勞民傷財 成效不彰 談SIM卡實名制實施一周年
2021年1月28日是「數據私隱日」(Data Privacy Day),美國、加拿大、以色列及47個歐洲國家都有群眾舉辦相關活動,旨在提升對私隱和數據的保護。但那年的「數據私隱日」翌日,即2021年1月29日,香港政府放風表示,要就SIM卡實名登記制進行公眾諮詢。法案在同年6月4日刊憲、6月9日以「先訂立、後審議」方式提交立法會(註1),並在9月1日正式生效,連親建制的媒體也稱之為「極速通過」(註2)。
極速通過SIM卡實名制,其聲稱實名制的目的是甚麼呢?
按政府在2021年1月29日舉行的實名登記制度「公眾諮詢」記者會,官員表示,實施實名制是為了防止「層出不窮的不同類型騙案中」,例如電話騙案、引爆土製炸彈、販賣毒品、偷運人蛇、集團式爆竊案、走私、科技罪案,以至與入境事務有關的欺詐案件、禁止恐怖活動、避免不法之徒用儲值卡隱藏身份等(註3)。
我們逐點去剖析:
一.禁絕太空卡,未能防止電話騙案
不少電話騙案使用境外電話卡,讀者可能曾經收過來自罕見國家的來電,例如烏干達(+256)、瑙魯(+674)等國的疑似詐騙電話。不法分子使用境外電話號碼(非 +852)向用戶傳送高薪招聘訊息(註4),這些號碼登記完全不受香港政權監管。
如果只因有人用過香港號碼進行詐騙,就要禁絕香港太空卡,那麼有人用 WhatsApp來詐騙,下一步難道要禁絕WhatsApp?而且更改電話Caller ID並不困難,大量手機軟件能做到相關效果,如果在號碼前加上+852,看起來就很像香港號碼(註5)。
翻查實名制實施一年的情況,首階段SIM卡實名制於2022年3月1日實施,次階段則在2023年2月23日實行,即在次階段實行前,市面仍然有一部份 SIM未實行實名登記,如果實名登記能有效阻截騙案,理應已能初見成效。
科學客觀地分析數據,最能反映事實真相。根據警方公布的數字,在通過首階段SIM實名制後一年間,2022年的整體詐騙案錄得超過27000宗,七成與網上騙案有關,其餘包括「假冒官員」、「猜猜我是誰」、「虛構綁架」等,涉款超過48億。警方設立了所謂的防騙熱線,只能成功阻止525宗騙案,相比錄得超過的27000宗騙案,比例上強差人意,連警方在其刊物也坦承騙案「顯著上升約45%」(註6)。
對比電話騙案,在未實行電話卡實名登記的2021年,電話騙案共827宗,而在首階段電話卡實名登記後的2022年,電話騙案大幅飆升至2055宗,上升近248%(註7)。如果SIM卡實名制真的能有效阻截電話騙案,在首階段實施後理應初見成效,現在卻不跌反升,而且是大幅攀升。以此推論明年情況,更難相信在2023年全面實施後如何達至這個阻截電騙的「初心」。
若然執法部門本身把關不足,對防騙的教育又做得不夠好,卻以為只要從電話號碼的實名登記入手便能打擊騙案,只是緣木求魚。
二.禁絕本土太空卡,未能有效阻止引爆炸彈
遙控簡易爆炸裝置(RCIED,Remote Controlled Improvised Explosive Device)的爆炸由雷管觸發,而雷管可以用手機遙控引爆(註8)。過程中使用了兩個電話,一個打電話給另一個,電話把訊號發送到電路板引爆(註9)。問題是電話裡的SIM卡,並不必要是香港號碼,只用兩張能在香港漫遊的國際手機卡,即能達至相同效果。
如果要禁絕此一情況,難道要禁絕一切國際漫遊?但連電訊通訊自由度遠低於香港的中國境內,也沒有禁絕國際漫遊,香港難道想先行?如果不打算禁絕國際電話卡在香港的漫遊服務,那麼放置炸彈的人由一部電話加一張外國SIM卡,傳送SMS去另一部電話加外國SIM卡,就已經能輕易繞過香港的SIM卡實名登記限制。而且引爆裝置並不只用手機卡,還可以用嬰兒監視器、遙控車房開啟器、無線控制玩具等(註10),難道為了防止有人有機會以此做引爆裝置,便要禁絕類似裝置?
國際上對付手機引爆裝置的主流方案並非實名登記,而是使用干擾設備,即反簡易爆炸裝置(Counter-IED),用干擾器來中斷攻擊者和炸彈之間的無線連接,可先發制人或被動工作。一些系統甚至允許智能干擾,以避免影響無辜者的無線電通訊(同見註10),當中涉及技術以及國際間的情報合作(註11),如果香港還有參與的話。
國際上專門研究反爆炸裝置的機構,除了NATO,還有西班牙及斯洛伐克的反簡易爆炸裝置卓越中心(註12),在我翻看過的文件以及用多重關鍵字搜尋,並沒有看到他們提出手機實名制如何打擊遙距炸彈。他們在反炸彈的研究方案中,直頭連手機卡實名制都不會提出,估計最大的原因,大概就是效果極微,不設實際。
若然問禁止太空卡對防止製造土製炸彈有沒有幫助,這問題就有點像問,若然把整國家封鎖並強檢所有居民,對抗疫有多大成效?答案即使是有,也是勞民傷財,漏洞極多,防效力卻甚低。禁絕無實名登記的太空卡,對真正使用者不便,但炸彈狂人若然要放置炸彈,還是會找到他們的方法與技術。
三.禁絕本土太空卡,阻截毒販走私人蛇集團的效能成疑
現在流行的通訊軟件WhatsApp及Signal均有點對點加密,不要說是技術層次較低的香港警方未能從遠程截取訊息,就算是偵查能力完勝的FBI也同樣無法得知其通話內容(註13)。若然罪犯使用沒有實名登記的太空卡通訊,即使不能即時憑號碼得知對方身份,但仍然有機會勾線或透過發射塔的三角定位估計用家的位置,並憑著不同痕跡的關連而追蹤疑犯真正身份(註14)。
現在強制實名登記,看似是堵塞一個漏洞,但犯罪集團使用了WhatsApp等軟件進行點對點加密通訊,已能輕鬆躲過警方從遠程監控內容,如果因為擔心有犯罪集團利用,難道連WhatsApp、Signal也要禁止?(題外說一下,有時在新聞會看到消息,指警方公開用戶WhatsApp訊息,其實嚴格來說不算是「破解WhatsApp」,只是取得手機的控制權,例如在涉案人士解鎖手機時再取得使用權。)
WhatsApp以及Signal均使用Open WhisperSystems 的加密協議,在一般情況下不易從其他電腦遠程破解訊息內容。美國政府一直希望要求科技公司在資安上與執法機構妥協(註15),但這種做法被質疑會對整個網絡安全構成更大威脅。連美國政府都不能對美國科技企業強制安裝後門,更何況是香港政府?
而且不可能因為有罪犯利用的可能,就禁絕點對點加密,正如即使有罪犯會利用密碼貨幣做交易,但不代表要禁絕密碼貨幣,反而在2023年2月,就有消息指香港似有跡象顯示會重新擁抱密碼貨幣市場,並且得到北京默許(註16)。
四.禁絕太空卡,與是否用儲值卡隱藏身份毫無關係
政府聲稱實名制可以避免不法之徒用儲值卡隱藏身份,這點其實是最令人摸不著頭腦。就算太空卡沒有實名登記,用家本身也絕對不應該以為,使用了太空卡就等如匿名或隱身,因為隱身之術本來是極為複雜的學問,不單結合技術,還有毅力及堅靭。
著名吹哨人斯洛登當初報料揭發美國NSA竊聽用戶資料,為了隱身報料,要開車四處尋找能破解的網絡連線,並堅持每次最多只短時間連線(註17)。如果以為買了一張太空卡就是「匿名」,無疑是很天真的想法;同樣道理,如果以為禁絕太空卡即可防止有人利用儲值卡隱藏身份,同樣是天真無䅲的想法。
必須強調一點,不想實名登記,絕不代表是要從事不法勾當。即使使用匿名電話卡,對於能使用公權力去做偵查的執法部門,手機用戶行蹤還是無所遁形。警方可以依靠三角測量原理(triangulation)來追蹤電話,如果手機與三個或更多通信塔建立關聯,即可估計手機大概的地理位置,加上其他參數,可以逐步收窄偵查範圍(註18)。在美國一些對私隱極高要求的人,甚至會堅持在回家前就關閉手機,以免有人可以用三角測量原理測猜其可能的位置或地理軌跡(註19)。
不想實名登記,一來是由於措施多餘,清華大學的勞東燕教授更認為,在中國推行網絡實名制令用戶暴露大量個人資料,是其中一個導致電信詐騙激增的原因(註20)。
五.應對策略
此文寫於2023年2月22日,SIM卡實名制將在翌日2月23日正式全面實施,筆者本身就有張還未實名登記的SIM卡將會失效。使用這張SIM卡的原因,主要是因為流動數據最為便宜,而且不想用最常用的手機作無謂的聯絡,例如去餐廳訂枱,是否有必要使用與銀行登記相同的電話號碼?甚至留名字,是否有必要使用身份證上相同的名字?例如有次我去一間連鎖米線店,看到牆上貼滿外賣單,單據上清楚寫明訂外賣客人的名字及電話,而且很多名字看起來是全名。
至於實名登記實施後,若然生活在香港,即使因為上列提到的理據而深感這個政策如何荒謬,但最實際的做法還是要實名登記電話卡。
但還是有幾點要說明:
1. 香港本來很多用戶的電話卡就已經是月費計劃,即早已實名登記,按正常情況如常使用。
2. 以我自己實際的情況,我的手機可以插兩張SIM卡,其中一張多年前一直已是實名登記(即長期號碼,用作登記重要服務,例如銀行等)。同一部手機內的另一張SIM卡在行文之際(實名制最後限期前一日)仍然未有實名登記,但由於兩張電話卡放在同一部手機,共用同一個機身編號(即 International Mobile Equipment Identity,即國際移動設備標識,簡稱 IMEI),所以即使另一張SIM卡沒有實名登記,亦算是暴露了其用家身份。
當然一般人不容易得知兩張SIM卡的關連,但若然涉及一般刑事案件,只要有法庭搜查令便能向電訊公司查核涉事人士身份,若然因為《國安法》相關案件,則連法庭搜查令也不需要便能查核涉事人身份。
3. 由於我習慣使用一張太空卡來作為數據及「無常號碼」,這樣做的好處是數據非常便宜,大概120元港幣有80 GB數據兼一年有效期,若然不夠用又不擔心被額外收費,「無常電話」亦可以隨便用來訂枱食飯。對於長期需要聯絡的情況,則使用長期號碼。
4. 在強制實名登記實施後,我還是會用此方案,但就要每年為這個「無常號碼」做一次實名登記。每一個人在同一時間在同一間電訊公司,最多可以登記 10張電話卡。
5. 即使SIM卡已經實名登記,但若然沒有增值或延期,號碼也不會永久擁有。當號碼過期後,電訊商會取消該號碼,號碼會按現有機制(一般是半年)流出公海 。在號碼流出公海後,有電訊商的客戶服務私下確認是會一併自動取消相關的實名登記,此點待核實。
6. 實名登記的身份資料由個別電訊公司保存,對於不同公司(不論大小,不要以為大公司就安全)的保安層級實在難以抱有太大信心。在實名登記時,起碼應該要在身份證副本上加些水印,例如在接近文字及相片的位置,用顯著的文字寫明證件副本只用作某某公司的實名登記,再加上日期,算是聊勝於無。
7. 至於Signal及WhatsApp的電話號碼,本來並沒有規定要使用香港電話號碼作登記,讀者可按自身情況選擇外國號碼作登記。若然使用外國電話卡或虛擬號碼作登記,必須搞清楚「養號」的方案。若沒有信心長期為外國電話號碼「養號」,那使用香港號碼登記可能反而是較為合理的方案。
六.結論
強制實名登記的願景雖然宏大,但綜合以上數點分析,以及最新的詐騙數據,對防止罪案成效存疑,卻增加營運成本,勞民傷財。所謂SIM卡實名制,本來聲稱要防治罪犯,到頭來卻只有我們實名。
七.註腳
註6:數據刊於警方官方刊物,《提紙》Vol 1, 2023年2月17日
註12:C-IED COE,https://www.ciedcoe.org/ 及 EOD COE,https://www.eodcoe.org/
註15:其中一個例子,是蘋果公司與聯邦調查局加密爭端。
註17:Greenwald G. (2015). No Place to Hide: Edward Snowden, the NSA, and the U.S. Surveillance State. Penguin Books.
註19: 諸如曾擔任美國 FBI 的網絡犯罪特別工作組,專注於開源情報的Michael Bazzell,在其 podcast 上分享過類似做法。
原文連結:https://www.patreon.com/posts/79042998/
▌ [ 光合作用 ] 作者簡介
薯伯伯為最早一批在網上連載遊記的香港人,多年來足迹遍佈歐、亞多國,在喜馬拉雅山麓、東南亞、南亞等地區生活。著有《風轉西藏》、《北韓迷宮》、《西藏西人西事》及《不正常旅行研究所》,分別在香港、北京及首爾出版。
作者 Patreon 頻道:https://www.patreon.com/pazu