ChatControl:欧盟要查所有私信,连加密聊天也不放过

欧盟正在推进一项名为“ChatControl”的立法,该法案旨在强制所有通信平台(包括 Signal 和 WhatsApp 等加密应用)扫描用户的私人消息和图片,以打击儿童性虐待内容。批评者指出,这项法案将破坏端到端加密,对 4.5 亿欧洲人进行大规模监控,并因其高误报率而对网络安全、创新和公民自由构成严重威胁。尽管面临多国反对,该法案的通过与否仍是悬而未决的重大议题。

什么是 ChatControl

ChatControl 是对欧盟《预防和打击儿童性虐待条例》(CSAR)的俗称。这项提案将把科技公司目前自愿进行的内容审查,转变为政府强制命令的扫描行为

此前,一项于 2021 年生效的临时法规允许平台自愿扫描内容,但该法规已于 2024 年到期,CSAR 因此被提上议程。这意味着,内容扫描将从“被允许”变为在特定条件下的“强制义务”。

该法规的适用范围极其广泛,几乎涵盖了所有允许人们交流或分享内容的数字服务:

    • 消息应用(如 Signal, WhatsApp, Telegram)
    • 电子邮件供应商
    • 约会应用
    • 带聊天功能的游戏平台
    • 社交媒体
    • 文件托管服务(如 Google Drive, iCloud)
    • 应用商店

它是如何运作的

ChatControl 的核心技术是客户端扫描 (Client-Side Scanning)。简单来说,它把你的个人设备(如手机或电脑)变成了一个监控站,在你的内容被加密并发送出去之前就对其进行分析。

这种机制颠覆了“无罪推定”原则,默认将每个人都视为潜在嫌疑人。

系统会在内容加密前自动扫描三类信息:

    • 已知的非法内容: 将你设备上的图片或视频指纹与已知的儿童性虐待材料 (CSAM) 数据库进行比对。
    • 未知的潜在内容: 使用 AI 算法分析图片或视频中的视觉元素(如裸露皮肤),以识别潜在的违规内容。
    • 诱骗行为 (Grooming): 通过 AI 分析私人对话的文本内容,以识别符合预设指标的成年人引诱儿童的模式。

一旦有任何内容被标记,它将被自动报告给当局,中间不经过任何人工审核。

这种做法本质上是假设所有人都有罪,直到被证明无罪为止,彻底颠覆了无罪推定原则。

为何这会破坏加密

ChatControl 并非直接“破解”加密,而是完全绕过了它。尽管你的消息在传输过程中仍然是加密的,但该系统在消息加密之前就审查了内容,这使得端到端加密失去了意义。

真正的端到端加密(E2EE)意味着只有你和接收方可以阅读消息,任何政府、公司或算法都不应窥探。通过在源头植入监控,这项法案从根本上违背了这一原则。

你的加密聊天应用,实际上变成了政府的间谍软件。支持者声称扫描发生在本地可以保护隐私,但当监控被内置到你的设备中时,你将无处可逃。

现实世界的影响

误报问题

这些扫描系统的误报率极高。研究表明,大约 80% 的算法报告都是误报,即将无辜内容错误地标记为非法。爱尔兰执法部门证实,在 4,192 份自动报告中,只有 20.3% 真正包含非法材料。

即使准确率达到假设的 99%,每天扫描数十亿条消息仍会产生数百万起错误的指控。这将导致:

    • 浪费警力: 警察将被迫调查大量分享家庭度假照片的无辜家庭,而真正的犯罪则被忽略。
    • 摧毁个人生活: 曾有真实案例,一位父亲因向医生发送孩子病情的照片而被 Google 的算法标记为潜在施虐者,其账户被永久关闭且无法申诉。

科学界的反对

超过 600 名来自 35 个国家的密码学家、安全研究员和科学家已三次联名签署公开信,解释为何这个大规模扫描项目“在技术上不可行”,对民主构成“危险”,并将“彻底损害”所有欧洲公民的安全与隐私。

容易被绕过

讽刺的是,真正的犯罪分子可以轻易绕过这些扫描系统。他们只需使用一些公开的技术,例如:

    • 分层加密: 在发送消息前使用 GPG 等工具对内容进行预加密。
    • 数字隐写术: 将非法数据隐藏在看似无害的家庭照片中。
    • 平台迁移: 转移到不受监管的平台。

该系统最终无法保护儿童,却成功地实现了对普通民众的大规模监控。

商业利益与政治策略

儿童保护的叙事背后,隐藏着令人担忧的商业利益。欧盟委员会的提案主要基于行业参与者的主张,而非独立研究。

像 Thorn(由演员 Ashton Kutcher 共同创立)和微软等开发检测技术的商业监控公司,在积极游说通过这些强制性法规,从而为自己创造一个利润丰厚的市场。

同时,政客们频繁使用“为孩子着想”的修辞手法,将任何反对意见都描绘成漠视儿童福利。

欧盟委员 Ylva Johansson 曾说:“隐私捍卫者制造了很多噪音,但总得有人为孩子们说话。”

这种说法制造了一种虚假的二元对立。批评者并非反对保护儿童,而是质疑为了一个效果存疑的方案而牺牲 4.5 亿欧洲人的基本隐私权是否值得。

欧盟各国立场

    • 支持 (12国): 保加利亚、克罗地亚、塞浦路斯、丹麦、法国、匈牙利、爱尔兰、立陶宛、马耳他、葡萄牙、罗马尼亚、西班牙。
    • 反对 (7国): 奥地利、捷克、爱沙尼亚、芬兰、卢森堡、荷兰、波兰。
    • 立场未定 (8国): 比利时、德国、希腊、意大利、拉脱维亚、斯洛伐克、斯洛文尼亚、瑞典。

目前,支持者尚未达到通过法案所需的 65% 欧盟人口门槛,但随着各国摇摆不定,局势依然紧张。

这会带来什么后果

    • 网络安全受损: 强制削弱加密会为恶意行为者创造可利用的漏洞。
    • 创新受阻: 欧洲将难以再吸引以安全和隐私为卖点的科技公司。
    • 科技公司将离开欧洲: 出于对类似监控法案的担忧,Proton 等公司已开始将其部分基础设施迁出瑞士。
    • 寒蝉效应: 人们会因害怕被误报而改变自己的网络行为,进行自我审查。

结论

极具讽刺意味的是,制定了全球隐私标杆 GDPR 的欧洲大陆,如今却在设计系统性摧毁数字隐私的 ChatControl。曾经的基本权利可能很快会变成强制性的监视。

欧洲正面临一个历史性的选择:要么成为第一个将私人通信大规模监控常态化的民主地区,要么捍卫使其成为全球隐私领导者的数字权利。

全世界的威权政权都在拭目以待,准备用“如果欧洲都这么做了,我们为什么不呢?”来为自己的监控计划辩护。