塔樓崩塌
幾乎所有西方人都記得2001年9月11日那天的情景,正如後來巴拉克·奧巴馬所優雅回憶:
一個晴朗的九月日因為美國歷史上最慘烈的襲擊而瞬間黯淡。9/11的畫面深深烙印在國家記憶中——劫機飛機劃破無雲的天空、雙子塔崩塌、以及從五角大樓升起的滾滾黑煙。
幾千人因此喪生,美國失去了自珍珠港事件以來世世代代建立起來的安全感。這場毀滅性襲擊,透過24小時不斷播出的新聞頻道被放大,其壯觀的畫面彷彿好萊塢大片般震撼。這不僅是對美國資本主義、文化與軍事的同時打擊,也讓紐約曼哈頓摩天大樓間聚集的有毒煙雲散去之後,一種焦慮感愈發凝重。美國人要求解釋,為何那套極為昂貴的情報系統竟未能提前截獲這次致命襲擊;隨後,公眾又提出疑問,如何才能防止這樣的災難性恐怖再次重演?
恐懼與驚慌很快轉化為憤怒,社會開始尋找替罪羊。部分美國人的憤怒便指向了密碼學家——這些推動數位加密技術普及的先驅,他們所推廣的技術被認為是情報機構未能攔截劫機者通訊的一個可能原因。PGP創建者菲爾·齊默爾曼因此受到嚴厲批評,指責他將密碼學帶給全世界,間接使那些可能對美國造成傷害的人獲得了這項技術。事實上,並無證據顯示恐怖分子曾使用PGP或加密技術。齊默爾曼甚至收到仇恨郵件,一位匿名者寫道:「菲爾——希望你能帶著5000人的鮮血安然入睡。」該匿名者主張,PGP正是一種「戰爭武器」,它在狂熱分子與美國之間拉平了對抗的戰場。齊默爾曼在悲痛中流下淚水,隨後他才評估自己是否還能繼續倡導密碼學,他表示,
結果與公開辯論多年後並無兩樣:強大的密碼學對民主社會所帶來的益處遠大於其弊端,即使它有可能被恐怖分子利用……我對於開發PGP毫無遺憾。
齊默爾曼進一步表示,
在這樣情緒激動的時刻,我們密碼社群不得不站出來,捍衛我們的技術,抵抗那些出於好意卻誤入歧途、試圖對強密碼使用施加新規範的政治家。
他警告說,
在當前這種情緒壓力下,如果我們草率地推翻經過深思熟慮的決策,將只會導致可怕的錯誤,這些錯誤不僅會損害我們的民主,還會增加國家資訊基礎設施的脆弱性。
襲擊發生三天後,總統喬治·W·布希宣布進入國家緊急狀態。布希的父親、前總統喬治·H·布希則建議,若要獲勝,「我們必須……解除情報系統所受到的一些法律限制。」很快,密碼學便成為受到審視的限制因素。美國人陷入恐慌中。2002年對2519名美國人的調查發現,襲擊前有39%的人強烈認為自己是安全的,而襲擊後這一比例驟降至17%;78%的人願意犧牲部分自由以換取安全,30%的人則支持政府更容易接觸私人通訊。普林斯頓調查研究協會的一項民調顯示,54%的美國人支持「降低通訊加密程度,以便FBI和中央情報局能更輕易監控可疑恐怖分子的活動」,即使這可能「侵犯個人隱私並影響商業運作」。
襲擊一週後,新罕布夏州共和黨參議員Judd Gregg在參議院發言時指出:「在電子產品領域,我們的情報收集部門因法律規定的限制而面臨嚴重問題。」他認為,使用加密技術的公司應該聯手解決資訊存取的問題,並強調:「在我們國家裡,沒有人可以為這種行為找藉口。」Gregg建議利用美國的經濟影響力左右加密市場,他表示:
生產這些產品的人希望在美國銷售他們的產品……我相信我們應該利用美國市場的槓桿作用,告訴他們,如果你打算在全球銷售這類設備,並且希望在美國也有所銷售,那麼你就有責任在嚴格的法律司法架構下滿足我們國家安全的需求。
不足一個月後,儘管最初曾表態支持加密立法,Gregg卻宣布不再追求相關立法,但這一事件明確顯示部分國會議員在9/11之後傾向於推動新法規。
9/11發生六個月後,美國民權聯盟對美國公民自由「持續遭侵蝕」的趨勢表示嚴重擔憂。該組織的Anthony D. Romero指出,9/11後最令人不安的變化,是「政府似乎完全忽視了我們的社會既能且必須同時保持安全與自由的理念。」他們對那些「侵蝕並逃避司法審查」的新安全措施尤其憂慮;Romero強調:「制衡機制是我們民主制度的基石……創國者設立司法機構是為了保護我們的權利,但如果國會明確禁止他們對執法行動進行審查,那麼這一角色便無法發揮作用。」
然而,儘管整體氛圍低迷,加密政策仍然保持不變。9/11後迅速通過的安全立法《聯合並加強美國以提供攔截及阻撓恐怖主義所需適當工具法》(PATRIOT法案)並未觸及加密問題,儘管國會早前曾有相關姿態。John Gilmore表示:「對9/11襲擊的恐慌性公眾反應,無法動搖那經過數十年建立起來的、相對理性的加密政策平衡。」
然而,在PATRIOT法案的繼任者《2003年國內安全增強法》中,加密技術的刑事化卻被提上議程,此法案被反對者譏諷為PATRIOT II。2003年2月,司法部草擬的一份標示「機密—禁止散發」的文件草案由《公共誠信中心》上網公開。該法案規定:
任何人在聯邦法下犯下重罪期間,若明知且故意將與該重罪有關的任何具罪證的通訊或資訊進行加密,則:
對於首次違反者,處以最高不超過5年監禁、罰款,或兩者並罰;
對於第二次或再犯者,處以最高不超過10年監禁、罰款,或兩者並罰。
這條加密規定被置於法案的404條中,而404正是網際網路(HTTP)的回應代碼,代表「頁面或資源未找到」。至於將加密規定置於404條中究竟是巧合,還是作者間的一個內部玩笑——暗示將加密用於犯罪目的是一個「錯誤」——目前尚不得而知。該條款的措辭也相當模糊,因為它僅針對「明知或故意」使用加密的罪犯,並未涵蓋使用者不知情的情形。此規定未獲得科技業界好評;電子前哨基金會評論道:
正如政府鼓勵美國人上鎖門窗並採取其他個人預防措施以防範犯罪與恐怖主義,也應鼓勵美國人使用加密技術。而USAPA II的做法則正好相反……該條款使美國人缺乏動力去保護自己的資料與資訊,以免受身份竊賊、跟蹤者及其他罪犯的侵害。
儘管該立法最終未能推進,但這仍顯示政府對加密問題的關注依然存在。