美国加密之争：国会应立法禁止政府强迫科技公司设置后门

编者按

本期我们编译了Shannon Lear发表于《克利夫兰州法律评论》的文章《加密之争：国会应禁止政府强迫科技公司在其设备中设置后门的理由》。本文讨论了个人隐私权和政府获取信息之间的平衡问题。作者以联邦调查局和苹果之间的法律纠纷为例，探析科技公司与执法机构之间存在的矛盾，以此延伸到隐私法律问题的研究。作者认为：保护加密数据有助于保护国家安全，因此，国会应当制定严格的规范来保护加密数据，防止强制创建后门，以免政府权力过度扩张。基于此，作者提出立法解决方案：拟议的法案将禁止政府和执法机构强迫科技公司修改或创建程序，以绕过锁定设备上的安全功能。但值得注意的是，该项法案并不阻止科技公司基于调查危害公共安全或国家安全的案件而提供技术协助在公司提供技术协助时，该项法案将要求政府或执法机构向公司提供合理的补偿，以换取所提供的服务。上述措施对于保护国家安全，通过限制政府权力来保护个人的宪法权利，以及促进法律的效率、可预测性和统一性是必要的。

一、科技时代隐私法律问题探析

（一）斯诺登案

2013年，美国国家安全局（NSA）前承包商雇员爱德华·斯诺登泄露了有关政府监控的信息，政府秘密行动的细节进而被揭露。其中一个被曝光的秘密行动涉及外国情报监视法庭（FISC）批准的一项政府命令，该命令迫使威瑞森公司每天提交其系统中的所有通话信息。FISC根据《爱国者法案》的“商业记录”条款批准了这一命令。

政府在利用国家情报机构收集信息时，通常有很大的回旋余地。技术的发展产生了国家安全的新威胁。为了打击网络犯罪，政府收集诸如“电话、Skype和手机通话记录、推特、Facebook帖子、电子邮件、网站访问、GPS坐标等信息”。斯诺登将这些行动描述为“对无辜公民的系统监视”。泄密事件表明，政府可以在公众不知情的情况下轻松获取电子数据和通信信息。自从2013年的情报泄露事件以来，法院发布的允许政府通过监视获取平民记录的命令越来越少，但隐私问题仍然普遍存在，并将继续引发辩论。

（二）联邦调查局与苹果公司纠纷案例一：赛义德·法鲁克的iPhone

2015年12月初，赛义德·里兹万·法鲁克和塔什芬·马利克在加州圣贝纳迪诺制造枪击案，造成14人死亡，22人受伤。法鲁克与马利克花了数年时间策划这次袭击。对他们在互联网上通信的调查表明，这对夫妇正在与一个宗教极端主义组织联系。

美国政府试图获取法鲁克iPhone上的内容，但收效甚微。法鲁克的iPhone是用数字密码锁定的。然而，联邦调查局（FBI）无法尝试确定密码，因为苹果公司在所有iPhone中都设置了自动清除设置。如果用户启用了这个设置，在用密码解锁手机的10次错误尝试后，就会清除所有的数据。

FBI援引《所有令状法案》（All Writs Act），要求法院下令迫使苹果公司帮助FBI获取iPhone上的内容，方法是修改苹果的软件，禁用自动删除功能。如果苹果遵守法院的命令，就必须编写程序破坏iPhone的安全功能，本质上就是创建一个后门。一旦创建，这个程序可以在任何iPhone上使用，从而入侵任何设备。虽然政府声称其只会在这种特殊情况下使用该程序，但政府和全国各地的执法机构可能会利用这把“钥匙”进入其他设备，“黑客和网络罪犯”获得这一程序的风险也同样存在，这将使电子信息处于高风险之中。

苹果公司认为，创建后门将破坏苹果公司多年来在创建安全功能方面所做的努力，这些安全功能旨在保护从照片到财务信息等客户的个人数据。后门不仅会使信息容易受到犯罪分子和黑客的攻击，还会把个人的、受保护的信息交到政府手中。

2016年2月16日，美国加州中央区地方法院发布命令，强制苹果公司为FBI获取法鲁克iPhone上受保护的数据提供帮助。苹果公司拒绝协助FBI获取iPhone的内容。

2016年3月28日，FBI在第三方的帮助下获得了iPhone的访问权限，并撤销了对苹果公司的诉讼。FBI和苹果公司之间的法律战的结果对苹果公司来说有利有弊。FBI撤诉意味着苹果公司不再需要遵守法院的命令；然而，FBI能够在没有苹果公司协助的情况下获取iPhone上的内容，也暴露了苹果公司的安全功能存在弱点。

美国政府没有透露是如何进入iPhone的。有猜测称，FBI雇佣了一家专门从事数字取证的以色列公司Cellebrite来解锁。

（三）联邦调查局与苹果公司纠纷案例二：冯军的iPhone

冯军于2014年7月9日因涉嫌毒品犯罪而被起诉。与法鲁克的iPhone类似，如果开启了自动擦除功能，10次错误的密码解锁尝试将自动擦除设备上存储的所有数据。政府签发了搜查令，搜查冯军iphone上的内容。苹果公司没有遵守搜查令，FBI又援引《所有令状法案》要求法院命令苹果公司帮助解锁该设备。

与法鲁克案不同的是，纽约东区地方法院的奥伦斯坦法官拒绝在没有听取苹果公司意见的情况下发布搜查令。后法院要求苹果公司介入此事，以决定《所有令状法案》是否“允许政府寻求的救济”。苹果和政府都提交了陈述书，阐述了他们的观点。在2015年10月19日提交的一份摘要中，苹果公司解决了“可行性”和“负担”问题。苹果公司解释说，随着操作系统的每次更新，遵守强制苹果绕过iPhone上安装的安全功能的命令将变得越来越繁重，苹果公司设计其安全功能是为了防止一切入侵，包括来自苹果公司自身的入侵。

在2015年10月23日提交的第二份摘要中，苹果公司辩称，在这种情况下，《所有令状法案》不应向政府提供救济，并引用了《通讯协助执法法》（CALEA）。CALEA要求电信运营商通过“重新设计其网络架构以使……监控更容易”，但CALEA不适用于存储的信息。苹果公司指出，政府不应该利用《所有令状法案》赋予自己国会未经授予的权力。（有关CALEA视角下的加密立法分析可参阅第57期简报：CALEA视角下基于Apple公司案例引发美国会对于加密立法的深思。）

2016年2月29日，奥伦斯坦法官在最终裁决中考虑了各种因素，如“苹果与潜在的刑事案件和政府调查的关系相对密切，所请求的命令将给公司带来的负担以及对苹果施加这种负担的必要性”。他得出的结论是，“这些因素中的任何一个都有理由迫使苹果公司承担违背公司意愿协助政府调查的义务”。司法部对法官的最终裁决提出了上诉；然而，美国司法部于2016年4月22日撤销了对苹果的诉讼，当时冯军“得知自己的手机已经成为检察官和苹果之间高风险法律斗争的一个问题”，于是向司法部提供了他的密码。

2016年3月1日，政府和苹果公司在众议院司法委员会作证，并敦促国会解决政府是否可以在类似情况下强迫科技公司采取行动的问题。众议员迈克·麦考尔和参议员马克·沃纳正试图组建一个专家委员会，以确定加密立法的潜在影响。尽管为立法而作出了种种努力，但国会仍未解决这一争论。在此之前，关于加密的辩论仍将持续。

二、国会必须通过立法明确政府对科技公司的权力限制

（一）防止后门产生的立法将保护而非损害国家安全

FBI试图迫使苹果公司为其iPhone创建一个后门，以便访问设备中包含的个人信息，以保护国家安全。然而，这存在一个致命的缺陷。创建后门的行为本身就破坏了国家安全，因为其在数据安全方面创建了一个漏洞后门，这类似于危险的武器。关于后门的创建，苹果公司表示，“将尽我们最大的努力加以保护那把钥匙，但在一个我们所有的数据都不断受到威胁的世界里，它会被黑客和网络罪犯无情地攻击。而且，任何个人或实体都很容易受到这种攻击。”

2017年1月，Cellebrite公司（传闻中向联邦调查局提供黑客攻击以获取法鲁克iPhone的公司）成为了黑客攻击的受害者。黑客将“客户信息、数据库和大量与Cellebrite产品有关的技术数据”发送给了Motherboard——一个技术和科学出版物网站。对Cellebrite的黑客攻击似乎与Cellebrite提供给FBI的黑客攻击有关。在一次在线聊天中，黑客向Motherboard发表了以下声明:

围绕后门的争论不会消失，相反，几乎肯定会变得更加激烈，因为我们正朝着一个更加专制的社会迈进……重要的是要证明，当你创造这些工具时，它们会被淘汰。历史应该清楚地说明这一点。

对Cellebrite的黑客攻击是一个完美的例子，说明了创建后门的背后潜藏着危险。即使是那些以提供黑客工具为业务目的的公司，本身也不能免受黑客攻击。如果后门被创造出来，苹果公司将很难保护它。此外，如果苹果公司被迫创建一个后门，全国各地的执法机构将寻求进入后门。后门落入不法之徒之手只是时间问题，而那时国家安全也将遭受新的威胁。

（二）允许政府强迫科技公司设置后门的规定违反宪法

如果政府成功地迫使苹果或任何科技公司创建后门程序，这种类型的命令将违反美国宪法第一、第四和第五修正案规定的权利。在与政府的诉讼中，苹果公司认为，法院的命令将迫使苹果公司对其创建的任何软件进行加密“签名”，这实质上相当于违反第一修正案的强迫性言论和观点歧视。其次，迫使苹果为政府编写程序会违反苹果免于第五修正案“任意剥夺其自由”的实质性正当程序权利。此外，如果政府可以强迫苹果公司创建一个后门，削弱其安全功能，将“损害那些甚至与此案无关的人的隐私”，侵犯第四修正案规定的隐私权。因此，拟议的法律应当保护个人免受违反第一、第四和第五修正案的权利。

（三）警惕政府滥用权力

“后门”不仅存在落入罪犯或黑客之手的风险，还可能被政府滥用。在法鲁克案中，FBI认为后门只会在特殊情况下使用；然而，苹果公司认为没有办法保证这种控制。苹果公司无法确保政府不会滥用“密钥”这一工具处理与法鲁克案无关的工作。

如果国会颁布立法，迫使公司遵守法院命令，通过入侵手机来协助执法，也会出现类似的问题。执法部门会援引这一法案，迫使科技公司侵入所有被锁定的设备。即使国会为该规则设定了参数，执法部门也会试图扩大该规则的适用范围，使其适用于所有情况，这会导致权力的滥用，公民的个人数据安全将处于随时被政府监控、截获的高风险状态。

（四）创建后门的成本大于收益

如果FBI赢得了对苹果公司的诉讼，苹果公司将需要花费超过10万美元的人工成本来重新编写其安全程序。苹果公司还估计，创建后门程序需要两到四周的时间。一旦苹果公司创建了后门，苹果公司将很可能建立类似于“敏感隔离信息设施”的安全设施，以防止信息泄露。苹果公司还表示，将花额外的时间销毁（黑客攻击）中的每一行代码，并严密保护导致其创建的任何日志。

此外，如果苹果公司要创建一个后门，公司的声誉可能会受到影响。苹果公司的消费者将不再相信该公司的保护承诺，这将流失客户，影响苹果公司的收益。

三、立法建议

第一，立法应包括一项声明，即数据服务提供商应提供安全保障，但也应遵守法院的法律命令。

拟议的立法应承认，数据服务提供商首先应该为其客户提供安全保障，但他们也必须遵守所有法庭的法律命令。

立法表述示例：所有通信服务和产品（包括软件）的提供商应通过实施适当的数据安全保护美国人的隐私，同时仍然尊重法治并遵守所有法律要求和法院命令；…为了维护法治和保护美国的利益和安全，所有收到授权的司法命令获取信息或数据的人，都必须及时提供回应……[提供者控制或拥有的]信息或数据。

第二，立法应禁止政府和执法机构强迫科技公司以创建或修改程序的形式提供技术协助。

拟议立法中最重要的组成部分是禁止政府和执法机构强迫数据服务提供商为其设备创建后门，这一限制不会有例外。在任何情况下，都不允许政府或执法机构强迫公司提供这种特定的技术协助。

立法表述示例：政府和执法机构在寻求法院命令，迫使数据服务提供者提供对正在进行的调查有价值的信息时，不得强迫数据服务提供者修改或创建程序，以提供可理解的信息。

第三，立法应赋予科技公司向政府或执法部门提供技术协助的选择权。

虽然拟议立法的基础是政府和执法部门在任何情况下都不能强迫科技公司创建或修改程序，但不会禁止科技公司向政府或执法部门提供援助。拟议的立法应赋予数据服务提供商提供技术协助的选择权，以协助政府或执法部门进行调查。这种有限的许可将在国家安全和公民的隐私权之间提供平衡。

立法表述实例：本法不排除通信服务和产品提供商通过创建或修改程序来提供技术协助，以协助执法或政府调查对国家安全或公共安全构成持续的、可感知的威胁。

第四，要求政府向科技公司提供合理的补偿以换取技术协助，并禁止科技公司出售黑客工具或后门。

拟议立法的最后一个组成部分是要求政府或执法机构向任何提供技术协助以协助调查的科技公司提供合理的补偿，并禁止公司向政府或执法机构出售其黑客服务。

立法表述示例：如果通信服务或产品提供商应政府或执法机构的请求提供技术协助，请求该等信息的实体应补偿提供商“在提供这种技术协助或这种数据时所直接产生的合理必要费用”。

四、结语

政府和科技公司之间的法律纠纷案例引出一个重要问题——政府和执法机构是否可以强迫科技公司设置后门以获取锁定设备上的加密数据。作者在本文中指出，国会应当通过联邦立法，禁止政府和执法机构获取法院命令迫使科技公司改变其安全程序。

近年来，有支持后门的法案被提出。2020年6月，三位参议员向参议院司法委员会提交《合法获取加密数据法案》（LAEDA），该法案将要求服务提供商和设备制造商在需要访问加密设备或数据服务时协助执法，科技公司需削弱其安全设备/系统的访问或提供后门，以确保执法部门能够追踪恐怖分子和其他犯罪分子。法案尚未正式通过，目前美国关于加密的争议仍在持续中。（祝媛 王子非）

声明：本文来自苏州信息安全法学所，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。