川普年代
在展現團結的姿態下,「五眼聯盟」國家——即澳洲、加拿大、英國、新西蘭與美國——於2018年9月聯合發表了一份關於加密技術的聲明。聲明中指出,隱私並非絕對,並論述道:
執法機構合法存取資料的能力與其獲得和利用資料內容的能力之間日益擴大的差距,已成為一項亟待解決的國際問題,這需要就其中所涉及的問題和利益複雜性展開持續而深入的討論。否則,關於合法存取資料的法院判決將日益形同虛設,進而威脅到我們民主國家所建立的司法制度。
聲明進一步寫道:「各國政府應認識到,由於加密技術的本質,總會出現某些情況下無法存取資訊的情形,儘管這類情形應該是少數。」此外,合法存取必須始終接受獨立機構的監督和/或司法審查。隨後,語氣轉為更為強硬,作者重申科技公司必須服從法律,其中包括協助當局存取通訊資料。他們建議科技公司「自願建立合法存取的解決方案」,並應根據各自的系統架構量身定做。但若無法達成自願合作,作者警告說,「我們可能會採取技術、執法、立法或其他手段來實現合法存取的解決方案。」
正是在澳洲,新加密立法成為接下來幾個月中的一個突出議題。澳洲聯邦警察報告指出,他們截獲的通訊中有超過90%現已採用加密。為了應對這一情況,政府通過了《電信及其他立法修正(存取與協助)法案》,以建立一個新的行業協助框架,進而「加強合作」,包括賦予新權力以從澳洲境內外電信供應鏈中的關鍵公司獲取協助。
該法案提供了三個層次的「分級行業協助」措施,對科技公司可採取的方式包括:技術協助請求、技術協助通知以及技術能力通知。技術協助請求屬於自願求助,而技術協助通知則要求公司必須提供「合理、相稱、切實可行及技術上可實現」的協助——這兩項權力均符合國際既定規範。然而,技術能力通知則類似於英國《調查權法案》中的規定;接收通知者將被要求「採取措施,確保其具備向攔截機構提供協助的能力,在合理、相稱、切實可行及技術上可實現的前提下。」這些「措施」主要要求接收者移除加密保護。當該草案流傳時,不少實體,特別是蘋果公司警告稱,該法案在加密和安全性方面「語焉不詳且危險」,可能「要求開發出一種工具,能夠解鎖特定用戶的裝置,而這種工具或許也能解鎖其他用戶的裝置。」為了解決技術能力通知可能引發的系統性弱點問題,該立法的說明文件反駁了此一擔憂,並舉出一個例子說明:
如果……某一供應商能夠在不削弱市場上其他設備安全性的前提下,將恐怖嫌疑人的裝置加密解除,那麼該供應商就可能被迫……提供協助,即移除電子保護。僅僅存在一種能夠選擇性協助執法機構存取目標裝置的能力,並不必然意味著系統性弱點已被構築。任何弱點和漏洞的性質及範圍,都將取決於具體情況以及惡意行為者利用所需變更的程度。
立法明確指出,根據該法案被強制採取的措施:
不得導致要求或強制指定的通訊供應商在其電子保護措施中實施或構建系統性弱點或漏洞;也不得阻礙指定通訊供應商糾正該等系統性弱點或漏洞。
該法案包含了維持命令保密性的規定,違反者將面臨五年監禁的處罰。
儘管保證不會引入系統性弱點,但業界仍然感到憂慮。蘋果公司的埃里克·紐恩尚萬德表示:「我最擔心的是,如果這項立法的某些功能被強加於任何供應商,這個供應商就必須依據技術本質對所有用戶的加密進行削弱。」澳洲人權委員會則評論說,該法案將「授權具有侵入性和隱蔽性的權力,可能會大幅限制個人在隱私和言論自由等方面的基本人權」。
2020年8月,澳洲安全情報組織(ASIO)總幹事邁克·伯吉斯證實,ASIO已經「使用過該法案中的行業協助權力不到20次……而且互聯網並未因此而崩潰。」伯吉斯指出,實際上是採用了自願性技術協助請求(TARs),而非強制性的技術協助通知(TAN)或技術能力通知(TCNs)。他補充說:「ASIO優先採用自願程序並不意味著強制性權力是不必要的。有些時候,ASIO曾接近於發出強制性通知。」由於情報作業的性質,伯吉斯並未詳述通過該法案能夠存取到哪些資料,但正如過去的法院案例所示,對執法部門而言,核心的例外存取需求或許是存取被鎖定的手機,有可能某些自願性請求正是為了滿足這一需求而被使用。
「五眼聯盟」社群在2019年7月再次聚集,共同聲明合法存取是一項「需要各國政府、業界和公民社會立即採取行動的共同挑戰」,該挑戰應聚焦於合理的提案、尊重不同觀點,並基於核心價值。作者們總結道:「我們呼籲各國政府、科技公司以及其他利害關係者進行詳細的交流,探討如何在不損害用戶安全、同時保護網絡安全與用戶隱私的前提下,實施此類提案。」
這次「五眼」聚會發生在2019年3月馬克·祖克伯格宣布Facebook將轉型為更注重隱私的平台不久之後。前一年,Facebook因數千萬用戶的個人資料被揭露給政治諮詢公司劍橋分析而聲譽大跌,使得該公司能夠根據私人資訊定向推送,甚至可能影響美國大選;Facebook的股價暴跌四分之一,市值蒸發超過1000億美元。祖克伯格因此接受國會調查,其代表被傳喚回答全球各地對Facebook行徑的質疑,公眾對該社交媒體公司的信任大幅下滑——部分原因是祖克伯格在國會的僵硬表現也使其受到不少抨擊。國會聽證會突顯出國會議員對技術的理解存在代溝,當來自猶他州的共和黨參議員奧林·哈奇試圖理解Facebook的商業模式,並詢問祖克伯格該公司如何在不向用戶收費的情況下賺錢時,祖克伯格不耐煩地回答:「參議員,我們靠廣告賺錢。」這是每個有網路接入能力的孩子都能明白的事實。2018年,眾議院議員的平均年齡為57.8歲,參議員則平均61.8歲,使得這屆國會成員年齡偏高,這種代際差異使得就數位議題展開辯論更加困難。祖克伯格解釋說,與其在「市集廣場」中公開連結,用戶如今更希望「在數位版的客廳中私密連線」。他進一步評論:「當我思考互聯網的未來,我認為以隱私為核心的通訊平台將比當今開放平台更顯重要。」祖克伯格指出,其服務中的私密部分(如訊息和短暫動態)是增長最快的業務領域;他表示:「很多人更喜歡一對一或只與少數朋友之間的親密溝通,人們也更謹慎於保留永久記錄。」祖克伯格認為:「未來的通訊將越來越傾向於私密、加密的服務,讓人們有信心他們彼此間所說的話都能保持安全,且訊息和內容不會永久保留。」談到加密,他表示:「人們期望他們的私人通訊是安全的,只能被他們發送對象看到——而非被駭客、罪犯、過度擴權的政府,甚至是運營該服務的人員所窺視。」祖克伯格補充說,Facebook Messenger很快將與WhatsApp一同實施端對端加密。祖克伯格轉而談及與政府的合作問題:
「各國政府常常非法要求取得數據,儘管我們在法庭上反抗並與之抗爭,但我們總有可能在某個案件中失利——如果資料未被加密,我們要麼必須交出數據,要麼冒著員工因未能遵從而被逮捕的風險。這或許聽起來極端,但我們曾經有一名員工因未能提供對某人私人資訊的存取權而被監禁,儘管我們根本無法存取那資訊,因為它是加密的。」
祖克伯格指出,在部署端對端加密之前必須解決「真正的安全問題」,他評論道:
「加密是一項保護隱私的強大工具,但這也包括對從事不法活動者的隱私保護。當數十億人使用一個服務進行連線時,其中總有一些人會濫用該服務,從事諸如兒童剝削、恐怖主義與敲詐等極其可怕的行為。我們有責任與執法部門合作,盡我們所能防止這些行為。我們正在努力通過檢測活動模式或其他手段,即使在看不到訊息內容的情況下,也提升識別並阻止不法行為者的能力,並將持續投資於這項工作。但我們面臨一個內在的取捨,因為在我們的安全系統能夠看見訊息內容的情況下,我們永遠無法發現所有潛在的危害。」
祖克伯格表示,Facebook將與安全專家、執法機關和各國政府商討,在新架構中實施最佳安全措施,並且在可能情況下與其他平台合作,制定共同的方法。祖克伯格認為,「我們需要在權衡之中找到平衡」,他補充說:
「綜合考量後,我認為推動對所有私人通訊實施端對端加密是正確的做法。訊息和通話是人們進行最敏感私人對話的方式,而在一個網絡安全威脅日益增多和許多國家政府干預過度的世界中,人們希望我們多走一步,保護他們最隱私的數據。只要我們花時間建立適當的安全系統,盡可能阻止不法行為者在加密服務限制內作惡,這對我來說就是正確的。」
美國司法部長威廉·巴爾、國土安全部長凱文·麥克利寧、澳洲內政部長彼得·達頓以及英國內政部長普莉蒂·帕特爾於2019年10月聯名致信馬克·祖克伯格,抗議Facebook部署端對端加密的計劃。信中懇求祖克伯格不要在「未確保用戶安全不受損及未包含一種保證合法存取通訊內容以保護我們公民的手段」的情況下推進此計劃。作者們以兒童剝削這一最黑白分明的犯罪為基礎,指出端對端加密所帶來的風險在於,「當一個平台將無法存取的訊息服務與公開個人資料相結合時,會為潛在的犯罪分子提供獨特途徑,從而識別並引誘我們的兒童。」作者進一步論述說:「虛擬世界的安全性提升不應使我們在現實世界中變得更加脆弱。」為了說明潛在風險,作者引用了Facebook在打擊網絡威脅方面的貢獻:
2018年,Facebook向美國全國失蹤與被剝削兒童中心(NCMEC)報告了1680萬起案件——這一數字超過了當年總報告數的90%。此外,與兒童虐待圖片相關的案件,以及超過8000起關於犯罪分子企圖在網上與兒童見面並誘使其分享猥褻圖片或進行現實見面之舉的報告,也在其中。
英國國家犯罪局(NCA)估計,去年來自Facebook的全國失蹤與被剝削兒童中心(NCMEC)報告,已使英國執法機關逮捕超過2,500人,並保護了近3,000名兒童。
你的透明度報告顯示,Facebook在2017年10月至2019年3月期間,亦對2,600萬則恐怖主義內容採取了行動。Facebook所採取措施所針對的內容中,超過99%——無論是關於兒童性剝削還是恐怖主義的內容——均由其安全系統主動識別,而非依賴用戶舉報。
作者們評論道:「儘管這些統計數字令人矚目,但僅僅用數字無法完全呈現對兒童造成傷害的重要性。」他們並提供了一個詳細的案例研究,說明Facebook的資料如何幫助防止對兒童造成傷害:
Facebook曾發現一名兒童向一名成年男子傳送其自製的兒童性虐待材料。Facebook還查獲了雙方多次聊天記錄,顯示出持續的性虐待行為。當調查人員找到並訪問該兒童時,她透露,這名成年人在她11歲時開始,在四年內對她進行了數百次性虐待。最終,該罪犯被判處18年監禁。如果沒有Facebook提供的資訊,這名女孩所受的虐待可能至今仍在繼續。
提供的細節遠比以往的密碼戰爭中更為豐富,鮮少讀者會忽視Facebook為阻止這類傷害所做的努力。作者們認為,如果Facebook實施其隱私計畫,其全球報告的70%——全球共約1,200萬份報告——將會喪失。
Facebook對部長來信的回應來自WhatsApp和Messenger的負責人Will Cathcart和Stan Chudnovsky。作者們主張,其27億用戶「有權期望」端對端加密。Cathcart和Chudnovsky則反駁部長有關數位與實體安全關係的論點,指出:
「你們要求為執法機構提供的『後門』存取權,將成為罪犯、駭客以及專制政權的禮物,為他們進入我們的系統提供途徑,並使我們平台上每個人都更容易受到現實生活中的傷害。單就一個目的來創造這樣的後門,而不讓其他人試圖打開它,根本是不可能的……這並非我們願意採取的做法。」
作者引用了布魯斯·施奈爾(Bruce Schneier)早些時候所言:「你必須做出選擇。要麼每個人都有能力監視,要麼就沒有人有這個能力。你不能有『我們能監視,你們不能』。科技的運作就是如此。」儘管如此,作者們表示,他們非常願意繼續協助執法部門,「只要這符合法律並且不會削弱我們用戶的安全。」作者們還強調了多種方式,這些方式不包括一旦部署端對端加密後將變得不可行的方法,他們利用35,000名從事「安全與保護」工作的員工幫助執法部門,而這個數字在前一年翻了一番:
現在,人工智慧使我們能夠在Facebook和Instagram上主動檢測出許多不良內容,往往在有人舉報甚至在任何人看到之前就已發現。不論是WhatsApp,每個月根據濫用模式偵測並封禁200萬個帳戶,還是掃描未加密的資訊(例如個人資料和群組資訊)以查找諸如兒童剝削影像等濫用內容,我們的團隊都在不斷開發新方法,嘗試檢測活動模式,從源頭上找出不良活動,並綜合我們所掌握的帳戶資訊進行審查。因此,若我們發現有人在Facebook或Instagram上從事不法行為,往往能對其在Messenger和WhatsApp上的帳戶採取行動,反之亦然。
作者們表示,隨著Facebook進入「以隱私為焦點的篇章」,它將繼續與合作夥伴磋商,並「投入我們這些年所學的一切——所有團隊、所有人力和所有資源——以建立最安全的私人空間。」信息十分明確:祖克伯格已將公司航向隱私保護,而Facebook將堅持這一路線,不受外界干擾。
一批公民權利團體、科技公司以及技術專家也聯名寫信回應部長致Facebook的信件。作者們表達了他們的「重大關切」,認為「數十億互聯網用戶的安全與隱私」將會受到威脅。作者們主張,現有技術無法解決例外存取問題,儘管有加密保護,「在這個科技產生如此大量關於個人及其活動數位資訊的時代,打擊犯罪的能力仍然相當強大。」作者們挑戰了部長認為企業與個人可以分別找到解決方案的觀點,指出:「關鍵基礎設施運行於消費性產品與服務之上,並受到相同加密技術的保護。」舉例來說,從事能源廠等關鍵基礎設施工作的工程師,可能會使用個人iPhone或iPad上的應用程式進行遠程維護(儘管這並非最佳做法,但卻相當普遍)。作者們還質疑FBI對此問題量化數據的真實性,指出:
2017年,FBI曾試圖向國會展示加密對執法的影響,稱其扣押了7,800部因加密而無法存取的手機;然而,2018年,一項FBI內部估計顯示這一數字僅為1,200部。FBI曾承諾提供修正後的數字,但迄今尚未公佈。
作者在挑戰中獲得證實,因為2020年5月曝光FBI先前所提及的7,800部數字是錯誤的——《華盛頓郵報》獲得的一份初步FBI評估中指出,「程式錯誤導致對(被鎖定)手機的數量大幅超算」——根據一位FBI消息人士,較接近的數字估計在1,000到2,000部之間。無論是故意還是意外,對加密問題規模的缺乏清晰或誇大,一直在整個密碼戰爭中播下不信任的種子。
巴爾在2019年7月的一次加密政策演講中進一步闡述了他的觀點。大部分論述都在意料之中:
「儘管我們不應猶豫使用加密來保護自己免受網絡罪犯的侵害,但這種做法不應以犧牲社會防禦其他類型犯罪威脅的能力為代價。換言之,使我們的虛擬世界更安全,不應導致我們在現實世界中變得更脆弱。但不幸的是,這正是我們今天所見的現象。」
巴爾認為,將虛擬世界與「現實」世界視為兩個截然分離、幾乎各自獨立的概念,是過時的思維方式。他進一步爭辯說:
「加密的淨效應是降低整個社會的安全性。今天我在這裡告訴你,當我們利用加密來提升網絡安全時,必須確保我們仍能在應對犯罪活動時,依法取得資料和通訊內容。」
巴爾主張,加密創造了一個「無法無天區」,使得「危險的罪犯能夠將他們的通訊和行動隱藏在一個基本上無法穿透的數位屏障之後,而部署無需搜查令的加密技術已在對社會造成巨大成本。」他補充道:
「讓罪犯能夠在無法受到合法監督的情況下行動,最終必然會推動犯罪活動的擴大。如果你消除了警察監視一個社區的任何可能性,那麼該社區中現有的罪犯將會犯下更多的罪行。」
巴爾表示,「執法部門通常不願意就這些案例講得過於具體,因為細節可能幫助那些精明的罪犯和恐怖分子規避監控」,但他舉出了一個「無數案例」中的一個例子,說明加密如何阻礙了執法工作。巴爾說,一個墨西哥毒梟集團——這個集團走私毒品進入美國並以WhatsApp作為主要通訊工具——導致數百名墨西哥警察喪生;巴爾主張,如果具備解密能力,本可以拯救這些生命。巴爾宣稱,「我們有信心存在技術解決方案,能在不實質削弱加密安全性的情況下,允許合法存取加密資料。」他將技術專家們認為無法開發出加密存取方法的立場,稱之為「無法辯護」,並表示:「有足夠的教條式宣稱指出,合法存取根本無法做到。但事實上,它是可以做到的,而且必須做到。」隨後,巴爾提供了一個風險分析,這或許是政府首次在代表政府立場時承認,無法在不降低加密安全性的前提下引入存取方法。先前政府的立場是,業界技術專家應該「更加專注於研究」(正如技術專家們戲稱的那樣),以尋找一種能夠在不破壞加密算法完整性的情況下,讓執法部門存取資料的解決方案。巴爾表示,網絡安全並非「絕對保證」,而是「相對風險」,並補充說:
「所有系統都無法達到最理想狀態,總會存在一些殘餘風險——技術界在提出執法部門可以通過利用產品中的漏洞滿足其需求時,也承認了這一點。真正的問題在於,透過引入合法存取機制而產生的殘餘漏洞風險,是否顯著大於未做任何修改的產品中已存在的風險。部門並不相信這一點可以被證明。」
這番話富有洞察力,並對數位權利活動家提出了挑戰:量化合法存取方法所引入的額外風險。巴爾接著試圖區分企業加密(例如保護美國公司的加密)與公民安全的問題:
「此外,即使理論上存在輕微的風險差異,其重要性也不應僅僅根據它是否未達到理論上的最理想狀態來判斷。特別是針對消費者市場推廣的加密,其風險的重要性應根據其對消費者網絡安全的實際影響以及該產品對社會整體所構成的淨風險來評估。畢竟,我們討論的並非保護國家核彈發射代碼,也不一定是大型企業為保護其運營而定制的加密。我們談論的是消費性產品和服務,例如訊息、智慧型手機、電子郵件,以及語音和數據應用。」
巴爾以一個例子說明了缺乏例外存取與存在例外存取之間的風險取捨:
「假設某個系統已經達到了相當有效的安全水平——舉例來說,能防範99%的可預見威脅——那麼,是否合理再投入巨額成本以稍微接近理想狀態,達到99.5%的保護水平,即使所針對的風險極其微小?一家企業不會為此支出那麼多;社會亦然。」
有些人主張,為了在安全性上僅取得輕微增進,便值得以公共安全降低的巨大成本作為代價。這種情況是站不住腳的,再舉一個粗略的例子:如果選擇在一個能夠對消費者提供99%防護、同時仍給予執法部門80%所需存取權的世界,與一個將網絡安全提升到99.5%但同時使執法存取權降為零的世界之間,社會的選擇顯而易見。
這番語言明確轉向了一種以風險為導向而非二元對立的方式。巴爾承認他的數字是粗略的,並不代表政府政策的一個斷裂,因為巴爾認為社會應接受網絡空間中額外的風險,以換取例外存取所能帶來的風險降低。布魯斯·施奈爾在巴爾演講後評論說:「我們終於可以進行一場理性的政策對話……這正是我們應該展開的政策辯論……我們終於可以擺脫那個虛假的安全對隱私辯論,轉而進入真正的安全對安全辯論。」
巴爾在演講結束時表示,儘管與私營部門合作解決加密挑戰是可取的,但「達成這一目標的時間可能有限。」
我認為,應當謹慎預見到,隨時可能發生一個重大事件,從而凝聚公眾對這些議題的關注。無論我們最終是否有立法,對所有相關方面而言,最好的做法是務實且真誠地共同制定適當的解決方案,而不是在危機中被迫做出決定……現狀極其危險、不可接受,而且只會變得更糟……美國應該停止辯論是否需要解決這個問題,而應開始討論如何解決它。
FBI總法律顧問吉姆·貝克(2014年至2017年在職)曾評論巴爾把網絡空間稱為「無法無天區」是錯誤的,並爭辯說:「只不過是這個領域適用的法律並非巴爾或司法部希望它所應有的樣子罷了。」巴爾補充說:「根據現行法律,政府在面對製造商或服務提供者不持有加密金鑰的加密系統時,最多只能要求這些公司提供一個它們無法解密的加密資料塊。」在任內,貝克曾堅決主張以新立法為基礎建立一種例外存取方法,但離開FBI後,他改變了立場;貝克表示,他現在接受「國會不太可能採取行動」的現實,並且他「認為,與其他風險相比,相關的網絡安全風險多年的確有了不成比例的增長。」貝克認為巴爾「誤算了相對成本與效益,並可能因此使國家面臨更大風險。」貝克還強調:
「無論辯論哪一方,私下裡很多人都會承認,美國從未遭受過那種足以改變公眾辯論輪廓、並促使國會採取行動的恐怖攻擊,該攻擊中加密顯然扮演了關鍵角色。」
貝克表示,他不清楚有哪種技術解決方案能夠解決這個問題,但政府不應該為了達到其目標而破壞整體安全生態系統;他指出,政府不應該,例如:
利用公司更新軟體的方式來安裝監控軟體(這似乎正是司法部長目前所暗示的……)。
及時更新軟體是提升網絡安全的重要手段,如果人們認為政府利用這一機制來安裝監控軟體,他們可能就不會進行更新。
貝克認為,政府應該收集那些可能仍然未被加密的通訊(例如元資料),並應「著重收集正確的數據,並開發或購買頂級的分析工具」,儘管他也承認,「例如,僅僅利用元資料來證明犯罪意圖或準確瞭解間諜或恐怖分子究竟在策劃什麼,是非常困難的。」最終,貝克主張:
鑑於這一深遠且普遍威脅的嚴重性,為了充分履行保護國家免受災難性攻擊以及確保基本社會機構持續運作的責任,公共安全官員應該擁抱加密。他們應該擁抱加密,因為這是一種非常重要且有效的方法——雖然絕不是唯一的,也絕非完美的方法——以提升社會保護其最有價值的數位資產的能力,尤其在網絡安全環境大幅退步的情況下。
貝克承認,擁抱加密「對某些執法和其他公共安全領域的人來說將是難以接受的苦藥,許多人甚至會徹底拒絕」,但他爭辯說,「我們都必須面對現實。」他補充道:
「如何才能阻止壞人,除了腳踏實地、根據事實進行激進打擊之外還有什麼方法?我當然不是主張放棄,但公共安全官員需要以不同的方式來對待加密,以便更有效地阻止我們的對手,保護美國人民,並根據憲法履行職責,這是在當前社會面臨生存性網絡安全威脅的情況下的必然選擇。」
貝克以一句尖銳的話結束他的發言:「如果執法部門不願像我這樣擁抱加密,那麼他們必須找到其他方法來保護國家免受生存性網絡威脅,因為到目前為止,他們在這方面的表現實在不夠有效。」貝克的評論尤其重要,因為他曾在FBI任內大力倡導政府的立場,在聖伯納丁諾案件中也如此;但自離職後,即使擁有「如果你知道我知道的」那樣的接觸,他也改變了立場,這動搖了此前的論點。貝克當時已不屬於任何技術機構,因此似乎是在不帶偏見的情況下發表這些言論(儘管也不能排除他在考慮未來就業機會)。
2019年12月底,另一個案件凸顯了加密可能對執法調查恐怖主義構成的阻礙。一名沙烏地空軍軍官,穆罕默德·薩伊德·阿爾沙姆拉尼中尉,在佛羅里達州彭薩科拉一個軍事基地接受訓練期間發起了一次恐怖攻擊,導致三名美國海軍水手喪生,隨後他本人亦被擊斃。阿爾沙姆拉尼在攻擊時攜帶了兩部iPhone(一部iPhone 5和一部iPhone 7),其中一部在與第一線應變人員的槍戰中被他射擊企圖摧毀,另一部也受損。阿爾沙姆拉尼在前一年的911紀念日發表過線上貼文說「倒數計時已經開始」,而在攻擊前兩小時,他又發表了反美的聖戰訊息。FBI最終修復了這兩部手機,但司法部長威廉·巴爾評論說,「這兩部手機的設計使得在沒有密碼的情況下幾乎不可能解鎖」;他認為,「了解射手在死前與誰以及談論什麼至關重要。」FBI曾請求蘋果協助解鎖這些手機,但巴爾表示,他們並未收到「任何實質性的協助」。巴爾指出,「這個情況完美地說明了一旦根據合理原因獲得法院命令後,調查人員能夠取得數位證據是多麼關鍵。」巴爾呼籲「蘋果和其他科技公司幫助我們找到一個解決方案,以便我們能更好地保護美國人的生命並防止未來攻擊發生。」2020年1月14日,川普在推特上寫道:
「我們在貿易和許多其他問題上一直在幫助蘋果,而他們卻拒絕解鎖被殺手、毒販和其他暴力罪犯使用的手機。他們必須站出來,立即幫助我們偉大的國家!MAKE AMERICA GREAT AGAIN!」
同年5月,巴爾透露FBI已成功破解了該手機,這「明確證實了阿爾沙姆拉尼與阿拉伯半島基地組織(AQAP)之間存在重要聯繫」,並提供了「更清晰地了解阿爾沙姆拉尼在攻擊前幾年、幾個月乃至幾天內的關係和活動」的資料。巴爾表示,不僅是FBI的「智慧」,更是「運氣」使他們得以存取這些手機,但他強調,這種方法無法大規模或必然重複,他再次主張需要立法解決方案。巴爾還抨擊科技公司,指責它們為了推動自身業務利益而與專制國家合作,卻不為擁有公民自由、隱私權及司法保障的民主美國效力,他評論說:
「眾所周知,蘋果曾與中國共產黨及俄羅斯政權合作,遷移資料中心,以便使這些政府能進行大規模監控。據報導,蘋果還曾在使用者的iPhone上禁用某些功能和應用,這使得支持民主的倡議者受到了妨礙,從而促進了審查和鎮壓。」
巴爾繼續懇求取得存取權:
「目前,全國各地仍有許多手機,無論在聯邦或州級,儘管有法院授權,執法部門仍無法解鎖。隨著商業加密技術變得越來越先進,我們成功破解的機率每年都在下降。當公司將打敗法院授權搜查的能力交給恐怖分子和罪犯時,我們就無法履行職責。為了保護我們公民的安全和保障,我們再也無法等待了。」
美國司法部長威廉·巴爾在演講中還補充道,ACLU的布雷特·馬克斯評論巴爾的聲明時說:「每當有創傷性事件需要調查數位裝置時,司法部總會大聲宣稱需要加密後門,然後又悄悄宣布實際上找到了不威脅全世界安全和隱私的存取方法。」ACLU還表示:「狼來了的小孩比那個喊加密的人更沒資格說話。」
蘋果方面則「駁斥了」他們未曾向FBI提供「實質性協助」的說法,表示:「我們對他們的眾多請求都做出了及時、徹底的回應,且這些回應至今仍在進行中。」蘋果補充說:「我們對每個請求都迅速作出回應,往往在幾個小時內……這些查詢結果產生了數千兆位元組的資訊,我們已將這些資料交予調查人員……我們已提供了我們所擁有的一切資訊。」
情況變得更為複雜,數位鑑識公司Garrett Discovery的執行長Andy Garrett表示:「我們現在已有工具能夠從iPhone 5和iPhone 7中提取資料……每個人都有這樣的能力。」數位鑑識講師Sarah Edwards評論說:「這是一場貓捉老鼠的遊戲。蘋果設計了鎖,但如果有人想要找到破解這些設備的方法,他們總會找到辦法。」
在佛羅里達襲擊事件之後,2019年12月初,參議院司法委員會對科技公司發出了一項兩黨警告。曼哈頓地方檢察官Cyrus Vance Jr.在委員會前表示,儘管他的團隊運用了「合法駭客攻擊方法」,但這種方法的成本高達數十萬美元,且僅有一半的成功率。Vance對參議員們說:「有許多嚴重案例,我們無法在最關鍵的時段內存取裝置。」他主張:「如果不朝向立法邁進,我們無法解決這個問題。」來自南卡羅來納州的共和黨參議員林賽·格雷厄姆對蘋果和Facebook代表說:「我的建議是,你們趕快解決這個問題。如果明年這個時候,你們仍找不到一個能夠讓你們接受的方案,我們將迫使你們照我們的方式行事。」來自田納西州的共和黨參議員Marsha Blackburn補充說:「你們必須把事情辦妥,否則我們將樂意替你們把事情辦妥,這種情況不能繼續下去。」來自康涅狄格州的共和黨參議員Richard Blumenthal表示:「美國人民正在失去耐心,我希望你們把這個訊息傳達給蘋果和Facebook。」來自愛荷華州的共和黨參議員Joni Ernst則表示:「我想你們寧願自己找到解決方案,也不希望國會替你們做這件事。」
雲端備份一再被提出作為執法部門即便在裝置本身加密的情況下,也能應對威脅的一種方式——儘管用戶可以選擇將資料僅存放在他們的裝置上。路透社報導稱,有消息來源指出,蘋果因受FBI壓力而於2020年1月放棄了為備份提供加密的計畫。該報導指出,可能早於2018年時,蘋果就曾通知FBI,其計畫提供使用iCloud備份iPhone時的端對端加密,但這一計畫最終被放棄——一位前蘋果員工告訴路透社,「法律讓這個計畫夭折了,原因你可以想像……他們決定不再去惹麻煩。」這位前員工表示,蘋果不希望因為保護罪犯而受到公開攻擊,也不願意因將資料置於政府掌控之外而被起訴,或者給執法部門追求新一輪反加密立法的藉口。另一位前蘋果員工則推測,該計畫被放棄也可能是因為擔心當用戶丟失或手機被竊,或忘記密碼時,其成本會太高。另一位前FBI官員表示,他認為「蘋果已經被FBI的論點說服」,即該論點會對執法運作造成損害;他補充說,「除了聖伯納丁諾那場公開爭議之外,蘋果與聯邦政府之間的關係一直都還不錯。」
蘋果和Facebook等公司部署端對端加密的一個結果,是使得檢測兒童虐待內容變得更為困難。科技公司意識到網際網路對兒童施虐者是一大利好,因而採取措施以最小化他們在數位領域的收益。圖像掃描是檢測兒童虐待的最有效方法之一。掃描通常通過與已知虐待圖像資料庫(通常透過雜湊比對,但現在也越來越多利用人工智慧技術)進行比對來完成。然而,通過部署端對端加密來增強用戶安全,卻使得這種掃描技術失去了效力。2019年,參議院司法委員會由南卡羅來納州共和黨參議員林賽·格雷厄姆領導,舉行了一場題為「在數位世界中保護純真」的聽證會;2020年3月5日,格雷厄姆提出了《消除濫用與廣泛忽視互動技術法案》(EARN IT Act)。共同發起者包括來自密蘇里州的共和黨參議員Josh Hawley,以及來自康涅狄格州的共和黨參議員Richard Blumenthal和來自加利福尼亞州的民主黨參議員Dianne Feinstein。EARN IT法案建立了一個「防止線上兒童性剝削全國委員會」,該委員會將制定防止、減少和應對線上兒童性剝削的最佳實踐。該委員會將由19名成員組成,其中包括司法部長(擔任主席)、國土安全部長以及聯邦貿易委員會主席。國會將填補其餘職位,這些職位可能由那些傾向於支持任何偽裝成防止兒童虐待的監管的人士擔任——例如,調查人員、檢察官和兒童虐待倖存者。委員會中將有兩名成員是計算機科學家,四名成員將在科技公司從事有關兒童虐待問題的工作,而「與憲法、消費者保護或隱私有當前經驗」的成員最多只能有兩位;鑑於後者的措辭,可能連一位具有隱私專業知識的人都不會被任命。該委員會將有18個月的時間來提出最佳實踐建議——而這些建議極有可能包含加密的「最佳實踐」。為了提交建議,委員會必須有14名成員同意——司法部長、國土安全部長和聯邦貿易委員會主席均擁有否決權。這意味著,即使有最多5名隱私倡導者和懂得該問題的技術專家被任命,以創造表面上均衡的委員會形象,司法部長仍然可以推翻他們。如果提交給司法部長的建議不合其心意,這些建議可以被退回修改。這一退回機制是讓步;在該法案較早的一個洩露草案中,司法部長可以簡單地用自己的建議取代委員會的建議。最佳實踐一旦獲得授權,就必須由國會進行辯論,而EARN IT法案盡量簡化了這一過程,以限制審查的機會。
對於未遵守最佳實踐的處罰將是取消科技平台在《通訊端正法》第230條下享有的責任保護。這項豁免對網際網路的發展至關重要——它確保用戶而非平台對所發布的內容負責。第230條支撐著數位言論自由。如果像Facebook和WhatsApp這樣的公司對第三方在其平台上發布的內容負法律責任,那麼合規成本和潛在的處罰將使其業務變得不可行——更不用說那些沒有此類約束的外國公司將主導市場。然而,這項保護並未能使科技公司免於違反聯邦刑法,例如藏匿兒童虐待內容——事實上,任何識別到此類內容的公司必須向全國失蹤與被剝削兒童中心報告,並隨後與執法部門合作調查。更為陰險的是法案中一個隱藏得極深的小條款——如果在四年內國會未能同意並批准最佳實踐,那麼科技公司的責任保護將自動終止,這將對美國科技產業造成毀滅性打擊。電子前哨基金會的艾略特·哈蒙評論說,「司法部長……將會讓網路平台正處在他所期望的位置,準備為了避免嚴重後果(包括民事和刑事責任)而犧牲用戶的安全和隱私。」參議員格雷厄姆在介紹該法案時解釋道:
「這是第一次,你們必須為保護未成年人而獲得全面的責任豁免。我們的目標是以一種平衡的方式來實現這一點,不至於過度抑制創新,但必須強制解決兒童剝削問題。」
參議員霍利(來自密蘇里州)評論說:
「科技公司擁有一項非同尋常的特別法律保護,但這種獨特的保護伴隨著一項責任。未能遵守保護兒童免受剝削的基本標準的公司,已經背叛了公眾賦予他們的這項特別豁免。網路平台幾乎完全免於法律責任是一種特權——他們必須贏得這項特權。」
霍利補充說:
「網際網路充斥著令人作嘔的兒童被殘酷侵犯和剝削的圖像,這些圖像一旦在網上流傳,受害兒童將被迫承受一生的痛苦……科技公司必須做得更好……是時候停止將大科技公司的經濟利益置於保護兒童免受掠奪者侵害之上。」
該法案廣泛遭到反對。參議員羅恩·懷登將該法案稱為「極度有缺陷且適得其反」,評論道:
「這項糟糕的立法是一個木馬計劃,目的是讓司法部長巴爾和川普擁有控制線上言論和要求政府存取美國人生活各方面的權力……這項法案是特朗普政府利用兒童性虐待問題為其政治利益服務的一個透明且極具犬儒主義的努力,其對每個美國人的言論自由以及安全和隱私的影響將毀滅性地擴大。」
電子前哨基金會的索菲婭·科普與亞倫·麥基在致國會的信中一致認為,EARN IT法案「不允許對線上言論進行規範。」他們認為,該法案迫使線上服務供應商面臨一個不可能的選擇:要麼向政府妥協其編輯決策,要麼面臨重大新的刑事與民事責任。科普和麥基指出,「該法案不僅直接針對非法內容,例如兒童色情或兒童性販運廣告,而是規定了線上服務供應商必須如何運作其平台以及管理所承載的言論。」另外,艾略特·哈蒙寫道,「該法案的作者聰明地以保護兒童為藉口,實際上對我們的線上言論自由和安全發動了一場攻擊……別搞錯:EARN IT法案是一個用來破壞端對端加密的工具。」馬修·格林則更為嚴厲地批評,說:
「這項法案是一條後門,允許政府在商業服務中實際禁止加密。而且更妙的是:它並沒有直接明文禁止加密,而是使得主要供應商部署加密在商業上變得不可行,保證如果他們試圖違反該委員會的建議,便會面臨破產的風險。這正是如果你知道你想做的事情是違憲且極不受歡迎,你基本上就毫不在乎所會提出的那種法案會出現的狀況時,你會想出來的那種法案。」
該法案推出的時機特別糟糕。當時美國正因新冠肺炎疫情而封鎖,全國人都在家中避難;華盛頓政府笨拙應對的劇場,包括川普總統建議公民注射消毒劑以殺死病毒,確保了選民的注意力幾乎無法集中在其他事情上。這使得在國會中,一項糟糕的法案能夠在那些好心卻對技術安全只以兒童虐待作為單一背景來判斷問題的議員支持下通過的機會大大增加。EARN IT法案的提出,以及該法案試圖破壞有關加密和例外存取的民主且經深思熟慮的辯論,如果這正是其意圖,將構成對公眾信任的嚴重背叛,也突顯了讓這一問題懸而未決的危險性。
在EARN IT法案之後不久,參議員格雷厄姆與來自阿肯色州的共和黨參議員Tom Cotton以及來自田納西州的共和黨參議員Marsha Blackburn聯合推出了另一項法案:《加密資料合法存取法案》(LAEDA)。儘管缺乏過去提案中強制性縮略語的慣例,LAEDA在意圖上更為直截了當——科技製造商和服務供應商應主動設計其產品,以便在需要時向政府提供已解密的資料,無論是靜止資料還是傳輸中的資料。科技公司唯一不予遵從的唯一方式,就是「證明……在技術上不可能……對該個人硬體、軟體或其他財產做出任何改變。」LAEDA還允許政府向法院提供機密證據,說明為何需要從公司獲得此類能力,前提是「披露該資訊將損害……國家安全……或損害刑法執行。」司法部長威廉·巴爾支持該法案,評論道:
「端對端加密技術正被兒童掠奪者、恐怖分子、毒品走私者甚至駭客濫用,來進行犯罪並躲避偵查。無需搜查令的加密讓這些罪犯能夠逍遙法外。這既危險又不可接受。」
巴爾補充說:
「對於那些在線上被性剝削的兒童而言,危險尤其巨大,特別是在這個因新冠肺炎封鎖而更加脆弱的時期……我們不能允許這些科技公司將他們的利潤和侵犯者的隱私權置於兒童安全與保護之上。」
數位權利社群再次對這最新的反加密法案表示抗議。電子前哨基金會的Andrew Crocker評論說,該法案「忽視了專家共識和公眾意見,不幸的是,這已成為近期眾多反加密法案的常態。但這項法案實際上比許多其他最近的反加密法案更加脫離現實。」斯坦福大學網際網路與社會中心的Riana Pfefferkorn則評論說,該法案是「對美國加密的一次全方位核攻擊」,她補充道:
「這項法案就是我們一直最怕看到的加密後門令牌,而過去六年來的重新燃起密碼戰爭中,從沒有人敢於提出這樣的法案。好吧,這三位參議員終於走到這一步了。」
截至本書印刷之時,這兩項法案仍在國會中推進。