左晓栋:监听全世界的美国为何敢贼喊捉贼?

来源:观察者网

2021-05-05 08:33

左晓栋

左晓栋作者

中国信息安全研究院副院长

【文/左晓栋】

我一直以为,直面真实的自己,是最大的勇气,对一个国家而言亦是。

但当美国前中情局雇员斯诺登揭露了美国的“棱镜”监听计划后,看到美国情报机关满不在乎的态度,我忽然觉得,死猪不怕开水烫才是最大的“勇气”。

当美国政府一而再、再而三地指责中国窃取数据,甚至不惜祭出司法重器后,我终于明白,原来真正的“勇气”是贼喊捉贼。

2020年12月22日,美国国土安全部(以下简称DHS)发布了一份名为《数据安全商业咨询——使用与中国有关的公司的数据服务和设备的商业风险与考虑》的报告。

网络安全议题始终是美实施对华遏制的优先选项,“数据安全”无非是美国为了进一步扩散对华恐慌情绪而抛出的“升级版”遏制手段。

若论数据安全威胁,谁敌得过劣迹斑斑的美国?

在审视美国这个真正的“监听帝国”之前,我们先把美国这套把戏交代了。

报告封面

欲壑难填的控制心态

没有哪个国家似美国这般对获取他国数据如饥似渴。美国触角已伸至全球任何一个地方,呈现将天下数据一网打尽之势,这来自于一种想把世界牢牢掌握在手中的控制欲。因为控制了数据,就控制了网络,就控制了全世界。

与“控制欲”伴随而生的,是强烈的不安全感。你当世界霸主太久了,时常提心吊胆,怕自己被推下去。于是,美国这个全球唯一的超级大国,发展成了全球唯一的有能力、有意愿又长期“付诸实践”的“监听帝国”。

首先,美国通过行政令建立了庞大的情报系统。

美国的情报系统是根据总统授权并通过1981年的第12333号行政令而成立的。该命令建立起了由国家安全局(NSA)、中央情报局(CIA)、联邦调查局(FBI)等16个机构组成的情报系统,并确认了情报机关最重要的任务之一就是从事广泛的监听,包括从企业和商业组织收集情报信息并强调旨在加强境外情报收集技术。

第12333号行政令授权NSA通过访问大西洋海底电缆,在数据抵达美国之前收集和保留这些数据,且NSA根据该令开展的活动不受成文法约束。

也许有人会说,这又怎么样呢?每个国家都有情报机关呀,也都有设立情报机关的法定文件呀。但值得注意的是,这个40年前的文件中对美国情报机关的监听授权,直到今天还在为全世界带来梦魇。

2020年7月16日,欧盟法院正是考虑到12333号行政令,认为美国国企业即使加入美欧跨大西洋传输数据的《隐私盾协议》,欧盟数据也仍然要受这些美国监控法律的约束,美国情报机关也依然可以访问,故成为监控目标的欧盟公民缺乏隐私保障,因此欧盟法院据此认定美欧数据跨境转移机制《隐私盾协议》无效。

其次,通过《外国情报监视法》(FISA 1978)、《电子通信隐私法》(ECPA 1986)、《执法通信协助法》(CALEA 1994)建立监听法律体系。

FISA第一次将国家安全监听行为从刑事诉讼领域剥离出来单独立法,其内容涵盖电子监听、物理性搜查、通信记录与通信追踪、使用商务记录等秘密调查手段。为配合该法的顺利实施,美国联邦司法系统特地创建了一类特殊法院,即外国情报监视法院。与美国其他法院相比,外国情报监视法院一个显著特殊性在于程序属于单方面进行,当局申请的监视对象没有机会在法院为自己辩护,多数监听判令都由一名法官单独签署,判决结果不对外公开。

ECPA则将口头交流、有线通讯、电子通信通通归入监听法律范畴;CALEA则进一步明确了电信运营商的执法协助义务,在法律体系上完善了全方位的监听保障。

此外,2001年“911”恐怖袭击后,美国迅速推出了《爱国者法》(即“PATRIOT Act”),授予美国NSA、FBI等机构3项反恐监听特权:截取和长期存储公民通信数据、使用“漫游窃听装置”监听嫌疑人通话、追踪“独狼”恐怖嫌疑人等。

《爱国者法》第二章“加强监视程序”大大扩大了政府情报监听的权力与范围。根据《爱国者法》第215条,美执法部门有权对任何与恐怖活动有关的信息进行调查,该条款是NSA大规模搜集公民通话数据的法律依据。但该条款此后引发广泛批评,最终导致该条款于2015年6月1日后未能再继续。

第三,立法为实施境外监听大开绿灯。

FISA的一个重要的原则就是“内外有别”,涉及美国人时,要求情报机关谨慎使用技术侦查措施,遵循严格的目标确定原则,制定和采用严格的最低限度规程,以及向FISA法院申请令状并接受监督;而一旦对象换成非美国人,条件与程序都变得相当简便,甚至无需事先得到司法令状的批准。

在FISA的702条款下,授权司法部长和国家情报总监为收集涉外情报信息,只要有合理理由怀疑位于美国境外的非美国人,就可以共同授权NSA实施1年期限的情报收集活动,而无需FISA法院批准。NSA自2007年开始实施的“棱镜”监听项目,就是依据上述第702条的授权。

《爱国者法》第206条授权执法机构在外国情报调查中可以对个人进行机动性监听,将对特定线路的监听改成了对特定人的监听,增加了情报监听的灵活性和机动性。

第四,对抗各国的互联网数据保护要求,强化域外执法能力。

2018年3月,美国通过了《云法》(CLOUD Act)。《云法》修订了1986年《存储通信法》,其规定:美国执法机关有权通过传票或令状要求受美国“长臂管辖”的企业提供位于美国境外的数据(包括电子邮件内容、聊天记录、姓名、地址、元数据、服务时长、话费记录等)。

为了进一步减轻美国获取境外数据的技术难度,美国政府长期以来激烈反对其他国家的数据本地化存储要求,DHS《数据安全商业咨询》中对中国的批评之一便来源于此。

第五,为商业利益服务。

2019年1月22日,美国发布了最新的《国家情报战略》,明确了7大任务目标:战略情报、预期情报、当前行动情报、网络威胁情报、反恐情报、反扩散情报、反间谍和安全。

但实际上,自出生时起,美国情报机关就有为商业利益服务的职能,尤其是当涉及到“军工联合体”投标时,如洛克希德·马丁、波音、雷神等。这些公司对美国政治施加了巨大影响,以维持其巨大利润,故受到情报机关的支持毫不奇怪。

2020年11月,丹麦公共广播公司援引匿名消息来源透露,美国NSA对丹麦财政和外交部实施了监听,目的是收集有关丹麦的战斗机采购计划信息,以确保哥本哈根采购洛克希德·马丁公司的F-35。

斯诺登披露的美国“棱镜”计划文件显示,美国NSA开展的大规模监听行动不仅包括世界各国领导人,还包括众多国际组织和商业领袖。

据德国《明镜》周刊报道,NSA监听对象还包括国际间的金融交易,尤其是信用卡交易,全球知名的信用卡品牌Visa公司和总部设在布鲁塞尔的环球银行金融电信协会均在其监视范围之内。当然,美国政府又会说,这是为了追踪恐怖分子募集资金的活动,但真相到底是什么呢?

绝无仅有的监听能力

美国成为世界上独一无二的“监听帝国”,这在很大程度上是由其能力决定的。作为一系列重大IT技术的发源地,美国在技术和服务上被其他几乎所有的国家高度依赖。其结果就是,别人的东西,美国能拿到;别人看不到的,美国能看到;别人看不懂的,美国能看懂。

一是掌握互联网基础资源的分配权力。

全世界一共有13台互联网根域名服务器,其中一个为主根服务器,其余12台为辅根服务器。主根服务器设在美国,12台辅根服务器中有9台设在美国,其余分别设在英国、瑞典、日本。这些根服务器的管理者是由美国政府授权的互联网域名与号码分配机构(ICANN)。

虽然ICANN自称是非营利性组织,但它却实际上受美国控制。因此,美国政府通过ICANN掌握了对互联网域名和地址的资源分配,由此管理和控制着全球互联网运行。如果美国想对任一国家进行打压,可以停止对该国顶级域名的解析,使该国的互联网访问中断,被迫从互联网世界“蒸发”。

例如,伊拉克战争期间,“.iq”(伊拉克顶级域名)的申请和解析工作被终止,伊拉克被美国在互联网世界中“消灭”了。此外,美国还曾将“.ly”(利比亚顶级域名)移交给利比亚反对派,直接干涉利比亚内政。

美国这种对互联网的超级垄断能力引起了其他国家的强烈不安,近年来ICANN国际化改革始终在推进,但美国真的会放弃这一控制权吗?

二是主导各种网络基础设施部署和网络内容生成。

美国控制着互联网通信干线。1988年12月,第一条跨洋海底光缆(TAT-8)进入商业服务,从那时起直到2008年,欧美公司垄断了全球光缆市场,其铺设的海底光缆普遍发端于欧美发达国家,或者以欧美发达国家为中枢桥接点。虽然2008年后,相关公司将投资方向转向了基础设施薄弱的非洲等地区,但欧美公司垄断海底光缆的事实没有改变。

目前,全球网络空间的海底光缆线路是以美国为核心节点连接起来的,跨境数据从一边到另一边,几乎必然经由美国。正如斯诺登泄露的文件所显示的,美国NSA与一些特定的美国科技和电信公司保持着“企业合作关系”,让NSA能够“访问分布在全球各地的高容量国际光缆、交换机路由器”,进而使美国可以在全球开展不受节制的大范围监听。

美国还控制着互联网的信息源。美国拥有世界上最大的网站访问量,如全球访问量最大的搜索引擎Google、最大的视频网站YouTube、最有影响力的社交网站Facebook和Twitter。通过纷繁芜杂的情报法律体系,这些网站收集存储的数据都被美国情报机关收入囊中。

三是控制了IT产业链上的每一个关键环节。

美国是全球信息通信设备的最大供给者,产业链上的每个关键环节基本上都由美国所主宰。从基础网络设施(思科、Juniper)、云(亚马逊)、数据库(Oracle)、操作系统(微软、安卓系统、iOS系统)、芯片设计(Intel、高通)到内容服务提供商(Facebook、Twitter、Google)再到软件和终端(苹果)等在内,美国制造商垄断了全球信息技术产品硬件和软件核心部分的研发、生产,并在全球广泛部署,几乎渗透了全球网络的每一个环节。

不仅如此,为了维护其在产业链上的绝对优势,美国还不断通过并购交易,直接或间接地实现对原产他国的核心技术的掌控。

此外,美国还通过国家安全审查措施,阻止外国投资者获取关键技术。2018年8月,美国发布《外国投资风险审查现代化法》(FIRRMA),将“重要技术”的范围从“对美国国家安全必不可少或重要的科技技术”扩展至包含“新兴技术与基础技术”。但凡涉及这些领域的外国投资,美国几乎都通过国家安全审查手段予以否决,通过严防死守来维护其在核心技术领域的垄断。

四是以“网络安全”、“清洁网络”为由打压供应链上的“异己”,意在维持其全球网络监听能力。

凭借其在产业链关键环节的主导权,美国在网络空间拥有了绝对的监听优势。然而,近年来中国通信企业的崛起使美国的利益受到挑战,华为、中兴、抖音、微信等非美国企业是其产业链中的“异已”,美国的卧榻之侧自然不容他人鼾睡。

如果美国NSA想通过修改路由器或交换机来进行监听,一家中国公司不会与其合作,美国颠覆和渗透目标网络的难度将大大增加。其结果将是,华为等中国企业的设备在全球电信网络中部署得越多,美国“收集一切信息”就越难。每部署一台,美国的监听版图便后退一步。

讽刺的是,美国政客的“清洁网络”行动却声称要通过排除“不受信任的中国供应商”来促进隐私和数据安全。很明显,美国掌控下的安全网络并不存在,因为其能够随意渗透。美国试图“清洁”中国企业的真正原因不是出于合理的安全理由,而是极力维持其全球网络监听能力。


肆无忌惮的网上行动

美国实施网络监听主要有三种技术手段:直接进入互联网公司的服务器和数据库获取数据;美国NSA的特别机构主动、秘密、远程入侵获取信息;通过光缆获取世界范围内的数据。

因此,没有任何通信手段可以逃脱NSA的大规模监听,如互联网用户数据、光缆通信、电话或者电子邮件的“元数据”、语音或短信、传真;也没有任何国家、个人或组织能逃脱美国的监听,因为美国的外国情报法院允许NSA监听全球所有国家,即使是美国的盟友,甚至是情报合作伙伴,美国也可以基于“国家最大利益”在特定场景下进行监听。

在各种技术手段支撑下,美国开展了几类行动。

一是建立不同监听执行部门,分工合作。

美国情报机关的现代监听技术起始于二战时期的军事通信破译,此后其将监听向网络空间拓展。NSA是其主要监听机构,下设“获取特定情报行动办公室”,“特殊来源行动小组”和“全球入侵行动处”——

“获取特定情报行动办公室”通常负责网络攻击技术研发、实施网络攻击和入侵国外计算机,其实质就是网络攻击窃密;

“特殊来源行动小组”主要负责搜集、处理和监视互联网元数据;

“全球入侵行动处”主要负责截获来自卫星和其他国际情报平台上的情报。

在该体系下,NSA至少于2008年起,向全球数十万台计算机植入专门软件,旨在时刻监控或攻击目标计算机;NSA曾秘密侵入Yahoo、Google在各国数据中心之间的主要通信网络,窃取了数以亿计的用户数据;NSA通过接入全球移动网络,每天收集全球高达近50亿份手机通话的位置纪录;NSA还大规模搜集全球手机短信息,每天收集大约20亿条。

此外,苹果和安卓手机操作系统在美国NSA内部被称作“数据资源的金矿”,美国长期从移动设备应用程序(App)中抓取各类个人数据,为此一度将相关预算从2.04亿美元追加到7.67亿美元,涉及的应用程序则包括手机游戏“愤怒的小鸟”、应用程序“谷歌地图”以及Facebook、Twitter、网络相册Flickr等手机客户端。

二是设立专门网络监听项目。

NSA内部与网络监听直接相关的项目近十个,涵盖互联网和电信网。其中最为外界熟知的是被斯诺登爆料的“棱镜”项目。

资料显示,“棱镜”要求美国微软、Google、Facebook、Yahoo、苹果、PalTalk、AOL、Skype、YouTube等至少9家主要互联网公司为NSA提供数据,包括电子邮件、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和社交网络资料的细节等互联网用户的通信信息。数据通过这些公司的服务器以电子方式传输给政府,有时一些公司的服务器还会建立独立的安全入口,便于情报机关调取信息。

不仅如此,NSA自2009年针对122名外国领导人实施监听,并建有一个专门存放外国领导人信息的数据库,其中关于德国总理默克尔的报告就有300份。《华盛顿邮报》获得的文件显示,美国总统的日常简报内容部分来源于“棱镜”项目,该项目被称作是获得此类情报的最全面方式。

事件曝光后引起全球哗然,其侵犯人群之广、程度之深让人咋舌,为此,欧盟一些国家一度试图建设“欧盟互联网”,摆脱美国的监听。

三是与盟友合作,建立全球监听网络。

二战结束后的1948年,美国与英国、加拿大、澳大利亚、新西兰等国家共同签署了电子间谍网络协议,旨在使这五个英语国家联盟间进行情报分享与联合拦截敌国情报。每份联盟情报不仅标有秘密等级,还标明了哪个国家具备阅读权限。比如,一份加拿大人才能阅读的情报上会盖上“绝密——仅限加拿大”的红色印戳。久而久之,五国情报人员开始在私下交流时使用“五眼”这个简洁的名字,这就是“五眼联盟”的来历。

“五眼联盟”的监听系统称为“梯队”(ECHELON),其核心部位设在美国西弗吉尼亚的舒格格罗夫山、华盛顿的亚基马以及英国的两个空军基地内。地面站内大大小小的碟形天线负责截收国际通信卫星的信号,全世界134个国家通过国际通信卫星进行的电话、电报和计算机通讯,都有可能被这个地面站截收。

“梯队”系统被曝光之后,引起了国际社会的极大关注,许多国家都严厉斥责这一严重侵犯人权乃至违反国际公约的罪恶行径。欧洲一些国家为现代通信无密可保而担心,更为自己的隐私权遭到侵犯而愤怒,为此进行了全方位调查。重点是,“梯队”电子监听系统是否大规模介入了针对欧盟商业贸易的间谍活动,欧盟总部的政治和经决策机构是否遭到了“梯队”的全面监视等。

毫无疑问,美国已经成为当前网络空间最大的安全威胁,危及全球公民的基本人权和各国的国家安全。长期以来,世界各国对美国设备和技术的依赖,使全球对美国形成“单向透明”。美国可以凭借其设在本国的根服务器、安装在设备中的监听器、植入软件中的“后门”程序等技术优势监控全球网络,即使其声称是盟友的国家也不放过,从而实现美国的军事、政治和经济利益最大化。

贻害无穷的流毒恶果

美国在网络空间倒行逆施,公然破坏国际关系基本准则,严重威胁世界和平发展,产生了一系列恶果,对美国自身也造成了严重影响。

一是破坏网络安全。

据路透社报道,美国NSA曾与加密技术公司RSA达成了1000万美元的协议,联合在加密算法中加入漏洞后门,旨在削弱软件加密标准,辅助相关机构开展大规模监听。

斯诺登泄露的一份情报预算文件显示,NSA每年花费2.5亿美元用于"Sigint Enable Project",其目的是破坏安全标准和实践。对原产美国的IT产品,如高端路由器,美国多次破坏其供应链,即在产品交付给客户前在其中植入后门,便于美国情报机关入侵。

全世界都知道,应当密切关注IT产品漏洞信息并及时打补丁。但事实上,很多漏洞在发现后并没有第一时间告知用户,而是提供给了美国情报机关,这个时间差为美国情报机关的网上行动提供了极大便利。甚至有些漏洞永远都不会向用户公布,供美国研发针对性的网络武器。

以上这些行为使目标系统的安全防线十分脆弱,不但对美国政府的监听毫无防御能力,也很容易被黑客、网络犯罪集团或其他网络攻击者利用。

二是侵犯人权。

美国情报部门对全球实施无差别、全方面、多层次的大规模监听,严重侵犯了包括隐私权、信息和言论自由权、公平审判权、宗教自由权等在内的基本人权。特别是,美国毫无区分地大量保留通信数据从根本上违背了法治,使个人隐私暴露无遗,直接违反了以欧盟《通用数据保护条例》(GDPR)为代表的个人数据保护法律。

处在被监听下的人们不敢就敏感主题发表言论或与外界沟通,这不仅影响到其言论自由,更危害了他人的信息自由。甚至美国的盟友都认为,如果情报机关可以绕开民主政治和法律渠道对海量的私人通话进行拦截,此种不分青红皂白的行为将给民主制度的根基带来破坏性威胁。

三是影响本国企业形象和商业利益。

2020年7月16日,欧盟法院认定,美欧数据跨境转移机制《隐私盾协议》无效。这是欧盟法院继2015年认定美欧《安全港框架》无效以来,废止的第二项美欧间个人数据跨境转移机制。法院认为,隐私盾机制不能令人信服,因为它不能保护欧盟公民免受美国情报机关实施的大规模监听计划的侵害。

从欧盟数据保护委员会(EDPB)于2020年11月10日发布的两份指南草案来看,基本杜绝了将欧盟公民数据转移到美国的合法性,“当数据接收国的公共当局访问被转移数据的权力超出民主社会的必要和比例性时,EDPB无法设想有一种有效的技术措施来防止这种对数据主体权利的侵犯”。

显然,由于美国情报机关不光彩的监听行动,美国企业已经丧失了跨境开展对欧业务的最便利条件,为美企在欧洲的未来发展带来了巨大不确定性。

不仅如此,美国企业在一系列监听行动中对美国情报机关的主动或被动配合,动摇了人们对美国企业的基本信任。

更为严重的是,当美国政府对为数不多进入美国市场的几家中国企业如临大敌时,我们不禁疑虑,那么多美国企业已经在中国攻城略地几十年了,我们这个国家是不是已经对美国彻底透明了?那我们要怎样对待这些美国企业?

四是危害本国公民福祉。

美国以数据安全风险为由,对中国的5G技术百般诋毁,不但在本国全力封杀,还动用外交、贸易等手段要求其他国家不得采用中国5G技术,这个曾经的技术创新大国自导自演了一场因一己之私拒绝文明进步、开历史倒车的反智秀。

DHS居然沾沾自喜,在最新发布的对抗中国的战略行动计划中大言不惭:“近期的行动减缓了中国在全球5G市场中占据主导份额的势头”。那么我问一句,且不说其他国家,你美国政府拒绝了世界上最安全、性价比最高的5G技术,你得到什么了?你的国民使用上安全可靠的5G技术了吗?啥时候能用上?

联想到新冠疫情中美国政府的表现,美国政府此举其实是可以“理解”的:一个连国民生命都弃之不顾的政府,哪里还能顾得上国民其他福祉?

五是损毁国际互信。

在美国全球无差别监听阴影下,甚至与美国有着相同意识形态的其他西方国家,也毫不犹豫对美国投下了不信任票,这在很大程度上改变了网络空间国际合作格局。

特别是欧盟国家,他们愈加担心丧失了对数据的控制权、数据执法权以及本土企业的创新能力。正如欧盟委员会副主席玛格丽特·维斯塔格所说,欧盟公民希望在使用技术时信任技术,而不是开始新的监听时代。

美国技术公司,正在收集海量的欧盟个人数据,同时其商业模式是基于收集和利用在线用户数据去获得广告收益。不但如此,“剑桥分析”丑闻展示了,在线平台可以提取个人数据用于政治画像目的。欧盟将这一趋势称为“监听资本主义”。

在数据执法方面,欧盟成员国高度关注美国《云法》赋予美国执法机构域外获取个人数据的能力,并担心美国的大型在线平台将主导欧盟经济的所有领域,剥夺了欧盟成员国在版权、数据保护、税收或运输等领域的主权。

在本土技术创新方面,专家警告说,高科技经济越来越依赖于无形资产(如数据和知识产权),处于先发优势的美国公司将进一步拉大与欧盟在技术创新问题上的距离。

2020年,欧盟集中发布了《塑造欧洲的数字未来》、《欧洲数据战略》以及《欧洲的数字主权》等一系列战略文件,以反击美国“数据霸凌主义”。正如欧盟委员会副主席玛格丽特·维斯塔格所说:“我们到了必须采取行动的地步。在这个问题上,数字企业的力量——尤其是最大的门户平台——威胁着我们的自由、机会,甚至我们的民主。因此,对于世界上最大的门户平台来说,情况将不得不改变。”

结语

一系列事件充分表明,数据安全已经被推向了国与国博弈的第一线,正在对全球政治经济发展产生广泛深远影响。

被狗咬了一口,没有必要咬回去。但在全球网络空间已经被搅得乌烟瘴气,并事实上严重阻碍了人类科技创新和文明发展的形势下,关于数据安全,需要有正义的声音、妥善的解决方案,以及公平合理的国际规则。

本文系观察者网独家稿件,文章内容纯属作者个人观点,不代表平台观点,未经授权,不得转载,否则将追究法律责任。关注观察者网微信guanchacn,每日阅读趣味文章。

责任编辑:李泠
美国 数据安全 棱镜门 中国 欧洲
观察者APP,更好阅读体验

“严看死守,光干部餐食费就十多万,最后还是烧了”

“我们美国说要做的事,中国人已经做到了”

荷兰“拼了”:阿斯麦,别走!

“嫌犯从乌克兰获大量资金和加密货币,有确凿数据”

美方对俄隐瞒了部分信息?克宫回应