ProtonMail 網頁截圖

標榜高私隱電郵 ProtonMail 向瑞士政府交用戶 IP 致社運家被捕 引資訊安全憂慮

近年不少港人關注通訊保密問題。獲不少人視為極安全的電子郵箱 ProtonMail 備受關注。不過近日有消息指,ProtonMail 應瑞士政府要求,交出一環保組織的用戶 IP,終導致涉事的法國人於法國被捕。由於事件涉及外國政府執法,故引起不少港人關注。

2013 年創辦 標榜關注用戶私隱

ProtonMail 是 2013 年斯諾登事件後,為應對美國的全球監測和攔截電子郵件而建立,由歐洲核子研究組織 (CERN) 成員 Jason Stockman、嚴育銓 (Andy Yen) 和 Wei Sun 創辦,公司設在瑞士日內瓦,其兩個伺服器亦設在瑞士。

該服務特別注重保安功能,例如不儲存用戶個人密碼、公司無法檢索用戶電子郵件、不記錄用戶 IP 等。

今次案件涉事組織是成立於 2018 年的 Youth for Climate。該組織關注氣候問題,近年曾在法國的示威活動中佔領私人地方,與警察發生衝突。由於網路上可找到一該組織使用的 ProtonMail 電郵地址,法國警方遂透過歐洲刑警組織 (Europol),要求 ProtonMail 交出該電郵的使用資料,最終該公司交出一系列數據,包括電郵設立日期、IP 地址,以及使用該電郵的設備名稱及號碼。

由於今次案件中,聲稱不記錄用戶 IP 的 ProtonMail 交出了用戶 IP,遂不少網民質疑其的宣稱是否屬實。此外,案件亦令人擔心,ProtonMail 是否會隨意應外國政府(在這件案件中,指法國)要求,交出用戶數據。

ProtonMail﹕須遵從瑞士法例

首先,為甚麼 ProtonMail 會記錄用戶 IP?ProtonMail 解釋,該公司確實默認不記錄 IP,但遵從瑞士法例時除外。換句話說,ProtonMail 有可能是接到瑞士當局要求後,開始監察特定用戶 IP 等資料,並在一定時間後向當局提交。

根據 ProtonMail 私隱政策,在瑞士法例要求下,可提供的用戶資料包括發信人及收件人地址、IP、發信及收信時間、最後上線時間,以及其他服務商發給 ProtonMail 的未經加密訊息等。不過由於該公司採用端到端加密技術,就算是法律要求,該公司也無法提供經端到端加密的郵件內容。

ProtonMail CEO 嚴育銓 (Andy Yen) 在 twitter 指,該公司一定要遵守瑞士法例。他又指,當有罪案發生,私隱保障可被擱置,「根據瑞士法例,我們須要回應瑞士當局的要求」。

不過,該公司明言,唯有面對「極端罪案」,才會監察用戶 IP。由於今次只屬社運人士示威,ProtonMail 仍被質疑為何會監察用戶 IP,並交予當局。

此外,瑞士法律規定,當瑞士當局要求交出用戶資料,ProtonMail 須通知涉事用戶。該公司回應媒體 Techcrunch 查詢時,以私隱及法律原由,拒絕說明今次案件中,何時涉事用戶獲得知會。惟 Techcrunch 指,條例亦規定在一定情況下,ProtonMail 可延後通知用戶。而在今次事件,ProtonMail 記錄該用戶 IP,與公開事件的時間似乎差距達 8 個月之久。Techcrunch 質疑瑞士法律若允許長時間延後通知,對用家的私隱保障有限。

至於案件是否暗示,外國政府可要求 ProtonMail 交出資料?根據 ProtonMail 的說法,他們只會遵從瑞士而非他國法例。事實上,雖然今次資料是交到法國,但 ProtonMail 並非直接聽從法國政府要求交出資料,而是法國警方透過歐洲刑警組織 (Europol) 接觸瑞士,再由瑞士向 ProtonMail 取得用戶 IP。

ProtonMail CEO﹕瑞士法律有制衡作用

由於 ProtonMail 明言只聽從瑞士法律要求,故 ProtonMail 的用戶私隱保障有多強,某程度上可謂全看瑞士法律系統。嚴育銓表示,瑞士法律系統雖不是完美,但仍有一定制衡作用,一定程度上可避免查詢用戶資料的制度被濫用。

不過,資料亦顯示,瑞士近年大量要求 ProtonMail 提交用戶資料。ProtonMail 在其「透明度報告 (transparency report)」指,瑞士當局要求提交資料的個案,從 2017 年的 13 宗,大幅增加至 2020 年的 3,572 宗;而外國政府請求瑞士當局要求 ProtonMail 提交資料的個案,則從 2017 年的 13 宗,升至 2020 年的 195 宗。

ProtonMail 亦指,若認為瑞士當局的要求不合法,他們會嘗試駁斥要求。該公司 2017 年駁斥了 3 宗個案,2020 年駁斥了 750 宗。

雖然 ProtonMail 已透過各個途徑解釋今次案件的考慮,但仍令不少網民對它的信心受動擾。FB 專頁「大地上的資訊保安」就呼籲,網民除小心選擇服務供應商外,亦可做以下幾點保障私隱:

▪️唔好過份依賴單一供應商,甚至可以混合位於唔同司法區嘅服務
▪️適當咁配合 VPN、Tor 等使用(用錯可能仲衰,有機會再講)
▪️可以有 end to end encryption 就盡量用,無都可以考慮額外加密重要資料或附件
▪️記得無嘢係百分百安全,亦無一樣嘢可以適用於所有情況。唔好諗住用咗乜乜乜就搞掂,要了解自己面對嘅風險去揀最適合自己嘅做法同工具

相關報道

HACKER NEWS

編輯推介

    發表意見