史諾登的影響

史諾登的揭露使公眾對數位隱私的關注空前高漲。這個故事仿佛為好萊塢而生，一部紀錄片捕捉了史諾登從默默無聞到聲名狼藉的過程，進一步吸引了公眾的注意。這層神秘色彩又因其拖延而不確定的結局而加深——史諾登似乎被困在俄羅斯的一個機場。但他真的是如此嗎？坊間流傳著史諾登是俄羅斯聯邦安全局（FSB）的特工的謠言，該機構為克格勃的繼承單位之一，雖然史諾登本人否認了這一說法。史諾登自詡為美國人民忠誠的僕人，並表示如果他能提出符合公共利益的辯護，他將在美國受審，屆時陪審團會考量他的行為是否正當，而非僅僅根據他是否未經授權洩露機密文件來判決，因為依據現行法律他必然會被判有罪。幾年後，這位流亡者還獲得了完整的銀幕待遇，奧利佛·史東執導了一部以約瑟夫·高登-萊維特主演的史諾登傳記電影。

然而，儘管公眾關注度大幅提升，對於安全與隱私觀點是否真正改變，證據卻褒貶不一。皮尤研究中心對1004名美國人的調查發現，54%的人認為國家安全局追蹤電話通話記錄是調查恐怖主義的合理手段；41%的人則認為這種做法不可接受。62%的人認為即便以犧牲公民隱私為代價，也必須加大反恐調查；34%的人認為隱私應當居首位，即使因此影響調查。這些數據與2006年的一項類似調查基本無異，暗示史諾登的揭露雖使監控問題浮出水面，但並未改變主流態度，儘管對一個樣本規模較小的調查應持保留態度。

許多科技界人士對這些揭露感到背叛。駭客社群的代表人物 Jeff Moss 要求政府遠離每年在拉斯維加斯舉辦的 DefCon 安全大會。DefCon 是駭客運動的精神家園，每年吸引超過一萬名駭客參加。二十年前 Moss 創辦 DefCon 時，他致力於建立一個間諜、執法部門與駭客能夠共同學習的社群，該社群最終也成為政府挖掘人才的重要來源。儘管駭客社群本能地對政府特工心存疑慮，但他們對政府在技術上展現的高超能力和任務執行，也抱有一絲不得不佩服的態度，這種情感在9/11事件後更為明顯。在史諾登揭露之前，政府與駭客社群之間曾存在一種和平共處的狀態，以至於前一年國家安全局局長 Keith Alexander 還在會議上發表主題演講。當 Moss 要求政府遠離 DefCon 時，他表示：

「最近的揭露使許多駭客社群成員對與政府之間的關係感到不安……如果聯邦調查局今年不參加 DefCon，或許對所有參與者來說都會更好。這將給大家一個思考我們如何走到今天以及未來將何去何從的機會。」

美國政府在2010年代初期尤為需要駭客社群的支持。政府越來越意識到，缺乏或削弱網絡安全能力（如加密技術）對國家實力構成的風險。2010年，國防部次長 William J. Lynn 揭露了一次2008年的機密網絡入侵事件，這是美國軍用電腦歷史上最嚴重的洩漏事件。2012年，國家安全局局長 Keith Alexander 指出，知識產權竊盜構成了「歷史上最大的財富轉移」，他評論說，這每年使美國企業損失約2500億美元，另有1140億美元因網絡犯罪而流失；他還補充說，「我們的未來正隨著這些損失逐漸消逝。」Lynn 指出，「儘管知識產權受到的威脅並不如關鍵國家基礎設施那般戲劇性，但從長遠來看，它可能是美國面臨的最重要的網絡威脅。」加密技術雖然是問題的一部分，但同時也是解決知識產權竊盜和保護關鍵國家基礎設施安全的解藥。大部分需要保護的關鍵基礎設施位於私營部門，而這些部門主要由參加 DefCon 及類似大會的人士所保護——與駭客社群的關係一旦受損，不僅會影響政府直接招聘這批人才，也會影響到用於保衛國家的基層合作關係。

史諾登揭露的最重要影響，是促使業界重新努力推廣無處不在的加密技術。各公司紛紛立志要對所有網路流量進行加密，提供針對敏感交流（如即時訊息）的端對端加密，以及為裝置本身提供全盤加密。

Let’s Encrypt 計畫讓網路流量加密變得更簡單，是史諾登事件後最具影響力的項目之一。Let’s Encrypt 的 Josh Aas 在 2014 年表示：

「現在已經很清楚，加密是我們每個人都應該做的事情。那麼，為什麼我們不在每個地方都使用 TLS（HTTPS）呢？每一個裝置上的每一個瀏覽器都支援它，每一個數據中心的每一台伺服器也都支援它。那我們就乾脆打開開關吧？真正的挑戰在於伺服器證書。」

Aas 的同事 Alex Halderman 補充歷史背景說道：

傳統上，實作 HTTPS 需要網站營運者選擇一家證書授權機構、向他們證明身份、支付幾百美元的證書費用、等待證書寄達，然後還必須依照一連串繁複步驟來安裝證書。這個過程每隔一兩年就必須重複一次，若逾期未更新，網站可能就會中斷運作。因此，許多網站，尤其是小型網站，就乾脆不對網站進行加密。

平均而言，一個單一域名的證書每年費用大約 178 美元。Halderman 解釋道，早在 1990 年代，加密僅用於數位金融交易；但隨後「互聯網變成了一個更危險的地方……史諾登向我們展示了政府在全球範圍內監控流量」，因此如今必須普及加密技術來保護公民免受國家侵犯。然而，Let’s Encrypt 的起源其實早於史諾登事件，當時有兩個獨立的項目試圖解決證書授權（CA）問題。第一個項目由 Halderman 在密西根大學與電子前哨基金會的 Peter Eckersley 領導，於 2012 年開始開發自動簽發及續期證書的協議；與此同時，由 Josh Aas 與 Mozilla 的 Eric Rescorla 領導的團隊也在嘗試構建一個免費且自動化的證書授權機構。兩個團隊後來合併，於 2013 年成立了網路安全研究組織（ISRG）。電子前哨基金會、Mozilla、Cisco 以及 Akamai 的捐款為 ISRG 提供了持續支持。

為了解決證書問題，Let’s Encrypt 設計了一個「全自動化」的證書簽發流程，既具有可擴展性又易於使用，並藉此提供免費證書。接下來的挑戰在於如何讓瀏覽器信任一個不知名的證書授權機構；最簡單的做法是與一家既有的證書授權機構合作，讓 Let’s Encrypt 的證書獲得對方的交叉簽名，從而繼承其信任地位。於是，Let’s Encrypt 與 IdenTrust 合作，後者是一家被 Apple、Microsoft 與 Mozilla 信任的根授權機構。

Let’s Encrypt 於 2015 年 7 月簽發了第一個證書，從此推動了網路加密的快速普及。根據 Firefox 的統計數據，從 2016 年到 2019 年全球加密率平均每年增長 10%，由 40% 增至 80%。到了 2019 年 1 月，Let’s Encrypt 已簽發超過 5.38 億張證書，涵蓋 2.23 億個域名，其證書數量超過所有其他瀏覽器信任的證書授權機構的總和，成為全球最大的 HTTPS 證書授權機構。反思他們的成功, Let’s Encrypt 寫道：

我們希望在不久的將來，用戶將開始將 HTTPS 作為預設的網路傳輸方式。最終，我們或許會驚嘆於曾經有那麼一段時間，網路流量竟然以明文方式傳送。

Apple 也在加密運動中扮演了關鍵角色——作為一家全球企業，任何人一旦認為美國政府能輕易存取其數據或裝置，對其在海外市場的競爭力都是致命打擊。Apple 多年來一直以推崇隱私與反建制精神為產品行銷策略。例如，1984 年 Apple 在超級碗期間播出一則廣告，主角從暴動警察手中逃離，隨後破壞一個播放宣傳片的電影院螢幕，螢幕上打出「1984 不會像 1984」的字幕。從那時起，保持與美國政府的相對獨立，甚至對其抱持某種敵意，對於維護其在海外市場的可信度顯得至關重要，尤其是那些美國政治對手所在的市場。許多其他科技公司也處於類似境地。史諾登的揭露帶來的一個重大危險在於，全球市場可能會因此轉而拋棄美國產品，認為這些產品都容易被美國政府存取，進而發展出自主替代品，從而加速互聯網的碎片化。

2014 年 9 月，Apple 推出了預設全盤加密（FDE），其解密密鑰與用戶密碼綁定，且僅存儲於裝置內。Apple 執行長 Tim Cook 宣布：「Apple 無法繞過你的密碼，因此無法存取這些數據。所以，從技術上來講，我們無法回應政府對於從裝置中提取數據的搜查令。」這種端對端加密（E2E）以及大部分全盤加密的價值在於，加密密鑰只保存在終端用戶的裝置上（例如 iPhone），因此服務提供者無法讀取客戶數據。因此，如果政府向公司發出用戶數據搜查令，公司也無法配合，只能提供一段加密後的數據，而這對用戶來說並非沒有代價——若用戶忘記密碼或被鎖定，除非有補償機制，否則數據將無法恢復。美國民權聯盟的技術專家 Christopher Soghoian 評論道：「Apple 以往從 iPhone 提取用戶數據的政策是：拿著搜查令回來。它們的新政策則是：滾遠吧。」芝加哥前警察局長 John Escalante 預測：「Apple 將成為戀童癖者的首選手機。」同年 11 月，Google 的 Android 5.0（Lollipop）啟用了預設全盤加密，並逐步將所有 Google 流量加密。Google 的數據顯示，其加密流量比例從 2014 年的 50% 穩步提升到 2019 年底的 94%。同年 11 月，WhatsApp 也啟用了預設端對端加密。WhatsApp 的創始人 Jan Koum 在移居美國之前曾在蘇聯長大，他說：「在那裡，你所做的一切都會被竊聽、錄音、舉報。」Koum 不願協助美國政府，他表示：

「沒有人應該有權竊聽，否則你就會變成一個極權國家——這正是我小時候逃離的原因，來到這個擁有民主和言論自由的國家。我們的目標就是保護這一點。我們在客戶端和伺服器之間實現了加密，我們不會在伺服器上保存任何訊息，也不會存儲你的聊天記錄，一切都存放在你的手機上。」

在接下來的數月與數年中，幾乎所有主要服務均採用了類似的預設加密措施，並公開展示其隱私保護資格，向全球一心防範美國監控的人們發出強烈訊息。

曼哈頓地方檢察官 Cyrus Vance 曾指出，從 2014 年 9 月至 2015 年 10 月，有 111 件案件因完全加密的行動電話而受到調查阻礙。這些案件涉及謀殺、未遂謀殺、兒童性虐待、性交易、攻擊與搶劫。Vance 表示，「合理相信在許多案件中，執法部門無法觸及的數據，原本可能對案件以及進一步偵查其他犯罪或罪犯有所幫助。」他還引用一名監獄囚犯的話，該囚犯對朋友說：

「那個起訴我的檢察官 Cyrus Vance 正在與 Apple 交鋒，因為他們推出了那些無法被[解]加密的手機。如果我們的手機運行的是 iOS 8 軟體，他們就無法打開我的手機。這或許又是一份上帝的恩賜。」

史諾登事件在地緣政治上也產生了重大反響，國際社群對美國監控行為表示強烈不滿。2013 年 12 月，聯合國通過了一項題為「數位時代隱私權」的決議，表示他們：

「對大規模監控或攔截通訊（包括跨國監控或攔截通訊）以及個人數據的蒐集，尤其是在大規模進行時，可能對人權的實踐與享受產生負面影響，深感憂慮。」

奧巴馬總統此前曾指責批評該計畫的人虛偽地指責：

「一些公開極為反感我們的人，私下卻從事與我們相同的活動，或使用我們獲得的信息來保護自己的人，我們也看在眼裡。」

萬維網發明人 Tim Berners-Lee 呼籲制定全球數位權利法案，即數位「大憲章」。Berners-Lee 表示，政府監控問題「悄然侵入了我們的生活……我們的權利正逐步受到各方面的侵犯，而危險在於我們可能會習以為常。」他進一步說道：

「除非我們擁有一個開放、中立且可以信賴的互聯網，不必擔心背後存在秘密後門，否則我們就無法實現公開政府、良好民主、優質醫療、連結社群與多元文化。相信這一點並不天真，但認為我們可以坐視不理就能實現這一點，則是天真。」

前國家安全局及中央情報局局長 Michael V. Hayden 警告說，這場辯論應「謹慎進行」。Hayden 感慨道：「到目前為止，這場討論充斥著一概而論、過度簡化的解釋、攤牌計分、煽動性言論和徹頭徹尾的無知。」他承認，「如果要讓史諾登揭露的元數據蒐集及其他計畫僅僅根據它們的實質價值，而不是被當天的政治情緒席捲，則需要付出極大的努力進行平衡討論。」他進一步指出，為了進行基於事實的討論，「政府及情報機構必須非常坦誠地提供事實。」

在國會方面，來自肯塔基州的共和黨眾議員 Thomas Massie 與加利福尼亞州的民主黨眾議員 Zoe Lofgren 試圖在 2014 年通過對 2015 年國防撥款法案的修正，防止國家安全局及中央情報局對加密標準進行負面修改。Massie-Lofgren 修正案規定：

「本法案所提供的任何資金均不得用於使國家標準技術研究院（NIST）與國家安全局或中央情報局進行磋商，以改動加密電腦標準，除非是為了提升資訊安全。」

Massie 表示，如果標準被操縱，「所有使用該標準的人都將面臨他們的財務與醫療記錄被竊取、遭到駭客入侵的風險。駭客終究會發現那些後門是否存在。」該修正案於六月在眾議院以 291 對 123 表決通過；然而，2014 年 12 月，眾參兩院在談判撥款法案時，此修正案被剝離。Massie 說道：「今年夏天有一個足以推翻否決的多數黨和跨黨派支持我的 NSA 改革修正案。如果這個修正案在暗室中被扼殺，這就是人民的意願嗎？」同一天，當 Massie-Lofgren 修正案明顯失敗時，民主黨參議員 Ron Wyden 提出了《安全數據法案》，而眾議員 Lofgren 也在眾議院提出了相同的法案。該法案簡短規定：

「任何機構不得要求製造商、開發者或銷售商在其產品或服務中設計或修改安全功能，以允許任何機構監控其用戶，或允許對該產品進行實體搜查。」

該法案對屬於 CALEA 法規範疇的設備予以豁免。Wyden 表示，加密「是當今保護我們憲法權利的最佳方式，因為一個人的全部生活資料常常存於其智能手機中。」他補充道：

「強大的電腦安全性能重建消費者對多年來情報機構對美國大規模監控誤導性陳述所動搖的信任。這項法案向那些機構領導人發出訊息：停止魯莽地推行新方法來搜集美國人的私密信息，並將精力放在重建公眾信任上。」

儘管《安全資料法案》未能走出商務、情報及司法委員會，但 Wyden 對此結果持正面看法，他認為由於他們的努力，「參議院和眾議院越來越關注通過立法，禁止政府對後門及其他網絡安全弱點的要求，以保護美國人的安全與自由。」