案,將於8月左右推出法案細節。
,被視作一國兩制的終結,也被認為是香港網路自由消失的號角。
「你要怎麼把香港青年變成愛國愛黨的小粉紅
泛指2010年中期,網路上平日熱愛流行文化,但傾向民族主義、愛國並能熟練使用網路語言的中國年輕狂熱網民。
?除了教育,就是從關閉自由網路開始,」莫乃光預測。但香港的電信服務和網路服務高度國際化,不像中國只有中國籍的電信服務商,透過過濾以監控網路資訊的網路長城,短期內無法在香港實現。

要在沒有城牆的地方控制網路,面對的又是以Be Water為特色的香港群眾運動,過去一年,港府與中國政府祭出各種威嚇、監控與審查手段,展開一場牆與水之間的戰爭。

震懾:檯面下起底、檯面上禁制令齊發,掀起港版白色恐怖

Fill 1
國安法、Telegram、連登、監控滲透、香港、網路自由
港警在遊行及運動現場錄影蒐證。(攝影/陳朗熹)

香港網路自由的危機,從震懾戰開始,最直接的手法是「網路起底」。不論是反對港府或是支持港府的兩方,在過去一年,皆大量對「敵對陣營」起底,透過新聞畫面、直播或是街頭的親手拍攝,將香港警察或是抗爭民眾的照片與個資公布,讓當事者甚至家人感到害怕而不能行事。

根據港府的資料,在去年反送中運動開始的4個月,就收到約1,500件與起底相關、關於隱私侵犯的申訴,其中有40%的申訴與警察人員和其家人有關。為保護港警權利,去年10月25日,香港律政司及警務處處長向高等法院申請的臨時禁制令中,包括一項對警員起底行為的禁止,並要求撤下網上所有透露警察及其家人隱私的訊息。至年底,法庭修訂禁制令,將保護範圍擴展到特別任務警察。

同時,被支持政府方起底的抗爭民眾,隱私權卻顯然不是港府在乎的事,他們被起底的資料不但不在禁制令的範圍內,還面臨成為中國政府黑名單的風險──網路上幾個超過10萬人的群組、頻道,要群眾將抗爭者的資料和照片傳上中國國家安全機關舉報平台(12339.gov.cn),舉報為威脅國家安全的罪犯。爭議性更大的是,這些群組中流傳的起底照片,有的在事後被證明來自警方取得的抗爭錄影、對記者拍攝的存證照片等。

震懾的手法,還透過港府申請的禁制令,大規模的對所有香港民眾襲來。

港府在去年10月底向高等法院提出的禁制令,包括一項禁止任何人於網上(包括連登及Telegram)發布或轉發任何促進、鼓勵或煽動使用或威脅使用暴力言論的要求。

對此,香港互聯網協會透過群眾募資在11月提出覆核審理,希望能擋下形同言論審查的禁制令,但高等法院雖然要求文字調整,卻沒有撤回禁制令。發起司法覆核的香港互聯網協會主席鄭斌彬對《報導者》表示,禁制令對網路平台業者、對話群組的管理者刑責描述模糊,不只影響連登及Telegram,更廣泛的是對網路服務供應商、論壇管理者和一般民眾的心理恐嚇,讓大家心心念念著自己「有機會」因平台上的言論而招致刑責,他以完全審查的「封網」前兆形容之。

禁制令發布至今,民間已經有不少出現因為分享遊行心得而被抓,或是開設Telegram頻道而引來警察上門。5月,區議員岑敖暉也收到警方警告,要他刪去Facebook貼文,否則就是煽動暴力。

「他不一定實質上可以提告,但他要你恐懼、自我審查,希望你會自己害怕,自問『我真的要說這個嗎?』」香港網路安全倡議者鄺頌晴說,這如同港版的白色恐怖,讓與示威相關的言論從網路上消失。

一位熟悉香港資訊安全法律的相關人員告訴我們,逮捕民眾除了有威嚇效果之外,關鍵是警方能以蒐證為名,藉機沒收被捕者的手機,「我看到的時候數字是3,000(支手機),現在一定更多。」這些被沒收的手機,警方再以第三方技術破解讀取,或是發出搜查令,讓他們「有權」搜查手機內容,展開上述的資料蒐集跟滲透。

香港眾志祕書長黃之鋒是其中一例,在他去年8月底因包圍警察總部被捕,之後手機被扣留在警方總部,而後警方向法庭申請對警方總部辦公室的搜查令,以此「合法」破解存放在總部內的黃之鋒手機,作為後來向法庭提告的物證。手機的主人黃之鋒,是在法庭上看見被舉證個人訊息才恍然大悟。

禁制令外,港警也向法庭申請搜查令,前往Facebook香港辦公室,要求存取香港眾志成員周庭的Facebook粉絲專頁的追蹤者資料、IP地址及帳戶活動紀錄等。即使因資料由美國公司持有,Facebook以美國法律拒絕警方索取資料的要求,但已成功造成民眾恐慌,紛紛對周庭退讚,日減數千,港警又下一城。

強攻:釣魚、大炮與駭客,直攻「無大台」的弱點

震懾之外,是強攻。「其實我們被當作目標也不是什麼奇怪的事。」還在大學念書的Steven,在Telegram上收過幾次不明連結──關於「黑警」的資料,或是其他與香港示威相關的網址──他點過幾次,後來才請資安人員查看,原來是釣魚連結,點下之後自動安裝病毒,讓寄件者得以遠端監控、讀取、甚至操作Steven的手機。他也稱自己用Zoom遠端上課,用學校信箱登入使用,但隨即就收到有不明人士試圖登入信箱的通知。

「釣魚郵件一直都有,(附檔)表面上看起來是一份文件,但就是木馬程式,按下去之後就開始安裝了,」由科技界人員組成的倡議組織《前線科技人員》5年來提供香港民間團體資訊科技相關的訊息與訓練,收到媒體、運動分子、議員等求助,他們接受《報導者》專訪時表示,釣魚郵件的成效,端看使用者是否在網路上透露太多資訊,假設在Telegram上聊天時說了太多關於自己的事,包括住址、職業、興趣、喜好、最近的活動等,這些很容易成為有心人設計釣魚郵件的依據,偽裝成當事人願意點開的內容。通常來說,發出釣魚郵件、植入病毒,是為了解目標內部運作、進一步掌握動態,是有目的性的攻擊。

用騙的之外,也有更直接的網路攻擊,例如來自中國的「大炮」DDoS攻擊。連登是過去一年最主要的目標,美國AT&T Alien實驗室的安全研究員克里斯.多曼(Chris Doman)接受《美國之音》(Voice of America)採訪時解釋,北京發動「大炮」攻擊,是要徹底擊垮連登,癱瘓民眾分享訊息、協調、組織抗議活動的資訊中心。

阻斷資訊的攻擊也包括對意見領袖、分眾媒體、私人群組。在4月,香港中文大學的電台、學生會、社會科學學會社交媒體帳號接連被駭,多次發現有不明他人試圖登入帳號,大量刪除半年來針對反送中運動的相關報導貼文。在中大校園電台被駭的事件中,還發現一筆來自中國廣東省桂州鎮的登入紀錄。Telegram頻道也是攻擊標的,從頻道管理者被捕,到直接封鎖頻道,都是香港現在進行式,採訪期間,記者所在的一個Telegram頻道,就收到被封鎖的通知。

威嚇、駭入、癱瘓、封鎖,這些手段在仍自由的香港網域中至今仍比不上防火長城的效果,人們Be Water的精神,如今發揮在更零散的群組,或回到真實的人際關係中聯絡。只是,對於開放的、去中心化的運動來說,「被滲透」,成了面對極權政府時的弱點。「對方知道我們是這樣聯絡的,這就是無大台之下的弱點,」Lawrence說,支持港府者、建制派或是中國網軍,以假的粉絲頁、假的社交帳號出現在各大網路平台中,佯裝成抗爭者加入討論。Steven傳給記者兩張疑似為共青團成員所在的Telegram頻道截圖,裡頭他們討論著如何以激進的方式,引起抗爭者與泛民陣營的分裂,號召群組成員扮演「熱血公民」鼓吹激進的抗爭。「總之擋不住、刪不完,就發假新聞吧,」一名《前線科技人員》的志工如此評論背後的有心人。

監控隱私,「把中國手法套用在香港,並包裝得很漂亮」

Fill 1
國安法、Telegram、連登、監控滲透、香港、網路自由
香港自2019年7月啟動智慧燈柱試驗計畫,但這些在部分地區街頭豎立的智慧燈柱,引起民眾對隱私與監控的疑慮;示威者也曾因此破壞並拆解燈柱。(攝影/陳朗熹)

無論是什麼樣的手段,圍繞著網路進行的對抗,成功與失敗的關鍵最終與隱私相關。從路上的監視鏡頭、公共Wi-Fi到社交帳號的登入資料,這些屬於每個人的數據和隱私,如果成為政府手中的資源,則前文所述的各種攻擊手段,都將大大提升「效能」。例如,港府衛生單位為防止傾倒垃圾而設的300支監視鏡頭,若作為警方為抗爭者建檔的影像,從此影像的蒐集便不必再仰賴網民在網路上的起底行動。又例如警方若能取得臉部辨識技術,即時地透過智慧燈柱,辨認街上的行人身分,就能做到實體空間的監控。或是港人在各種網路應用上留下的數據,如果被移轉至中國作為建檔,未來就不必仰賴民眾上國家平台舉報了。

以上所述,是已經發生,或是港府有能力做到的事。根據莫乃光的問政紀錄,他發現警方在街頭抗爭的日子,會向衛生單位提出影像紀錄的存取要求。而《彭博商業周刊》(Bloomberg Businessweek)的報導也發現,香港政府已購買使用澳洲企業iOmniscient臉部辨識功能至少3年,港警藉由操作軟體,可自動掃描影片,將拍攝到的人臉與警方資料庫配對。而港人數據移轉至中國使用,根據香港政府在移交中國管轄前訂下、全亞洲第一部《個人資料(私隱)條例》的33條,禁止將香港公民個人資料移至香港以外地方,除非獲資料當事人書面同意、或者該地方與香港有相同的隱私保護;只是33條至今沒有啟用,香港人在數據隱私上確保一國兩制的機會,至今仍未實現。

「這是把中國的手法套用在香港,並包裝得很漂亮,」鄺頌晴批評,從管理車流、禁倒垃圾到智慧燈柱的實驗等,都因為港人與政府間失去信任,而港府使用大眾數據的方式又不透明公開,於是引來抗爭民眾的懷疑。去年(2019)引起軒然大波的智慧燈柱,今年在剛開完的公聽會上宣布,不再安裝視像鏡頭,改以熱偵測為主,但又因熱偵測仍具有監控人身行動功能,在美國已有被禁用紀錄,而依然引起民眾不滿。

科技業出身的莫乃光,是最常向港府要求提出數據使用紀錄的立法會議員。他無奈表示,不管是實體世界還是網上,港府面對他的提問,大都忽略或是以「沒有紀錄」回覆,「不可能沒有record,香港是有多大?」他氣憤地表示,香港雖然在移交前,由英國人主導留下亞洲第一部《個人資料(私隱)條例》,但至今未更新,沒有法律規範政府如何使用數據,更沒有法律要求政府留下紀錄、透明公開。加上一國兩制之下非民主的治理,即使他身為立法會議員,也無法監督政府使用數據方式;如今數據二字又高度政治化,雖然香港民間推動政府開放資料已近6年,仍處處碰壁。

「我們的政府不會想要開放透明來取得信任,他們的老闆不是我們,他們(給人民)的答案是更多控制,以取得中央的信任,」莫乃光嘆道,從數據開始討回人民的權利,在《國安法》的頒布下,是難上加難,但從數據開始守住人民自由,卻也是他們利用既有法制,必須展開的抵抗。多年來推動個人隱私保護和數據自由的香港中文大學助理教授徐洛文也同意,即使港府加快油門,從放出網路實名制、假新聞法的風聲到確立《國安法》,來威脅香港的網路自由,他們也必須以現下仍有的公民權利,來守住每個人的數據自主、保護隱私。

《國安法》殺到,水能否破牆?

這樣的防守,不只是對公部門的數據蒐集,對私人企業也相同。

「你要很小心,你給了多少資料給Twitter、Facebook,你的小細節被政府知道,你會有麻煩的,」鄺頌晴說,一年過去港人最大的體悟是「民主運動的前提,資訊安全是必須的」,而守住每個人的隱私和數據,正是守住安全的第一步。畢竟一國兩制若因《國安法》的頒布告終,香港若也適用中國《網路安全法》的原則,未來,政府以國安為由便能取用境內所有使用者在各家私人網路平台上的數據。

根據Google統計至2019年上半年,與Facebook統計至2019年下半年的公開資料,港府對兩家平台業者索取使用者數據的申請次數,皆創下歷史新高,伸手掌控數據的心已迫不及待。

《國安法》細則未明,但經過一年的混戰,作為倡議網路安全的第一線,鄺頌晴認為,牆國與水的對抗因《國安法》的到來進入新的階段,「即使是本來親中的人,他們現在會想,自己不能再用Netflix、Facebook、WhatsApp,是要用微信了?!中國這一步是把這些潛在的情緒都推了出來。」作為反政府、反親中的一方,她對香港維權運動的持續並不悲觀。

這些方法是否徒勞,受訪的香港人沒時間往這思考──他們持續為保有香港的隱私和自由、不失去自救的能力而努力著。

※本報導為《報導者》與自由亞洲電台(RFA)中文部共同製作。

用行動支持報導者

每個人都應有獲得專業、正確新聞訊息的權利,因此,免費公開每篇報導給閱聽大眾,是《報導者》身為非營利媒體回應公共性不變的追求。面對全球陷入COVID-19疫情風暴的此時,《報導者》第一時間推出疫情即時脈動網頁,提供讀者掌握疫情變化,進行第一線醫療從業者與疫苗和防疫機構的深度採訪,一探台灣本地抗疫行動;我們也同步深入報導中國、歐洲、美國等國際疫情現場並提供分析視角。這場長期的戰役,《報導者》會持續提供華文讀者第一手深入的報導,但這些報導需要投入大量人力,包括各地的前線記者與攝影、後勤的工程、設計與編輯團隊,倘若沒有讀者的捐款贊助,我們不可能完成。

您的每一筆捐款都將成為我們繼續採訪與調查的動力,《報導者》邀請您以捐款支持我們,繼續為開放、獨立的新聞而努力。

本文依 CC 創用姓名標示-非商業性-禁止改作3.0台灣授權條款釋出