原文來自 Wired《Apple Walks a Privacy Tightrope to Spot Child Abuse in iCloud》,作者 Andy Greenberg。台灣康泰納仕集團授權提供,由 Linden Chen 翻譯並經 INSIDE 編審。
多年以來,科技公司一直在兩種傾向中掙扎:一種是需要加密用戶數據,以保護他們的隱私;另一種是在他們的平台上監測是否有嚴重的濫用行為。為了解決這個問題,蘋果推出一種新的加密系統,檢測儲存在 iCloud 上面的虐待兒童影像,同時理論上不會造成新型態的隱私侵犯。在實作過程中這套系統也帶來隱私權和加密技術專家間意見的分歧。前者認為這是對政府監控的危險投降,後者認為是一種富有創新意義的嶄新解決方案。
蘋果 8 月 5 日在 iMessage、iCloud、Siri 和搜尋引擎中引進新技術,據蘋果表示,目的是為了防止虐待兒童。家用 iCloud 帳戶中有個新裝置選擇,會用機器學習技術來檢測 iMessage 發送圖像中的裸體。這套系統還可以阻止發送或接收這些圖像,並顯示警告,在某些情況下會提醒父母孩子查看或發送這些圖像。如果 Siri 和搜尋引擎檢測到有人正在搜索或觀看兒童性虐待(CSAM)影片或圖像,它會顯示警告,並且提供選項,讓使用者得以尋求協助,或者是舉報他們所發現的一切。
但在蘋果這個最具技術創新也最具爭議的新功能中,iPhone、iPad 和 Mac 還將整合進一個新系統,這個系統會檢查上傳到在美國的 iCloud 伺服器中,是否存有已知的兒童性虐待影像。此外,這個新功能還會在使用者裝置和蘋果的伺服器上使用加密技術檢測是否有這些影像,並將其提報給美國國家失蹤與受虐兒童中心(NCMEC),最後還會提交報告給美國執法部門。
蘋果自稱,這些處理兒童性虐待的新功能不會危及用戶隱私——即便是 iCloud 的檢測機制,也會巧妙地使用加密技術,以避免蘋果的掃描機制取得使用者任何不屬於兒童性虐待的圖片。這套系統是蘋果和史丹佛大學加密技術專家丹・博內(Dan Boneh)合作設計的,蘋果並宣布該功能也得到其他幾位密碼學專家的認可。
「我相信蘋果 PSI 系統在隱私與實用性間,提供很好的平衡,而且非常有助於識別兒童性虐待內容,同時保持使用者高度的隱私權,而且把誤報降到最低,」以色列巴伊蘭大學(Bar-Ilan Unversity)加密技術專家,班尼・品卡斯(Benny Pinkas)檢測蘋果系統後,在給《Wired》的一份說明裡寫到。
保護兒童機構也立刻對蘋果的舉措表達讚賞,認為他們取得必要的平衡,「我們想為那些自己最痛苦時刻在網路上被傳播的倖存者伸張正義,而蘋果讓我們距此更接近一步,」兒童安全倡議組織執行長茱莉・科杜雅(Julie Cordua)在給《Wired》的說明中寫道。
從微軟到 Dropbox 的其他雲端儲存服務商已經普遍對上傳到其伺服器的圖像進行檢測。但是一些重視隱私權的批評者指出,透過對使用者設備添加任何型式的影像分析,蘋果不僅朝著令人惶惶不安的新監控型式邁出一步,而且還在面臨執法壓力時,弱化自己長期以來強烈的隱私權基本立場。
「我並不是在為虐待兒童辯護。但是你的個人裝置基於某些令人反感的內容標準,不斷在所在地被掃描、監控,而且還會有條件向有關當局提報,是一種非常非常符合『滑坡謬誤』(指誇大每個環節的因果強度,最後得到不合理結論)的情況,」加密技術專家、法國加密軟體公司 Symbolic Software 創辦人納迪姆・科貝西(Nadim Kobeissi)表示。「如果這種情況持續下去,我一定會改用安卓手機。」
「壓力將會從英國、美國、印度、中國四面八方而來。我很害怕,不知道會變成什麼樣子。」——麥特・格林(約翰霍普金斯大學資安技術專家)
不管是在蘋果的裝置,還是它們自己 iCloud 伺服器上,蘋果新系統都不是直接掃描用戶擁有的圖像。反之,它是一種巧妙、複雜的新圖像分析型式,除非照片已經被確認是使用者上傳的兒童性虐待照片集的一部分,否則系統已設計防止蘋果看到這些照片。系統也會對所有使用者傳送到 iCloud 的圖像進行雜湊處理,把檔案轉換成只能從這些圖像得到的字符串。而後,和舊型兒童性虐待檢測系統一樣(就好像 PhotoDNA),它會把這些字符串,和美國國家失蹤與受虐兒童中心提供的大量已知兒童性虐待雜湊值比較,以找到任何相符的影像。
蘋果還用了一種叫 NeuralHash 的新雜湊形式。據蘋果表示,儘管圖片可能經過剪裁、重新著色等更改,但還是可以比對出兒童性虐待影像。和防止錯過潛在兒童性虐待影像同樣重要的是,該系統從未真正把美國國家失蹤與受虐兒童中心提供的雜湊值下載到使用者裝置上。
反之,它利用一些加密技巧,把這些雜湊值轉換成所謂的盲性數據庫,下載到使用者的手機或個人電腦中,其中包含從這些雜湊衍生出來,看似毫無意義的字符串。這種利用盲性數據庫的方式,可以防止任何用戶獲取雜湊值,並用它們逃過系統檢測。
而後,系統會把這個雜湊的盲性數據庫和使用者設備上面的雜湊圖像進行比較。這些比較結果會被上傳到蘋果的伺服器,蘋果稱之為「安全憑證」,經過兩層加密。第一層加密使用隱私集交集的加密技術,只有在雜湊比較產生符合時,才能對其進行解密,而不符合的雜湊訊息則不會被透露。
第二層加密被設計為只有在一定數量符合才能解密這些配對資料。蘋果指出,這是為了避免誤報,並確保它檢測到整個兒童性虐待影像集合,並不是單一影像。蘋果拒絕透露正在尋找的兒童性虐待圖像的閾值。事實上,隨著時間往前推移,蘋果可能會調整門檻值隨時調整系統,並把誤報率保持在兆分之一以下。蘋果認為,這些保護措施會防止任 iCloud 的兒童性虐待影像檢測機制被濫用,使其能夠識別兒童遭虐影像的集合,而不會看到使用者上傳至iCloud的任何其他圖像。
當蘋果目前沒有點對點加密 iCloud 照片,而且可以像其他雲端儲存服務商一樣,只對其伺服器上託管的圖像執行兒童性虐待影像檢查時,這個非常技術性的過程,代表一系列奇怪待跨越的障礙。蘋果指出,它引入的流程在裝置與伺服器間分開檢查,比起單純對伺服器上圖像的大量掃描,對隱私權的侵犯要小。
但是,如約翰霍普金斯大學加密技術專家麥特・格林(Matt Green)這樣的批評論者,質疑蘋果的作法背後有更複雜的動機。他指出,儘管蘋果在防止兒童性虐待圖像傳播的過程中兼顧隱私保護,但蘋果在檢測使用者裝置上的影像,付出巨大的技術努力。但只有在影像離開使用者手機、電腦前加密,才會真正變得有意義,而伺服器端的檢測才會成為可能。他憂心,這代表蘋果將會把檢測系統延伸至使用者裝置上尚未上傳至 iCloud 的照片——一種裝置上的圖像掃描,代表對使用者線下儲存內容的新型式侵犯。
或者是在對隱私權倡議者較樂觀的情況下,他預期蘋果可能計劃在 iCloud 添加點到點加密,並創建新的兒童性虐待影像檢測系統,以安撫兒童安全倡議者和執法部門,並同時加密其雲端儲存,讓蘋果自己無法用其他方式取得使用者的照片。「蘋果在此做的是技術示範,」格林說。「他們不必用這個技術掃描沒加密的 iCloud 照片,而是如果這些你正在掃描的照片,未來要被加密的話,你就需要這個技術。」
多年以來,隱私權倡議者一直要求蘋果在 iCloud 的儲存空間進行點到點加密。但據報導,由於來自聯邦調查局等執法單位的壓力,蘋果拒絕這麼做,原因是加密可能讓他們在調查案件時少了有價值的調查工具。這次蘋果加入新的兒童性虐待監測系統,作為最終加密 iCloud 的試金石,可以說是代表混合隱私權的勝利——但格林擔心這可能會為世界各地的政府打開大門,讓政府提出要求,要求蘋果改變系統掃描其他不是兒童性虐待的內容,例如和政治有關的影像,或者是其他敏感資料。
雖然新的兒童性虐待影像檢測功能目前僅限美國,格林擔心未來其他國家,特別是中國,會堅持要求蘋果對隱私權做出更多讓步。畢竟,蘋果過去已經同意中國把使用者數據存放在中國境內數據中心的要求。「壓力將會從英國、美國、印度、中國四面八方而來。我很害怕,不知道會變成什麼樣子。」格林補充說明。「為什麼蘋果想要告訴全世界,『嘿,我們有這個工具?』」
目前看來,蘋果的新系統至少代表在線上打擊虐待兒童的勝利——就算這個系統可能充滿陷阱也一樣。「事實是,隱私和保護兒童可以共存,」美國國家失蹤與受虐兒童中心總裁兼執行長約翰・克拉克(John Clark)在給《Wired》的說明中寫道。「蘋果擴大兒童的保護,是產業大局的改變者。」
而它在多大程度上改變業界對使用者隱私權的觀念——以及會朝向何種方向發展——將會完全取決於蘋果的下一步行動。
責任編輯:Chris
核稿編輯:Mia
延伸閱讀:
