拉脫維亞公共 WiFi、網際網路連線與數位隱私法規：完整指南

拉脫維亞的寬頻基礎設施

拉脫維亞擁有高度發達的網際網路基礎設施，特別是在其城市中心。得益於其廣泛的光纖網路，該國在網際網路速度方面一直名列全球前茅。主要的固定線路網際網路服務供應商 (ISP) 是 Tet（前身為 Lattelecom），該公司在光纖到戶 (FTTH) 技術上投入了巨資，為住宅和企業客戶提供通常超過 1 Gbps 的對稱速度。其他重要業者包括提供光纖和有線網際網路混合服務的 Baltcom，以及較小的區域供應商。部分地區仍可使用 DSL，但光纖因其卓越的效能而成為主流且首選的技術。

行動網路運營商 (MNO)

拉脫維亞的行動市場競爭激烈，主要有三家行動網路運營商：

• LMT (Latvijas Mobilais Telefons)：最大的運營商，以其廣泛的覆蓋範圍（特別是在農村地區）和普遍高品質的服務而聞名。LMT 是 5G 部署的先驅。
• Tele2：實力雄厚的競爭對手，在全國範圍內提供具競爭力的價格和良好的覆蓋範圍。Tele2 在企業市場也佔有重要地位。
• Bite：以其積極的定價策略和對年輕客群的關注而聞名，近年來顯著擴大了其網路覆蓋範圍。

這三家運營商都在大多數人口稠密地區和主要交通路線上提供覆蓋範圍極佳的 4G LTE 服務。在歐盟/歐洲經濟區 (EU/EEA) 內漫遊適用「免漫遊費 (Roam Like At Home)」法規，這意味著在合理使用額度內，通話、簡訊和數據傳輸不會收取額外費用。

5G 部署與可用性

拉脫維亞一直處於波羅的海地區 5G 部署的前沿。所有三家主要行動網路運營商（LMT、Tele2、Bite）都已推出商用 5G 服務。部署始於里加 (Riga)、尤爾馬拉 (Jūrmala) 和利耶帕亞 (Liepāja) 等主要城市，並正穩步擴展到其他城市中心和工業區。與 4G 相比，這些地區的使用者可以期待顯著加快的速度和更低的延遲。雖然 5G 覆蓋範圍尚未在全國普及，但其可用性正在迅速增長，特別是在人口稠密的地區和關鍵商業區。攜帶 5G 相容裝置的遊客很可能在大多數城市公共場所獲得 5G 訊號。

遊客 SIM 卡建議

對於訪問拉脫維亞的遊客來說，購買當地 SIM 卡是保持聯繫的一種簡單且具成本效益的方式。以下是您需要了解的資訊：

• 購買地點：SIM 卡可在里加國際機場 (RIX)、購物中心和市中心的行動網路運營商（LMT、Tele2、Bite）門市、便利商店以及部分超市購買。尋找官方運營商門市以獲得最多樣的選擇和最佳建議。
• 註冊要求：在拉脫維亞，根據當地法規，註冊 SIM 卡通常需要有效的身分證明文件（例如護照或國民身分證）。此流程通常很快，並由銷售商處理。
• 數據方案：所有營運商都提供專為遊客設計的各種預付費 SIM 卡選擇，通常捆綁了豐富的數據傳輸量、本地通話和簡訊。建議尋找專門針對遊客或短期旅客的方案，因為這些方案通常更划算。例如，LMT 提供「Travel SIM」選擇，而 Tele2 和 Bite 也有類似的預付費方案。
• 加值管道：購買後，SIM 卡可以在銷售點進行加值，也可以透過營運商的網站或行動應用程式進行線上加值，或在許多 ATM 與「Narvesen」便利商店辦理。
• 業者比較：對於主要著重於數據的遊客，建議比較 LMT、Tele2 和 Bite 的最新優惠。LMT 通常在鄉村地區擁有最佳的訊號覆蓋率，如果您計劃前往主要城市以外的地方探索，這將非常有用。Tele2 和 Bite 通常在市區提供非常具競爭力的數據導向方案。抵達前，請先瀏覽他們的網站以查看最新的遊客優惠。

拉脫維亞的數據隱私法規

作為歐洲聯盟的成員國，拉脫維亞直接受 GDPR（歐盟一般資料保護規範，Regulation (EU) 2016/679）的管轄。GDPR 是資料保護的主要法律框架，針對個人資料的收集、處理和儲存制定了嚴格的規則。除了 GDPR 之外，拉脫維亞還擁有其國家立法，主要是個人資料保護法（Datu valsts inspekcijas likums），該法案對 GDPR 的某些方面進行了補充和具體說明，特別是關於國家監管機構——**國家數據監察局 (DVI)**的權力。

直接適用於拉脫維亞的 GDPR 核心原則包括：

• 合法、公平及透明：必須以合法、公平和透明的方式處理資料。
• 目的限制：收集資料必須出於特定、明確且合法的目的。
• 資料最小化：僅應收集必要的資料。
• 準確性：資料必須準確並保持最新狀態。
• 儲存限制：資料的保留時間不應超過必要的時間。
• 完整性與機密性：處理資料的方式必須確保適當的安全。
• 問責制：資料控制者必須能夠證明其符合規範。

與所有歐盟公民一樣，拉脫維亞境內的個人在 GDPR 下享有各項權利，包括存取權、更正權、刪除權（「被遺忘權」）、限制處理權、資料可攜權以及反對處理權。

數據保留指令

雖然歐盟的《數據保留指令》已於 2014 年被歐洲聯盟法院 (CJEU) 廢除，但與其他歐盟國家一樣，拉脫維亞的國家法律可能仍會要求電信業者出於特定且有限的目的，保留某些流量和位置數據。拉脫維亞的**《電子通訊法》**結合刑事訴訟法，允許為預防、調查、偵查和起訴嚴重犯罪或維護國家安全之目的保留數據。這些數據通常包括用戶資訊、通話詳細記錄 (CDR) 和網際網路協定 (IP) 位址，但通常不包括通訊內容。保留期限有嚴格的規定，並接受司法或獨立行政監管，以確保符合比例原則和必要性，這與歐洲聯盟法院 (CJEU) 對數據保留的裁決一致。

外洩通報規則

根據 GDPR，數據外洩通報規則非常嚴格，並直接適用於拉脫維亞。一旦發生個人資料外洩事件，資料控制者必須：

• 通報監管機構 (DVI)：必須在可行之處且不遲於發現外洩後的 72 小時內，毫不拖延地通報 DVI，除非該外洩不太可能對自然人的權利和自由造成風險。
• 通知受影響的資料主體：若個人資料外洩可能對自然人的權利和自由造成高風險，資料控制者必須毫不拖延地向資料主體通報外洩事件。此通知必須說明外洩的性質、資料保護官的姓名和聯絡詳細資訊（若適用）、外洩的可能後果，以及已採取或建議採取以應對該問題的措施。

未遵守這些通知要求可能會面臨 GDPR 下的重大罰款。

政府審查或網路限制

拉脫維亞作為民主的歐盟成員國，通常維護言論和資訊自由的原則。政府對網路的直接審查極少且受到高度限制。然而，與所有民主國家一樣，某些類型的內容被視為違法，並可透過法院命令進行限制。這些通常包括：

• 兒童色情與剝削材料。
• 煽動基於種族、族群、宗教或性傾向的仇恨、暴力或歧視。
• 與恐怖主義相關的內容。
• 侵犯著作權：若網站或服務被發現主要是為了助長大規模侵犯著作權，則可能會受到法院的封鎖令限制，這通常是應權利人的要求而進行。

任何限制通常透過司法程序執行，且必須遵守人權標準和歐盟法律。拉脫維亞不進行廣泛的網路監控或任意的內容封鎖。

拉脫維亞場所的 Captive Portal 法律規範

對於在拉脫維亞提供公共 WiFi 的咖啡廳、飯店和其他場所而言，法律並未明確強制要求實施 captive portal，但為了安全、責任管理和數據收集的合規性，強烈建議使用。如果使用 captive portal 收集任何個人資料（例如，用於存取的電子郵件、用於會員計畫的姓名），則必須符合 GDPR。這意味著：

• 透明度：必須清楚告知使用者正在收集哪些數據、原因以及將如何使用。
• 合法依據：處理必須有合法依據，例如明確的同意（勾選加入核取方塊，並清楚說明條款）或合法利益（例如，用於安全記錄，但這需要仔細的理由說明）。
• 服務條款：應顯示清晰且易於存取的服務條款 (ToS) 或可接受使用政策 (AUP)，概述 WiFi 使用規則、隱私權政策以及任何關於責任的免責聲明。
• 安全性：captive portal 本身應是安全的（例如，使用 HTTPS）。

收集顧客數據與 GDPR 合規性

透過公共 WiFi 或其他方式（例如，飯店辦理入住）收集顧客數據的任何行為，都必須嚴格遵守 GDPR 原則和拉脫維亞個人資料保護法。場所必須：

• 目的限制：僅收集特定、合法目的所必需的數據。對於公共 WiFi，這可能僅限於安全記錄所需的數據，或者如果特定服務有強制要求，則為法律識別所需的數據（雖然通常不適用於基本 WiFi 存取）。
• 同意：如果收集的數據超出提供服務或法律義務所絕對必需的範圍（例如，用於行銷），則需要取得明確且知情的同意。這意味著需要清晰的勾選加入，而不是預先勾選的方塊。
• 數據最小化：僅收集所需的最少數據量。例如，對於行銷而言，電子郵件地址可能就足夠了，而不需要完整的姓名和地址。
• 數據安全：實施適當的技術和組織措施，以保護所收集的數據免受未經授權的存取、遺失或洩露（例如，加密、存取控制、安全伺服器）。
• 數據保留：保留數據的時間不得超過實現所述目的所需的時間。建立明確的數據保留政策。
• 隱私權政策：提供隨手可得的完整隱私權政策，說明數據實務、使用者權利以及資料保護查詢的聯絡資訊。

顧客非法下載的責任

在拉脫維亞提供公共 WiFi 的場所，可能會因其顧客進行的非法活動（特別是侵犯著作權）而面臨間接責任。雖然該場所通常不被視為直接侵權者，但可被視為促進侵權的「中間人」。為了降低此風險，場所應：

• 實施可接受使用政策 (AUP)：明確聲明禁止非法活動（包括侵犯版權），且使用者需對其行為負責。要求使用者在獲得存取權限前同意此 AUP。
• 記錄使用者活動（負責任地）：在符合 GDPR 的前提下，保留最少量的連線日誌（例如：IP 位址、MAC 位址、連線時間戳記）並僅限特定期間。若主管機關或權利持有人提出法律要求，這些資料對於識別特定責任使用者至關重要。然而，在沒有明確目的之情況下收集過多資料即違反 GDPR。
• 回應通知與下架請求：若權利持有人針對場域網路中特定 IP 位址的侵權行為發出合法通知，場域應予以配合，提供相關（法律允許的）日誌資料，並可能封鎖該特定使用者的存取權限。
• 保護您的網路安全：防止未經授權存取您的 WiFi 網路，並確保其不易被漏洞利用。對您的主要網路使用強固的 WPA2/WPA3 加密，並隔離訪客網路。
• 免責聲明：雖然並非萬無一失，但聲明場域不對使用者行為負責且使用者承擔所有責任的免責聲明，可以強化您在法律爭議中的立場。然而，這並不能免除場域為防止非法活動所應承擔的所有責任。

在拉脫維亞避免公共 WiFi 上的「邪惡雙生」偽造攻擊

「邪惡雙生（Evil Twin）」攻擊是公共 WiFi 網路上的重大威脅，攻擊者會設置虛假的熱點，旨在模仿合法的熱點（例如，使用「Riga Free WiFi」來模仿實際的「Riga_Free_WiFi」）。這些虛假網路會擷取您的資料。若要在拉脫維亞保護自己，請注意：

• 確認網路名稱 (SSID)：務必向場所工作人員（例如咖啡廳、飯店接待處）確認精確的 SSID。即使是單個字元的差異也可能表示該網路是虛假的。
• 尋找官方網路：優先選擇由受信任場所明確提供的網路。對於聽起來很通用、似乎與任何特定機構無關的網路，請保持警惕。
• 檢查加密狀態：合法的公共 WiFi 網路（特別是在飯店或咖啡廳）越來越多地使用 WPA2 或 WPA3 加密。如果某個網路是完全開放的（不需要密碼）或使用 WEP（一種過時且不安全的協定），請極度小心。加密的網路會在名稱旁邊顯示一個掛鎖圖示。
• 避免敏感交易：連線到未經確認的公共 WiFi 網路時，請勿進行銀行轉帳、線上購物或存取敏感的個人帳戶。請將這些活動留到使用行動數據或受信任的家用網路時再進行。
• 停用自動連線：將您的裝置設定為在連線到新網路前先進行詢問。這可以防止您的裝置自動加入先前遇到過、可能具有惡意的網路。

在拉脫維亞使用 VPN 的重要性

虛擬私人網路（VPN）會在您的裝置和伺服器之間建立一條加密通道，向潛在的竊聽者（包括公共 WiFi 網路上的竊聽者）隱藏您的線上活動。對於拉脫維亞的消費者，特別是在使用公共熱點時：

• 資料加密：VPN 會加密您所有的網路流量，防止同一公共 WiFi 網路上的其他人（包括「邪惡雙生」攻擊者）攔截和讀取您的資料，例如登入憑證、電子郵件和瀏覽記錄。
• IP 地址遮罩：您的真實 IP 地址會被隱藏，使您看起來像是從 VPN 伺服器的位置進行瀏覽。這能增強隱私，並有助於繞過地理限制（儘管這對於拉脫維亞的一般隱私保護較不相關）。
• 規避 ISP 監控：雖然拉脫維亞的 網路服務供應商（ISP）在 GDPR 規範內運作，但 VPN 能防止您的 ISP 看到您的瀏覽習慣，從而增加了一層額外的隱私防護。他們只會看到前往 VPN 伺服器的加密流量。
• 合法性：只要不用於非法活動，在拉脫維亞以及整個歐盟，使用 VPN 都是完全合法的。許多知名的 VPN 供應商都有提供位於拉脫維亞的伺服器，讓您即使在國外也能安全地存取當地內容。
• 選擇 VPN：選擇信譽良好、採行嚴格無日誌政策、具備強大加密技術（如 OpenVPN 或 WireGuard），且在安全與隱私方面擁有良好口碑的付費 VPN 服務。免費 VPN 通常伴隨隱藏成本，例如數據記錄或侵入性廣告。

在拉脫維亞識別安全的熱點

除了避免連線到 Evil Twin 邪惡雙生熱點和使用 VPN 之外，以下是如何識別並使用安全熱點的方法：

• WPA2/WPA3 加密：安全 WiFi 網路最關鍵的指標是存在 WPA2，或更好的 WPA3 加密。這意味著需要密碼才能加入，且您的裝置與路由器之間的流量已進行加密。請務必優先選擇需要密碼的網路。
• 強制 HTTPS 連線：雖然這與 WiFi 網路本身沒有直接關係，但請確保您造訪的網站使用 HTTPS（由瀏覽器網址列中的鎖頭圖示表示）。這會加密您瀏覽器與網站之間的連線，即使底層的 WiFi 網路已遭到入侵也是如此。現在許多瀏覽器在您存取僅限 HTTP 的網站時會發出警告。
• 官方場所網路：優先選擇由知名企業明確提供的網路（例如 LMT 商店的「LMT_Free_WiFi」、Tet 服務中心的「Tet_Public」或飯店指定的旅客網路）。這些網路通常由 IT 專業人員維護，安全性較高。
• 避免公開檔案分享：連線至任何公共網路時，請勿在您的裝置上啟用檔案分享。這可能會將您的個人檔案暴露給同一網路上的其他使用者。
• 軟體更新：保持您裝置的作業系統、瀏覽器和所有應用程式處於最新狀態。更新通常包含關鍵的安全修補程式，可防止在公共網路上可能被利用的已知漏洞。