Monday, March 27, 2006

侵權舉證「技術疑點」法例須釐清

侵權舉證「技術疑點」法例須釐清

  繼高等法院頒令四家互聯網服務供應商,須向唱片公司提供涉嫌曾以點對點技術非法上下載音樂網民的個人資料之後,唱片公司近期開始行動,與部分網民交涉,尋求和解,而且更向其中一位涉嫌人士提出民事訴訟,要求賠償,但這名人士卻是個自稱不懂上網的領綜援人士,使用他的電腦和寬頻戶口上網的,是他的四名子女,這又令案件增加變數。

  香港的專業資訊安全協會不久前安排了一個有關這事件的討論,筆者參與之後獲益良多,從參與的互聯網服務者技術人員提供的經驗,對監察侵權下載的技術問題、疑點和真實個案,增加了了解。

電腦時鐘不同步

  有技術人員指出,唱片公司相關人士曾多次接觸他,要求獲取用戶個人資料,相信在未來這些要求會更多。其實,互聯網供應商或其他大型機構用戶組織,除了客戶身份資料外,還會保存用戶使用時的相關資料的紀錄(log),包括例如連線日期、時間、當時佔用的IP地址等,通常都有保存一段時期;此外,也保存用戶有時會出現的一些特殊事故,例如用戶輸入錯誤密碼,又或用戶的儲存容量「爆滿」等資料。不過,沒有互聯網供應商能把太多的紀錄儲存,除了資源的原因之外,也要考慮用戶私隱,監管機關如電訊管理局在這方面已有指引。

  但若然要藉這些紀錄去證實一個用戶曾否在一個時刻有非法上下載擋案,其實有很多技術問題及疑點。首先要解釋的概念是,絕大多數的互聯網用戶是共享一些IP地址,只有知道準確的使用時間,才能在紀錄中查出在當時是誰佔用這個IP地址。

  然而,在一些互聯網供應機構的技術人員的經驗中,這就是出問題的地方。曾經多次發生的,是技術人員發現被查的IP地址,在該指定時刻根本無人在使用,其中一個可能,是互聯網供應機構與為唱片公司作監察的機構雙方的電腦時鐘並不同步,甚至可能是監察者的錯誤。

  相關互聯網供應機構指出,他們同步使用的時鐘,是香港天文台時間伺服器,準確度於十毫秒(Millisecond)之內,若然指控的監察方不能證明他們的電腦時鐘運行於天文台時間伺服器的標準時十秒(不是毫秒)之內,錯誤指控另一個用戶的可能性是存在的。未知高等法院早前作出裁決的法官,有沒有考慮唱片公司監察技術的準確性,看來亦沒有向唱片公司監察技術作指引要求。

使用時間具關鍵

  有時,當雙方的電腦時鐘計時相差太大,互聯網供應商向監察方查詢,都不得要領,但這資料是重要的,例如,若監察方只向管理WinMX連接關係的WinMX Tracker查問,獲得的資料準確性是很令人懷疑的,因為經常會有用戶離線之後,資料仍沒有向WinMX Tracker報告。還有,監察方一般只要求查看誰是某IP地址在一個時刻的用戶,而不能提供一個時段,這也令偵查的結果準確性受損。

  專業資訊安全協會訪問的專家意見,是在現行環境下要在技術上百分之百肯定不會提供錯誤的用戶私隱資料,差不多是不可能的,互聯網供應商即使在之前唱片公司控告互聯網供應商判決之後,仍有責任要充分提出任何技術疑點,徵求法律意見,不可隨便把用戶私隱資料提交他人。


刊載於《信報財經新聞》2006年3月27日

0 Comments:

Post a Comment

<< Home

-->