□王融/文
2月16日,苹果公司CEO蒂姆·库克(Tim Cook)发布致用户信,公开了其与FBI(联邦调查局)之间就执法调查事宜的重大分歧。该事件旋即成为科技界重磅新闻,引发全球热议,舆论呈现两极分化态势。
支持者认为:库克坚守了苹果公司对用户隐私保护的承诺,捍卫了用户权利;反对者则表示:对于恐怖主义调查,苹果应当为政府提供技术配合。更有甚者推测,这不过是库克的一场商业作秀,是苹果与美国政府的双簧把戏。
但除了道德评判和“阴谋”推测之外,我们实有必要从法律视角来看待这场纷争,以便更深入地理解以下问题:纷争为什么会发生?苹果何以有底气与政府叫板?不同企业、行业的立场缘何有如此之大的差别?苹果与FBI的对抗下一步将走向何方?
一个基本事实是,苹果并非任性对抗司法调查,其已向FBI提供了自己服务器上的所有涉案数据。苹果所抗争的是美国监控立法的模糊地带——情报部门是否有权要求科技公司设置后门程序,获取存储在用户手机上的数据。本案不仅关系到苹果隐私策略、商业模式的生存根基,更将对数字时代的政府监控规则带来重大变革。
这是一个专业法律问题
没有绝对的用户隐私保护,也没有不受限制的政府权力。如何在二者之间取得平衡,是永恒的法律命题。
《美国宪法》第四修正案明确规定,“人民的人身、住宅、文件和财产不受无理搜查和扣押的权利不得侵犯。除非有合理的理由、以宣誓或代誓言说明搜查的地点和扣押的人或物,否则不得发出搜查证或扣押状。”用通俗的话说,就是政府执法人员若要对公民进行搜查、监控必须有合理的理由,且必须首先从法庭得到许可。美国联邦最高法院在多个与政府监听相关的案例判决中,也逐步明确了一项基本原则,即:监听、监控是一种搜查行为,必须同其他的搜查方式同等对待,需要法定理由和法定程序予以规范。
美国1968年《综合控制犯罪与街道安全法》 (the Omnibus Crime Control And Safe Streets Act)首次以成文法形式明确了令状规则,即需要以法院令状(writ)明确监控的条件、程序、方式、授权范围、被告人的权利。此次争议中,美国联邦法院也是以令状对苹果的技术配合措施进行了详细的规定。令状程序是进行电子监控的合宪性前提,保证了在保护公民隐私与侦查犯罪之间做出恰当的平衡。该规则也成为世界各国制定政府监控立法的范本。
因此,在苹果与FBI分歧的事件中,政府反复强调其严格遵循了法律的要求。
FBI向法院提出调查协助申请,法院认可后向苹果颁发令状;美国司法部向法院提出的强制执行令状的申请书中,以35页篇幅列举法律依据、司法先例,详尽解释了司法协助请求均在法律限度之内;美国白宫就此事的回应也称:司法部的要求仅限定适用于嫌疑人的手机。
同样,苹果没有否认自己配合调查的法定义务。库克在信中说道:“……我们也一直在努力配合政府的破案工作。在FBI向我们索要的数据中,凡是苹果所有的,我们均已提供。苹果向来服从依法出具的传讯和搜查令……”
苹果与政府均言之凿凿,于法有据,那么问题出在哪里呢?
这是一个法律灰色地带
FBI索要的数据并非在苹果的服务器上,而是存储在嫌疑人手机里。苹果只有通过设置后门程序,才能解锁手机获取数据。而这一点在现有美国监控立法中并没有明确规定。
为加强政府执法调查权力,美国相继制定了《控制犯罪与街道安全法》(1968年)、《外国情报监控法案》(1978年)、《电子通信隐私法》(1986年),《通信协助法案》(1994年)、《爱国者法案》(2001年)、《美国自由法》(2015年)等立法,系统构建了执法配合规则,覆盖了信息通信、金融、医疗、教育、政府机构等多个领域。
然而在信息通信领域,相比于电信企业较为清晰的法定义务和配合程序外,互联网企业的执法配合还相对处于一个灰色地带。
《通信协助执行法案》
(CALEA)主要适用于电信运营商
CALEA规定:“电信运营商应保证其网络设备、设施或服务,能有效率地满足政府合法的监听需求,并把该监听通信与其他正常的通信服务隔离开来。”在联邦通信委员会FCC主持下,美国通信工业协会TIA专门制定了通信监听技术标准,详细规定了向获得法庭许可的执法机构提供实时监听及识别呼叫方身份的技术接口。
也就是说,苹果公司与FBI此次争议中最为核心的后门程序,在电信领域早已通过立法及技术标准的方式予以实施。尽管联邦通信委员会FCC通过制定监管规则,在电信运营商基础上,逐步将VoIP服务提供商、宽带接入服务商纳入适用范围,但互联网企业仍不在其中。因此,在2月下旬的世界移动通信大会展上,有电信业人士针对苹果事件发表看法,称:法律对电信企业和互联网企业存在双重标准。立法已明确要求电信运营商以提供后门的方式与政府部门合作。而互联网企业还没有被同样要求。
棱镜事件之后,美国最重要的监听立法改革成果——《美国自由法案》对互联网监控也语焉不详。
“棱镜”事件曝光后,为应对国内外压力,美国对监听立法进行了重大改革。2015年6月2日,《美国自由法案》出台。但该法案主要解决的是大规模电话监控问题,并没有对互联网监控活动作出明确回应。
对此,包括苹果、脸谱、谷歌在内的互联网公司认为法案存在“无法令人接受的漏洞,还将可能允许情报机构收集互联网用户信息”。因为法案对《爱国者法案》第215条予以确认延期,这意味着情报机构出于调查恐怖主义目的,仍可以收集各类信息。但需要说明的是,依据《爱国者法案》第215条及以往执法惯例,情报机构要求企业所提供的信息,也仅限于企业已经掌握的信息,并不包括企业服务器没有备份,存储于用户终端的数据。而这正是此次苹果争议的核心问题。
可能正是意识到现有监控立法并不能够提供充分的法律依据,FBI对苹果提出要求,援引的是《全令状法》。
《全令状法》作为合法性依据存疑
《全令状法》是1789年美国《司法法》的组成部分,由美国第一任总统乔治·华盛顿签署。这部227年前的立法被编纂于《美国法典》第28章第1651条(法案实际只有两款内容):
(a)最高法院和依照国会立法建立的所有法院,可以依从惯例或法律原则,签发必要的或适当的令状以协助它们各自的司法管辖。
(b)享有管辖权的审判员或法官可以签发临时性令状或规则。
可以看到,《全令状法》对法院授予了相当大的裁决权力。因此,为了作出必要的限制,美国联邦最高法院在相关判例中,逐步建立了令状签发的限制规则。明确只有在特定情形下,且全部满足以下四项条件时,法院才得以签发令状:
(1)没有其他能够替代的司法工具、法律依据可以选择;
(2)仅独立适用于司法管辖;
(3)针对特定案例,令状是必要且适当的(在1977年美国诉纽约电话公司案UNITED STATES v. NEW YORK TELEPHONE CO,最高法进一步明确,必要和适当意味着相关公司只需付出最小限度的努力,并且不得干扰公司的日常运作);
(4)符合惯例和法律原则。
上文已指出,美国现有的监控立法,并没有明确授权情报机构可以要求科技公司以采取后门的方式获取用户终端数据。因此在此次争议的案例中,法院签发令状满足了第一条适用前提,即法院并没有其他能够替代令状的司法工具或法律依据。那么,判定令状是否合法最终落脚于法院的要求是否是“必要的”和“适当的”。
法院令状对苹果提出的核心要求是:协助FBI获取嫌疑人手机上的数据。令状详细阐述了为达到这一目的,苹果需要采取的协助措施:修改系统信息文件(SIF, System Information File),并将该文件在嫌疑人的手机上运行,以实现以下功能:(1)阻止系统在输错10次密码后删除数据;(2)以电子方式自动完成密码验证;(3)消除密码输入错误后的时间间隔。此外,为了明确FBI和苹果之间的数据安全责任,令状规定:在访问到用户终端上的数据后,苹果不得备份该数据。FBI将负责保存数据,作为证据使用。
上述措施是否“必要”和“适当”,显然有着极大的讨论空间。从FBI角度而言,为了公众利益,对恐怖主义嫌犯进行调查当然是必要的,同时FBI强调仅将该破解程序应用于嫌疑人手机上,并将做好安全保密工作。从这个意义上讲,措施也是适当的。但是,如果我们考虑到普通用户的数据安全,以及苹果的商业模式、隐私策略,上述措施可能大大超越了“适当”范围。
事实上,为缓解保护用户隐私和配合执法需求之间的两难境地,苹果近年来在商业模式及隐私政策上作出了重大的应对策略。从iOS 8系统之后,苹果开始通过强加密方式将数据存储在用户手机里。即使苹果公司本身,在没有获得用户授权的情况下,也无法取得数据。在iPhone 5s之后,苹果在CPU中加入了完全独立于操作系统的“安全岛”模块,更是极大降低了用户手机被非法访问的可能性。也正是如此,FBI在穷极破解办法之后,要求苹果设计后门程序,改变安全岛功能。
但若真这么做了,将产生两种安全隐患,一是苹果为FBI量身打造的后门被他人获取,用于非法用途,苹果用户的数据安全失去保证;二是库克更为担忧的安全隐患。此“后门”先河一开,苹果将用户数据存储于终端之上的隐私策略将难以为继,苹果安全美誉度大打折扣。对于此类风险和重大变化,我们有理由认为令状对企业带来了不适当的负担,已经干扰了企业的正常运营。正因如此,签发令状的法官在最后补充:“如果苹果认为遵守令状会带来不合理的负担,可以在收到令状后五个工作日之内向本法院提出申诉。”
互联网监控终究要靠法律来明确
纷争掩盖下的法律问题已逐步明朗。互联网企业配合执法需求是否需要通过以国会专门立法的形式予以解决?苹果并不反对配合执法,它反对的是对于涉及国家安全、公民隐私问题平衡的重大问题,在美国却没有明确的法律规范,而仅仅是依靠一部227年前边界模糊的“令状法”来解决。苹果的此次叫板不是作秀,更不是作死,而是意在推动公众关注到这一法律的灰色领域,推动执法部门、科技公司、隐私专家和民众对此问题展开公开讨论。
立法最终的结果是难以预料的。已有议员表示,将提起立法动议,以立法明确苹果的配合义务。这意味着立法很有可能引入与电信企业一样的执法配合标准,要求其他网络科技公司在用户终端或所提供的服务中为执法需求设立后门程序,甚至对用户加密的终端数据提供解密服务。如若至此,无疑将是数字时代政府监控极为重大的立法变革。
而从当前的司法程序看,如果苹果提出异议,该案将由美国第九巡回上诉法院接管。若上诉法院维持地区法院令状,苹果仍可以上诉到最高法院,由最高法院作出最终判决。无论最终结果如何,对于互联网监控而言,判决也将意义非凡。
作者为中国信息通信研究院互联网法律中心副主任