文 | 中国现代国际关系研究院美国研究所 韩亚峰
2013 年 6 月,美国中情局前职员、时任美国国家安全局外包技术人员爱德华·斯诺登(EdwardSnowden)将包括美国国家安全局“棱镜计划”(PRISM)监听项目在内的多个秘密文档披露给英国《卫报》和美国《华盛顿邮报》等媒体。美国的大规模网络监控行为经媒体报道后受到美国国内民众及国际社会的广泛批评,吸引全球舆论关注并引发系列衍生效应。2023 年 4 月,一批五角大楼机密文件在社交媒体传播,其中,有文件涉及乌克兰军事情报,并显示韩国政府高层疑遭美国情报部门的监听。随后,涉嫌泄露机密文件的 21 岁美国空军国民警卫队队员杰克·特谢拉(Jack Teixeira)在马萨诸塞州被捕。美国政府在“斯诺登事件”后“痛定思痛”,采取了一些措施,但是种种改进收效甚微。虽然美国持续收紧安全网,但是 2023 年的泄密内容在加密通信群、社交论坛流传了月余才被发现并被采取措施。虽然宣称加强对涉密人员的授权管理,但是低层级军官却可以随意查阅国防部的机密文件。虽然宣称聚焦情报合作,但是泄露的文件显示美国仍在监听盟友。上述种种乱象折射出美式网络安全观走不出的“困局”。
一、美国进行大规模监控的历史与特点
“棱镜计划”作为斯诺登披露的核心内容,仅为美国大规模监控项目的冰山一角。大规模监控是一种针对全体人口或大多数人口的复杂监控手段,目的是掌握民众的行为。美国大规模监控由来已久,可追溯到第一次世界大战的战时监视和国际通信审查。1919 年至 1929 年,美国政府实施了“黑箱计划”(Black Chamber),专门破解各国外交电报帮助美国在外交谈判中获益。1945 至 1973 年,美国国家安全局实施“三叶草行动”(Project Shamrock),对当时 90% 的国际电报进行监控并对电文进行实时复制。1946 年,美国纠集盟友组成多国监听组织“五眼联盟”(FVEY),强化监控情报共享。60 年代,美国国防部、联邦调查局等机构实施“尖塔行动”(MINARET),监控数以千计在美国开展民权运动或者从事敏感活动的知名人士。1978年“水门事件”后,美国国会通过《涉外情报监视法》(Foreign Intelligence Surveillance Act),要求联邦执法人员通过向法院申请调查令对外国间谍实施监控和秘密调查,同时限制情报部门监听美国民众的通信信息。2001 年的“9·11”事件严重冲击了美国人的安全神经,出于安全与反恐的需要,美国大幅提升国内外的大规模监视能力。时任总统布什签署行政令宣布国家进入紧急状态并迅速通过《爱国者法案》(USA PATRIOT Act)。2008 年,美国国会正式通过了《涉外情报监视法》修订案第 702 条款,美国借机密集且秘密开展了“棱镜”“主干道”(MAINWAY)、“码头”(MARINA)、“核子”(NUCLEON)等一系列秘密项目,窥视入侵全球超过 45 个国家和地区,在其国内深入每一个美国家庭。
“斯诺登事件”至今的十年间,全球网络科技迅猛发展,相关技术日益成熟。然而,该事件不仅没有成为美国大规模监控走向衰落的拐点,反而成为加速起跑线,使其借助日益完善的网络技术得到进一步强化,并呈现以下特点。
一是依赖科技优势。美国是全球网络技术基础最雄厚的国家之一。在网络资源配置方面,截至2020 年 6 月,全球 42.9 亿个 IPv4 地址已分配 36.8 亿个,其中,美国拥有约 16.1 亿个,占已分配总量的 43.8%;全球共有 13 台被称为互联网“中枢神经”的 IPv4 根域名解析服务器,其中,美国独占 10 台,另外 3 台分布在其盟国英国、瑞典和日本,间接受其控制。在基础设施方面,美国凭借拥有全球数量最多、覆盖范围最广的国家海缆以及数量位居全球第一的互联网交换中心、超大型数据中心,这使美国可以肆意切断一国的信息流向或者执行数据拦截。在硬件市场及研发方面,美国主导全球中央处理器的制造,在诸多硬件设备中留有后门程序。在软件市场及研发方面,美国企业仍然拥有全球最大的市场占有率。截至 2023 年 3 月,微软的 Windows 系统控制全球大约 70% 的桌面操作系统市场,紧随其后的苹果 Mac OS 系统也占据重要市场份额;在移动端,谷歌的安卓系统在全球移动设备操作系统的市场份额占比高达 69.85%,位居第二名的是苹果公司的 iOS 操作系统。美国政府可以向这些企业以国家安全为由施压索取用户隐私与数据。在应用软件方面,美国拥有全球最大的门户网站、最大的搜索引擎、最大的社交平台、最大的视频网站等,可以帮助美国政府收集用户数据甚至强推美式价值观,进而发动网络空间意识形态攻击。美国依托先进技术手段为大规模监控赋能,被监控者及国家更加难以察觉,且即便发现也难以“取证”,更不用说发起诉讼或反击。从现实情况看,各国还无法通过国际法和相关的网络空间全球治理机制维护自身合法权益。
二是体现霸权思维。美国极力推销其民主价值观,塑造自由民主的国际形象,但其实施大规模监控项目数量及规模居全球首位。近年来,“棱镜”“怒角”“星风”“强健”“上游”“电幕”等系列监听项目相继被曝光,国际社会不得不重新审视美国的网络战略。维基解密创始人阿桑奇曾披露,美国国家安全局几乎监听了所有南美国家的通信,98%的南美洲国家的通信信息在经过美国传向世界时被拦截。2015 年,维基解密披露美国国家安全局窃听时任德国总理默克尔(Angela Dorothea Merkel)的通信多年,对德国官员使用的 125 个电话号码进行长期监听。2021 年 6 月,丹麦、瑞典媒体披露,美国国家安全局在 2012 年至 2014 年间通过丹麦国防情报局接入丹麦互联网获取原始数据,监听欧盟国家领导人和高级政治人物,其中包括德国、法国、瑞典、挪威、荷兰等国领导人和高层政客。美国这些行动的深层动因仍然是基于“美国优先”的霸权思维,政府以自身安全为由窥探全球各国及民众隐私,屡屡干涉他国内政、践踏他国公民人权,甚至将这种霸权思维指导下的监控活动施加于其盟友的领导人身上,体现出对全球各国极端的不信任与不尊重。
三是聚焦大国竞争。2022 年 10 月,美国政府发布 2022 年版《美国国家安全战略报告》(National Security Strategy 2022),将中国定位为“最大的地缘政治对手”。这个表述是冷战后首次且具有浓厚的大国竞争色彩。报告阐述了美国的网络安全政策,提到了美国主要竞争对手构成的网络威胁挑战,详细说明了美国为加强国家网络安全要采取的一系列措施。拜登政府对中国的网络行动依旧采取“软硬兼施”和“攻防兼备”策略。一方面,将中国作为主要攻击目标。中国的 360 数字安全集团在 2022年 3 月发布报告,揭露了美国国家安全局针对全球发起长达十余年的网络攻击,而中国是其重点攻击目标之一。其针对中国境内目标所使用的代表性网络武器量子攻击平台主要针对国家级网络通信进行中间劫持,窃取有关人口、医疗卫生、教育科研、军事国防、航空航天、社会管理、交通管理、基础设施等各种数据。另一方面,打造对抗中国的情报网络体系。2022 年 4 月 28 日,美国拉拢多个国家签署并发布《未来互联网宣言》(Declaration for the Future of the Internet),从美国自身利益出发,将遏制中俄特别是中国作为核心目标,以价值观为基础划线打造网络空间的“民主”朋友圈,在开放互联、数据流动、可信供应商、多利益相关方治理、网络民主与人权等关键议题上设定全球网络空间规则体系。美国也在持续改进其监控盟友体系,在原有的以宗教、语言为基础的“五眼联盟”基础上,不断强化同日本的情报合作。这种做法本质上还是强化针对中国的情报行动。
二、“斯诺登事件”后美国的监控政策调整
“斯诺登事件”使美国政府面临前所未有的信任危机。在其国内,民众对政府侵犯公民隐私权的行为十分不满。“棱镜计划”的特殊性在于其体现美国拥有直接掌控网络服务器技术、情报意愿与实施能力,这种“超前能力”破坏了旧有的国际安全格局与共识。美国政府滥用技术资源优势,以自身安全名义推行“美国优先”的网络霸权行为引起包括其盟友在内的国际社会普遍愤慨。科技巨头意识到同政府开展合作的巨大风险隐患,因此,在处理与政府的关系时选择保持距离。美国政府迫切需要安抚国内民众与国际盟友,拉拢科技巨头企业继续服务自身国家安全需要,保持网络领域“美国优先”“安全优先”“主动出击”的维护态势,确保自身的霸权地位不被动摇。基于这些考虑,美国政府对其网络安全政策进行了系列调整。
(一)主导叙事讨论,宣扬政府监控行为“无罪有功”
“斯诺登事件”后,美国国内精英阶层并没有出现意见分歧,斯诺登设想的民众压力促使政府废除大规模监控的场景没有出现,相关建设反而被美国政府以半公开的方式摆上台面,密集发声主动进行阐述。
一是主张合法性。美国立法者设置了 702 条款、《爱国者法案》等免责条款。时任美国总统奥巴马(Barack Hussein Obama)称,大规模监控目的在于反恐和保护美国人的安全,经国会授权且受到国会和司法部门的监督,合法性不容质疑。时任国家情报总监詹姆斯·克拉珀(James Clapper)援引 702 条款辩护,称司法部长和国家情报总监可以授权情报机构对非美国居民的通信或会话进行监控,而互联网企业为“棱镜计划”提供数据访问接口可被视作《爱国者法案》第 215 条款的“善意披露”行为而不被追责。2018 年 1 月,为继续维持网络安全政策的长期合法性,时任总统特朗普(Donald Trump)签署了美国国会两院审批通过的文件,将 702 条款继续延长了 6 年。该条款将于 2023 年年底到期。拜登政府自 2023 年初以来以“国家安全”为由发起游说,敦促国会继续延长该条款有效期。拜登政府的国家安全顾问杰克·沙利文(Jake Sullivan)甚至将延长该条款有效期称作政府的“关键优先事项”。美国民众对该政策的忍耐度可能会遭到挑战。
二是论证有效性。一些观点认为,“棱镜计划”获取公民生活细节或个人隐私,无助于国家安全和外交决策,为之投入庞大资金和人力是滥用国家资源。时任美国国家情报总监詹姆斯·克拉珀(James Clapper)、时任国安局局长兼网络司令部司令基思·亚历山大(Keith Alexander)、美国联邦调查局局长罗伯特·穆勒(Robert Mueller)以及司法部长埃里克·霍尔德(Eric H. Holder)等人纷纷在不同场合为监控计划辩护,强调监控计划曾帮助挫败 50 多起恐怖袭击。拜登的国家安全顾问杰克·沙利文(Jake Sullivan)将大国竞争的意义赋予监控计划,称保障监控计划合法性的 702 条款是美国的“宝贵工具”有助于美国军方、情报机构和执法机关“应对外国威胁”。现任美国司法部长梅里克·加兰(Merrick Brian Garland)和美国国家情报总监埃夫丽尔·海恩斯(Avril Danica Haines)则致信美国国会,称该条款有助于“瓦解恐怖主义阴谋及对手招募美国间谍的企图”。
三是宣传正义性。美国政府构建了一条逻辑链条:当其监控手段受到质疑时,强调目标合法性,当合法性受到质疑时,则强调意图本身的正义性。从奥巴马政府到拜登政府,均强调美国的各项网络行动仅针对其主要竞争对手与反恐对象,宣传其正义性并称所有举措均基于国家安全需要,承诺将维持安全与民主之间的平衡。实际上,这些考量与效果均有待商榷。
(二)推动思路转变,明确网络监控“红线”与“重点”
“红线”指争取法律保障,表态行动必须合法依规开展并受到政府及立法机构监督,是经过充分评估后“不得不”采取的行动,凡违反该原则的均应被立法机构或政府终止。“斯诺登事件”后,美国历届政府在表态中长期遵循这一“红线”。奥巴马发布改革网络情报活动的行政令,明确强调网络监控等情报活动必须基于“法律、行政令、公告或其他总统指令授权,并根据宪法和相关法律、行政命令、公告和总统指令进行”。特朗普政府在延长 702 条款时,白宫与特朗普本人均强调新法案较奥巴马政府进一步加强了对美国人隐私的保护,增加了对滥用授权的监督。拜登政府在敦促国会延长 702 条款时首先承诺合法依规并加强监管。事实上,设定“红线”不仅没有限制美国的情报机构,反而进一步提升了其行动能力。美国情报机构普遍称,为监听每个他们感兴趣的人而申请单独法院授权会浪费大量时间降低工作效率。据《纽约时报》报道,2021 年美国法院只签发了 300 份秘密搜集美国境内美国人或外国人数据的授权,而在 702 条款的框架下,美国国家安全局对境外超过 23 万名外国人进行了电子监控。
“重点”指对“以攻为守”的网络安全策略进行反思和微调,着力强化有进攻色彩的“攻守平衡”。自克林顿政府以来,美国的网络安全工作已被纳入美国国家安全战略体系,在不同总统执政时期呈现不同风格。到特朗普政府时期,美国网络安全政策进攻色彩达到阶段顶峰,“以攻为守”的网络安全策略在立法、政策、外交等诸多领域得以推行,各类进攻色彩浓厚的网络情报秘密项目达到40余项,“扩张进攻、先发制人”成为美国维护自身安全态势的重要思路。近年来,美国政府开始反思和重新评估全球各国的网络情报与行动能力,在保留充足“进攻”空间的基础上,核算进攻型防御项目的成本,将部分精力转向防御能力建设。拜登政府的《改善国家网络安全行政令》(Executive Order on Improving the Nation"s Cybersecurity)提出,“联邦政府必须采取果断措施,现代化其网络安全方法,如在保护隐私和公民自由的同时加强对威胁的检测”。这意味着美国一方面长期坚持主动开展针对主要竞争对手的网络情报搜集,另一方面平衡考虑了防御。
(三)强化能力建设,确保对其他国家的绝对技术优势
全球网络技术标准主要由美国制定,各国在关键网络技术、设备和产品上严重依赖美国的供给,甚至不时面临各种形式的技术封锁。因而,技术优势是美国可以无惧施压和报复开展无底线网络监控等各类行动的最重要资本。拜登政府着重推进网络安全“现代化”与技术能力建设。
一是持续强化技术投资。《改善国家网络安全行政令》提出,将云计算、零信任架构、多因子加密认证等具体技术和应用纳入政府的使用范围。从行政令的内容比重看,拜登政府更加重视技术支撑和配套规范的部署。
二是积极抢夺规则制定权。2021 年 3 月,拜登政府发布《临时国家安全战略指南》(Interim National Security Strategic Guidance),认为有必要加强美国的网络空间技术优势和网络空间规则制定权,增强与盟国在网络空间领域的合作。在美日澳印四国首脑峰会、美欧首脑峰会、北约峰会等场合,美国均极力争取规则制定的主导权。
三是加强体制机制建设。美国政府围绕专业技术领域设立专门协调机构,加强联邦相关部门之间、联邦机构与私营部门之间的沟通协调。例如,美国国务院成立网络空间和数字政策局。美国国务卿布林肯(Antony John Blinken)声称该机构将重点关注网络安全、信息经济发展和数字技术三大领域,“鼓励负责任的国家网络空间行为,并推进保护互联网基础设施的完整性和安全性,服务美国利益,促进竞争力和维护民主价值观”。总体而言,美国网络监控的核心诉求始终没有改变,即维持美国对全球网络空间的强态势感知能力,前置解决美国面临的所谓网络安全威胁,维持美国在全球网络空间的霸权。
三、从监控行为看美国网络监控政策的困境
以对监听和窃密行动的调整为代表,美国的网络安全政策与其国家安全观深度关联,存在诸多误区,给美国自身及全球共同安全带来长期的危害。
一是自相矛盾。美国历届政府着力谋求延长 702 条款等法律,为堂而皇之开展针对公民的大规模监控提供背书,始终对本国民众保障隐私权的诉求置若罔闻,实际行动与其宣称的“民主”价值观背道而驰。政府实施大规模监控并收集巨量数据,损害公众的知情权、获得法律顾问的权利以及美国民众追究政府责任的能力。在美国特大城市,特别是警察过度执法的有色人种社区推行针对有色人种的人脸识别技术的行为,与美国所宣称的“平等”更不相符。
二是因循守旧。美国政府未能以新视角思考并妥善应对非传统安全带来的机遇与挑战,延用传统安全的老思路、老方法,引发更多的衍生问题。历届政府对网络空间持有老派认知方式,陷入老旧冷战范式,鲜明体现在两个方面。一方面是用传统战争思维指导新型网络安全行动。美国网络司令部的传统军事战争思维过强、行动迟缓、协调失序,招募过多军事、政治人才,但新型网络人才较少,难以充分利用美国庞大情报体系搜集的海量信息。另一方面是延用威慑概念但难以适应新型网络特质。美国的网络安全战略并未脱离威慑逻辑,无法通过威慑有效阻止他国效仿自身。随着各国网络技术的发展,体量相对较小国家以低成本手段对美国这样的较大体量国家造成威胁的渠道和手段反而越来越多,因此,美国越来越难以向对手施加足够的力量阻止其行动。
三是矫枉过正。“9·11”事件后,美国政府基于强烈的不安全感,以安全名义不计成本大肆推进各项大规模监控计划,直至“斯诺登事件”发生,带来全球舆论的强烈反噬。美国文化兼具强烈的自信心与不安全感,这在其网络安全政策中表现得较为明显。政府在应对变化时缺乏合理评估并制定适度应对措施的能力,改变往往用力过猛并带来新的安全威胁。例如,2023 年的美国国防部泄密事件,同样有这方面的原因。在马萨诸塞州空军国民警卫队这种相对较低层级、不太重要的部门,杰克·特谢拉(Jack Teixeira)这样的低层级空军国民警卫队员却可以接触到美国海量的重要国家机密,且这些机密与其职责可能不存在直接关系。这种不合理的接密权限源于“9·11”事件后情报机构开始在政府内部更广泛地分享材料,以及在伊拉克拥有大规模杀伤性武器的情报评估失败后情报机构开始公开更多情报来源及对材料可信度的评估。这些案例鲜明地体现了美国安全观的矫枉过正、处置失当。
四是自私自利。美国甚至将大规模监控的触手伸到其盟友国家的领导人,引发国际社会的强烈不满与安全担忧。这是美国推行网络霸权、挑拨分裂互联网、破坏国际规则以便维持美国霸权的鲜明例证,也是美国安全观重视自身安全、忽略共同安全的鲜明体现。美国政府始终缺乏合作意识,没有参与建立安全、可靠的国际网络空间秩序的意愿,将自身利益置于人类共同利益甚至是其盟友利益之上。这种自私行为无法为美国带来长久好处。美国对这种“绝对安全”和“绝对行动自由”的追求,意味着除美国外其他国家的“绝对不安全”和“绝对不自由”。美国公布进攻性色彩浓厚的大规模监控等网络安全策略后,加之美国一贯的进攻性网络安全战略,引发包括其盟友在内的全球网络安全领域的强烈不安全感与焦虑,也必然导致各国加大对网络窥探及网络攻击的研发投入,强化网络安全能力,包括网络攻击能力、网络防御能力及网络威慑能力的建设,进一步加剧国际网络军备竞赛,将世界引入长期且更不稳定的网络空间。美国也因此自食其果而被拖入“永久的冲突”之中,先后遭遇太阳风供应链攻击、科洛尼尔输油管攻击,并发生不同规模的网络失泄密案件。
总体而言,美国秉持具有局限性的国家安全观,并将其作为指导长期开展进攻性极强的网络防御政策的依据。美国的大规模监控等网络安全手段像一个“魔盒”,为美国带来短期、有限的安全和利益,也为美国自身和全球皆埋下长期不可控因素与安全隐患。网络安全需要全球、区域、多边等各层级的合作与对话,增进各国之间战略互信,着重加强在相关领域的国际法建设,探索开展更多联合治理,共同应对网络攻击、网络威慑与勒索行为,不可利用信息技术破坏他国关键信息基础设施或窃取重要数据。全球也应采取更加积极、包容、协调、普惠的政策,加快全球信息基础设施建设,促进互联互通,推动全球网络与数字经济的可持续发展。
(本文刊登于《中国信息安全》杂志2023年第6期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。