专栏 | 报导者时间:国安法杀到、Telegram和连登被监控渗透,香港网络自由还能撑多久?-墙国与水之间的资安战争(文/刘致昕 摄影/陈朗熹)

5月21日晚间,中国人民大会将跳过香港立法会、制定港版《国安法》的新闻曝光,一小时内,VPN一跃成为香港地区搜寻关键词榜首。24小时内,香港人下载量最高的App,前10名有7个都是用来藏起自身位置的VPN程序。

凛冬将至,网络的监控与审查被视为第一道冷锋,这对以网络为根基、无大台的反送中运动,是直取核心。“一年来我们最大的体悟是,民主运动的前提是信息安全,”一名香港运动者如是说。《报导者》采访了运动者、学者、记者、非营利组织、立法会议员等,看见因中国政府介入而紧收和恶化的香港网络自由,和香港人由下而上发起的数据守护战。

2019年6月因为参与反送中游行被捕,还在念大学的Lawrence(化名)遭48小时的关押,被释放后的第一件事,是从网络上“撤退”。

他删除社群媒体上所有的贴文、冻结账号,并通知所有对话群组把他踢除,他说这是手机被警察取走之后的标准程序,是为防止警察透过他的人脉网络,渗透进自己的朋友圈,或甚至用对话纪录将朋友“定罪”。

“(被捕之后)我失去了所有的社会连结,3、4个月不使用社群媒体,”Lawrence称,在警局里,香港公民虽能依法拒绝提供手机密码,但警察常以恐吓威胁,或是强迫面部、指纹解锁,甚至用破解软件等方式,强行进入尚未定罪的民众手机,搜集数据,并摸清每个被捕者参与的对话群组、讯息来源,“警察就是这样在Telegram布下监控网的,”Lawrence形容。

一直到一年之后,他才开始慢慢在网络上浮出,重新走上街头,现在的他不再用自己的真名上网,手机号码也是不需登记实名的预付卡,反送中运动一周年后,他还多了一个新身分:网络安全顾问。他将自己的经历发在Telegram里传播,他说这是提供港人"一个保持安全的机会"。

民间资安需求暴增,网络互动面貌丕变

图说:香港反送中运动期间,常可见到示威者遮蔽街头监视器。(摄影/陈朗熹)
图说:香港反送中运动期间,常可见到示威者遮蔽街头监视器。(摄影/陈朗熹)

“现在大家都在想办法保护自己,”香港立法会议员、互联网协会创会主席莫乃光接受《报导者》访问时说,过去一年来,香港民间对于网络自由消失的忧虑逐渐升高,非营利组织、学校、小区、新闻记者,纷纷提出信息安全培训的需求,信息背景的专家学者,也开始提供各种义务课程和互助服务,Lawrence只是热潮中的一员。香港中文大学新闻传播学院助理教授徐洛文也说,他的学生,现在连加入私密的对话群组都要考虑再三,“每个人的社交网站头贴都换成黑的,名字也都是假的,我有时都不知道谁是谁了,”徐洛文形容。

反送中一周年之际,如Lawrence般把实名的自己从网络上撤退,从公开的社群平台、论坛,转往私密的小群组,甚至非网络的沟通方式,开始成为流行。“过去我们很容易跟陌生人一起合作,搞运动,现在没办法了,都必须是认识的,才能一起做事,”一名参与抗争的学生告诉我们。

“就算是在Telegram上,大型的频道不再是大家讨论的地方,大家各自带去不同的小组讨论,然后再把结果带回来。反正就是做了心理准备,任何大一点的频道都有警察在监控就对了,”另一名运动者说,他们也为“断网”做准备,备好电台或其他不仰赖靠网络的沟通工具。还有人成立事实查核频道,有人提供资安建议,有人担任第三方认证角色,替需要“义载”的运动者跟志工司机媒合。

当去中心化的网络被有心人渗透

以无大台、去中心化网络通讯而持续至今的香港抗争,在一年后风景已不同。过去作为人们讨论中心的香港匿名论坛“连登讨论区(LIHKG)”,也被使用者发现有操作风向、散布假新闻的有心人介入,在去年运动一开始,即有大量新使用者注册,试图影响平台风向,让连登祭出新规,替新使用者设下发文限制。即使如此,有心人仍能以买账号、网军推文等方式,在平台上干扰、带领政治讨论。“(今年)5月27日的游行前一晚,就有一些文章在相近的时间出现,说上街无用啊、该放弃了啊的论调,但现在大家变聪明了,连看到蔡英文要放弃香港的假讯息,都懂得去找原文,那则假讯息一、两个小时就没人理了,”一名来自香港的大学生说。

港人使用网络服务的种种转变,都与政府的举措有关。5月底,中国人大决议制定港版《国安法》草案(注:《全国人民代表大会关于建立健全香港特别行政区维护国家安全的法律制度和执行机制的决定》,又称港版《国安法》草案,将于8月左右推出法案细节),除了被视作一国两制的终结,也被认为是香港网络自由消失的号角。

“你要怎么把香港青年变成爱国爱党的小粉红?除了教育,就是从关闭自由网络开始,”莫乃光预测。但香港的电信服务和网络服务高度国际化,不像中国只有中国籍的电信服务商,透过过滤以监控网络信息的网络长城,短期内无法在香港实现。

要在没有城墙的地方控制网络,面对的又是以Be Water为特色的香港群众运动,过去一年,港府与中国政府祭出各种威吓、监控与审查手段,展开一场墙与水之间的战争。

震慑:台面下起底、台面上禁制令齐发,掀起港版白色恐怖

图说:港警在游行及运动现场录像搜证。(摄影/陈朗熹)
图说:港警在游行及运动现场录像搜证。(摄影/陈朗熹)

香港网络自由的危机,从震慑战开始,最直接的手法是“网络起底”。不论是反对港府或是支持港府的两方,在过去一年,皆大量对“敌对阵营”起底,透过新闻画面、直播、或是街头的亲手拍摄,将香港警察或是抗争民众的照片与个资公布,让当事者甚至家人感到害怕而不能行事。

根据港府的资料,在去年反送中运动开始的4个月,就收到约1,500件与起底相关、关于隐私侵犯的申诉,其中有40%的申诉与警察人员和其家人有关。为保护港警权利,去年10月25日,香港律政司及警务处处长向高等法院申请的临时禁制令中,包括一项对警员起底行为的禁止,并要求撤下网上所有透露警察及其家人隐私的讯息。至年底,法庭修订禁制令,将保护范围扩展到特别任务警察。

同时,被支持政府方起底的抗争民众,隐私权却显然不是港府在乎的事,他们被起底的数据不但不在禁制令的范围内,还面临成为中国政府黑名单的风险──网络上几个超过10万人的群组、频道,要群众将抗争者的资料和照片传上中国国家安全机关举报平台(12339.gov.cn),举报为威胁国家安全的罪犯。争议性更大的是,这些群组中流传的起底照片,有的在事后被证明来自警方取得的抗争录像、对记者拍摄的存证照片等。

震慑的手法,还透过港府申请的禁制令,大规模的对所有香港民众袭来。

港府在去年10月底向高等法院提出的禁制令,包括一项禁止任何人于网上(包括连登及Telegram)发布或转发任何促进、鼓励或煽动使用或威胁使用暴力言论的要求。

对此,香港互联网协会透过群众募资在11月提出复核审理,希望能挡下形同言论审查的禁制令,但高等法院虽然要求文字调整,却没有撤回禁制令。发起司法复核的香港互联网协会主席郑斌彬对《报导者》表示,禁制令对网络平台业者、对话群组的管理者刑责描述模糊,不只影响连登及Telegram,更广泛的是对网络服务供货商、论坛管理者和一般民众的心理恐吓,让大家心心念念着自己“有机会”因平台上的言论而招致刑责,他以完全审查的“封网”前兆形容之。

禁制令发布至今,民间已经有不少出现因为分享游行心得而被抓,或是开设Telegram频道而引来警察上门。5月,区议员岑敖晖也收到警方警告,要他删去Facebook贴文,否则就是煽动暴力。

“他不一定实质上可以提告,但他要你恐惧、自我审查,希望你会自己害怕,自问『我真的要说这个吗?』”香港网络安全倡议者邝颂晴说,这如同港版的白色恐怖,让与示威相关的言论从网络上消失。

一位熟悉香港信息安全法律的相关人员告诉我们,逮捕民众除了有威吓效果之外,关键是警方能以搜证为名,借机没收被捕者的手机,“我看到的时候数字是3,000(支手机),现在一定更多。”这些被没收的手机,警方再以第三方技术破解读取,或是发出搜查令,让他们“有权”搜查手机内容,展开上述的资料搜集跟渗透。

香港众志秘书长黄之锋是其中一例,在他去年8月底因包围警察总部被捕,之后手机被扣留在警方总部,而后警方向法庭申请对警方总部办公室的搜查令,以此“合法”破解存放在总部内的黄之锋手机,作为后来向法庭提告的物证。手机的主人黄之锋,是在法庭上看见被举证个人讯息才恍然大悟。

禁制令外,港警也向法庭申请搜查令,前往Facebook香港办公室,要求存取香港众志成员周庭的Facebook粉丝专页的追踪者数据、IP地址及帐户活动纪录等。即使因资料由美国公司持有,Facebook以美国法律拒绝警方索取资料的要求,但已成功造成民众恐慌,纷纷对周庭退赞,日减数千,港警又下一城。

强攻:钓鱼、大炮与黑客,直攻“无大台”的弱点

震慑之外,是强攻。“其实我们被当作目标也不是什么奇怪的事。”还在大学念书的Steven,在Telegram上收过几次不明连结──关于“黑警”的数据,或是其他与香港示威相关的网址──他点过几次,后来才请资安人员查看,原来是钓鱼连结,点下之后自动安装病毒,让发件人得以远程监控、读取、甚至操作Steven的手机。他也称自己用Zoom远程上课,用学校信箱登入使用,但随即就收到有不明人士试图登入信箱的通知。

“钓鱼邮件一直都有,(附档)表面上看起来是一份文件,但就是木马程序,按下去之后就开始安装了,”由科技界人员组成的倡议组织《前线科技人员》5年来提供香港民间团体信息科技相关的讯息与训练,收到媒体、运动分子、议员等求助,他们接受《报导者》专访时表示,钓鱼邮件的成效,端看用户是否在网络上透露太多信息,假设在Telegram上聊天时说了太多关于自己的事,包括住址、职业、兴趣、喜好、最近的活动等,这些很容易成为有心人设计钓鱼邮件的依据,伪装成当事人愿意点开的内容。通常来说,发出钓鱼邮件、植入病毒,是为了解目标内部运作、进一步掌握动态,是有目的性的攻击。

用骗的之外,也有更直接的网络攻击,例如来自中国的"大炮"DDoS攻击。连登是过去一年最主要的目标,美国AT&T Alien实验室的安全研究员克里斯.多曼(Chris Doman)在接受《美国之音》(Voice of America)采访时解释,北京发动"大炮"攻击,是要彻底击垮连登讨论区,瘫痪民众分享讯息、协调、组织抗议活动的信息中心。
阻断信息的攻击也包括对意见领袖、分众媒体、私人群组。在4月,香港中文大学的电台、学生会、社会科学学会社交媒体账号接连被骇,多次发现有不明他人试图登入账号,大量删除半年来针对反送中运动的相关报导贴文。在中大校园电台被骇的事件中,还发现一笔来自中国广东省桂州镇的登入纪录。Telegram频道也是攻击目标,从频道管理者被捕,到直接封锁频道,都是香港现在进行式,采访期间,记者所在的一个Telegram频道,就收到被封锁的通知。

威吓、骇入、瘫痪、封锁,这些手段在仍自由的香港网域中至今仍比不上防火长城的效果,人们Be Water的精神,如今发挥在更零散的群组,或回到真实的人际关系中联络。只是,对于开放的、去中心化的运动来说,“被渗透”,成了面对极权政府时的弱点。“对方知道我们是这样联络的,这就是无大台之下的弱点,”Lawrence说,支持港府者、建制派或是中国网军,以假的粉丝页、假的社交账号出现在各大网络平台中,佯装成抗争者加入讨论。Steven传给记者两张疑似为共青团成员所在的Telegram频道截图,里头他们讨论着如何以激进的方式,引起抗争者与泛民阵营的分裂,号召群组成员扮演“热血公民”鼓吹激进的抗争。“总之挡不住、删不完,就发假新闻吧,”一名《前线科技人员》的志工如此评论背后的有心人。

监控隐私:“把中国手法套用在香港,并包装得很漂亮”

图说:香港自2019年7月启动智能灯柱试验计划,但这些在部分地区街头竖立的智慧灯柱,引起许多民众对于隐私与监控的质疑;示威者也曾因此破坏并拆解灯柱。(摄影/陈朗熹)
图说:香港自2019年7月启动智能灯柱试验计划,但这些在部分地区街头竖立的智慧灯柱,引起许多民众对于隐私与监控的质疑;示威者也曾因此破坏并拆解灯柱。(摄影/陈朗熹)

无论是什么样的手段,围绕着网络进行的对抗,成功与失败的关键最终与隐私相关。从路上的监视镜头、公共Wi-Fi到社交账号的登入资料,这些属于每个人的数据和隐私,如果成为政府手中的资源,则前文所述的各种攻击手段,都将大大提升“效能”。例如,港府卫生单位为防止倾倒垃圾而设的300支监视镜头,若作为警方为抗争者建文件的影像,从此影像的搜集便不必再仰赖网民在网络上的起底行动。又例如警方若能取得脸部辨识技术,实时地透过智慧灯柱,辨认街上的行人身分,就能做到实体空间的监控。或是港人在各种网络应用上留下的数据,如果被移转至中国作为建档,未来就不必仰赖民众上国家平台举报了。

以上所述,是已经发生,或是港府有能力做到的事。根据莫乃光的问政纪录,他发现警方在街头抗争的日子,会向卫生单位提出影像纪录的存取要求。而《彭博商业周刊》(Bloomberg Businessweek)的报导也发现,香港政府已购买使用澳洲企业iOmniscient脸部辨识功能至少3年,港警藉由操作软件,可自动扫描影片,将拍摄到的人脸与警方数据库配对。而港人数据移转至中国使用,根据香港政府在移交中国管辖前订下、全亚洲第一部《个人资料(私隐)条例》的33条,禁止将香港公民个人资料移至香港以外地方,除非获资料当事人书面同意、或者该地方与香港有相同的隐私保护,只是33条至今没有启用,香港人在数据隐私上确保一国两制的机会,至今仍未实现。

“这是把中国的手法套用在香港,并包装得很漂亮,”邝颂晴批评,从管理车流、禁倒垃圾到智慧灯柱的实验等,都因为港人与政府间失去信任,而港府使用大众数据的方式又不透明公开,于是引来抗争民众的怀疑。去年引起轩然大波的智慧灯柱,今年在刚开完的公听会上宣布,不再安装视像镜头,改以热侦测为主,但又因热侦测仍具有监控人身行动功能,在美国已有被禁用纪录,而依然引起民众不满。

科技业出身的莫乃光,是最常向港府要求提出数据使用纪录的立法会议员。他无奈表示,不管是实体世界还是网上,港府面对他的提问,大都忽略或是以「没有纪录」回复,「不可能没有record,香港是有多大?」他气愤地表示,香港虽然在移交前,由英国人主导留下亚洲第一部《个人资料(私隐)条例》,但至今未更新,没有法律规范政府如何使用数据,更没有法律要求政府留下纪录、透明公开。加上一国两制之下非民主的治理,即使他身为立法会议员,也无法监督政府使用数据方式;如今数据二字又高度政治化,虽然香港民间推动政府开放资料已近6年,仍处处碰壁。

“我们的政府不会想要开放透明来取得信任,他们的老板不是我们,他们(给人民)的答案是更多控制,以取得中央的信任,”莫乃光叹道,从数据开始讨回人民的权利,在《国安法》的颁布下,是难上加难,但从数据开始守住人民自由,却也是他们利用既有法制,必须展开的抵抗。多年来推动个人隐私保护和数据自由的香港中文大学助理教授徐洛文也同意,即使港府加快油门,从放出网络实名制、假新闻法的风声到确立《国安法》,来威胁香港的网络自由,他们也必须以现下仍有的公民权利,来守住每个人的数据自主、保护隐私。

《国安法》杀到,水能否破墙?

这样的防守,不只是对公部门的数据搜集,对私人企业也相同。

“你要很小心,你给了多少数据给Twitter、Facebook,你的小细节被政府知道,你会有麻烦的,”邝颂晴说,一年过去港人最大的体悟是“民主运动的前提,信息安全是必须的”,而守住每个人的隐私和数据,正是守住安全的第一步。毕竟一国两制若因《国安法》的颁布告终,香港若也适用中国《网络安全法》的原则,未来,政府以国安为由便能取用境内所有使用者在各家专用网平台上的数据。

根据Google统计至2019年上半年,与Facebook统计至2019年下半年的公开资料,港府对两家平台业者索取用户数据的申请次数,皆创下历史新高,伸手掌控数据的心已迫不及待。

《国安法》细则未明,但经过一年的混战,作为倡议网络安全的第一线,邝颂晴认为,墙国与水的对抗因《国安法》的到来进入新的阶段,“即使是本来亲中的人,他们现在会想,自己不能再用Netflix、Facebook、WhatsApp,是要用微信了?!中国这一步是把这些潜在的情绪都推了出来。”作为反政府、反亲中的一方,她对香港维权运动的持续并不悲观。

这些方法是否徒劳,受访的香港人没时间往这思考──他们持续为保有香港的隐私和自由、不失去自救的能力而努力着。

※本报导为《报导者》与自由亚洲电台(RFA)中文部共同制作。