內政部長的宣告對英國《網路安全法》的影響: 觀察到對加密衝突的折衷
引言
在最近的內政部長的一份宣告中,英國政府似乎避免了與科技行業直接發生關於《網路安全法》中有爭議、會危及加密的條款的碰撞。主流科技巨頭和小型加密通訊服務業者多個月來一直警告說,該法案對數百萬網路使用者的安全和隱私構成了直接威脅,因為《網路安全法》要求加密通訊應用根據網路監管機構 Ofcom 的命令而內建內容掃描功能。安全和隱私研究人員和法律專家也不斷警告說,該法案的廣泛監控權力可能會愚蠢地對網路安全造成重大傷害。然而政府對加密衝突的影響似乎置若罔聞。
背景
該法案的目標是解決一系列線上傷害和安全問題,包括要求平臺應對兒童性虐待材料(CSAM)。但政府在這一點上明確希望促進能夠應用於端到端加密(E2EE)通訊平臺上的 CSAM 掃描工具的發展,而不影響使用者隱私。它無視專家的警告,即沒有辦法在不破壞使用者隱私和安全的情況下規避 E2EE。Signal 等強加密通訊應用程式指責政府心魔思維。甚至蘋果(Apple)在今年夏天也發表宣告,警告該法案對網路使用者的安全構成風險。WhatsApp 和其他公司也警告稱,如果該法案不修訂以消除對加密的威脅,它們將關閉在英國的服務。近幾個月來,政府試圖減少關注,暗示 Ofcom 將不會對採用了業界標準的強加密平臺(零知識)如 Signal、WhatsApp 和 iMessage 使用這些許可權。然而科技行業反擊了這一點,Signal 基金會主席默裏迪思·惠特克(Meredith Whittaker)等人詢問為什麼內政部長們不能明確將所聲稱的約束寫入法律文字,以確保對 E2EE 的嚴格法律保護?
內政部長的宣告
而政府現在似乎已經達成了一個折衷的方案,最多可以稱之為敷衍,因為仍然沒有清晰的宣告將 E2EE 排除在法案掃描許可權之外。在《網路安全法》正在進行第三讀的上議院,帕金森勳爵(Lord Parkinson of Whitley Bay)在一份內閣會議宣告中表示除非“適當的技術”存在,Ofcom 不能被要求下令掃描。“當決定是否發出通知(掃描 CSAM),Ofcom 將與服務業者合作,確保合理、技術可行的解決方案,以應對兒童性剝削和濫用風險,包括依靠來自專業人員報告的證據。如果沒有符合這些要求的適當技術,Ofcom 無法要求其使用,”他說。“這就是為什麼這些權力包括 Ofcom 要求公司盡最大努力開發或尋找新解決方案的能力。”“Ofcom 應該能夠要求技術公司利用它們豐富的資源和專業知識,為加密環境中的兒童提供最佳的保護。這是我們長期以來的政策立場。我們對打擊線上兒童性虐待的立場保持堅定,我們一直清楚地表示該法案是一種審慎、以證據為基礎的方法。”此前,英國《金融時報》的一份報告在該法案第三讀之前提到了政府將宣告:“只有在技術可行且獲得認可的情況下,才能發出通知,檢測並去除僅涉及兒童性濫用和剝削內容的技術,具有最低的準確性標準。”該報紙還報導說,“已與科技公司在私下中承認當前沒有能夠掃描端到端加密訊息而不損害使用者隱私的技術,”並引用“有多位收到政府思維內幕訊息的人士”。
評論
從 FT 的訊息中得出來的結論是:即使內政部長從某種程度上作出妥協,這仍然是在自己搞砸的困境中找到的一個逃脫口。達到這個程度,可能已經是政府可以做到的最大讓步了。 正如我們之前所報導的,就連被選中進行“安全技術”專案技術評估的研究小組的主任,布裏斯託大學的網路安全教授和 Rephrain 中心的主管 Awais Rashid 也警告過這一努力的愚蠢之處。“問題在於所討論的技術不適合作為解決方案,”他在七月份的一份新聞稿中警告說,“我們的評估顯示,考慮中的解決方案將在很大程度上損害隱私,並且沒有內建保護機制來防止重新利用此類技術進行任何個人通訊的監控。”在本文作者看來,政府選擇將技術可行性作為約束 Ofcom 權力的因素,顯然是貫徹其長期政策的逃生門。然而這也顯示出政府在法案的最終文字中可能隱藏著什麼樣的問題,因為在帕金森勳爵在本週宣讀中還討論了許多修正案。
結論
對於擔心隱私的倡導組織來說這是一個棘手的問題。由於政府一直在修訂這部法案,並且已經在多個國務卿的領導下進行了多年的修改,無論大小,自從《網路安全法》首稿於 2021 年 5 月發布以來,隱私倡導組織有理由保持擔憂。在對 FT 報導的早期回應中,Signal 的默裏迪思·惠特克在 Twitter 上稱政府的宣告為“重要時刻”,並稱這是“勝利而非失敗”,同時她也指出這還不是最終的勝利。
編者建議
根據英國《《網路安全法》,英國政府將對加密通訊應用程式實施內容掃描的要求。即使政府在內政部長的宣告中表達了約束,但與加密衝突相關的問題仍然令人擔憂。對於科技公司和隱私倡導組織來說此次的宣告只能被視為對問題的敷衍處理。政府應該進一步釐清法案中關於加密的具體約束,以確保使用者的隱私和安全得到適當的保護。只有在技術可行的情況下並且經過嚴格隱私保護的情況下,政府才能要求加密通訊應用實施內容掃描。同時政府還應該全力支援為兒童提供網路安全的措施,同時保護使用者的隱私和資料安全。只有在合理平衡保護兒童免受虐待和保障公民隱私之間的基礎上,我們才能找到一種可行且可接受的解決方案。
延伸閱讀
- 英國深入調查 TikTok、Reddit 和 Imgur 如何保障兒童隱私!
- 英國網路監管機構強化深偽色情內容打擊措施!
- 英國重新命名人工智慧機構,首度與 Anthropic 合作打造 AI 安全新未來!
- 英國任命前亞馬遜高管為反壟斷監管機構主席,聯盟表達擔憂!
- 「驚悚!PowerSchool 資料外洩波及英國 1.6 萬名學生」
- 英國上市首款實驗室培育肉!你的狗狗也能享受美味新選擇!
- 英國任命前亞馬遜高管道格·古爾為反壟斷機構臨時主席,重塑市場競爭格局!
- 英國推出數位錢包!全新驅動執照及身分證方案,還搭載 OpenAI 聊天機器人!
- 英國推出「漢弗萊」助手,AI 新計畫助力公務員減少繁文縟節!
- 英國計劃禁止公營機構向勒索軟體駭客支付贖金!這將如何影響網路安全?
