一名航空公司員工在私人 WhatsApp 群組中分享了一張照片,照片中是中東衝突後被炸彈破壞的建築和冒煙的建築。他沒有公開發布,沒有發到臉書,只是跟幾個同事在私人群組裡聊聊剛發生的事。

幾天後,杜拜警方打電話給他,要他去「見個面」。他去之後就被逮捕了,直到現在還被關押,面臨「發布損害國家利益資訊」的罪名,最高可判兩年徒刑。

這不是電影劇情。根據 LBC 報導,這起發生在今年三月的事件,揭開了一個令人不安的事實:杜拜警方「明確認證他們正在進行電子監控操作,能夠偵測私人 WhatsApp 訊息」。

私人群組,不再是私人的

這名航空員工只是做了很多人在通訊軟體上都會做的事:跟同事分享新聞、討論事件、交換訊息。問題在於,他分享的內容是杜拜當局認為敏感的「炸彈損壞照片」,而且他在的地方是杜拜。

杜拜警方的做法很直接:他們偵測到這個私人 WhatsApp 群組中的訊息,保存證據,然後誘騙該男子到一個「會面地點」,當場逮捕。案件隨後被升級到國家安全檢察機關,男子目前仍被拘留。

根據報導,警方報告明確指出,當局是「透過電子監控操作」得知這些素材的存在。網路和網路犯罪部門的一個特別小組被派去找到分享這段視頻的帳戶持有者。找到後,他們就設下了一個局:把航空員工叫出來,然後逮捕。

國家級的監控能力

為什麼杜拜警方能夠偵測到「加密」的私人 WhatsApp 群組?答案不在於破解了加密技術,而在於他們控制了基礎設施。

根據 LBC 的報導,阿聯酋政府擁有當地電信公司 Etisalat 和 Du 的多數股份。這意味著安全服務有權「觀察其網絡上所有通訊」。當你的訊息經過這些電信公司的網絡傳輸時,國家就可能在某個節點截取到。

更令人擔憂的是,杜拜還使用了以色列開發的 Pegasus 間諜軟體。這款軟體的能力非常強大:它能夠讓特工聽取私人通話並閱讀訊息,即使這些訊息是在 WhatsApp 等加密應用程式上分享的。

Pegasus 可以在不需使用者激活連結的情況下感染裝置。例如,透過一個 WhatsApp 通話,即使沒有接聽,裝置也可能被感染。一旦進入,Pegasus 可以存取所有 WhatsApp 訊息、圖片和聯繫人。

Pegasus 的技術原理並不複雜,但很有效。它尋找 iOS 和 Android 系統中的「零日漏洞」(尚未被發現的安全漏洞),然後透過這些漏洞植入惡意程式碼。因為是零日漏洞,作業系統還沒有修補,所以防毒軟體也檢測不到。

一旦植入成功,Pegasus 就能取得裝置的完整控制權。它不只是讀取通訊軟體的內容,還可以開啟麥克風、攝影頭、GPS 追蹤、錄製通話、存取檔案、查看瀏覽紀錄。它基本上把你的手機變成了一個全天候的監控設備。

這不是破解加密技術的問題,而是直接進入裝置存取已解密的內容。

這不是個案

這名航空員工不是唯一因為分享內容而被杜拜逮捕的人。根據 Detained in Dubai 執行長 Radha Stirling 的說法,其他遊客、航空機組人員和居民也報告因為「發送、接收或保留內容」而被拘留,即使他們並沒有分享出去。

LBC 報導中還提到另外兩個案例:一名 60 歲的英國假期遊客因為「拍攝飛彈」而在杜拜被捕;還有無人機襲擊的倖存者因為把爆炸後的照片發送給親人也被逮捕。

這意味著什麼?即使你只是在私人通訊裡接收了一張敏感照片,或者只是儲存在手機裡沒有分享,都可能成為逮捕的藉口。

Stirling 指出,如果「私人通訊可以被偵測並作為過度或過度敏感國家逮捕的基礎」,那麼全球用戶都需要釐清他們的資料是如何被存取的。

她還說,像 WhatsApp 這樣的公司必須回應關於用戶隱私的緊急問題。如果私人通訊可以被偵測並用作逮捕基礎,用戶需要知道他們的資料是如何被存取的。

技術加密 vs. 法律保護

很多人誤以為用了「加密」通訊軟體就是安全的。但這起案件揭示了兩個不同的層次:技術層面的加密,和法律層面的隱私保護。

從技術角度來看,WhatsApp 的端到端加密確實存在。發送者的訊息在裝置上加密後,經過 WhatsApp 伺服器傳輸,到接收者裝置後才解密。理論上,連 WhatsApp 自己都無法讀取這些訊息。

但這種保護有前提:裝置本身必須是安全的。如果你的裝置被植入了間諜軟體,或者你的通訊經過了國家控制的電信網絡,那麼技術加密在法律權力面前就變得脆弱。

杜拜的案例展示了一個現實:當國家控制了基礎設施,並擁有先進的監控技術時,所謂的「私人通訊」可能根本不存在。你以為是私下跟同事聊天,但對方(或監控者)可能把它當作公開證據。

更進一步說,加密保護的是「傳輸過程」,但無法保護「端點」。如果你的手機被攻破,或者你使用的 WiFi 被植入了中間人攻擊,加密本身也沒有意義。這就像你把信裝在保險箱裡寄送,但如果保險箱的鑰匙被偷了,保險箱也保不了什麼。

旅行者和海外工作者該知道什麼

這起案件對於經常需要出國工作或旅行的台灣讀者來說,有幾個重要啟示:

第一,每個國家的法律不同。在台灣你可能覺得分享照片沒什麼,但在其他國家,同樣的行為可能觸犯嚴重的法律,特別是涉及政治、軍事或「國家安全」的內容。

第二,不要假設「加密」等於「安全」。技術加密可以防駭客,但防不了擁有法律權力和國家級監控能力的機構。當你進入一個國家的領土,你就在該國的法律管轄之下,包括網路和通訊的管轄。

第三,了解目的地的數位風險。有些國家對網路通訊的監控比其他國家更嚴格。前往這些地方時,應該採取更謹慎的態度,避免在通訊軟體中分享敏感內容。

第四,準備好應對措施。如果必須分享或接收敏感訊息,考慮使用更安全的工具,或者等到離開該國境再處理。手機上的敏感內容,應該定期清理。

給台灣讀者的具體防護建議

雖然這起案件發生在杜拜,但台灣讀者也可以從中學到如何保護自己的數位隱私。特別是對於經常需要出國工作、旅行、或處理敏感資訊的人士,以下建議值得深思:

  1. 了解你要去的地方:出國前,簡單搜尋一下目的地國家的網路監控政策、敏感議題、常見的法律風險。不要等到發生問題才後悔。如果可以,向有當地經驗的人請教,或查詢該國人權組織的報告。

  2. 謹慎分享敏感內容:特別是涉及政治、軍事、抗議、政府或「國家安全」的內容。即使在私人通訊軟體裡,也可能被監控和記錄。一條簡單的原則:如果這張照片發到臉書上會讓你擔心,那麼不要在 WhatsApp 或 Line 上發送。

  3. 定期清理手機:不要在手機上長期儲存敏感照片、影片或文件。如果已經傳送出去,就刪除;如果已經接收,看完就刪。定期檢查相簿、下載資料夾、通訊軟體的附件,清理掉不再需要的內容。

  4. 使用更安全的通訊方式:對於真正敏感的通訊,考慮使用 Signal 等開源、經過審計的加密通訊工具,並啟用「訊息自動刪除」功能。Signal 的開源性意味著任何人都可以檢查它的程式碼,這減少了隱藏後門的風險。

  5. 保持軟體更新:及時更新手機和通訊軟體,修補可能的安全漏洞,減少被間諜軟體入侵的風險。很多間諜軟體都是利用已知的漏洞攻擊舊版本的系統。更新作業系統和應用程式是最基礎的防護措施。

  6. 避免可疑連結和通話:如果接到來自不明來源的通訊軟體通話或訊息,尤其是你不在預期中的,不要隨意接聽或點擊。有些間諜軟體透過「零點擊」攻擊傳播,例如一個沒有接聽的 WhatsApp 通話就足以植入。

  7. 備份和隔離:如果必須帶敏感資料出國,考慮使用乾淨的備用手機,或者把資料存在加密的 USB 中,只在安全的環境下使用。如果你在高風險國家工作,使用「乾淨裝置」(沒有敏感資料的手機)進行日常通訊,把敏感的工作留在回到安全環境後再處理。

  8. 關閉不必要的權限:檢查手機上的應用程式權限,如果某個通訊軟體要求存取相機、麥克風或定位,而你不需要這些功能,就關閉權限。減少攻擊面,可以降低被監控的風險。

  9. 使用 VPN:在公共 WiFi 環境下,使用加密的 VPN 保護你的網路流量。雖然 VPN 不能防國家級監控(如果你在該國使用該國的 VPN 服務),但可以防止中間人攻擊和公共 WiFi 的駭客。

  10. 設定強大的密碼:手機鎖屏、電子郵件、通訊軟體的帳號都應該使用強大且獨特的密碼,並啟用雙因素驗證。這可以防止裝置被實體盜竊後的資料外洩。

私人通訊的時代挑戰

杜拜的這起案件不是孤立的。它反映了一個更大的趨勢:在全球範圍內,國家對數位通訊的監控能力越來越強。從電信基礎設施的控制,到先進間諜軟體的部署,私人通訊的邊界正在被重新定義。

根據公民自由組織 Privacy International 的報導,Pegasus 已經在全球至少 45 個國家被部署,目標包括記者、人權活動家、律師、政治人物。這不只是專制獨裁國家的專利,一些民主國家也被指控使用類似的監控技術。

甚至,一些國家通過立法要求科技公司提供「後門」,讓政府可以合法存取用戶的加密通訊。雖然這些法律通常以「打擊犯罪」或「保護國家安全」為由,但對於一般用戶來說,這意味著私人通訊可能不再是私人的。

對一般使用者來說,這意味著「私人」和「公開」的界限變得模糊。你以為是私下的對話,可能在某個監控系統裡被記錄下來。這不是說我們應該恐慌,而是應該有更清醒的認知。

在數位時代,我們無法完全避免被監控,但我們可以選擇分享什麼、分享給誰、在哪裡分享。這不是自我審查,而是明智的風險管理。

這起案件提醒我們:當你按下「發送」鍵的那一刻,你無法完全控制那張照片、那段文字會去哪裡。它可能停留在接收者的手機裡,也可能被某個監控系統截取,然後在某個法庭上成為證據。

這就是數位時代的現實。我們無法改變這個事實,但我們可以改變自己的行為。

通訊軟體的技術限制

很多人認為只要用 WhatsApp、Signal、Telegram 這些「加密通訊軟體」就是安全的。但杜拜這起案件揭示了這些工具的技術限制。

首先,端到端加密保護的是「傳輸層」,也就是訊息從發送者到接收者之間的傳輸過程。但加密無法保護「端點」,也就是發送者和接收者的裝置。如果你的手機被攻破,或者你在使用公共 WiFi 時遇到了中間人攻擊,加密本身也無法保護你。

其次,通訊軟體的加密技術再強,也抵擋不了物理入侵或法律強制執行。如果當局沒收了你的手機,或者要求你解鎖,又或者強制通訊軟體公司提供後門,那麼加密技術就失去了意義。

最後,通訊軟體的用戶資料(例如聯繫人、使用時間、IP 位址)通常不加密,這些「元數據」本身就可以透露很多資訊。即使警方無法讀取你的訊息內容,他們可能透過元數據推斷出你的通訊對象和頻率。

國際監控的趨勢

杜拜不是唯一擁有強大監控能力的國家。根據公民自由組織的報告,Pegasus 間諜軟體至少在 45 個國家被部署,目標包括記者、人權活動家、律師和政治人物。

在歐洲,多個國家正在立法要求科技公司提供「加密後門」,理由是打擊犯罪和恐怖主義。雖然這些法律在歐洲因為隱私權保護而面臨阻力,但在其他地區已經實施。

在中國,「大數據」監控系統結合了面部識別、手機追蹤、網路過濾和 AI 分析,形成了一個幾乎無所不在的監控網。在中國的台灣人士需要特別注意,他們的通訊和網路行為可能被全面監控。

在俄羅斯,立法要求通訊軟體公司提供用戶資料的解密金鑰,拒絕的公司可能被禁止在該國營運。Telegram 曾因為拒絕提供後門而被俄羅斯法院判罰,但拒絕服從。

這些趨勢對於經常需要在不同國家移動的人士來說,意味著數位隱私不再是常態,而是例外。了解這些趨勢,可以幫助我們做出更明智的決策。

台灣讀者需要特別注意的場景

對於台灣讀者來說,以下幾個場景特別需要提高警覺:

前往中國大陸:台灣人士在中國大陸使用通訊軟體時,應該假設所有內容都被監控。避免在微信、QQ 等中國平台上分享敏感內容;即使使用 WhatsApp 或 Signal,也要假設裝置可能被植入間諜軟體。

中東地區工作:航空、航運、建築等行業的台灣人士經常在中東工作。杜拜的案件提醒我們,即使在中東較為開放的城市,也要謹慎處理敏感內容。拍攝政府建築、軍事設施、抗議活動的照片都可能觸犯當地法律。

東南亞商務旅行:一些東南亞國家對網路內容有嚴格的審查。例如,泰國有嚴格的「皇室誹謗法」,即使是通訊軟體中的私人對話,觸犯該法也可能被捕。

歐洲出差:雖然歐洲的隱私保護法律較嚴格,但歐盟也在推動加密後門立法。如果歐盟通過相關法律,WhatsApp、Signal 等通訊軟體可能被迫提供後門,這將影響全球用戶。

最後的提醒

杜拜警方透過電子監控偵測私人 WhatsApp 訊息的能力,以及 Pegasus 間諜軟體的威力,對於所有使用通訊軟體的人來說都是一個警訊。技術的進步帶來便利,但也帶來風險。

對於經常出國的台灣讀者,特別是在海外工作的航空、航運、貿易人員,這起案件提供了一個實例:了解當地法律,保持數位警覺,採取適當的防護措施,都是必要的。

私人通訊不是絕對的。在數位時代,謹慎比後悔更有價值。