隐私与安全之惑:谷歌与NSL的那些事

 邮箱网  0条评论  7486次浏览  2013年04月07日 星期日 15:33

分享到: 更多
【中国邮箱网 电子邮件频道】4月5日消息,“谷歌挑战美国政府 拒绝调查局调用用户信息”的报道发布,由于谷歌、美国政府、国家安全、隐私等敏感字眼,这一新闻引起了大家的强烈兴趣。谷歌与美国的所谓“国家安全密函(National Security Letter——NSL)”的故事并非始于当下,如今诉诸公堂,使得谷歌成为第一家拒绝NSL的“大型通讯公司”,这实质上反映了信息时代国家安全与用户隐私保护的强烈冲突。回顾相关的历史,颇有值得玩味之处。 谷歌法务总监理查德•萨尔加多(Richard Salgado)在博客中写道:“你会注意到,我们公布的只是大致的范围,而非具体数字,这是因为FBI、司法部和其他机构担心公布具体数字可能会泄露调查信息。不过,我们计划每年更新这些数字。”

1. 谷歌对于NSL数据的披露

3月5日的时候,谷歌曾披露过自己接收到。的NSL的数目范围,表示2009年至2012年间每年都能收到“0-999”封NSL(更准确一点的数据是几百封——a few hundred)。由于FBI禁止NSL的收件人披露有关NSL的详细信息,谷歌只能公布极其粗略的数据,如下图所示(原始图片如此,比较模糊):

从图片中可以看出,每年NSL要求调查的Google用户/账户数大多在1000-1999之间,2010年的时候曾达到2000以上。对于此次披露,谷歌法务总监理查德.萨尔加多(Richard Salgado)在博客中写道:“你会注意到,我们公布的只是大致的范围,而非具体数字,这是因为FBI、司法部和其他机构担心公布具体数字可能会泄露调查信息。不过,我们计划每年更新这些数字。”

上述数据意味着谷歌最晚从2009年就开始收到了NSL,但是鉴于2011年5月谷歌的月独立访客数量已经超过十亿,2004年4月Gmail Beta版已上线,谷歌接收NSL绝不可能自2009年才开始。根据历史记录,2004年美国的一个小型ISP服务商就曾收到过NSL(下文将详述)。所以最低限度,谷歌与NSL的关系超过8年,所收到的NSL保守估计也有数千封之多。

对于这些大量的NSL,谷歌法律总监Richard Salgado表示,谷歌一般会严格审核这些要求是否符合规定,或是缩小提供资料的范围,并会在适当时机告知用户,特定时候还会要求执法机构提供搜查令,以尽力保护用户的资料安全。谷歌利用每半年一次的透明度报告来公布政府对其用户个人资讯的索取量,至于国家安全密函的粗略数字则每年公布一次。

谷歌还指出,FBI可能获得了有线或电子通讯服务用户的姓名、地址、服务年限、本地和长途通话费用记录等信息。这表明尽管谷歌采用了力所能及的措施来保护用户的信息与隐私,也尝试通过定期公布数据的方式增加NSL的透明度,但是在NSL所“代表”的国家安全的重压之下,谷歌仍然不得不予以配合,提供一些用户信息。这可从外媒WIRED的报道得到印证:“我们不知道谷歌何时收到的这封NSL,也不知道它为什么决定对抗这一封(this particular one)”这说明本次Google起诉的是一封具体的NSL,不是它接收到的所有NSL。

2. NSL的简要历史

NSL是何方神圣,为使得像谷歌这样顶级的大型公司也不得不折服呢?

第一份NSL于1978年出现,它是美国政府部门(主要是FBI)发出的、带有一定强制性的、用于调查国家安全相关事务的要求函。由于NSL都包含一个gag命令,禁止收件人披露有关信件的任何信息,因此中文翻译为“国家安全密函”。根据美国电子通讯隐私法(ECPA)的规定,NSL只能用于要求非内容性信息,例如事务性记录、电话号码、邮件地址等。

2001年,美国爱国者法案505条款极大的扩展了NSL的适用范围,它允许政府部门使用NSL调查任何与恐怖主义和秘密情报有关的信息,并扩大了可使用NSL的部门范围(据信包括国土安全部)。2007年纽约时报报道五角大楼和CIA都使用过NSL。

2006年3月9日美国《爱国者改进与再授权法案》颁布,允许收件人对NSL进行司法审查。如果发现信件有“不合理、苛刻的或者不合法”的部分,可以废除或修改。

2009年美国国会考虑了对FBI使用NSL进行新控制的提案,制定了一些新措施,主要加强了联邦议员对于NSL的监督和审查。(以上资料来源:wikipedia)

虽然美国法律对于NSL可获取的信息有所限制,但是因为它是强制性的、秘密的,严重存在滥用风险。2007年,美国司法部监察长审查发现,FBI在许多情况下滥用职权和“国家安全信函”。比如,在9•11事件后,FBI与AT&T和Verizon达成了数百万美元的合同,要求这两家公司在FBI内部安排员工,允许这些员工进入电信数据库,以便他们能及时满足FBI对电话记录调查的需求。司法部监察长还发现,这些员工让FBI特工在没有书面文件许可的情况下非法查看用户记录,甚至是为 FBI撰写NSL。

外媒WIRED曾转引美国司法部的报道,给出了2003-2011年FBI签发的NSL数量:

2003年 39,346

2004年 56,507

2005年 47,221

2006年 49,425

2007年 16,804

2008年 24,744

2009年 14,788

2010年 24,287

2011年 16,511

合计起来从2000年到现在,FBI一共发出了大约30万封NSL。

3. 其它公司对于NSL的抗争

谷歌是第一家拒绝NSL的“大型通讯公司”,却不是唯一的一家,作为公司来讲也不是第一家。国内报道的原文已经提到:“齐默尔曼还表示,美国政府自2000年以来共发出约三万封(作者注:此处中文报道的数据有误,参见上节,应该是三十万封)国家安全密函,只有寥寥四五个收件人对此持有异议。”这说明拒绝的人数虽少,但不是没有。据CNET报道:2012年电子前哨基金会(Electronic Frontier Foundation)曾代理某家电信公司向美国旧金山地区法院申请严厉打击相关政府部门对于NSL的使用。Susan Illston法官支持了该公司的请求,于2013年3月14日判定NSL违宪,因为它“违反了第一宪法修正案和三权分立的原则”。而谷歌的这一案件同样指派给了Susan Illston法官,外媒评价认为谷歌将NSL诉诸法庭很有可能是受到了Susan Illston法官3月14日裁定的鼓舞。

从有案可稽的时间上来看,NSL遇到的一个挑战是2004年发给Library Connection(这是几家图书馆的后台办公系统)的NSL,该NSL被裁决违宪,因为它是一个自动生成的一揽子订单/要求(blanket order)。作为该案例的结果,政府允许收件人挑战NSL中的gag命令。

2004年,一个名叫Nicholas Merrill的小ISP公司挑战NSL,该NSL要求查找Nicholas Merrill某个客户的数据,Nicholas Merrill认为客户记录是宪法保护的信息。但是这一事件并未闹上法庭,因为政府撤回了查找要求(但另有报道称Nicholas Merrill的官司还是打了,于6年之后的2010年胜诉)。

2007年,Internet Archive也曾挑战NSL,电子前哨基金会主张该NSL违宪。该案件最终导致FBI撤销该NSL并同意在法庭披露NSL记录,这是公众第一详细看到NSL的操作过程。这两个案件之后,NSL的收件人挑战NSL就变得比较简单了,他们写信告诉FBI反对其中的gag命令即可,然后把向法庭证明披露NSL内容将危害国家安全的负担丢给FBI。

4. 除了NSL,谷歌还遭受过哪些美国的“国家安全”压力?

2011年8月,谷歌公司承认:它根据美国“爱国者法案”的规定,把欧洲资料中心的信息交给了美国情报机构。ZDNet网站的消息表明,谷歌公司是继微软之后,又一家坦承因为爱国者法案的影响,导致欧洲的云端资料有风险的公司。谷歌这么做,是因为美国情报单位要求谷歌交出储存在欧洲资料中心的数据。这两家美国公司的表白,证明欧洲的资料已不安全,如果欧洲本地的子公司与美国总部有关连的话,就可能会受到美国的检查。在此之前,谷歌公司遵照美国法律,已经许多次接受这样的要求。

此前微软将欧洲的资料交给美国执法单位的消息曝光后,欧洲议会已提出抗议,要求美国当局做出解释,欧美的外交论战因而展开。

5. 安全与隐私的冲突

信息时代,一切资料都电子化、数字化,并存储在云端之后,无论对于个人还是机构,其隐私信息和业务数据都在一定程度上脱离了所有者的掌握,带来严重的泄露隐患。而Web 2.0和电子商务兴起之后,敏感信息愈发丰富,单是事务性记录、电话号码、邮件地址加上网络上可公开获取的信息,就足以使一个人或者一个机构变得透明。如此一来,握有海量用户信息和强大搜索能力的大型软件公司——例如谷歌、微软——无形中掌握了用户的生杀大权,它们的隐私政策和政府关系,对于本国国家安全乃至世界安全都具有重要影响。

与此同时,也应看到:无所不在的互联网也方便了威胁国家安全的恐怖主义、地域冲突、商业犯罪等严重罪行的策划、联络与实施。各国政府把互联网视为捍卫国家安全的重要战场无可厚非——因为他们的敌人已经转移到互联网上来了。2010年,美国司法部长Eric Holder在给参议员Patrick Leahy的信中称:近年来NSL仅遭遇4起反对,涉及的都是gag命令(保密命令)部分,而不是NSL本身的合法性。这说明尽管存在滥用问题,在所谓的国家利益面前,绝大部分美国企业都遵循了法律规定和社会责任,对国家安全要求予以充分配合,这同样也无可指摘。

而目前问题的关键有两个:一个是国家安全与个人隐私的界限如何设定,如何避免国家安全诉求导致不必要的用户隐私泄露,这方面Library Connection、Nicholas Merrill、Internet Archive和谷歌等公司都进行了大胆的尝试,取得了一些结果。但是只要国家安全和互联网存在一日,这些问题就会存在一日,所有涉及机构只能在碰撞、探索中逐步取得脆弱的平衡,然后这一平衡很快被新问题打破,重新开始下一轮的碰撞与探索。

另一个更严峻的问题则是单国安全与全球流动信息的冲突。谷歌和微软固然可以遵循本国法律和安全要求,向美国政府提供与本国用户有关的数据。但是当这些数据不仅仅与美国用户有关,甚至完全无关,只是美国政府对其感兴趣,认为其涉及到美国的“国家安全”时,这些互联网公司又该怎么做?毕竟,美国的总人数只有3亿,而全球的互联网用户已达20亿以上,这些网民大都是谷歌、微软等公司的用户,其大量的用户信息无疑存储于这些公司的服务器之上。如何防止美国利用自己在信息领域内的霸权地位,以维护自身安全的借口威胁其它国家的安全;如何防止大型美国互联网公司成为美国滥用国家权利的工具,同样是一个不亚于谷歌对抗NSL的、更严重、更棘手的大问题,更需要各国从法律、技术和舆论等层面共同作出艰苦卓绝的努力。(编辑:王慧)

文章来源:虎嗅网

标签:gmail谷歌FBI

我的评论:

请  后发表评论。