英国情报PK隐私？《在线安全法案》目的何在

继19日获得议会批准其在线安全法案后，英国政府加大了对Meta的压力，要求其不要在Facebook Messenger和Instagram上推出端到端加密(E2EE） -除非它采用政府要求的未具体说明的“安全措施”，内政大臣表示这应该允许执法部门在保护用户隐私的同时继续检测儿童性虐待材料（CSAM）。20日早上在接受BBC广播四台“今日节目”采访时，内政部长苏埃拉·布雷弗曼(Suella Braverman)声称，英国执法部门目前能够发现的绝大多数在线儿童性虐待活动都发生在Facebook Messenger和Instagram上。随后，她猛烈抨击了 Meta将“没有安全措施”的E2EE使用范围扩大到这两项服务的提议，她认为此举将“禁用并禁止执法机构访问这种犯罪活动 [即CSAM]”。不言而喻的是，英国政府正在利用儿童安全作为民粹主义借口，推动将监控基础设施嵌入到高度加密的平台中，以实现那种全面访问，满足GCHQ、MI-5等情报机构的需求。

这家社交媒体巨头此前曾表示，到2023年底，将在其所有应用程序中实施强加密。今年，它一直在加大测试力度。尽管来自政策制定者的摩擦显然使得创始人马克·扎克伯格在2019年宣布的“转向隐私”计划进展缓慢，当时他表示公司将在其服务中普遍应用E2EE。

不过，今年8月，Meta终于宣布将在年底前默认为Messenger启用E2EE。但该计划正面临英国政府的新一轮攻击——英国政府新近通过《在线安全法案》拿起了法律义务的大棒。

多年来，专家们一直警告立法中的监视权力对E2EE构成风险。但政策制定者没有听——我们得到的只是最后一刻的忽悠。这意味着Meta和英国网络用户等平台将面临另一轮加密货币战争。

据了解，私下里部长们并没有对布雷弗曼声称的隐私安全E2EE安全措施的存在表示信心——事实上，本月早些时候的部长级言论被广泛解读为表明政府正在撤回与欧盟的冲突。大型科技公司在加密方面的问题（其中一些公司警告说，他们将从英国撤回服务，而不是破坏用户安全）——因此今天早上内政部发出的威胁声音带有政治戏剧的气氛。

但随着数百万网络用户的安全和隐私被重新利用，这种熟悉的、显然是永无休止的旧权力游戏的重新上演。

“具有安全措施的端到端加密”是什么？存在吗？

当BBC询问如果Meta继续推出E2EE而没有采取她想要的额外措施时，政府会怎么做时，Braverman证实，如果Meta不遵守在线安全规定，Ofcom有权对Meta处以高达其全球年营业额10%的罚款账单。不过，她再次强调，政府希望与该公司“建设性地合作”，应用“带有安全措施的端到端加密”，正如她所说。她称《在线安全法案》具有里程碑意义，该法案确实赋予政府新的广泛权力，以便在必要时通过Ofcom指示社交媒体公司采取必要措施删除不雅内容，推出技术并采取必要措施保护儿童。

内政部总部长称相信这项技术的存在。互联网观察基金会对此表示同意。NSPCC同意，”她继续说道，并再次提到了她希望Meta应用的未定义的“安全措施”。“技术领导者、技术行业组织已经开发了这项技术——现在Meta正在做正确的事情，为了儿童安全与我们合作，防止他们的社交媒体平台成为恋童癖者的避风港。推出这项技术不仅可以保护儿童，还可以保护用户隐私。”

虽然内政大臣没有具体说明政府指的是哪些“安全措施”，但内政部关于E2EE的新指南建议部长们希望Meta实施类似的哈希匹配技术来检测其多年来一直使用的CSAM，但针对的是非E2EE服务。

客观地说，将内容扫描技术应用于只有发送者和接收者持有加密密钥的高度加密的内容是完全不同的事情。因此，安全和隐私专家担心，政府对“安全技术”的推动将通过《在线安全法案》中包含的动力，导致Ofcom强制要求E2EE平台将客户端扫描技术融入到其系统中——许多专家警告称，此举将导致数百万网络用户的安全和隐私面临风险。

情报大佬政府通讯总部（GCHQ）来站台！

媒体联系了内政部，询问Braverman指的是哪些安全措施，以及政府是否指示Meta对Messenger和Instagram应用客户端扫描。内政部发言人没有提供直接答案，但指出了这一安全技术挑战——重申内政部的说法，该基金证明以隐私安全的方式进行扫描“在技术上是可行的”。

但布雷弗曼和政府面临的问题是安全和隐私专家对这一说法提出异议。

内政部关于E2EE和儿童安全的指南确实还引用了一篇学术论文，该论文被描述为由“英国领先的密码学家”撰写，但实际上是由英国情报机构GCHQ的Crispin Robinson和Ian Levy博士（前技术总监）撰写的。一位政府发言人声称，这篇论文概述了“多种技术，可以用作任何潜在的端到端加密解决方案的一部分——这样既可以保护隐私和安全，同时也可以支持执法行动”。

事实是，布雷弗曼20日的言论似乎更进一步——声称技术已经存在，可以在保护用户隐私的同时实现执法部门的访问。然而，在GCHQ两名专家的论文中，两人仅得出结论，可能可以以减轻一些隐私问题的方式配置客户端扫描。这也意味着相对于内政部大声宣扬的完全保护用户隐私的随时可用的CSAM扫描技术，完全是驴头不对马嘴。

剑桥大学计算机科学与技术系安全工程教授罗斯·安德森（Ross Anderson）是一位经历了数十年加密战争的老兵，他分析了布雷弗曼要求“没有安全措施”时不得推出端到端加密。他认为，政府几天前才向人们保证，没有这样的技术，人们应该放松，因为在新法律出台之前他们无法执行。这是让[在线安全]法案在议会获得通过的热线。他讥讽道，看起来GCHQ本周取得了惊人的科学进展！

永无休止的加密战争？

对内部部长Braverman言论的表态，Meta发言人还告诉媒体：绝大多数英国人已经依赖使用加密的应用程序来保护他们免受黑客、欺诈者和犯罪分子的侵害。我们认为人们不希望我们阅读他们的私人信息，因此在过去的五年里我们一直在制定强有力的安全措施，以防止、检测和打击滥用行为，同时维护在线安全。我们今天发布了一份更新报告，列出了这些措施，例如限制 19 岁以上的人向不关注他们的青少年发送消息，以及使用技术来识别恶意行为并采取行动。随着我们推出端到端加密，由于我们在保障人员安全方面的行业领先工作，我们预计将继续比同行提供更多的执法报告。

因此，至少目前来看，Meta似乎坚持在E2EE上不进行客户端扫描。

但毫无疑问，英国新法律规定的法律责任带来的压力，以及政客们挥舞着英国通信管理局的新权力，可以开出高达数十亿美元的罚款。

目前看来，他们可能会遇到以下几种情况：

第一种可能，像Meta这样的科技公司通过巨额经济处罚的威胁，被迫进行客户端扫描。尽管非常强烈的声明和公众的反对使得这很难想象。（除了Meta之外，其他公开反对将监控技术应用于E2EE的科技公司还包括Signal、Apple和Element。）

事实上，考虑到更广泛的声誉考虑（毕竟，英国只是他们经营的市场之一），加上看起来相对较高的杠杆率，科技公司可能更愿意继续威胁从英国撤走服务。考虑到如果WhatsApp等主流服务对本地用户关闭，该国将遭受政治（和经济）损失。

第二种可能，英国政府对E2EE平台未定义的“安全措施”提出的严厉要求最终会演变成更温和的要求，并且更像是另一种忽悠：比如说一揽子检查和功能调整，但这些要求并没有改变。不涉及任何客户端扫描，因此可以为平台所接受。因此，平台不需要对用户进行全面监视，而是可以采取一系列措施来声称合规（甚至打上“安全技术”的标签）——例如年龄验证；当用户是未成年人时，限制某些功能的工作方式；加强报告工具和资源；积极采取措施教育用户如何保持安全等——所有这些在最初的政府对他们的要求中都非常模糊，以至于政客们声称他们驯服了科技巨头。

无论发生什么，有一件事看起来很清楚：加密货币战争将以某种新的形式继续进行，因为有更大的力量在起作用。

普遍的结论是，政府正在利用儿童安全作为民粹主义借口，推动将监控基础设施嵌入到高度加密的平台中，以实现那种全面访问，引起GCHQ等情报机构的高度兴趣。