歐洲一向被認為是引領全球隐私保護的先鋒。此前,歐盟的一系列舉動,從GDPR,到限制公衆場合應用人臉識别、禁止企業在招聘過程中使用算法自動篩選履歷等等,都向外界傳遞了一個明确的信号:
在發展人工智能技術之前,歐洲公民的隐私安全首先排在第一位。
那麼,當打擊犯罪與資料隐私保護兩者有沖突時,歐洲當局會如何選擇?
在網際網路時代,無論是企業還是執法機構,都有多個擷取資料的途徑,形成資料的聚集——這一現象,被隐私專家們稱為「大資料方舟」。
近日,英國《衛報》(The Guardian)報道了一個重磅級消息:歐盟資料保護監管機構(EDPS)下令,強制歐盟旗下的歐洲刑警組織(Europol)删除所非法持有的、超過六個月的資料,并用一年時間梳理出它可以合法保留的資料。
看來在資料保護一事上,歐盟「老大哥」不僅是對谷歌等企業動手,對自己的手下大将也不會手下留情。
《衛報》的報道顯示,歐洲刑警組織被指控非法持有大量受法律保護的個人資訊,并有成為「歐洲NSA」的嫌疑。同時,該組織還計劃将這些資料進行挖掘分析,用于人工智能與機器學習算法的訓練。
EDPS的裁決結果表明:在安全與隐私的權衡之間,歐洲決策者選擇了站在「隐私」的一方。
1、事件來由
歐洲刑警組織(Europol)的總部位于荷蘭海牙,是歐盟國家警察部隊下的一個協調機構。在2015年巴塔克蘭襲擊事件發生後,歐盟的一些成員國開始希望 Europol 解決恐怖主義的問題,并鼓勵它收集多方面的資料。
從理論上講,歐洲刑警組織可以存儲哪些類型的個人資料以及存儲多長時間,是受到嚴格的法律監管的。根據規定,它所接收到的資料記錄應該嚴格分類,并且僅在與反恐等高價值工作有潛在相關性時才能應用或保留。但 EDPS 發現,歐洲刑警組織處理資料的方式很随意;此外,該組織所持有的資料内容究竟是怎樣的,并沒有清楚披露。
據《衛報》報道,隻有少數歐洲人知道自己的資料被存儲,且沒有人能夠強制要求 Europol 披露究竟自己的哪些資訊已被存儲。荷蘭人 Frank van der Linde 是被歐洲刑警組織收集了個人資料的其中一人。2020年,他向 EDPS 投訴了 Europol 的上述行為。
據《衛報》消息,Frank 此前因破窗進入一棟大樓為流浪漢提供居住場所而與警察起了一次嚴重沖突。這也是他與警察的唯一一次「互動」,他是以被荷蘭當局列入恐怖觀察名單。但在2019年,他便因接觸恐怖嫌疑被荷蘭從監視名單中移除。
圖注:Frank van der Linde
2018年,Frank 從荷蘭搬到柏林。他不知道的是,當時荷蘭警方與德國同僚、以及 Europol 分享了他的資料,直到後來他在阿姆斯特丹市政廳看到一份部分解密的檔案,才知道自己的資料已被 Europol 持有。
在Frank看來,Europol 就像一個黑匣子,他無法确認該組織是否已向荷蘭當局确認他的最新消息、知道他不是極端分子後删除了資料。為了删除他的個人資料,他找到 Europol。但在2020年6月,Europol 回複他,稱 Europol 的系統裡沒有任何他「有權通路」的内容。
然而,該事件引起了 EDPS 對 Europol 處理敏感資料的擔憂。
2、EDPS介入
根據2019年9月的初步調查,EDPS 發現,外界與 Europol 共享的資料集在存儲時沒有經過适當的檢查,也沒有驗證擷取到的資料主體是否應該被監控或保留。
EDPS調查發現,Europol 所持有的資料量緩存至少有 4 PB(1PB=1048576GB),相當于300 萬張 CD-Rom 或美國國會圖書館所有内容的1/5。這些資料主要來源于犯罪報告、黑客攻擊加密電話服務、無任何犯罪記錄的尋求庇護者。
同時,Europol 所儲存的數萬億位元組中, 至少有25萬目前或以前的恐怖和嚴重犯罪嫌疑人、以及與他們接觸的其他人的敏感資料。這些資料是國家警察當局在過去六年中所積累起來的,主要來自一系列刑事調查(案件數量不明)的資料轉儲。
這次調查後,歐洲刑警組織并沒有給到監管機構一個令人信服的答案,于是,EDPS 在 2020 年 9 月又公開告誡警察機構。《衛報》稱,根據法庭記錄,在處理資料一事上,歐洲刑警組織在故意拖延時間,監管機構明确表明他們沒有解決這一「違法行為」。
此外,警察機構一直在要求歐盟設立新的法規(如下)、為其六年來在沒有法律依據的情況下所非法搜集的資料提供追溯性保障。德國人權研究所的監控專家 Eric Topfer 研究了拟議中的歐洲刑警組織新法規,預計該機構會直接從銀行、航空公司、私營公司和電子郵件中擷取資料。
一旦形成法律條文,這些提案就可以将原有的資料緩存合法化,将這些資料作為開發新的AI與機器學習工具的實驗樣本。
倫敦瑪麗女王大學的法律專家 Niovi Vavoula 評論:「新的立法實際上是在玩弄這個系統。多年來,歐洲刑警組織和委員會一直在嘗試對非法保留資料進行事後糾正,但制定新的法規并不能合法地解決以前的非法行為。這不是法治的運作方式。」
歐盟内政專員 Ylva Johansson 曾嘗試為歐洲刑警組織辯護,稱:「執法部門需要工具、資源與時間來分析合法傳輸給他們的資料。在歐洲,Europol是支援國家警察當局完成這項艱巨任務的平台。」
圖注:Ylva Johansson
Europol 否認它們曾利用這些資料進行任何不當行為,并稱它們雖然持有大量非法擷取的個人資料,但并不打算利用這些資料「為非作歹」,也沒有成為「美國NSA」的野心。
但令監管專家們更為震驚的是,歐洲刑警組織對于「資料」的态度,與斯諾登在披露美國 NSA 搜集資料進行大規模監視後、NSA 為自己辯護的理由是相似的——「我們隻是收集資料,隻有在必要時才會使用這些資料。」
2021年12月,監管機構與歐洲刑警組織的對峙到達了白熱化狀态,事情的嚴重性不斷更新,甚至吸引了歐盟内政事務總幹事 Monique Pariat 出席會議。但這次會議上,歐洲刑警組織還是沒有回複EDPS對合法保留資料的擔憂。雷峰網
最後,EDPS不得不釋出一個讓歐洲刑警組織删除超過六個月資料的決定。
3、安全 vs. 隐私
在資料存儲上,Europol 與 EDPS 的另一沖突是前者青睐用技術來解決隐私權的安全問題。2021年7月,歐洲刑警組織的負責人、前比利時進階警察 Catherine De Bolle 與紐約州的地區律師在PolitIco(美國政治新聞網站)上共同發表了“The last refuge of the criminal: Encrypted smartphones”一文,稱執法機構從智能手機中提驗證據的需求應該高于公民隐私保護的考慮。
作為執法當局,他們認為有責任在查明真相之前,不惜一切代價為犯罪受害者及其家人尋找所有可用的線索與證據,而加密的數字裝置将證據鎖在了執法人員所能觸及的地方。為此,他們主張執法機構應獲得通往加密裝置的密鑰。
圖注:Catherine de Bolle
不可否認,通過對技術研究的突破,Europol 确實在打擊犯罪上取得了重大成果。2020 年,它們與法國、荷蘭警方一起參與了對加密電話服務 EncroChat 的黑客攻擊,将大量個人資料釋放到「方舟」中。
它們從 1.2 億條 EncroChat 消息和數千萬條通話錄音、圖檔和筆記中提取資料并進行複制,然後将資料打包給國家警察部隊。在歐洲刑警組織及其司法機構 Eurojust 披露秘密行動時,他們将這次行動稱為「歐洲曆史上打擊有組織犯罪最成功的案例之一」。僅在英國,截至 2021 年 8 月,就有大約 2600 人被拘留。
但事實上,歐洲刑警組織的黑客操作将 EncroChat 手機變成了針對其使用者的移動間諜軟體,與 Pegasus 等監控惡意軟體有重要的相似之處。在間諜軟體泛濫的情況下,加密是許多社會關鍵群體(如人權捍衛者、記者與律師)通信的唯一保護。雷峰網
EncroChat 的客戶還包括非犯罪分子、律師、記者和商界人士,一位來自荷蘭的律師 Haroon Raza 就是其中之一。據他所知, 「歐洲刑警組織的資料庫中仍然存在一份他的手機資料副本,可以永遠保留。」
法國律師 Robin Binsard 評論,Europol 的整個行動相當于大規模監視,就像警察要尋找犯罪證據,于是搜集了一個街區内的所有較高價的電梯大廈——這不僅侵犯了隐私,而且是違法的。
自 2016 年以來,Europol 還在意大利和希臘的難民營開展了一項大規模篩查計劃,收集了數萬名尋求庇護者的資料,以尋找被指控的外國戰鬥人員和恐怖分子。根據 EDPS 的部分解密報告,Europol 組織「不允許」歐盟以外的移民對他們進行「例行檢查」,因為此舉「沒有法律依據」。但 Europol 的篩查可能會導緻移民的個人資料被存儲在犯罪資料庫中,無論他們是否被發現與犯罪或恐怖主義有關。
此外,2020年春季,在歐洲刑警組織發現自己擁有越來越多的資料緩存後,他們就開始希望用算法來分析資料背後所折射出的世界。雷峰網
在 EDPS 公開警告歐洲刑警組織一個月後,歐洲刑警組織還提出請教:如果它想在已經被警告保留的資料上訓練算法,是否可以在沒有 EDPS 監督的情況下啟動資料保護影響評估流程?
他們明确指出,包括面部識别工具在内的算法不會被設計或用于檢索有關敏感資料,包括公民的健康狀況、種族背景、性取向或政治取向等等。但是,正如自己所承認的一樣,這些資料将不可避免地被人工智能工具所處理,并自動生成包含敏感資料的内容。
EDPS 回應,他們當時就表示會啟動正式的監控程式。到 2021 年 2 月,Europol 停止了機器學習計劃,并對《衛報》表示,他們「沒有利用自己的機器學習模型進行操作分析,也沒有對機器學習進行『訓練』。」但沒多久,Europol 就開始招募專家,幫助開發人工智能模型與資料挖掘。顯然,這與 Europol 聲稱「不會處理資料」的初衷相違背,也是歐盟資料安全監管機構最大的擔憂。
是以,EDPS 最終決定對歐洲刑警組織提出強制要求删除資料。
4、資料隐私之殇
資料被譽為人工智能的三駕馬車之一。
然而,随着各國資料保護政策的收緊,以及公民對個人資訊的保護意識提升,上至執法者,下至企業與高校機構,敏感資料的擷取與使用将越來越難。對于執法機構的資料使用監管,歐盟的裁決隻是打響了「第一槍」。
而深究根源,促使政策下台的根本原因,最終仍要落到資料的龐大價值與其誘惑上。單純擁有資料、而不使用資料的「信誓旦旦」,已經無法赢得公衆的信任。
在個體使用者中,拿一個身份證換一盒雞蛋的行為将一去不返。越來越多的人對資料安全的防備意識在增強。對他們來說,利益安全與消費體驗的需求将越來越強。
在接下來的人工智能發展中,研究者要考慮的問題,大約是如何利用少資料、非敏感資料進行研究,實作研究突破,同時「讨好」個體罷。
參考連結:
1.https://www.theguardian.com/world/2022/jan/10/a-data-black-hole-europol-ordered-to-delete-vast-store-of-personal-data
2.https://www.politico.eu/article/the-last-refuge-of-the-criminal-encrypted-smartphones-data-privacy/
3.https://www.europol.europa.eu/media-press/newsroom/news/dismantling-of-encrypted-network-sends-shockwaves-through-organised-crime-groups-across-europe