波蘭網絡及數據安全調查機構「7ASecurity」聯同美國政府資助的「開放技術基金」(Open Technology Fund)日前發表報告,批評港府推行的「安心出行」防疫軟件存在重大漏洞。
這份長達55頁的報告提到,兩間機構展開聯合測試,共發現8個安全漏洞和4項一般弱點,其中3個較為嚴重,包括允許應用程序及其後台服務器被攔截、避開驗證系統獲取新冠疫苗接種和測試狀態,以及通過存儲卡獲取相關圖片。報告形容,專家們早於一個多月前向應用開發者Cherrypicks講述有關發現,但至今未有收到任何回覆。
「安心出行」應用程式。
報告同時發現,「安心出行」軟件代碼中包含Google Face detector和React Native Face Detector等人臉識別代碼庫,但在測試運行時未有發現「安心出行」能使用人臉識別和定位追蹤功能。
有份參與調查的「開放技術基金」認為,即使無法證明「安心出行」對香港公民展開惡意或未經授權的跟縱,但該程式未有經過任何「網絡安全」公司的專業審核,卻以某種方式強制執行9個月,最近更傳出要求實名註冊和追蹤用戶活動,情況令人擔憂。
針對報告內容,資訊科技總監辦公室昨日發聲明表示遺憾,形容報告內容不盡不實,強調「安心出行」中所有與個人私隱相關的資料,都經過遮蓋及加密處理。在推出新版本或新功能前,都會諮詢個人資料私隱專員公署的意見,以符合《私隱條例》的要求,同時第三方專業機構也會評估程式的私隱和資訊保安風險,相關報告早已上載至網站供公眾參閱。
資科辦重申,《安心出行》從來沒有使用人臉識別的功能,相關模組已按承諾移除,形容程式自推出一年多以來,有超過八百萬次下載,其間沒有出現任何保安或私隱事故。
有政壇中人話,這份報告炒作《安心出行》涉及安全漏洞和風險,但自己都明言,未能找到人臉識別功能,以及無法證明《安心出行》對香港公民展開惡意或未經授權的跟縱。政界中人笑言「這份報告為講而講,如此不盡不實、充滿猜想,只有盲從西方的人才會相信」。
Ariel
** 博客文章文責自負,不代表本公司立場 **
黎智英案是本港首宗「勾結外國勢力」罪的審訊,亦將成為日後相關國安案件的重要案例。
針對黎智英面對兩項串謀勾結外國勢力罪,法官在判詞中解釋了「勾結」(collusion)罪的法律原則,指雖然《國安法》無定義「勾結」罪,亦沒就「制裁、封鎖或者採取其他敵對行動」作解釋,但法官表明,黎智英請求或呼籲外國採取某項行動,可透過口頭及書面、明示或暗示方式提出,如提及科技禁運,已可視為「勾結」外國勢力罪的「封鎖」或「敵對活動」,關鍵不在於該措施是否落實。
控方結案陳詞時指出,案中被告在《國安法》後持續勾結外國,屬串謀犯案,而控方毋須證被告全盤知道協議內容,只須證明各方依循協議行事。至於辯方爭議「勾結」罪的字眼,控方指提出「請求」已構成犯罪,毋須證明獲對方接收,而「制裁」對象不限於國家,亦包括官員。
為釐清「勾結」罪的法律原則,判詞作了清楚解釋。對辯方爭議制裁官員並不構成「制裁、封鎖或者採取其他敵對行動」,惟法官在判詞表明拒絕接納辯方的主張,認為可按「社會背景(social context)」及一般意思(ordinary meaning)去解讀。
判詞指,參考《國安法》第1條和第4部分的說明,從而得出實施條文是為維護至關重要的國家安全,故法庭應套用最廣泛的概念去理解「勾結」的意思,另在應用同類原則(ejusdem generis)下,「制裁」和「封鎖」則被視乎「敵對行動」的其中一種。
而「請求」(request)的意思,可以是以口頭或書面方式、明示或暗示方式(it can be made explicitly or implicitly)作出,重點是作出「請求」的人,目的是意圖要求外國實施制裁。但法庭不關心相關措施的有效性,在外國是否可以確切落實,只會關心該措施是否針對中國或特區政府,以及是否構成「敵對行為」,對政府官員的制裁,也符合條文對外國制裁的定義,外國對中國實施技術禁運,也可歸類為「封鎖」或「敵對行為」的一種。
至於制裁行為是否需正式實行後才能構成犯罪,辯方指出,制裁個別官員並不構成《國安法》29條下的罪行,法庭表明不同意,並批評該種詮釋條文的方法過份狹窄和片面,因為《國安法》29條的「勾結外國勢力」罪,是指請求外國或者境外機構、組織、人員實施「對香港特別行政區或者中華人民共和國進行制裁、封鎖或者採取其他敵對行動」。是「行為罪」(action crime)而不是「result crime」(結果罪)。
另辯方結案陳詞時提出,控方要證明黎智英明知行為非法仍意圖履行協議。但法庭不同意,亦認為違背「對法律無知」不能免除刑責的原則,強調對法律無知並非辯護理由。
