个人数据与域外国家安全审查初探(九):澳大利亚《协助和访问法》
编者按:
本系列文章核心要旨:一是跟踪、分析域外国家安全相关的法律制度对数据安全,特别是个人数据,流变的立场;二是服务我国企业走出去;三是给国内相关监管制度设计提供借鉴。此前该系列中已经发表的公号文章:
本篇关注澳大利亚联邦议会于2018年年底匆忙通过的《2018年电信和其他法律修正(协助和访问)法案》(the Telecommunications and other Legislation Amendment (Assistance and Access) Bill 2018,以下简称“协助和访问法”)。
总的来说,该法主要对澳大利亚的《1997年电信法》做出修改,建立了执法部门和情报机关就加密技术要求私营部门提供技术协助的自愿性和强制性的法律框架。同时,该法还修改了刑事方面的法律,增强了执法部门和情报机关在计算机和数据方面的搜查、调取权力,增加了对告密者(whistle-blowers)的处罚,以及提高了对不予配合行为的罚金。
“协助和访问法”规定了什么
一、适用对象
“协助和访问法”适用于“指定通信提供者”("Designated Communications Providers")。根据条文,几乎任何从事通信服务相关的组织或个人,都可落入“指定通信提供者”的范畴之内。具体来说,包括:
“通信服务”提供者(carriage services),具体包括传统电信服务和互联网连接服务(包括基础网络运营和互联网接入)的提供者;
“电子服务”(electronic services)提供者,即互联网通信服务提供者。所覆盖的领域包括“网站、聊天室、通信应用、云和网站托管、点对点分享平台、电邮分发列表”等,且在澳大利亚境内有一到多位终端用户;
与上述“通信服务”和“电子服务”相连接的软件的开发者和提供者;
为“通信服务”和“电子服务”的开展提供“便利或协助性质”的服务的提供者;
制造、提供、安装、运维、运营用于电信网络(telecommunications network)的设备(facility)的组织或个人。设备是指电信网络基础设施的任何部分,或者电信网络所使用的,或与电信网络相连接的“线路、仪器、装置、塔台、天线杆、天线、隧道、管道、洞、坑、杆等结构或物件”;
制造或提供面向消费者所使用设备的组织或个人。设备包括手机、路由、计算装置,还包括手机零部件(包括电路板、SIMs卡、存储器等)的制造者;
提供第三方服务的组织或个人,例如提供消费者设备安装和维修服务的技术专家、外包服务商等。
二、适用的地域范围
简单来说,只要面向澳大利亚通信服务的组织或个人,无论其“公司、服务器、制造地点”是否位于澳大利亚境内,即受到该法的约束。澳大利亚内政部在其官方网站上直言:进入澳大利亚市场,在澳大利亚境内运营,即意味着如果(包括恐怖主义在内的)犯罪分子使用了其提供的通信服务,则该通信服务的提供者有法律上的协助义务。
三、对“指定通信提供者”提出的具体要求
“协助和访问法”向执法部门或情报机关提供了三种法律工具:
技术协助申请(Technical Assistance Request, TAR):该请求为自愿性,不产生强制的法律义务。TAR可由通信拦截机构(包括联邦,州和地区执法部门和澳大利亚刑事情报委员会)、澳大利亚安全情报组织(ASIO),澳大利亚秘密情报局(ASIS)或澳大利亚国防情报局(ASD)的负责人基于法定目的而发出。如果“指定通信提供者”在TAR下自愿提供上述协助,则该提供者及其部门、员工和代理人将就所提供的协助获得民事豁免。
技术协助通知(Technical Assistance Notice,TAN):这是一项强制性命令,可由通信拦截机构或ASIO的负责人发出。如果“指定通信提供者”收到TAN且目前具备提供协助的技术能力,则“指定通信提供者”必须根据TAN提供技术协助。
技术能力通知(Technical Capability Notice, TCN):这是一项强制性命令,可由总检察长和通讯部长在根据通信拦截机构或ASIO负责人的要求下联合发布。如果TCN要求“指定通信提供者”提供技术协助,则“指定通信提供者”必须提供该技术协助,尤其是专门新建或新开发提供该技术协助的能力或功能。
总的来说,执法部门或情报机关可以借助上述三种法律工具,达到下列目标:
在“指定通信提供者”已具备能力的情况下,要求“指定通信提供者”对特定通信进行解密处理;
要求“指定通信提供者”协助执法或情报机关在“指定通信提供者”的网络中安装特定的软件;
要求“指定通信提供者”修改“指定通信提供者”所提供服务的特征,或替换服务;
要求“指定通信提供者”提供访问相关设施、仪器、装备、服务的协助;
要求“指定通信提供者”提供相关技术信息,包括“源代码、网络或服务设计方案、通信服务中设计的第三方提供商的有关情况、网络设备的配置和加密方案”等;
要求“指定通信提供者”为执法部门或情报机关所开展的秘密行动保密。
四、严格的保密义务
该法对接收到申请或通知的“指定通信提供者”设定了严格的保密义务。“指定通信提供者”既不能透露所收到的申请或通知的内容或细节,也不能透露其接收到了申请或通知这件事本身。该保密义务不仅覆盖“指定通信提供者”,还延伸至其职员、服务外包商及外包商的职员。违反保密义务的“指定通信提供者”的有关人员,将被处于高达5年的监禁。
“协助和访问法”是否要求设置“后门”
该法最引人关注的争议焦点即在于是否要求“指定通信提供者”设置后门(backdoors)。在其官方网站上,澳大利亚内政部专门开辟一栏用于澄清“关于协助和访问法的迷思”(Myths about the Assistance and Access Act),并明确声明:“该法没有赋予政府安装后门的权力”。
在澳政府看来,最直接的证据是该法第317ZG节明确禁止政府要求“指定通信提供者”在电子保护中建立“系统性弱点或脆弱性”(“an express prohibition against building a systemic weakness or vulnerability into a form of electronic protection”);同时该节还确保“指定通信提供者”能够及时修复“系统性弱点或脆弱性”。关于加解密,第317ZG节还明确禁止要求“指定通信提供者”建立新的解密能力,或要求“指定通信提供者”采取系统性的措施以降低认证或加密的有效性。
听起来似乎都不错,但细节在魔鬼之中——关于“系统性弱点或脆弱性”的定义。“协助和访问法”是这样定义“系统性弱点或脆弱性”的:“影响一整类技术”(a whole class of technology)的弱点或脆弱性,但“不包括针对特定个人所使用的一项或多项目标技术而有选择性地引入”(selectively introduced to one or more target technologies that are
connected with a particular person)的弱点或脆弱性。
随后,该法继续对“目标技术”(target technologies)进行了定义,包括了以下情形:
特定个人所使用,或可能使用的“通信服务”和“电子服务”;
特定个人所使用,或可能使用的特定计算机或设备上已经安装的,或将要安装的软件,及该软件特定升级包;
特定个人所使用,或可能使用的特定消费者设备(customer equipment)中的特定组件;
特定个人所使用,或可能使用的数据处理仪器;
从上述对比可看出,在“协助和访问法”中所谓的针对“影响一整类技术”的“系统性弱点或脆弱性”,与针对“目标技术”而有选择性引入的弱点或脆弱性(本文简称“特定弱点或脆弱性”)的刻意区分,绝非如澳大利亚政府所言的泾渭分明,对政府要求设置后门的权力很难有实质性的限制。
首先, “系统性弱点或脆弱性”与针对“目标技术”而有选择性引入的弱点或脆弱性(本文简称“特定性弱点或脆弱性”)在技术本质上并没有显著区别:所谓的“系统性”,并非对技术能够产生系统性、全局性、根本性、框架性的影响;“特定性弱点或脆弱性”中所谓的“特定”、“有选择性”等限定词,也并非指对技术仅有局部、边缘性、浅层的影响。两者的目的和效果都是一致的——均要求通过弱点或脆弱性截获通信。
其次,“系统性弱点或脆弱性”中所谓的“一整类技术”,与“特定性弱点或脆弱性”中所谓的“目标技术”,事实上也没有显著区别。“目标技术”中的“目标”,指的是特定个人所使用或可能使用。设想以下情况:该特定个人使用的是大众日常使用的通信设备或软件,这样的通信设备或软件往往使用的是通用技术或协议,则“特定性弱点或脆弱性”所产生的影响,几乎肯定波及“一整类技术”。
再次,“系统性”和“特定性”的区分无法起到对通信拦截对象的有效限定。从法案文本来看,“系统性弱点或脆弱性”对应的是能够实现大规模、无差别通信拦截的弱点或脆弱性;而“特定性弱点或脆弱性”对应的是具体案件中所涉及的具体个人。“协助和访问法”在实现后者的同时,希望避免前者。但有意思的是,该法在对“目标技术”的定义之后加了一句话:“无论该特定个人是否能被识别,不对界定目标技术产生实质影响”(For the purposes of paragraphs (a), (b), (c), (d), (e) and (f), it is immaterial whether the person can be identified.)。这句耐人寻味的话,是否意味着所谓的特定个人,在实践中仅需要有个模糊的描述即可,而不用确定到具体、确定的对象?如果是这样的话,一开始针对特定目标的通信拦截,很容易演变成大规模、无差别的秘密行动。
再以一个例子进行说明:针对该特定个人所使用的通信应用,澳大利亚情报机关要求该通信应用提供者向该特定个人定向推送升级包,该升级包中包含由澳情报机关所开发的具有截获通信的间谍软件。根据“协助和访问法”的规定,这样的升级包属于“特定性弱点或脆弱性”,而非“系统性弱点或脆弱性”,通信应用提供者应当配合。但在通信应用提供者眼中,该升级包对应用产生的影响肯定是根本性、系统性的,且升级包中所含有的间谍软件从技术层面来说也一定能感染其他用户的应用。更重要的是,该间谍软件所利用的通信应用中的漏洞,根据“协助和访问法”规定,不属于“系统性弱点或脆弱性”,所以澳情报机关有权要求通信服务提供者禁止修复该漏洞。再加上“协助和访问法”允许情报机关在申请或通知中,无需识别出特定个人而只要给出一定范围即可(如在某特定ip地址登录或使用通信应用的人),则通信应用提供商管控间谍软件的扩散的难度成倍增加。
从上述分析和例子不难看出,即便澳政府不断地澄清和强调“协助和访问法”没有赋予政府加装后门的权力,但澳私营部门始终认为这正是该法的目的。众多科技公司认为该法“人为”、“有意”地降低了其提供产品和服务的安全性,因此强烈反对。正如澳大利亚信息工业协会(The Australian Information Industry Association)政策和倡导主管Kishwar Rahman所言:澳私营部门对澳政府“完全没有信心”,该法赋予政府的权力“史无前例”,权力范围“过分地宽泛”,实践中带来的后果“完全无法预估”。
“协助和访问法”的国际因素
面对澳产业界的强烈反对,澳政府仍然“一意孤行”。在许多澳大利亚内外的分析人士看来,“协助和访问法”背后,很大程度上是“五眼联盟”(由美国、英国、加拿大、澳大利亚、新西兰等五国情报机关组成的情报共享联盟)的“阴谋”和“一次试验”。
从2013年开始,起始于二战的五眼情报联盟开始举行年度部长级会议,探讨执法和国家安全方面的信息共享。2017年6月五眼联盟的渥太华会议上,五国就提出需要克服加密技术的运用对执法和情报活动带来的困难。该会议后发布的联合公告指出,加密能“严重地限制保护公共安全的努力”,五眼联盟将与科技公司一道“探索解决的途径”。2018年8月举行的会议更加关注加密问题。五眼联盟专门发布联合声明:“关于证据调取和加密的原则”(Principles on Access to Evidence and Encryption)。声明中再次强调了目前政府部门在“破解加密通信”方面面临的困难越来越多,五国将可能推动立法强制要求建立加密后门。就在会议召开后的当月,澳大利亚政府就推出了“协助和访问法”的草稿。就像人权律师Lizzie O’Shea在《纽约时报》撰文所说:澳大利亚不像五眼联盟中的其他国家那样拥有“权利法案”,自然是五眼联盟实验情报收集新手段的首选。
在政策分析和倡导人士看来,澳大利亚立法还能解决美国政府一直面临的难题。众所周知,美国FBI近年来数次呼吁美国国会通过立法,强制要求美国的科技公司加强为执法提供的技术协助,包括强制解锁手机、破解加密技术、加装软件后门等。但由于美国科技企业强大的游说和传统以来公众对政府的不信任,FBI和司法部的尝试屡屡失败。澳大利亚的“协助和访问法”正好解决了这个困难:美国国内没法强迫公司做的事情,正好可以在澳大利亚实现。首先,“协助和访问法”适用于面向澳大利亚市场提供服务的公司,这就基本囊括了所有大型的美国科技公司;其次,澳大利亚政府通过“协助和访问法”获得的部分数据,可以通过五眼联盟或双边执法协助渠道,与美国政府共享;再次,如果美国的科技公司在澳大利亚为澳政府提供了技术协助,则在面临美国政府的要求时,这些公司很难再以技术上不可行的理由拒绝提供数据。
这也难怪新美国(New America)智库监控和网络安全政策主管Sharon Bradford Franklin指出:“协助和访问法”对美国来说事实上是“加密后门中的后门”(these powerful new tools could help provide the United States with aback door to an encryption back door)。虽然澳官员数次在媒体上澄清“协助和访问法”对信息共享有严格的限制,但澳大利亚知名媒体《金融评论》(Financial Review)在今年2月一篇“对五眼的恐惧笼罩澳加密法”(Five Eyes fears rise over Aussie encryption laws)的报道中指出:大多数专家均认为“协助和访问法”里有足够的漏洞(loopholes)可以让其他四个国家借助这部法律,绕过其国内人权、隐私保护等方面的法律限制。
双重标准本质
“协助和访问法”到底是“合法、合理、合乎比例、可落实、技术上可行”,还是对通信产品或服务安全性的严重威胁?相信行文至此,已经可以有个基本的判断。此外这部法律还直接暴露出美国及其盟友赤裸裸的双重标准。
还是在2018年8月,澳大利亚政府宣布因国家安全原因,禁止中国电信设备制造商(如华为和中兴通讯)向国内移动电话运营商提供5G技术和产品,并禁止在国内宽带网络中使用中国的电信设备。这是美国在全球范围内动用其国家力量对中国科技产品和服务进行阻击的一部分。在这场阻击中,从来没有黑纸白字的证据,唯一摆在台面上的只有为维护“供应链安全”的说辞,以及类似于澳大利亚政府在其禁令公告中说称“某些供应商可能听从与澳大利亚法律相冲突的外国政府的法外指示”而开展“未授权的访问或干预”的揣测。
对比“协助和访问法”的实践和上述说辞,美澳政府又一次把自己双重标准的行径暴露在光天化日之下。美澳政府一方面以保障供应链安全为名排除中国产品和服务,另一方面却通过“协助和访问法”在产品和服务中植入后门,削弱产品和服务的安全性;而在此法之前,斯诺登就已经爆料美英国情报机关联手故意降低加密技术的安全性。可见,公共利益、隐私保护等本来就是拿来作为自己行为的遮羞布。
此外,据《金融时报》报告,澳这项决定背后的一个关键因素是中国2017年出台的《国家情报法》中规定:“任何组织和公民都应当依法支持、协助和配合国家情报工作,保守所知悉的国家情报工作秘密”。先不论澳政府对该法仅从字面解读且无视《国家情报法》在实践落地时有一系列的制度约束,反观“协助和访问法”无论是适用对象、适用地域、所提技术要求和保密要求等,足以让任何第三方产生关于供应链安全足够的担心。
看来,美澳关心的绝非产品和服务的安全,他们真正关心的是能不能有效地强迫产品和服务提供商按照自己的意志行事。他们还秉持着“非我族类,其心必异”的冷战思维,还是认为自己国家的企业是自己人,而来自于联盟国家之外的产品和服务根本不可靠。这样的思维和行为,损人不利己。澳大利亚科技企业目前最担心的正是因为“协助和访问法”的通过,会让其他国家对其产品和服务产生担心,使其面临类似于华为的困境,无法进入国际市场。(完)
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
评估GDPR效果和影响:
线上沙龙见:
DPO社群成员观点