過去十多個月來，每當我在全球各地討論這個議題的時候，總是有人會這樣對我說：「我並不擔心隱私被侵犯因為我沒什麼不可告人之處」我也對他們回應相同的答覆。我拿了一支筆，寫下自己的電子郵件，然後說：「這上面是我的電子郵件，我希望當你回到家之後，把你自己所有的電子郵件帳號和密碼都寄給我。不是只提供你工作上使用那個一本正經的電子郵件，而是全部的電子郵件。這樣我可以在線上用你的帳號來了解你的一舉一動，然後把我認為有趣的事物公開出來。不管怎樣，如果你不是個壞人，如果你沒做過壞事，你應該也沒什麼不可告人之處。」 然而從來沒人回應我這項提議。

在房子里安裝窗簾的主要是為了阻止人們看到屋內。我們不希望他們看到屋內事物是因為我們認同在房屋內所做的許多事情都是私人行為，不管是在餐桌旁吃晚餐，與孩子一起看電影，還是與伴侶進行親密或性行為。這些行為都不是非法之事，但是即使如此，我們仍然放上窗簾和百葉窗。 這清楚地表明了當我們的私人生活和外界有所牽扯時，我們顯然對隱私存有強烈的渴望。

隱私不是奢侈品：它是基本人權 – 不管是數位還是實體空間都必須捍衛的權利，我們必須時時保持警覺，特別是在此科技進展神速的時刻.....。

其它資訊:

• Nothing to hide argument (Wikipedia)
• How do you counter the "I have nothing to hide?" argument? (reddit.com)
• 'I've Got Nothing to Hide' and Other Misunderstandings of Privacy (Daniel J. Solove - San Diego Law Review)

各方隱私評論

主張無事隱瞞故隱私權無關緊要者，其類點差不多就是主張因為我沒事想說，所以言論自由一點都不重要。

美國國家安全局建置了一套設施，其幾乎可以攔截任何通訊。這套設備的能力，大多數人類的通訊都會自動地被吸納進去而不是針對特定目標。如果我想要看你的電子郵件內容或是你老婆的電話，我只須要利用這套設備進行攔截，就可以取得你的電子郵件、密碼、電信通聯記錄、信用卡資料等等。我不想活在一個做這種勾當的社會裏，我不想要活在一個任何所做的事所說的話都被記錄下來的世界。這不是我願意支持或是生活的地方。

每個人都需要有地方可以去探索而不依靠別人施加的眼光，只有在一個不必被放大檢視的地方我們才可以真正地測試出自己的極限。真正的私領域才能允許不同聲音、創造力和個人試探式的謊言。

全球大規模監控 - 十四眼集團

UKUSA 協議是英國、美國、澳洲、加拿大與紐西蘭五國之間的合作協議Five Eyes共同來收集、分析和分享情報資訊。這個聯盟的成員，即所知的五眼聯盟， 聚焦在取得和分析來自全世界各地的情報。而這五眼國家同意彼此之間不會像敵對國那樣地互相監控，由 Snowden 所揭露的資訊顯示，有些五眼聯盟成員會監控對方國家的人民並相互分享情報，以便規避國內法令約束禁止任意監控自己國家的公民規定。五眼聯盟也與其它不同的國家集團合作以分享情資（其組成了九眼集團和十四眼集團等），總之五眼國家和其它國家成員會對彼此互相進行情報監控。

密鑰上繳法規

有誰需要把密鑰交給執法單位?

強制（依法一定要協助）密鑰上繳法（Key disclosure law）可要求個人把加密密鑰上交給執法單位以利其進行調查。這些法令的執行方式依國情不同而異，但通常會要求有法院令狀。抵抗密鑰上繳法令的方式包括利用隱寫術以及將資料以似是而非的否認方式予以加密。

Steganography 隱寫術涉及將一些敏感資訊（其可能會予以加密）隱藏在原始的資料當中。（例如：將圖片檔案加密後隱藏到聲音檔底下。）利用似是而非的否認法，則是把資料以預防敵方有破解的可能再予以加密（例如，單一密碼也許可解密良性的資料和另一個密碼，而另一個密碼則可用來解密原資料當中的敏感資料。）

*（有系統訪問權限者可能會被下令分享交出他們的知識。然而，這並不適用在嫌犯自己或其家人身上。）)

相關資訊

• Wikipedia page on key disclosure law
• law.stackexchange.com question about key disclosure law in US
• DEFCON 20: Crypto and the Cops: the Law of Key Disclosure and Forced Decryption

為何不推薦用以美國為基地的網路服務？

我們不建議採用位於美國的網路服務，因為這個國家的監控項目，使用了國家安全信件 (NSLs)且無對外開放的法庭程序，其禁止收到國家安全信件 者談論這份官方請求。這讓政府可以祕密地強迫企業同意完全讓國家來取用客戶的資料，而把私人企業的網路服務轉化成一種大規模監控的工具。

有名的例子就是 Lavabit – 這是一家提供不接續的安全電子郵件服務公司，由 Ladar Levison 所創辦。美國聯邦調查局 FBI 發現 Snowden 使用其服務後，便向 Lavabit 要求交出他的使用記錄。當然 Lavabit 沒有保留系統日誌記錄而郵件內容是經過加密後才儲存，FBI 發出了（不公開法庭）的傳票要取得 Lavabit 的 SSL 服務密鑰。有了 SSL 密鑰就可讓他們取用 Lavabit 所有客戶的通訊記錄（包含元數據和未加密的郵件內容）而不只是 Snowden 的資料。

最後，Levison 交出了 SSL 密鑰並在同時關閉他們的伺服器。美國政府當時威脅要逮捕 Levison，認為他關閉 Lavabit 服務是違反了法院命令。

相關資訊

• Avoid all US and UK based services
• Proof that warrant canaries work based on the surespot example.
• The United Kingdom – United States of America Agreement (UKUSA)
• Lavabit: Suspension and gag order
• Key disclosure law
• Wikipedia Portal: Mass_surveillance

推薦的 VPN 服務

Mullvad 歐元 €60/y

Mullvad.net 速度快、價格合理的 VPN，同時認真看待安全與透明課題。自 2009開始營運，Mullvad 主要位於 瑞典，未提供免費試用

35 Countries

Mullvad 在 35 個國家安置伺服器。 地理位置也應放入考量，最好能挑選距離最近的 VPN 伺服器，可因最短路徑而減少流量延遲。

基於安全考量，我們認為最好使用專用伺服器而非廉價共用的伺服器方案(例如虛擬私有伺服器)，以確保私鑰安全。

獨立稭核

Mullvad 的 VPN 客戶端軟體曾由 Cure53 與 Assured AB 稭核，提交滲透測試報告，公佈在 cure53.de。 安全檢查的研究成員包括：

...Cure53 與 Assured AB 對於安全稭核結果感到滿意，對他們的軟體留下了良好印象。Mullvad VPN 自家團隊在資安用心的專注投入，測試員深信此專案朝著正確的軌道前進。

2020 宣佈要進行第二份稭核檢查，本次結論報告可在 Cure53 網站取得。

軟體公開代碼

Mullvad 將其電腦與手機客戶端軟體的源代碼公開在 GitHub.

接受比特幤付款

Mullvad 可採 信用卡/簽帳卡、比特幣、Bitcoin Cash以及現金或當地流通貨幣等不記名付款方式，也可接受 Swish 與銀行電滙。

WireGuard 支援

除標準的 OpenVPN 連線， Mullvad 還支援 WireGuard。WireGuard 是試驗階段的網路協定，理論上會更安全與更可靠。不過目前它仍未大量使用。

IPv6 支援

Mullvad 支援 IPv6 網路協定，讓用戶可訪問架設在 IPv6的服務。不少供應商會阻斷 IPv6 連線。

遠處端口轉發 Remote Port Forwarding

Mullvad 提供遠端端口轉發功能，請見Port forwarding with Mullvad VPN。

手機端軟體

Mullvad 提供手機應用，可在App Store 和 Google Play 下載客戶端軟體以簡化 WireGuard 連線設定。安卓版應用也可至F-Droid下載，以確保該應用符合 可複製建置原則。

額外功能

The Mullvad VPN 客戶端內鍵 killswitch 以阻斷 VPN 以外的網路連線，也能在開機時即自動載入 VPN。 Mullvad 網站可以透由 Tor xcln5hkbriyklr6n.onion 訪問。