Это перевод страницы, написанной на английском языке.

Сколько слежки может выдержать демократия?

Карикатура: собака с удивлением смотрит на рекламу, выскочившую на экране ее
компьютера

“Как они узнали, что я — собака?”

Благодаря фактам, ставшим известным благодаря Эдуарду Сноудену, мы знаем, что современный уровень общей слежки в обществе несовместим с правами человека. Когда люди ожидают, что каждое действие будет отмечено, они ограничивают себя и подвергают цензуре. Неоднократное запугивание и преследование диссидентов, информаторов и журналистов в США и других странах подтверждает это. Нам нужно снизить уровень общей слежки, но до каких пределов? Каков в точности максимальный допустимый уровень слежки, за пределы которого мы гарантированно не должны выходить? Это уровень, при превышении которого слежка начинает вмешиваться в функционирование демократии, когда осведомителей (таких как Сноуден), как правило, отлавливают.

В условиях государственной тайны мы, народ, зависим от возможности осведомителей рассказывать нам о том, что делает государство. (Об этом нам напомнили в 2019 году, когда различные осведомители последовательно предоставили общественности сведения о попытке Трампа сбросить президента Украины.) Однако нынешняя слежка отпугивает потенциальных осведомителей, а это значит, что она чересчур сильна. Чтобы восстановить демократический контроль народа над государством, мы должны сократить слежку до величины, при которой осведомители будут знать, что они в безопасности.

Применение свободных программ, за что я выступаю с 1983 года — первый шаг к контролю над цифровой стороной нашей жизни, что подразумевает противодействие слежке. Доверять несвободным программам нельзя; Агентство национальной безопасности пользуется и даже создает слабые места в несвободных программах для вторжения на наши компьютеры и маршрутизаторы. Свободные программы дают нам контроль над нашими собственными компьютерами, но это не защитит нашу частную жизнь, когда мы выходим в Интернет.

В США проводится двусторонний законопроект с целью “урезать силы слежки внутри страны”, но для этого нужно ограничить использование государственными органами наших электронных досье. Этого не достаточно для того, чтобы защитить осведомителей, если “поимка осведомителя” становится основанием для доступа к данным, позволяющим идентифицировать его. Нам нужно идти дальше.

Верхний предел слежки при демократии

Если осведомители не смеют пролить свет на преступления и ложь, мы теряем последний кусок фактического контроля над своим правительством и государственными учреждениями. Вот почему слежка, которая позволяет государству узнавать, кто говорил с журналистом, слишком велика — слишком велика, чтобы демократия могла ее выдержать.

Некое должностное лицо администрации США зловеще заявило журналистам в 2011 году, что США не будут допрашивать журналистов, потому что “мы знаем, кто с вами говорил”. Иногда для этого по требованию суда передаются записи телефонных переговоров журналистов, но Сноуден показал нам, что фактически они все время получают записи всех телефонных переговоров всех людей в США из Verizon, а также от других компаний.

Деятельность диссидентов и оппозиции требует хранить кое-что в секрете от государства, которое не прочь проделать с ними тот или иной грязный трюк. ACLU продемонстрировала систематическую практику внедрения агентов в мирные группы диссидентов со стороны государственных органов США под тем предлогом, что среди них могут оказаться террористы. Точка, в которой слежка становится слишком велика — это точка, в которой государство может узнать, кто говорил с известным журналистом или известным диссидентом.

Однажды собранными сведениями будут злоупотреблять

Когда люди признают, что уровень общей слежки слишком высок, само собой напрашивается предложить ограничения на доступ к собранным данным. Это звучит неплохо, но проблемы это не решит, ни на йоту, даже в предположении, что государство подчинится этим правилам. (Национальное агентство безопасности ввело в заблуждение суд, разбиравший нарушение Закона о слежке в целях внешней разведки, после чего суд заявил, что он фактически не в состоянии получить отчет о действиях агентства.) Подозрение в совершении преступления станет основанием для доступа, так что как только осведомителя обвинят в “шпионаже”, поиск “шпиона” станет поводом для доступа к накопленному материалу.

На практике мы даже не можем ожидать, что государственные агентства станут выдумывать оправдания, чтобы удовлетворить правилам пользования данными, полученными при помощи слежки — потому что агентства США уже лгут, чтобы покрыть нарушения правил. Никто всерьез не собирается соблюдать эти правила; это просто сказка, которой мы можем верить, если нам угодно.

В дополнение, государственный персонал слежки будет злоупотреблять данными в личных целях. Некоторые агенты АНБ пользовалось системами слежки США для отслеживания своих любимых — прошлых, настоящих и желаемых — эта практика называется “любовная разведка”. Согласно АНБ, несколько раз их уличали в этом и наказывали; мы не знаем, сколько было других случаев, когда их в этом не уличили. Но это не должно нас удивлять, потому что полиция давно пользуется своим доступом к записям о номерах автомобилей, чтобы отслеживать привлекательных особ — практика, известная как “пробить номер, чтобы назначить свидание”. Эта практика ширится с появлением новых цифровых систем. В 2016 году следователь обвинялась в подделке подписей судей, чтобы получить санкцию на подслушивание кое-кого, к кому она была неравнодушна . “Ассошиэйтед пресс” знает много других примеров в США.

Данные слежки всегда будут использоваться в других целях, даже если это будет запрещено. Как только данные собраны и у государства есть возможность доступа к ним, оно может злоупотреблять этими данными ужасающим образом, как показывают примеры из Европы, США, а совсем недавно и Турции (Заблуждение Турции о том, кто в действительности пользовался программой Bylock, только усугубило основную преднамеренную несправедливость произвольного наказания людей за пользование ею.)

Вам может казаться, что ваш правящий режим не станет применять ваши персональные данные для репрессий, но вы не можете полагаться на это чувство, ведь правящие режимы-то меняются. На 2021 год многие якобы демократические государства управляются людьми с авторитарными склонностями, а Талибан захватил афганские системы биометрической идентификации, которые были развернуты по наущению США. Великобритания работает над законом, по которому будут подавляться мирные протесты, которые попадают под описание вызывающих “серьезные беспорядки”. Кто знает, не станет ли в 2025 году режим США репрессивным, и надолго?

Личные данные, собранные государством, нередко становятся добычей злоумышленников извне, которые взламывают защиту серверов, включая и взломщиков, работающих на враждебные государства.

Правящие режимы могут легко воспользоваться возможностью массовой слежки, чтобы напрямую подчинить себе демократию.

Тотальная слежка, доступная государству, позволяет ему организовать массированную экспедицию для травли любого человека. Чтобы обезопасить журналистику и демократию, мы должны ограничить сбор данных, которые будут легко доступны государству.

Стойкая защита личной жизни должна ограничивать технику сбора данных

Фонд электронных рубежей и другие организации предлагают ряд юридических принципов, составленных для предотвращения злоупотреблений массовой слежкой. В эти принципы входит (что жизненно важно) явная юридическая защита осведомителей; как следствие, эти принципы будут адекватны защите демократических свобод — если их примут в полном объеме и будут соблюдать всегда и без исключений.

Однако такой юридической защиты не достаточно: как показывают недавние события, они могут быть отозваны (как Закон о поправках в FISA), действие их может быть приостановлено, наконец их могут игнорировать.

В то же время демагоги будут приводить обычные отговорки в качестве оснований для тотальной слежки; любой террористический акт, даже если в нем погибнет всего несколько человек, может использоваться ими как повод.

Если ограничения на доступ к данным снимут, это будет все равно, как если бы они никогда не существовали: досье, накопленные за долгие годы, сразу станут доступны для злоупотреблений со стороны государства и его агентов, а если их собрали компании, то и для частных злоупотреблений с их стороны. Однако если мы остановим сбор досье на каждого, то этих досье не будет и не будет способа собрать их задним числом. Новому антилиберальному режиму пришлось бы реализовывать слежку заново, и данные собирались бы только начиная с этого момента. Что касается приостановки действия или игнорирования этого закона, то эта идея едва ли имеет смысл.

Во-первых, не быть дураками

Чтобы у нас была конфиденциальность, мы не должны отбрасывать ее: первый, кто должен защищать вашу конфиденциальность — это вы. Избегайте идентифицировать себя на сайтах Интернета, связывайтесь с ними по Tor и пользуйтесь браузерами, которые блокируют схемы, применяемые на сайтах для отслеживания посетителей. Применяйте GNU Privacy Guard для шифрования содержимого своей электронной почты. Оплачивайте покупки наличными.

Держите свои данные у себя; не храните свои данные на “удобном” “облачном” сервере компании. Однако вполне безопасно вверять резервные копии данных коммерческой службе при условии, что вы сложили файлы в архив и зашифровали весь этот архив, в том числе имена файлов, на своем компьютере с помощью свободных программ перед тем, как отправлять их на сервер.

Ради конфиденциальности вы должны избегать несвободных программ; если вы отдаете контроль над операциями своего компьютера компаниям, они, вероятно, заставят его шпионить за вами. Избегайте услуг-замен программ; кроме передачи другим контроля над тем, как происходят ваши вычисления, это требует от вас предоставления всех обрабатываемых данных на сервер компании.

Защищайте также конфиденциальность своих друзей и знакомых. Не выдавайте их личных данных, кроме необходимых для связи с ними, и никогда не передавайте никакому сайту своего списка телефонных и электронных контактов. Не говорите таким компаниям, как Facebook, ничего такого о своих друзьях, что они могли бы не хотеть опубликовать в газете. А еще лучше не пользуйтесь Facebook вообще. Отказывайтесь от систем связи, в которых от пользователей требуется называть свои настоящие имена, даже если вы с радостью предадите огласке свои, поскольку это поощряет других людей отказаться от своей конфиденциальности.

Самозащита важна, но даже самой бдительной самозащиты недостаточно, чтобы защитить вашу конфиденциальность на системах, которые вам не принадлежат. Когда мы общаемся с другими или передвигаемся по городу, наша конфиденциальность зависит от сложившейся в обществе практики. Мы можем избегать некоторых систем, которые отслеживают наши сообщения и перемещения, но не все их. Ясно, что лучше было бы заставить все эти системы прекратить слежку за людьми, за исключением законно подозреваемых.

Каждую систему нужно проектировать с учетом конфиденциальности

Если мы не хотим жить в обществе тотальной слежки, мы должны рассматривать слежку как своего рода социальное загрязнение и ограничивать вклад в слежку каждой новой цифровой системы точно так же, как мы ограничиваем воздействие физических сооружений на окружающую среду.

Например: “интеллектуальные” электросчетчики расхваливают за то, что они отсылают в энергетическую компанию помоментные данные о расходе электроэнергии каждым пользователем, в том числе о том, как расход соотносится с расходом среднего пользователя. Это реализовано на основе общей слежки, но никакой слежки для этого не нужно. Энергетической компании было бы нетрудно высчитывать средний расход в жилом районе, деля общий расход на количество абонентов, и высылать полученное значение на счетчики. Электросчетчик каждого клиента мог бы сравнивать это со своими измерениями за нужный период со средним графиком расхода за этот период. То же самое, только без слежки!

Нам надо встраивать такую конфиденциальность во все наши цифровые системы [1].

Мера против сбора данных: оставлять их рассредоточенными

Один из способов сделать наблюдение безопасным для конфиденциальности — оставлять данные рассредоточенными, без удобного доступа. Старомодные камеры видеонаблюдения не представляли угрозы конфиденциальности *. Записи велись на месте и хранились не дольше нескольких недель. Из-за неудобств доступа к этим записям к ним никогда не обращались помногу; записи поднимали только в местах, где кто-то сообщал о преступлении. Было физически невозможно собирать каждый день миллионы лент, а затем просматривать или копировать их.

Сегодня камеры видеонаблюдения стали камерами слежки: они подключены к Интернету, так что записи можно собирать в информационном центре и хранить вечно. В Детройте менты давят на предпринимателей, чтобы получить неограниченный доступ к их камерам наблюдения, чтобы иметь возможность смотреть через них в любой момент. Это уже опасно, но положение будет ухудшаться. Прогресс в распознавании лиц может привести к тому, что в один прекрасный день подозреваемых журналистов смогут постоянно отслеживать на улице, чтобы увидеть, с кем они общаются.

Камеры, подключенные к Интернету, часто защищены в цифровом отношении довольно-таки погано, то есть кто угодно мог бы просматривать то, на что направлены камеры. Это делает камеры, подключенные к Интертету, крупной угрозой как безопасности, так и приватности. Во имя приватности нам надо запретить пользование камерами, подключенными к Интернету, когда они направлены на общественные места, если только эти камеры не установлены на человеке. Каждый должен быть волен публиковать иногда фото- и видеозаписи, но систематическое накопление таких данных в Интернете должно ограничиваться.

(*) Здесь я предполагаю, что камера безопасности направлена в зал магазина или на улицу. Любая камера, направленная в чье-то личное пространство кем-то другим, вторгается в личную жизнь, но это другой вопрос.

Меры против коммерческой слежки в Интернете

Большинство собираемых данных возникает в результате собственной цифровой деятельности людей. Обычно данные сначала собираются компаниями. Но когда речь идет об угрозе конфиденциальности и демократии, совершенно безразлично, проводится ли слежка государством напрямую или ее поручают предприятию, потому что данные, которые собирают компании, систематически доступны государству.

АНБ с помощью PRISM проникло в базы данных многих крупных корпораций в области Интернета. AT&T сохраняет все свои записи о телефонных переговорах с 1987 года и предоставляет их DEA для поиска по запросу. Строго говоря, правящий режим США не владеет этими данными, но практически разницы нет никакой. Некоторые компании получают одобрение за то, что сопротивляются запросам данных со стороны государства в той ограниченной мере, в какой они могут это делать, но это может компенсировать только честь вреда, который они же и наносят, собирая эти данные. Кроме того, многие из этих компаний напрямую злоупотребляют данными, продавая их на бирже данных.

Следовательно, в целях обеспечения безопасности журналистики и демократии требуется сократить объем данных, собираемых о людях любыми организациями, а не только государством. Мы должны перепроектировать цифровые системы так, чтобы они не собирали данные о своих пользователях. Если им требуются цифровые данные о наших операциях, им не должно быть позволено хранить их дольше, чем короткое время сверх того, что принципиально необходимо в их работе с нами.

Одна из побудительных причин современного уровня слежки в Интернете заключается в том, что сайты финансируются из рекламы, основанной на отслеживании деятельности и пристрастий пользователей. Это делает рекламу не просто чем-то надоедливым, на что мы могли бы научиться не обращать внимания,— это превращает ее в систему слежки, которая вредит нам независимо от того, знаем мы об этом или нет. Системы покупок по Интернету также отслеживают своих пользователей. И всем нам известно, что “правила конфиденциальности” представляют собой скорее оправдания для нарушения конфиденциальности, чем намерения соблюдать ее.

Мы могли бы устранить обе проблемы введением системы анонимных платежей — то есть анонимных для тех, кто платит (мы не хотим помогать увиливать от налогов тому, кому платят). Система Bitcoin не анонимна, но техника цифровой наличности впервые была разработана в восьмидесятые годы XX века; пакет GNU для платежей называется GNU Taler. Теперь нам недостает только предприятий, которые занимались бы этим, и государства, которое не препятствовало бы этому.

Другой возможный метод анонимных платежей — предварительно оплаченные телефонные карты. Это не так удобно, но очень просто в реализации.

Дополнительную угрозу сбор личных данных сайтами представляет потому, что взломщики могут проникать на серверы, брать данные и злоупотреблять ими. В том числе данными о кредитных картах клиентов. Система анонимных платежей покончила бы с этой угрозой: брешь в защите сайта не может повредить вам, когда сайт ничего о вас не знает.

Меры против слежки за передвижениями

Мы должны преобразовать цифровые системы сбора платежей в анонимные (например, с помощью цифровой наличности). Системы распознавания номеров машин распознают все номера, и данные могут храниться неопределенно долго; закон должен требовать, чтобы отмечались и записывались номера только тех автомобилей, которые находятся в розыске. Менее безопасной альтернативой было бы отмечать все автомобили на месте, но только на несколько дней, причем полные данные не должны быть доступны по Интернету; доступ к данным должен быть ограничен списком номеров автомобилей в розыске.

“Бесполетный” список США нужно упразднить, потому что это наказание без суда.

Допустимо вести список людей, личность и багаж которых досматривается более тщательно, а анонимных пассажиров на внутренних линиях можно было бы считать включенными в этот список. Также допустимо запрещать негражданам, если им вообще не разрешен въезд в страну, посадку на рейсы с посадками в этой стране. Этого должно быть достаточно для всех законных целей.

Во многих системах продажи билетов для платежей применяются разного рода электронные карты. Эти системы накапливают личные данные: если вы однажды по ошибке оплатили поездку чем-то кроме наличных, они навсегда связывают электронную карту с вашим именем. Более того, они записывают все поездки, связанные с каждой картой. Все это вместе составляет систему массовой слежки. Сбор этих данных нужно сократить.

Службы навигации ведут слежку: компьютер пользователя передает в картографическую службу координаты пользователя и место, куда он направляется; после этого сервер определяет маршрут и возвращает его на компьютер пользователя, где этот маршрут отображается. В настоящее время сервер, вероятно, записывает координаты пользователя, поскольку ничто этому не препятствует. В этой слежке нет принципиальной необходимости, и ее можно избежать, перепроектировав систему: свободные программы на компьютере пользователя могли бы получать картографические данные прилегающих областей (если они еще не получены), прокладывать маршрут и отображать его, не передавая никуда местоположения пользователя и пункт назначения.

Системы проката велосипедов и т.п. можно спроектировать так, чтобы личность арендатора была известна только внутри станции, на которой взята единица техники. Система информировала бы все станции, что единица “занята”, так что когда пользователь возвращает ее на любой станции (вообще говоря, отличной от той, где ее взяли), эта станция будет знать, где и когда взята эта единица. Система проинформирует другую станцию, что единица больше не “занята”. Она составит также счет пользователя и вышлет его (через некоторое случайное число минут) в центр по кольцу станций, так что в центре не будет известно, откуда пришел счет. Как только это произойдет, станция возврата полностью забудет об этой операции. Если единица остается “занятой” слишком долго, станция, на которой ее взяли, может проинформировать центр; в этом случае она могла бы немедленно сообщить о личности того, кто взял эту единицу.

Меры против коммуникационных досье

Поставщики услуг Интернета и телефонные компании хранят обширные сведения о контактах своих пользователей (просмотр страниц Интернета, телефонные вызовы и т.д.). Для сотовых телефонов они записывают также физические координаты пользователя. Они хранят эти досье длительное время: в случае AT&T — свыше тридцати лет. А скоро они будут записывать даже физиологические процессы пользователя. Оказывается, Агентство национальной безопасности собирает данные о местоположении сотовых телефонов в массовых количествах.

Конфиденциальная связь невозможна, когда системы создают такие досье. Так что хранение их должно быть незаконно. Поставщикам услуг Интернета и телефонным компаниям не должно быть позволено хранить эти сведения слишком долго, если только наблюдение за определенным лицом не установлено в судебном порядке.

Этой меры не вполне достаточно, поскольку ее применение физически не мешает государству собирать все сведения непосредственно в момент их возникновения — а именно это в США делают с некоторыми или даже всеми телефонными компаниями. Нам пришлось бы рассчитывать на соблюдение закона. Однако это было бы лучше нынешней ситуации, в которой соответствующий закон (PAT RIOT) явным образом не запрещает такую практику. Кроме того, если бы государство снова ввело такого рода слежку, оно не получило бы данные о телефонных переговорах каждого, проведенных до этого времени.

Что касается тайны электронной переписки, простым частичным решением для вас и других будет пользоваться службами электронной почты в стране, которая никогда не стала бы сотрудничать с вашим правительством, и связываться друг с другом с использованием криптографии. Однако у Лейдера Левисона (владельца почтовой службы Lavabit, которую слежка США пыталась полностью разложить) есть мысль о криптографической системе, с помощью которой вашей службе электронной почты было бы известно только то, что вы послали сообщение какому-то пользователю моей службы электронной почты, но было бы трудно определить, что вы послали сообщение мне.

Но иногда слежка необходима

Для розыска преступников государству необходима возможность расследовать конкретные преступления или конкретные покушения по ордеру из суда. С приходом Интернета полномочие прослушивать телефонные переговоры естественно расширяется на полномочие подключаться к соединениям по Интернету. Этими полномочиями легко злоупотреблять в политических целях, но они необходимы. К счастью, это не дает возможности находить осведомителей задним числом, если (как я рекомендовал) мы предотвратим предварительное массовое накопление досье цифровыми системами.

Лица с особыми полномочиями, выданными государством, такие как работники полиции, утрачивают свое право на конфиденциальность, и за ними должно вестись наблюдение. (В самом деле, в полицейском жаргоне есть особое выражение, “давать лжесвидетельские показания”, поскольку они то и дело этим занимаются, особенно в отношении протестующих и фотографов.) В одном городе в Калифорнии было введено обязательное постоянное ношение видеокамер полицейскими, и обнаружилось, что применение силы полицейскими сократилось на 60%. ACLU поддерживает это.

Корпорации — не люди, у них не должно быть прав человека. Вполне законно требовать от предприятий публикации деталей процессов, которые могли бы повлечь за собой опасности в химическом, биологическом, ядерном, финансовом, вычислительном (напр., цифровое управление ограничениями) или политическом (напр., заказ политических проектов) отношении — публикации настолько подробной, насколько это требует общественное благосостояние. По сравнению с опасностью таких действий (вспомним утечку нефти BP, аварию на АЭС в Фукусиме и финансовый кризис 2008 года) угроза терроризма исчезающе мала.

Однако журналистику нужно защищать от наблюдения, даже если она ведется в ходе предпринимательской деятельности.

Заключение

Цифровая техника принесла с собой умопомрачительный рост уровня слежки за нашими передвижениями, действиями и переговорами. Он гораздо выше уровня той слежки, которую мы испытывали на себе в девяностые годы XX века, гораздо выше уровня той слежки, которую испытывали на себе люди за железным занавесом в восьмидесятые годы XX века, и предложенные юридические ограничения на применение государством накопленных данных этого не изменили бы.

Компании проектируют еще более глубокую слежку. Некоторые полагают, что широкая слежка, связанная с такими компаниями, как Facebook, могла бы серьезно воздействовать на образ мыслей людей. Такие возможности трудно взвесить; но угроза демократии — не вымысел. Сегодня она существует и вполне ощутима.

Если мы не считаем, что наши свободные страны в прошлом страдали от острой нехватки слежки и должны быть под более строгим надзором, чем Советский Союз и Восточная Германия, нам нужно вернуть этот уровень на прежние позиции. Для этого требуется остановить массовый сбор данных о людях.

Завершающее замечание

  1. Условия, когда за тобой не надзирают, получили название окружающей приватности.
  2. В двадцатые годы XXI века распознавание лиц обостряет опасность камер наблюдения. Китай уже идентифицирует людей по лицу, чтобы наказывать их, а Иран планирует применять его для наказания женщин, которые нарушают стиль одежды, предписанный религией.