Цей переклад може не відображати змін, внесених із 2022-06-14 у англійський оригінал.

Ви можете поглянути на ці зміни. Будь-ласка перегляньте файл README стосовно перекладів для того, щоб отримати інформацію про координування перекладів цієї статті.

Скільки стеження може витримати демократія?

Карикатура: пес із подивом дивиться на рекламу, що вискочила на екрані його
комп'ютера

“Як вони дізналися, що я — пес?”

Завдяки фактам, які стали відомі завдяки Едварду Сноудену, ми знаємо, що сучасний рівень тотального стеження в суспільстві несумісний з правами людини. Розуміючи, що всі дії буде записано, люди цензурують і обмежують самі себе. Неодноразове залякування і переслідування дисидентів, інформаторів і журналістів в США та інших країнах підтверджує це. Нам потрібно знизити рівень тотального стеження, але до яких меж? Яким є дійсно максимальний допустимий рівень стеження, за межі якого ми гарантовано не повинні виходити? Це рівень, при перевищенні якого стеження починає втручатися у функціонування демократії, коли інформаторів (таких як Сноуден), як правило, відловлюють.

В умовах державної таємниці ми як народ залежимо від можливості інформаторів розповідати нам про те, що робить держава. (Ми вкотре спостерігали це в 2019, коли декілька інформаторів оприлюднили частину даних про спробу Трампа шантажувати українського президента.) Однак нинішнє стеження відлякує потенційних інформаторів, а це значить, що воно надто сильне. Щоб відновити демократичний контроль народу над державою, ми повинні скоротити стеження до величини, при якій люди будуть знати, що вони в безпеці.

Застосування вільних програм, яке я просуваю з 1983 — перший крок до контролю над цифровою стороною нашого життя, що передбачає протидію стеженню. Довіряти невільним програмам не можна; Агентство національної безпеки використовує і навіть створює слабкі місця в невільних програмах для вторгнення до наших комп'ютерів та маршрутизаторів. Вільні програми дають нам контроль над нашими власними комп'ютерами, але це не захистить наше приватне життя, коли ми виходимо в Інтернет.

У США просувають двопартійний законопроект з метою “урізати сили стеження всередині країни”, але він зводиться дообмеження державою кола людей, які мають доступ до наших електронних досьє. Цього не достатньо для того, щоб захистити інформаторів, якщо спроба “впіймати інформатора” — достатня підстава для доступу до чиїхось особових даних. Нам треба йти далі.

Верхня межа стеження при демократії

Якщо інформатори не сміють пролити світло на злочини і брехню, ми втрачаємо останній шматок фактичного контролю над своїм урядом і державними установами. Ось чому стеження, яке дозволяє державі дізнаватися, хто говорив з журналістом, — занадто велике, аби демократія могла його витримати.

Якась посадова особа адміністрації США зловісно заявила журналістам у 2011 році, що США не будуть допитувати журналістів, тому що “ми знаємо, хто з вами говорив”. Іноді для цього на вимогу суду передаються записи телефонних переговорів журналістів, але Сноуден показав нам, що фактично вони весь час отримують записи всіх телефонних переговорів усіх людей в США від Verizon та інших компаній.

Діяльність дисидентів і опозиції вимагає зберігати щось у секреті від держави, яка не проти проробити з ними той чи інший брудний вчинок. ACLU продемонструвала систематичну практику впровадження агентів у мирні групи дисидентів з боку державних органів США під тим приводом, що серед них можуть виявитися терористи. Точка, в якій стеження стає занадто великим — це є точка, в якій держава може дізнатися, хто говорив з відомим журналістом або відомим дисидентом.

Якщо дані збираються, ними зловживатимуть

Коли люди визнають, що рівень загального стеження занадто високий, сама собою напрошується пропозиція обмежити доступ до зібраних даних. Це звучить непогано, але проблеми це не вирішить, ні на йоту, навіть у припущенні, що держава підкориться цим правилам. (Національне агентство безпеки ввело в оману суд, який розбирав порушення Закону про стеження в цілях зовнішньої розвідки, після чого суд заявив, що він фактично не в змозі отримати звіт про діяльність агентства.) Підозра у вчиненні злочину стане підставою для доступу, бо як тільки інформатора звинуватять у “шпигунстві”, пошук “шпигуна” дасть привід для доступу до накопиченого матеріалу.

На практиці ми навіть не можемо очікувати, що державні агентства стануть вигадувати виправдання, щоб задовольнити правила користування даними, отриманими за допомогою стеження — бо агентства США вже брешуть, щоб прикрити порушення правил. Ніхто в дійсності не збирається дотримуватися цих правил; це просто казка, в яку ми можемо вірити, якщо нам до вподоби.

Крім того, державний персонал стеження буде зловживати даними в особистих цілях. Деякі агенти АНБ користувалися системами стеження США для відстеження своїх коханих — минулих, теперішніх і бажаних — ця практика називається “любовна розвідка”. Згідно даних АНБ кілька разів їх викривали в цьому і карали; ми не знаємо, скільки було інших випадків, коли таких їх дій не викрили. Але це не повинно нас дивувати, тому що поліція давно користується своїм доступом до записів про номери автомобілів, щоб відстежувати привабливих осіб — практика, відома як “пробити номер, щоб призначити побачення”. Ця практика поширюється із появою нових цифрових систем. У 2016 році слідчу звинуватили у підробці підписів суддів, щоб отримати дозвіл на підслуховування особи, до якої вона була небайдужа. “Асошіейтед прес” знає багато інших прикладів у США.

Дані стеження завжди будуть використовуватися в інших цілях, навіть якщо це буде заборонено. Як тільки дані зібрані й у держави є можливість доступу до них, вона може зловживати цими даними страхітливим чином, як показують приклади з Європи і США, а зовсім недавно й Туреччини. (Омана Туреччини про те, хто насправді користувався програмою Bullock, тільки посилила основну навмисну несправедливість довільного покарання людей за користування нею.)

Вам може здаватись, ніби ваша влада не використовуватиме ваших особових даних, аби вас репресувати, проте не довіряйте цьому відчуттю, бо поведінка влади змінна. Вже в 2021 на чолі багатьох поверхнево демократичних держав — люди з авторитарними нахилами, й Талібан успішно освоїв афганські системи біометричної ідентифікації, встановлені «з добрими намірами» США. Британія розробляє законопроєкт про придушення мирних протестів, які на погляд влади «серйозно перешкоджають» звичній діяльності. Хтозна, чи не стане репресивною до 2025 саме ваша країна.

Особисті дані, зібрані державою, нерідко стають здобиччю зловмисників ззовні, які зламують захист серверів, включаючи і зломлювачів, які працюють на ворожі держави.

Уряди можуть легко скористатися можливістю масового стеження, щоб безпосередньо підпорядкувати собі демократію.

Тотальне стеження, доступне державі, дозволяє їй організувати масовану експедицію для цькування будь-якої людини. Щоб убезпечити журналістику та демократію, ми повинні обмежити збір даних, легко доступних державі.

Стійкий захист особистого життя повинен бути технічним

Фонд електронних рубежів та інші організації пропонують ряд юридичних принципів, складених для запобігання зловживань масовим стеженням. У ці принципи входить (що життєво важливо) явний юридичний захист інформаторів; як наслідок, ці принципи будуть адекватні захисту демократичних свобод — якщо їх приймуть у повному обсязі і будуть дотримуватися завжди і без винятків.

Однак такого юридичного захисту не достатньо: як показують недавні події, вони можуть бути відкликані (як Закон про поправки в FISA), дія їх може бути припинена, або їх можуть ігнорувати.

У той же час демагоги будуть приводити звичайні відмовки як підстави для тотального стеження; будь-який терористичний акт, навіть якщо в ньому загине кілька людей, може використовуватися ними як привід.

Якщо обмеження на доступ до даних знімуть, це буде все одно, мовби вони ніколи не існували: досьє, накопичені за довгі роки, відразу стануть доступні для зловживань з боку держави та її агентів, а якщо їх зібрали компанії, то і для приватних зловживань з їхнього боку. Однак якщо ми зупинимо збір досьє на кожного, то цих досьє не буде і не буде способів зібрати їх заднім числом. Новому антиліберальному режиму довелося б реалізовувати стеження заново, і дані збиралися б тільки починаючи з цього моменту. Що стосується призупинення дії або ігнорування цього закону, ця ідея навряд чи має сенс.

По-перше, не бути дурнями

Щоб у нас була приватність, ми не повинні відкидати її: перші, хто повинен захищати вашу приватність — це самі ви. Уникайте ідентифікувати себе на сайтах Інтернету, зв'язуйтесь з ними через Tor, користуйтеся браузерами, які блокують схеми, застосовні на сайтах для відстеження відвідувачів. Застосовуйте GNU Privacy Guard для шифрування вмісту своєї електронної пошти. Оплачуйте покупки готівкою.

Тримайте свої дані у себе; не зберігайте свої дані на “зручному” сервері компанії. Однак цілком безпечно довіряти резервні копії даних комерційній службі за умови, що ви зашифрували ці дані, в тому числі імена файлів на своєму комп'ютері за допомогою вільних програм перед тим, як відправляти їх на сервер.

Заради приватності ви повинні уникати невільних програм, оскільки компанії, яким ви даєте контроль над своїми обчисленнями, ймовірно, шпигуватимуть за вами. Уникайте послуг підміни програм: це не лише передає іншим контроль над вашими обчисленнями, а й вимагає від вас передавати всі оброблювані дані серверу компанії.

Захищайте також приватність своїх друзів і знайомих. Не видавайте їхніх особистих даних, крім необхідних для зв'язку з ними, і ніколи не передавайте жодному сайту список телефонних і електронних контактів. Не кажіть таким компаніям, як Facebook, нічого такого про своїх друзів, що вони могли б не хотіти опублікувати в газеті. А ще краще не користуйтеся Facebook взагалі. Відмовляйтеся від систем зв'язку, в яких від користувачів потрібно називати свої справжні імена, навіть якщо ви раді назвати своє, позаяк це заохочує інших людей відмовитися від своєї приватності.

Самозахист важливий, але найпильнішого самозахисту недостатньо, щоб захистити вашу приватність на системах, які вам не належать, — зокрема від них самих. Коли ми спілкуємося з іншими або пересуваємося по місту, наша приватність залежить від сформованої в суспільстві практики. Ми можемо уникати деяких систем, які відстежують наші повідомлення і переміщення, — але не всіх. Ясно, що краще було б примусити всі ці системи припинити стеження за людьми, за винятком законно підозрюваних.

Кожну систему потрібно проектувати з урахуванням приватності

Якщо ми не хочемо жити у суспільстві тотального стеження, ми повинні розглядати стеження як свого роду соціальне забруднення і обмежувати внесок у стеження кожної нової цифрової системи точно так само, як ми обмежуємо вплив фізичних споруд на довкілля.

Наприклад: “інтелектуальні” електролічильники розхвалюють за те, що вони відсилають в енергетичну компанію моментальні дані про витрату електроенергії кожним користувачем, у тому числі про те, як витрата співвідноситься з витратою середнього користувача. Це реалізовано на основі тотального стеження, але ніякого стеження для цього не потрібно. Енергетичній компанії було б неважко вираховувати середні витрати у житловому районі, поділивши загальну витрату на число абонентів, і висилати отримане значення на лічильники. Електролічильник кожного клієнта міг би порівнювати свої виміри за потрібний період із середнім графіком витрат за цей період. Те ж саме, тільки без стеження!

Нам треба вбудовувати таку ж приватність у всі наші цифрові системи [1].

Захід проти збору даних: залишайте їх розосередженими

Один зі способів ослабити вплив стеження на приватність — залишати дані розосередженими, без зручного доступу. Старомодні камери відеоспостереження не представляли загрози приватності(*). Записи велися на місці і зберігалися не довше кількох тижнів. Через незручності доступу до цих записів до них ніколи не зверталися багато; записи піднімали тільки в місцях, де хтось повідомляв про злочин. Було фізично неможливо збирати кожен день мільйони стрічок, а потім переглядати або копіювати їх.

Камери відеоспостереження стали камерами стеження: вони підключені до Інтернету, тому записи можна збирати в інформаційному центрі і зберігати вічно. В Детройті поліцаї тиснуть на підприємців, щоб отримати необмежений доступ до їхніх камер спостереження для можливості дивитися через них у будь-яку мить. Вже небезпечно, але стане ще небезпечніше. Прогрес у розпізнаванні облич може призвести до того, що в один прекрасний день підозрюваних журналістів зможуть постійно відслідковувати на вулиці й бачити, з ким вони спілкуються.

Камери, під'єднані до Інтернету, часто вразливі в цифровому відношенні, тобто хто завгодно може переглядати те, на що спрямована камера. Щоб відновити приватність, нам треба заборонити користування камерами, під'єднаними до Інтернету, коли вони направлені на громадські місця, якщо тільки ці камери не встановлені на людину. Кожен повинен мати право вільно публікувати іноді фото й відеозаписи, але систематичне накопичення таких даних у Інтернеті повинне обмежуватися.

(*) Тут я припускаю, що камера безпеки спрямована в зал магазину або на вулицю. Будь-яка камера, спрямована в чийсь особистий простір кимось іншим, втручається в особисте життя, але це інше питання.

Заходи проти комерційного стеження в Інтернеті

Більшість зібраних даних виникає в результаті власної цифрової діяльності людей. Зазвичай дані спочатку збираються компаніями. Але коли мова йде про загрозу приватності й демократії, абсолютно байдуже, проводиться стеження державою безпосередньо чи його доручають підприємству, тому що дані, які збирають компанії, систематично доступні державі.

АНБ за допомогою PRISM проникло в бази даних багатьох великих інтернет-корпорацій . AT&T зберігає всі записи телефонних викликів з 1987 року і надає їх DEA для пошуку за запитом. Строго кажучи, уряд США не володіє цими даними, але практично різниці немає жодної. Деякі компанії отримують схвалення за те, що пручаються запитам даних з боку держави в тій обмеженій мірі, в якій вони можуть це робити, але це може компенсувати тільки частину шкоди, яку вони наносять, збираючи ці дані. Крім того, багато з цих компаній безпосередньо зловживають даними, продаючи їх на біржі даних.

Отже, в цілях убезпечення журналістики та демократії потрібно скоротити обсяг даних, збираних про людей будь-якими організаціями, а не тільки державою. Ми повинні перепроектувати цифрові системи так, щоб вони не збирали дані про своїх користувачів. Якщо їм потрібні цифрові дані про наші операції, їм не повинно бути дозволено зберігати їх довше, ніж короткий час після того, що принципово необхідно їм для роботи з нами.

Одна із спонукальних причин сучасного рівня стеження в Інтернеті полягає в тому, що сайти фінансуються з реклами, заснованої на відстеженні діяльності та уподобань користувачів. Це робить рекламу не просто чимось набридливим, на що ми могли б навчитися не звертати уваги,— це перетворює її в систему стеження, яка шкодить нам незалежно від того, знаємо ми про це чи ні. Системи покупок по Інтернету також відстежують своїх користувачів. І всім нам відомо, що “політики приватності” являють собою скоріше виправдання для порушення приватності, ніж наміри її дотримувати.

Ми могли б вирішити обидві проблеми введенням системи анонімних платежів — тобто анонімних для тих, хто платить (ми не хочемо допомагати ухилятися від податків тому, кому платять). Система Bitcoin не анонімна, хоча були зусилля розробити шляхи анонімної оплати через Bitcoin. Зате технологія цифрової готівки вперше була розроблена ще у вісімдесятих роках XX століття; пакет GNU для платежів називається GNU Taler. Зараз нам бракує тільки підприємств, які займалися б цим, і держави, яка б не перешкоджала цьому.

Інший можливий спосіб анонімних платежів — наперед оплачувані телефонні картки. Це не так зручно, але дуже просто у втіленні.

Додаткову загрозу збір особистих даних сайтами являє тому, що зломлювачі можуть проникати на сервери, брати дані і зловживати ними. Зокрема даними про кредитні картки клієнтів. Система анонімних платежів покінчила б із цією загрозою: пролом у захисті сайту не може зашкодити вам, коли сайт нічого про вас не знає.

Заходи проти стеження за пересуваннями

Ми повинні перетворити цифрові системи збору платежів у анонімні (наприклад, за допомогою цифрової готівки). Системи розпізнавання номерів машин розпізнають всі номери, і дані можуть зберігатися невизначено довго; закон повинен вимагати, щоб відзначалися і записувалися номери тільки тих автомобілів, які перебувають у розшуку. Менш безпечною альтернативою було б відзначати всі автомобілі на місці, але тільки на кілька днів, причому повні дані не повинні бути доступні по Інтернету; доступ до даних повинен бути обмежений списком номерів автомобілів у розшуку.

“Безполітний» список США потрібно скасувати, тому що це покарання без суду.

Допустимо вести список людей, особистість і багаж яких контролюють ретельніше, а анонімних пасажирів на внутрішніх лініях можна було б вважати включеними у цей список. Також допустимо забороняти негромадянам, якщо їм взагалі не дозволено в'їзд в країну, доступ на рейси з посадками в цій країні. Цього повинно бути достатньо для всіх законних цілей.

У багатьох системах оплати проїзду застосовуються різного роду електронні картки. Ці системи накопичують особисті дані: якщо ви одного разу ненароком оплатили поїздку чимось, крім готівки, вони назавжди пов'язують електронну картку з вашим ім'ям. Більш того, вони записують всі поїздки, пов'язані з кожною карткою. Все це разом становить систему масового стеження. Збір цих даних потрібно скоротити.

Служби навігації ведуть стеження: комп'ютер користувача передає в картографічну службу координати користувача і місце, куди він направляється; після цього сервер визначає маршрут та повертає його на комп'ютер користувача для показу. В даний час сервер, ймовірно, записує координати користувача, оскільки ніщо не перешкоджає. У цій стеження немає принципової необхідності, і її можна уникнути, перепроектувавши систему: вільні програми на комп'ютері користувача могли б отримувати картографічні дані прилеглих областей (якщо їх іще не отримано), прокладати маршрут і показувати його, не передаючи нікуди розташування та пункт призначення.

Системи прокату велосипедів тощо можна спроектувати так, щоб особа орендаря була відома тільки всередині станції, на якій взята одиниця техніки. Система інформувала б усі станції, що одиниця “зайнята”, тому коли користувач повертає її на будь-якій станції (зазвичай на відмінній від тієї, де її взяли), ця станція буде знати, де і коли взята ця одиниця. Система проінформує іншу станцію, що одиниця більше не “зайнята”. Вона складе також рахунок користувача і вишле його (через деяке випадкове число хвилин) в центр по кільцю станцій, тому в центрі не буде відомо, звідки прийшов рахунок. Як тільки це станеться, станція повернення повністю забуде про цю операцію. Якщо одиниця залишається “зайнятою” занадто довго, станція, на якій її взяли, може проінформувати центр; у цьому випадку вона могла б негайно повідомити про особистості того, хто взяв цю одиницю.

Заходи проти комунікаційних досьє

Постачальники послуг інтернету і телефонні компанії зберігають багато відомостей про контакти своїх користувачів (перегляд сторінок Інтернету, телефонні виклики тощо). Мобільні телефони дають їм змогу записувати також фізичні координати користувача. Вони зберігають ці досьє тривалий час: у разі AT&T — понад тридцять років. А скоро вони будуть записувати навіть фізіологічні процеси користувача. Виявляється, Агентство національної безпеки масово збирає дані про місце знаходження мобільних телефонів.

Конфіденційний зв'язок неможливий, коли системи створюють такі досьє. Так що зберігати їх повинно бути незаконно. Постачальникам послуг Інтернету й телефонним компаніям не повинно бути дозволено зберігати ці відомості надто довго, якщо тільки спостереження за певною особою не встановлено в судовому порядку.

Цієї міри не цілком достатньо, оскільки її застосування фізично не заважає державі збирати відомості безпосередньо в момент їх виникнення — й саме це у США роблять деякі чи навіть усі телефонні компанії. Нам довелося б розраховувати на дотримання закону. Однак це було б краще нинішньої ситуації, в якій відповідний закон (PAT RIOT) явним чином не забороняє таку практику. Крім того, якщо б держава знову ввела таке стеження, воно не набуло б дані про телефонні переговори кожного, проведені до цього часу.

Що стосується таємниці електронного листування, простим частковим рішенням для вас та інших буде користуватися службами електронної пошти у країні, яка ніколи не стала б співпрацювати з вашим урядом, і зв'язуватися один з одним з використанням криптографії. Однак у Лейдера Левісона (власника поштової служби Lavabit, яку розвідка США намагалася повністю розібрати) є думка про криптографічну систему, з допомогою якої вашій службі електронної пошти було б відомо тільки те, що ви послали повідомлення якомусь користувачеві моєї служби електронної пошти, але було б важко визначити, що ви послали повідомлення мені.

Але іноді стеження необхідне

Для розшуку злочинців державі необхідна можливість розслідувати конкретні злочини або конкретні замахи за ордером суду. З приходом Інтернету повноваження прослуховувати телефонні переговори природно розширюється на повноваження підключатися до інтернет-з'єднань. Цими повноваженнями легко зловживати в політичних цілях, але вони необхідні. На щастя, це не дає можливості знаходити інформаторів заднім числом, якщо (як я рекомендував) ми запобіжимо попередньому масовому накопиченню досьє цифровими системами.

Особи з особливими повноваженнями, виданими державою, такі як працівники поліції, втрачають своє право на приватність, і за ними має вестися спостереження. (До речі, в поліцейському жаргоні є цілий вислів, “давати лжесвідчення”, бо вони часто цим займаються, особливо стосовно протестувальників і фотографів.) У одному містечку Каліфорнії було введено обов'язкове постійне носіння відеокамер поліцейськими, і виявилося, що застосування сили поліцейськими скоротилося на 60%. ACLU підтримує це.

Корпорації — не люди, у них не повинно бути прав людини. Цілком законно вимагати від підприємств публікації деталей процесів, які могли б спричинити за собою небезпеки в хімічному, біологічному, ядерному, фінансовому, обчислювальному (як-от цифрове керування обмеженнями або політичному (як-от замовлення політичних проектів) розумінні — публікації настільки докладної, наскільки це вимагає громадський добробут. Порівняно з небезпекою таких дій (згадаймо витік нафти BP, аварію на АЕС у Фукусімі і фінансову кризу 2008 року) загроза тероризму нищівно мала.

Проте журналістику потрібно захищати від стеження — навіть від стеження з підприємницькою метою.

Цифрова техніка принесла з собою запаморочливе зростання рівня стеження за нашими пересуваннями, діями й розмовами. Він набагато вище рівня того стеження, яке ми відчували на собі в дев'яностих роках XX століття; набагато вище рівня того стеження, яке відчували на собі люди за залізною завісою у вісімдесятих роках XX століття; й пропоновані законодавчі обмеження щодо використання державою накопичених даних цього не змінюють.

Компанії проектують ще глибше стеження. Деякі вважають, що широке стеження, пов'язане з такими компаніями, як Facebook, могло б серйозно впливати на образ думок людей. Такі можливості важко оцінити; але загроза демократії — не вигадка. Сьогодні вона існує і цілком відчутна.

Якщо ми не вважаємо, що наші вільні країни в минулому страждали від гострого браку стеження і повинні бути під суворішим наглядом, ніж Радянський Союз і Східна Німеччина, нам потрібно повернути цей рівень на колишні позиції. Для цього потрібно зупинити масовий збір даних про людей.

До речі

  1. Стан відсутності стеження також називається фоновою приватністю.