加拿大正在推进的《C-22 号法案》最新版本再次引发全球科技公司对政府试图在互联网基础设施中“内置监控”的强烈反弹。该法案拟要求各类数字服务提供商长期保留用户元数据,并为执法机构提供“合法访问”渠道,一些以隐私保护为核心卖点的企业已公开表示,宁可退出加拿大市场也不会配合执行。
根据当前公开文本,《C-22 号法案》将覆盖互联网服务提供商、即时通信平台、电子邮件服务,甚至可能波及硬件厂商,要求其保留用户长达一年的元数据信息。与此同时,相关企业还必须建立技术机制,使执法机关在刑事调查中能够依法获取这些信息。批评者认为,这实质上等同于政府强制企业在系统中预留“后门”,从根本上改变了互联网服务的隐私与安全边界。
在加拿大众议院公共安全与国家安全常设委员会作证时,Signal 高管 Udbhav Tiwari 表示,《C-22 号法案》会把人们日常使用的数字工具变成一张庞大的监控网络。他指出,强制企业保留用户通信的元数据,与 Signal 一贯坚持的隐私保护做法完全相悖。Signal 的立场是,如果这一立法通过,公司将难以在不牺牲核心隐私承诺的前提下继续在加拿大运营。
注重隐私的搜索和网络服务公司 DuckDuckGo 也释放出类似信号,其发言人证实,一旦《C-22 号法案》获批通过,公司将把其在加拿大提供的 VPN 服务下架。知名 VPN 提供商 NordVPN 及其他同类服务商也表态称,不排除选择退出加拿大市场,以避免被迫参与元数据留存和访问机制的建设。
大型平台公司同样对法案持保留甚至反对态度。苹果和Google已加入业界警告阵营,强调相关立法可能迫使它们削弱现有加密措施。早在去年,苹果就曾成功阻止英国一项类似提案,该提案要求在 iCloud 中建立政府可用的访问后门。这一事件只是苹果与各国监管机构围绕安全与用户隐私展开的一系列冲突中的最新一例,也凸显出企业与政府在“安全 vs. 隐私”问题上的长期博弈。
反对者最核心的担忧在于:一旦在数字系统中人为设置“后门”,无论其初衷是否仅限于执法或国家安全用途,最终都极有可能被恶意行为者发现并加以利用。民间组织 OpenMedia 就将《C-22 号法案》描述为试图打造“监控国家”的举措,并援引 2024 年末的一起案例加以佐证。当时,被指由中国政府支持的黑客攻破了美国多家通信运营商用于警方依法监听的系统,从 AT&T、Verizon 和 Lumen Technologies 等企业窃取了大量敏感数据,显示“依法监听”系统本身也可能成为高价值攻击目标。
面对业界和民间社会的质疑,加拿大公共安全部长 Gary Anandasangaree 上周表示,《C-22 号法案》将作出修改,以明确数字服务提供商不会被要求破坏端到端加密本身。不过,他同时强调,关于保留元数据的义务仍将保留,这也是当前争议的关键焦点之一。
围绕“后门”的争议近期在其他领域也屡屡出现。一名安全研究人员近日指控微软在其 BitLocker 加密系统中故意留下后门,并在研究者提出质疑后试图让相关问题噤声。在漏洞细节被公开后,微软紧急发布了一个临时缓解更新,但仍未正面回应这一缺陷究竟是设计失误还是有意为之。在批评者看来,这类事件加深了公众对“合法访问”与“技术后门”之间界限的担忧,也使得像《C-22 号法案》这类立法提案更难获得信任。