我覺得有一點一定要正視聽，就是很多人都誤會了，以為自己只要用了太空卡，或太空機，或甚至兩者都不用，就可以完全匿名隱身，這種誤會有可能導致極嚴重的後果，所以大家一定要小心謹慎去處理所謂的「匿名隱身幻覺」。

我之前寫了一篇文章，現在再一次跟大家分享。

* * *

零基資安訓練營（九）：如果要完全隱藏網上身份

文：薯伯伯

有些朋友會覺得很奇怪，看到我一方面又對資訊保安很著緊，要用 VPN、 加密的通訊軟件、硬件保安鑰匙等等，但另一方面又會用信用卡、電子錢包，甚至當 iPhone 可以使用八達通時，還第一時間搶著去試用。

朋友問：「我還以為你要做到隱藏自己的身份。」

不是的，我其實從來沒有打算完全隱藏自己的身份，我只是有限度地保障自己的私隱。例如我與朋友之間的關係網、對話記錄，其他人當然沒有資格過問。但換了是去超市買了 100 元東西，我又不是太過介意留下記錄，甚至用信用卡消費儲點積分來兌換機票。

坊間經常有人把「保護私隱」及「隱藏身份」混為一談，這是錯誤的說法，也是危險的說法，亦容易使人誤判自己的防衛能力。例如有人買了一張「太空電話卡」，就覺得自己是匿名，那肯定是錯誤。又例如有人上網用了 VPN，就覺得隱藏了 IP，以為可以隱藏了真實身份，也是大錯特錯。

我在這篇文章，就大概講一下，如何可以做到真正隱身上網。真正隱身，是指即使對方有較高強的追蹤能力，也難以把你的網上身份，與真實的身份形成任何連結。

首先你要到一些不相熟的店鋪，以現金購買一台全新的電腦（二手未必好，因為你不知道之前是甚麼人用過），不能用信用卡付款，購買的過程要戴鴨舌帽，現在方便的話也要戴上口罩，以防監控電視把你拍下。在第一次開啟電腦及連線時，必須確保自己的手機或其他上網設備提前全部關閉。

在電腦上安裝 Tails 作業系統（The Amnesic Incognito Live System）及 TOR 瀏覽器，這部電腦只能作為你新建的匿名身份之用，絕對不能與其他身份混合使用。不過要留意，每部上網的設備本身都有一個 Media Access Control Address（即簡稱 MAC 地址），這是其中一個可能辨認的痕跡。例如去快餐店上網，每日限時一小時，他們就是按照 MAC 地址來辨認你的身份。不過在國安法的陰霾之下，為免增加寫作人及轉載媒體的法律風險，有關 MAC 地址的討論就到此為止。

還是得強調一點，保持匿名，是完全合法合理。

用 TOR 連到免費的 wi-fi 熱點，在商場裡監控鏡頭太多，巴士上的熱線可能好一些，但上車時當然要用現金支付車資。上網首先要開一個完全匿名的電郵地址，例如 ProtonMail。以前開啟 ProtonMail 戶口時是不需要任何身份驗證，但可能太多人濫用，最近要輸入電話做驗證。如果真的有這個情況，就要用現金買一部太空電話及一張太空卡，並在跟自己完全無關的位置開啟太空機及插入太空卡，接收到短訊認證，這部機就不應重複使用。

之後如果你有任何交易，可以使用加密貨幣 Bitcoin，但有 Bitcoin 的交易本身是公開，是可以輕易清楚查看每宗交易記錄，每一分每一毫都會清楚列出，這是區塊鏈（blockchain）的特性，不能關閉這個功能。

有些網站容許你在沒有任何身份認證的情況下購買 Bitcoin，最有名氣的網站是 Paxful.com，你可以用 TOR 去該網站，以匿名情況下申請的電郵地址去開啟錢包，再看看不同貨幣販子的要求，有些需要你的身份認證，手續費較低，有些甚麼也不需認證，但手續費可能要 50%，這就是匿名的代價。支付的方式，可以用禮品卡，而因為 Bitcoin 本身不會隱藏交易記錄，所以禮品卡必須要用匿名的方式在實體店購買。用完的實體禮品卡，要用安全的方法棄置。

之後可以用這些匿名購買的 Bitcoin 再買 VPN，例如 ProtonVPN。不過因為要維持匿名，即使 ProtonVPN 在業界裡的信譽很好，但在申請服務時也不要提供個人資料。

好了，你現在終於有一部新的電腦，裡面安裝了較安全的操作系統 Tails，還有 TOR，加上用 Bitcoin 買回來的 VPN，這裡預計花上數千港元。

之後是關鍵之處，想像一下，你花了數千元設置的匿名裝置及系統，卻一時不小心或手痕，把匿名設備連上了自己家裡或工作地點的 wi-fi，那這個設備就算是污染了，不再匿名。

又或是，你每次都很小心，明明家住香港仔，卻跑到天水圍才找免費的 wi-fi 上網，但原來每次你都同時帶備自己的手機兼全程開機，那麼你的行蹤也有可能暴露了，情況就有點像明星 A 和歌手 B 兩人從不交談，但經常出雙入對，難道只是巧合而已？

所以每次在新位置使用匿名裝置，就必須提前把身上其他上網裝置關閉，至於關閉了的手機會否仍然發出訊號，有點難說，所以還要把手機放進「法拉第袋」（Faraday bag），金屬物料做的布袋，能有效屏蔽外電場的電磁干擾，單用錫紙袋是沒有用。

每次上網不能太長時間，例如斯諾登當年在美國舉報 NSA 監聽事件，就是開著車到處找尋開放的 wi-fi 訊號，而每次上網也只是十多分鐘，否則易受追蹤。他在爆料之前跟記者聯絡，要求對方先安裝 PGP（加密方法），但記者不明白又不在意，斯諾登等了數個月才成功跟記者建立了加密聯諾途徑，而在這幾個月裡，斯諾登顯出強大的自控能力，能抑壓著心中團火，沒有提前在其他渠道洩漏敏感訊息。

這篇文章很長，當中不少細節寫得粗疏，但最主要的目的是要普及一個訊息，要做到真正匿名，除了要有金錢資源，有技術知識，更重要是必須有堅忍的耐性。這篇文章的標題是「如果要完全隱藏網上身份」，而不是「如何完全隱藏網上身份」，正正就是因為我覺得對大多數人而言，根本就不可能輕易隱藏自己的數碼足跡（包括上網，包括日常的電子交易等）。

所以每當有人聲稱基於「匿名」的考慮而全面停用信用卡或交通卡，手機卻在任何場合均會長開，打電話時甚至會用最原始的方式直接撥打號碼，而不用有點對點加密的方式聯絡（例如使用 Signal 的電話功能），我就總覺不安。

在適當的日子，去特定的地方，要用現金支付，避免留下交通記錄，這確實是常識，但如果不理解匿名的運作原理，卻誤以為自己沒有使用銀行卡或交通卡就等同安全，那是幻像而已。

照片：Joshua Gandara / Unsplash

⏺ 請支持不受干預的創作：http://patreon.com/Pazu

零基資安訓練營（九）：如果要完全隱藏網上身份

文：薯伯伯

有些朋友會覺得很奇怪，看到我一方面又對資訊保安很著緊，要用 VPN、 加密的通訊軟件、硬件保安鑰匙等等，但另一方面又會用信用卡、電子錢包，甚至當 iPhone 可以使用八達通時，還第一時間搶著去試用。

朋友問：「我還以為你要做到隱藏自己的身份。」

不是的，我其實從來沒有打算完全隱藏自己的身份，我只是有限度地保障自己的私隱。例如我與朋友之間的關係網、對話記錄，其他人當然沒有資格過問。但換了是去超市買了 100 元東西，我又不是太過介意留下記錄，甚至用信用卡消費儲點積分來兌換機票。

坊間經常有人把「保護私隱」及「隱藏身份」混為一談，這是錯誤的說法，也是危險的說法，亦容易使人誤判自己的防衛能力。例如有人買了一張「太空電話卡」，就覺得自己是匿名，那肯定是錯誤。又例如有人上網用了 VPN，就覺得隱藏了 IP，以為可以隱藏了真實身份，也是大錯特錯。

我在這篇文章，就大概講一下，如何可以做到真正隱身上網。真正隱身，是指即使對方有較高強的追蹤能力，也難以把你的網上身份，與真實的身份形成任何連結。

首先你要到一些不相熟的店鋪，以現金購買一台全新的電腦（二手未必好，因為你不知道之前是甚麼人用過），不能用信用卡付款，購買的過程要戴鴨舌帽，現在方便的話也要戴上口罩，以防監控電視把你拍下。在第一次開啟電腦及連線時，必須確保自己的手機或其他上網設備提前全部關閉。

在電腦上安裝 Tails 作業系統（The Amnesic Incognito Live System）及 TOR 瀏覽器，這部電腦只能作為你新建的匿名身份之用，絕對不能與其他身份混合使用。不過要留意，每部上網的設備本身都有一個 Media Access Control Address（即簡稱 MAC 地址），這是其中一個可能辨認的痕跡。例如去快餐店上網，每日限時一小時，他們就是按照 MAC 地址來辨認你的身份。不過在國安法的陰霾之下，為免增加寫作人及轉載媒體的法律風險，有關 MAC 地址的討論就到此為止。

還是得強調一點，保持匿名，是完全合法合理。

用 TOR 連到免費的 wi-fi 熱點，在商場裡監控鏡頭太多，巴士上的熱線可能好一些，但上車時當然要用現金支付車資。上網首先要開一個完全匿名的電郵地址，例如 ProtonMail。以前開啟 ProtonMail 戶口時是不需要任何身份驗證，但可能太多人濫用，最近要輸入電話做驗證。如果真的有這個情況，就要用現金買一部太空電話及一張太空卡，並在跟自己完全無關的位置開啟太空機及插入太空卡，接收到短訊認證，這部機就不應重複使用。

之後如果你有任何交易，可以使用加密貨幣 Bitcoin，但有 Bitcoin 的交易本身是公開，是可以輕易清楚查看每宗交易記錄，每一分每一毫都會清楚列出，這是區塊鏈（blockchain）的特性，不能關閉這個功能。

有些網站容許你在沒有任何身份認證的情況下購買 Bitcoin，最有名氣的網站是 Paxful.com，你可以用 TOR 去該網站，以匿名情況下申請的電郵地址去開啟錢包，再看看不同貨幣販子的要求，有些需要你的身份認證，手續費較低，有些甚麼也不需認證，但手續費可能要 50%，這就是匿名的代價。支付的方式，可以用禮品卡，而因為 Bitcoin 本身不會隱藏交易記錄，所以禮品卡必須要用匿名的方式在實體店購買。用完的實體禮品卡，要用安全的方法棄置。

之後可以用這些匿名購買的 Bitcoin 再買 VPN，例如 ProtonVPN。不過因為要維持匿名，即使 ProtonVPN 在業界裡的信譽很好，但在申請服務時也不要提供個人資料。

好了，你現在終於有一部新的電腦，裡面安裝了較安全的操作系統 Tails，還有 TOR，加上用 Bitcoin 買回來的 VPN，這裡預計花上數千港元。

之後是關鍵之處，想像一下，你花了數千元設置的匿名裝置及系統，卻一時不小心或手痕，把匿名設備連上了自己家裡或工作地點的 wi-fi，那這個設備就算是污染了，不再匿名。

又或是，你每次都很小心，明明家住香港仔，卻跑到天水圍才找免費的 wi-fi 上網，但原來每次你都同時帶備自己的手機兼全程開機，那麼你的行蹤也有可能暴露了，情況就有點像明星 A 和歌手 B 兩人從不交談，但經常出雙入對，難道只是巧合而已？

所以每次在新位置使用匿名裝置，就必須提前把身上其他上網裝置關閉，至於關閉了的手機會否仍然發出訊號，有點難說，所以還要把手機放進「法拉第袋」（Faraday bag），金屬物料做的布袋，能有效屏蔽外電場的電磁干擾，單用錫紙袋是沒有用。

每次上網不能太長時間，例如斯諾登當年在美國舉報 NSA 監聽事件，就是開著車到處找尋開放的 wi-fi 訊號，而每次上網也只是十多分鐘，否則易受追蹤。他在爆料之前跟記者聯絡，要求對方先安裝 PGP（加密方法），但記者不明白又不在意，斯諾登等了數個月才成功跟記者建立了加密聯諾途徑，而在這幾個月裡，斯諾登顯出強大的自控能力，能抑壓著心中團火，沒有提前在其他渠道洩漏敏感訊息。

這篇文章很長，當中不少細節寫得粗疏，但最主要的目的是要普及一個訊息，要做到真正匿名，除了要有金錢資源，有技術知識，更重要是必須有堅忍的耐性。這篇文章的標題是「如果要完全隱藏網上身份」，而不是「如何完全隱藏網上身份」，正正就是因為我覺得對大多數人而言，根本就不可能輕易隱藏自己的數碼足跡（包括上網，包括日常的電子交易等）。

所以每當有人聲稱基於「匿名」的考慮而全面停用信用卡或交通卡，手機卻在任何場合均會長開，打電話時甚至會用最原始的方式直接撥打號碼，而不用有點對點加密的方式聯絡（例如使用 Signal 的電話功能），我就總覺不安。

在適當的日子，去特定的地方，要用現金支付，避免留下交通記錄，這確實是常識，但如果不理解匿名的運作原理，卻誤以為自己沒有使用銀行卡或交通卡就等同安全，那是幻像而已。

照片：政府總部下，攝於 2019 年 6 月 13 日。

▶️ Patreon: www.patreon.com/pazu

背景

通訊軟體、社群網站近期流傳訊息【我對Facebook的聲明】，指出：「我不同意Facebook使用本人的照片，我的發文信息及我的出版物...」。、
這則訊息有不同的變形版本，有的訊息宣稱：「別忘了，明天開始新的facebook規則，在那裡他們可以使用你的照片。不要忘記今天的截止日期!!! 它可以在法庭案件中使用，對你提起訴訟...如果你不發布聲明至少一次，你就等同默許Facebook可以使用你的照片，以及包含在配置文件的狀態更新信息。」

《查核》
爭議點一、傳言指出「明天開始新的Facebook規則，在那裏他們可以使用你的照片」，是否屬實？

（一）Facebook曾發布正式聲明指出：
「您可能曾經看過一則貼文，內容是請您複製並貼上通知，以保有您在 Facebook 上分享內容的控制權。千萬不要照做。我們的條款詳細內容如下： 您擁有您在 Facebook 發佈的所有內容和資料，您可透過隱私和應用程式設定管理您的分享內容方式。管理分享內容的方式一直以來都是如此，從未變過。」

因此，Facebook並無「新」的規則。

（二）當使用者註冊帳號時，就已同意Facebook的使用條款和資料政策。
在Facebook建立帳號頁面指出：「點擊『註冊』即表示你同意我們的使用條款、資料政策和Cookie政策。你可能會收到我們的簡訊通知，而且可以隨時停止接收。」

（三）依據Facebook的〈資料政策〉，Facebook確實會收集使用者的張貼內容、查看內容、人際網絡、互動行為、交易資訊，以及其他用戶分享使用者的訊息等。Facebook也收集裝置資料和Cookie資料。

Facebook指稱，Facebook使用這些資料以提供個人化商品資訊、提供廣告主服務、促進網路安全、與用戶交流、提供社會公益研究等。

爭議點二、此聲明是否具有法律效力？

（一）台灣人權促進會會長、律師周宇修表示：
周宇修說，使用者在註冊任何社群平台時，它都會有服務條款等使用者協議，只要使用者勾選，這個協議就成為合約，使用者等於同意自己的資料給社群平台。如果之後要收回自己的資料，必須是使用者和社群平台雙方都同意變更合約內容，才能改變原來的約定。所以在這個情況下，單方面的聲明不具備法律效力。
不過，周宇修也指出，社群平台的使用者條款是定型化契約，它是否能在個別狀況中達到對雙方都公平，實務上都必須由法院判定。若牴觸相關法律規定，比如台灣的《個人資料保護法》、歐盟的《一般資料保護規範》（General Data Protection Regulation，簡稱GDPR）
等，就可能無效。

（二）資訊工業策進會科技法律研究所價值拓展中心主任廖淑君指出：

廖淑君說，當使用者註冊帳號時，等於同意Facebook的相關服務條款、資料政策。如果使用者要求企業變更對個人資料的使用方式，應該要根據其服務條款中訂定的意見反應管道去表達主張，而不是在個人動態牆上貼出聲明。

廖淑君說，個人在Facebook動態牆貼出聲明，僅是單方面地做出宣示，並未把意見直接傳達給Facebook。

（三）對Facebook隱私權有疑慮的申訴管道
針對Facebook的隱私政策有疑慮，可以透過TrustArc，進行線上申訴，或郵寄紙本到以下地址。

爭議點三、使用社群平台時，使用者可以如何保護自己的「隱私」？

（一）英國開放知識基金會台灣代表徐子涵表示：
徐子涵說，要保護自己的網路隱私，首先要「認識風險」－－在社群平台越活躍，隱私越不存在，暴露個人資訊的風險也越高。其次，使用者可以做的是切斷社群平台帳號和真實身分的連結，也就是「不要讓社群平台很清楚地追蹤到這個帳號就是你」。在實務上，使用者可以不要用真名申請帳號，不要把自己過去的學經歷、朋友關係、聯絡方式提供給社群平台，因為這就是把自己的社會關係複製一份數位版給社群平台。
在技術上，徐子涵建議使用社群平台時可以盡量用電腦瀏覽器，不要用手機App，因為手機可以知道使用者的位置、聯絡人關係以及每天的作息，而傳統的電腦及瀏覽器比較難知道使用者的位置。使用瀏覽器的「無痕模式」也可以減少被追蹤的程度。
徐子涵提醒，即使沒有社群平台的帳號，也還是會被追蹤，因為使用者拜訪的網站都會嵌入社群平台的留言功能，例如看購物網站時，社群平台都會描繪這個使用者的人格並蒐集資料。

（二）台灣人權促進會數位人權專案經理何明諠表示：
何明諠說，使用者點入Facebook的「設定」，可以看到廣告、應用程式和網站等個別項目，可以一一點入這些欄位，可以看到自己資料是否公開給廣告主，知道自己的資料跟哪些企業分享，透過重新設定開放權限，可在一定程度保障自己的隱私。

（三）廖淑君提醒，在資訊科技的時代，使用者在註冊任何網站帳號、使用任何資訊服務時，應該要詳閱服務條款，知道使用此服務後，企業會蒐集自己哪些資料、運用在哪些地方，並且意識到社群平台就是半公開的環境。有了這些認知後，才能在自我揭露前保護自己的隱私。
爭議點四、使用社群平台時，使用者可以如何保障自己的「資訊安全」？
何明諠認為，保障資安的第一步，是使用者在註冊帳號時，要確認自己提供了哪些資訊給社群平台。第二步是使用者要去看平台的資料政策，知道平台會蒐集自己哪些資料及其用途，並修改關於隱私、個資分享、廣告偏好等設定。這是安全使用社群平台的必要步驟。
何明諠也建議使用者要開啟「雙重驗證」，也就是在登入Facebook時，除了輸入帳號密碼，設定第二項「驗證因素」，通常傳送驗證碼到手機或應用程式來進行驗證，可以避免作為密碼被破解後，所有個資馬上遺失的情況。
不過，簡訊驗證是「雙重驗證」中相對不安全的方式，因為電信業者在傳送簡訊時，傳輸過程沒有加密，如果有心人士攔截到訊號，仍可以讀到簡訊傳送的號碼。因此，何明諠建議用驗證應用程式產生驗證碼，它不需透過其他訊號傳輸，直接在手機裡產生雙重驗證碼，比簡訊安全。、
要設定Facebook的雙重驗證，可以在「設定」找到「帳號安全和登入」，選擇雙重驗證的項目。

結論

一、當使用者註冊帳號時，即同意Facebook的相關服務條款、資料政策。

二、專家認為，使用者在個人動態牆上張貼聲明，並不等於對Facebook發出聲明。單方面的聲明不具備法律效力。不過，若社群平台的服務和隱私條款牴觸法律，經法院判決，也可能失效。

三、專家建議，若使用者對社群平台使用資料的方式有不同意見，應透過其服務條款中訂定的管道去表達主張，或是由使用者與社群平台業者雙方對服務條款內容達到新的共識，做出新的協議。

https://tfc-taiwan.org.tw/articles/677

前幾集才討論過南韓無胸罩運動，南韓女星雪莉不畏眾人酸言酸語選擇做自己，沒想到14號的時候，她還是扛不住這些網路上的惡意攻擊，因此輕生。

南韓最近也因為這起事件，出現了要求網路實名制的聲音。南韓民調機構「Realmeter」的民調顯示，有七成南韓國民贊成網路發文實名制。希望有了實名制以後，因為必須付出暴露身分的代價，所以在網路上發言的人能比較謹言慎行。

但大家可不要一聽到網路實名制就覺得說「那是中國用來監控人民的系統」。其實南韓才是全世界第一個實行「網路實名制」的國家，因為早在2008年的時候，就發生了女星崔真實，受到網民攻擊，走上絕路的悲劇，所以想藉這項法案防止網友惡意散播謠言，也就是俗稱的「崔真實法」。

這個網路實名制從2008年11月開始實行，法律規定只要是每日訪客超過10萬人次的網站，都必須要實施實名制，當時有 135 家網站因此需要以實名註冊。但卻衍生出了很多問題。像是YouTube被點名之後，他們乾脆就關閉韓國分站的部分功能，引導使用者連到美國本站。甚至有的網站就乾脆不公布自己的瀏覽次數，搞得大家都不知道就也不用查了；而且政策說要實名登記，結果網路上不僅出現大量韓國公民姓名及身分證字號的清單，讓大家方便申請帳號，更出現「韓國身分證字號生成器」這樣的外掛，只要輸入韓國人的出生年月日，就能自動生成身分證號碼。真的是防不勝防。

2011年，韓國入口網站Nate以及當時韓國最大社群網站Cyworld還因為遭到駭客攻擊，有大約3500萬的使用者個資被盜，超過當時韓國人口的一半喔。同年底，韓國遊戲公司Nexon服務器也被駭客入侵，1300萬名使用者個資再度流出。姓名、生日、電話、住址、電子信箱、密碼及身分證號碼全部被看光光。雖然可能很多人會說這不過是技術性問題，現在科技這麼進步，多一些配套措施跟安全防護，應該是不至於一直被盜個資。

不過網路實名制還有一個最根本的問題，就是「箝制言論自由」。

在2012年8月23日，經南韓八名法官一致同意，網絡實名制違憲。判決認為，網絡實名制讓言論自由受到限制，沒有韓國身分證的外國人難以註冊登錄韓國網站參與討論。而且原本實施網路實名制的目的要促進公益，BUT！網路實名制實行以後，網上的惡性言論和非法訊息並沒有明顯減少，反而導致網友紛紛改用twitter、Facebook等伺服器在國外的網路服務，打擊到了國內網路產業，沒有達到原本預期的公益性。而且網路實名制原先的立法目的其實只要藉由追蹤使用者IP位置就可以達到，根本不需要強制實名認證。

台灣目前雖然沒有網路實名制，不過其實很多網路服務都要綁定手機、申請手機上網也都要雙證件，所以原則上使用網路都會有「間接實名認證」，前台匿名，可不代表後台追查不到。只要是刑責超過三年以上，警察就可以藉由IP去找到對方，就算躲在螢幕後面，還是收的到傳票的。

但這些網路霸凌的重點其實是在「霸凌」。網路只是工具，工具本身沒有對錯。像這樣的事件就是要能讓社會大眾學習到，在網路上霸凌跟現實生活中可能一樣會有嚴重的後果。

你對於網路實名制有什麼看法呢？
--------------------------------------
《#范琪斐ㄉ寰宇漫遊》每週四晚間十點在 #寰宇新聞台 播出，沒跟上的也沒關係，歡迎訂閱我們的 YouTube 頻道 🔔#范琪斐ㄉ寰宇漫遊 🔔https://reurl.cc/ZvKM3 1030pm準時上傳完整版！