深度封包檢測二三事

 

(要做什麼?怎麼做?可以想清楚嗎?)

針對資料調閱、數位偵查及新技術應用，涉及敏感的人權保障與法律程序問題，但從現行法規體系與國際執行經驗來看，需具有明確的法源依據才具政策可行性。

一、背景說明

隨著數位科技發展，數位犯罪行為日趨猖獗，包括網路詐欺、駭客入侵、網路恐怖主義等威脅不斷演進，對治安造成重大挑戰。傳統警政機關偵查手段（如電話監聽、資料調取）在面對高度加密通訊、匿名網路（如暗網）以及跨國犯罪團伙時效能受限。執法單位亟須引入新興技術強化偵查能力，以深度封包檢測（Deep Packet Inspection, DPI）為代表的網路數據流量分析工具因其能深入解析封包內容的功能，受到重視。 DPI技術功能與爭議：DPI可在網路資料封包通過檢測點時，分析其內含的資料及協議資訊，以識別惡意程式碼、網路攻擊跡象或特定通訊內容。對警政應用而言，DPI有助於攔截網路犯罪通信、過濾不良資訊並追蹤可疑流量來源。然而，DPI涉及檢查使用者通信內容，隱私侵害及合法性爭議隨之產生。一方面，DPI被網路管理者視為重要工具，可攔截病毒、垃圾郵件及異常流量；另一方面，多年來關於網路中立及隱私權的爭議不斷，有民權團體擔憂 DPI 可能被濫用，使網路服務提供者從「管道擁有者」化身為「資料掌控者」。事實上，DPI技術的應用相當敏感，隱私權及網路中立倡議組織均反對對DPI的濫用。因此，在治安效益與法律授權、公民自由之間取得平衡，成為推動 DPI 政策時不可迴避的課題。 台灣法律目前對於通訊監控與個人資料保護有明確規範。除依中華民國憲法保障人民隱私通信自由，以及通訊保障及監察法規定：非為維護國家安全或社會秩序之必要，不得對人民通訊進行監察。就算因偵辦犯罪確有必要執行通信監察，亦須遵守必要範圍及最小侵害原則。該法並明定僅限重大犯罪經司法機關向法院聲請核發通信監察書，方可對特定嫌疑人施以監聽。通信紀錄與使用者資料也需法官核發調取票方得調取。這表示我國對於通信內容與元數據（如發話時間、IP位址等）皆以嚴格法定程序保護，防止未經授權之監視。再者，個人資料保護法將個人通信所涉資料視為個人資料，要求蒐集、處理須有特定合法目的並符合比例原則。

我要說什麼?在臺灣現行法律體系下，並無明確法源授權警政機關大規模部署 DPI 進行網路監控。

二、國際案例分析

(以下僅為部分例示，非為完整項目，可能有偏誤)

國際上主要國家對於警務領域應用 DPI 的政策和法規各異，以下針對歐盟（以德國、荷蘭為代表）、美國、俄羅斯、中國的應用情境、法律依據、政府資助與爭議進行比較分析：

(一) 歐盟（含德國、荷蘭等）：歐盟成員國普遍強調通信隱私與網路自由，對 DPI 的運用採取審慎態度。在法律依據上，歐盟電子通信隱私指令（2002/58/EC^[1]）第5條要求成員國保障通信機密，禁止未經用戶同意或法律授權下竊聽、監控通信內容。此一原則意謂除非有明確法律依據（如刑事調查授權），否則包括 DPI 在內的通信監測行為均屬違法。歐盟一般資料保護規則（GDPR）亦將網路流量數據視作個人資料，加強對其蒐集利用的限制。

(二) 荷蘭是網路中立性的先行者，早在2012年修訂電信法第7.4a條^[2]，明文禁止網路業者出於商業目的進行線上內容監聽（即 DPI）；只有在用戶同意、網路安全維護或法律要求下方可例外為之。此舉確保了使用者的網路通信不被任意解析，亦被稱為杜絕「商業窺探」的里程碑。同時，荷蘭等國對執法用途的 DPI 則透過情報法令進行規範：例如2017年荷蘭情報與安全服務法授權情報機關在嚴格監督下進行有目標的網路截聽，但由於包含大規模拖網式監控（dragnet）的可能性，引發社會強烈反彈，甚至在2018年公投中多數公民表達反對。政府其後對該法進行部分修正，加強了針對大規模監控的事前審查和事後監督。

(三) 德國則以憲法層級保障通信秘密著稱。執法機關須遵循基本法第10條及相關之G10法嚴格限制通信監控^[3]。德國聯邦憲法法院於2020年做出歷史性判決，宣告對外國通信的大規模無差別監控違憲，即使情報機關在境外監察非本國人民的通信，也須受到基本權利約束。因此德國現行法要求情報活動須具體針對性和比例原則，不得無限制攔截境外大量網路流量。

(四) 歐盟法院（CJEU）在Tele2 Sverige AB案與La Quadrature du Net案中，強調任何涉及大規模監控的措施必須嚴格符合法律授權、必要性與比例原則，並設置外部監督與透明機制。歐洲資料保護監察官（EDPS）亦多次重申，DPI屬高風險數據處理，應採最高標準保障隱私與基本權。歐洲網路與資訊安全局（ENISA）則針對合法攔截發布技術準則，要求各國政府設立跨部門審查及持續監控體系，嚴防濫權。

(五) 法國 Hadopi 法案可說是經典案例。該法最初草案於2009年規劃由 ISP 安裝 DPI 系統，以即時攔截非法下載流量，針對 P2P 使用者施行封鎖。然而，隱私權倡議組織（如 La Quadrature du Net）猛烈批評該措施侵犯通訊自由，促使法國憲法委員會在 2009 年第 2009-580 號決議中指出：「封鎖資訊流需受司法機關監督，單憑行政權無法授權此類廣泛監控。」最終，該法改為事後舉證與警告機制，取消了 DPI 實施條款。

此外，法國方面，軍事編碼（Code de la Défense）L811條賦予國防與安全機關在國家安全需求下進行通訊監控的權限，其中包括DPI等深層技術，但必須經由總理批准並接受外部獨立監察機構（CNCTR）的稽核。2015年法國憲法委員會對大規模監控法案進行審查時強調，國家安全監控須以“重大威脅”為前提，並落實多層級監督體制，包括事前授權、事後檢討及定期報告。歐洲人權法院（ECHR）也對法國的監控實踐提出質疑，認為應加強法律保障與權利救濟，以防止過度侵犯隱私與自由權益。

(六) 比利時方面，2011年 Belgacom 案成為歐洲最早引發廣泛討論的 DPI 爭議。當時 Belgacom 於未經明確告知的情況下，使用 DPI 技術分析用戶的行為數據以優化其服務與進行市場區隔，違反了電子通訊隱私指令與比利時本國資料保護法。比利時監管機構 IBPT/BIPT 發布聲明指出：「任何涉及內容層級的技術處理均須符合透明原則，並取得當事人明確知情同意。」。該案後 Belgacom 被迫中止 DPI 相關作業，成為 GDPR 時代來臨前的重要前例。

(七) 北歐國家如瑞典與芬蘭在DPI規範上採取極為嚴謹的做法，以符合法治國家對人權保障的高標準。瑞典的FRA法授權國防電信局（FRA）進行跨境電子通訊的攔截，但僅限於國家安全及反恐用途。該法要求在攔截程序中設立多層外部監督，包括信號情報審查委員會（SIUN）進行實時監察，以及資料保護機關負責審核資料刪除與儲存。歐洲人權法院曾針對瑞典的FRA機制提出判決，要求增設更完善的救濟機制與權利通知程序，以防止過度侵害隱私權。

(八) 芬蘭於2023年修訂資安法，完整落實歐盟NIS2指令。法律明訂DPI僅可用於即時資安防護，如惡意流量攔截與病毒封鎖，嚴禁長期、大規模或內容層級的深度監控。芬蘭規範所有涉及DPI的作業必須建立透明審查與事前授權制度，並要求營運商每季提交執行情況報告，由芬蘭交通與通訊局（Traficom）負責監督，確保所有技術行為皆在法律授權範圍內運作。此外，高層管理者依法承擔資安問責義務，重大異常事件須在24小時內強制通報，確保資料權益不受侵害。

 

從政府資助看，歐盟各國對 DPI 的投入多集中於合法截取系統建置與技術研發，如建立符合歐盟標準的監聽平台，但並未大規模撥款進行全民監控式的 DPI 部署。可能引發爭議在於，歐盟內部對 DPI 的討論主要圍繞隱私和人權：包括對網路中立性的影響、執法效能與公民自由的平衡等。例如歐盟法院曾裁定強制性通信資料保存違反基本權利，顯示對大規模監控持警戒態度。總的來說，歐盟國家在公共安全與個人隱私間取得平衡：允許執法機關在嚴格條件下使用 DPI 等技術偵查重罪，同時透過嚴法保護，防止此類技術被濫用侵犯公民權益。

 

(九) 美國：美國在 DPI 等監控技術的應用上相對積極，但亦建立了相應法律框架加以管理。法律依據方面，美國早在1994年即頒布通訊協助執法法（Communications Assistance for Law Enforcement Act, CALEA），要求所有電信業者和設備製造商預留執法監聽介面，即確保電信網路具備配合合法攔截的能力^[4]。2006年聯邦通信委員會（FCC）進一步擴大 CALEA 適用範圍至網際網路服務提供者，明示ISP須能執行法院簽發的即時通信監察命令；DPI被視為滿足此要求的必要技術之一，並在全美廣泛部署以利執法截聽。執法實務上，美國區分有特定目標的合法監聽（需依電子通訊隱私法取得法院許可）與情報目的的大規模監測。在後者，九一一事件後美國啟動了大規模網路監控計畫，國家安全局（NSA）曾與AT&T等電信商合作運用 DPI 技術對網際網路骨幹進行深度監控，將主幹線路複製分流至秘密設置的分析設備進行電子郵件、VoIP通話等資料即時監察。這類計畫（如「濾網計畫」）獲得愛國者法等授權，但因繞過正常司法令程序引發「無證監聽」重大憲法爭議。

(十) 政府資助方面，美國對 DPI 等監控技術的確以國安名義投入龐大資金，特別是情報和國土安全領域。聯邦政府透過NSA、國土安全部等單位資助研發高階 DPI 系統，用於國家級網路流量篩選與網絡防禦。同時，聯邦調查局（FBI）等執法單位也有預算用於升級網路偵查裝備，以因應加密及新型網路犯罪手法。引發的爭議主要聚焦在隱私與憲法權利：2000年代中期媒體揭露NSA大規模無差別監控計畫後，引發社會嘩然，民權組織據此提起多起訴訟，認為此類行為違反第四修正案保護。最終，美國國會被迫對情報監控法律進行改革（例如2015年USA Freedom Act限制情報單位批量收集通訊記錄），以平息爭議。在執法用途上，美國法院對於非法取得的電子證據採取排除法則，若 DPI 蒐證未遵守法律程序，相關證據可能在訴訟中被排除。因此，美國將 DPI 視為強化國安之利器，有完善的技術實施和法律配套，但也因幾度監聽濫權醜聞而逐步增加透明度與監督機制，試圖在國家安全與公民自由間取得平衡。

(十一)其他國家經驗方面，俄羅斯的SORM系統是最具代表性的強制性監控架構，電信業者須安裝政府指定的DPI設備，允許聯邦安全局（FSB）即時存取數據，但歐洲人權法院（Zakharov案）裁定此系統違反隱私權。

俄羅斯對 DPI 技術的應用以網路管制與資訊審查為主要目標，其法律框架逐步演進以賦予政府更大監控權限。傳統上，俄國早在1995年即實施「可操作搜尋措施系統」（SORM），要求電信業者配合執法單位進行通信截聽，但當時技術上多以IP位址過濾為主，法律並不明確授權對封包內容的深度分析。2012年後，俄羅斯陸續頒布「資訊交換法」等規範以封鎖阻擋違禁網站，手段限於依據IP或URL封鎖。然而，面對加密流量與代理規避技術的挑戰，俄政府開始推行 DPI 作為強化管控的工具。2019年俄羅斯通過所謂「主權網路法」，明定由國家監管機關Roskomnadzor在國內主幹網路部署深度封包檢測設備，以實現關鍵時刻將俄國網路流量與全球網路隔離的能力^[5]。Roskomnadzor自該年起在部分地區試點 DPI，用於精細封鎖特定服務（如VPN、加密通訊協議），取得初步成效後，計畫擴大全國實施，估計耗資達200億盧布。

在政府資助上，俄政府投入巨資建設由本國廠商提供的 DPI 基礎設施，希望藉此實現對網路資訊流的自主掌控。俄羅斯 DPI 的應用情境主要包括：過濾政治異議內容，封鎖被列入黑名單的境外網站、監視社群媒體言論，以及降低依賴國外網路服務的風險。此舉使俄國網路成為一個相對封閉的空間，被稱為打造「俄羅斯網路防火牆」。然而引發的爭議相當大：俄國境內獨立媒體和公民社群批評這是對言論自由和隱私權的嚴重侵犯；國際上，人權觀察等組織譴責俄政府利用DPI進行嚴密的資訊審查與監控^[6]。大量合法資訊也可能在封鎖過程中被誤攔截，影響居民正常上網權益。此外，2021年前後俄政府藉由 DPI 成功封鎖了數百個VPN及加密通訊工具，加劇資訊孤立。整體而言，俄羅斯將 DPI 視為維護政權與資訊主權的關鍵技術，法律上通過新法令大幅擴權，但在維權團體眼中其做法違反民主社會對資訊自由的基本價值，國內外爭議持續延燒。

(十二)中國是目前世界上運用 DPI 技術進行網路管控最為廣泛的國家之一。中國政府自2000年代起建立了覆蓋全國的網路審查系統（俗稱「防火長城」），其中廣泛採用了 DPI 技術來監控過濾境內外的網路通信。應用情境上，DPI 在中國被用於識別並封鎖被政府認定有害的內容，包括政治異議、宗教資訊、色情及各類被禁止的言論。具體作法如：ISP使用DPI檢查流經其網絡的資料封包內是否含有敏感關鍵詞，一旦偵測到則立刻切斷該連線。這使中國民眾只要訪問網站之內容涉及政治敏感詞彙，連線就會即被重置中斷。除了文字內容，中國亦利用 DPI 解析各種應用協議特徵，以封鎖特定服務（例如 Gmail、Facebook 等境外平台）及干擾 VPN 翻牆流量。法律依據方面，中國並無單一法律專門規範 DPI，但多部法規綜合授權了網路監控：如網絡安全法、國家情報法等賦予政府權力為維護國家安全可監察通信訊息；行政法規層面，計算機資訊網路國際聯網管理暫行規定與公安部「金盾工程」文件為網路審查提供依據。中國的法律體系採取原則授權加行政命令模式，在國家安全、社會秩序名義下幾乎不受司法審查地運用 DPI 等技術。政府資助方面，中國對 DPI 的投入極為可觀—作為「長城防火牆」和「公安網路安全防控體系」的一部分，政府每年撥款大量資金，由國內科技企業研發供應 DPI 設備，在骨幹路由節點部署。此外，官方還成立專門機構和網安警察隊伍運營維護該審查監控體系。不過，近年來 DPI 技術的演進亦使翻牆難度加大，有觀點指出中國透過強化版 DPI「主動探測」手法，大幅提升了封鎖精準度^[7]。綜觀而言，中國將 DPI 作為網路治理的核心利器，以國家安全與社會秩序之名全面監控網絡資訊，雖達成了官方維穩目的，但在保障人權與隱私方面引發的負面評價亦讓中國的網路自由度排名長期處於低位。簡言之中國則以網路安全法及相關行政命令為依據，建立「防火長城」，廣泛運用DPI對境內外網路流量進行審查與封鎖，被國際普遍批評為侵犯人權。

(十三)埃及、越南及巴基斯坦等國家亦採取類似措施，在國家安全或公共秩序名義下使用DPI封鎖異議內容，但透明度及法律程序普遍不足，引發國際關注。阿爾巴尼亞於 2023 年發生封鎖 TikTok 事件，政府未經充分立法授權，直接下令 ISP 使用 DPI 攔截 TikTok 服務。根據阿爾巴尼亞數位自由中心報告：「此舉未經國會程序，亦未設置法律救濟機制，構成嚴重違反言論自由與隱私的行為。」該案促使歐洲委員會發函表達關切。

(十四)其他亞洲國家如馬來西亞於 2013 年大選期間利用 DPI 封鎖反對派網站^[8]，越南則於 2021 年實施資安法，要求 ISP 升級 DPI 硬體並提交內容審查報告。巴基斯坦根據電子犯罪防制法動用 DPI 過濾「國家安全威脅」內容。印度 ISP 執行 DPI 技術以阻擋網站，民間團體（SFLC.in）批評此舉透明度不足。埃及曾於 2017 年封鎖 Signal 應用程式，電子前哨基金會（EFF）報告確認使用 DPI 攔截流量。

上述國際比較顯示，各國在DPI政策取向上呈現兩極：民主法治國家強調法律授權和監督制衡，傾向有限度、目標明確地運用 DPI 協助偵查；威權國家則大範圍監控以實現政權維護，較少考量個人權利保障。對臺灣而言，歐盟、美國等經驗提供了如何在法治框架下引進 DPI 的參考，而俄中案例則提出了濫權風險的警示。本計畫將結合理想與教訓，為警政機關規劃適切的 DPI 應用路徑。

 

簡言之，現行台灣法對警政機關應用 DPI仍存多重約束，國際經驗顯示必要時應修改或補充立法以提供明確授權與監督，例如歐盟各國針對網路偵查的新法制調整。若我國欲推動 DPI 政策，須審慎評估上述法律風險，包括違法監察、個資侵權、證據無效等，並研擬周延的解決方案（如修法增訂特定條款、制定行政命令明確流程、或建立跨部門監督機制），確保計畫在合法合憲的基礎上執行。另外，我國執法單位調閱資料範圍與法源依據仍須依現行法規，於授權範圍內依法調閱。

^[1]eur-lex.europa.eu，最後瀏覽日期2025年5月10日。

^[2] axelarnbak.nl，最後瀏覽日期2025年5月10日。

^[3] edri.org，最後瀏覽日期2025年5月10日。

^[4] fcc.gov，最後瀏覽日期2025年5月10日。

^[5] cybercrimediaries.com，最後瀏覽日期2025年5月10日。

^[6] cybercrimediaries.com，最後瀏覽日期2025年5月10日。

^[7] cybercrimediaries.com，最後瀏覽日期2025年5月10日。

^[8] 報導來源The Malaysian Insider，最後瀏覽日期2025年5月10日。