这是针对英文原版页面的中文翻译。

民主能够承受多少监控?

本文的初版在2013年10月发表于连线(Wired)
请考虑阅读“一个保护个人数据安全的激进建议,”由卫报(The Guardian)在2018年4月发表。

一只狗的卡通画,它正疑惑地看着电脑屏幕上弹出的3个广告......

“他们是怎么知道我是狗的?”

感谢 Edward Snowden 的揭露,我们知道了目前社会的常规监控已经违背了人权。人们把一举一动都记录下来的做法 就是在审查和限制他们自己。在美国和世界各地不断重复发生的对持不同政见者、消息来源以及新闻工作者的骚扰和迫害也印证了这个事实。我们需要降低常规监控的水平,但是降低到什么水平呢?哪个水平正好是 最大可容忍的监控,是我们要确保不能超越的水平呢?这个水平就是一旦被超越,监控就开始干扰正常的民主制度,表现为报警者(象Snowden)可能会被捕。

面对政府秘密,我们普通民众有赖报警者来告诉我们政府在做什么。(在 2019 年,多个报警者数次公开 川普企图向乌克兰总统施压而获利 的事件就是在提醒我们。)然而,目前的监控威胁到了潜在的报警者,这就是说有点过了。要重振民主对政府的控制,我们必须把监控的水平降低到报警者感到安全的水平。

使用自由(free/libre)软件,正如我从 1983 年起就开始提倡的那样,是我们控制数字生活的第一步,其中就包括防止监控。我们不能相信非自由软件;NSA1利用甚至制造非自由软件的安全弱点来入侵我们的电脑和路由器。自由软件让我们能够控制自己的电脑,但是这并不能在我们上网时保护我们的隐私。

在美国,两党立法来“限制国内监控权力”正在计划中,但是它依赖于限制政府使用我们的虚拟档案2。如果“抓捕报警者”的前提是获取指认她/他的足够资料,那么这样的立法不足以保护报警者。我们需要更进一步。

民主社会中监控的上限

如果报警者不敢披露罪恶和谎言,我们就失去了对政府和制度的最后一丝控制。这就是为什么允许政府发现谁是报告者的监控是过度的监控—是民主无法承受的过度监控。

在2011年,某美国政府官员幸灾乐祸地告诉记者美国政府不会传唤报告者,因为“我们知道你和谁谈过。”有时,记者的通话记录会被调取以查明通话人,但是Snowden向我们展示了其实美国所有人的通话记录都被调取,随时调取,从Verizon其他公司

反对派和持不同证件者需要曝光当局的秘密,以防止政府利用秘密干坏事。ACLU3展示了美国政府系统性入侵和平的持不同证件者组织的活动,其借口就是这些组织中可能有恐怖分子。监控过度的水平就是政府能够通过监控发现谁和记者或持不同证件者谈过话的水平。

信息,一旦被搜集,就会被滥用

当人们认识到监控的水平过高时,他们的第一反应是提议限制获取数据。这听起来不错,但不解决问题,一点儿也不解决问题,即使假设政府会遵守这些条款也是一样。(NSA误导了FISA4法庭,该法庭说它不能有效地让NSA负责。)因为怀疑有罪就能够成为获取数据的理由,所以一旦报警者被指控“从事谍报活动,”那么搜索“间谍”就会成为获取数据的借口。

实际上,我们不能期望国家公务人员会遵守使用监控数据的制度,即使编造借口也不行—因为美国的公务员已经在用谎言掩盖其违反制度的行为。这些制度本来就不是用来认真遵守的;相反,它们就是信不信由你的童话。

另外,政府的监控人员还会因私滥用这些数据。某些NSA人员使用政府的监控系统来追踪其情人—的过去、现在或计划—这在实践中称为“LOVEINT。”NSA声称它曾抓获和惩罚了几起此类事件;我们并不知道还有多少起并未抓到。但这并不意外,因为一直以来警察就使用访问驾照记录的权力来追踪迷人的人,这在实践中叫做“查驾照约会。”该行为还随着新的数字系统扩张。在2016年,某公诉人被指控伪造法官签名以获准搭线窃听一个其迷恋的对象。AP5了解更多美国的其他案例

即使禁止,监控数据总是会用于其他目的。一旦数据已收集并且政府可以访问,那么政府有很多恶劣的方法使用该数据,比如欧洲美国,以及最近土耳其的例子。(土耳其关于谁在真正使用Bylock程序的困扰仅仅是恶化了对使用该程序的人的任意惩罚这种简单的故意不公正。)

由政府收集的个人数据也有可能被骇客通过入侵安全服务器获得,甚至被为敌对国家工作的骇客获得

政府可以轻易使用其强大的监控能力直接毁灭民主

对监控的全面掌控使得政府可以对任何人开展大规模的钓鱼调查。要使言论和民主安全,我们必须限制政府对监控数据的访问。

对隐私的有力保护必须是技术性的

电子前线基金会(Electronic Frontier Foundation)和其他一些组织提议了一组法律原则来 禁止大规模监控的滥用。这些原则包括,对报警者严格、明确的法律保护;作为结果,这些原则足够来保护民主自由——如果完全采纳并永无例外地执行。

然而,这种法律保护是不确定的:正如当代历史展示的,法律会被废除(象FISA修正案)、终止或忽略

同时,恶意政客会引用搜集证据的条款来作为全面监控的法律支持;恐怖袭击,即使只是杀死极少数人,也能作为他们发挥的理由。

如果获取数据的限制被搁置一边,那么情况就变得和限制不存在一样:历年的档案突然就变得可能会被政府及其代理人滥用,如果由公司收集,公司也会私自滥用。但是,如果终止收集这些档案,那么就没有档案,当然也就没有可能做回溯研究。一个新的非自由政权只能重新构造监控,而且只能收集从那以后的数据。如果可以终止或暂时忽略该法律,那么这个想法就几乎毫无意义。

首先,不要被愚弄

要拥有隐私,你就不能抛弃它:你是第一个要保护自己隐私的人。避免在网站暴露身份、使用Tor6上网、使用带有阻止跟踪功能的浏览器。使用GNU Privacy Guard(隐私护卫)来加密电子邮件。用现金付款。

保护你的数据;不要将自己的数据保存在其他公司“便利的”服务器上。然而,商用的数据备份服务是安全的,如果你在上传之前,使用自由软件在自己的电脑上把文件归档并加密,包括加密文件名。

为隐私考虑,你要避免使用非自由软件;如果你把计算的控制交给了他人,他们可能会借此窥探你。避免用软件代替服务;这也是把计算控制交给了别人,因为这要求你把全部相关数据交给服务器。

请你也保护朋友和熟人的隐私。不要暴露他们的个人信息除了如何联系他们,不要把邮件联系人和电话联系人交给任何网站。不要告诉诸如Facebook这样的网站你朋友们不愿在报纸上公开的事。最好就是根本不要使用Facebook。请拒绝使用要求实名的系统,即使你高兴实名,也不要因此而给他人的隐私带来压力。

自我保护很重要,但是即使最严谨的自我保护也无法在别人的设备上保护你的隐私。当我们和其他人交流或者流连于城市之中时,我们的隐私依赖于社会的实践。我们可以避免一些监控我们交流和活动的系统,但是无法避免所有的监控系统。很明显,最好就是终止所有的监控,除了针对法律允许的嫌疑犯。

我们设计每个系统时都必须考虑隐私

如果我们不要完全监控的社会,我们必须视监控为社会污染,我们要象限制建筑工程对环境的影响一样限制监控对每个新数字系统的影响。

比如:“智能”电表设计为按时向电力公司发送每个用户的用电数据,包括用电量和平均水平的比较。该设计是一种普遍性监控,而我们不应该对此进行监控。电力公司很容易根据地区的总用电量除以登记用户数计算出平均用电量,并将此数据发送到电表。每个电表用户可以使用获得的数据,自己比较某个时段的用电量情况。同样的结果,但是没有监控!

我们需要为每个数字设备设计此类隐私保护 [1]。

针对数据收集的解药:分散数据

让隐私在监控下安全的一个方法是分散数据并使之不容易获取。老式的安全摄像头对隐私不构成威胁(*)。它的记录都保存在本地,最多保留数周。因为获取这些记录并不方便,所以从来没有大规模地收集此类数据;只有有人报告犯罪活动时,数据才被从本地调取。每天收集上百万的磁带并查看或复制实际上是不可能完成的任务。

今天,安全摄像头变成了监控摄像头:他们连接到互联网,所以记录能够由数据中心收集并永久保存。在底特律,警察向企业施压,要企业给他们无限制的监控摄像头访问权限,这样警察就可以随时查看。这本身已经很危险,但情况正变得更糟。人脸识别技术的进展有一天会全程追踪被怀疑的记者,从而查看他们在和谁说话。

网络摄像头本身的数字安全性通常很差劲,任何人都可以查看这些摄像头在观察什么。这使网络摄像头成为安全和隐私的主要威胁。为了保护隐私,我们应该禁止针对公众行踪的网络摄像头,除了那些人们随身携带的摄像设备。人们必须有自由间或发布一些照片和视频,但是在网络上系统收集此类数据的行为必须受到限制。

(*) 此处,我假设安全摄像头指向商店内部或者指向街道。指向他人私有空间的摄像头侵犯了隐私权,但那是另一个问题。

针对商业网络监控的解药

大多数数据来自人们自己的数字活动。通常这些数据首先被公司收集。但是当数据威胁的是隐私和民主时,监控来自政府还是来自商业公司并无分别,因为政府是可以系统性地获取由公司收集的数据的。

NSA,通过PRISM7,可以进入许多大型网络集团的数据库。AT&T保存着自1987年以来的电话记录并让DEA8有权按需查询。严格来说,美国政府不拥有这些数据,但实际上它就算拥有这些数据。某些公司由于尽量阻挡政府调取数据的请求而受到赞扬,但是这只能部分补偿其首先收集数据带来的伤害。另外,很多此类公司自己也直接滥用这些数据或者卖给数据掮客。

要达成保护言论自由和民主的目的就需要我们减少不止是政府对人们的数据收集,还要减少组织和公司的数据收集。我们必须重新设计数字系统以确保它们不会收集用户数据。如果系统的确需要我们的交易数据,它们也不能保留数据超过业务本身需要的短时间。

网络监控到达目前水平的一个动机是很多网站根据用户的活动和倾向做广告,并因此获得经济回报。这使得原本只是令人讨厌的—可以忽略的广告—变成了无论我们是否知晓都会造成伤害的监控系统。网络购买也会跟踪用户。我们都很清楚“隐私政策”只是违反隐私的借口而非保护隐私的承诺。

我们可以采取匿名付款的系统同时改正以上两个问题—就是付款者匿名。(我们并不想帮助收款人避税。)比特币并不匿名,虽然有人开发了用比特币匿名付款的方法。然而,技术上,数字现金最早于1980年代首次被开发;最早实现该功能的GNU软件叫做GNU Taler。现在我们只需要合适的商业规划,以及政府不要阻挠这些规划。

另一个匿名付款的可能方法是使用预付款电话卡。它虽然不太方便,但是很容易实现。

网站收集个人数据的另一个威胁是安全攻击者会侵入,获取数据并滥用之。这包括客户信用卡的详情。匿名付款系统会结束这个危险:网站的安全漏洞不会伤害到你,因为网站不知道你是谁。

针对旅行监控的解药

我们必须将电子过路费收取系统改造为匿名付费系统(比如,使用数字现金)。车牌识别系统会识别所有的牌照,而且其数据无限期保留;法律应该要求这些系统注意并只记录已经有法庭命令需要追踪的车牌号码。另一个不太安全的替代方案是将所有车牌记录,但只在本地保存几天,并且不把全部数据通过网络存取;只允许搜索那些已经有法庭命令需要追踪的车牌号码。

美国的“禁止飞行”名单应该取消,因为它是未经审理的惩罚

将一些人列入需要特别人身和行李检查的名单是可以接受的,国内航班的匿名乘客也可以同样对待。从入境航班拦截那些本来就不许入境的人员也是可以接受的。这些措施应该可以满足所有的法律目的了。

许多大额支付系统使用某类智能卡或射频卡(RFID)来支付。这些系统会收集个人数据:如果你有一次没有使用现金支付,它们就会永久把你的名字和所使用的卡绑定。这样它们就等于在进行大规模的监控。这类数据收集必须减少。

导航服务也监控:用户的电脑设备会告诉地图服务商用户的位置以及用户要去哪里;然后服务器计算路线并发回给用户的设备,设备再显示路线。今天,服务器可能会记录用户的位置,因为没什么可以阻止它们这么做。这种监控本身并无必要,重新设计可以避免:用户设备上的自由软件可以下载相关的地图区域(如果不是事先下载好了),计算路线并显示,这就没有必要告诉任何人用户要去哪里。

诸如租借自行车之类的系统,可以设计为租借者的身份仅被当事出借站所知。该出借站可以通知所有其他站点某物品已经“借出”,这样租借者就可以在任意站点归还物品(一般来说,是另一个站点),而归还站已知该物品是何时在何地被借出。它会通知其他站点该物品不再是“借出”。归还站还会计算用户的账单,并将之(在等待随机时间段后)经由多个站点发回总部,这样总部就不能知道账单来自哪里。完成发送之后,归还站将忘掉该交易。如果物品长时间保持“借出”,借出站可以通知总部;此时,它可以立即把租借者的身份发送过去。

针对通讯档案的解药

网络服务商和电话公司保留其用户的大量数据(浏览记录、通话记录等等)。对移动电话用户,他们还会记录用户的具体位置。这些档案会保留很长时间:对AT&T来说,超过30年。在不久的将来他们甚至会记录用户的身体动作。看起来NSA也会大量收集移动电话的位置信息

在制造此类档案的系统中,通讯不被监控是不可能的。所以制造和保留这些档案应该是非法的。必须禁止网络提供商和电话公司长时间保留这些信息,除非针对某些有法庭命令的对象。

该解决方案不完全令人满意,因为它无法实际阻止政府在数据产生之后立即获得—这正是美国政府对某些或全部电话公司的所作所为。我们还是不得不依赖法律来禁止这种行为。但是,这总好过目前的情况,相关法律(PAT RIOT Act)并不明确地禁止这种行为。另外,如果政府要恢复监控,它也无法获得在恢复之前的通话记录。

为了保护你电子邮件通讯的隐私,一个简单的局部解决办法是你和通讯者使用不会和当地政府合作的邮件服务商,并互相使用加密通讯。但是,Ladar Levison(Lavabit邮件服务的拥有者,美国监控机构企图彻底破坏该邮件系统)对邮件加密系统有一个更复杂的想法:你的邮件服务商只会知道你向我的邮件服务商的某个用户发送了邮件,同时我的邮件服务商只会知道我收到了来自你的邮件服务商的某个用户的邮件,但是它很难确定是你发邮件给了我。

但是某些监控还是必要的

政府要抓到罪犯,它要能够在法庭命令下调查指定的罪案或者指定的可疑预谋。有了互联网,监听电话的权力会自然延伸到监听互联网。虽然政府很容易滥用该权力,但是它也是必要的。所幸的是,如果(按我的建议)事先已经禁止了档案收集,在事后查找报警者就不太可能。

具有政府特权的个人,比如警察,将失去隐私权并被监控。(事实上,警察自己就有关于做伪证的专用术语“警察伪证罪(testilying)”,因为这事儿经常发生,特别是有关抗议者和 摄影者 时。)加州的一个城市要求警察全程穿戴录像机,结果是 警察使用武力的现象减少60%。ACLU(美国公民自由联盟)很支持这个做法。

企业不是人,它们没有人权。要求商业公司公开其可能对社会导致化学、生物、核、金融、计算(比如 DRM)或政治(比如游说)等风险的活动的细节是合法的,如果这些风险对大众利益的影响达到了一定的水平。这些活动的危险(想想 BP 原油泄漏、福岛核电站反应堆核心熔毁和 2008 金融危机)超过了恐怖袭击。

但是,言论自由必须不受监控,即使它是以商业的形式呈现的。

数字技术大大提高了对我们的活动、行为和通讯的监控水平。它远远超过了1990年代我们所经历的水平,也远超人们在1980年代的铁幕9经历,政府提议的对所搜集数据的使用限制也无法改变这一点。

公司正在设计更具侵略性的监控。有些项目充斥着监控,以诸如Facebook等公司的形式,可能会对人们如何思考有深远的影响。这种可能性是很难估量的;但是它对民主的威胁却不是遐想。它存在而且现在就可以看得到。

除非我们确信我们的自由国家过去严重缺失监控,因而应该进行超过苏联和东德所进行的监控,我们必须逆转监控的增长。这就需要停止对人民的大数据收集。

尾注

  1. 不被监控 的条件被称为是 环境隐私

译注

  1. NSA,National Security Agency。美国国家安全局。
  2. virtual dossier,虚拟档案。是指非纸质的归档文件,通常会搜集关于个人的所有电子资料作为虚拟档案。
  3. ACLU,American Civil Liberties Union。美国公民自由联盟,捍卫和保护个人权利和自由的无党派、非盈利组织。
  4. FISA,Foreign Intelligence Surveillance Act,外国情报监听法。美国FISA法庭处理政府相关的监听、搜查以及其他调查活动的合法性事物。
  5. AP,Associated Press。美联社。
  6. Tor,www.torproject.org。保护隐私的自由软件项目。
  7. PRISM,美国国安局的监控系统,它从美国许多电话公司获取网络通讯数据。
  8. DEA,美国稽毒局。
  9. Iron Curtain,铁幕。指二战结束(1945年)到冷战结束(1991年)期间,苏联和欧洲以及西方国家在意识形态和物理边界的对立和隔绝期。