美国《连线》杂志专栏作家史蒂芬·列维(Steven Levy)发表文章,称谷歌(微博)、Facebook、微软等科技巨头度过了一个“地狱之年”:为了生存,他们不得不跟自己的政府开战,而互联网也不再同于以往。
—— 危在旦夕的不只是公司营收,还有自互联网诞生以来的理想。
硝烟初起
2013年6月6日,《华盛顿邮报》的记者给苹果、Facebook、谷歌、雅虎等互联网公司的宣传部门打去了电话。之前一天,英国报纸《卫报》刊发一则报道震惊了美国人:电信巨头Verizon自愿向美国国安局提交了一个数据库,里面含有经过该公司网络拨打的每一通电话。
写这则报道的是记者格伦·格林沃尔德(Glenn Greenwald),爆料内容则来自一名29岁的IT顾问爱德华·斯诺登(Edward Snowden)。后者已经带着数十万份记录着国安局秘密项目详情的文件离开了美国。
《华盛顿邮报》记者巴顿·格尔曼(Barton Gellman)也接洽了斯诺登,现在,他要把这个故事延伸到硅谷。格尔曼想成为第一个揭露国安局绝密项目“棱镜”(Prism)的人。
斯诺登掌握的文件显示,一些互联网公司授权给国安局和联邦调查局,让他们直接访问自己的服务器,并获取其中的音频、视频、照片、电子邮件和文档。
政府力劝格尔曼不要披露这些科技公司的名字,但格尔曼认为这非常重要。“披露这些公司的名字,会让美国人切身感受到此事的严重性。”他说。
所以,6月6日,《华盛顿邮报》的一组记者打电话联系这些科技公司,请他们对此事发表评论。
一场威胁到行业根基的连锁反应就此拉开序幕。在接下来的几个月中,这个话题一直在新闻中高居头条,而且也是高科技界的主要话题。
多年以来,这些科技公司的关键政策问题,就是在维护用户的隐私vs基于用户个人资料为他们提供更好服务之间把握微妙的平衡。虽然有些争议,也存在法律灰色地带,但随着时间的推移,这些公司还是取得了大致的平衡,他们也因此得以继续发展壮大。
在接到《华盛顿邮报》记者电话的那一瞬间,这种平衡就被打破了。高科技界被抛到了一个战场上,这件事可不是Facebook过度分享信息,Gmail中的广告太诡异那么简单。在随后的几个月里,为了互联网的前途,这些高科技公司将不得不跟美国政府开战。
措手不及
但首先,他们必须要确定如何回复《华盛顿邮报》。“我们有90分钟的时间作出回应。” Facebook安全负责人乔·沙利文(Joe Sullivan)说。
该公司从来没有人听说过棱镜项目。Facebook和其他公司让国安局直接访问他们的服务器并获得大量信息的说法,似乎纯属子虚乌有。
CEO马克·扎克伯格(Mark Zuckerberg)在大吃一惊之余,问高管们者是否有这种事。他们都回答说“没有”。
与此同时,谷歌、苹果和微软也同样被这件事搅得惊慌失措。“我们在公司上下打听:是否存在任何偷偷摸摸获取信息的做法。”谷歌首席法律顾问肯特·沃克(Kent Walker)说。“答案都是没有。”
无论如何,《华盛顿邮报》在那天刊发了棱镜项目的报道。《卫报》也在大约一个小时之后刊发了类似的内容。
国安局有一个幻灯片文件,共有41张图片,读者可以看到泄露的几张图片。其中一张列出了跟该计划有关的科技公司,以及他们在这个项目上充分合作的最早日期:最先是微软,2007年9月,然后是雅虎,2008年。接下来是谷歌和Facebook,2009年。最后是苹果,2012年10月。
幻灯片使用了每个公司的标志。看上去就像一个销售队伍在展示自己成功签下的一系列客户。
就在此前一天,公众已获悉, Verizon(可能还有其他电话公司)已经向政府提交了所有的通话记录。现在,同样的事情似乎又发生在了电子邮件、搜索历史,甚至Instagram图片上。
百口莫辩
这些科技公司发了律师函,否认他们授权让美国政府直接访问自己的客户数据。但复杂的地方在于,他们确实参与了(往往是在不情愿的情况下)一个政府项目:如果一个秘密法庭命令他们提供数据,他们就会照办。
而且这些公司还不能谈论这些细节,一则是因为法律禁止他们全面披露这些情况,二则是因为他们也不知道这个项目的运作细节。
所以这些科技公司否认参与棱镜项目的表态,被大家视为了公关手法。
他们几乎没有时间来确定如何予以置评,奥巴马总统就介入此事了。虽然奥巴马含蓄地证实了这个项目的存在(并谴责泄漏它的行径),他说,“互联网和电子邮件监听活动的对象,不包括美国公民以及任何居住在美国的人。”
这个说法可能让一些美国人感到安慰,但对高科技行业却没有任何帮助。苹果、Facebook、微软和雅虎的大多数用户都不是美国公民。现在外国用户以及外国监管机构(比如欧盟的监管机构)开始觉得,使用美国的服务就相当于是直接向美国国安局提供数据了。
这些科技巨头花费了多年时间来培养用户信任,而现在,这份来之不易的信任可能就此蒸发——他们似乎只能眼睁睁地看着。法律堵住了他们的嘴,让他们无法提供全面的背景。
即使是最有力的否认——谷歌CEO拉里·佩奇(Larry Page)和首席法律官大卫·德拉蒙德 (David Drummond)发表的文章《What the …》,也没有平息大家的怀疑。
怎么可能呢?国安局的幻灯片已经清清楚楚地显示了,他们只要轻轻一点鼠标,任何人的个人信息就一览无余击。
德拉蒙德当月晚些时候在《卫报》网站回答读者提问时,人们的问题充满了敌意:
“这个活动是不是你们跟国安局沆瀣一气的事情曝光之后,专门搞来挽回面子的吧? ”
“如果谷歌正在跟我们说谎,我们要怎样才能分辨出来呢?”
“我们曾信任了你们十年,现在不会了,谷歌。”
“我停用谷歌邮件服务了。 ”
谷歌在这次活动上的遭遇被其他科技公司看在眼里,记在心上。“我们每发一次言,似乎都只会让事情变得更糟。”一名技术高管表示。“大家就是不信我们的话。”
“政府没法再把精灵召回瓶子里去了。” Facebook的全球联络主管迈克尔·巴克利(Michael Buckley)说。“我们确实可以发布各种声明或统计数据,但问题是,随着政府监听活动的陆续曝光,会有人相信我们吗?”
在2013年9月的一个科技大会上,Facebook的扎克伯格表达了他对“棱镜”项目的反感。“美国政府捅了篓子。”他说。
但政府这些行动(以及斯诺登曝光这件事)带来的不良后果,却落在了扎克伯格、拉里·佩奇、蒂姆·库克、玛丽莎·梅耶、史蒂夫·鲍尔默这些人的头上,落在了科技公司的员工以及投资者头上,但凡这些公司的服务器里存有用户的数据。
互联网的角色受到质疑
遭受威胁的不只是科技公司的营收,还有自互联网诞生以来就是高科技界之维系的理想。互联网最初只是美国国防部的一个项目,现在它已经成为全球性的网络,有望让我们步入一个互敬互谅的新时代。
斯诺登曝光的项目让人们开始质疑互联网的角色:它仍然是自由言论和自主的象征吗?如果网络成为了一种大规模监听的手段,由此产生的戒备心理可能会影响人们使用它的方式。
一些遭到美国国安局监听的国家,把这件事作为一个理由,要求在本国产生的数据就保留在国内,以免它们落入美国间谍的手中。
这么做的国家多了,互联网上就会形成诸侯割据的局面,其开放的本质将遭受毁灭性打击,开展互联网业务的成本也会大幅攀升。
虽然这些科技公司2013年6月之前从未听说过“棱镜”这个名字,但他们逐渐了解到,这是是一个几年前开展的项目。根据该项目要求,他们提交了一些数据给政府(往往是在没有正式搜查令的情况下),目的是为了国家安全。该项目的法律依据之一,是1978年的《外国情报安全法》,简称FISA。
被动摇的信任
有些公司把用户信息拱手交给国安局,对于似乎毫不介意。比如Verizon公司就从未否认自己提交了数百万用户的通话次数和通话时间。
从某种程度上说,这也不足为奇。因为这些公司不是靠信任来获得用户的,用户对这些准垄断巨头的期望也不高。电信运营商优先考虑的事情不是保护消费者,而是获得政府监管机构的青睐。
科技公司则不同。科技公司的CEO反复说,如果没有用户的信任,他们就没有生意可做,这种话大家可能都听熟了。
用户愿意分享信息,这是科技公司做生意的基础之一。作为交换,用户可以得到更多更好的服务,当然他们也就希望科技公司保护他们的个人资料隐私和安全,出现了任何异常状况都要透明公开地处理。
徒劳的抗争
雅虎曾经质疑棱镜项目要求公司提供用户资料的做法是违宪的,并在FISA法庭上据理力争,结果却是一场徒劳。他们被告知:这个做法是合法的,如果公司不合作,就会被指控为藐视法庭。
该做法可能会得罪一些大型高科技公司,但在技术方面却不会带来太大麻烦。一般来说,公司会把要求提供的数据转移到政府拥有的专用设备上。在某些情况下,政府甚至会把这些设备托管在公司。
但对小公司来说,事情就不那么容易了。例如,Lavabit 是一家安全电邮初创公司,斯诺登和其他用户使用它的服务来加密消息,政府要求Lavabit 交出斯诺登的通信密钥,而这样做就必定会暴露其他所有客户的信息。最终Lavabit屈服了,也停止运营了。
微妙的抵制
科技公司也做了一些小小的抵抗。 Twitter的法律总顾问说:“政府可以要求我们提交信息,但不能强求信息的提供方式。你可以让这个过程变得很容易,也可以让它变得很困难。”谷歌表示,他们也曾经以某个要求“过于宽泛”为理由进行过推脱。
补偿问题也提供了微妙的抵抗手段。根据FISA的要求,如果公司提交了信息,政府要提供费用上的补偿。谷歌表示没有找政府收过费。
但也有公司表示,他们把这当成一种方式,来限制政府的要求。“起初,我们觉得我们不应该为这件事收费,”这家公司的高管表示。“然后我们意识到,这是一个迫使他们三思而行的好方法。”
但是终究来说,有更大的经济动机在推动他们跟政府合作。“大公司跟政府之间有很多业务往来,”一家大型科技公司的高管指出。“你很难跟政府官员这么说话:‘我们正在这件事情上跟你们开战——另外,那个4亿美元合同可以给我们吗?’”
无法调和的冲突
这个冲突似乎没有办法调和。虽然硅谷需要为用户提供透明度,但间谍机构却是在隐蔽地开展行动。这当然是有原因的,因为正在使用互联网的恐怖分子,如果知道了科技公司会把信息提交给国安局,可能就不会再继续使用它。
但秘密行动也带来了令人不安的后果,因为它们牵涉到的任何事情都会导致怀疑和戒心,这就带来了破坏性。斯诺登曝光棱镜项目几个月后,有关它的一些问题仍然很不明朗。这个项目到底收集了多少信息?科技公司究竟跟国安局开展了怎样的合作?这些公司在声明中表示:很多情况他们不仅不能说,而且也不知道。
整个夏天,科技公司都在努力应对“棱镜门”的后果,而国安局都在设法做出合适的回应。然而,更糟糕的事情还在后面。
一个谜团的解开
10月,斯诺登又曝光了国安局的另外一个项目:在没有征得科技公司的合作,也瞒着他们的情况下,国安局收集了他们数百万用户的地址簿数据。
这个项目的代号是Muscular,《华盛顿邮报》对它进行了详细介绍:美国国安局及英国政府通讯总部如何入侵谷歌和雅虎数据中心的内部光纤,截取他们的用户信息。
从某种意义上说,这则报道解开了困扰科技公司很久的一个谜团。“我们终于明白发生了什么事。”微软首席法律顾问布拉德·史密斯说。“之前的报道说国安局拥有海量数据,而微软和科技业同业只提交了少量数据。这种矛盾让我们百思不得其解,现在总算是明白了。”
遭受背叛的愤怒
政府拦截科技公司数据中心通讯的消息,让科技界炸开了锅,大家感觉就像自己的家被抢劫了一样。
谷歌首席法律官大卫·德拉蒙德发表了一封声明,声称该公司对此很“愤怒”。雅虎的安全主管也表达了同样的态度。“我们以前从未听说这事。”他在谈到 Muscular时说,“我们做了大量工作来保护用户数据,结果却是这样。”
觉得一个法律程序是违宪的,因而反对它,这是一回事;一家负有保护用户隐私责任的美国公司,发现在网络马其诺防线外盯着自己的,却是美利坚合众国政府,这又是另外一回事了。
对于这种遭到背叛的感觉,谷歌安全工程师布兰登·唐尼在Google +上发表的一篇帖子做了形象的描述:
这些家伙去死吧。在过去十年里,为了保护谷歌用户的安全,解除谷歌遭遇的各种威胁,我努力工作。我见过机器大军和蠕虫的攻击,见过犯罪团伙的恶意软件,见过强悍的间谍软件,还见过敌对政府资助黑客攻击异见者......我耗费生命中的这些时间,为保护谷歌做出了自己小小的贡献,但却遇到这种事情,感觉就像是费尽千辛万苦,战胜了索隆,摧毁了魔戒,终于回到家乡,却发现国安局在那里砍倒了我们的“宴会树”(Party Tree),用半兽人和鞭子赶走了所有的霍比特人。
Muscular项目曝光之后,很多科技公司开始强化安全措施。比如Facebook和微软计划导入Perfect Forward Secrecy(PFS)安全系统,让密码更加难以被破解。微软首席法律顾问布拉德·史密斯在一篇帖子中写道,采取这些措施是为了确保政府获得数据是“由法院决定的,而不是由技术蛮力决定的”。
但即便是进一步加密也未必抵挡得住国安局。斯诺登跟ProPublica和《纽约时报》合作曝光的另外一些文件显示,国安局已经成功破解了一些常见的加密方式。国安局甚至还努力推动一些他们已经破解的加密标准,以方便进行监听活动。
网络安全的一个著名原则是:任何缺陷最终都将被发现和利用。如果国安局发现了一些安全漏洞,却没有告知公司,那么居心不良的人也有可能发现这些漏洞并利用它们。外国政府甚至可以用它们来获取富有价值的商业机密。
竞争力遭到削弱
2013年11月,斯诺登在德国新闻周刊《明镜》曝光了另一个事件:美国国安局和英國的政府通信总部合作开展的一个行动,严重动摇用户对美国科技公司的信任。
为了入侵总部位于布鲁塞尔的电信公司Belgacom,国安局建立了假的Slashdot和LinkedIn网站。当Belgacom员工试图用公司的电脑上Slashdot和LinkedIn时,他们就被引到了假冒的网站去,在那里,间谍把恶意软件植入他们的设备。
LinkedIn对此表示了不满。原因很容易理解:如果国外用户无法知道他们使用服务是不是真的,他们可能就不会再使用这个服务了。
一些国家,比如中国,由于间谍活动嫌疑较大,海外买家对这些国家的公司另眼相看,对它们的产品心存戒备。现在美国也可能遭到这样的对待。
风投资本家布拉德·伯纳姆(Brad Burnham)说:“有一个山寨Dropbox的服务跟我说:‘我们公司在欧洲,我们的政府不会搞监听!’”
虽然各大公司尚未出现业务大量流失的情况,但他们承认,海外用户确实心存疑虑。美国参议员怀登说:“在严峻的全球经济形势中,这件事削弱了我们的竞争力。”
最大的担忧
即便用户对公司的信任度下降了,这还不是科技公司在“棱镜门”事件后最大的担忧。 Facebook首席执行官马克·扎克伯格认为,互联网的内在价值会让用户继续使用大型在线服务。但他和其他人担心,国安局项目的曝光会导致其他国家做出一些反应,这些反应不仅会削弱科技公司的竞争力,还会伤及网络本身。
“我说美国政府捅了篓子,原因之一就是:世界各国的政府可能会制定自己的法律,允许入侵互联网用户的信息,这就对互联网的安全形成了威胁。”他说。
扎克伯格指的是一个长期存在的潜流:互联网割据。它有可能破坏网络本身。互联网割据的基本概念是,一国公民的个人数据应该存储在本国境内的服务器上。
这个理念的一些支持者认为,这只是贸易保护主义的一种形式,旨在激励国民使用本土IT服务。还有些人认为,这是一种手段,让国家更容易监视自己的公民。
在“棱镜门”事件发生之前,这个理念从来没有造成过太大的威胁,但现在,一些国家开始认真考虑这件事了。
互联网割据的趋向
巴西总统迪尔玛·罗塞夫在得知自己遭到美国国安局监听之后,开始推动一项法律,要求把巴西公民的个人资料全部储存在该国境内的服务器上。马来西亚最近颁布了类似的法律,而印度也开始提倡数据保护主义了。
在熟悉互联网协议的人听来,这种做法蠢透了。谷歌的德拉蒙德说,这会形成几十个独立的、彼此不进行沟通的互联网。“这不现实,非常短视。” LinkedIn的罗滕伯格说,“这怎么行?如果我是巴西居民,我出国旅行的时候,就不能用自己的数据了?”
不只是发展中国家在考虑这件事,据说德国也有一个类似的计划。在一个欧洲网络安全会议上,德国电信公司的首席执行官勒内·奥伯曼(Renè Obermann)对这个计划表示了原则上的赞同。
在“棱镜门”之前,提出这样的建议可能会被轰出门去。但现在,德国总理默克尔被监听的事情曝光之后,奥伯曼的发言肯定会得到一些人的支持。
糟糕的影响
互联网割据最糟糕的影响之一,就是可能会危及创业公司的发展前景。如果Facebook或YouTube在发展的初期,不得不弄清楚如何将数据存储在几十个不同国家,这些公司还会发展壮大起来吗?
越来越多的市场,比如巴西,正在努力通过一些法律。这些法律基本上是在说,“你不能在这里开展业务,除非你把我国用户的数据存储在我们国内。”对一些大公司来说,付出高昂的成本之后还有可能办到这一点,但对于一些年轻的初创公司而言,这就会直接浇灭他们为全球各地的人创建服务的抱负。
在“棱镜门”之前,科技公司可能会说,互联网割据制造了人为的孤立,让一些国家的公民失去了选择的自由,遭受到更多的审查和监视。但现在,人们已经很难接受这个说法了,因为斯诺登已经曝光了美国政府利用科技公司来监听全球的行为。
国安局的看法
“这不是这些公司的过错。他们也是被迫这么做。美国政府有责任在国内外为这些公司提供支持。这才符合美国的最佳利益。我们不希望这些公司丧失经济能力和优势。这是为了美国的未来着想。”
你可能以为说这番话的是谷歌、Facebook 、微软、雅虎的发言人,但其实它却出自国安局局长基思·亚历山大将军之口。然而,他仍然坚持认为这些项目是合法的、必要的,而且尊重了公民隐私,即便它们已经伤及了科技公司。
雷·奥齐是Lotus Notes的发明者,也是最早提倡使用强大加密方式的人之一,他说:“我之前太天真,一直觉得美国稍微纯净一些,觉得我们获取信息的过程是正直的。政府会向公司提出获取信息的要求,其范围也不大。但后来我清醒过来,发现我们跟其他国家也差不多。”