14 “进入黑暗”:监控的黄金时代的加密、隐私、自由与安全
杰弗里·S·科尔恩 * & Dru Brenner‐Beck **
本章探讨当前围绕加密技术的“黑化”争议的复杂性,重点关注宪法及其他公共政策层面的影响。加密技术为公民提供了一种保障其个人数据和通信免受未经授权的外部入侵的安全手段。然而,与“黑化”概念相关的加密技术也带来了代价。此类加密已大大增加了政府和执法机构获取信息的难度,有时甚至完全阻断了这种访问,即使该访问已获得法律授权。在“黑箱化”争议的核心,是利益之间的冲突——一方面是个体自由、隐私和安全的进步,另一方面则是维护政府在公共与国家安全方面的利益。第四修正案的考量应如何影响此项技术的监管,是本章第一节的内容。本节最终认为,尽管不能将第四修正案解释为禁止“黑化”加密,但对此类加密施加限制并不违背该修正案,并且可能被视为促进了隐私与公共安全之间的平衡——这种平衡被一些人认为符合第四修正案的精神。由此,其中一位合著者主张对“黑化”加密施加法律限制,以确保政府能够合理且合法地访问个人数据。随后,本章探讨了大量技术和实践因素,这些因素应为针对政府所声称的重大社会风险而制定的公共政策提供参考。这一评估促使另一位合著者得出结论:强大的用户控制的加密是应对现代数字时代存在的各种个人与国家安全风险的最佳方案,其所带来的益处远远超过强制性的政府访问所能获得的好处。对于这位合著者而言,技术领域的创新市场应当不受政府限制地自由发展
引言
尽管加密技术已经存在数千年,但其现代形式是在第二次世界大战及随后的冷战期间由军事和情报界发展起来的。最初属于国家安全机构的专属领域,但在过去三十年中,随着全球通信、个人计算、互联网和智能手机的迅速发展,加密技术已深入到全球数百万人的日常生活中,从而改变了加密技术本身的性质。如今,加密程序、应用和服务无处不在,不再局限于政府机构 exclusive 控制的高科技通信系统,而是已嵌入可供商业和个人使用的各种服务与设备之中。
与早期由电信公司提供的嵌入式加密不同,新型加密形式由于加密密钥完全由用户控制,手机制造商、分销商或服务提供商均不保留密钥,因此不易受到政府访问的影响。由于这一技术发展,政府在获得合法授权的情况下访问数字通信信息变得更加困难,甚至可能变得不可能——这一现象被称为“黑化”。针对这一情况,联邦调查局(FBI)局长詹姆斯·B·科米代表执法部门提出了一项立法建议,要求通过在加密系统中设置后门/前门的方式,强制规定政府能够继续访问加密数据和通信。对此,支持这种加密技术发展的人质疑此类强制要求是否在技术上可行,以及即使可行,是否符合第四修正案对人民“在人身、住宅、文件和财产方面安全权利”的保护。
作为回应,支持立法强制前门访问加密数据的一方则认为,此类法律是“合理”的,并且与长期以来在第四修正案下维持的公共安全与隐私之间的平衡相一致。他们认为,尽管第四修正案可能并未要求此类访问,但它 certainly 不禁止国会要求此类访问。
正如近期事件所表明的那样,用户控制的加密涉及重要的法律和公共政策问题,其中包括:加密是否在偏向个人隐私和个人安全的同时过度损害了公共安全;如果确实如此,是否应通过立法加以限制或禁止。用户控制的加密本质上是否真的是个人安全与国家安全之间的安全权衡之争?而“国家安全”是否实际上依赖于“人民”自身的安全?显然,加密有助于促进个人安全、隐私以及产品和市场所依赖的数字信任,但其代价是什么?尽管很难量化所涉个人隐私与安全利益的具体程度,但毫无疑问,端点加密和端到端加密(E2EE)的广泛采用将保护日益大量的私人通信和数据;正因如此,加密同时也对政府合法获取可能至关重要的信息构成了真实且重大的障碍,而这些信息本可用于保护整个国家的安全。通过要求设置第二个解密主密钥、秘密后门或直接访问用户生成的密钥,从而为政府建立访问用户生成密钥的途径,或许有助于政府监控工作的开展,但这同样需要付出代价,而且许多人认为这种代价相当巨大。无论采取何种机制来保护这些加密密钥,或限制政府对它们的访问,只要存在另一扇“门”或“政府专用魔法钥匙”,就会增加未经授权或非法访问的风险。事实上,在移动设备中嵌入端点加密(以及端到端加密)的根本理由正是基于消费者对最大程度的数据和隐私保护的需求。
和安全。此外,主要由于对需要通信服务提供商与政府合作的机密政府监控计划的曝光,端到端加密和端点加密被视为对侵蚀个人隐私和自由的滥用政府监控手段的重要制约。
围绕加密的持续争论表明,随着技术颠覆了以往关于维护和平衡个人安全、隐私与自由以及公共安全(包括执法和国家安全利益)所需适当措施的共识,法律与公共政策正经历更广泛的动荡。随着现有制衡机制在新的技术现实下是否仍有效的问题出现,先前的共识逐渐瓦解。在此“旧”法律与“新”技术交汇所引发的混乱之中,现有的法律规则为应对这些挑战的政策构建提供了基础——这一基础有望确保个人自由、隐私与安全利益以及政府在公共与国家安全方面的利益得到推进。
为了探讨这场持续争论中的核心法律与政策考量,本章将首先分析对加密数据实施法定的前门访问要求是否违反第四修正案,并得出结论:此类立法并不违反第四修正案,在某些方面甚至可能与当代第四修正案判例法中反映的隐私与公共安全之间的平衡相一致。接下来,本章还将探讨此类立法努力所涉及的一系列法律与政策问题。最终,本章作者们就强制实施确保政府在合法授权情况下可访问加密密钥的法定授权是否明智得出了不同的结论。一位作者认为,此类法定授权在相互竞争的隐私与安全利益之间实现了必要且合理的平衡,这种平衡与第四修正案判例法中核心的“合理性”概念相一致。而另一位作者则认为,相关政策考量表明,总体而言,允许用户控制的加密且不存在可供政府利用的前门或后门访问所带来的好处,远远超过“进入黑暗”所带来的真实成本。在该作者看来,由于此类立法对人民安全权利产生的巨大影响,强制政府访问的立法最终在第四修正案下是“不合理”的。
一 技术及其引发的争论
在20世纪70年代之前,加密需要双方之间单独交换一个私钥(私钥加密),从而允许使用该共享密钥的算法来解密和加密消息(对称加密)。该方法要求双方事先互相了解并安全地交换加密密钥和算法,然后才能进行通信。在私钥加密中,信息的安全性仅与所交换的私钥的安全性相当。1976年公钥加密技术的发展彻底改变了这一领域。在“公钥加密”中,系统依赖于一对相互关联的加密密钥,一个为公钥,一个为私钥,这对密钥由两个“极大规模的素数”的乘积以及复杂的单向数学函数生成。生成的公钥可以广泛传播,并可用于加密发送给对应私钥持有者的消息,后者则使用其私钥对消息进行解密(非对称加密)。因此,公钥与私钥的关联能力使得彼此不认识或没有现有安全通信渠道的个人,能够基于公钥的公开发布来加密信息。由于“正确实现的公钥加密在当前技术条件下实际上是无法解密的”,谁掌握解密密钥以及政府能否访问这些密钥,成为新一轮(以及旧有)加密争论的核心问题。
目前,如果数据的加密由云服务提供商进行,例如谷歌或Dropbox所做的那样,那么数据在上传到云端存储时由服务提供商进行加密,并且加密密钥由服务提供商保留。用户通过身份识别和密码访问,可以实现无缝且快速的解密,但加密密钥仍由服务提供商持有,而非用户。相比之下,在端点加密的情况下,用户自己持有加密密钥,并使用其计算机或智能手机上的程序对数据进行加密。因此,数据在存储到计算机或手机上、通过电话或互联网发送或上传到云端之前就已经被加密,只有在用户提供密钥的情况下才能解密。2010年,谷歌将其Gmail服务的默认设置更改为端点加密,苹果公司在2014年对其iPhone也采取了同样的做法。政府对这些由用户持有的加密密钥的访问是近期“黑化”争议的焦点。最后,端到端加密(E2EE)对在传输中的消息进行加密,例如Skype、PGP(Pretty Good Privacy)、ProtonMail或 Telegram、Signal、WhatsApp或谷歌的端到端Allo和Duo应用程序所采用的方式,其加密密钥同样仅由终端用户的计算机或智能手机持有。尽管这些技术最初被认为难以使用,但企业已致力于提供无缝的端到端加密电子邮件和消息服务,ProtonMail在2016年3月宣布其已推出适用于iOS和安卓的应用程序,这使得其使用范围可能进一步扩大。由于在端到端加密系统下加密密钥也由用户持有,因此与端点加密一样,引发了关于政府合法访问权丧失的担忧。本章将使用“加密”一词指代用户控制密钥的加密方式,如端点加密和端到端加密系统;使用“数据”一词指代数据本身以及通信内容。
在移动设备和计算机中嵌入加密技术以提供数据保护和安全并不具有争议性。很少有人会质疑允许消费者使用技术功能,使其能够基本“锁上”存储在移动设备和计算机中的数据之门,并保护其数字通信的机密性和安全性所带来的益处,特别是考虑到计算机犯罪和身份盗窃事件日益增多。越来越多的移动设备制造商和服务提供商在设备中嵌入端点加密和端到端加密,以向消费者提供强大的安全保护和不可侵犯的隐私区域。与早期在手机中嵌入或由服务提供商提供的加密功能不同,此类加密不会因手机制造商、分销商或服务提供商保留加密密钥,并在合法授权的情况下向政府执法人员提供“前门”访问权限而受到威胁。这一趋势正在加速,而且这些服务和产品通常由不受美国法律管辖的公司提供。保护的无争议努力当加密导致数字数据和通信无法被法院授权的政府监控获取时,这一问题便引发了争议,原因可能是加密密钥仅由用户持有,或服务提供商不响应美国法律程序。
政府官员几十年来一直谴责由用户控制的加密密钥所实现的完全加密——这一问题被称为“黑化”。然而,2015年底苹果公司与美国政府之间就获取圣贝纳迪诺袭击者所使用的iPhone上存储的数据而发生的高调对峙,再次将这一问题的争论推到了公共政策和国家安全讨论的前沿。其他国家也正在面对这些问题。用户控制的加密使公民能够高度确信,存储在移动设备或计算机上的大量个人数据将免受未经授权的入侵,并且通信内容将保持私密和安全。然而,此类加密也带来了代价:即使在法律授权的情况下,也会阻碍或至少极大增加政府监控或获取信息的难度。正如圣贝纳迪诺事件所凸显的那样,这种无条件的加密能力正日益被民主政府视为公共领域的一种危险演变。
现有技术。许多政府人员认为,普遍使用配备此类加密技术的移动设备和电子通信(包括连接到互联网的计算机网络)会为依法进行搜查和监控制造不可接受的障碍,而这些搜查和监控是保护公众免受犯罪和国家安全威胁所必需的。但即使在政府内部,关于公共加密的成本/效益权衡似乎也日益存在分歧。例如,2016年初,美国国家安全局(NSA)局长迈克尔·罗杰斯上将表示,“加密是未来的基础”,并建议辩论应集中于如何满足安全与隐私双方的需求。两位前NSA局长,迈克尔·海登和约翰·迈克尔(“迈克”)·麦克康奈尔,也支持无“后门”的端到端加密,称其“对美国有利”。
这场关于加密的争论——涉及消费者“进入暗网”(go dark)的合法性和正当性,以及禁止或限制获取此类技术能力的适当性——凸显并加剧了个人自由、隐私与安全之间,以及集体国家安全和执法之间的复杂摩擦。事实上,苹果公司与政府之间围绕获取圣贝纳迪诺iPhone数据而产生的公众与司法争议引起全国乃至国际关注,其原因显而易见。在这场争议的双方,各自集结了致力于维护深层价值观的力量:一方是政府要求访问个人数据和通信所牵涉的价值,另一方是制造商拒绝协助此类访问所体现的价值。其中一派坚持认为,加密在数字安全中发挥着至关重要的作用,这一功能由政府自身推动。另一方面是那些真正关心公共安全和国家安全的人,他们担心加密系统会制造出信息与通信的禁区,使其免于政府的合法访问。
II 相互竞争的利益与第四修正案
与“黑箱化”争议相关的各种技术和公共政策考量,如果第四修正案对无理搜查和扣押的保护禁止限制个人对此类技术的访问和使用,那么这些考量在法律上就几乎没有意义。这将使政府无法通过立法或其他手段限制用户控制和端到端加密技术。因此,有必要从一开始就考虑该技术与既定的第四修正案原则之间的关系。
在许多方面,“黑箱化”争议体现了保护个人隐私、安全与自由同高效政府调查行动之间的内在摩擦,后者旨在维护国家安全和执法利益——这些行动必须符合第四修正案的要求。这种摩擦源于该修正案核心的合理性要求。当代第四修正案判例法始终强调保护公民免受不合理搜查和扣押的重要性,所确立的并非绝对的人身、住宅、文件和财产安全权利,而是允许政府进行合理入侵的有限权利。因此,该法理学通常反映出法院努力在民众对人身、住宅、文件和财产的安全利益与政府高效执法的利益之间达成理性平衡,前提是这些行为被认定为合理。在加密争议的背景下,这就引出了一个至关重要但尚未解决的问题:即便经过合法授权,将隐私与安全区域视为实际上不受政府监控的观念,是否符合第四修正案?抑或这一观念与该判例法所指向的隐私与安全之间的平衡相矛盾?
政府在遵守第四修正案的前提下,可以侵入任何隐私或安全区域,这一观念并无特别之处。这仅仅反映了当代对第四修正案合理性的理解,即并非必须将隐私保护于所有政府入侵之外,而是所有针对第四修正案所保护利益的政府入侵都必须是合理的。事实上,合理性正是评估隐私与安全之间平衡的支点,最高法院将其称为“基准”。第四修正案。不断发展的加密技术会影响这种平衡,因为它可能(在一些人看来甚至已经)阻碍或阻止政府有效利用合法授权的监控来获取加密数据。如果加密技术确实影响了个人隐私与安全和公共安全之间的平衡,那么它是否过度偏向了前者?这显然是美国及国外一些高级政府官员的观点。当然,这也引出了其他复杂但至关重要的问题:政府是否有权在宪法允许范围内限制此类加密技术的开发和/或使用?以及是否应该这样做?
第四修正案及其相关法理学几乎肯定无法为这一问题提供决定性的答案。相反,正如本章后面将要解释的那样,解决这一问题涉及一系列利益,需要通过最适合立法过程的政策评估来处理。事实上,本章的一个核心前提是,这一问题不应由法院以临时的方式加以解决,避免在全国各地的法院反复上演诸如苹果诉讼这样的夸张戏剧。尽管如此,几乎同样确定的是,第四修正案的考量因素将在通过立法过程解决加密问题时产生并应当产生影响。立法机构在调和个人自由、安全与隐私同执法和社会利益及国家安全之间的关系时,必然涉及合理性权衡,这是第四修正案的一项核心原则。
A 平衡在第四修正案适用中的核心作用
最高法院一贯强调,在评估政府监控的合理性时,必须承认政府在有效执法方面的利益。例如,在施内克洛斯诉布斯塔蒙特一案中,法院探讨了在未告知当事人有权拒绝执法人员请求的情况下所获得的同意的有效性。法院支持采用综合各种情况的标准来评估同意的有效性, rejecting了第九巡回法院更为严格的裁决,即除非个人被告知其有权拒绝同意请求,否则同意无效。法院的意见强调了同意的重要性,这种重要性不是抽象意义上的,而是直接与执法功能——破案——相关联的。
在警察掌握某些非法活动的证据但缺乏实施逮捕或搜查的合理依据时,经有效同意授权的搜查可能是获取重要且可靠证据的唯一手段。……基于同意而进行的搜查可能给被搜查人带来较小的不便,而且如果操作得当,这种搜查是符合宪法规定的、完全合法的有效警察行动的一部分。
在意见的后文中,法院指出:“社会确实有实际利益去鼓励同意,因为由此产生的搜查可能会产生犯罪侦破与起诉所需的必要证据。”当然,本章提出的问题——是否应禁止用户控制的端点/端到端加密——并不涉及同意问题。然而,法院承认,其对宪法上有效同意要求采取较为宽松规则的做法,有助于促进有效调查,这一做法所体现的重要社会利益,同样适用于关于端点加密或端到端加密合法性和合理性的讨论。
也许最重要的是,Bustamante 体现了这一原则:过于严格的限制若妨碍了正当的执法监控工作,则与第四修正案的核心目标相冲突,即在个人自由与公共安全相互竞争的利益之间实现平衡。正如法院在解释其倾向于根据综合各种情况来评估同意时所指出的那样:
将认可的同意搜查的合法性与要求此类搜查完全不受官方强制因素影响这两者之间进行调和的问题,无法通过某种绝对可靠的检验标准来解决。如果不加最严格审查就批准此类搜查,则等于认可了官方强制的可能性;而对这类搜查施加人为限制,则会危及其基本有效性。正如供述的情形一样,“自愿”同意的要求体现了解相关宪法要求的一种公平协调。
使用加密技术来防止政府对数据的监控,当然与同意背道而驰,因为这是为了阻止任何对私人信息的访问,包括政府访问。然而,政府官员可能认为,无法破解的加密会阻碍法律授权的政府监控,因而构成对合法的政府执法和安全工作的“人为限制”,这种看法是可以理解的。在布斯塔曼特案中,法院驳回了提高“知情”同意标准的要求,因其得出结论认为,该要求将对“获取重要且可靠的证据的唯一手段”构成不合理障碍。换句话说,即使充分“知情”的同意要求可能增强对隐私与安全的保护,但这一要求仍无法被正当化,部分原因在于其会妨碍政府调查和侦破犯罪的努力。无法破解的加密引发了类似的考量,尽管背景大不相同。因此,在评估对用户控制的加密施加限制是否恰当时,可能有必要考虑加密技术在多大程度上会妨碍法律授权的执法调查。
诚然,禁止用户控制的加密将迫使个人承担更高的数据和通信未授权访问风险——来自滥用职权的政府实体以及潜伏在网络空间中的恶意行为者。这实际上是对政府试图限制此类加密技术获取行为的一个重要反对理由(本章后文将更深入探讨)。一些人,包括我的合著者,认为这种风险的本质使得政策平衡倾向于支持对用户控制的加密进行不受限制的公众访问,即使此类加密实际上会阻止政府对数据/通信进行监控,即使此类监控是依据第四修正案授权进行的。
这最终可能是立法机构在权衡本场辩论中所涉诸多利益之后的结果。然而,第四修正案法理学,以及该法理学所体现的在隐私与安全、政府利益与个人自由之间达成理性平衡的努力,应当为解决此问题的立法努力提供参考,包括以下基本前提:所有合法的政府访问隐私区域的行为都会带来一定程度的非法或无正当理由侵入的风险。此类风险源于经合法授权的政府监控技术,并不本质上违背第四修正案。相反,第四修正案以合理性为根本基准,要求对不受限制的公众访问用户控制的加密所带来的后果,进行审慎评估,兼顾自由与公共安全利益。
最终,不受限制的公众访问用户控制的加密的有效性,不应仅仅取决于禁止此类加密是否会带来政府非法获取信息的风险。更恰当的问题是:第一,其所产生的风险是否符合第四修正案中固有的利益平衡;第二,促进访问所带来的收益是否超过这些风险所固有的成本。然而,在进行这一评估时,应从广泛的角度评估这些风险,如同对待任何复杂的社会问题一样。如果如前所述,建立一道完全阻隔政府访问数据/通信的屏障,代表了对第四修正案核心逻辑的扭曲,那么第二个问题就变得至关重要。
对私人数据的未授权访问风险应是本场辩论中的一个重要考量因素,但同时也应考虑减轻此风险的技术和立法措施。事实上,在史密斯诉马里兰州一案的异议意见中,马歇尔大法官挑战了如今被称为“第三方学说”的逻辑,认为政府行为对公民隐私暴露的风险,才是判断特定行为是否属于第四修正案适用范围的更好标准。在史密斯案中,法院为几乎所有支持政府收集通信元数据的论点奠定了基础;然而,鉴于现代电信系统所暴露的个人敏感内容之广泛与深入,这一前提正面临日益增大的压力。史密斯案中的法院认为,个人无法对其在自己住宅内通过私人电话拨打的号码主张合理的隐私期待,因为这些号码已被披露给作为第三方的电话公司。因此,政府通过电话公司获取这些号码的行为不构成第四修正案意义上的搜查。
马歇尔大法官拒绝接受这一结论。在他看来,仅仅因为信息被暴露给第三方就否定对隐私的合理期待是无效的。相反,马歇尔大法官认为,自由社会中的正常日常运作要求其公民向第三方披露某些信息——在本案中是电话号码。因此,在马歇尔大法官看来,个人一旦向第三方披露信息便以某种方式丧失了隐私期待以及相应的第四修正案保护这一观念,与该修正案的逻辑相冲突。相反,他认为更合理的检验标准并非“个人向第三方提供信息时可被视为接受的风险是否使其隐私期待具有正当性[,]而应是他在一个自由开放的社会中是否应当被迫承担这些风险”。随着法院努力将第四修正案原则适用于数字时代,马歇尔大法官对“第三方学说”的质疑似乎正获得新的 momentum。美国各地的法官,从治安法官到最高法院,越来越多地认识到,由于计算机和智能手机等“超级存储”容器的存在,这种平衡的动态已经发生了变化。
最近两项最高法院的判决凸显了在数字化和高度互联的社会中,如何将既定的第四修正案原则协调一致所面临的挑战:合众国诉琼斯案和赖利诉加利福尼亚州案。正如索尼娅·索托马约尔大法官在琼斯案的协同意见中指出的那样,合理的隐私期待不应仅仅取决于个人是否将信息暴露给公众或第三方。相反,更重要的是应关注对信息的收集是否广泛到“以不利于民主社会的方式改变公民与政府之间的关系”。因此,当索尼娅·索托马约尔大法官主张“可能有必要重新考虑个人对自己自愿向第三方披露的信息不具有合理隐私期待这一前提”时,她似乎在呼应马歇尔大法官的观点。
这一主题在Riley案中继续延续,当时最高法院考虑的是,以逮捕为由对手机进行无证搜查是否符合第四修正案所规定的合理性。法院拒绝将几乎自动适用于合法逮捕的附带搜查权力扩展到手机内容上。法院作出这一裁决的依据完全在于,通过访问现代智能手机的内容所能获取的海量信息及其相应的隐私利益。因此,首席大法官约翰·罗伯茨认为,这类设备在数量上并且在性质上与其他受合法逮捕附带搜查的实体容器“有质的不同”。
B 不可侵犯隐私的非同寻常概念
最终,对无限制加密的反对反映了一种根深蒂固的担忧:允许这种看似有益的技术广泛传播,可能会扭曲第四修正案所核心保护的隐私与安全之间的平衡。一些人认为,维持这一平衡的愿望可能指向一种根本不同的方法:保留“前门”访问权限,并通过精心构建的机制来防止该前门遭受非法侵入。至少从第四修正案的角度来看,政府执法人员在获得合法授权后进入隐私区域是司空见惯的。事实上,即使是受到最严密保护的隐私区域——住宅——也无法完全免于此类访问。
平衡社会集体安全与个人自由之间的相互竞争的利益,是第四修正案合理性原则的核心。因此,认为第四修正案赋予个人享有不可侵犯的隐私区域权利的观点,与该修正案的文本及其司法解释不符。相反,平衡仍然是核心概念:对不合理搜查和扣押的保护,本身就承认人们可能受到合理搜查和扣押。简言之,即使针对受第四修正案文本保护的利益(个人、住宅、文件和财产),该修正案也从未对政府监控施加绝对限制。相反,人民享有的是绝对权利,即针对政府对第四修正案所保护场所和物品的不合理入侵行为,获得安全保障。
第四修正案所保护的内容一直是一个不断演变的概念。该修正案明确提到了“人身、住宅、文件和财产”,这些文本明确规定的利益无疑受到免于不合理搜查和扣押的保护。然而,自从最高法院在卡茨诉美国案这一具有里程碑意义的判决以来,该修正案的保护范围已扩展至个人对其具有“合理的隐私期待”的任何事物。法院最近有关修正案保护范围的法理学重新启用了沉寂已久的“侵入”学说,认为只要对文本明确保护的利益实施了身体侵入,即构成修正案意义上的搜查,而不论是否存在合理的隐私期待。然而,正如法院在其两项重新启用该侵入学说的判决中所指出的,合理的隐私期待标准并未被侵入学说取代,而应被视为对文本明确保护利益免受调查性侵入的补充保护。因此,根据第四修正案的意义,当政府执法人员为了获取信息而对个人、住宅、文件或财产进行身体侵入时,或侵入任何其他合理的隐私期待时,即构成搜查。
第四修正案法理学的集体影响导致了一系列广泛的受保护利益。然而,在这些利益中,没有任何一项被认为比住宅更受保护。正如最高法院在Silverman v. United States一案中指出:“第四修正案最核心的内容,是个人有权退入自己的住宅,并在那里免受政府不合理侵扰。”确实是受指向的。”因此,正如法院在佛罗里达州诉贾丁斯案中所指出的,就第四修正案的保护而言,“在第四修正案中,住宅在诸平等者中居于首位。”这是评估用户控制的加密是否符合第四修正案内在利益平衡的一个重要的分析起点。
如果住宅被视为最受保护的隐私区域之一,却仍然可能受到合法调查性侵入,那么就会引发一个简单的问题:如果数据存储设备所获得的保护并不高于住宅本身,为何对私人加密访问施加法定限制会违反第四修正案?
在Kyllo v. United States 一案中,最高法院解释说,住宅之所以受到第四修正案更强的保护,主要基于两个原因。第一,自国家建立以来,住宅一直为公民提供庇护所,使其能够退入最大程度的隐私区域。第二,对住宅的监控可能真实地暴露公民最私密、最个人的活动。因此,不仅住宅的历史地位决定了其在第四修正案保护中“同等之中居首”的地位,而且政府监控可能导致暴露的信息的性质也强化了这一必要性。根据法院的说法:
在住宅内,我们的判例表明,所有细节都是私密细节,因为整个区域都免受政府窥探。因此,在[美国诉] 卡罗案中,唯一被发现的是住宅内的一罐乙醚;而在亚利桑那州诉希克斯案中,通过超出执法人员合法在场时以“公开可见”方式所能观察范围的物理搜查,唯一发现的是唱机转盘的注册编号。这些都属于私密细节,因为它们是关于住宅内部的情况,就如同凯洛案中其住宅的温暖程度——甚至只是相对温暖的程度——这一细节一样。
总之,除了极少数涉及人身免受物理侵入的神圣性(这一点本身并非与第四修正案不相容)的情况外,住宅免受政府侵入的保护是第四修正案最为严密保护的利益之一,即使这种侵入在范围、持续时间或调查目的上有所限制。
最终,认为第四修正案或其解释性法理学指向了一种宪法权利,即使用能够有效阻止甚至合法授权的政府访问数据的加密技术,这种说法是过于宽泛的。正如对住宅的访问一样,只要此类访问是依法授权且合理执行的,就符合第四修正案。简言之,与第四修正案保护的几乎所有其他权益一样,对私人通信和数据的监控只要具有合理性,就符合第四修正案。对各种使侵入住宅的行为被视为合理的理由超出了本文的讨论范围。然而,重要的是住宅所享有的有限保护与其他隐私利益之间的类比关系,这种类比削弱了任何主张认为第四修正案赋予了使用端到端加密以确保移动设备上存储的数据享有绝对隐私的权利。
最高法院 periodically 强调,住宅受到第四修正案的特殊或 heightened 保护,这表明,虽然个人数据的保护可能与住宅的保护同样重要,但并不比后者更重要。当然,与电子数据和通信相关的隐私利益的保护仍然是 substantial,或许证明第四修正案所提供的保护至少应与对住宅的保护一样 strong。事实上,以任何形式保护人身安全和隐私都是第四修正案的核心目标,这一点在路易斯·布兰代斯大法官于奥姆斯特德诉美国一案中的异议中得到了强调:
真正构成侵权本质的,并非对其房门的破坏或对其抽屉的翻查;而是在此人并未因被定罪犯有某种公共罪行而丧失权利的情况下,侵犯其不可剥夺的人身安全、个人自由及私有财产之权利——正是对这一神圣权利的侵犯,构成了第四和第五修正案背后历史的核心。……这些修正案所保障的范围要广泛得多。我国宪法的制定者致力于确保有利于追求幸福的条件。他们认识到人类精神本性、情感和智力的重要性。他们知道,人生痛苦、快乐和满足感中,只有一部分来自物质事物。他们力求保护美国人在其信仰、思想、情感和感知方面的权利。他们赋予人民一项对抗政府的权利:不受打扰的权利——这是最全面的权利,也是文明人最为珍视的权利。
因此,如今许多人质疑这样一种假设:与通过现代数字设备传输和存储的、常常涉及亲密内容的通信和数据相比,住宅应当受到更严密的保护。通过查看移动设备或计算机中的内容,可以获取大量关于个人思想、信仰、活动或关切的信息,而这些数字信息可能涵盖传统上在住宅神圣性范围内受到保护的亲密活动。在现代信息时代,这类数据可能包括发艳照和交友应用通信、色情照片、个人文字记录、家庭照片、消息、电子邮件、医疗记录;与神职人员、医疗服务提供者、律师的通信;关于性别或其他身份、宗教探索或其他亲密活动的信息搜索。尽管这并不意味着此类数据在依法适当限制的前提下仍可免于政府调查,但应当认识到,静态数据或在传输中的数据以及其他数字通信往往揭示了一个人最深层的思想、意见、信念、情感和亲密活动,甚至可能反映思想形成过程本身。相比之下,将个人数据的保护类比于对住宅的保护具有启发意义,因为它强化了如下结论:正如对于住宅一样,个人数据并不存在免于合法政府监控行动的绝对豁免权的第四修正案权利。因此,政府权力范围内应包括制定法律,以通过管理加密带来的后果来确保此类监控行动的可行性。事实上,当侵入住宅行为符合第四修正案所规定的“合理性”时,政府执法人员可依法进入住宅。这些合法侵入并不一定需要始终获得许可;当住宅使用者拒绝接受合法侵入权力的主张,并且有合理依据认为给予其同意机会将导致紧急情况时,警察可强行进入住宅。
当然,很难想象警察在拥有合法搜查和/或扣押权力的情况下,会遇到真正无法进入的住宅。正因为如此,社会从未认真面对过这样一个问题:使住宅完全不受包括合法政府调查访问的影响,是否符合第四修正案。然而,这正是端点加密技术发展所提出的精确问题:对创建无法进入的信息隐私区域的技术访问施加法定限制,是否会违反第四修正案?或者,对政府侵犯第四修正案所保护利益的权力所作的有限限制,是否意味着可以预期政府应被允许通过法律确保对隐私区域的访问,只要这种访问符合第四修正案?
至少在涉及住宅的情况下,这个问题的答案似乎是“是的”。尽管最高法院从未遇到过“无法进入的住宅”问题,但它已表明,当政府进入住宅的行为符合第四修正案时,政府有权进入住宅。在佩顿诉纽约案中,法院推翻了一项纽约州法律,该法规授权警察在有合理依据的情况下,无证进入住宅实施重罪逮捕。法院再次强调了第四修正案对住宅所提供的最高程度保护。然而,法院也指出,一旦持有搜查或逮捕或逮捕搜查令,警察就有权进入住宅以实现搜查令或逮捕令的目的。
确实,逮捕令要求提供的保护可能少于搜查令要求,但它足以在热衷执法的警官与公民之间插入治安法官对合理依据的判断。如果有足够证据表明某公民参与了重罪,足以说服司法官员其逮捕是正当的,那么要求该公民向执法人员打开家门在宪法上便是合理的。因此,就第四修正案而言,基于合理依据签发的逮捕令,隐含地赋予执法人员有限的权力,使其可以进入嫌疑人居住的住所,前提是理由相信嫌疑人当时就在其中。建立一道无法穿透的屏障来阻止进入住宅显然会挫败这种合法的政府权力。因此,禁止类似的障碍以阻止对个人数据的合法访问似乎与佩顿的核心逻辑一致。最终,法院第四修正案法理学对住宅的处理指向一个看似重要的前提:该修正案要求在隐私保护与政府合法调查利益之间实现理性平衡。然而,这仅仅是加密辩论的起点;终点必须基于更广泛的公共政策考量。
III 宪法之外的利益
A 加密作为社会公益
正如前美国国防部副部长威廉·J·林恩三世所指出的:“互联网的设计初衷是协作性强、可快速扩展,并且对技术创新的门槛较低;而安全与身份管理则被置于较低的优先级。”由于互联网是一个完全开放的分组交换网络,其智能终端主机为计算机,因此安全问题固有存在,因为大多数终端计算机的安全性普遍较差,设备未打补丁且容易受到攻击。这些安全隐患可能被用来攻击网络基础设施本身,或破坏通过该网络传输的通信和数据的完整性与隐私。“如果没有加密,所有联网通信从根本上来说都是不安全的。”蜂窝电话网络也存在类似的弱点,这类网络依赖无线电波在基站与手机之间传输语音和短信消息。尽管现代“数字蜂窝系统在手机终端与基站之间的‘空中接口’采用了加密”,但解码数字信号的设备很容易获得,而且“标准商用加密的安全性因网络类型而异,通常被认为并不十分安全”。
因此,非对称公钥加密在其各种应用中可提供四项关键服务,以缓解计算机和蜂窝网络中存在的安全风险:(1)机密性,(2)认证,(3)验证或完整性,以及(4)不可否认性。首先也是最为人熟知的一点,加密可通过保护通信以防窃听来确保机密性。其次,加密——通常通过数字签名实现——可用于认证远程用户或系统的身份。第三,加密可确保通信在传输中或在存储中未被查看或篡改,这被称为验证或完整性。最后,不可否认性是一种严格的认证形式,通常用于法律用途的身份确认。
加密所提供的技术优势与公众对加密能够恢复现代信息时代中部分已丧失的隐私与安全的常识性理解同样重要,美国第九巡回上诉法院在伯恩斯坦诉美国案中的一个合议庭对此有明确表述:
我们注意到,政府试图监管和控制与加密相关的知识传播,可能涉及的不仅仅是密码学家的第一修正案权利。在这个日益电子化的时代,我们在日常生活中都不得不依赖现代技术进行相互沟通。然而,这种对电子通信的依赖,却极大地削弱了我们私下交流的能力。手机可能被监听,电子邮件容易被截获,互联网上的交易往往不够安全。像提供我们的信用卡号、社会安全号码或银行账号这样常见的行为,都会使我们每个人面临风险。此外,当我们使用电子方式进行通信时,往往会留下可以追溯到我们个人的电子“指纹”。无论是被政府、犯罪分子还是邻居监视,可以说,我们保护个人事务免受窥探的能力从未如此低下。安全加密的可用性和使用或许为我们提供了一个机会,以重新获得一部分已经失去的隐私。因此,政府对加密技术的管控不仅可能影响致力于拓展科学边界的密码学家的第一修正案权利,还可能影响我们每个人作为加密技术潜在受益者的宪法权利。从这一角度来看,政府阻碍密码学发展的努力,可能不仅涉及第四修正案,还可能涉及匿名言论权、反对强迫言论权以及信息隐私权。
正是这种对公共利益的广泛定义,在制定明确包含强
14 “进入黑暗”:监控的黄金时代的加密、隐私、自由与安全
杰弗里·S·科尔恩 * & Dru Brenner‐Beck **
本章探讨当前围绕加密技术的“黑化”争议的复杂性,重点关注宪法及其他公共政策层面的影响。加密技术为公民提供了一种保障其个人数据和通信免受未经授权的外部入侵的安全手段。然而,与“黑化”概念相关的加密技术也带来了代价。此类加密已大大增加了政府和执法机构获取信息的难度,有时甚至完全阻断了这种访问,即使该访问已获得法律授权。在“黑箱化”争议的核心,是利益之间的冲突——一方面是个体自由、隐私和安全的进步,另一方面则是维护政府在公共与国家安全方面的利益。第四修正案的考量应如何影响此项技术的监管,是本章第一节的内容。本节最终认为,尽管不能将第四修正案解释为禁止“黑化”加密,但对此类加密施加限制并不违背该修正案,并且可能被视为促进了隐私与公共安全之间的平衡——这种平衡被一些人认为符合第四修正案的精神。由此,其中一位合著者主张对“黑化”加密施加法律限制,以确保政府能够合理且合法地访问个人数据。随后,本章探讨了大量技术和实践因素,这些因素应为针对政府所声称的重大社会风险而制定的公共政策提供参考。这一评估促使另一位合著者得出结论:强大的用户控制的加密是应对现代数字时代存在的各种个人与国家安全风险的最佳方案,其所带来的益处远远超过强制性的政府访问所能获得的好处。对于这位合著者而言,技术领域的创新市场应当不受政府限制地自由发展
引言
尽管加密技术已经存在数千年,但其现代形式是在第二次世界大战及随后的冷战期间由军事和情报界发展起来的。最初属于国家安全机构的专属领域,但在过去三十年中,随着全球通信、个人计算、互联网和智能手机的迅速发展,加密技术已深入到全球数百万人的日常生活中,从而改变了加密技术本身的性质。如今,加密程序、应用和服务无处不在,不再局限于政府机构 exclusive 控制的高科技通信系统,而是已嵌入可供商业和个人使用的各种服务与设备之中。
与早期由电信公司提供的嵌入式加密不同,新型加密形式由于加密密钥完全由用户控制,手机制造商、分销商或服务提供商均不保留密钥,因此不易受到政府访问的影响。由于这一技术发展,政府在获得合法授权的情况下访问数字通信信息变得更加困难,甚至可能变得不可能——这一现象被称为“黑化”。针对这一情况,联邦调查局(FBI)局长詹姆斯·B·科米代表执法部门提出了一项立法建议,要求通过在加密系统中设置后门/前门的方式,强制规定政府能够继续访问加密数据和通信。对此,支持这种加密技术发展的人质疑此类强制要求是否在技术上可行,以及即使可行,是否符合第四修正案对人民“在人身、住宅、文件和财产方面安全权利”的保护。
作为回应,支持立法强制前门访问加密数据的一方则认为,此类法律是“合理”的,并且与长期以来在第四修正案下维持的公共安全与隐私之间的平衡相一致。他们认为,尽管第四修正案可能并未要求此类访问,但它 certainly 不禁止国会要求此类访问。
正如近期事件所表明的那样,用户控制的加密涉及重要的法律和公共政策问题,其中包括:加密是否在偏向个人隐私和个人安全的同时过度损害了公共安全;如果确实如此,是否应通过立法加以限制或禁止。用户控制的加密本质上是否真的是个人安全与国家安全之间的安全权衡之争?而“国家安全”是否实际上依赖于“人民”自身的安全?显然,加密有助于促进个人安全、隐私以及产品和市场所依赖的数字信任,但其代价是什么?尽管很难量化所涉个人隐私与安全利益的具体程度,但毫无疑问,端点加密和端到端加密(E2EE)的广泛采用将保护日益大量的私人通信和数据;正因如此,加密同时也对政府合法获取可能至关重要的信息构成了真实且重大的障碍,而这些信息本可用于保护整个国家的安全。通过要求设置第二个解密主密钥、秘密后门或直接访问用户生成的密钥,从而为政府建立访问用户生成密钥的途径,或许有助于政府监控工作的开展,但这同样需要付出代价,而且许多人认为这种代价相当巨大。无论采取何种机制来保护这些加密密钥,或限制政府对它们的访问,只要存在另一扇“门”或“政府专用魔法钥匙”,就会增加未经授权或非法访问的风险。事实上,在移动设备中嵌入端点加密(以及端到端加密)的根本理由正是基于消费者对最大程度的数据和隐私保护的需求。
和安全。此外,主要由于对需要通信服务提供商与政府合作的机密政府监控计划的曝光,端到端加密和端点加密被视为对侵蚀个人隐私和自由的滥用政府监控手段的重要制约。
围绕加密的持续争论表明,随着技术颠覆了以往关于维护和平衡个人安全、隐私与自由以及公共安全(包括执法和国家安全利益)所需适当措施的共识,法律与公共政策正经历更广泛的动荡。随着现有制衡机制在新的技术现实下是否仍有效的问题出现,先前的共识逐渐瓦解。在此“旧”法律与“新”技术交汇所引发的混乱之中,现有的法律规则为应对这些挑战的政策构建提供了基础——这一基础有望确保个人自由、隐私与安全利益以及政府在公共与国家安全方面的利益得到推进。
为了探讨这场持续争论中的核心法律与政策考量,本章将首先分析对加密数据实施法定的前门访问要求是否违反第四修正案,并得出结论:此类立法并不违反第四修正案,在某些方面甚至可能与当代第四修正案判例法中反映的隐私与公共安全之间的平衡相一致。接下来,本章还将探讨此类立法努力所涉及的一系列法律与政策问题。最终,本章作者们就强制实施确保政府在合法授权情况下可访问加密密钥的法定授权是否明智得出了不同的结论。一位作者认为,此类法定授权在相互竞争的隐私与安全利益之间实现了必要且合理的平衡,这种平衡与第四修正案判例法中核心的“合理性”概念相一致。而另一位作者则认为,相关政策考量表明,总体而言,允许用户控制的加密且不存在可供政府利用的前门或后门访问所带来的好处,远远超过“进入黑暗”所带来的真实成本。在该作者看来,由于此类立法对人民安全权利产生的巨大影响,强制政府访问的立法最终在第四修正案下是“不合理”的。
一 技术及其引发的争论
在20世纪70年代之前,加密需要双方之间单独交换一个私钥(私钥加密),从而允许使用该共享密钥的算法来解密和加密消息(对称加密)。该方法要求双方事先互相了解并安全地交换加密密钥和算法,然后才能进行通信。在私钥加密中,信息的安全性仅与所交换的私钥的安全性相当。1976年公钥加密技术的发展彻底改变了这一领域。在“公钥加密”中,系统依赖于一对相互关联的加密密钥,一个为公钥,一个为私钥,这对密钥由两个“极大规模的素数”的乘积以及复杂的单向数学函数生成。生成的公钥可以广泛传播,并可用于加密发送给对应私钥持有者的消息,后者则使用其私钥对消息进行解密(非对称加密)。因此,公钥与私钥的关联能力使得彼此不认识或没有现有安全通信渠道的个人,能够基于公钥的公开发布来加密信息。由于“正确实现的公钥加密在当前技术条件下实际上是无法解密的”,谁掌握解密密钥以及政府能否访问这些密钥,成为新一轮(以及旧有)加密争论的核心问题。
目前,如果数据的加密由云服务提供商进行,例如谷歌或Dropbox所做的那样,那么数据在上传到云端存储时由服务提供商进行加密,并且加密密钥由服务提供商保留。用户通过身份识别和密码访问,可以实现无缝且快速的解密,但加密密钥仍由服务提供商持有,而非用户。相比之下,在端点加密的情况下,用户自己持有加密密钥,并使用其计算机或智能手机上的程序对数据进行加密。因此,数据在存储到计算机或手机上、通过电话或互联网发送或上传到云端之前就已经被加密,只有在用户提供密钥的情况下才能解密。2010年,谷歌将其Gmail服务的默认设置更改为端点加密,苹果公司在2014年对其iPhone也采取了同样的做法。政府对这些由用户持有的加密密钥的访问是近期“黑化”争议的焦点。最后,端到端加密(E2EE)对在传输中的消息进行加密,例如Skype、PGP(Pretty Good Privacy)、ProtonMail或 Telegram、Signal、WhatsApp或谷歌的端到端Allo和Duo应用程序所采用的方式,其加密密钥同样仅由终端用户的计算机或智能手机持有。尽管这些技术最初被认为难以使用,但企业已致力于提供无缝的端到端加密电子邮件和消息服务,ProtonMail在2016年3月宣布其已推出适用于iOS和安卓的应用程序,这使得其使用范围可能进一步扩大。由于在端到端加密系统下加密密钥也由用户持有,因此与端点加密一样,引发了关于政府合法访问权丧失的担忧。本章将使用“加密”一词指代用户控制密钥的加密方式,如端点加密和端到端加密系统;使用“数据”一词指代数据本身以及通信内容。
在移动设备和计算机中嵌入加密技术以提供数据保护和安全并不具有争议性。很少有人会质疑允许消费者使用技术功能,使其能够基本“锁上”存储在移动设备和计算机中的数据之门,并保护其数字通信的机密性和安全性所带来的益处,特别是考虑到计算机犯罪和身份盗窃事件日益增多。越来越多的移动设备制造商和服务提供商在设备中嵌入端点加密和端到端加密,以向消费者提供强大的安全保护和不可侵犯的隐私区域。与早期在手机中嵌入或由服务提供商提供的加密功能不同,此类加密不会因手机制造商、分销商或服务提供商保留加密密钥,并在合法授权的情况下向政府执法人员提供“前门”访问权限而受到威胁。这一趋势正在加速,而且这些服务和产品通常由不受美国法律管辖的公司提供。保护的无争议努力当加密导致数字数据和通信无法被法院授权的政府监控获取时,这一问题便引发了争议,原因可能是加密密钥仅由用户持有,或服务提供商不响应美国法律程序。
政府官员几十年来一直谴责由用户控制的加密密钥所实现的完全加密——这一问题被称为“黑化”。然而,2015年底苹果公司与美国政府之间就获取圣贝纳迪诺袭击者所使用的iPhone上存储的数据而发生的高调对峙,再次将这一问题的争论推到了公共政策和国家安全讨论的前沿。其他国家也正在面对这些问题。用户控制的加密使公民能够高度确信,存储在移动设备或计算机上的大量个人数据将免受未经授权的入侵,并且通信内容将保持私密和安全。然而,此类加密也带来了代价:即使在法律授权的情况下,也会阻碍或至少极大增加政府监控或获取信息的难度。正如圣贝纳迪诺事件所凸显的那样,这种无条件的加密能力正日益被民主政府视为公共领域的一种危险演变。
现有技术。许多政府人员认为,普遍使用配备此类加密技术的移动设备和电子通信(包括连接到互联网的计算机网络)会为依法进行搜查和监控制造不可接受的障碍,而这些搜查和监控是保护公众免受犯罪和国家安全威胁所必需的。但即使在政府内部,关于公共加密的成本/效益权衡似乎也日益存在分歧。例如,2016年初,美国国家安全局(NSA)局长迈克尔·罗杰斯上将表示,“加密是未来的基础”,并建议辩论应集中于如何满足安全与隐私双方的需求。两位前NSA局长,迈克尔·海登和约翰·迈克尔(“迈克”)·麦克康奈尔,也支持无“后门”的端到端加密,称其“对美国有利”。
这场关于加密的争论——涉及消费者“进入暗网”(go dark)的合法性和正当性,以及禁止或限制获取此类技术能力的适当性——凸显并加剧了个人自由、隐私与安全之间,以及集体国家安全和执法之间的复杂摩擦。事实上,苹果公司与政府之间围绕获取圣贝纳迪诺iPhone数据而产生的公众与司法争议引起全国乃至国际关注,其原因显而易见。在这场争议的双方,各自集结了致力于维护深层价值观的力量:一方是政府要求访问个人数据和通信所牵涉的价值,另一方是制造商拒绝协助此类访问所体现的价值。其中一派坚持认为,加密在数字安全中发挥着至关重要的作用,这一功能由政府自身推动。另一方面是那些真正关心公共安全和国家安全的人,他们担心加密系统会制造出信息与通信的禁区,使其免于政府的合法访问。
II 相互竞争的利益与第四修正案
与“黑箱化”争议相关的各种技术和公共政策考量,如果第四修正案对无理搜查和扣押的保护禁止限制个人对此类技术的访问和使用,那么这些考量在法律上就几乎没有意义。这将使政府无法通过立法或其他手段限制用户控制和端到端加密技术。因此,有必要从一开始就考虑该技术与既定的第四修正案原则之间的关系。
在许多方面,“黑箱化”争议体现了保护个人隐私、安全与自由同高效政府调查行动之间的内在摩擦,后者旨在维护国家安全和执法利益——这些行动必须符合第四修正案的要求。这种摩擦源于该修正案核心的合理性要求。当代第四修正案判例法始终强调保护公民免受不合理搜查和扣押的重要性,所确立的并非绝对的人身、住宅、文件和财产安全权利,而是允许政府进行合理入侵的有限权利。因此,该法理学通常反映出法院努力在民众对人身、住宅、文件和财产的安全利益与政府高效执法的利益之间达成理性平衡,前提是这些行为被认定为合理。在加密争议的背景下,这就引出了一个至关重要但尚未解决的问题:即便经过合法授权,将隐私与安全区域视为实际上不受政府监控的观念,是否符合第四修正案?抑或这一观念与该判例法所指向的隐私与安全之间的平衡相矛盾?
政府在遵守第四修正案的前提下,可以侵入任何隐私或安全区域,这一观念并无特别之处。这仅仅反映了当代对第四修正案合理性的理解,即并非必须将隐私保护于所有政府入侵之外,而是所有针对第四修正案所保护利益的政府入侵都必须是合理的。事实上,合理性正是评估隐私与安全之间平衡的支点,最高法院将其称为“基准”。第四修正案。不断发展的加密技术会影响这种平衡,因为它可能(在一些人看来甚至已经)阻碍或阻止政府有效利用合法授权的监控来获取加密数据。如果加密技术确实影响了个人隐私与安全和公共安全之间的平衡,那么它是否过度偏向了前者?这显然是美国及国外一些高级政府官员的观点。当然,这也引出了其他复杂但至关重要的问题:政府是否有权在宪法允许范围内限制此类加密技术的开发和/或使用?以及是否应该这样做?
第四修正案及其相关法理学几乎肯定无法为这一问题提供决定性的答案。相反,正如本章后面将要解释的那样,解决这一问题涉及一系列利益,需要通过最适合立法过程的政策评估来处理。事实上,本章的一个核心前提是,这一问题不应由法院以临时的方式加以解决,避免在全国各地的法院反复上演诸如苹果诉讼这样的夸张戏剧。尽管如此,几乎同样确定的是,第四修正案的考量因素将在通过立法过程解决加密问题时产生并应当产生影响。立法机构在调和个人自由、安全与隐私同执法和社会利益及国家安全之间的关系时,必然涉及合理性权衡,这是第四修正案的一项核心原则。
A 平衡在第四修正案适用中的核心作用
最高法院一贯强调,在评估政府监控的合理性时,必须承认政府在有效执法方面的利益。例如,在施内克洛斯诉布斯塔蒙特一案中,法院探讨了在未告知当事人有权拒绝执法人员请求的情况下所获得的同意的有效性。法院支持采用综合各种情况的标准来评估同意的有效性, rejecting了第九巡回法院更为严格的裁决,即除非个人被告知其有权拒绝同意请求,否则同意无效。法院的意见强调了同意的重要性,这种重要性不是抽象意义上的,而是直接与执法功能——破案——相关联的。
在警察掌握某些非法活动的证据但缺乏实施逮捕或搜查的合理依据时,经有效同意授权的搜查可能是获取重要且可靠证据的唯一手段。……基于同意而进行的搜查可能给被搜查人带来较小的不便,而且如果操作得当,这种搜查是符合宪法规定的、完全合法的有效警察行动的一部分。
在意见的后文中,法院指出:“社会确实有实际利益去鼓励同意,因为由此产生的搜查可能会产生犯罪侦破与起诉所需的必要证据。”当然,本章提出的问题——是否应禁止用户控制的端点/端到端加密——并不涉及同意问题。然而,法院承认,其对宪法上有效同意要求采取较为宽松规则的做法,有助于促进有效调查,这一做法所体现的重要社会利益,同样适用于关于端点加密或端到端加密合法性和合理性的讨论。
也许最重要的是,Bustamante 体现了这一原则:过于严格的限制若妨碍了正当的执法监控工作,则与第四修正案的核心目标相冲突,即在个人自由与公共安全相互竞争的利益之间实现平衡。正如法院在解释其倾向于根据综合各种情况来评估同意时所指出的那样:
将认可的同意搜查的合法性与要求此类搜查完全不受官方强制因素影响这两者之间进行调和的问题,无法通过某种绝对可靠的检验标准来解决。如果不加最严格审查就批准此类搜查,则等于认可了官方强制的可能性;而对这类搜查施加人为限制,则会危及其基本有效性。正如供述的情形一样,“自愿”同意的要求体现了解相关宪法要求的一种公平协调。
使用加密技术来防止政府对数据的监控,当然与同意背道而驰,因为这是为了阻止任何对私人信息的访问,包括政府访问。然而,政府官员可能认为,无法破解的加密会阻碍法律授权的政府监控,因而构成对合法的政府执法和安全工作的“人为限制”,这种看法是可以理解的。在布斯塔曼特案中,法院驳回了提高“知情”同意标准的要求,因其得出结论认为,该要求将对“获取重要且可靠的证据的唯一手段”构成不合理障碍。换句话说,即使充分“知情”的同意要求可能增强对隐私与安全的保护,但这一要求仍无法被正当化,部分原因在于其会妨碍政府调查和侦破犯罪的努力。无法破解的加密引发了类似的考量,尽管背景大不相同。因此,在评估对用户控制的加密施加限制是否恰当时,可能有必要考虑加密技术在多大程度上会妨碍法律授权的执法调查。
诚然,禁止用户控制的加密将迫使个人承担更高的数据和通信未授权访问风险——来自滥用职权的政府实体以及潜伏在网络空间中的恶意行为者。这实际上是对政府试图限制此类加密技术获取行为的一个重要反对理由(本章后文将更深入探讨)。一些人,包括我的合著者,认为这种风险的本质使得政策平衡倾向于支持对用户控制的加密进行不受限制的公众访问,即使此类加密实际上会阻止政府对数据/通信进行监控,即使此类监控是依据第四修正案授权进行的。
这最终可能是立法机构在权衡本场辩论中所涉诸多利益之后的结果。然而,第四修正案法理学,以及该法理学所体现的在隐私与安全、政府利益与个人自由之间达成理性平衡的努力,应当为解决此问题的立法努力提供参考,包括以下基本前提:所有合法的政府访问隐私区域的行为都会带来一定程度的非法或无正当理由侵入的风险。此类风险源于经合法授权的政府监控技术,并不本质上违背第四修正案。相反,第四修正案以合理性为根本基准,要求对不受限制的公众访问用户控制的加密所带来的后果,进行审慎评估,兼顾自由与公共安全利益。
最终,不受限制的公众访问用户控制的加密的有效性,不应仅仅取决于禁止此类加密是否会带来政府非法获取信息的风险。更恰当的问题是:第一,其所产生的风险是否符合第四修正案中固有的利益平衡;第二,促进访问所带来的收益是否超过这些风险所固有的成本。然而,在进行这一评估时,应从广泛的角度评估这些风险,如同对待任何复杂的社会问题一样。如果如前所述,建立一道完全阻隔政府访问数据/通信的屏障,代表了对第四修正案核心逻辑的扭曲,那么第二个问题就变得至关重要。
对私人数据的未授权访问风险应是本场辩论中的一个重要考量因素,但同时也应考虑减轻此风险的技术和立法措施。事实上,在史密斯诉马里兰州一案的异议意见中,马歇尔大法官挑战了如今被称为“第三方学说”的逻辑,认为政府行为对公民隐私暴露的风险,才是判断特定行为是否属于第四修正案适用范围的更好标准。在史密斯案中,法院为几乎所有支持政府收集通信元数据的论点奠定了基础;然而,鉴于现代电信系统所暴露的个人敏感内容之广泛与深入,这一前提正面临日益增大的压力。史密斯案中的法院认为,个人无法对其在自己住宅内通过私人电话拨打的号码主张合理的隐私期待,因为这些号码已被披露给作为第三方的电话公司。因此,政府通过电话公司获取这些号码的行为不构成第四修正案意义上的搜查。
马歇尔大法官拒绝接受这一结论。在他看来,仅仅因为信息被暴露给第三方就否定对隐私的合理期待是无效的。相反,马歇尔大法官认为,自由社会中的正常日常运作要求其公民向第三方披露某些信息——在本案中是电话号码。因此,在马歇尔大法官看来,个人一旦向第三方披露信息便以某种方式丧失了隐私期待以及相应的第四修正案保护这一观念,与该修正案的逻辑相冲突。相反,他认为更合理的检验标准并非“个人向第三方提供信息时可被视为接受的风险是否使其隐私期待具有正当性[,]而应是他在一个自由开放的社会中是否应当被迫承担这些风险”。随着法院努力将第四修正案原则适用于数字时代,马歇尔大法官对“第三方学说”的质疑似乎正获得新的 momentum。美国各地的法官,从治安法官到最高法院,越来越多地认识到,由于计算机和智能手机等“超级存储”容器的存在,这种平衡的动态已经发生了变化。
最近两项最高法院的判决凸显了在数字化和高度互联的社会中,如何将既定的第四修正案原则协调一致所面临的挑战:合众国诉琼斯案和赖利诉加利福尼亚州案。正如索尼娅·索托马约尔大法官在琼斯案的协同意见中指出的那样,合理的隐私期待不应仅仅取决于个人是否将信息暴露给公众或第三方。相反,更重要的是应关注对信息的收集是否广泛到“以不利于民主社会的方式改变公民与政府之间的关系”。因此,当索尼娅·索托马约尔大法官主张“可能有必要重新考虑个人对自己自愿向第三方披露的信息不具有合理隐私期待这一前提”时,她似乎在呼应马歇尔大法官的观点。
这一主题在Riley案中继续延续,当时最高法院考虑的是,以逮捕为由对手机进行无证搜查是否符合第四修正案所规定的合理性。法院拒绝将几乎自动适用于合法逮捕的附带搜查权力扩展到手机内容上。法院作出这一裁决的依据完全在于,通过访问现代智能手机的内容所能获取的海量信息及其相应的隐私利益。因此,首席大法官约翰·罗伯茨认为,这类设备在数量上并且在性质上与其他受合法逮捕附带搜查的实体容器“有质的不同”。
B 不可侵犯隐私的非同寻常概念
最终,对无限制加密的反对反映了一种根深蒂固的担忧:允许这种看似有益的技术广泛传播,可能会扭曲第四修正案所核心保护的隐私与安全之间的平衡。一些人认为,维持这一平衡的愿望可能指向一种根本不同的方法:保留“前门”访问权限,并通过精心构建的机制来防止该前门遭受非法侵入。至少从第四修正案的角度来看,政府执法人员在获得合法授权后进入隐私区域是司空见惯的。事实上,即使是受到最严密保护的隐私区域——住宅——也无法完全免于此类访问。
平衡社会集体安全与个人自由之间的相互竞争的利益,是第四修正案合理性原则的核心。因此,认为第四修正案赋予个人享有不可侵犯的隐私区域权利的观点,与该修正案的文本及其司法解释不符。相反,平衡仍然是核心概念:对不合理搜查和扣押的保护,本身就承认人们可能受到合理搜查和扣押。简言之,即使针对受第四修正案文本保护的利益(个人、住宅、文件和财产),该修正案也从未对政府监控施加绝对限制。相反,人民享有的是绝对权利,即针对政府对第四修正案所保护场所和物品的不合理入侵行为,获得安全保障。
第四修正案所保护的内容一直是一个不断演变的概念。该修正案明确提到了“人身、住宅、文件和财产”,这些文本明确规定的利益无疑受到免于不合理搜查和扣押的保护。然而,自从最高法院在卡茨诉美国案这一具有里程碑意义的判决以来,该修正案的保护范围已扩展至个人对其具有“合理的隐私期待”的任何事物。法院最近有关修正案保护范围的法理学重新启用了沉寂已久的“侵入”学说,认为只要对文本明确保护的利益实施了身体侵入,即构成修正案意义上的搜查,而不论是否存在合理的隐私期待。然而,正如法院在其两项重新启用该侵入学说的判决中所指出的,合理的隐私期待标准并未被侵入学说取代,而应被视为对文本明确保护利益免受调查性侵入的补充保护。因此,根据第四修正案的意义,当政府执法人员为了获取信息而对个人、住宅、文件或财产进行身体侵入时,或侵入任何其他合理的隐私期待时,即构成搜查。
第四修正案法理学的集体影响导致了一系列广泛的受保护利益。然而,在这些利益中,没有任何一项被认为比住宅更受保护。正如最高法院在Silverman v. United States一案中指出:“第四修正案最核心的内容,是个人有权退入自己的住宅,并在那里免受政府不合理侵扰。”确实是受指向的。”因此,正如法院在佛罗里达州诉贾丁斯案中所指出的,就第四修正案的保护而言,“在第四修正案中,住宅在诸平等者中居于首位。”这是评估用户控制的加密是否符合第四修正案内在利益平衡的一个重要的分析起点。
如果住宅被视为最受保护的隐私区域之一,却仍然可能受到合法调查性侵入,那么就会引发一个简单的问题:如果数据存储设备所获得的保护并不高于住宅本身,为何对私人加密访问施加法定限制会违反第四修正案?
在Kyllo v. United States 一案中,最高法院解释说,住宅之所以受到第四修正案更强的保护,主要基于两个原因。第一,自国家建立以来,住宅一直为公民提供庇护所,使其能够退入最大程度的隐私区域。第二,对住宅的监控可能真实地暴露公民最私密、最个人的活动。因此,不仅住宅的历史地位决定了其在第四修正案保护中“同等之中居首”的地位,而且政府监控可能导致暴露的信息的性质也强化了这一必要性。根据法院的说法:
在住宅内,我们的判例表明,所有细节都是私密细节,因为整个区域都免受政府窥探。因此,在[美国诉] 卡罗案中,唯一被发现的是住宅内的一罐乙醚;而在亚利桑那州诉希克斯案中,通过超出执法人员合法在场时以“公开可见”方式所能观察范围的物理搜查,唯一发现的是唱机转盘的注册编号。这些都属于私密细节,因为它们是关于住宅内部的情况,就如同凯洛案中其住宅的温暖程度——甚至只是相对温暖的程度——这一细节一样。
总之,除了极少数涉及人身免受物理侵入的神圣性(这一点本身并非与第四修正案不相容)的情况外,住宅免受政府侵入的保护是第四修正案最为严密保护的利益之一,即使这种侵入在范围、持续时间或调查目的上有所限制。
最终,认为第四修正案或其解释性法理学指向了一种宪法权利,即使用能够有效阻止甚至合法授权的政府访问数据的加密技术,这种说法是过于宽泛的。正如对住宅的访问一样,只要此类访问是依法授权且合理执行的,就符合第四修正案。简言之,与第四修正案保护的几乎所有其他权益一样,对私人通信和数据的监控只要具有合理性,就符合第四修正案。对各种使侵入住宅的行为被视为合理的理由超出了本文的讨论范围。然而,重要的是住宅所享有的有限保护与其他隐私利益之间的类比关系,这种类比削弱了任何主张认为第四修正案赋予了使用端到端加密以确保移动设备上存储的数据享有绝对隐私的权利。
最高法院 periodically 强调,住宅受到第四修正案的特殊或 heightened 保护,这表明,虽然个人数据的保护可能与住宅的保护同样重要,但并不比后者更重要。当然,与电子数据和通信相关的隐私利益的保护仍然是 substantial,或许证明第四修正案所提供的保护至少应与对住宅的保护一样 strong。事实上,以任何形式保护人身安全和隐私都是第四修正案的核心目标,这一点在路易斯·布兰代斯大法官于奥姆斯特德诉美国一案中的异议中得到了强调:
真正构成侵权本质的,并非对其房门的破坏或对其抽屉的翻查;而是在此人并未因被定罪犯有某种公共罪行而丧失权利的情况下,侵犯其不可剥夺的人身安全、个人自由及私有财产之权利——正是对这一神圣权利的侵犯,构成了第四和第五修正案背后历史的核心。……这些修正案所保障的范围要广泛得多。我国宪法的制定者致力于确保有利于追求幸福的条件。他们认识到人类精神本性、情感和智力的重要性。他们知道,人生痛苦、快乐和满足感中,只有一部分来自物质事物。他们力求保护美国人在其信仰、思想、情感和感知方面的权利。他们赋予人民一项对抗政府的权利:不受打扰的权利——这是最全面的权利,也是文明人最为珍视的权利。
因此,如今许多人质疑这样一种假设:与通过现代数字设备传输和存储的、常常涉及亲密内容的通信和数据相比,住宅应当受到更严密的保护。通过查看移动设备或计算机中的内容,可以获取大量关于个人思想、信仰、活动或关切的信息,而这些数字信息可能涵盖传统上在住宅神圣性范围内受到保护的亲密活动。在现代信息时代,这类数据可能包括发艳照和交友应用通信、色情照片、个人文字记录、家庭照片、消息、电子邮件、医疗记录;与神职人员、医疗服务提供者、律师的通信;关于性别或其他身份、宗教探索或其他亲密活动的信息搜索。尽管这并不意味着此类数据在依法适当限制的前提下仍可免于政府调查,但应当认识到,静态数据或在传输中的数据以及其他数字通信往往揭示了一个人最深层的思想、意见、信念、情感和亲密活动,甚至可能反映思想形成过程本身。相比之下,将个人数据的保护类比于对住宅的保护具有启发意义,因为它强化了如下结论:正如对于住宅一样,个人数据并不存在免于合法政府监控行动的绝对豁免权的第四修正案权利。因此,政府权力范围内应包括制定法律,以通过管理加密带来的后果来确保此类监控行动的可行性。事实上,当侵入住宅行为符合第四修正案所规定的“合理性”时,政府执法人员可依法进入住宅。这些合法侵入并不一定需要始终获得许可;当住宅使用者拒绝接受合法侵入权力的主张,并且有合理依据认为给予其同意机会将导致紧急情况时,警察可强行进入住宅。
当然,很难想象警察在拥有合法搜查和/或扣押权力的情况下,会遇到真正无法进入的住宅。正因为如此,社会从未认真面对过这样一个问题:使住宅完全不受包括合法政府调查访问的影响,是否符合第四修正案。然而,这正是端点加密技术发展所提出的精确问题:对创建无法进入的信息隐私区域的技术访问施加法定限制,是否会违反第四修正案?或者,对政府侵犯第四修正案所保护利益的权力所作的有限限制,是否意味着可以预期政府应被允许通过法律确保对隐私区域的访问,只要这种访问符合第四修正案?
至少在涉及住宅的情况下,这个问题的答案似乎是“是的”。尽管最高法院从未遇到过“无法进入的住宅”问题,但它已表明,当政府进入住宅的行为符合第四修正案时,政府有权进入住宅。在佩顿诉纽约案中,法院推翻了一项纽约州法律,该法规授权警察在有合理依据的情况下,无证进入住宅实施重罪逮捕。法院再次强调了第四修正案对住宅所提供的最高程度保护。然而,法院也指出,一旦持有搜查或逮捕或逮捕搜查令,警察就有权进入住宅以实现搜查令或逮捕令的目的。
确实,逮捕令要求提供的保护可能少于搜查令要求,但它足以在热衷执法的警官与公民之间插入治安法官对合理依据的判断。如果有足够证据表明某公民参与了重罪,足以说服司法官员其逮捕是正当的,那么要求该公民向执法人员打开家门在宪法上便是合理的。因此,就第四修正案而言,基于合理依据签发的逮捕令,隐含地赋予执法人员有限的权力,使其可以进入嫌疑人居住的住所,前提是理由相信嫌疑人当时就在其中。建立一道无法穿透的屏障来阻止进入住宅显然会挫败这种合法的政府权力。因此,禁止类似的障碍以阻止对个人数据的合法访问似乎与佩顿的核心逻辑一致。最终,法院第四修正案法理学对住宅的处理指向一个看似重要的前提:该修正案要求在隐私保护与政府合法调查利益之间实现理性平衡。然而,这仅仅是加密辩论的起点;终点必须基于更广泛的公共政策考量。
III 宪法之外的利益
A 加密作为社会公益
正如前美国国防部副部长威廉·J·林恩三世所指出的:“互联网的设计初衷是协作性强、可快速扩展,并且对技术创新的门槛较低;而安全与身份管理则被置于较低的优先级。”由于互联网是一个完全开放的分组交换网络,其智能终端主机为计算机,因此安全问题固有存在,因为大多数终端计算机的安全性普遍较差,设备未打补丁且容易受到攻击。这些安全隐患可能被用来攻击网络基础设施本身,或破坏通过该网络传输的通信和数据的完整性与隐私。“如果没有加密,所有联网通信从根本上来说都是不安全的。”蜂窝电话网络也存在类似的弱点,这类网络依赖无线电波在基站与手机之间传输语音和短信消息。尽管现代“数字蜂窝系统在手机终端与基站之间的‘空中接口’采用了加密”,但解码数字信号的设备很容易获得,而且“标准商用加密的安全性因网络类型而异,通常被认为并不十分安全”。
因此,非对称公钥加密在其各种应用中可提供四项关键服务,以缓解计算机和蜂窝网络中存在的安全风险:(1)机密性,(2)认证,(3)验证或完整性,以及(4)不可否认性。首先也是最为人熟知的一点,加密可通过保护通信以防窃听来确保机密性。其次,加密——通常通过数字签名实现——可用于认证远程用户或系统的身份。第三,加密可确保通信在传输中或在存储中未被查看或篡改,这被称为验证或完整性。最后,不可否认性是一种严格的认证形式,通常用于法律用途的身份确认。
加密所提供的技术优势与公众对加密能够恢复现代信息时代中部分已丧失的隐私与安全的常识性理解同样重要,美国第九巡回上诉法院在伯恩斯坦诉美国案中的一个合议庭对此有明确表述:
我们注意到,政府试图监管和控制与加密相关的知识传播,可能涉及的不仅仅是密码学家的第一修正案权利。在这个日益电子化的时代,我们在日常生活中都不得不依赖现代技术进行相互沟通。然而,这种对电子通信的依赖,却极大地削弱了我们私下交流的能力。手机可能被监听,电子邮件容易被截获,互联网上的交易往往不够安全。像提供我们的信用卡号、社会安全号码或银行账号这样常见的行为,都会使我们每个人面临风险。此外,当我们使用电子方式进行通信时,往往会留下可以追溯到我们个人的电子“指纹”。无论是被政府、犯罪分子还是邻居监视,可以说,我们保护个人事务免受窥探的能力从未如此低下。安全加密的可用性和使用或许为我们提供了一个机会,以重新获得一部分已经失去的隐私。因此,政府对加密技术的管控不仅可能影响致力于拓展科学边界的密码学家的第一修正案权利,还可能影响我们每个人作为加密技术潜在受益者的宪法权利。从这一角度来看,政府阻碍密码学发展的努力,可能不仅涉及第四修正案,还可能涉及匿名言论权、反对强迫言论权以及信息隐私权。
正是这种对公共利益的广泛定义,在制定明确包含强加密的
扫一扫
85
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
