物聯網的資安攻防大戰！臺灣該如何見招拆招？

110/09/22
曾繁安
科技大觀園特約編輯
資策會資安科技研究所王仁甫策略總監專訪

5G 科技讓萬物聯網的新紀元已經來臨，代表著機器與機器溝通，人類過上全自動化的超便捷生活不再是夢。但這同時也意味著科幻電影中，邪惡駭客組織攻占重要機關的主機系統，引發一連串資安問題，甚至攸關社會國家安危的重大事件，也可能在現實中發生！
科技帶來的便利與風險並存的這個世代，來聽聽資安專家——資策會資安科技研究所王仁甫策略總監的精彩分享，一起思考 5G 物聯網下面對的資安挑戰。

一起跟資安達人瞭解 5G 如何翻轉我們的生活！

「16 年前一個月黑風高的夜晚，博士班學姐的一通電話，讓我踏上資安這條不歸路……」

問起投入資安領域的契機，王總監用打趣的口吻開場。當時在學姐的建議下，他參與了設計國内第一個資安指標的工作，從此開啓與資安的不解之緣。自稱「資安界 56 哥」的王總監，雖非一般人熟悉的另一位仁甫兄，但他對科技資安研究的敏銳觀察與豐富經驗，肯定令人甘拜下風。

他談到，4G 網絡的發展令網紅經濟崛起，你我都不曾想像『點讚、訂閲、打開小鈴鐺』會變成一種常態。而接下來的 5G 物聯網，將帶來更大的轉變與衝擊。

為什麽比起 4G，5G 有「大頻寬、高速率、低延遲」的特性？這是因為目前 4G 所在電磁波區間（約 450 MHz ~ 3800 MHz）已塞滿用戶，讓網速變得越來越慢，因此人類便把腦筋動到頻率更高的毫米波頻段（約30 GHz ~ 300 GHz）。增加了 5G 的區段，就像從塞爆的車流中，移到空曠的新路上。而頻率越高，頻寬也越寬，這條道路不止空曠而且比原先的更寬闊，於是訊息的傳遞能暢行無阻，理論上可比 4G 快一百倍！

「5G 最重要的，就是可以達成邊緣運算（Edge Computing）。」

王總監舉例，自動駕駛和遠距醫療還未普及，是因為傳統仰賴的雲端運算（Cloud Computing），傳輸訊息的速度不夠快，且成本高。雲端運算可以比喻作中央集權制，凡事都要經過朝廷皇上批閲議決，效率自然較低；但邊緣運算就像地方分權，讓數據可以直接在收集端附近實時處理和分析，無需先上報到雲端進行存儲、管理和分析運算，節省了上傳等待運算的時間，也減輕網絡和服務器的負擔。

在高速公路和手術檯上，微秒之差就是生死關頭。而 5G 搭配邊緣運算，大大提高的數據傳輸速率與極低的延遲，讓自動車之間可以維持安全的相對距離，遠端控制的手術刀可以精準無差地落在正確的部位。

也有賴於 5G 科技，需要大量運算資源的人工智慧（Artificial Intelligence，AI）也可以實現。這些發展促成物聯網（Internet of Things, IOT）的建立，機器和機器之間可以達成溝通，整合各方數據資訊，迅速有效率地完成各種指令。小至個人智能家居，大至工廠機械、重要基礎設備如水壩、發電廠等等，都能踏入數位自動化的新境界。

越方便就越危險？機器與機器的連接也要小心

不過，5G 的特性也改變了用戶與網絡間的關係。傳統 4G 是直鏈狀的系統，由電信商自上而下提供網絡，再經由應用程式界面（Application Programming Interface，API）提供服務給用戶，存在一個封閉式的層級關係。但速率快、訊號覆蓋範圍較小的 5G（注1）， 則是由邊緣端、應用裝置及用戶組成，數據傳輸相互往來的三角形體系，不再有上下權限差別的限制。為了形成物聯網提供更多應用，5G 網絡也變得更對外開放，被駭入的風險也會提高。

研究專長為駭客行爲的王總監提到，如今網絡犯罪的作案手法越來越多元。過去搶匪洗劫銀行，還要擔心實體鈔票金條太重，扛不動。現在駭客只要動一動手指，就能利用惡意程式讓銀行的上億元瞬間消失；或使用勒索病毒，鎖定廠商的資料庫，再以巨額款項要挾，否則就把重要生產機密銷毀或公諸於世。

「5G 應用得越深，危害的情境就越高。」

未來 5G 物聯網可能面對的兩大資安威脅，包括用戶 IP 可能被駭入後，可能被用作惡意中繼站或跳板繼續攻擊另一方，讓受害者同時也成了加害者。再來，當物聯網涉及的層面越來越廣，假如被不法分子入侵掌控的是自駕車、基地台，甚至是重大國家基礎建設如水壩、發電廠等等，造成的損失傷害不堪設想！

網絡戰資訊戰開打，台灣如何接招還擊？

從個人角度，平時養成謹慎小心的習慣，不隨便亂點不明連接，隨時留意最新的網絡犯罪手法，是保護自己的不二法門。但在通訊科技發達的今時，第三次世界大戰很可能就在網路上發生，資安可是攸關國家安危的重大議題。

自 2016 年起，台灣便喊出「資安即國安」的口號，而王總監也參與在草擬「資安即國安」1.0 與 2.0 戰略的工作中。在1.0 戰略中，首要步驟就是將資安鐵三角（資訊安全、通訊安全、國家安全）正規化。政府也修訂相關法規，將資訊和網際空間延伸為國家主權的一環，並把駭客攻擊與竊取智慧財產，納入情報蒐集的工作，才能為網絡戰做好準備。

「守護要自己來，就需要有人才。沒有資安人才，就沒有基礎的資安；沒有錢投入，也不會有資安人才。」

王總監强調，一個國家的資安要做好，最重要的就是資源與人力的投入。如果國内資安產業沒有妥善發展，資安人才缺乏，就必須仰賴國外的產品。若系統程式都不是由自己人開發，而是假手於他人，便難以確保檢測過程的可靠性，往往等到資安事件發生後，才驚覺漏洞的存在。因此，政府也編組了多支專業團隊，培訓資通電軍與資安產業人才，為國内資安把關。

而「資安即國安 2.0」的重點，除了規劃新設數位發展部、成立專責的資通安全署，就是主動式防禦（注 2）——與其乖乖等著被人打，不如自己先請外部團隊攻擊自己，作資安測試，去找出資安漏洞和弱點！舉例來說，業界為了找出系統防禦上的漏洞盲點，常會委外進行紅隊演練（Red Teaming）。就像在進行軍事演習，紅隊扮演進攻方，以無所不用其極的方法嘗試入侵，同時驗證藍隊防守方的偵測與回應能力。這樣的演練成本可不低，一次就要三五百萬臺幣起跳。

但台灣不用付錢，就有免費的資安攻防演練！王總監如此笑言。這是因為，在全球最常受駭客攻擊的國家排行榜上，台灣可是位居前列。根據網路資安商 Fortinet 的報告，2021 年第一季台灣遭受到超過兩百萬次的駭客攻擊，平均每分鐘就會遭遇逾 15 次的攻擊！所謂危機就是轉機，這些源源不絕的攻擊，也讓台灣深具適合發展資安產業的龐大潛力。王總監認為，資安產業要像台灣未來的台積電，扮演護國神山般的角色。

想投身資安產業？不需要獻出心臟，只要有一顆熱忱的心

「投入資安產業不要限科系，但是要有一顆熱忱、學習的心。」對於有心想往資安領域發展的年青人，王總監給出這樣的建議。

雖非資訊科學出身，但大學的工程背景，讓王總監有了程式語言的基礎。後來他取得經濟學、法學雙碩士，前者使他瞭解產業界的趨勢走向，法學則令他知曉資安重合規性與合法性的重要。在科技管理與智慧財產權領域的博士論文中，他則從社會學、科技研究的方法分析駭客行為。他表示，跨領域的學習可以讓他從更廣濶的視角，釐清各方問題之後，找到痛點，來提供更好、更全面的科技與資安政策。

王總監指出，這一代除了要與人溝通，還要學會與機器溝通，所以掌握好程式語言的邏輯基礎是重要的，因此王總監所在的資策會資安所，除了研發研發資安監控平臺，將研發的成果技轉給業界，同時他也擔任台灣駭客協會(HITCON)理事和社團法人臺灣校園資訊安全推廣暨駭客培育協會(TDOH)理事，推展培育資安人才的各項活動，未來希望能舉辦小朋友駭客營，讓孩子在小學階段就能接觸和體會程式語言是有趣的。他也勉勵年輕人，能力好的可以負責找漏洞和抵禦攻擊，站在資安攻防戰最前線；即使程度不夠拔尖，也可肩負資安維運的工作，在各自的崗位上適才所用，都能為守護資安和國安，盡一份心力。

根據光速等於波長乘以頻率（c = f × λ）關係式，我們知道頻率越高的波段，波長越短，穿透能力強。所以 5G 電磁波訊號遇到障礙物時，會想强行穿越而非「繞」過，繞射能力弱，造成散失的能量大。因此 5G 雖然有著高速率、低延遲的優勢，弱點就是訊號覆蓋範圍小，故需要設置夠多的基地台方可實現，而電信服務商會提供用戶建設專網——既不同於覆蓋範圍大的公網，而是擁有特地目的、獨立運作的網絡系統。

此外，主動式防禦也包含三要素：歸因、阻斷、減災。歸因便是找出攻擊的背後原因，釐清駭客的犯案動機，才能對症下藥。再來，對惡意程式來源進行阻斷，往後才可以減少再次被入侵的風險。

附圖：王仁甫
和台灣知名藝人同名同姓的王總監，説話風趣幽默，整個採訪過程充滿笑聲。圖／台灣資安大會
邊緣運算架構
邊緣運算架構與傳統雲端架構不同的地方是，資料將改放在網際網路和本地網路之間的邊緣運算層作處理，等資料變少了，再將處理後的資料回傳雲端。
攻擊
台灣平均每分鐘就會遭遇逾 15 次的攻擊，源源不絕的攻擊讓台灣深具適合發展資安產業的龐大潛力。圖／pexels

資料來源：https://scitechvista.nat.gov.tw/Article/C000003/detail?ID=0853796d-0b42-4a72-a0cb-ed70ddad9f77&fbclid=IwAR2H03H3PtQ6JhtQIy6KpMaz78iFa7NBgfizoTzEbAGba_58W6guaSHYBkg

犯罪偵查與人權保障之間的平衡—科技偵查法制公聽會
　
法務部在上個月月初（8日）公告了「科技偵查法」草案，但因為公告期只有5天，又涉及秘密通訊自由、隱私權及科技資訊權等基本權利，並明文授權包括被稱為「國家木馬」、有著高度爭議的設備端通訊監察在內的偵查手段，而遭到各界抨擊。法務部檢察司林錦村司長也在公告結束後表示，考量各界意見多，將進行研議後，再送行政院核轉立法院審議。
　
為了讓官方跟民間在草案能有機會直接對話，我在9月25日星期五開了一場「科技偵查法制修法公聽會」，邀請司法院、法務部、國安局、調查局、廉政署、海巡署和刑事警察局等各執法機關，和民間司法改革基金會 林永頌律師、台灣人權促進會 Taiwan Association for Human Rights 周冠汝專員、中華民國律師公會全國聯合會 李宜光律師、台北律師公會 王怡婷律師、台灣刑事辯護律師協會 陳奕廷律師、劍青檢改 林達檢察官，一起交流寶貴的意見。
　
因為與會來賓的發言都非常全面，為了方便閱讀及掌握爭點，我請助理把與會人員的發言，重新依據議題歸納整理。希望有助於聚焦討論。
（如果有誤解或任何錯誤，歡迎隨時指正喲！）
　
　──────────────
　
【台權會：資訊接露和隱私保障】
　
台灣人權促進會的周冠汝專員，率先分享國家監控的資訊透明狀況。台權會曾經在加拿大的學術報告中，發現台灣有間諜軟體伺服器，更曾經被偵測到在公共網路上有可以篩選封包、封鎖內容與進行監控的設備，但是從來不知道使用的單位和目的。
　
除了網路監控之外，還有位置的監控。周專員表示，依據法務部調查局2017-2018年GPS的使用統計資料，監控時間大多沒有超過60天。科技偵查法草案規定超過2個月才有法官保留，會讓大部分的監控都不用經過法官的審查。
　
周專員強調，問題在於如何監督科技偵查手段的行使，也擔心會如同英國或德國般，促使監控產業的發展。專員表示，立法前應該盤點過去的使用狀況，了解足夠的資訊後，才能和社會溝通並決定調整的方向。
　
【司改與律師團體：草案規範有所不足】
　
民間司改會和律師團體，則從法學專業與經驗出發，指出草案有待改進的面向。
　
１．隱私空間界定狹隘，不符社會通念和司法發展
　
司改會董事長林永頌律師指出，草案規定非隱私空間就可以拍照、測量、錄音、錄影，但公開場合並不代表沒有個人隱私。此外，法律規定的要件只需要檢察官甚至警察認為「必要時」即可，非常地抽象而不明確，更不需要法官審查，林律師因而質疑是否符合比例原則。
　
中華民國律師公會全聯會李宜光律師也表示，草案中隱私空間的範圍是被縮小的。一般的搜索，進入大門就要搜索票，但現在庭院也不算隱私空間，因為並非住宅或其他具有隱蔽設施之地上物的內部空間，使得人民的隱私範圍被限縮到限於住家裡面。
　
台北律師公會王怡婷律師，引用司法院釋字第689號解釋理由，說明現行司法實務已不是用單純物理空間決定隱私保護範圍：「即他人之私密領域及個人資料自主，在公共場域亦有可能受到干擾，而超出可容忍之範圍，該干擾行為亦有加以限制之必要。蓋個人之私人生活及社會活動，隨時受他人持續注視、監看、監聽或公開揭露，其言行舉止及人際互動即難自由從事，致影響其人格之自由發展。」王律師質疑，公寓大廈有開放的大廳，是否也代表國家機關可以在大廳監看人員進出，不構成隱私侵害？這樣是否符合國家應該保障隱私權的作法？另外，公共場所如果能任意監看與聞，也可能涉及到人臉辨識等科技執法的問題。
　
台灣刑事辯護律師協會陳奕廷律師表示，正如同美國Marshall大法官所言：「隱私不是全有或全無的概念，對個人來說，也不該只有『保有』或『失去』隱私兩種選項。」，草案採取二分法並作為強度設計的標準，會造成誤導。如同大法官解釋意旨所說的，公共領域也有隱私權，不應該再以物理範圍重新界定隱私空間。
　
２．隱私空間的隱私和第三人的隱私
　
李宜光律師認為，法案有株連過廣的問題。在對隱私空間的非侵入性偵查，例如對住家使用熱顯像儀的狀況，對先生蒐證時，配偶子女也會被偵測到。此外，蒐證還有馬賽克式的狀況，個人的行蹤和軌跡會被偵測到，並從破碎的拼圖變成一個完整的面，對隱私侵害很大，而且實施時間很長，可能無法通過比例原則的檢驗。
　
陳奕廷律師指出，通訊保障及監察法第13條已經明文禁止在私人住宅竊錄影音的「大監聽」。雖然科技偵查法的規定沒有涉及錄音，但一舉一動，無論洗澡、親密活動或其他人的資訊，都可以用如熱像儀等儀器一覽無遺。國家就像隱形人在旁邊看你活動，是對隱私更強大的侵害，也是大監聽的復活。陳律師認為，原則上要全面禁止，例外也要有更嚴格於通保法的規定。
　
３．位置追蹤與隱私保障
　
對於GPS等位置追蹤的偵查手段，草案規定的要件是「檢察官認有必要時」，且實施超過兩個月的話，要由檢察官聲請法院同意。對此，林永頌律師質疑無需法官保留的兩個月時間過長。陳奕廷律師也強調，這些監控不是驚鴻一瞥，是長期大量的監控，資訊量差異很大，因此要有令狀原則、通報紀錄和僅供本案使用等限制。王怡婷律師也指出了「必要時」沒有客觀標準的問題。
　
４．層級化法官保留
　
李宜光律師表示，針對科技偵查的必要性，規範方式有三種程度類型：「有必要」、「有相當理由」和「有事實足認」。如果「有必要」並且由檢察官或司法警察就能認定，範圍真的太大，在比例原則和法官保留等要件上要重新思考。
　
陳奕廷律師則指出，設備端通訊監察不亞於監聽錄音，包括照片、影片和檔案，都有機會透過草案第14條的規定授權獲取，遠比掛線監聽的範圍更大更多，並質疑草案規定比傳統監聽還要寬鬆。
　
５．違法取證怎麼辦？
　
王怡婷律師質疑，刑法第307條違法搜索罪是非告訴乃論之罪，為什麼草案規定違法實施設備端通訊監察和洩密是告訴乃論之罪？甚至在某些狀況下，可以不用事後通知受監察人，又怎麼提出告訴？陳奕廷律師也認為，告訴乃論之罪的設計，律己從寬到極致，刑度上還可能比通保法的規定少，因為沒有「意圖營利」的加重規定，並質疑這樣的刑責程度能否有效嚇阻公務員濫權。

在證據能力上，陳奕廷律師指出通保法第18-1條有「不得作為證據」（證據的絕對排除）的規定，但是草案第27條所規定科技偵查法實施前蒐證證據的證據能力，卻是採用權衡之相對排除的方式，是否能有效遏止國家機關違法蒐證，也有待釐清。此外，德國有外部中立單位的審查。草案條文規定監聽後要移除程式，有沒有任何監督機制存在？陳律師並主張應考量由中立客觀的單位，進行科技上的監督與管考。
　
６．法律體系
　
在法律體系上，林永頌律師、王怡婷律師和陳奕廷律師都指出，設備端通訊監察以及數位證據的蒐集和保全等規定，涉及到既有通保法與刑事訴訟法的規定事項，也都涉及對秘密通訊自由的干預，草案更相當程度地準用了通保法的規定，並質疑是否修正整合修正通保法的規定，是更完整妥當的立法方式。
　
林永頌律師進一步表示，強制處分是程序法重要的概念，以目前的規範來看，應該由司法院提出法案，而且司法院會相對重視相關的法律原則──法務部不是不重視，但同時也有犯罪防治的業務目的。
　
【劍青檢改：犯罪訴追與合法性監督】
　
除了律師團體與人權團體，改革派檢察官的代表──劍青檢改的林達檢察官，也以基層檢察官的角度表達意見。林達檢察官表示，從檢察官的角度來看，能立法是好事。因為立法是限制國家權力的作法，也就是保障人民基本權。如果沒有立法，執法人員可能有兩種不同的心態，一種是法律沒有規定所以都可以做，另一種是沒有規定都不能做，但實務上前者比較多。此外，沒有立法的狀況下，也無法統計、知悉使用狀況，立法才能納入管制。只是，談到立法就會走入細節，就會有相關爭議。
　
對於科技偵查在實務上的需求，林達檢察官舉出了海上走私、盜採林木、製毒工廠和先前發生的略誘少女案件為例，因為環境與犯罪模式的特殊性，如果沒有相應的科技偵查手段，諸如GPS、M化車、空拍機和熱顯像儀等科技設備幫助，就會難以偵查犯罪。
　
最後，林達檢察官認為，應該思考是否要全部法官保留。全面法官保留是很極端的作法，案件也會衝進法院。然而，國家法律必須考量到司法資源分配的問題，而需要層級化的法官保留。林達檢察官也表示，要和各界溝通對檢察官的信任程度。其實在檢察官的工作上，常常和司法警察發生爭執，因為檢察官對於蒐證程度和證據調查的聲請，有著很高強度的合法性控制。
　
【執法機關：科技進步與偵查障礙】
　
執法機關各自分享了第一線人員的經驗和困境。國安局人員表示，當遇到境外敵對勢力的威脅作為時，例如網路駭侵行為，傳統偵查有其不足，而有更新法律的必要。法務部廉政署肅貪組蔡旻峰副組長，指出了傳統通訊監察法制面對現代網路通訊應用的無力，除了無法及時掌握行賄的關鍵證據之外，還必須出動大量人力蒐證，而無法在更多貪瀆案件多所著墨。
　
法務部調查局廉政處蘇子廉副處長表示，科技偵查作為往往涉及人民基本權的干預，所以執法機關需要法律授權才能確保符合憲法法治國原則。民眾期待司法警政機關抓壞人維護治安，但是偵查法令的設計似乎跟不上科技演進，例如通保法不及於加密的通訊軟體，就造成犯罪的死角，並強調犯罪者和偵查者必須武器平等。
　
海巡署孫世亮副組長強調，傳統偵查手段有時效延宕績效不彰和精準度不及的窘境，而如果有完整的證據，就可以避免誤判，讓嫌疑人證據確鑿或避免冤情。海巡署犯罪偵查科陳佐霖科長則以盜運砂石為例，表示嫌疑船隻一出海，就會關閉自動識別系統（Automatic Identification System，AIS），造成追查困難。因為法院認為要有法律授權才能使用GPS，海巡人員也就不能使用GPS調查。另外，海巡執法面積有13個台灣大，沒有科技偵查，很難阻絕犯罪於境外。
　
刑事警察局謝有筆科長表示，犯罪者為了躲避查緝，除了採用通訊軟體進行聯絡，工廠也在偏鄉或人煙稀少的地方。在沒有掌握的狀況下進行跟監，除了會被懷疑而撤掉工廠，也有警察人身安全的問題。因此，警方需要不受人力和時間限制的偵查手段，例如監視攝錄定位追蹤等方法，讓警方能掌握相關犯罪情資。
　
法務部林錦村司長表示，科技偵查的立法，是因為基層執法人員遇到困境。犯罪組織用先進科技躲避查緝，也要思考給執法部門相對應的科技偵辦犯罪。林司長強調，在給予執法部門科技偵查手段的同時，難免對人權有所侵害，並認為要兼顧犯罪調查和人權保障的面向。
　
林司長也對草案的立法體制進行了回應。法務部之所以不修正通保法和刑事訴訟法，是因為通保法規範的是通訊秘密，GPS等科技偵查方法並不是通訊秘密的範圍。此外，設備端通訊監察不是台灣獨創，德國、奧地利、瑞士等國家都有。司長也表示，科技辦案難免會侵害權益，是否能依照侵害程度層級化法官保留。司長還特別說明，科技偵查是以刑事犯罪為前提，如果沒有取得令狀，很多無關的資訊應該立即銷毀，偵查結束後，設備端軟體要移除，其他檔案如照片行事曆等也不得使用。而未來將會建立流程，也會有不辦案的中立獨立的專責機關，並會強化資安的保障。
　
【司法院：保護人權與建立制度】
司法院的楊明佳法官表示，刑事訴訟法、通保法和科技偵查法等各部法律，如果標準不能齊一，會有操作上的混亂與困難。而在層級化法律保留上，應該從侵害基本權的種類和程度思考。例如刑事訴訟法上的搜索扣押，可能侵害到財產權和居住安寧，通訊監察則涉及秘密通訊自由和隱私權。至於科技偵查就可能非常廣泛，目前有熱顯像、M化車等設備，不知道未來還會有什麼。從這個角度來看，應該將科技偵查規定在刑事訴訟法，或考慮用一部特別法將所有科技偵查進行統合性規範。
　
顧正德法官則認為，無論規定在哪部法律，最重要是內容，法制要完善，監督機制也必須有事後檢驗。顧法官並認為，採用專法較能進行完整的體系規範。在立法上，顧法官認為科技偵查有科技和偵查的兩個面向，最後也要回歸法律面和偵查機關的需求，法務部或偵查機關會更清楚知道犯罪人的手法和犯罪困境，以及必須借用哪些科技手段。
　
楊明佳法官另外指出，科技偵查要考慮隱私權侵害的程度。草案對於隱私空間的區分方式，可能會造成人民權利侵害的結果。此外，也要考量偵查方法究竟是秘密還是公開為之，更要考慮時間長短是否合理，或者有更細緻的規劃。楊法官並引述司法院釋字第631號解釋解釋文：「國家採取限制手段時，除應有法律依據外，限制之要件應具體、明確，不得逾越必要之範圍，所踐行之程序並應合理、正當，方符憲法保護人民秘密通訊自由之意旨。」，強調要件要儘可能合理明確。
　
楊明佳法官認為，監督機制也很重要。在通保法上，通訊監察分成建置機關和執行機關。建置機關的資訊是客觀而無法人為調整的，同時搭配相關的監督考核機制，讓建置機關的運作可以公正客觀。但目前科技偵查法草案的規定，大部分是誰有設備就可以做。例如手上有高倍數相機，就能對人家家裡拍照，有M化車就能今天開甲地明天開乙地。楊法官並質疑，如何透過事後監察達到有效管控。此外，證據能力的部分，草案第27條和刑事訴訟法第158-4條都是權衡的方式，是否還要在草案規定、目的是什麼。
　
顧正德法官也針對草案中的各種偵查手段提出其看法。首先，科技設備在特性上可以長時間進行紀錄，也可以進行分析，甚至可以侵入隱私空間偵查。而即使是非隱私空間，長時間的監看累積，也可以呈現圖像式的生活模式，就是憲法所要保障的隱私權範圍──時間短暫可能沒有侵害，累積到一定量時就會有侵害，所以沒有法官保留就會有違憲之虞。

關於戶外的非隱私空間，顧法官表示還是有合理隱私期待的可能性。至於法官保留的時間長短可以再詳細討論，例如德國規定實施連續24小時或者間斷實施2日，就要法官保留。而科技偵查法草案規定，追蹤位置在2個月以內是檢察官保留，超過才是法官保留，時間會不會太長？時間又要如何計算和監督？顧法官並提出警告，如果沒有做好，會等於空白授權。

此外，顧法官認為，依法院的見解，GPS和M化車會侵害人民隱私權和資訊自主權，裝設裝置也侵害財產權，可能一開始就有法官介入的必要。也要進一步思考，人臉辨識能否使用在追蹤位置？外國有在進行，但會傷及無辜，因此雖然要允許追蹤位置的科技偵查手段，但有些手段是否也應該禁止呢？

至於對隱私空間的科技偵查，顧法官指出，問題首先在於是否允許國家透過科技手段偵查屋內隱私。如果真的有必要，除了法官保留，也要提高門檻和建立監督機制。草案雖然採取相對法官保留的立法模式，如果只需要「相當理由」，可能也無法發揮司法審查的功能。另外，如果未來技術允許，是否可以允許從戶外透過網路打開屋內的手機鏡頭或麥克風？如果不允許，或許要立法絕對禁止。

最後，關於設備端通訊監察的部分，顧法官認為這也是一種通訊監察，並建議可以放入通保法，不要立在專法再準用。此外，顧法官也質疑技術上是否能做到只擷取通訊隱私，以及如何區別通訊隱私和其他隱私（包括照片或上網紀錄等個人隱私）。如果要用人工識別而可以事前接觸資料，就會有問題。
　
除了前面的議題，還有兩個問題被熱烈討論了一番。
　
【問題1：電磁紀錄搜索扣押，會不會及於雲端資料？】

周冠汝專員對電磁紀錄搜索扣押範圍提出質疑。首先是透明程度的問題。周專員問道：過去台權會在看統計資料時，搜索票部分的電磁紀錄統計，有多少只涉及裝置，又有多少是取得裝置後再進入其他設備或登入雲端硬碟？周專員表示，如果搜索票聲請書單純只寫電磁紀錄，法官可能很難衡量侵害程度。第二，是否能搜索遠端電腦或雲端資料，涉及存取權的問題。例如協作的文件，是不是屬於通訊的一部分？而且雲端資料也不是單一個人擁有存取權限。周專員也質疑，會不會建置資料庫，供本案或他案使用？王怡婷律師也詢問，電磁紀錄的搜索扣押，是否包括網路銀行的帳號密碼和連接後的交易資訊。

黃致中檢察官說明表示，對於電磁紀錄的搜索統計資料要再確認，但應該沒有單獨統計雲端的部分。而草案關於電磁紀錄搜索扣押範圍的部分，只是澄清性的規定，立法理由也說明是現行刑事訴訟法的補充性規定，所以不會成為遠端搜索的授權依據。至於協作文件的取得，和通訊並沒有關係，因為不是監視製作文件的往來過程。最後，設備端通訊監察的相關規定，是從通保法移植而來，因此不會包括諸如輸入帳號密碼等通訊以外的事項。如果會造成這樣的誤解，會回去研究怎麼樣不造成誤解。

林達檢察官也分享辦案的實務經驗。在偵查機關扣押手機後，會先用飛航模式斷開連線，避免檔案被從遠端消除。而遠端空間的規範，還涉及到軟體的具體功能，例如把擋案存在手機裡，或手機上只有檔名和路徑──如果涵攝到具體案例，就有很多特殊的功能。

陳奕廷律師質疑，搜索票有空間上限制，那如果要搜索電磁紀錄，是要在搜索票上表明針對具體硬體，還是可以對遠端附帶設備進行附帶搜索？美國法上正反意見都有，是有爭議的事項，是否能立法直接包含呢？就像搜索到鑰匙，是不是可以拿鑰匙去把門打開？

【問題2：對隱私空間進行科技偵查的重罪原則？】

李宜光律師表示，對隱私空間應該要特別重視，但是草案第9條第1項規定最「重」本刑三年以上有期徒刑之犯罪，就能採取對隱私空間的監控，連竊盜和傷害罪等輕罪都會包含在裡面，因而質疑是否有寫錯字，並主張應該改成「最『輕』本刑三年以上有期徒刑」。

法務部黃致中檢察官解釋說，這條規定並沒有寫錯，如果認為範圍過大可以討論。而如果是「最『輕』本刑三年以上有期徒刑」，那和誘罪就完全不能用，所以在討論犯罪範圍時，應該要思考哪些犯罪會用到這樣的偵查手段。法務部李濠松副司長補充說明，通保法關於調取票的要件，就是規定最「重」本刑三年以上有期徒刑，通訊監察書才是最「輕」本刑，這是因為隱私權干預程度不同，就設定不同的門檻。

對此，陳奕廷律師認為，該規定是「大監聽」的復活，因此不是法官保留的問題，而是國家能不能做的問題，並對本條規定持保留態度。

李宜光律師更表示訝異，最重本刑三年以上的話，傷害罪等輕罪就能適用。另外，該規定涉及隱私空間，要件也只是「相當理由」，對人權的侵害將難以想像，因為條件寬鬆、罪名很輕，侵害範圍又是隱私空間，手段也有錄影，時間更可以到30天，所以從憲法來看，很難通過比例原則的挑戰。此外，在一般人可以共見共聞的範圍內，雖然沒有隱私權的保障，但一般是指在民事法律的狀況。國家動用公權力監察人民隱私，應該受到更嚴格的限制。李律師並認為，只要是有隱私的合理期待，就像美國大法官說的，就應該要聲請令狀向法院聲請。如果有可能侵害隱私空間，應該檢具證據向法院聲請，而不要任意為之。

林永頌律師則表示，在法律設計上，不是只有「最重本刑」或「最輕本刑」的規範方式，如果有犯罪具體情形上有其需要，那就明列出來。

──────────────

快樂的時光過得特別快，在經過了三個多小時的假公聽會真研討會之後，又到了時間吃午餐。我相信，這樣一場面對面的公聽會，是促進官方和民間理性討論和完善制度最好的方式，更期待未來在規範的制定和政策的研擬上，能有更多對話而非衝突的空間。