序言

在本專題系列上一篇文章，我們探討過一眾 FOSS 專案如何處理法律下架請求。然而，有另一類別的法律風險存在，且通常更為敏感、更不為可見：政府請求索取使用者或開發者資料。

此等請求可謂形形色色，由正式的法庭命令和傳票，乃至來自執法機關或監管機構含糊其辭的電子郵件。對於架構應用程式、發行二進位編譯檔，又或維護記錄檔的專案而言，則離不開這道問題：您有的資料是甚麼，若有人詢問要求索取時，您又會怎樣做？

我們在說怎麼樣的請求？

權力機構的請求可能包括：

• 與應用程式之開發者或維護者有關的個人識別資訊
• 存取使用者中繼資料，例如 IP 記錄檔、下載歷程，又或信用卡資訊
• 識別與特定內容或行為關聯的人士 (例如備受爭議之應用程式的貢獻者)
• 要求保存資料以供日後蒐集

許多 FOSS 專案並不自視為「平臺」，而且根本未必收集或儲存個人資料。職是之故，權力當局的詢問卻未必每每就此干休。

訪談中，英雄所見略同

縱觀我們與一眾 FOSS 非營利機構、法律專家，以及基礎架構維護者的對話，得出若干核心原則：

一、儘量減少您儲存甚麼

幾位受訪者強調，要避免遵循風險的最佳方法，就是打從一開始就沒有相關資料。這包括：

• 不記錄使用者活動，除非安全性或效能所必要
• 避免保留貢獻者的 IP 位址、註冊資料，又或裝置識別碼
• 使用隱私優先的運算分析工具，甚或完全不使用運算分析

不妨這樣想：但凡您儲存一個欄位，即是一個風險。若是交出來乃非您所願的話，乾脆不收集就好。

二、分開基礎架構與個人

多個組織建議侷限個別貢獻者的對外曝露：

• 使用角色帳戶或化名作面向公眾的貢獻
• 確保域名註冊與法律聯絡乃由法律實體秉持，而非個人
• 使用諸如 Open Collective 或 LiberaPay 的財務代管以接受捐款
• 避免在可被抓取的地方發佈貢獻者身份

額外的預防措施包括，在已知高風險地區作業的貢獻者，即使與其進行個別對話也使用化名，以解釋潛在的風險。

透明與緘默

有別於下架請求，當局索取使用者或貢獻者資料的要求通常伴隨禁言令或隱含的保密要求。在某些國家，我們獲告知，承認收到一則請求本身也是違法。透明化報告因此變得困難。

話雖如此，一些專案仍儘其所能：

• 發表關於所收到請求之數目及類型的彙整資料
• 公開表明他們並不保留何種資料
• 在已發表的政策中包括法律過程指引 (例如：「所有請求必須藉由法庭命令於我們所在司法管轄區內呈交」)

F-Droid 現正進行的工夫

作為是次專案的一部分，F-Droid 現正：

• 檢閱所有資料收集與保留的做法，以確保資料最少化
• 更新貢獻者指導，以協助減少不必要的對外曝露
• 與各義務專家合作，建立司法管轄權特定的往上呈報路徑
• 草擬一份面向公眾的「法律過程政策」，概述請求必須如何呈交、由誰處理，以及有甚麼種類的資料可用 (如有的話)

我們正致力與各 FOSS 和數位權利社群的最佳做法並肩而行，平衡安全性、隱私、對法治的尊重，以及我們對透明化的承擔

結語

政府索取使用者或開發者資料的請求，反映一眾 FOSS 專案所受到法律壓力日益增加的趨勢。與此同時，法律在減少各平臺、軟體以至網際網路的潛在傷害有其扮演的角色，如今亦日益為人所認知。儘管此等請求未必每每可以避免，嚴格資料保留政策和透明化報告等主動防護措施，可顯著緩減風險。

一句到底，重點是說？多於您所需要的別收集。別非正式處理請求。而且別讓個人獨自面對這份壓力。

下一回，我們將會探討三個區域特定的規例：歐盟的《數位市場法》與《數位服務法》，以及英國的《線上安全法》。

法律免責聲明

(譯按：中英文版本倘有歧異，概以英文原文為準) 本文章所提供的內容僅供資訊用途，並不構成法律意見。儘管我們竭力提供準確且合時的資訊，F-Droid 就文中所載資訊不作出任何種類的陳述或擔保，明示或默示其完整、準確或適合。

F-Droid 並非一所律師事務所，並不提供法律服務。您對所提供的資訊作出任何倚賴，純屬閣下風險自負。若您就法律義務、權利，又或遵循有疑問，我們強烈建議諮詢熟悉您所在司法管轄權的合資格法律專業人士。

F-Droid 與其所有貢獻者，對使用或誤用此處內容所引起的任何損失或損害，概不負責。