加拿大的 C-22 法案,即《合法访问法案》,以“边境安全”为名,实际上旨在扩大政府的数字监控权力。该法案强制要求数字服务商保留用户元数据长达一年,并授权政府在定义模糊的条件下,要求公司为执法部门创建访问数据的“后门”。尽管法案声称不会引入“系统性漏洞”,但批评者认为,这种做法将不可避免地削弱加密保护,为数百万用户的隐私和数据安全带来严重风险,并已招致多家科技公司和美国相关机构的明确反对。
C-22 法案的核心问题
与去年因强烈反对而未能进入委员会审议的 C-2 法案类似,C-22 法案虽然进行了一些调整,但保留了同样令人担忧的核心问题。
- 强制保留元数据: 该法案将迫使电信公司、即时通讯应用等数字服务商,必须记录并保留用户元数据长达一年。元数据可以揭示大量个人信息,例如你与谁通信、你的行踪以及活动时间。
- 扩大信息共享: 法案扩大了与包括美国在内的外国政府共享信息的范围。这要求公司储存比以往更多的用户信息,从而为不法分子提供了更多可供窃取的目标。
“后门”:最大的争议
该法案最受争议的部分,是为政府干预企业产品安全打开了大门,同时禁止企业向公众披露这些指令的存在。
最糟糕的是,C-22 法案通过一种机制侵蚀了数百万人的隐私:授权公共安全部长要求公司为其服务创建“后门”,以便执法部门访问数据。
法案声称这些指令不能引入“系统性漏洞”,但这一定义本身就存在问题。这种广泛的监控后门,很可能会导致比我们现在所见的更多的数据泄露事件。
模糊定义下的巨大风险
法案的危险性在于其语言的模糊性,为政府要求公司绕过加密留下了操作空间。
- “系统性漏洞” 和 “加密” 的定义在法案中都含糊不清。
- 加拿大官员明确表示,他们相信可以在不引入系统性漏洞的情况下增加监控,这根本不是事实。对加密通信进行监控,其本身就是一种系统性漏洞。
这种做法与去年发生在英国的情况类似。当时英国政府要求苹果公司为其高级数据保护功能设置后门,最终导致苹果选择在英国撤销该功能,而不是遵从政府的要求。至今,英国用户仍无法使用这项强大的隐私保护功能。
现实世界的先例与反对声音
创建此类后门的危险并非理论上的空谈。苹果(Apple)和 Meta 等公司都担心 C-22 法案会赋予加拿大政府类似的权力,并已公开表示反对。
此外,美国众议院司法和外交事务委员会也向加拿大公共安全部长发出联名信,强调了对加密系统后门的担忧。
2024 年发生的“Salt Typhoon”黑客攻击事件就是一个警示。黑客利用的恰恰是互联网服务提供商为满足执法部门访问用户数据而建立的系统。
当你建立了这样的系统,黑客就会随之而来。
加拿大人需要的是强大的隐私保护、公司数据处理的透明度以及对加密数据的明确保障。C-22 法案不仅没有提供这些,反而为了建立广泛的合法访问机制,进一步侵犯了用户的数字安全。