美国国安局差点毁了互联网,本文主要内容关键词为:互联网论文,美国论文,毁了论文,国安局论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
2013年6月6日,《华盛顿邮报》记者拨打了苹果、脸谱、谷歌、雅虎和其他一些互联网公司通信部的电话。就在前一天,英国媒体《卫报》的一篇报道披露了让美国人感到震惊的证据:电信巨头威瑞森公司主动将公司网络内的通讯数据库提交给了美国国安局。该报道出自记者格兰·格林沃德(Glenn Greenwald)之手,而消息的来源就是爱德华·斯诺登(Edward Snowden)——29岁的IT前顾问,他携带着数万份有关国安局秘密行动的文件逃离了美国。 格林沃德是第一个但不是唯一接触斯诺登的记者。《华盛顿邮报》的巴顿·盖尔曼(Barton Gellman)此前就同斯诺登有过接触。现在,他通过与纪录片导演、斯诺登的女友罗拉·柏翠丝(Laura Poitras)合作,打算把故事拓展到硅谷。盖尔曼曾希望第一个挺身出来揭露名为“棱镜”的国安局绝密计划。斯诺登提供的文件表明,几家最大的网络公司都同意国安局和联邦调查局直接进入公司的服务器,让这两个机构能够获取个人的音频、视频、照片、邮件和文档。政府要求盖尔曼不要披露相关公司的名称,但盖尔曼却认为这事关重大。他说:“指名道姓可以让人知道它们对美国人究竟干了点啥。”当时有一批邮报记者还在为进行评论而接触这些公司。 由此就开始出现了一系列动摇行业基础的连锁反应。相关的话题连续几个月占据了头条新闻,并成为科技界的主要议题。多年来,科技公司的关键政策问题就在于如何微妙地平衡保护消费者隐私与利用消费者个人数据获取利益之间的关系。这是一个新的和有争议的领域,有时超出了现有法规的适用范围,但随着时间的推移,公司已经实现了两者的初步平衡,从而可以继续向前迈进。等到接到记者打来的电话,这种平衡便被打破了,因为科技界发现自己陷入了一场争斗之中,其程度远远超过了关于脸谱专横独大或谷歌邮件推出广告的争论。几个月之后,科技界发现自己也将为了互联网的未来而同自己的政府开战。 但它们首先必须考虑到底告诉《华盛顿邮报》些什么。脸谱的安全总监乔·沙利文(Joe Sullivan)说:“我们有90分钟的时间进行解释。”公司里没有人事先听说过“棱镜”项目。而最致命的暗示——脸谱和其他公司同意国安局进入公司服务器获取大量信息——是完全错误的。而公司首席执行官马克·扎克伯格(Mark Zuckerberg)则吃惊地责问手下的执行人员,这是不是真的,他们的回答是不。 类似的恐慌性问答也出现在了谷歌、苹果和微软公司。谷歌的总顾问肯特·沃尔克(Kent Walker)说:“我们到处问:有什么秘密获取信息的方法吗?回答是没有。” 尽管如此,《华盛顿邮报》还是在当天刊发了有关“棱镜”项目的报道(《卫报》在一小时后也刊登了类似的故事)。报道披露了包括国安局被泄41张幻灯片在内的一些图像,包括一份表面上看来完全参与了项目和数据提供的科技公司名单。微软排名首位,显示的参与日期是2007年9月,此后是雅虎,时间相距一年,谷歌和脸谱是在2009年加入的,最近的则要数苹果,是2012年的10月。幻灯片中用的是各家公司的企业标识。就在一天前,公众还只知道威瑞森和其他通信公司将他们的所有通话记录提供给了政府。而现在看来,同样的事情也发生在了电子邮件、搜索记录甚至Instagram图像等方面。 科技公司很快就纷纷表示没有让美国政府直接获取消费者的数据。但有一个事实让这些表态变得复杂起来,那就是它们确实参与了——往往是不自愿的——政府的一个项目,一旦某个秘密法庭下命令,它们就需要提供所拥有的数据。谷歌和它的竞争对手都避而不谈细节,部分是因为它们受法律限制不能全部披露,部分是因为它们也确实不知道项目如何实施的细节。所以它们的反应不是全盘否认,而是百般狡辩。 这些公司很难有时间在奥巴马总统发表意见之前想出什么办法来回应盖尔曼的报告。奥巴马总统在含糊承认项目存在的同时则表示:“说到互联网和电子邮件监控,这不适用于美国公民,也不适用于生活在美国的人。”这也许能安慰某些公民,但却无助于技术行业。苹果、脸谱、微软和雅虎的绝大部分用户并不是美国公民。现在这些用户以及国外监管机构(如欧盟的监管机构)才逐渐明白,使用设在美国的服务器就等于把自己的数据直接交给了美国国安局。 技术巨头花了多年时间才艰难建立起来的信任如今处在瞬间蒸发的危险之中——而且它们似乎对此无能为力。按照法律,它们没有权利提供合作方或反对方的全部背景资料。即便是最坚决地拒绝——谷歌首席执行官拉里·佩奇(Larry Page)和首席法务官大卫·德拉蒙德(David Drummond)的博客帖子标题——也不能洗脱嫌疑。当国安局的幻灯片表明只要点击一下就可以得到任何人的个人信息,这怎么可能呢?德拉蒙德当月晚些时候在《卫报》的网站上答疑时,他的对话人都是充满敌意的: “在你被人发现与国安局合谋之后,整个节目何尝不是为了挽回面子?” “如果谷歌是在欺骗我们,我们又怎么知道呢?” “谷歌,我们失去了对你长达10年的信任。” “我将停用谷歌邮箱。” 请留意受到围攻的其他人。“每次我们总说这似乎更糟糕”,一家公司的一位主管说,“我们总是不被人相信”。 “事实是,政府并不能把妖魔放回瓶里,”脸谱的全球通信总监迈克尔·巴克利(Michael Buckley)说,“我们可以发布声明并提供统计数据,但问题在于,谁会相信我们?” 脸谱的扎克伯格在9月底的一次技术会议上表示了他的反感。他说:“政府把事情搞砸了。”而政府行为的后果——令人吃惊的泄密让事情家喻户晓——却把问题抛给了扎克伯格、佩奇、蒂姆·库克(Tim Cook)、玛丽莎·梅耶(Marissa Mayer)、史蒂夫·鲍尔默(Steve Ballmer)以及投资公司并在服务器中保存用户数据的其他人。 这不仅仅会威胁到收益,而且还会威胁到科技界自互联网从一个国防部项目转变为一个全球连接网络——促成了一个新的友谊时代——以来一直在追求的某些理想。斯诺登泄密事件使人对互联网充当言论自由和权力下放的象征产生了怀疑。一旦网络被视为广泛的监控手段,那么由此产生的猜疑便会影响到人们对网络的使用。被美国情报收集做法所激怒的国家纷纷利用这次泄密事件来证明需要将在本国生成的数据保存在国内,这样就不容易被美国间谍所窃取。这样的做法会是网络割据化,破坏网络的开放性并大大提高交易成本。 科技公司在6月之前并不知道有“棱镜”的提法,但现在它们开始明白,这是一个运作了好几年的项目,由它们将特定的数据提交给政府,而且往往没有正式的授权,只是出于国家安全的目的。项目的法律依据源自一系列法律及其修订和拓展内容。1978年的“外国情报监视法案”(FISA)创设了一个有权提出信息请求的秘密法庭。2008年的外国情报监视法案修订案又增设了一节内容,即第702条,规定布什总统有权不经许可对事关整体安全的项目进行监控。质疑往往就是针对第702条的。而国安局就是把这一修订案视为“棱镜”项目的特别法律依据的。更隐蔽的监控活动(“棱镜”之外)则依据的是里根时代的第12333号总统令,它授权国安局收集美国之外有关外国人的几乎所有数据。 从某种意义上说,“棱镜”项目是“9·11”事件后用牺牲某些公民自由而换取国家安全的“爱国者法案”的一个产物。“它是在一种可以理解的巨大恐惧感中得以通过的”,参议院情报委员会成员、投票支持“爱国者法案”的美国参议员罗恩·威登(Ron Wyden)说:“我觉得时间会证明一切的,只有没有读过它的人才会去考虑大量收集数亿美国人的数据。” 有些公司是十分自在地将自己的用户数据库信息提交给国安局的。威瑞森公司从来也没否认提交过它的主要收费信息,包括数百万用户的通话数量和通话时间。这在某种程度上并不让人惊讶。电话公司并不搞赊购,而消费者也不太指望同那些准垄断巨头保持关系。与满足消费者需要相比,电话公司似乎更倾向于赢得政府监管者的青睐。 科技公司则是另外一回事。科技公司的首席执行官总说,没有用户的信任,他们就没生意可言。这是老生常谈。他们有赖于用户共享信息的意愿。作为交换,那些用户获得更多和更好的服务,并指望公司会保护个人数据的隐私和安全,也会对任何的例外进行公开说明。用户没有理由相信他们的信息会未经自己的允许就提交给政府。 至少有一家公司认为政府的信息提供请求是违宪的。雅虎在秘密法庭上发动了一场隐秘的战斗,拒绝提供用户信息。但却是徒劳一场。2008年8月22日,命令认定这种做法符合国家的安全利益,伴随着项目的安全需要,对隐私问题的处理在某种程度上被认定是合法的。之后也无地方可以上诉。雅虎挑战的失败给以后的拒绝者树立了一个样板:“外国情报监视法案”所申请的项目是合法的,任何不予合作的公司都有可能触犯法定的藐视法庭罪。 这样的结局也许会让某些大型科技公司感到不满,但也不足以让它们去提出挑战。谁也没有表示自己因此而被迫进行重大的基础设施改变。它们通常只是将被请求的数据转给政府所持有的特定设备。在某些情况下甚至同意让这样的设备附设在公司的设备上。 但这样的做法对小公司就不太容易奏效。比如,政府要求Lavabit公司——一家允许所有用户(包括斯诺登)对信息加密的安全电子邮件初创企业——提供斯诺登的通信密钥。但Lavabit不同意泄露所有用户的信息,最终拒绝而不是满足了这一要求。 除此之外,能够用来拒绝的更微妙方法还是有的。“政府可以提出获取有关信息的请求,但却不能强制规定获取信息的方法”,推特的总顾问维杰亚·加德(Vijaya Gadde)说,“你可以使这变得很容易或者很艰难”。当请求的涉及面“过于宽泛”时,谷歌就把请求退了回去。钱的问题也是一种微妙的抵制手段。“外国情报监视法案”规定获取信息的成本由政府承担。于是谷歌表示不能去增加政府的开支负担。但也有一家公司表示会利用这项规定,希望由此限制信息获取请求的范围和程度。“我们先是表示不应为此收钱”,该公司的一位执行人员说,“而后就据实收钱,这是有好处的——会迫使它们停下来想一想”。 但归根到底,配合政府仍更多地出于财务上的考虑。“大公司都与政府有生意上的往来”,一位技术首席执行官表示,“很难对政府官员说:‘我们帮你办这事——哦,我能为这开价4亿美元吗?’” 因此,科技公司现在变得越来越直言不讳,要求明确“外国情报监视法案”对它们的请求数量。它们只会发布符合政府全部请求的报告,包括来自民事法庭和执法机关的请求。(这一数字不到数千,似乎并不可怕,而且缺乏背景)。谷歌、雅虎、脸谱和微软都请求秘密法庭放宽限制,而包括苹果和领英在内很多的科技公司则服从了法庭的要求。但政府却热衷于提出相反的请求并占据了上风。 不同的请求表明冲突似乎是不可避免的。在硅谷必须公开许多方面的同时,安全机构却在隐秘的幕后运作。这当然是有保密的原因在内。利用互联网某一服务器的坏蛋一旦得知服务提供商会让国安局分享通讯信息,就会不再继续利用这一服务器。但秘密项目带来的破坏性后果之一就是让人会对自己接触的所有一切产生怀疑。在斯诺登揭秘之后的数个月内,有关“棱镜”的基本事实依旧是难以捉摸的。该项目实际上究竟收集了多少信息?在国安局幻灯片显示的那些日期之后,这些公司还在进行哪些类型的合作?而公司也坦言,除了它们不能说的,还有很多东西连它们都不知道。 “我们仍在猜测”,谷歌的信息安全总监和法律顾问理查德·萨尔加多(Richard Salgado)说,“我们并不是那些幻灯片的制作者。我们也不清楚它们是从何处获得这些信息的”。 雅虎的全球公共政策总监特科德拉·马瓦卡拉(Tekedra Mawakana)则说:“这个问题成了具有高度保密性的问题。” 整整一个夏季,科技公司都在设法处理“棱镜”项目带来的不利影响,而国安局则试图去应对斯诺登的揭秘事件。之后事态就变得让双方都颇为难堪。 10月,斯诺登的揭秘又披露了国安局的一个项目:国安局没有利用相关公司的知识或合作就对数百万人的地址数据进行收集。《华盛顿邮报》称,只用了一天的时间,国安局“就从雅虎收集了444743个电子邮箱地址,从Hotmail收集了105068个,从脸谱收集了82857个,从Gmail收集了33697,从其他服务商处收集了22881个”。这一事实说明国安局还有一种收集互联网数据流的上游方法,它不同于“棱镜”项目所采用的信息直接由来源提供的下游方法。在早先关于“棱镜”项目的报道中,《华盛顿邮报》提到了一张幻灯片所显示的两种方法,而有分析家表示:“你应该会利用这两种方法。” 盖尔曼及其《华盛顿邮报》团队所披露的文件详细解释了国安局是如何在英国同行——国家通信总局——的合作下入侵连接到谷歌和雅虎的数据中心的私人光纤移动通信系统的。这个上游项目的代号就是Muscular。 从某种意义上说,这一报道揭开了一个让公司感到困惑的谜底。“它为我们提供了一个关键节点,使我们最终知道发生了什么,”微软的总顾问布拉德·史密斯(Brad Smith)说,“我们看了报道才知道国安局拥有巨量的数据。我们觉得自己以及业内的其他公司只是提供了少量的数据。这是很难对得起来的,这是一种非常合理的解释。” 政府侵入数据中心信道的报道给行业带来了犹如家中被抢般的内在打击。一张幻灯片截图最清晰地揭示了背叛行为,它展示了国安局是如何绕过谷歌的加密技术从其连接到开放互联网的一个服务器中截取数据流的。在两个大型云之间——一个代表公共互联网,另一个被称为“谷歌云”——有一个手绘的笑脸,受害者永远也不会有愉快的表情记号。谷歌的德拉蒙德给《华盛顿邮报》写了一份愤怒的声明,称公司“愤慨万分”。雅虎的安全总监拉姆西斯·马丁内斯(Ramses Martinez)也赞同这样的说法。“这对我们也是新闻”,他在提到Muscular时说,“我们花了极大的努力去保护我们的数据”。 拒绝一个被认为违宪的法律程序是一回事,而为一家美国公司工作,负责保护用户隐私,并且发现始终盯着你的虚拟网络马其诺防线的却是美利坚合众国,这是另一回事。 “我们原先是在同复杂的罪犯进行军备竞赛”,谷歌的安全总监埃里克·格罗斯(Eric Grosse)说,“而后我们发现自己在同某些国家行为体进行军备竞赛。现在我们则正在同最好的国家行为体展开军备竞赛”。归根到底,那就是美国政府。 但有关背叛的最真切表达或许是相对不出名的安全工程师布兰登·唐尼(Brandon Downey)在个人谷歌+账户上的回应。他在短信的开头就只为自己辩解——但也许同时也是在开导业内的同仁: 我把最近的10年时间都用在设法保护谷歌用户的安全和让谷歌免遭许多不同威胁上了。我看到了磁盘操作系统化谷歌的机器大军,看到了磁盘操作系统化的谷歌蠕虫找到了个人软件的漏洞,看到了犯罪团伙开发出恶意软件,看到了间谍软件伪装成工具栏频频攻破用来阻击其他间谍软件的计算机,甚至看到了专制国家利用国家的资助来监控特定的持不同政见者——但在花了所有这些时间来为保护谷歌——互联网的最伟大事情之一——提供小小帮助之后,却看到这件事,它有点像抗击沙龙病毒和摧毁至尊魔戒之后回家,只是发现国安局在夏尔的廊前砍宴会树,并把一切外包给了带着半兽人和鞭子的霍比特农民。 鉴于泄密事件的发生,许多公司已经加强了自身的安全防护。谷歌的格罗斯花了很多时间去加强数据加密,不仅是公共网络内的数据,而且是公司数据中心里的数据——公司已经开始追求的一种策略。“我们正在部署开发,我们学会了远离国安局”,格罗斯说,“我们担心的事情最终还是发生了”。 在采用额外加密上已经落后的雅虎在3月底发誓会强化加密,包括对数据中心之间的信道。首席执行官梅耶在一份声明中表示:“对于我们来说,没有事情比保护我们用户的隐私更重要了。”脸谱和微软计划逐步引入一种被称之为“完美正向保密”的技术,它通过利用许多更安全的密钥来编码数据来大大限制情报机关获取信息的能力(谷歌和推特已经采用了这一技术)。以前,破解一个简单的密钥就可以打开一个信息宝库的大门,但在用了正向加密之后,即便最复杂的密码分析学也只能让你收获一小部分战利品。微软的史密斯在博文中写道,这样的措施足以确保政府获取数据只能“依靠法庭的决定而不是技术手段”。 但即便强有力的加密技术也挡不住国安局的侵入。因斯诺登而出现的另一条独家新闻(ProPublica与《纽约时报》共同发布的)详细描述了情报机关最近在破解流行加密形式上取得的惊人成功。办法包括利用失窃的活公司提供的密钥来解码主要互联网服务器中的信息,并利用未报告的软件系统漏洞。一些文件还披露了这样的可能性,即国安局帮助推广它知道如何破解的弱加密标准。任何缺陷最终都会被发现和利用,这是一个十分著名的网络安全原则。如果国安局不报告已知的安全漏洞,那么就有可能泄露国内的信息并掩护作恶者。甚至还有可能让外国政府获取高价值的公司机密。 安全专家布鲁斯·施奈尔(Bruce Schneier)说:“国安局愿意就它希望得到的任何东西的安全问题作出妥协。” “想一想这么做对美国造成的伤害吧,”美国议员拉什·霍尔特(Rush Holt)这样说。他是国会中罕见的拥有物理学博士学位的议员,也是呼吁对国安局活动采取限制措施的立法者之一。他接着说:“国安局说:‘我们必须确保我们能够掌握加密所存在的缺陷。’这不傲慢到了极点了吗?谁都不知道怎么做,谁都没有我们聪明。他们没有意识到我们已经让我们的产品退化了。但事实终究是事实。而美国会因此而变得更糟。” 当然,科技公司也觉得事情很糟糕。11月,德国的《明镜》周刊——斯诺登泄密文件的另一位收件人——绘制了一张美国国安局/英国通信总局的活动拓展图,似乎凸显了信任受损的程度。为了试图侵入布鲁·塞尔的Belgacom通信公司,情报机关伪造了像Slashdot和LinkedIn这样的网站。当公司员工试图从公司计算机上登录这些网站时,他们的请求就被转移到了伪造的网站中,而情报人员就借此将恶意软件植入到他们的电脑中。 领英公司的法律总顾问埃里卡·罗滕伯格(Erika Rottenberg)十分低调地说:“我们很不幸,我们的知识产权就这样被人利用了。”不难看出个中原因是什么。如果外国的用户不知道自己正在使用的是一家合法的社交网站还是一家间谍伪造的社交网站,那么他们就会统统注销了事。 多年来,窃密流行国家的公司始终遭到了海外买家的拒绝,因为它们不信任这些公司的产品。现在却轮到美国了。这种情况已经影响到了那些寻求国际发展的年轻公司。“现在,我们的广告业务有95%是基于美国的”,汤博乐的创始人戴维·卡普(David Karp)说,“当我们将这项业务向海外拓展时,我们就遇到了更为严格的欧盟法律,尤其是关于隐私的,这是它们对美国在互联网上的做法所作出的部分反应”。 “那天我看了第一时段的使用情况”,合广投资的执行合伙人布拉德·博哈姆(Brad Burnham)说:“Dropbox的一个克隆版告诉我:‘我们是在欧洲,我们的政府不允许窥视别人!’”虽说主要的公司并没有报告说失去了大量业务,但它们也承认,它们的海外客户是有担心的。据弗里斯特研究公司的估计,因为海外公司不再光顾设在美国的云服务而造成的损失达到了1800亿美元。“美国的公司觉得因为过分监控而遭受了挫折”,参议员威登说,“这就损害了我们在全球经济中的竞争力”。 即便如此,信任的损失或业务的减少并不是科技公司在后斯诺登时代的最大担忧。脸谱的首席执行官扎克伯格相信,互联网的内在价值会使用户转向大型在线服务商。但他也担心,国安局的泄密事件会引来其他国家的激烈反应,进而伤害到那些公司和网络本身。他说:“美国这样做的部分原因在于,世界各地的政府如今因为软弱的法制允许侵入互联网用户而正在威胁着互联网的安全。” 扎克伯格提到了一场互联网割据运动——一种可能会摧毁网络本身的长期努力。该运动的基本思想是,一国公民的个人数据应该存储在设在本国的服务器中。对于这一思想的某些支持者来说,这是保护主义的一种形式,有助于公民使用本地的IT服务。而对于另外一些人来讲,这种做法会使政府更容易窥视本国公民。在国安局揭秘事件——并引起国外监控的担忧——之前,这种想法并没有构成多大的威胁,因为没有几个国家在认真地追求这一目标。但在得知美国国安局在监听自己之后,巴西总统迪尔玛·罗塞夫(Dilma Rousseff)就开始推出一项法令,要求将巴西人的个人数据存储在国内。马来西亚也制订了类似的法规,而印度也正在推行数据保护主义。 要让绝大多数的人都熟知互联网协议,这听起来很疯狂。谷歌的德拉蒙德认为这样做的后果——几十个互不连通的独立互联网——就是“四分五裂”。“这不现实,而且也没有远见”,领英的罗滕伯格说,“这如何去实现?如果我是巴西总统,而且正在出访,那我就不能使用我的数据了?” 还不仅仅是发展中经济体在考虑选择这样的道路。在德国,鉴于国安局在监听了总理安格拉·默克尔(Angela Merkel)的电话,也开始讨论类似的计划,名为“申根路由”。条顿巨人德国电信的首席执行官勒内·奥伯曼(Renè Obermann)似乎想在欧洲网络安全会议上提出一些相关原则。在前斯诺登世界,这样的建议肯定遭到嘲笑的,但现在奥伯曼的听众个个手持干草叉,准备应对美国情报人员监听所引发的风暴。 “互联网的构建是不分国界的,而且允许创新”,雅虎的马瓦卡拉说,“但它在各国都想让云落地时又如何运作呢?如果印尼、比利时和巴西都想那么做,那会发生什么情况?公司愿意在世界各地都进行同样的投资吗?” 最坏的影响之一就是会使创业公司失去前途。脸谱或YouTube如果知道它们的数据必须存储到几十个不同国家,那还能起飞吗?“越来越多像巴西这样的市场正在力求通过法律,意思是,‘在你把用户数据存储到我国之前,你不能在这里做生意’”,卡普说,“这对汤博乐来说是一种代价令人难以置信的建议,而这对有抱负的年轻公司来说也是不可能的,因为它们希望为每个人构建能在世界各地使用的东西”。 扎克伯格说:“美国需要出面帮助解决这一问题。”但奥巴马政府担心,美国政府的任何相关努力都只会强化其他国家的割据化决定——证明自己不会被人欺负。这超出了行业决定的范围。 公司以前认为,割据化会使人为孤立的国家的公民减少选择的机会,并接受更多的审查和监视。但现如今,在斯诺登披露美国——通过美国的科技公司——在窥探世界各国之后,这样的看法便销声匿迹了。 “这不是公司的错。它们只是迫于无奈。作为一个国家,我们有责任为公司挺身而出,无论是在国内还是在国外。这是我们国家的最大利益所在。我们不希望我们的公司丧失它们的经济能力和优势。这关系到我国的未来”。 这段话可能是一位政策发言人对谷歌、脸谱、微软或者雅虎说的;或者属于一位立法者对国安局所作所为的批评;或者是一个公民自由组织对国安局的反对。但其实却出自美军上将、国安局局长基思·亚历山大(Keith Alexander)之口。但即便他也承认科技公司是被迫陷入窘境的,但他仍坚持认为他的项目是合法的、必要的和尊重个人隐私的。 国安局传奇般地对此守口如瓶,数十年来绝不公开承认项目的存在。斯诺登揭秘带来的一个不太清晰的后果就是让它清晰意识到,必须在媒体面前捍卫自己。因此,在11月上旬的寒冷一天,我受邀访问了位于马里兰州米德堡的玻璃幕墙总部大楼。在递交我的个人资料——包括我的录音机编号——之后,我通过了三个检查站并将我的汽车停到了指定位置,最后来到了一个贴有宣扬国家安全和隐私的爱国海报的会议室。我被引荐给了国安局法律顾问拉杰什·德(Rajesh De)、主管私有部门合作事务的负责人安妮·钮伯格(Anne Neuberger)以及负责媒体泄密特别小组——2013年夏季为控制斯诺登揭秘所带来的伤害而设立——的副局长里克·雷杰特(Rick Ledgett)。 而后最高级人物出场了,这位意外的出场者试图为采访定下基调,他首先用20分钟介绍了两小时前的一次会议情况。亚历山大体格健硕,表达有力,对他出任负责国家安全的关键角色十分自信。 “这些项目,尤其是FAA 702(‘棱镜’项目)是情报机关反恐和反间谍活动的最主要产品”,亚历山大说,“所以我们必须确保我们所推进的这些项目不受到损害”。他还特别急于解释“215”项目——大量收集电话元数据。 “这个项目从本身来讲就是一个马蜂窝”。亚历山大说,“这个马蜂窝足以让国安局看到了来自巴基斯坦、阿富汗和世界其他地方的威胁,并与联邦调查局——根据权限,负责国内事务——分享那些洞见,并去发现有什么不好的事情正在这里发生”。亚历山大援引了纳吉布拉·扎兹(Najibullah Zazi)案件,这位激进的伊斯兰主义者2009年打算在纽约的地铁里制造爆炸事件,而正是项目所收集到的信息才使他落网。 “我所关心的是,不知就里的人会说:‘让我们除掉这个马蜂窝吧。’我们也真想除掉这个马蜂窝。我们也希望把它扔给另外一个人或任何其他的人。但我们意识到,一旦我们真的这样做了,我们的国家现在肯定会面临更大的恐怖袭击威胁。所以我们打算做正确的事情;我们打算继续保留它,让人们考虑各种选项。如果这是一个比较好的选项,那就把它放到桌上”。 从内心里讲,奇怪的是,国安局的抱怨同科技公司的埋怨十分相像:人们不理解我们。“谁都不知道国安局是做什么工作的”,雷杰特说,“那始终是一个暗箱,‘全民公敌’这部电影描述的就是这类东西。人们不知道国安局的调查和牵制”。 这些官员希望达到的一个关键点是:国安局在可以收集大量数据的同时,规定和监管隐私被泄露的限定范围。亚历山大在此前的一次演讲中说到:“我们需要从大海里捞针。”只收集信息自然没问题,官员们声称,因为对强行收集这些信息有着足够的保护。他认为广泛收集语音呼叫元数据是“受到整个联邦政府最充分监管的项目之一”。他具体描述了该项目多次得到了国会和法庭的再授权,项目的参与人数也是有限的,并通过监管确保它是按规定实施的。12月,两位联邦法官审查了政府收集电话元数据是否违宪。美国地方法院法官理查德·莱昂(Richard Leon)指出,该项目可能违反了第四修正案,但要暂时搁置,等候他的命令提起上诉。但在11天以后的一个独立案件中,法官威廉·保利三世(William H.Pauley III)却判定网络搜查是合法的,他写道:“项目是否实施的问题,由另外两个政府机关决定。” 对“棱镜”项目同样存在类似的控制,国安局认为这是它最重要的工具。“谷歌的电子邮箱是恐怖分子最常用的全球电子邮件服务”,一位官员说,“雅虎位居次席。这不是因为谷歌和雅虎是邪恶的,而是因为它们提供了更广泛的服务”。 谁也说不清国安局利用“棱镜”项目最终究竟收集了多少信息。按斯诺登的说法,仅2013年4月5日,就有117675份记录进入了“棱镜”数据库。一旦目标对象与国内的美国人接触或言行涉及美国,“棱镜”就会随即收集大量关于美国人的信息。在“棱镜”与诸如Muscular这样的上游信息收集者之间,国安局起着充分的协调作用。 雷杰特讲述了国安局选定收集非美国人的电子邮件、查询记录和自拍照片的一些步骤。他说:“我们在最低限度收集美国个人信息上是负责任的。”但这种过程迄今仍主要是靠自我监管的,最近解密的秘密法庭文件表明,国安局在许多场合是存在不足的;法庭曾批评国安局过分收集信息或没有正确过滤所收集的内容。 官员们出示了一张系统正常运作流程图,描述了一种严格的培训过程。他们告诉我,照章办事从国安局雇员受雇那天起就刻在了他们的心里。(出于一起尴尬的事件,就是雇员跟踪了浪漫的同事,官员们指出这是极其少见的——并指出国安局在自身系统会频繁进行测谎试验。)雷杰特讲了某人信息被错误分析的一个例子。他说,情报机关10年来一直在南亚追踪一个高价值的目标任务,最后得知他曾经申请过绿卡,成为了国安局规定中的“一名美国人”。“在发现了这一点后”,雷杰特说,“我们就根据12333号总统令的授权范围停止了对他的信息收集,并且销毁了14年来的报告”。 批评者认为虽然目前没有任何证据说明国安局在大量滥用所收集的数据,但并不能保证以后的政府不会忽略那些被大肆吹捧的所谓保护。但官员们不认为有这样的可能性,并表示国安局的大多数人都不会容忍这样的政策。雷杰特说:“一旦这种情况真的发生了,那么事情就会移交给总检察长办公室和国会——过程比迪斯尼乐园的游览线路还长。” 国安局承认,有关国安局活动的报道让美国的科技公司左右为难。但解决起来颇为困难,即便是一些看起来好像很简单的问题,比如让公司了解所受到请求有关国家安全的更多细节。法律顾问拉杰什·德说:“我们以透明的方式分享利益。”他补充说,国安局正在编写报告,披露所有的请求和相关各公司提供的用户账户。但国安局仍不会对这些数字进行细分:这样做可能会为敌人提供一份线路图,让它们对缺乏审查的服务器有机可趁。 官员们并不担心公司利用更强大的密码来保护用户免遭恶意入侵——包括来自米德堡的。“我们赞同使用加密”,纽伯格说,“我们支持更好的保密”。但他们也暗示,如果技术使得国安局的工作变得更难,那么国安局也许会错失重要的线索。 国安局坚持认为,尽管斯诺登泄露的文件影响很大,但还不至于弱化加密标准。“我们推荐的标准就是我们自己在用的标准”,雷杰特说,“我们不会使用我们认为易受伤害的标准。那样做是非常愚蠢的”。官员们也不想否认国安局曾利用过软件漏洞,但同时又认为自己的行为是保护性的。 “我们着重于防御”,雷杰特补充说,并且引用了一个案例,那就是国安局发现某家公司的软件中存在一个重大漏洞,它会影响到遍布世界各地的用户。“我们内部讨论了几天,并认定披露这一点对于美国政府和大多数美国人都很重要”。 官员们在交谈过程中对后斯诺登的世界——及其美国同胞——的看法会怎么样几乎没有表露出任何的受挫感。他们看到了布兰登·唐尼因本国政府入侵他心爱的数据中心而发出的伤感悲叹。他们也理解传媒大会定期开会来预防政府窥探信息,好像我们生活在原苏联社会一样。而且他们也意识到,本国顶尖科技公司的多方安全专家如今都把美国政府看作是他们的主要对手。 但官员们并没有把这些当作停止收集数据的理由。他们逐一驳斥了孤立泄密者和敌对媒体所引发的各种重大误解。国安局人员都认为他们自己和国家都面对着真正的致命威胁,他们对米德堡试图窥探个人隐私的说法感到愤愤不平。“全是臆想”,雷杰特说,“我真希望跑到山顶放声高喊,‘你不是目标’”。 问题当然不仅仅在于误会。它很大程度上是数字技术崛起的一个后果。从某种意义上说,科技公司在他们的想象中更像是国安局。双方都利用计算、通信和存储过程来完成它们各自的使命(谷歌的最初宗旨——“收集和组织全球的信息”——或许也适合于米德堡的活动)。双方都设法通过积存大量珍贵个人信息来完成自己的使命——双方都在考虑自身行为的合法性。谷歌、脸谱和其他公司都认为它们可以利用这些信息来改进用户的生活,并且不会因为分享这些数据而给他们带来苦恼。国安局也相信,有必要利用信息来防止“9·11”事件或其他恶性事件的重演。双方都设置了周密的自我约束程序来最大限度地减少滥用,并且要求严格遵循外部约束来限制自己的活动范围。每当犯错时,都被要求做得更好。当然,比较只能到此为止。如果国安局不能把各个点连接起来,那就等于给灾难打开了大门。 在这一期间,立法者提出了大量的法案,要求加强透明度和监管力度,或者甚至完全禁止收集大容量信息。科技公司则对议会展开游说,希望至少其中的一些条款成为法律。12月,它们在一封公开信中表示了它们的愿望——包括不收集互联网通信的大容量数据,然后在奥巴马总统会见它们时又有力地陈述了自己的理由。次日,白宫就公布了一份由负责审查国安局活动的顾问小组提交的300页报告。“自由国家必须保护自己”,报告一开头就这样说,“保护自身的国家必须依然是自由的”。它的46项建议要求干预国安局的活动范围以适应对隐私问题的关切,建议对国安局的活动进行更多的外部监管,只有在确实证明事关国家安全具体问题时才能进行大容量数据收集,避免开展某些有损私营科技信心的私下入侵活动。 但公民自由组织却颇感失望,因为顾问小组对大容量收集不置可否。此外,至少还有一项建议——由公司而不是政府来存储大量个人数据——会让科技行业感到头疼。谷歌、脸谱和类似公司不会被看作是间谍档案保管者吗? 总统也已经表示,将在2014年上半年确认他会支持哪些建议(有些需要立法)。在指出有些出问题的项目始于前任政府的同时,奥巴马表示他不会放弃他的702项目。“正如总统所言,‘外国情报监视法’是我们打击恐怖阴谋的一个重要工具”,国家安全委员会发言人卡特琳·海顿(Caitlin Hayden)在给《连线》杂志的一份声明中这样写道,“他相信我们有办法可以给美国人更大的信心,也有额外的安全措施来防止滥用,包括实施更严格的监管,增加透明度以及进一步约束这种权力的使用”。 国家副首席技术官(谷歌的前首席隐私律师)尼科尔·王(Nicole Wong)特别强调了政府的善意:“我们试图阻止另一次波士顿爆炸”,她说,“在一个存在这种威胁的世界中,我们怎么样生活?是更多的透明度还是更少的信息收集?” 也有人认为我们甚至会对适当约束国安局表示遗憾。微软的前科研主管内森·麦沃尔德(Nathan Myhrvold)最近在一篇让人毛骨悚然的文章中指出,鉴于拥有生物学学位的恐怖分子能毁掉人类一部分这样的威胁,强大的监控措施也许是不错的。麦沃尔德指责了科技公司的虚伪性。她说,它们认为国安局应该停止以国家安全的名义来使用信息,但自己却更乐意做同样的事情来挑战自己的底线。麦沃尔德说:“代价就是降低了发现恐怖阴谋的效率——代价意味着流血。” 政府也是这样看的。在2013年夏季的一份白皮书中,奥巴马政府认为收集个人通话行为的具体数据是合法的,因为项目涉及“事先找到挽救人命的预防措施,包括预防可能的成规模灾难”。 但即便监听项目被认为是合法的,也不管它们适度与否,我们却仍然摆脱不了斯诺登泄密的最可怕方面:从我们的数字活动中获取大量信息永远都会被看做政府情报机关的可能素材。 很多人已经慢慢适应了“小兄弟”——私营公司——所带来的烦恼:知道我们买了什么,我们身在何处,我们说了什么,我们在查询什么。现在却发现“大兄弟”——政府——也能获取这样的数据。这样的情况在其他地方是不可能存在的。我们在计算机中共享的数据财富必然成为政府预防下一次灾难的决策依据,尽管拓展法律的努力超出了支持选民的理解力。即使这会让美国成为美国科技公司及其客户的头号敌人。 “这很有讽刺性”,作为Lotus Notes的发明者而很早就提议行业要强化加密的雷·奥齐(Ray Ozzie)说,“我总觉得美国做得不够好。我们获取信息的过程是明确的。有人提出请求,请求也是有限度的。但之后就惊醒了”,雷·奥齐说,“我们同其他人没什么两样”。 原标题How the NSA Almost Killed the Internet选自美国《连线》杂志2014年1月7日