根據《連線》(WIRED)獲得的一份文件,西班牙主張在歐盟範圍內禁止已經被數億民眾使用的端到端加密技術(E2EE, End-to-end encryption),各歐盟成員國也對這一掃描私人消息以查找非法材料的提議表達強烈支持。
這份文件為歐洲理事會就加密監管問題向各成員國發起的意見徵求調查,希望官員們就一項極具爭議的立法草案發表內部意見,藉此阻止兒童性虐待材料(CSAM)在歐洲範圍內的傳播。擬議的法律將要求科技企業掃描其平台,包括用戶的私人消息,藉此查找非法材料。然而,歐盟負責內政事務的專員Ylva Johansson發起的這項提案因可能對端到端加密引發的重大影響,在密碼學、技術專家和隱私倡導者當中激起強烈憤慨。
多年以來,各歐盟國家一直在爭論WhatsApp和Signal等採用端到端加密的通信平台,是否應作為歐洲民眾行使基本隱私權的受保護途徑,抑或是削弱了政府部門防範犯罪分子與外界間溝通的執法能力。應《連線》要求對文件內容進行審訂的專家表示,文件當中包含重要見解,反映出部分歐盟國家確實計劃支持一項可能顛覆加密和網路隱私未來前景的提案。
在這份文件涉及的20個歐盟國家中,大多數國家表示支持對加密消息進行某種形式的掃描,其中西班牙方面的立場最為極端。西班牙代表在文件中表示:「我們認為在理想情況下,最好通過立法方式阻止在歐盟開展業務的服務商實施端到端加密。」
提供文件的知情人士拒絕置評並要求匿名,理由是他們無權對外公開文件內容。
加州斯坦福大學網際網路觀察站的研究學者Riana Pfefferkorn應《連線》要求審查了文件內容,並表示:「看到西班牙如此直截了當表達應立法禁止歐盟服務商實施端到端加密的態度,著實令我感到震驚。這份文件也反映出長久以來關於加密問題種種始終沒有定論的爭議。」
端到端加密的主旨,是確保只有消息通信的發送者和接收者才能看到實際內容,從欺詐分子到警察,甚至是提供數字通信平台的企業本身均被排除在外。執法倡導者此前曾多次建議建立技術機制,繞過端到端加密並開展調查;但密碼學家和其他技術專家則始終堅稱,這種做法會給端到端加密引入可資利用的弱點,導致用戶隱私受到威脅。此外,他們還反覆強調不斷擴大的暴露趨勢最終不會保護兒童等弱勢群體的數字安全和保障效果,反而會起到破壞作用。
關注數字權利的非營利組織CDT歐洲分部秘書長Iverna McGowan同樣受邀審查了文件內容,並表示:「破壞每個人的端到端加密技術不僅是因噎廢食,而且無法有效實現保護兒童的目標。」
這份泄露文件還包含警察執法工作組成員們的立場。作為歐盟理事會下轄機構,該工作組負責處理執法部門對於立法草案的觀點。這份文件的日期為2023年4月12日,涉及20個國家/地區對一系列問題的看法,包括是否將端到端加密視為處理兒童性虐待案件時的障礙,以及是否贊成在法律中增加相應措辭來強調掃描不得削弱加密能力。這些問題在今年1月被首次提出。
《連線》隨後要求文件中列出的全部20個成員國發表置評。各方均未否認文件的真實性,愛沙尼亞還證實其在文件中表達的立場是由相關領域及各部委的專家整理而成。
從文件的整體輿論傾向來看,大部分成員國強烈支持Johansson關於掃描私人端到端加密通信以查找非法內容的提議。在全部20個國家中,有15個國家表示支持針對兒童性虐待案件掃描端到端加密通信的建議。多位代表還將這類掃描視為一種重要工具,認為有助於政府在打擊兒童虐待的鬥爭中占據主動權。
克羅埃西亞代表在文件中指出:「最重要的是在涉及兒童性虐待的法規中做出明確措辭,強調端到端加密不構成不上報虐待材料的理由。」斯洛維尼亞方面認為:「檢測法規還必須適用於加密網路。」羅馬尼亞則補充稱:「我們不希望端到端加密成為惡意行為者的『避風港』。」
丹麥和愛爾蘭也表示支持對加密通信中的兒童性虐待材料進行掃描,並贊成在法律中加入同時保證端到端加密的效果不被削弱的表述。要滿足這個目標,就必須在不改變或破壞加密提供的安全功能的前提下,發明出能掃描加密消息內非法內容的新技術。但密碼學家和網路安全專家紛紛表示,這在技術上根本沒有可行性。
但荷蘭方面表示,只要搶在非法材料被加密並發送給接收者之前執行「設備上」掃描,即可做到這一點。該國代表在文件中提到:「存在……允許自動檢測兒童性虐待材料,同時保持端到端加密不受破壞的技術可能性。」
歐洲數字權利網路(EDRI)高級政策顧問Ella Jakubowska表示:「各國希望在規避加密的同時保持加密機制的安全性。」但她同時對歐洲各國對加密技術的「膚淺理解」感到「雖不意外,但仍震驚」,因為「他們既想要保障隱私,又想不加區別地掃描加密通信內容。」
西班牙則在回應中提到:「我們必須先有能力訪問到這些數據」,並提出加密通信應該具備可破解性。西班牙內政部長Fernando Grande-Marlaska直言不諱地談到了他認為加密技術所帶來的威脅。當就泄露的文件發表置評時,西班牙內政部發言人Daniel Campos de Diego稱該國在對待端到端加密問題上的立場向來如此,而且之前也曾多次重申。靠近西班牙的波蘭則在文件中提議建立新制度,通過相關規定配合法院命令解除加密,同時希望向父母授權解密孩子的通信內容。
審查這份文件的Jakubowska表示,有數個成員國似乎同意向警方開放民眾的加密消息和通信。例如,賽普勒斯就在文件中評論稱,執法當局「有必要」獲得訪問加密通信並調查網路性虐待犯罪活動的能力,而且「這項法規將帶來巨大影響,會為其他部門樹立起決定未來的先例。」匈牙利官員也同樣表示「需要新的數據攔截和訪問方法」來協助執法。
Jakubowska認為:「賽普勒斯、匈牙利和西班牙非常清楚這項法律一旦通過,將授予他們破壞加密通信的可能性,這令我相當震驚。這些國家明顯意識到此項法律將遠遠超出歐盟委員會宣稱的適用範圍。」
比利時官員在文件中指出,他們相信「應加密盡加密方可維護安全」的基本理念。但當《連線》聯繫到比利時外交部一位發言人時,他先是分享了該國聯邦警察的一份聲明,並表示比利時的立場在討論之後發生了變化。目前,比利時開始向其他「志同道合的國家」靠攏,「希望削弱端到端加密。」但短短半小時後,這位發言人就試圖收回聲明,表示比利時拒絕對此發表置評。
長期以來,安全專家一直認定任何潛在的加密通信後門或解密方式,都會破壞加密體系的整體安全水平。如果執法人員有辦法破解消息內容,惡意黑客或者政府內部的工作人員也能以同樣的方式窺探他人隱私。
儘管部分國家甚至開始炮轟加密技術本身,但多數國家似乎還是認可端到端加密及其提供的保護效果。義大利稱新的制度性提議存在爭議:「這代表著通過網路發送的所有加密通信都將受到普遍監控。」愛沙尼亞也警告稱,如果歐盟強制要求掃描端到端加密消息,企業可能需要重新設計其系統以確保數據的可解密性,甚至選擇直接退出歐盟。愛沙尼亞外交部發言人Triin Oppi回應了這一觀點,並表示該國的立場不會改變。
芬蘭則敦促歐盟委員會考慮在不危及網路安全的情況下,如何以技術手段更好地打擊兒童性虐待行為,並警告稱目前提案可能與芬蘭憲法相衝突。
德國堅持反對此項提案,該國代表稱法律草案必須明確聲明不會利用任何技術來破壞、規避或篡改加密技術:「必須修改草案內容,否則德國決不會接受。」考慮到歐盟的進一步談判要求各成員國就草案文本達成一致,德國的態度已經基本給擬議提案宣判了死刑。
斯坦福大學的Pfefferkorn總結稱:「芬蘭、愛沙尼亞和德國等國家的回應表明,他們對兒童性虐待監管中的利害關係有著更全面的了解。這項法規不僅會影響針對特定犯罪行為的刑事調查,更會影響到政府自身的數據安全、公民隱私與數據保護權,乃至未來的創新和經濟發展能否順利開展。」
