蘋果公司和 FBI 在法庭上的拉鋸戰把所有人的目光都引向了一個問題:對于公司而言,怎么樣才算是為執法機構提供“合理的協助”?與此同時,大西洋彼岸的英國,政府卻正試圖加強法律監管力度,賦予國家機構權力,強迫初創公司在他們的系統中加入不安全因素,以便在(政府)有需要的時候破解用戶信息。
而且,很重要的一點是,(相關政策出臺后,如果有政府要求公司破解用戶信息,)公司將不能公開披露政府提出的要求——也就是說,蘋果在應對 FBI 一事時所采取的這類公開披露行為將被禁止。不僅如此,公司甚至無法提前告知用戶,公司將會被迫泄露他們的隱私。根據這一法案,此類公司被迫執行的國家強制要求都屬于保密范疇。
“任何收到政府技術能力支援通知的人員,或任何該人員公司內部為此受雇或受任的人員,都有義務不向任何人透露收到通知一事以及通知的具體內容。”《調查權力法案》附帶的其中一項行為守則如是說。
這一立法草案尚未通過國會批準,因此目前還不具備法律效應。然而,政府確實有意在今年年底之前推動這項 《調查權力法案》(InvestigatoryPowers bill)通過國會批準,成為計入法典的有效法案,屆時,公司保留數據信息的其他權力也將逐一被剝奪。這項法案共有 250 多頁,還有大量附帶文件材料,包括為法案中提到的各方設立的許多高度復雜的行為守則(Codesof Practice)。但是,國會只有很短的時間可以來審閱這份專業性相當強的復雜法案了。
在這個月初和完整的《調查權力法案》一起公布的 《設備干擾行為守則》(Codeof Practice on Equipment Interference)草案中,有一個標題為《技術能力支持》(Maintenance of a technical capability)的部分提到,通信服務提供商(CSP)可能會被要求“提供技術能力,授權(政府)進行攔截、設備干預、數據截獲或者通信數據采集”。
說得更明確一點,通信服務提供商指的是所有互聯網公司和手機電話公司。因此,科技初創公司可以說是全都落入了這一籮筐。
“《技術能力支持》的目的是為了確保,在被要求向政府授權時,公司能夠安全快速地實施(政府的要求),”《設備干擾行為守則》補充道,“(用戶少于 10,000 人的)小公司沒有義務提供永久技術能力支持,不過,他們可能有義務實施(政府下達的)授權命令。”
因此,簡單點說,這一條款賦予了國家將創業公司和技術平臺用作監控機構的權力——只有規模最小的創業公司和技術平臺才能幸免于難。國家可以迫使這些公司和平臺按照政府需求提前在他們的系統中留下漏洞。
——沒錯,盡管此前 政府聲稱,這一法案既不是要求公司留出信息安全后門,也不是要求公司給出加密密鑰,但這確實完全符合“信息安全后門”的定義。當然,如果法律要求公司在安全系統上留出漏洞,方便某些政府機構按照自身的需求秘密獲取用戶數據,那么政府機構自然就不必再要求公司給出加密密鑰了。
IPBill is Applev FBI on steroids. pic.twitter.com/rpwDRcAjFA
—Eric King (@e3i5) March 10, 2016
“《調查權利法案》一旦生效,蘋果公司的對手就會變成打了類固醇的 FBI。” pic.twitter.com/rpwDRcAjFA
——埃里克·金(@e3i5),2016 年 3 月 10 日
“侵入用戶安全系統的權力已經進一步升級拓寬了,”人權組織 國際隱私組織(PrivacyInternational)副主席埃里克·金(Eric King)這樣形容目前正等待國會審核批準的這一法案,“網絡連接記錄(Internet Connection Records,即 ICR——網絡服務提供者被迫保留所有用戶的網頁瀏覽記錄長達一年)的權限也進一步升級拓寬了。”
“關于政府如何迫使公司侵入用戶安全系統這點現在已經得到了明確證實。但是,只有現在——他們剝奪了先前的委員會考慮這些事情的權利,讓公司和非營利組織無法對這類令人關注的問題做出及時的應對。”
這一法案先前的版本由三個政府委員會負責審核,這三個委員會的成員都對此提出了大量的質疑——比如 。
金表示,政府根據委員會的報告作出的主要改變都是“粉飾性的”。
“在某些情況下,他們會在澄清法條的時候擴大法案的權利——因此,有一種做法就是在早期階段讓法案‘保持模凌兩可’,會有大量學者、非營利組織和公司提出法條不夠清晰的問題,但他們還是會讓法條保持模糊,所以說,只有到最后一分鐘——比如說現在——他們才會真正澄清那 200 多條法條。但是,他們澄清每一條法條的同時,都是在坐實此前法案不夠清楚明晰時人們最擔憂的問題。”他告訴 TechCrunch。
金表示,這一法案現在授予了國內執法機構和安全機構巨大的權限,他們將可以侵入用戶系統。
“(這一法案通過后,)他們就能夠迫使用戶數量超過 10,000 人的公司按照他們的要求行事——十年前,要想擁有 10,000 名用戶曾是件難事,但現如今你很快就能獲得 10,000 名用戶,因此‘用戶數量超過 10,000’這個門檻是很低的。他們可以下達長期通知,要求你在你的產品中加入某些技術,以便之后(在政府有要求時)破解侵入你的任何一位顧客。”他說道。
“而且,早在執法機構出現,說我們希望你破解侵入這名顧客的設備、賬戶或系統之前,他們就已經迫使公司打造好可以做到這點的系統了。如此一來,(如果我們再碰到)蘋果和 FBI 這樣的問題就好解決了。
“現在的情況是,蘋果打造了安全系統,然后 FBI 說我希望你們解鎖安全系統。而英國正采取另一種截然不同的方式——他們說,從現在起,我們要開始要求公司留下后門,方便侵入用戶的設備、賬戶或系統。這樣一來,我們就永遠不會碰到這個問題了。在美國,蘋果可以公開討論此事;但英國不同,在任何情況下,英國的公司都不能公開談論此事。他們不得向媒體、用戶、媒體可以報道的公開法庭透露此事。”
“這是信息安全后門最糟糕的一種形式,”金補充道,“一股秘密力量要求公司打造各式各樣的信息安全后門,侵入所有系統,直接侵入你所使用或購買的產品或服務。而且政府這是在拉公司下水,讓他們一起對付他們的用戶。
“與其說這是要求公司提供一個只能由政府使用的信息安全后門,倒不如說這是在說服公司,授權他們成為政府的代理人,甚至為他們的員工支付薪水——《行為守則》規定,政府需要向雇傭新員工或開發新技術的企業支付酬勞,確保他們能夠侵入用戶的設備、賬戶或系統。”
金還提出,現存英國法律(《2000 年調查權規范法案》[Regulation of Investigatory Powers Act 2000])里較老的、 備受指責的加密技術相關法律并沒有被改變、調整后綜合放入新法案——盡管政府聲稱,《調查權力法案》會想辦法把所有的調查權力放在一起,提供一個清楚明晰的框架,方便政府進行調查。
“這些權利將會繼續獨立于這一法案之外,我們所討論的所有和加密有關的問題都是和迫使公司破壞、削弱他們的結構、系統,在他們的系統里留下信息安全后門,以及移除加密系統有關的新權力、新技術以及新方法。”
“現在政府是在玩一場文字游戲,一場關于如何削弱保密性、設立信息安全后門的游戲,政府正在付出巨大的努力,迅速推進此事,希望能以冠冕堂皇的方式做到這點。”
How are UK companies not going ballistic over s.108 IPBill. IT FORCES THEM TO HACK THEIR CUSTOMERS!
—Eric King (@e3i5) March 10, 2016
英國公司居然不為《調查權力法案》這 108 條條款生氣?他們怎么做到的?這法案迫使他們去黑他們的顧客誒!
——埃里克·金(@e3i5),2016 年 3 月 10 日
TechCrunch 聯系了英國內政部,希望內政部能就《調查權力法案》要求公司按照政府需求設置信息安全后門一事進行說明。截至本文發表位置,我們尚未收到英國內政部的回復。
圖片來自: TimothyAllen/ Flickr(根據 CCBY-SA 2.0協議授權)
京公網安備 11010502049343號