「『正義使者』,不是等到有結果才能算是。你已經是了。」
這是漫畫《只有我不存在的城市》當中,主角的朋友向主角說的話。非常符合這部充滿「勇氣」及「正義感」的作品。
《只有我不存在的城市》不是一部非常知名的漫畫,但是一部我個人很喜歡也推薦的漫畫。雖然它沒有到《鬼滅之刃》或《鏈鋸人》這樣高人氣,但應該也不算冷門就是了,畢竟除了漫畫也有出動畫,甚至也出了電視劇。
故事內容充滿許多懸疑與推理的精彩情節,所以我還是不提到兇手的名字好了。但我認為即使已經被雷到知道兇手是誰了,還是很值得看一下,因為除了懸疑以外,內容也是很棒。裡面很多人物的想法、情節與對話,都滿有啟發性,令人深思。
像是主角的媽媽調侃主角,想化解主角的痛苦:「認為是『自己的錯』,可以說是自以為是喔。」
另外提一下,開頭的那句話其實應該是漫畫當中很冷門普通的一句話。當然,我想,這部作品更有名的台詞可能是「善行與惡行的本質是相同的」,畢竟是一句感覺起來相當富有哲學,有點深度的話。兇手的認知當中,人類內心存在著空洞,為了填補內心的空洞,而有了目的或是行為,對兇手而言,不論是善行或是惡行,都是為了填滿空洞的行為,本質上沒有差異。我不認同兇手這樣的價值觀,但不可否認這也是這部作品的特點之一。但我最主要沒有選擇這句台詞,果然還是因為…其實並沒有引起我太多的共鳴。對我來說,當然有時候會去思考其中意義,但有時又有點像是硬凹的幹話。
但還是如同我前面所提到的,我確實認為這部漫畫是相當富有哲學、發人深省,同時也很勵志的。
最後來回到我們待會要進入的主題,《只有我不存在的城市》當中一開始最勾人心弦、讓人想繼續看下去的理由,絕對還是因為它那神秘性吧,保護朋友以及追查犯人的懸疑與推理過程。所以兇手可以讓警方、主角與主角朋友那麼辛苦,想必...兇手應該是個很注重自己隱私的人吧XD
總之,今天要談的資安相關議題就是《安全與隱私》
備註:這篇本來打算用JOJO的吉良吉影來開場的,但決定還是把JOJO放到更後面來隆重介紹。
安全與隱私:前言
在這個資訊發達的時代,人手至少一台智慧型手機,下載各種不同的APP,上網瀏覽許多網站,使用各種不同的社群媒體或是電商網購。你或許沒有特別深入研究過,但一定多少會注意到,許許多多的網站與服務會有「安全性與隱私權政策」,或是你可以在個人設定進行安全與隱私相關的設定。
毫無疑問的,安全與隱私早已默默融入在你的生活當中。無論你是否重視它們,不可否認「你」與它們之間的關係是存在的。當你沒有仔細看過條款就往下滑勾選同意,可能就表示你同意了某個服務規範的隱私權條款。即使你沒有特別進行任何的安全設定,產品本身的安全機制仍然持續運作著。
而接著我們就來問一個問題,也就是我們的主題之一:
「安全與隱私有甚麼區別的?」
安全與隱私的區別
不知道大家是否想過這個問題,也許大家可能隱約知道兩者有些不同,或許你心中已經有一些想法好像可以說出一點差異。想像一下你坐在一樓客廳沙發上看電視,門窗是關緊的,但卻是透明的玻璃門窗,門外經過的人都可以看到你,這算不算是一種隱私受到侵犯?假設你家的門窗是沒有鎖的,小偷或壞人是否能夠直接就破門而入偷走你家東西,這是不是就算一個安全性的問題。雖然好像能想到幾個例子,但有時又覺得好像沒有很明確的界定。沒關係的,實際上兩者之間的確有很深的連結性存在,所以彷彿有一段灰色地帶讓你無法明確分開兩者的差異,也是很正常的事情。雖然安全與隱私經常重疊,或是一起被提及,但兩者確實是不同的事物,也因此這篇文章想來小小的探討一下彼此之間的區別,幫助我們更加了解安全與隱私。
隱私一般是關於尊重以及所有權,也就是說你具有權益去決定你的個人資料、個人數據,能夠如何被收集、儲存、傳輸及使用。安全性則一般是著重在於對於資料與數據的保護,通常是透過許多的安全技術和工具來保護數據來避免遭受到未經授權的存取。
我們從一個簡單的例子來探討其中核心的差異:
假設你在一間A集團的電商網站註冊會員,A集團的底下剛好有一間保險公司,A集團的電商公司把你的個人資料也交給了底下的保險公司使用,這個就牽涉到了隱私權的部分。依循目前的法規,A集團的電商公司,在你註冊會員的時候,應該要有隱私權條款讓你知道他們會如何去處理和使用你的個人資料和紀錄,避免發生在你未經同意或是不知情的情況下,電商公司將你的資料共享給A集團的保險公司或是其他任何第三方廠商。而安全性,則是A集團的電商公司會採用許多安全措施來保護你的資料不被駭客給攻擊或竊取、造成資料被篡改或資料洩漏,這個就是所謂非經授權的存取,因為駭客取得資料,並非是電商網站所授權之行為。這一段其實就是隱私與安全的一個重要核心概念差異。隱私涉及如何使用和處理你的數據,而安全負責保護這些數據。
讓我們來延續前一段所提的例子,探討幾個情境。
(1)情境一:假設今天電商網站的隱私權政策確保不會將你的資料共享給其他公司,電商網站的安全機制也做得很好。這樣你的隱私以及安全性都受到了妥善的維護。
(2)情境二:假設今天電商網站的隱私權政策表示可能會將你的資料給分享或出售給其他公司,電商網站的安全機制也做得很好。你的資料安全性在電商公司仍受到了妥善的維護,但你的隱私則被掌握在更多人的手裡,被儲存或使用在更多地方,換言之是可以算是隱私受到某種程度上的損害。
(2)情境二:假設今天電商網站的隱私權政策確保不會將你的資料分享給其他公司,但電商網站的安全性沒有做好,導致駭客入侵竊取了所有的資料。由於這樣安全性導致的資安事件,同時讓你的隱私受損,這樣的情況就是你的安全及隱私都受到了損害。
從上面三個情境其實不難察覺兩件事情。第一,當你的隱私洩漏的越多(被共享或出售給更多不同的公司),相對而言發生安全事件的機率也會越高。當然這個是從基數上來看,越多公司越多地方持有,可能的風險會更高,實務上並非共享出去就一定會出事就是了。第二,當安全性受到損害時,隱私是可能一同受到損害的,也因此我們往往會將安全與隱私一同而論,因為許多情況下,隱私是需要透過安全性來保護。不過還是要多強調一下,遭受安全事件並不是一定會造成隱私受損,例如服務被駭客攻擊中斷,沒有資料洩漏,但服務中斷影響可用性本身也是一種安全事件。安全可以在沒有隱私的情況下存在,但反之則不然,沒有安全就不能夠實現隱私。
「沒有隱私可以有安全,沒有安全就沒有隱私。」
補充一下,我們來看看ChatGPT簡要的回答:
『隱私權是指一個人的資料或信息不被未經授權的人知道或使用的權利。安全性是指資料或系統免於未經授權的存取、修改或毀損的能力。總的來說,隱私權與安全性是兩個不同的概念,但它們也有密切的關係。例如,保護個人隱私的同時,也需要確保該資訊的安全性。』
安全與隱私的標準、框架、法規
通常在資訊領域中提到安全,我們側重的是避免數據遭受未經授權的存取,或是經常聽到的資安三要素CIA(Confidentiality 機密性、Integrity 完整性、Availability 可用性)。安全性可能涉及多項流程、方法、技術和工具,一些常見的名詞可能像是:
- 防火牆
- 密碼學
- 網路安全
- 端點安全
- 身分驗證
- 資料備份
- 應用程式安全
- 軟體開發安全
當提及隱私時,通常則是關於使用者/客戶的個人資訊或記錄,這些數據通常被企業組織收集、儲存和使用,例如:
- 個人資訊(PII)
- 姓名
- 生日
- 電話號碼
- 電子郵件
- 信用卡資訊
- 個人醫療資料
- 使用者行為紀錄(例如購物資訊、搜尋引擎瀏覽紀錄)
在資訊領域(或是資訊安全領域)當中,有許多的標準、框架及法規,來協助我們提升組織中的安全性,或是規範組織保障使用者的隱私權。我想我並不是這方面具有豐富經驗的專家(我還是更專注在安全技術上,並非法規專家),但這邊可以介紹幾個較有名的項目,並稍微說明在安全與隱私上的些微差異。
首先在台灣最有名的可能是ISO 27001資訊安全管理系統(ISMS),而ISO 27001是一項關注在安全性上的國際標準,那它跟隱私是否有關係?絕對是有的。如同我們前面所提到的,沒有安全就不能夠實現隱私,但在ISO 27001當中隱私可能並不是最重要的。類似的以安全性為主的標準及框架相當的多,那政府單位也會有政策來規範相關單位落實安全性,例如台灣的「資通安全管理法」。
以安全性為主的標準及框架,族繁不及備載,這邊簡單列出幾項。當然,好的標準和準則是同時可以讓你更好地處理安全與隱私的問題。
- SOC 2
- ISO 27001
- CIS Critical Security Controls
- NIST Special Publication 800-53
- NIST Special Publication 800-171
- NIST Cybersecurity Framework (CSF)
相較於上述的項目之外,有些項目則是更致力於在隱私部分,旨在加強對於使用者/消費者個人資料和隱私的保護。例如大名鼎鼎的歐盟GDPR(一般資料保護規範),還有經常被拿來比較的CCPA(加州消費者隱私保護法),兩者都是著名隱私相關的法條,若違法則會有罰則。還有針對於醫療資訊相關的HIPAA。而NIST也有發布NIST Privacy Framework幫助組織管理隱私風險。
- GDPR(General Data Protection Regulation)
- CCPA(California Consumer Privacy Act)
- HIPAA(Health Insurance Portability and Accountability Act)
- NIST Privacy Framework
隱私資源與工具
前面提到的內容方向大多偏向是在於「隱私權」的政策,也就是企業組織如何收集、處理及使用您的資料。對於一些個人使用者,可能不希望自己的隱私提供給商業組織或是國家機構,可能會透過各種不同的技術與工具來保護個人隱私。這篇介紹一些資源來介紹給各位,讓大家知道可以如何透過技術與工具提升個人隱私。
PrivacyTools 網路隱私工具
PrivacyTools 為非營利組織,旨在提供一些知識與工具以保護個人隱私抵抗全球大規模監控,並推動持相近隱私關切的個人,一同參與社群交流討論,學習如何保護個人網路資料安全。
在PrivacyTools網站中的各方面隱私評論當中,其實也可以看到Edward Snowden的言論,呼籲大家重視隱私權。Edward Snowden也就是電影《神鬼駭客》的主角,之後我應該會特定再發一篇來分享相關的內容。
Awesome Privacy
第二個則是Github知名Awesome系列的Awesome Privacy
該專案提供了許多與提升及保護隱私相關的技術與知識,還有透過正負面的表列何種技術與工具的隱私性。內容相當多,讓重視隱私的你,可以有更好的選擇。
小結
最後,或許有人會有疑問,是否真的有需要去了解與探討安全性和隱私權的區別。對我的工作職涯有幫助嗎?首先,我覺得對於安全及隱私的區別有基本的了解,可以算是在資安上的基礎知識。而至於是否要深入探討差別,單純以一個純技術職來說,似乎實質上的助益真的不大,但如果是從法規、管理或是治理的角度上,我認為更加了解其差異,對於安全的規劃、政策制定、條款聲明、技術工具或是解決方案選擇都是大有幫助的。
除了工作以外,對於個人使用者來說,我相信也是有幫助的。理解隱私跟安全的區別,同時了解某項技術或是工具,到底是在保護你的隱私還是安全,才能正確做出選擇。例如多數瀏覽器有所謂隱私/無痕模式,這其實就是一種著重在保護隱私的方式,而非著重於安全性,當你使用無痕模式瀏覽惡意網站,還是可能會被釣魚或中毒。當你使用VPN時,也不表示你就不需要防毒軟體。
再者就是,我們在實踐企業安全或是軟體開發安全時,常提到安全與便利兩者之前的衝突。做資安的都知道,安全與便利兩者的矛盾。當想要更安全時,經常會犧牲方便性;想要更便利,則可能會有安全疑慮。所以努力的找到安全與便利的平衡是一件很重要的事情。
而隱私也同樣與便利性有許多衝突,當你想要能夠更具有隱私的環境時,你的便利性也許就會下降。例如Facebook或Google沒辦法精準依照你的喜好推放廣告。瀏覽器的搜尋紀錄或是歷史紀錄有時候也是很方便的。或是選擇更加保護隱私之後,應用程式或地圖無法精確定位你的位置。
所以,各位就好好自行做權衡與選擇吧!