英国监管权力法案迫使初创公司预留信息安全后门

下一篇文章

急功近利的开发人员 V.S. 止步不前的开发人员

苹果公司和 FBI 在法庭上的拉锯战 把所有人的目光都引向了一个问题:对于公司而言,怎么样才算是为执法机构提供“合理的协助”?与此同时,大西洋彼岸的英国,政府却正试图加强法律监管力度,赋予国家机构权力,强迫初创公司在他们的系统中加入不安全因素,以便在(政府)有需要的时候破解用户信息。

而且,很重要的一点是,(相关政策出台后,如果有政府要求公司破解用户信息,)公司将不能公开披露政府提出的要求——也就是说,苹果在应对 FBI 一事时所采取的这类公开披露行为将被禁止。不仅如此,公司甚至无法提前告知用户,公司将会被迫泄露他们的隐私。根据这一法案,此类公司被迫执行的国家强制要求都属于保密范畴。

“任何收到政府技术能力支援通知的人员,或任何该人员公司内部为此受雇或受任的人员,都有义务不向任何人透露收到通知一事以及通知的具体内容。”《调查权力法案》附带的其中一项行为守则如是说。

这一立法草案尚未通过国会批准,因此目前还不具备法律效应。然而,政府确实有意在今年年底之前推动这项 《调查权力法案》(InvestigatoryPowers bill) 通过国会批准,成为计入法典的有效法案,届时,公司保留数据信息的其他权力也将逐一被剥夺。这项法案共有 250 多页,还有大量附带文件材料,包括为法案中提到的各方设立的许多高度复杂的行为守则(Codesof Practice)。但是,国会只有很短的时间可以来审阅这份专业性相当强的复杂法案了。

在这个月初和完整的《调查权力法案》一起公布的 《设备干扰行为守则》(Codeof Practice on Equipment Interference)草案 中,有一个标题为《技术能力支持》(Maintenance of a technical capability)的部分提到,通信服务提供商(CSP)可能会被要求“提供技术能力,授权(政府)进行拦截、设备干预、数据截获或者通信数据采集”。

说得更明确一点,通信服务提供商指的是所有互联网公司和手机电话公司。因此,科技初创公司可以说是全都落入了这一箩筐。

“《技术能力支持》的目的是为了确保,在被要求向政府授权时,公司能够安全快速地实施(政府的要求),”《设备干扰行为守则》补充道,“(用户少于 10,000 人的)小公司没有义务提供永久技术能力支持,不过,他们可能有义务实施(政府下达的)授权命令。”

因此,简单点说,这一条款赋予了国家将创业公司和技术平台用作监控机构的权力——只有规模最小的创业公司和技术平台才能幸免于难。国家可以迫使这些公司和平台按照政府需求提前在他们的系统中留下漏洞。

——没错,尽管此前 政府声称 ,这一法案既不是要求公司留出信息安全后门,也不是要求公司给出加密密钥,但这确实完全符合“信息安全后门”的定义。当然,如果法律要求公司在安全系统上留出漏洞,方便某些政府机构按照自身的需求秘密获取用户数据,那么政府机构自然就不必再要求公司给出加密密钥了。

“《调查权利法案》一旦生效,苹果公司的对手就会变成打了类固醇的 FBI。” pic.twitter.com/rpwDRcAjFA

——埃里克·金(@e3i5),2016 年 3 月 10 日

“侵入用户安全系统的权力已经进一步升级拓宽了,”人权组织 国际隐私组织(PrivacyInternational) 副主席埃里克·金(Eric King)这样形容目前正等待国会审核批准的这一法案,“网络连接记录(Internet Connection Records,即 ICR——网络服务提供者被迫保留所有用户的网页浏览记录长达一年)的权限也进一步升级拓宽了。”

“关于政府如何迫使公司侵入用户安全系统这点现在已经得到了明确证实。但是,只有现在——他们剥夺了先前的委员会考虑这些事情的权利,让公司和非营利组织无法对这类令人关注的问题做出及时的应对。”

这一法案先前的版本由三个政府委员会负责审核,这三个委员会的成员都对此提出了大量的质疑——比如 安全与情报委员会就曾抨击这一法律草案不够清晰,称其既没能充实隐私保护措施,也没能提供足够有针对性的监控措施

金表示,政府根据委员会的报告作出的主要改变都是“粉饰性的”。

“在某些情况下,他们会在澄清法条的时候扩大法案的权利——因此,有一种做法就是在早期阶段让法案‘保持模凌两可’,会有大量学者、非营利组织和公司提出法条不够清晰的问题,但他们还是会让法条保持模糊,所以说,只有到最后一分钟——比如说现在——他们才会真正澄清那 200 多条法条。但是,他们澄清每一条法条的同时,都是在坐实此前法案不够清楚明晰时人们最担忧的问题。”他告诉 TechCrunch。

金表示,这一法案现在授予了国内执法机构和安全机构巨大的权限,他们将可以侵入用户系统。

“(这一法案通过后,)他们就能够迫使用户数量超过 10,000 人的公司按照他们的要求行事——十年前,要想拥有 10,000 名用户曾是件难事,但现如今你很快就能获得 10,000 名用户,因此‘用户数量超过 10,000’这个门槛是很低的。他们可以下达长期通知,要求你在你的产品中加入某些技术,以便之后(在政府有要求时)破解侵入你的任何一位顾客。”他说道。

“而且,早在执法机构出现,说我们希望你破解侵入这名顾客的设备、账户或系统之前,他们就已经迫使公司打造好可以做到这点的系统了。如此一来,(如果我们再碰到)苹果和 FBI 这样的问题就好解决了。

“现在的情况是,苹果打造了安全系统,然后 FBI 说我希望你们解锁安全系统。而英国正采取另一种截然不同的方式——他们说,从现在起,我们要开始要求公司留下后门,方便侵入用户的设备、账户或系统。这样一来,我们就永远不会碰到这个问题了。在美国,苹果可以公开讨论此事;但英国不同,在任何情况下,英国的公司都不能公开谈论此事。他们不得向媒体、用户、媒体可以报道的公开法庭透露此事。”

“这是信息安全后门最糟糕的一种形式,”金补充道,“一股秘密力量要求公司打造各式各样的信息安全后门,侵入所有系统,直接侵入你所使用或购买的产品或服务。而且政府这是在拉公司下水,让他们一起对付他们的用户。

“与其说这是要求公司提供一个只能由政府使用的信息安全后门,倒不如说这是在说服公司,授权他们成为政府的代理人,甚至为他们的员工支付薪水——《行为守则》规定,政府需要向雇佣新员工或开发新技术的企业支付酬劳,确保他们能够侵入用户的设备、账户或系统。”

金还提出,现存英国法律(《2000 年调查权规范法案》[Regulation of Investigatory Powers Act 2000])里较老的、 备受指责 的加密技术相关法律并没有被改变、调整后综合放入新法案——尽管政府声称,《调查权力法案》会想办法把所有的调查权力放在一起,提供一个清楚明晰的框架,方便政府进行调查。

“这些权利将会继续独立于这一法案之外,我们所讨论的所有和加密有关的问题都是和迫使公司破坏、削弱他们的结构、系统,在他们的系统里留下信息安全后门,以及移除加密系统有关的新权力、新技术以及新方法。”

“现在政府是在玩一场文字游戏,一场关于如何削弱保密性、设立信息安全后门的游戏,政府正在付出巨大的努力,迅速推进此事,希望能以冠冕堂皇的方式做到这点。”

英国公司居然不为《调查权力法案》这 108 条条款生气?他们怎么做到的?这法案迫使他们去黑他们的顾客诶!

——埃里克·金(@e3i5),2016 年 3 月 10 日

TechCrunch 联系了英国内政部,希望内政部能就《调查权力法案》要求公司按照政府需求设置信息安全后门一事进行说明。截至本文发表位置,我们尚未收到英国内政部的回复。

图片来自: TimothyAllenFlickr (根据 CCBY-SA 2.0 协议授权)

翻译:钱功毅(@钱南瓜

UK surveillance powers bill could force startups to bake in backdoors