2024年4月18日,在英国国家犯罪局举办的欧洲警察局长非正式会议上达成“欧洲警察局长联合声明”,于4月21日正式发布。声明认为,端到端加密(E2EE)会破坏科技公司的两个关键能力:一是实现执法部门的“合法访问”,二是主动识别平台上非法和有害活动的能力。欧洲警察局长们表示,他们不接受“网络安全/隐私与公共安全之间的二元选择”,呼吁科技行业在设计时就考虑到安全问题,确保其既保持识别、报告非法和有害活动的能力,又能根据执法部门的合法授权采取合法和例外行动。

实质上,加密和执法的冲突是世界范围内持续关注的问题。E2EE是确保只有发送者和接收者可以阅读消息的一种通信系统,即使对于发送通信的平台或服务提供商,消息也是保密的。E2EE已经成为Signal、WhatsApp和Apple iMessage等安全消息服务的基础。由于E2EE通信具有防窃听功能,如果科技公司因为使用E2EE而无法响应搜查令等执法需求,则执法部门打击犯罪的能力也将受到阻碍。科技公司主动报告的疑似儿童性虐待等案件已经成为美国、英国等国家执法部门打击犯罪的重要来源。根据数据统计显示,科技公司帮助英国国家犯罪局(NCA)和英国警方每月保护约1200名儿童并逮捕约800名嫌疑人。在美国国家失踪与受剥削儿童中心2023年收到的 3200 万份儿童性虐待案件转介中,Mata公司占比85%。

然而,随着科技公司对E2EE的部署使用,执法部门获取数据的能力面临严峻挑战,典型如Meta部署E2EE便已经引起英国国家犯罪局(NCA)的担忧。2019年3月,Meta(当时的Facebook)宣布计划在其Messenger和Instagram DM通讯服务中默认部署E2EE。2023年12月,Meta开始在 Messenger和Facebook上的所有个人聊天中提供默认的E2EE服务,以保护用户的私人聊天和通话。这一行为遭到英国的反对,NCA估计,由于部署E2EE,目前Meta每年分发给英国警方的绝大多数报告将无法正常提供。NCA 局长 Graeme Biggar在欧洲警察局长非正式会议上表示,“加密可以带来巨大好处,保护用户免受各种犯罪侵害。但大型科技公司在没有充分考虑公共安全的情况下,粗暴且日益广泛地推广E2EE,会将用户置于危险之中。Biggar呼吁Meta重新考虑其继续推广E2EE的做法,他表示,完全支持加密和隐私,但希望业界能够找到方法仍然提供NCA需要的信息。

美欧国家在立法和实践中不断推动加密和执法的平衡,以期实现保护隐私和打击犯罪的双重价值目标。早在2020年12月,欧盟理事会就通过一项名为《通过加密保障安全和加密的安全问题》的决议(见寰球简报第2期:欧盟通过《加密保障安全和加密的安全问题决议》及各方反响),倡导在加密和执法之间取得一种平衡,既能够让加密继续发挥保护隐私的重要作用,同时执法部门和司法部门也能够以合法和有针对性的方式获取相关数据。加密也一直是欧盟旨在检测和删除网络儿童性虐待信息相关法律草案的争议核心。美国执法机构经常要求科技公司在E2EE 应用程序中建立“后门”,以便其能够响应搜查令。美国联邦调查局和司法部多年来一直在努力迫使科技公司帮助其访问加密设备。2020年,美国三位参议员曾向参议院司法委员会提交《合法获取加密数据法案》,要求科技公司需削弱其安全设备/系统的访问或提供后门,以确保执法部门能够追踪犯罪分子。英国历时4年多制定的《在线安全法》,起草过程中主要的争议点之一便是E2EE与保护数据隐私的矛盾。

此次的“欧洲警察局长联合声明”表明,当下,政府部门依然试图通过影响科技公司的E2EE措施,绕过加密技术以获取其打击犯罪所需的数据。科技公司对用户和执法部门的双重外部责任,注定其与执法部门之间既有冲突又有合作,这也意味着,在尚未找到有效解决方案之前,E2EE带来的隐私保护与有效执法的冲突将持续存在。

“欧洲警察局长联合声明”全文翻译如下:

我们,欧洲警察局长们,认识到执法部门和技术行业在保护公众安全,尤其是儿童安全方面负有共同责任。为此,我们建立了令人自豪的、具有互补作用的合作伙伴关系。然而,这种伙伴关系正面临风险。

两项关键能力对支持在线安全至关重要。

一是,技术公司有能力响应执法调查,即基于强有力的合法授权和监督向执法部门提供其服务中的犯罪嫌疑人数据。这就是所谓的“合法访问”。

二是,技术公司主动识别其平台上非法和有害活动的能力。这点在发现对儿童有性趣、交换虐待图片和试图实施接触性犯罪的用户方面尤为明显。目前,这些公司有能力向有关当局发出警报,从而使成千上万的儿童得到保护,犯罪者被逮捕并绳之以法。

这是两种截然不同的能力,但它们共同帮助我们拯救了许多生命,并每天保护我们所有国家的弱势群体免遭最令人发指的罪行的侵害,包括但不限于恐怖主义、儿童性虐待、人口贩运、毒品走私、谋杀和经济犯罪。他们也提供能够导致起诉和为受害者伸张正义的证据。

令我们深感忧虑的是,端到端加密技术的推出将破坏这两种能力。公司将无法有效应对合法授权,也无法识别或报告其平台上的非法活动。因此,我们将无法保证公众安全。

我们的社会以前不允许超过执法范围的空间,在这些空间里,犯罪分子可以安全地交流,虐待儿童的行为也很猖獗。现在也不应该存在这些空间。我们不能对犯罪视而不见。我们了解犯罪分子如何迅速而广泛地利用暗网提供的匿名性保护。

我们致力于支持关键创新的发展,例如加密,以此加强网络安全和公民隐私保护。然而,我们并不认为必须在网络安全/隐私与公共安全之间做出二元选择。任何一方的绝对主义都于事无补。我们的观点是,技术解决方案确实存在,但需要行业和政府的灵活性。我们认识到,每种功能的解决方案都会有所不同,不同平台的解决方案之间也会有所不同。

因此,我们呼吁技术行业在设计时就考虑到安全问题,以确保其既有保持识别和报告有害和非法活动的能力,如儿童性剥削,又能根据合法授权采取合法和例外行动。

声明原文链接:

https://www.europol.europa.eu/media-press/newsroom/news/european-police-chiefs-call-for-industry-and-governments-to-take-action-against-end-to-end-encryption-roll-out

声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。