SSL-TLS加密封包監控之法律上疑慮
林伯樺
一、前言
資訊安全為現今國家安全、社會發展所不可或缺之環節,我國更於107年5月11日三讀通過資通安全管理法,宣告我國資訊安全發展進入一個新的時代。然資訊安全並非僅有國家機關之重視即可,尚必要由各基礎環節普遍落實方足以維持整體資訊通訊環境之安全,而其中最為基本之步驟,即為使用適當防火牆對各種惡意程式、攻擊進行防禦,及採用加密之通訊協定傳輸資料以免資料竊取二者。根據報告指出,目前已有過半網路流量採用了SSL/TLS技術加密保護1。但原本為了增進資通安全所生之加密傳輸,卻與資通安全之間卻不可避免發生齟齬;詳言之,廣泛使用加密之傳輸協定,故可避免資料傳輸過程中發生資訊遭竊等資安事件發生,但若原本即已存在電腦中的惡意程式,亦透過加密之傳輸協定對外傳送資料,抑或外部攻擊者透過SSL/TLS等加密連線對內部伺服器、電腦進行攻擊時,防火牆即面臨無由發現、監控之困境。
於此困境下,技術發展使次世代防火牆等資安技術設備,具有就加密傳輸協定之封包流量進行解密之能力,進而可監控包括傳輸之流量、位置等資訊,透過對傳輸流量、頻率之分析,得以發現惡意程式、病毒之存在。但於此卻發生第二個爭議之處,防火牆或其他分析設備與資料之傳輸者屬於同一人所有時,其固然不生爭議,但倘防火牆或其他分析設備與資料傳輸人分屬不同人時,是否發生通訊保障及監察法中之違法通訊監察,或刑法中妨害電腦使用等情形?此等情形又以企業設置防火牆,對員工或其他利用網路之使用者(例如訪客)進行監控防禦最易發生。企業基於組織內部資訊之保護,因而對內部員工使用網路通訊產生監控必要,以避免惡意程式之攻擊及因企業間諜行為所致之資訊外洩事件,然此與刑法保障之秘密通訊自由、電腦使用安全,及通訊保障及監察法保障之秘密通訊自由,將發生緊張關係。
是以本文企圖由網路封包之結構與加密技術出發,以及刑法暨通訊保障及監察法之相關規定,理解就加密封包進行解密所可能涉及之法律上疑慮、爭點,希企能就此技術於資安保障與個人電腦使用安全、秘密通訊自由之保障兩者間取得平衡。