翻譯:游濰綾

編輯:開放文化基金會

蘋果公司近期公布了多項即將推出的作業系統更新,其中包含了 iCloud iMessage 上新增的「兒童保護」功能。如果你曾留意過密碼戰爭,你就會知道這代表了什麼:蘋果公司正在計畫於自己的資料儲存與訊息傳送系統上建造一道後門。

兒童剝削是個嚴重的議題,而蘋果並不是第一個為了與之抗爭而犧牲隱私保護的科技公司,但這個選擇的昂貴代價卻是整體使用者的隱私權。蘋果可以鉅細靡遺地解釋他們的專業技術將如何在該後門中保障隱私與安全性,但歸根究底,一道後門再怎麼詳實記錄、細心規劃且嚴格管控,仍舊是一道後門。

JOIN THE NATIONWIDE PROTEST

TELL APPLE: DON'T SCAN OUR PHONES

我們對蘋果的這個計畫,用「失望」二字是不足以形容的。蘋果一直以來都是端到端加密技術中的佼佼者,其理由 EFF 曾一再強調。蘋果針對端到端加密的妥協或能安撫美國與海外的政府機關,但對於倚賴該公司隱私與安全性領導地位的使用者而言,這無疑是個令人震驚的立場轉變。

該公司有兩項預計安裝於所有蘋果裝置的新功能。其中一項將即時掃描所有上傳到iCloud Photos的照片以辨認它們是否符合任何一張由失蹤兒童及童工保護中心 (NCMEC) 所建立的已知兒童性虐待資料 (CSAM) 數據庫中的照片。另一項功能則會掃描所有iMessage兒童帳號(也就是所有登記為被未成年人持有的帳號)所發送或接收的圖片,以監測其中是否含有色情內容,而如果該名兒童低於一定年齡,當這些圖片被發送或接收時,其家長就會被通知。這些功能可由家長開啟或關閉。

在蘋果推出這些「客戶端掃描」功能後,iCloud Photos 的使用者、iMessage 的兒童使用者以及任何透過 iMessage 與未成年人對話的使用者都將必須在這些改變中審慎評估自己的隱私與安全性考量,並且很可能無法再繼續安全地使用這些在本次更動以前名列最傑出加密通訊工具的軟體

蘋果正在為進一步濫用大開方便之門

我們再次重申:一套客戶端掃描系統不可能只被用來偵測由兒童所收發的色情圖像。因此,這樣的系統就算立意良善,仍然違背了加密通訊工具的關鍵承諾,並為進一步的濫用開啟了一扇方便之門。

這並不是一樁滑坡謬誤,而是一套完整打造的系統坐等外部施壓來促使它做出最細微的改動。

現在,蘋果只要拓展機器學習的範圍來追加偵測的內容種類,或是稍稍將掃描標的更動為不僅限於兒童的所有帳號,就能拓寬這道建造中的後門。這不是一樁滑坡謬誤,而是一套完整打造的系統,坐等外部施壓來促使它做出最細微的改動。以印度為例,這個國家剛剛通過了一些危險的法規,要求各平台追蹤訊息與預審內容的來源;衣索比亞的新法規要求「不實消息」在 24 小時內被下架,而該法規或將適用於訊息傳送的服務;還有更多國家(通常是極權政府國家)通過了類似的法規。蘋果的改變或將在它的端到端訊息傳送服務中促成審查、下架與檢舉的行為出現。這類濫用的可能性不難想像:例如將同性戀傾向視為犯罪的政府或將規定篩選器需限制公開的 LGBTQ+ 內容,威權政體也可能要求篩選器添加能辨認流行諷刺圖像或是抗議文宣的功能。

我們已經看到這項任務正暗暗被執行著。一項原本被用來掃描並分析兒童性虐待圖像的技術被重新塑造成創建「恐怖分子」資料庫的工具,企業能以防堵這類內容為由貢獻並存取該資料庫中的資訊。儘管社會不斷呼籲,這座由全球網路反恐論壇 (GIFCT) 管理的資料庫仍嚴重缺乏外部監管。雖然這也代表了我們無從得知該資料庫是否涉嫌越權,我們卻能看見平台們時常將批判內容標示為「恐怖主義」,其中包含了暴力與壓迫的紀錄證據、反駁言論、藝術作品與諷刺內容等。

iCloud Photos中進行圖像掃描:隱私權的減損

蘋果對上傳到 iCloud Photos 中的照片進行掃描的計劃某方面而言與微軟的 PhotoDNA 很類似。兩者最主要的產品差異在於蘋果的掃描功能與裝置結合。這個儲存了 CSAM 圖像的(無法被審查的)資料庫會散布在作業系統 (OS) 中,使用者無法辨認這些被處理過的變形影像,且與這些變形影像的配對將在隱藏的交錯集合中執行,因此裝置並無從得知是否配對成功。這代表了當這項功能推出時,每支iPhone都將被上傳一組被處理過的 NCMEC CSAM 資料庫,而配對的結果將被送到蘋果公司,但蘋果只能在成功配對的照片超過一定的數量之後才能確認配對的成立。

一旦一定數量的照片被偵測到,這些有疑慮的照片將被送到蘋果的人工審核員手中,而審核員將判定這些照片是否實際屬於 CSAM 資料庫。在人工審核員確認過後,這些照片將被送到 NCMEC,而使用者的帳號將被封鎖。再次重申關鍵,無論技術層面如何保障隱私與安全性,所有上傳到 iCloud 的照片都會被掃描。

請不要被誤導了:這代表著 iCloud Photo 使用者隱私權會隨之降低,而不是提高。

現階段,儘管蘋果擁有權限瀏覽儲存在 iCloud Photos 中的照片,但並未對其進行掃描。各公民自由組織曾呼籲該公司移除這項權限,但如今蘋果卻選擇了完全相反的作法,給予了自己更多關於使用者內容的知識。

iMessage 上的機器學習與家長通知:與強力加密漸行漸遠

蘋果主打的第二項新功能是依據掃描透過 iMessage 收發的照片而生成的兩種通知。為了執行該通知,蘋果將推出與裝置綁定的機器學習篩選器用以偵測「色情圖像」。蘋果公司表示,這些功能(在發佈初期)將侷限於美國十八歲以下且註冊在家庭帳號下的用戶。在這些新的流程中,如果一個由未滿 13 歲孩童持有的帳號想發送一張被裝置綁定的機器學習篩選器認定為色情的圖像,一則通知將會跳出,告知這名未滿 13 歲的孩童他的家長將獲知圖像內容。若這名未滿 13 歲的孩童仍選擇發送圖像,他就必須接受他的「家長」將收到通知,而這張影像將被保存在他手機上的家長控制區讓他的家長稍後查看,並且無法收回。至於介在 13 17 歲之間的用戶也會收到類似的警告,但並不會通知家長。

同樣地,如果該名未滿 13 歲的孩童收到一張由 iMessage 認定為「色情」的圖像,在被允許瀏覽照片之前,一則通知將跳出,並告知該名未滿 13 歲的孩童他的家長將得知他正在接收色情圖像。重複上述,若這名未滿 13 歲的使用者接收了這張圖象,他的家長將被通知,圖像也將被保存到手機中。介在 13 17 歲之間的用戶也會收到同樣的警告訊息,但關於這項行為的通知並不會出現在家長的裝置中。

這代表了假設一名未成年人透過未開啟這些功能的 iPhone 傳送照片給另一位有開啟功能的未成年人,他並不會收到 iMessage 將他的照片判定為「色情」或是接收者的家長將被通知的訊息。接收者的家長將在未經過傳送者允許的情況下得知該內容。另外,一旦被收發,這張「色情圖像」將無法從未滿 13 歲使用者的裝置中被刪除。

無論是傳送或是接收這類內容,未滿 13 歲的使用者還是可以選擇在家長不被通知的情況下拒絕收發。然而,這些通知依舊讓人感覺蘋果正在監視它的使用者,而對未滿 13 歲的孩童而言,蘋果基本等同於給予了家長監視的能力。

這些通知依舊讓人感覺蘋果正在監視它的使用者,而對未滿 13 歲的孩童而言,蘋果基本等同於給予了家長監視的能力。

還有另一點值得注意的是,蘋果選用了公認難以被審核的機器學習篩選器技術來辨識色情圖像,而我們從多年的紀錄與研究可以得知,機器學習技術在缺乏人工監控的情況下很容易將內容錯誤分類,其中包含了所謂的「色情」內容。當網誌平台 Tumblr 2018 年設置了色情內容過濾器時,它廣為人知地過濾到了各式各樣的圖像,其中包含了博美犬的照片、衣著完整的自拍照等等。臉書也曾試圖限制裸露內容,卻因此移除了著名雕像的照片,例如哥本哈根的小美人魚。這些篩選器往往限制著創作,而我們有理由相信蘋果的篩選器也會重蹈覆轍。

由於與裝置綁定的機器學習技術將被用來掃描訊息內容中的「色情圖像」,蘋果將不再能稱 iMessage 為「端到端加密」。蘋果與它的擁護者或將辯駁在訊息加密前或解密後的掃描仍然保障了「端到端」的完整,但這樣的說法無非是操縱文字遊戲,試圖掩蓋該公司從根本上改變其對強加密的立場。

無論蘋果如何稱呼它,這都將不再是安全訊息傳遞

於此提醒,在一套安全訊息傳遞系統中,除了使用者與其指定的訊息接收人之外,理應沒有第三方能夠閱讀該訊息或以任何方式分析並推斷該對話內容。就算這些訊息是通過服務器遞送的,這些被端到端加密過後的內容服務器也無從得知。但當同樣的服務器設立了一個能透露大比例訊息內容資訊的管道時,它就不再是端到端加密了。在這樣的情況下,就算蘋果永遠不會看見這些由使用者收發的圖像,它仍然創造了一個會掃描這些圖像並通知家長的篩選器。因此,現在的蘋果將有能力在送往使用者裝置中的篩選器裡添加新的訓練數據,或將通知傳送給更多的客群,藉此輕易達到審查與限制言論的目的。

但就算沒有這些延伸功能,這套系統仍然給予了一些不考慮孩子最大利益的家長另一個監視與掌控孩子的手段,並進一步限制了那些在失去透過網路開拓世界的可能性後更無法擺脫枷鎖的生命。而由於家庭共享計畫很可能是由施虐者家長所把控的,我們很輕易就能想像這些家長把這項功能當作跟蹤軟體來使用。

人們有權在杜絕後門與審查的情況下進行私人溝通,其中包含未成年人。蘋果應該做出正確的決定:讓後門遠離使用者的裝置。

JOIN THE NATIONWIDE PROTEST

TELL APPLE: DON'T SCAN OUR PHONES

Translator: WeiLing Yu
Editor: Open Culture Foundation

Read further on this topic: 

Related Issues