美情報機關搜刮個人數據　買起公民私隱

據《華爾街日報》報道，美國國家情報總監辦公室近日公布的一份最新報告稱，美國情報機構購買了大量可供出售的美國人個人數據，為美國政府提供了豐富的情報資料，但此舉也對美國民眾私隱造成了重大威脅。

該報告發現，商業可用信息（Commercially available information， CAI）的規模愈來愈大，成為情報部門使用侵入性監視技術針對個別目標之外，另一個收集情報的重要途徑。報告認為，「CAI以一種似乎鮮有美國人了解，甚至更少人能避免的方式，涵蓋了幾乎所有人的資訊，其類型和敏感程度，堪比通過有針對性的收集方法，例如竊聽、網絡間諜或監視獲得的資訊。」

軍方執法機構常買個人信息

該報告是在民主黨參議員懷登要求情報界詳細說明並公布其如何使用商業數據後，由國家情報總監海恩斯委託編寫。海恩斯在其2021年提名確認聽證會上同意這要求，報告於去年1月完成，不過直至近日才向公眾發布。該報告首次揭露美國政府全面審查聯邦機構如何獲取、共享和使用商業可用數據集的情況，而公眾人士一般很少注意到其數據被收集和轉售。

《華爾街日報》指出，美國情報機構、軍事單位和聯邦執法機構經常買賣美國人的個人信息。近年來，數據中介公司的產品已經從基本的地址和人口統計信息，發展到包括智能手機設備，以及應用程式、社交平台和健身手錶等位置追蹤器生成的信息軌跡。幾乎任何人都可以購買這些數據，且美國的市場監管鬆散，沒有全面的國家隱私法作保障。

手機汽車地理定位推斷身份

儘管數據供應商聲稱售給政府的數據中，大部分都是「匿名」的，即不包括姓名或地址等個人信息。 但關注私隱人士和研究人員表示，就手機或汽車上的地理定位信息而言，通常可推斷出相關人士的身份。對於某些互聯網數據，瀏覽行為也會洩露個人信息。

報告稱，此類詳細信息現在可能「對個人的聲譽、情緒健康或人身安全造成傷害」，並敦促情報界圍繞其獲取此類信息，制訂更好的政策、程序和保障措施。

懷登表示，該報告顯示，國家情報總監辦公室似乎不知道哪些聯邦情報機構正購買美國人的個人數據，這反映出行政部門內部需加強監管和提高透明度。 他說，有需要立法限制美國政府的採購數據行為，以及管制收集和出售數據的數據中介公司，並保護數據不被外國對手使用，「美國憲法第四修正案保護民眾免受『不合理搜查』，但若政府能夠繞過第四修正案的正當程序，那麼對政府監視行為的限制就會很少。」

近半民眾反對延長監控外國目標法案

據美聯社報道，美國政府近期以「國家安全」為由，敦促國會延長《涉外情報監視法》702條款有效期。此舉引發輿論不滿，許多民眾表示反對，亦有國會兩黨議員發聲批評。2008年，美國對《涉外情報監視法》進行修訂，增加第702條為正式條款。該條款允許美國國家安全局在未經法院許可的情況下，即可對選中的「外國目標」實施監控，搜集其電話、短訊及互聯網通訊內容。條款原定於今年底到期。

兩黨議員也質疑

美國國內圍繞702條款的爭議主要在於，雖然它不允許直接監控美國公民，但卻允許收集與外國人通訊的美國人相關信息，無論他們是否在美國國內。

美聯社與NORC公共事務研究中心的一項最新民調顯示，被問及是否支持702條款規定的做法時，44%的美國受訪者表示，反對政府在未經授權的情況下監聽國外電話及閱讀國外人士之間的電子郵件，僅有28%的受訪者支持這一行為。

702條款不僅遭到美國公眾反對，也受到來自國會兩黨議員的質疑。根據上述民調，在共和黨成員中，認為有必要犧牲自由來換取安全的受訪者比例，從2011年的69%降至最新的44%。

今年較早時，兩名美國國會議員發表聲明，呼籲政府結束未經授權的監聽行為。民主黨眾議員賈亞帕爾及共和黨眾議員戴維森表示，「我們必須利用這個機會改革第702條款，改革針對美國人隱私保護的措施，以確保它們能真正保護公民權利、公民自由和隱私權。」

CIA加強採用「開源情報」 分析公開信息成專門工作

美國中央情報局（CIA）近十多年來加強採用「開源情報」（OSINT）網絡搜集情報，從公開可獲得的來源收集信息，並對有關信息進行篩檢、研究和分析。

根據美國國家情報總監和美國國防部的定義，OSINT為面向適當用戶，以其特定需求為目的，從可公開取得的信息中及時收集、開發和傳播情報。一般而言，獲取開源情報的渠道包括媒體、網絡社區如社交網站和網誌、公開數據，以及地理信息數據等。

佔情報收集總數逾八成

美國情報部門早於數十年前已開始開源情報工作，但工作重點仍放在秘密情報上，分析人員認為公開來源的情報，只能作為驗證秘密情報的一種輔助用具。然而近年情況出現改變，將注意力從秘密情報轉向開源情報。隨着海量信息供應、解析他國文化、連接信息碎片、掩護情報來源等多方面價值的體現，開源情報逐步成為一項專門工作。據中情局統計，其情報收集總數中超過80%來自開源情報。

專家認為，開源情報的經濟成本較低，甚至相比衛星等其他情報工具，開源情報工作的投入可獲更大回報，且可避免其他類型情報工作常常引發的外交糾紛。此外，開源情報內容更豐富，並能持續獲取及具有不斷變化的特性，讓情報人員和專家能迅速簡便地理解外國社會和文化。

「商業可用信息」成雙面刃 軍人運動App洩基地位置

美國有線新聞網絡（CNN）指出，商業可用信息（CAI）對美國政府而言是雙面刃，它提供了刺探目標人物情報的新途徑，但也暴露美國人員的個人信息，國防部多年前便已禁止軍隊使用具有定位功能的健身紀錄裝置和追蹤程式，防止官兵行蹤洩露。

也門愛國者導彈部署地點曝光

媒體和研究人員發現，使用Strava應用軟件的健身愛好者，竟因發布個人鍛煉熱力地圖，而暴露秘密軍事基地的存在。有網民表示，Strava的運動地圖涵蓋地點包括阿富汗、伊拉克及敘利亞等地，這些地區的居民較少使用Strava，大部分用家均是外國軍人，外界不難從中推斷軍事基地位置。另有網民稱從地圖中，發現美軍在也門部署的愛國者導彈系統地點。若把地圖進一步放大，外界更能觀察軍事基地內部的活動，推斷軍人行為模式，如同獲取基地的「平面圖」。

美國公民自由聯盟高級技術員吉爾摩爾因此建議，包括軍人在內的個人在使用Strava、Waze或Google Maps等地圖軟件時，應時刻提防自己的位置信息遭數據中介公司分享。

數據中介無王管 法官被起底尋仇兒子喪命

美國近年出現許多數據中介公司，專門出售個人數據，不少當事人對自己的數據被出售並不知情，這些公司目前幾乎不受監管，甚至有大型數據中介公司出售現役或退役軍人的個人信息，網絡安全專家和國會議員認為，這些公司的行為未受到應有的監管，並對國家安全構成嚴重威脅。

現役軍人信息打包出售

長期追蹤數據中介公司商業活動的網絡安全專家、杜克大學政策研究室網絡政策研究員謝爾曼表示，Axciom、LexisNexis和NielsenIQ這三家大型數據中介公司，均有出售現役或退役軍人個人數據的行為。他指出，數據中介公司收集和出售的個人數據範圍廣、種類多，不僅包括個人心理健康情況、信用卡交易詳情、互聯網搜索紀錄，還包括實時定位信息及政治傾向等。收集完成後，這些信息將被打包出售，其詳細程度堪稱「危險級別」，可以很容易被用來對某人進行「人肉搜索」，並確認其是否現役軍人。

謝爾曼說，美國目前沒有任何審查程序，可以對數據中介公司出售的數據進行篩查，又或監督已售數據如何被使用，「要知道，從數據中介公司購買目標人物的敏感信息，所花費的成本是非常低。」

美國共和黨參議員賈斯汀說，美國目前沒有任何執行機制監督此類行為的發生。美國的兩項現行法律《家庭教育權和隱私法案》和《醫療保險可攜性和責任法案》，只限制特定實體對個人健康和教育信息的收集，許多心理健康應用程式、教育市場公司及中介公司並不屬於被限制對象，上述兩項法案無法保證這些信息不被數據中介公司獲得，「目前美國數據中介公司可隨意編撰美國公民的個人材料，並在公開市場上肆意叫賣。」

據美媒報道，2020年7月聯邦法官薩拉斯的兒子在其住所外被殺害，兇手就是從一家數據中介公司買到法官的住址。薩拉斯表示，法官們的住址、住宅照片及車牌等信息，可以很容易從網上或數據中介公司獲得，她對此感到憤怒。「就我兒子的案件而言，槍手很輕易獲得諸如我的上班路線、我的密友名單、我常去的教堂等信息，構建出我的生活檔案，悄悄潛入我的社區，所有這一切都完全合法。槍手合法地獲得我的個人信息，然後奪走了我們唯一孩子的生命。」

（來源：香港文匯報A20：國際 2023/06/14）