靠互联网公司反恐？2015国际反恐的最新立法及其影响

也许你已经注意到， 第36号主席令签署之后，中国最新一部法律《反恐怖主义法》将于2016年初正式施行。[1]但也许你没有注意到，就在大约一周前，美国国会两院也通过了《网络安全情报共享法案》(Cybersecurity Information Sharing Act)，这部新法案已经放在美国总统奥巴马的办公桌上等候签署[2]；而就在一个月前，英国内政大臣Theresa May也向英国国会呈交了新《权力调查法案》 (Draft Investigatory Power Bill)，该草案将于2016年初在国会进行审议。[3]几乎是同一时间，中美英三国步调一致地在反恐立法上迈出了实质性的一步。虽然三部法案在名字上差别很大，但却有一个共同点：都要求与互联网公司展开合作，一起对抗恐怖主义。

反恐与互联网企业

进入21世纪以来国际反恐形势愈加严峻。从2001年的曼哈顿双子塔， 2004年马德里火车，2005年的伦敦地铁，到2008年的孟买酒店，2014年的昆明火车站，再到2015年巴黎音乐厅，悲剧一次次地上演让政府被迫不断加强安保方面的努力。除了中美英之外，世界上还有很多国家也在紧锣密鼓的制定反恐立法。但是问题在于，为什么此次立法浪潮会将焦点聚集到互联网公司上？原因有二。

一方面，恐怖主义气焰不灭，灾难不断上演一定程度上反映了情报收集不力，政府不得不寻求外部支援。这一点听上去有些蹊跷，随着各国在国家安全上的投入和部署不断升级，情报收集效率应当大幅提升才对，为何说收集不力？然而，技术的进步很大程度上给情报收集带来了新的挑战，多国政府已公开表示在情报收集上力不从心。就在最近发生的巴黎恐怖袭击事件后，法国当局承认掌握一定的恐怖分子信息，但是对这起恐怖事件的发生却毫不知情。[4] 呼声很高的美国总统候选人在演讲中也提到：“（没有互联网公司的支持），我们的执法部门就如同盲人，之前是，现在是，未来在很多情形下也会是如此”。[5] 如果企业的技术不能完全为政府所有，却可以为恐怖分子提供服务，这确实是问题所在。

另一方面，互联网公司的崛起及其数据资源和分析技术所展现出的巨大潜力为政府的治理提供了新思路。随着电话技术的衰败与即时通讯技术的兴起，互联网公司的OTT服务彻底颠覆了人们的沟通方式；数据挖掘技术的成熟，也使得整个社会也变得高度数据化。当越来越多的人使用新技术和新服务时，反恐情报的来源也自然会发生偏转。更为重要的是，数据资源的价值已经不仅局限于单个数据（集）所承载的信息；在大数据分析技术的支持下，集合数据的分析能够带来很多意想不到的精准分析以及强大的预测能力，对于政府情报部门无异于如虎添翼。

不过，此次三国反恐都要求互联网公司的参与，最直接的原因是一种新技术的使用。在2015年底接连发生的巴黎恐袭和美国圣博娜迪诺枪击案（被认定为恐袭）之后，西方政府都将情报不力归结为“端对端加密技术”在通讯服务上的使用所致。英国首相卡梅伦的态度最为激进，在多个场合表示“不能允许这样一种（无法让情报机构侵入的技术）的存在！” [6]作为情报战略同盟的美国也表示了类似的立场。几个月前，奥巴马政府刚刚公开宣布不会对互联网公司施加压力[7]，但巴黎恐袭事件后奥巴马仍然旧事重提：“尽管我们能拿到（恐怖分子）的电话号码，能获取社交网络账号，能知晓邮箱账号，但（如果）我们没有办法穿透 (penetrate)它们，这就是个问题。” [8]

英美两国最高领导人所指向的“端对端加密”技术 (end-to-end encryption)，是指只允许接发两方获取信息内容的通信系统。[9]这种通讯系统的保密性非常高，基本上被认为是“无法破解的”，甚至是运营商也没有密钥。这一技术的出现，让各国政府都十分头疼。无论在法律上或是技术上为情报部门争取到多大的力量，端对端的出现会使得这些努力全部白费。一旦这种技术在民用通讯领域普遍使用，为恐怖分子所利用，情报部门将完全失去任何情报线索。因此，虽然目前尚没有明确的证据证实此次巴黎恐袭的犯罪分子确实使用了加密技术的应用，但各国都一致地将矛头指向了端对端技术。[10]

互联网公司的反恐义务

通讯数据是重要的情报来源。一般情况下，互联网公司在反恐工作上的担当主要是提供情报的原材料，这涉及到数据留存和解密两方面。首先，数据留存 (data retention) 在这里是指将私人通信记录保存起来，用于政府收集情报使用（但不止这一种用途）。数据留存问题一直饱受争议，因为长期的数据留存会带来很大的数据风险，对用户隐私构成威胁。现实中各国数据留存的政策也并不统一。例如，欧洲议会于2006年出台了《数据留存条令》，但后因违反《欧洲人权条约》被欧洲法院宣判无效。[11]与此相反，澳大利亚政府却成功推动了本土的数据留存法案，并于2015年10月生效。[12] 其次是解密技术，这是在原材料供给上的进一步加工，以获取情报的工具。但是，在大多数法治国家，解密私人通信受到严格的程序限制，只有在法院发出许可令 (warrants) 的情形下，政府的要求才具有正当性，这也是互联网公司拒绝履行义务的有效抗辩。但是，随着政府权力的逐步扩张，法院对于情报收集的制衡机制也岌岌可危。

面对端对端技术，传统的数据留存加解密技术的做法已然失灵。即便拿到了原材料，情报部门也无能为力，往往解密得到的结果是一串乱码。对于这一无法穿透的棘手技术，各国政府在一开始的态度都十分强硬。无论是美国FBI局长詹姆斯•科米 (James Comey)[13]，还是英国首相卡梅伦[14]，都强力要求废除这种加密技术。但这一做法遭到了互联网行业的联合抵制。在大量的讨论和论证中，互联网行业表明了加密技术对于现代通讯的重要性，它不仅保护私人隐私，也是金融安全和信息安全的基础。正如Alan Woodward教授所观察到的那样，各国政府此后开始在政策上发生了转变，从极端的废止转变为满足政府所需，为技术“开后门”(backdoor)。[15]但这一妥协的做法同样受到了业界的抵制。由于是否“开后门”的问题比较复杂，不仅涉及到技术问题，还关乎国际和国内的公共政策问题，笔者将另文详述。

互联网公司的三重压力

互联网公司参与到反恐已然成为了世界趋势，全球的互联网公司也被迫进入了充满挑战性的新格局。尤其对于提供全球服务的跨国公司而言，在这样一种新格局中会面临着多重压力。

第一重压力来自于成本。配合政府参与情报收集意味着开设业务之外的新项目，涉及大量的数据收集、留存和调用等非运营必要的环节。这些环节增设的成本不仅可观，而且史无前例。无论是互联网公司，还是电信公司，都纷纷提出法律执行成本的问题，对于他们来说这是不可忽视的负担。更重要的是，大规模监控的成本收益比却非常低。情报部门实际上所需要的只是很小一部分人的信息，但支撑情报收集却需要大量的信息存储和调用，整个过程如同大海捞针。

第二重压力来自国际合规。当互联网公司开始国际化，打开全球市场的同时，全球的互联网治理却走向了另一个极端：分割治理。虽然互联网是世界的，恐怖主义也是世界性的，但反恐的立法和管理却是地方性的。如此冲突的局面使得互联网公司陷入了如履薄冰的处境：各国的法律要求差异较大，稍有不慎企业就会面临违法的情形。更为棘手的是，一些情形下，履行某一国的法律往往意味着对另一国法律的违反。2013年发生的微软境外数据调取一案就是一例。在该案中，美国纽约某地方法院要求微软提供某位Hotmail用户的邮箱中的内容，但这些数据存储于爱尔兰，履行美国法院的要求就意味着违反爱尔兰当地的隐私保护法。[16]再比如2015年欧美数据安全港的案件中，Facebook很可能也陷入了两难处境，一方面在斯诺登事件后，美国大规模监控项目已成不争事实，但美国政府又可以通过“禁言令”(gag order) 禁止Facebook向外界告知此事。面对众多的不利指控下，Facebook只得尴尬地矢口否认。[17]

最后一重压力，也是决定互联网公司存亡的压力来源于市场。当情报部门可以通过互联网公司随意获取用户的私人聊天记录时，用户对产品的信任度也会大大降低，很容易导致用户的大量流失。历史上类似的时间不胜枚举。2013年，斯诺登披露美国政府大规模监控事件之后，德国电信马上占得市场先机，在广告中使用“来自德国的邮件服务比美国的更安全”这种广告标语[18]。包括Apple、Google、Whatsapp等众多美国互联网公司被迫开始使用更为安全的加密技术来恢复用户信任，这也是端对端技术兴起的一个历史转折点。2014年，因网络流传着“世越号”沉船事件的丑闻，韩国总统朴槿惠 (Park Geun-Hye)下令对所有互联网服务进行监控以治理谣言非议。消息一出，韩国最流行的及时通讯应用Kakao Talk遭遇了有史以来最大的用户流失，数百万用户转而使用来自德国的及时通讯软件Telegram躲避政府审查。[19] 可见，对于互联网公司而言，用户信任是运营之本，然而信任减损所导致的用户流失将是对其沉重的打击，很容易导致在国际竞争环境中优势尽失。而对于政治激进分子公民记者或者恐怖分子而言，却可以轻松地转投其他的加密通讯方式。

站在互联网公司的角度，最合适的局面莫过于在避风港中置身政外，作为平台或者中介，安静地为用户提供全方位的互联网服务，过多地涉及到实质内容的审查并非他们的本义。但随着企业在公共服务供给上的程度逐渐加深，数据挖掘技术的不断成熟，由他们更多地承担社会责任是可以预见到的事情，未来大量的情报收集工作也很可能会寄生于互联网公司的资源和技术之上。

虽然各国都在反恐事业上不断推陈出新，但这些努力并未形成有效的国际合力，反而导致了网络治理的分裂。这一格局的直接结果就是导致互联网公司不得不夹缝中求生存。他们的崛起很大程度上改变了社会的格局，但作为跨国服务提供者，作为互联网经济的重要组成部分，互联网企业却陷入了两难处境：在国际反恐或安全治理中，要么就违反法律，要么就侵犯人权，要么就放弃国际市场。这俨然成为了所有跨国互联网企业共同面对的难题。