为什么要求解散国安局?—— 监视之恶(六)立法监管不可能,应该怎么办(下)

(泡泡特约)四、为什么必需支持 Edward Snowden —— 隐私和揭秘没有任何矛盾,正相反是相辅相成

为数不少的中国人尤其是中国异议对美国有着近乎痴迷的崇拜,准确说是对华盛顿的痴迷。说实话,我也是美国粉丝,我欣赏美国文化和美国社会的独立自主追求自由的理念,而美国文化恰恰是警惕政府的、是 keep fighting 的,华盛顿是被监督者,而不应该是监视老大哥。这就是为什么我支持 Snowden。

对任何开放和自由的社会来说,信息透明都是至关重要的,让公民知道当局正在做什么,才能赋予他们履行公民义务去监督政府活动的能力。对企业也一样。

然而如今却是,政府以“国家安全”为由引发的机密大爆炸,遍地都是所谓的国家机密,公民变成了瞎子,只能从政府宣传中得知当权者正在干什么,而那些宣传基本没有任何真话。奥巴马口口声声支持信息透明、谴责政治暗箱,结果却是,他任内抓捕的揭秘者数量是他所有前任的总和;开源运动 20 年后,软件专利依旧像雪花一样满天飞,专利的意思就是你不可能知道那些软件对你干了什么,如今中国是专利冠军,以民族主义鸡血推动的数字世界专制。

隐私保护的基础要求就是互联网技术公司的信息公开:用户需要知道自己被收集了哪些信息,被如何储存的,究竟都被谁使用了,用来做了什么。在一个互联网和各具国家特色的、有关监控与控制的法律错综复杂交织在一起的世界里,这一基础要求尤其重要。保密政策应该提供这些信息,而不是故意使用模糊的描述混淆视听 —— 现在很多技术公司的隐私条款纯属故意耍你。

并且需要算法的透明性,要求开源是基本目标。只有这样才能避免系统被极少数掌握权力的人操纵,然后借此来操纵你。只有在你明确知道他们对你做了什么时,才能选择拒绝或者默许这些做法。

信息透明和公民个人隐私不仅没有任何矛盾,并且相辅相成 —— 是前者的有效实施保证了后者的被实现,如果没有 Snowden 等勇敢的揭秘者、没有 Wikileaks 和全球致力于揭露政权阴谋的独立调查性新闻,人们都不可能了解自己的处境,不可能对未来做出明智的选择。(再次推荐 Julian Assange 在六年前出版的书《When Google met Wikileaks》,Julian 是第一个揭露谷歌本质的人)

无疑,机构永远都会比公民掌握更多的权力,而保密就是增强机构权力的最简单方法,并增加权力的差异化,没有任何机构不擅长这手,这本身就是严重威胁了公民的个人权利。只有透明才能减少权力的不平衡,而容忍机构实施监控就会增加权力的不平衡。

透明说起来很容易,但事实上很难实现。权力越大的人越是厌恶被监督中国什么样不用重复了。在美国,警察会骚扰和起诉那些拍摄他们的人;芝加哥警察故意模糊摄像头,显然是想掩盖自己的行为;圣地亚哥警察部门拒绝索要警方视频的要求;2014 年密苏里弗格森市的抗议中,警方打死一名手无寸铁的黑人男子后,阻止示威者对其拍摄取证,并且逮捕了几位记录该事件的记者;洛杉矶警方更离谱,甚至破坏了强制安置在巡逻车上的语音记录器。(上述每一个链接都指向具体报道)

感谢勇敢诚实的媒体曝光这些当权者的恶劣行径,如果当权者控制了媒体、或者所谓的商业性追求侵蚀了媒体的基本职能,所有人都会变成傻瓜,公民身份将彻底消失。

当权者总有本事抵制各种信息透明法律,但秘密的世界正在发生变化。隐私权法律学者 Peter Swire 曾写下了关于秘密萎缩半衰期的论述。他所观察到的是,在一般情况下,秘密比以前泄漏得更快了,是技术的发展使保密变得越来越困难,而互联网的本质就是让秘密更加难以保持。

在互联网上,一个“发送”按钮可以在瞬间传递几千兆字节,移动存储可容纳的数据量正在逐年增多,政府部门和机构想要保守阴谋比任何时候都将更难 —— 并且他们的保密行为很容易露出破绽,就如 IBM 公司禁止雇员使用便携式存储设备,简直就是司马昭之心。

公民知情权的满足,或者说民主的未来,所缺乏的正是勇敢的揭秘者。

文化变迁也增加了保密的难度。在过去,保守机构的秘密是终生文化的一部分。情报机构会在人们事业早期就吸收他们为新成员,给他们提供谋生的工作机会,在人们还没能清楚地认识到权力之本性的时候,权力扮演施舍者,给人们洗脑,以忠诚为道德标准的结果就是,遍地都是秘密。中国于今为止仍然重复着美国三四十年前实施的上述模式。

美国如今的状况不同了,情报机构很多工作都是外包的,企业世界里再没有为生活而工作的文化:劳动是自由的、工作是外包的、人们是可消费的,跳槽是常态。这就意味着秘密将被更多的人分享,而且人们对所谓的忠诚保密也更加不会上心。更有,意味着如果当权者想要追究泄密的责任,也会越来越难,因为“可疑覆盖面”非常大,2014年的数据显示,美国有 500 万人拥有安全许可证,他们大多是承包商而不是政府雇员(这里是具体文件 pdf)

现在我们有希望了,因为年轻人正在修改保守的价值观,他们拥有更为开放的个性,更加激进寻求新知的态度,年轻人生于互联网,长于互联网,他们从根本上相信信息是免费的,而安全来自公共知识和辩论,他们钟爱技术、擅长技术,懂得如何用技术保护自己并对恶权发起挑战,新一代精英正在从年轻人中诞生。这是一种隐性的社会变革,在这一趋势下当权者要想继续说服人们对保密的服从只会越来越难。

你知道为什么中国政府全球盯梢海外留学生了吧,他们对年长的海外华裔异议所施加的压力和监视并没有对年轻人更多;他们对国内的老一代异议所实施的管制也没有对网络知名人士(那些年轻而拥有影响力的人)所施行的吸纳打压政策更多。然而很多华裔年轻人的认知就这样被毁掉了,变得连美国80岁的保守派老人都不如。

秘密仍在中国盛行,很多中国异议仍在举着当权者的狡辩之词 - 所谓的国家安全 - 谴责 Snowden,北京政府正在偷笑。

五、“间谍工具不是在抓坏人吗”—— 为什么要彻底制止间谍工具本身?

近年来,在美国,关于解散国安局的呼声越来越高,从最初的学界到后来的民间异议,中国人恐怕很难理解这件事。

自 1952 年成立以来,国安局就被赋予了双重使命:首先是信号情报(SIGINT)拦截属于被华盛顿认为是美国敌人的通信;其次是通信安全(COMSEC)保护美国军事和政府部门不被他人拦截。因为不同国家使用不同的通信系统,军事人员和平民也使用不同的通信系统,当时这两大使命是互补的。但是,那只是当时,如今这两个使命完全矛盾。

或许法律可以决定什么样的监控是合法的,但是技术才能确定什么样的方法是可行的。互联网告诉你的第一件事就是,技术无国界,信息无国界,安全的权利全球共享。

如今国安局已经无法做到在削弱敌人的同时保护自己的网络。情报机构用于相互监视的技术漏洞,也同样被犯罪分子用来窃取财务密码、发送勒索软件 —— 前天(5月14号)是横扫了全球 99 个国家和地区的著名勒索软件 WannaCry 爆发一周年,英国媒体反思了英国被该勒索软件瘫痪的社会,但没能触及根源性问题,即,该勒索软件正是利用的美国国安局实施间谍活动的工具“EternalBlue”,该工具被犯罪分子获取的结果。

这只是其中所有案例之一,更著名的震网病毒,几乎所有互联网人都应该记得,还有破解密码软件 Elcomsoft,数据包注入(packer injection)等等太多最终变为伤害的间谍工具,全是美国开发的。美国政府希望不受限制地监控公民的愿望,直接打乱了互联网的运作方式。

这根本无法避免因为全球人使用着同样的产品、技术、协议和标准,你只有两种选择:要么把它变成更容易被每个人监视他人所用,要么使其变成更难以被任何人监视他人所用。注意是任何人,情报机构当然在其中。

这就是自由对抗控制,所有人在共进退。

在互联网的世界里强调国家概念是非常可笑的(中国政府就在这样强调,一些中文舆论也是如此)。曾在小布什政府中担任助理总检察长的哈佛大学法学教授 Jack L.Goldsmith 撰文明确过这点:“每一个攻击性武器的开发都会成为我们防守的弱点,反之亦然”。

比如美国《通信协助执法法案 CALEA》要求电话交换机启用窃听功能。即便美国人都允许警方拥有这些能力,假设所有人都信任警察不会滥用权力,但是这些电话交换机是销往全球的。2004~2005年期间,希腊政府部门中有一百多成员的手机遭到窃听,包括总理和国防部长、外交、司法部门全在内,还有希腊著名的公民。为什么?因为瑞典电信供应商爱立信在沃达丰产品中设置了窃听功能,虽然只在政府的要求下才运转。但是,希腊政府显然不是那些恰好能指挥窃听的政府,于是它就变成了被窃听对象 —— 只要这些功能存在,任何有技术的人都能开启它,并达到自己的目的。

这不是孤立事件。稍微关注新闻的人都应该有印象,哪怕印象不深,这类状况比比皆是。因为这就是本时代赋予我们所有人的选择:要么每个人都能得到这种能力,要么没有任何人能得到。绝无其他选项。

美国有着令人钦佩的强大技术能力,但如果它用不对地方的话,绝对就会成为全球专制政府和犯罪分子的盛宴。

重申本网在“为自由而战”系列中所强调的:密码学把互联网夺回来,回到人民的手中,支持开源和去中心化,抵制一切审查和监控,让互联网重新成为人民的基础设施,而不是权力的工具。

附:为自由而战系列 1、https://pao-pao.net/article/1003 ;2、https://pao-pao.net/article/1004 ;3、https://pao-pao.net/article/1005 ;4、https://pao-pao.net/article/1012 ;5、https://pao-pao.net/article/1013

六、“监视者也可以被监管嘛” —— 为什么立法监管很可能没用?大规模监视与核武器

Facebook 丑闻以及欧洲隐私保护新规即将出台在近期引起了很多舆论对监管抱以期待。但经验显示,你的期待很可能会落空。

理论层面上对付国家级大规模监控的两种途径是:物理定律和人的定律。前者是指开发防御拦截的设备,后者是指制定民主控制的法律,以确保人们必需得到授权才能进行数据拦截,并确立某种监管问责机制。听起来很不错吧。

但是,战略性拦截不包括其中,它不可能受到监管的有效制约 —— 战略性拦截就是不分青红皂白地拦截所有人的数据。要知道,是统治集团核心在从事这种监控,他们不可能有充分的政治意愿曝光国家的间谍行为。技术本身是复杂的,使用中又是秘密进行的,于是不可能得到有效的民主监督。

政策可以制定,但只能摆在那里,得不到遵守。无法期待全球各个国家能接二连三地出现斯诺登。斯诺登的揭露是史无前例的,极为罕见,也不大可能有后来人了。尤其是这些揭秘者的可怕遭遇频频出现在媒体报道中之后,寒蝉效应已经弥漫。

除非是很小的国家比如冰岛,加之维京人骨子里的反抗精神,有可能存在的革命条件,否则根本不可能通过立法和政策控制大规模拦截。要知道,绕开政治问责而实施拦截是非常容易的。

不是没人试过监管,瑞典在十年前就通过了一部拦截法案,即全球著名的 FRA-lagen,该法案意味着瑞典情报机构 FRA 在满足某些条件的情况下可以合法实施大规模拦截过境通信,把所有数据送往美国(前一个链接是相关报道,后一个链接是维基百科对该法案的介绍)。但很显然,一旦你设立了这样的拦截系统,一个执行拦截的秘密间谍机构,还怎么可能贯彻这些附加条件呢?逻辑上完全矛盾。

事实就是如此,FRA 早已在各种场合中破坏了法律。

许多国家将拦截行动置于法律管辖之外,根本就没有对此立法。如果他们决定为了保护自己免遭起诉而通过修改法律以令这种行为合法化,就像瑞典的例子,还真的值得庆幸呢,虽然跟没有一样。但对于大多数国家来说,情况就是 —— 大规模拦截一直在持续并且愈演愈烈,立法提案却在帮从事拦截的人擦屁股。

如上所述的机密化处理是一部分原因,无法立法监管的另一部分原因是技术本身的问题。这种技术非常复杂,比如在澳大利亚和英国,对全面拦截元数据的立法提案中,大多数立法者根本不懂元数据的价值,甚至不懂这个词本身是什么意思

但最基本的应该明白,要想拦截所有元数据意味着你必须先建立一套系统,以能做到在物理上拦截所有数据,然后再扔掉元数据之外的其他东西。但是,这种系统是不可信的。除非有熟练的工程师得到批准去彻查所有发生的事,不然你无法判断这个系统实际上是否存在拦截和储存所有数据的行为。

由于技术复杂性和保密政策的有效勾结,问题会变得越来越糟。真相被掩盖在复杂性中,被掩盖在各种秘密之中。不可问责制就内嵌在这种系统里,这是体系的特征。是故意设计出来的危险。

即便为一般警察制定了适当的行为规范,也可能有其他人能够使用这些这些技术。但能否对技术购买和拥有进行管制呢?

就像核武器。你不能轻易出售核武器,而有些国家也许想要制造这种武器但遇到困难。当你谈论核武器系统时,这是一种受管制的技术,管制的不是它的使用,而是它的制造。于是这个议题也许应该是:技术是否应该被当作战争手段?

不同国家的状况不同。比如在利比亚叙利亚这些地方,监控设备就是武器,毫无疑问使用者完全是出于政治目的,利用它来针对目标人群。法国公司 Amesys 监控那些在英国使用法国设备的人,而这种监控在法国是非法的(Amesys 是 Bull 集团的一部分,曾经是 IBM 的 dehomag 在向纳粹销售打卡系统方面的竞争者,Edwin Black 在《IBM 与大屠杀》一书中有详细记录)

当我们开始在武器层面上考虑这个问题时,必须记住,大规模监控系统的出售并不是向一个国家出售一辆战车,而是出售一辆战车、外加一个机修工、一个驾驶战车的团队,他们是打包的,随时可以选择性瞄准人群,准备开火。(上面链接详细介绍西方国家公司如何向威权国家提供大规模监视技术)

这种售出几乎无法被制止,因为利益重大,而不是仅仅在金钱层面:假如你和一个邪恶的国家做生意,你把监控设备卖给他们去做坏事,你就能从中获利,因为你能因此知道这个国家的政府正在监听什么,他们最怕的是什么,谁是对该国最具威胁的人,哪些是政治反对派,谁在组织政治活动……据此就能预测未来会发生什么,以及你可以采取什么行动。那些出售监视技术的国家不会在乎被这些技术抓捕和剥夺自由的人的遭遇,这是一笔肮脏的交易,更是为什么监控系统不受管制的真相。

还说原子弹。原子弹被造出来就能引发地缘政治变化,许多人的命运将会因此被改变 —— 有些人得到好处,有些人被置于全面灾难的边缘。这就会引发一场要求控制局面的管制运动,在目前为止,除了日本,这些控制都能让人们免遭核战的威胁。但同时也是因为这种武器的使用太容易被发现了。

随着大规模监控在过去十几年间变得越来越成熟,监控成本也越来越低,对全球民主自由而言已经构成了严重的可见的威胁。我们需要一个回应,而不仅仅是简单的某个国家立法管制,我们需要的是像面对核战争时所做出的那种大规模回应。迫在眉睫,在你还有机会控制局面的时候。

冒个泡吧!

Plain text

  • 不允许HTML标记。
  • 自动将网址与电子邮件地址转变为链接。
  • 自动断行和分段。