承上回,政府提出的《條例》架構,將規管範圍限於「商業性質」促銷,在互動式的通訊中,包括人與人對話,會產生難以公眾難以分辨,難以舉證的問題,這點《文件》也有指出,政府心知肚明。
聚焦錯誤,作繭自縛
政府當初將滋擾通訊範圍定為商業促銷推廣,是因為那是十多年前大部份滋擾電話的源頭,而且外國包括美國英國等的法例,都有類似範圍。
但事實證明,靠這樣的法例以及登記冊制度,無法解決滋擾。當正當的機構,已遵從私隱,登記冊,以及機構相關規定,現時最為滋擾電話,其實已是由難以追查的中介或騙徒,以冒認銀行,物流,執法或公共機構,或提供優惠,收集資料的問卷等形式出現,而眾所周知這些電話是境外撥出的,很多是透過使用假冒號碼。這類電話除帶來滋擾,騙取個人資料,更騙去很多市民積蓄。政府當初參考的國家,同樣面對此類滋擾及詐騙電話泛濫的問題,並已將重點轉至打擊假冒電話,不再拘泥於辨別是否推銷[1]。
既然當局修例目的是回應公眾對這類電話帶來滋擾的訴求,為什麼還要裝作活在十多年前,滋擾電話=推銷電話的世界,堅持因應當時環境訂立,並在本地及外國實踐已證明,無法有效解決整體滋擾問題的做法,仍是「最為有效」?是不肯放下身段,承認十多年前訂立的框架,已無法應付今天情況?如此做法,除了效用不彰,無法回應公眾訴求,勞師動眾,白做一場外,更為正當的商業運作帶來困擾,節外生枝,豬八戒照鏡,兩面不是人。
忘記現實,返回騙徒都守法的時空
【在立法會上,秘書長回應邵家輝議員,指遇到類似假冒應要報警,無錯,正正就是十年前已經有人試過報咗, 而且銀行稱報警同埋報金管局,如果有效這類 cold call 早就已經消失。現在的問題正是,現行詐騙及建議的法例都對這類滋擾束手無策,而商經局一面說要回應公眾對滋擾的關注,卻又將此類目前最常見的滋擾,視作不屬自己範疇而推給警方】
認清現實,全面打擊
正如作者及其他人已被掉入黑洞的意見書所述,當局應聚焦現時這種有系統性,大規模撥出到隨機產生或購買電話名單的滋擾 cold call,不論是否構成商業推銷,而不是花心思去管已受私隱及行業守則規管的 warm call。
例如,既然目前已有不斷打出電話給同一人的滋擾罪行(簡易程序治罪條例第20條),能否將類似條文應用於明知構成滋擾仍打出大量電話到不同人的情況,再加入適當例外以豁免向現有已知身份的客戶致電,或緊急情况,公共機構,認可學術調查等,這種方式根本不須由個別受害人提供大量証據或在司法程序作證,只須設立簡易機制投訴,收到大量投訴後當局調查。
當然,靠本地法例,無法直接制裁境外撥入的滋擾。這就代表無計可施嗎?
電訊商角色不能或缺
其實,從當局一而再引述的 WhatsApp「成功」案例啟示,參考外國最新的對付滋擾電話的方案,再對照當局一直以來的方案,會發覺當局所有建議,一直以來都沒有觸及一個極重要的持份者,就是上回提及的電訊商。
雖然不是所有電話都從本地電訊商撥出,但事實上一大堆滋擾電話,為節省成本,或假扮本地撥出以減低接收者警覺性,很可能是由境外 call center 藉使用 VoIP 等技術,經由本地電訊商登記的電話打出。此類 call center 直接或間接從本地固網商登記大批號碼,以方便每日不斷轉換,以逃避攔截。
若在此層面規管,訂立相關法例,令即使登記本地固網電話號碼者以各種理由裝作對境外違法 cold call 不知情,當局仍可要求電訊商終止相關號碼的服務,已至少可逼使這類運作不能再以本地號碼,在境外違規濫撥,已可增加這類滋擾的成本。
此外,本地電訊商絕對可有效做到的,便是攔截可疑及滋擾號碼。令人費解的是,政府既認為以攔截電話的方式可有效對付問題,卻零花精力去認証及推廣一套離理想甚遠的非官方方案(即電話攔截應用程式,有關的運作問題下述),都不去尋求與掌握更多資源及資訊的電訊商,商討辦法,包括修例,令攔截滋擾成為標準服務。
這樣說是因為,只有當大部份用戶,包括固網及流動網絡用戶,能快速將違法 cold call 的電話加入攔截,再加上 VoIP 來電的認證協議令 cold call 不能假冒來電號碼,才能令各為其主的電訊網絡,變得較像 WhatsApp 般,可以有效令現時 cold call 因不符成本效益而消失。而在現今環境要建立這樣的機制,必須由政府透過立法及與電訊商合作,方能達致。
外國在做什麼
看看外國近期在打擊滋擾上的發展。首先,若不解決經 VoIP 偽冒來電身份 (Caller ID spoofing) 的問題,任何攔截機制都是徒然。因此,美國及加拿大等,已一步步實施對付偽冒來電的工作。在美國,當局先於2017年為電訊商鬆綁,讓電訊商可以自行攔截明知假冒來電號碼的來電,如帶有不存在的號碼,或不會打出電話的號碼 [1],與業界合作加強追蹤不法來電的來源,亦大力推動 VoIP 來電號碼的認證架構,即 SHAKEN/STIR,全名為 Signature-based Handling of Asserted Information Using toKENs 及 Secure Telephone Identity Revisited (好夾硬砌出來的縮寫),以類似 HTTPS 的公鑰機制,來確認 Caller ID 真實性。FTC 去年更發公開信要求所有電訊商在2019年內,實施認證架構,並定期報告進展[2]。而美國的 3 家主要流動電話電訊商中,AT&T/Comcast 及 T-Mobile已在 2 年前提供免費攔截來電服務,Verizon 最後亦於本年加入,將原本的攔截增值服務變為免費。
加拿大在推動 SHAKEN/STIR 方面比美國早一步,電訊商須在2019年3月底前實施認證架構,當局亦要求業界加強追蹤來電源頭的工作 [3]。同時,加拿大亦強制電訊商,在網絡層面攔截明顯是不符格式的假號碼,這不是增值服務而是基本要求[4] 。
VoIP 認證措施不能一次過解決假冒號碼問題,因為很多舊有設備不能支援,不能將所有未認證號碼視作假冒,但起碼可以推動市場向全面認證方向發展,而認證訊息已可即是供用戶判斷號碼真確性,對攔截電話運作亦有幫助。
政府應做什麼
政府不時常將外國經驗掛在口邊嗎 ? 和外國情况一樣,由於登記冊及現有執法措施已無法對付滋擾,當局應要求電訊商,盡快推行類似美加的方案,即攔截明顯虛假,或明知不會撥出電話的來電,如政府熱線,此外亦應加強追蹤來電來源的措施,同時要求電訊商逐步建立及推行VoIP認證機制,若接入的VoIP來源未有驗證,則顯示警告,以推動VoIP的正當用戶,加入認證機制,令偽冒號碼更易於辨認。
最後亦是最重要,在以上的基礎下,政府應透過教育,市場力量以至條款指令,令電訊商將攔截滋擾成為標準服務,全面向固網及流動電話提供,為免電訊商將此變為付費放生的生意(畢竟這是官方巴士App都可落重廣告的香港),更應考慮設立中央資料庫機制,讓獨立人士監察運作,避免流弊。
回到現實
可惜,裝睡的人叫不醒,香港除了數年前要求電訊商在境外號碼加上「+」號,讓用戶自行識別,便似乎沒有任何其他措施,今天仍在十多年前過時框架訂下的缺口上拖拖拉拉,更將教育市民裝隻現成第三方 App 視為主要行政措施,毫無承擔。而電訊商,由於政府不想管,當然樂於繼續賺到盡,一方面賺取 call center 帶來的登記費及引致的通話費,另一方面將攔截作為增值服務,賺取月費,食盡兩家茶禮。
想起當年香港的電訊當局在推動電話號碼可携及打破壟斷是領先全球的,今天卻似乎不敢動其分毫,再看看當年和今天電訊商財團的背景,係唔係我諗多咗。
民間資料庫的先天缺陷
之前提及,民間資料庫及攔截程式,絕不是理想方案。這只是因為當局一直無意無力打擊此類滋擾而生,存有各項先天缺陷,例如資料庫因會對電話持有者帶來不利,隨時可能被提起法律訴訟,而未能有效運作,亦因沒有電話號碼轉手的資料,未能準確判斷資料是否過時,而擔心錯誤攔截亦是公眾不使用這類程式的原因之一。在 App 方面,公眾對攔截程式能否保障私隱亦存有介心,公眾即使相信開發商,但程式內若有廣告商等各種第三方非開源元件,開發者本身亦未必能保證沒有問題。一些有問題的惡意軟件,可能是藏於開發者使用的程式庫中,安裝後隔一段時間後才生效,甚至是安裝後才下載的。就連 Google 有大量數據及經驗,間中都會讓有問題的 App 流入了 Google Play。
因此,較全面的驗証有相當難度,成本高昂而耗時。而針對in house軟件的基本檢查,只針對基本保安問題,對存心隱藏的惡意軟件作用不大。此外,即使開發者拿一個版本驗証,亦無法保障之後發放的更新沒有問題(發放版本是由開發者控制的)。因此,最終都是公眾是否信程式開發者的問題。
此外,攔截程式有其他限制,如只在流動電話有效,在Android 平台方面,很多 Android 電話都附有廠商自行加入的清除背景功能,隨牌子及版本各須做不同的設定,根據作者經驗,連熟悉電子產品的一代有時都未能成功設定,以致安裝後未能發揮效用,文件中指打算進行教育向普遍較不熟悉電子產品的長者推廣安裝,困難可想而知。Google 近年亦在 Android / Google Play 平台加入愈來愈多限制,獨立的攔截程式能否繼續生存,並不明朗。當局在這方面的工作,隨時白費。
而在目前少數用戶能使用攔截程式的情況,未能改變 cold call 模式在經濟上的可行性,反而是協助了cold call 業者,更集中於較易於受騙的一群,而政府此時計劃設立另一個拒絕人對人推銷登記冊,則只會更有助業者,取得大量真實電話,這些電話會否最後在境外不受本地法律規範地方,成為中介或騙徒手上的名單,大家可拭目以待。
[1] https://www.cnet.com/news/block-robocalls-us-fcc-phone/
[2] https://www.fcc.gov/call-authentication
[3] https://crtc.gc.ca/eng/archive/2018/2018-32.htm
[4] https://crtc.gc.ca/eng/archive/2018/2018-484.htm