歐洲一向被認(rèn)為是引領(lǐng)全球隱私保護(hù)的先鋒。此前，歐盟的一系列舉動(dòng)，從GDPR，到限制公眾場合應(yīng)用人臉識(shí)別、禁止企業(yè)在招聘過程中使用算法自動(dòng)篩選簡歷等等，都向外界傳遞了一個(gè)明確的信號：

在發(fā)展人工智能技術(shù)之前，歐洲公民的隱私安全首先排在第一位。

那么，當(dāng)打擊犯罪與數(shù)據(jù)隱私保護(hù)兩者有沖突時(shí)，歐洲當(dāng)局會(huì)如何選擇？

在互聯(lián)網(wǎng)時(shí)代，無論是企業(yè)還是執(zhí)法機(jī)構(gòu)，都有多個(gè)獲取數(shù)據(jù)的途徑，形成數(shù)據(jù)的聚集——這一現(xiàn)象，被隱私專家們稱為「大數(shù)據(jù)方舟」。

近日，英國《衛(wèi)報(bào)》（The Guardian）報(bào)道了一個(gè)重磅級消息：歐盟數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)（EDPS）下令，強(qiáng)制歐盟旗下的歐洲刑警組織（Europol）刪除所非法持有的、超過六個(gè)月的數(shù)據(jù)，并用一年時(shí)間梳理出它可以合法保留的數(shù)據(jù)。

看來在數(shù)據(jù)保護(hù)一事上，歐盟「老大哥」不僅是對谷歌等企業(yè)動(dòng)手，對自己的手下大將也不會(huì)手下留情。

《衛(wèi)報(bào)》的報(bào)道顯示，歐洲刑警組織被指控非法持有大量受法律保護(hù)的個(gè)人信息，并有成為「歐洲NSA」的嫌疑。同時(shí)，該組織還計(jì)劃將這些數(shù)據(jù)進(jìn)行挖掘分析，用于人工智能與機(jī)器學(xué)習(xí)算法的訓(xùn)練。

EDPS的裁決結(jié)果表明：在安全與隱私的權(quán)衡之間，歐洲決策者選擇了站在「隱私」的一方。

1、事件來由

歐洲刑警組織（Europol）的總部位于荷蘭海牙，是歐盟國家警察部隊(duì)下的一個(gè)協(xié)調(diào)機(jī)構(gòu)。在2015年巴塔克蘭襲擊事件發(fā)生后，歐盟的一些成員國開始希望 Europol 解決恐怖主義的問題，并鼓勵(lì)它收集多方面的數(shù)據(jù)。

從理論上講，歐洲刑警組織可以存儲(chǔ)哪些類型的個(gè)人數(shù)據(jù)以及存儲(chǔ)多長時(shí)間，是受到嚴(yán)格的法律監(jiān)管的。根據(jù)規(guī)定，它所接收到的數(shù)據(jù)記錄應(yīng)該嚴(yán)格分類，并且僅在與反恐等高價(jià)值工作有潛在相關(guān)性時(shí)才能應(yīng)用或保留。但 EDPS 發(fā)現(xiàn)，歐洲刑警組織處理數(shù)據(jù)的方式很隨意；此外，該組織所持有的數(shù)據(jù)內(nèi)容究竟是怎樣的，并沒有清楚披露。

據(jù)《衛(wèi)報(bào)》報(bào)道，只有少數(shù)歐洲人知道自己的數(shù)據(jù)被存儲(chǔ)，且沒有人能夠強(qiáng)制要求 Europol 披露究竟自己的哪些信息已被存儲(chǔ)。荷蘭人 Frank van der Linde 是被歐洲刑警組織收集了個(gè)人數(shù)據(jù)的其中一人。2020年，他向 EDPS 投訴了 Europol 的上述行為。

據(jù)《衛(wèi)報(bào)》消息，F(xiàn)rank 此前因破窗進(jìn)入一棟大樓為流浪漢提供居住場所而與警察起了一次嚴(yán)重沖突。這也是他與警察的唯一一次「互動(dòng)」，他因此被荷蘭當(dāng)局列入恐怖觀察名單。但在2019年，他便因接觸恐怖嫌疑被荷蘭從監(jiān)視名單中移除。

圖注：Frank van der Linde

2018年，F(xiàn)rank 從荷蘭搬到柏林。他不知道的是，當(dāng)時(shí)荷蘭警方與德國同僚、以及 Europol 分享了他的數(shù)據(jù)，直到后來他在阿姆斯特丹市政廳看到一份部分解密的文件，才知道自己的數(shù)據(jù)已被 Europol 持有。

在Frank看來，Europol 就像一個(gè)黑匣子，他無法確認(rèn)該組織是否已向荷蘭當(dāng)局確認(rèn)他的最新消息、知道他不是極端分子后刪除了數(shù)據(jù)。為了刪除他的個(gè)人數(shù)據(jù)，他找到 Europol。但在2020年6月，Europol 回復(fù)他，稱 Europol 的系統(tǒng)里沒有任何他「有權(quán)訪問」的內(nèi)容。

然而，該事件引起了 EDPS 對 Europol 處理敏感數(shù)據(jù)的擔(dān)憂。

2、EDPS介入

根據(jù)2019年9月的初步調(diào)查，EDPS 發(fā)現(xiàn)，外界與 Europol 共享的數(shù)據(jù)集在存儲(chǔ)時(shí)沒有經(jīng)過適當(dāng)?shù)臋z查，也沒有驗(yàn)證獲取到的數(shù)據(jù)主體是否應(yīng)該被監(jiān)控或保留。

EDPS調(diào)查發(fā)現(xiàn)，Europol 所持有的數(shù)據(jù)量緩存至少有 4 PB（1PB=1048576GB），相當(dāng)于300 萬張 CD-Rom 或美國國會(huì)圖書館所有內(nèi)容的1/5。這些數(shù)據(jù)主要來源于犯罪報(bào)告、黑客攻擊加密電話服務(wù)、無任何犯罪記錄的尋求庇護(hù)者。

同時(shí)，Europol 所保存的數(shù)萬億字節(jié)中， 至少有25萬當(dāng)前或以前的恐怖和嚴(yán)重犯罪嫌疑人、以及與他們接觸的其他人的敏感數(shù)據(jù)。這些數(shù)據(jù)是國家警察當(dāng)局在過去六年中所積累起來的，主要來自一系列刑事調(diào)查（案件數(shù)量不明）的數(shù)據(jù)轉(zhuǎn)儲(chǔ)。

這次調(diào)查后，歐洲刑警組織并沒有給到監(jiān)管機(jī)構(gòu)一個(gè)令人信服的答案，于是，EDPS 在 2020 年 9 月又公開告誡警察機(jī)構(gòu)?！缎l(wèi)報(bào)》稱，根據(jù)法庭記錄，在處理數(shù)據(jù)一事上，歐洲刑警組織在故意拖延時(shí)間，監(jiān)管機(jī)構(gòu)明確表明他們沒有解決這一「違法行為」。

此外，警察機(jī)構(gòu)一直在要求歐盟設(shè)立新的法規(guī)（如下）、為其六年來在沒有法律依據(jù)的情況下所非法搜集的數(shù)據(jù)提供追溯性保障。德國人權(quán)研究所的監(jiān)控專家 Eric Topfer 研究了擬議中的歐洲刑警組織新法規(guī)，預(yù)計(jì)該機(jī)構(gòu)會(huì)直接從銀行、航空公司、私營公司和電子郵件中獲取數(shù)據(jù)。

擬議新規(guī)鏈接：https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52020PC0796

一旦形成法律條文，這些提案就可以將原有的數(shù)據(jù)緩存合法化，將這些數(shù)據(jù)作為開發(fā)新的AI與機(jī)器學(xué)習(xí)工具的實(shí)驗(yàn)樣本。

倫敦瑪麗女王大學(xué)的法律專家 Niovi Vavoula 評論：「新的立法實(shí)際上是在玩弄這個(gè)系統(tǒng)。多年來，歐洲刑警組織和委員會(huì)一直在嘗試對非法保留數(shù)據(jù)進(jìn)行事后糾正，但制定新的法規(guī)并不能合法地解決以前的非法行為。這不是法治的運(yùn)作方式。」

歐盟內(nèi)政專員 Ylva Johansson 曾嘗試為歐洲刑警組織辯護(hù)，稱：「執(zhí)法部門需要工具、資源與時(shí)間來分析合法傳輸給他們的數(shù)據(jù)。在歐洲，Europol是支持國家警察當(dāng)局完成這項(xiàng)艱巨任務(wù)的平臺(tái)?！?/p>

圖注：Ylva Johansson

Europol 否認(rèn)它們曾利用這些數(shù)據(jù)進(jìn)行任何不當(dāng)行為，并稱它們雖然持有大量非法獲取的個(gè)人數(shù)據(jù)，但并不打算利用這些數(shù)據(jù)「為非作歹」，也沒有成為「美國NSA」的野心。

但令監(jiān)管專家們更為震驚的是，歐洲刑警組織對于「數(shù)據(jù)」的態(tài)度，與斯諾登在披露美國 NSA 搜集數(shù)據(jù)進(jìn)行大規(guī)模監(jiān)視后、NSA 為自己辯護(hù)的理由是相似的——「我們只是收集數(shù)據(jù)，只有在必要時(shí)才會(huì)使用這些數(shù)據(jù)。」

2021年12月，監(jiān)管機(jī)構(gòu)與歐洲刑警組織的對峙到達(dá)了白熱化狀態(tài)，事情的嚴(yán)重性不斷升級，甚至吸引了歐盟內(nèi)政事務(wù)總干事 Monique Pariat 出席會(huì)議。但這次會(huì)議上，歐洲刑警組織還是沒有回復(fù)EDPS對合法保留數(shù)據(jù)的擔(dān)憂。雷峰網(wǎng)

最后，EDPS不得不發(fā)布一個(gè)讓歐洲刑警組織刪除超過六個(gè)月數(shù)據(jù)的決定。

3、安全 vs. 隱私

在數(shù)據(jù)存儲(chǔ)上，Europol 與 EDPS 的另一沖突是前者青睞用技術(shù)來解決隱私權(quán)的安全問題。2021年7月，歐洲刑警組織的負(fù)責(zé)人、前比利時(shí)高級警察 Catherine De Bolle 與紐約州的地區(qū)律師在PolitIco（美國政治新聞網(wǎng)站）上共同發(fā)表了“The last refuge of the criminal: Encrypted smartphones”一文，稱執(zhí)法機(jī)構(gòu)從智能手機(jī)中提取證據(jù)的需求應(yīng)該高于公民隱私保護(hù)的考慮。

作為執(zhí)法當(dāng)局，他們認(rèn)為有責(zé)任在查明真相之前，不惜一切代價(jià)為犯罪受害者及其家人尋找所有可用的線索與證據(jù)，而加密的數(shù)字設(shè)備將證據(jù)鎖在了執(zhí)法人員所能觸及的地方。為此，他們主張執(zhí)法機(jī)構(gòu)應(yīng)獲得通往加密設(shè)備的密鑰。

圖注：Catherine de Bolle

不可否認(rèn)，通過對技術(shù)研究的突破，Europol 確實(shí)在打擊犯罪上取得了重大成果。2020 年，它們與法國、荷蘭警方一起參與了對加密電話服務(wù) EncroChat 的黑客攻擊，將大量個(gè)人數(shù)據(jù)釋放到「方舟」中。

它們從 1.2 億條 EncroChat 消息和數(shù)千萬條通話錄音、圖片和筆記中提取數(shù)據(jù)并進(jìn)行復(fù)制，然后將數(shù)據(jù)打包給國家警察部隊(duì)。在歐洲刑警組織及其司法機(jī)構(gòu) Eurojust 披露秘密行動(dòng)時(shí)，他們將這次行動(dòng)稱為「歐洲歷史上打擊有組織犯罪最成功的案例之一」。僅在英國，截至 2021 年 8 月，就有大約 2600 人被拘留。

但事實(shí)上，歐洲刑警組織的黑客操作將 EncroChat 手機(jī)變成了針對其用戶的移動(dòng)間諜軟件，與 Pegasus 等監(jiān)控惡意軟件有重要的相似之處。在間諜軟件泛濫的情況下，加密是許多社會(huì)關(guān)鍵群體（如人權(quán)捍衛(wèi)者、記者與律師）通信的唯一保護(hù)。雷峰網(wǎng)

EncroChat 的客戶還包括非犯罪分子、律師、記者和商界人士，一位來自荷蘭的律師 Haroon Raza 就是其中之一。據(jù)他所知， 「歐洲刑警組織的數(shù)據(jù)庫中仍然存在一份他的手機(jī)數(shù)據(jù)副本，可以永遠(yuǎn)保留?！?/p>

法國律師 Robin Binsard 評論，Europol 的整個(gè)行動(dòng)相當(dāng)于大規(guī)模監(jiān)視，就像警察要尋找犯罪證據(jù)，于是搜集了一個(gè)街區(qū)內(nèi)的所有公寓——這不僅侵犯了隱私，而且是違法的。

自 2016 年以來，Europol 還在意大利和希臘的難民營開展了一項(xiàng)大規(guī)模篩查計(jì)劃，收集了數(shù)萬名尋求庇護(hù)者的數(shù)據(jù)，以尋找被指控的外國戰(zhàn)斗人員和恐怖分子。根據(jù) EDPS 的部分解密報(bào)告，Europol 組織「不允許」歐盟以外的移民對他們進(jìn)行「例行檢查」，因?yàn)榇伺e「沒有法律依據(jù)」。但 Europol 的篩查可能會(huì)導(dǎo)致移民的個(gè)人數(shù)據(jù)被存儲(chǔ)在犯罪數(shù)據(jù)庫中，無論他們是否被發(fā)現(xiàn)與犯罪或恐怖主義有關(guān)。

此外，2020年春季，在歐洲刑警組織發(fā)現(xiàn)自己擁有越來越多的數(shù)據(jù)緩存后，他們就開始希望用算法來分析數(shù)據(jù)背后所折射出的世界。雷峰網(wǎng)(公眾號：雷峰網(wǎng))

在 EDPS 公開警告歐洲刑警組織一個(gè)月后，歐洲刑警組織還提出請教：如果它想在已經(jīng)被警告保留的數(shù)據(jù)上訓(xùn)練算法，是否可以在沒有 EDPS 監(jiān)督的情況下啟動(dòng)數(shù)據(jù)保護(hù)影響評估流程？

他們明確指出，包括面部識(shí)別工具在內(nèi)的算法不會(huì)被設(shè)計(jì)或用于檢索有關(guān)敏感數(shù)據(jù)，包括公民的健康狀況、種族背景、性取向或政治取向等等。但是，正如自己所承認(rèn)的一樣，這些數(shù)據(jù)將不可避免地被人工智能工具所處理，并自動(dòng)生成包含敏感數(shù)據(jù)的內(nèi)容。

EDPS 回應(yīng)，他們當(dāng)時(shí)就表示會(huì)啟動(dòng)正式的監(jiān)控程序。到 2021 年 2 月，Europol 停止了機(jī)器學(xué)習(xí)計(jì)劃，并對《衛(wèi)報(bào)》表示，他們「沒有利用自己的機(jī)器學(xué)習(xí)模型進(jìn)行操作分析，也沒有對機(jī)器學(xué)習(xí)進(jìn)行『訓(xùn)練』?！沟珱]多久，Europol 就開始招募專家，幫助開發(fā)人工智能模型與數(shù)據(jù)挖掘。顯然，這與 Europol 聲稱「不會(huì)處理數(shù)據(jù)」的初衷相違背，也是歐盟數(shù)據(jù)安全監(jiān)管機(jī)構(gòu)最大的擔(dān)憂。

因此，EDPS 最終決定對歐洲刑警組織提出強(qiáng)制要求刪除數(shù)據(jù)。

4、數(shù)據(jù)隱私之殤

數(shù)據(jù)被譽(yù)為人工智能的三駕馬車之一。

然而，隨著各國數(shù)據(jù)保護(hù)政策的收緊，以及公民對個(gè)人信息的保護(hù)意識(shí)提升，上至執(zhí)法者，下至企業(yè)與高校機(jī)構(gòu)，敏感數(shù)據(jù)的獲取與使用將越來越難。對于執(zhí)法機(jī)構(gòu)的數(shù)據(jù)使用監(jiān)管，歐盟的裁決只是打響了「第一槍」。

而深究根源，促使政策下臺(tái)的根本原因，最終仍要落到數(shù)據(jù)的龐大價(jià)值與其誘惑上。單純擁有數(shù)據(jù)、而不使用數(shù)據(jù)的「信誓旦旦」，已經(jīng)無法贏得公眾的信任。

在個(gè)體用戶中，拿一個(gè)身份證換一盒雞蛋的行為將一去不返。越來越多的人對數(shù)據(jù)安全的防備意識(shí)在增強(qiáng)。對他們來說，利益安全與消費(fèi)體驗(yàn)的需求將越來越強(qiáng)。

在接下來的人工智能發(fā)展中，研究者要考慮的問題，大約是如何利用少數(shù)據(jù)、非敏感數(shù)據(jù)進(jìn)行研究，實(shí)現(xiàn)研究突破，同時(shí)「討好」個(gè)體罷。

參考鏈接：

1.https://www.theguardian.com/world/2022/jan/10/a-data-black-hole-europol-ordered-to-delete-vast-store-of-personal-data

2.https://www.politico.eu/article/the-last-refuge-of-the-criminal-encrypted-smartphones-data-privacy/

3.https://www.europol.europa.eu/media-press/newsroom/news/dismantling-of-encrypted-network-sends-shockwaves-through-organised-crime-groups-across-europe

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。