(乐购网专栏 作者:悟网不欢)4月5日,“谷歌挑战美国政府 拒绝调查局调用用户信息”的报道发布,由于谷歌、美国政府、国家安全、隐私等敏感字眼,这一新闻引起了大家的强烈兴趣。谷歌与美国的所谓“国家安全密函(National Security Letter——NSL)”的故事并非始于当下,如今诉诸公堂,使得谷歌成为第一家拒绝NSL的“大型通讯公司”,这实质上反映了信息时代国家安全与用户隐私保护的强烈冲突。回顾相关的历史,颇有值得玩味之处。
1. 谷歌对于NSL数据的披露
3月5日的时候,谷歌曾披露过自己接收到的NSL的数目范围,表示2009年至2012年间每年都能收到“0-999”封NSL(更准确一点的数据是几百封——a few hundred)。由于FBI禁止NSL的收件人披露有关NSL的详细信息,谷歌只能公布极其粗略的数据,如下图所示(原始图片如此,比较模糊):

从图片中可以看出,每年NSL要求调查的Google用户/账户数大多在1000-1999之间,2010年的时候曾达到2000以上。对于此次披露,谷歌法务总监理查德.萨尔加多(Richard Salgado)在博客中写道:“你会注意到,我们公布的只是大致的范围,而非具体数字,这是因为FBI、司法部和其他机构担心公布具体数字可能会泄露调查信息。不过,我们计划每年更新这些数字。”
上述数据意味着谷歌最晚从2009年就开始收到了NSL,但是鉴于2011年5月谷歌的月独立访客数量已经超过十亿,2004年4月Gmail Beta版已上线,谷歌接收NSL绝不可能自2009年才开始。根据历史记录,2004年美国的一个小型ISP服务商就曾收到过NSL(下文将详述)。所以最低限度,谷歌与NSL的关系超过8年,所收到的NSL保守估计也有数千封之多。
对于这些大量的NSL,谷歌法律总监Richard Salgado表示,谷歌一般会严格审核这些要求是否符合规定,或是缩小提供资料的范围,并会在适当时机告知用户,特定时候还会要求执法机构提供搜查令,以尽力保护用户的资料安全。谷歌利用每半年一次的透明度报告来公布政府对其用户个人资讯的索取量,至于国家安全密函的粗略数字则每年公布一次。
谷歌还指出,FBI可能获得了有线或电子通讯服务用户的姓名、地址、服务年限、本地和长途通话费用记录等信息。这表明尽管谷歌采用了力所能及的措施来保护用户的信息与隐私,也尝试通过定期公布数据的方式增加NSL的透明度,但是在NSL所“代表”的国家安全的重压之下,谷歌仍然不得不予以配合,提供一些用户信息。这可从外媒WIRED的报道得到印证:“我们不知道谷歌何时收到的这封NSL,也不知道它为什么决定对抗这一封(this particular one)”这说明本次Google起诉的是一封具体的NSL,不是它接收到的所有NSL。
2. NSL的简要历史
NSL是何方神圣,为使得像谷歌这样顶级的大型公司也不得不折服呢?
第一份NSL于1978年出现,它是美国政府部门(主要是FBI)发出的、带有一定强制性的、用于调查国家安全相关事务的要求函。由于NSL都包含一个gag命令,禁止收件人披露有关信件的任何信息,因此中文翻译为“国家安全密函”。根据美国电子通讯隐私法(ECPA)的规定,NSL只能用于要求非内容性信息,例如事务性记录、电话号码、邮件地址等。
2001年,美国爱国者法案505条款极大的扩展了NSL的适用范围,它允许政府部门使用NSL调查任何与恐怖主义和秘密情报有关的信息,并扩大了可使用NSL的部门范围(据信包括国土安全部)。2007年纽约时报报道五角大楼和CIA都使用过NSL。
2006年3月9日美国《爱国者改进与再授权法案》颁布,允许收件人对NSL进行司法审查。如果发现信件有“不合理、苛刻的或者不合法”的部分,可以废除或修改。
2009年美国国会考虑了对FBI使用NSL进行新控制的提案,制定了一些新措施,主要加强了联邦议员对于NSL的监督和审查。(以上资料来源:wikipedia)
虽然美国法律对于NSL可获取的信息有所限制,但是因为它是强制性的、秘密的,严重存在滥用风险。2007年,美国司法部监察长审查发现,FBI在许多情况下滥用职权和“国家安全信函”。比如,在9?11事件后,FBI与AT&T和Verizon达成了数百万美元的合同,要求这两家公司在FBI内部安排员工,允许这些员工进入电信数据库,以便他们能及时满足FBI对电话记录调查的需求。司法部监察长还发现,这些员工让FBI特工在没有书面文件许可的情况下非法查看用户记录,甚至是为 FBI撰写NSL。
外媒WIRED曾转引美国司法部的报道,给出了2003-2011年FBI签发的NSL数量:
2003年 39,346
2004年 56,507
2005年 47,221
2006年 49,425
2007年 16,804
2008年 24,744
2009年 14,788
2010年 24,287
2011年 16,511
合计起来从2000年到现在,FBI一共发出了大约30万封NSL。
3. 其它公司对于NSL的抗争
谷歌是第一家拒绝NSL的“大型通讯公司”,却不是唯一的一家,作为公司来讲也不是第一家。国内报道的原文已经提到:“齐默尔曼还表示,美国政府自2000年以来共发出约三万封(作者注:此处中文报道的数据有误,参见上节,应该是三十万封)国家安全密函,只有寥寥四五个收件人对此持有异议。”这说明拒绝的人数虽少,但不是没有。据CNET报道:2012年电子前哨基金会(Electronic Frontier Foundation)曾代理某家电信公司向美国旧金山地区法院申请严厉打击相关政府部门对于NSL的使用。Susan Illston法官支持了该公司的请求,于2013年3月14日判定NSL违宪,因为它“违反了第一宪法修正案和三权分立的原则”。而谷歌的这一案件同样指派给了Susan Illston法官,外媒评价认为谷歌将NSL诉诸法庭很有可能是受到了Susan Illston法官3月14日裁定的鼓舞。
从有案可稽的时间上来看,NSL遇到的一个挑战是2004年发给Library Connection(这是几家图书馆的后台办公系统)的NSL,该NSL被裁决违宪,因为它是一个自动生成的一揽子订单/要求(blanket order)。作为该案例的结果,政府允许收件人挑战NSL中的gag命令。
2004年,一个名叫Nicholas Merrill的小ISP公司挑战NSL,该NSL要求查找Nicholas Merrill某个客户的数据,Nicholas Merrill认为客户记录是宪法保护的信息。但是这一事件并未闹上法庭,因为政府撤回了查找要求(但另有报道称Nicholas Merrill的官司还是打了,于6年之后的2010年胜诉)。
推荐阅读
360与新浪微博合作升级 独家标注"虚假"链接
速途网讯 近日,中国领先的互联网安全服务提供商360与中国最具影响力的社交网络平台新浪微博正式签订独家协议,由360互联网安全中心对新浪微博上的虚假商品危险链接进行标注,以防用户受骗。这也是继2012年360与新浪>>>详细阅读
本文标题:隐私与安全之惑,谷歌与NSL的那些事
地址:http://www.lgo100.com/a/11/20130407/264808.html