在成立的最初幾十年裡,國家安全域性(NSA)是一個默默無聞的部門,其主要工作只有一個:監視蘇聯。它的敵人明確且單一。它的主要工具是電話竊聽、間諜飛機和隱藏的麥克風。
9月11日襲擊事件發生後,這一切都改變了。國家安全域性的主要敵人變成了一個分散的個人恐怖分子網路。世界上任何人都有可能成為合法的間諜目標。間諜活動的性質也隨著新的數字通訊渠道的激增而改變。與網際網路連線的移動裝置的指數級增長才剛剛開始。國家安全域性的舊工具顯然不再足夠。
作為回應,該機構採取了一項新策略:收集一切資訊。正如前國家安全域性局長基思·亞歷山大曾經說過的,當你在大海撈針時,你需要整個乾草堆。國家安全域性開始收集幾乎每個美國人的批次電話記錄;很快,它就開始收集幾乎所有美國境外人員的批次網際網路流量資料。不久之後,國家安全域性每兩小時收集的資料量就相當於美國人口普查的資料量。
支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保未來能夠繼續講述關於塑造我們今天世界的發現和想法的具有影響力的故事。
國家安全域性儲存這個巨大的新幹草堆的自然場所,是它一直以來儲存情報資產的地方:在機構自身的安全設施中。然而,這種資料的集中帶來了後果。幾乎全世界所有人的私人、個人資訊突然之間只需國家安全域性的任何分析師輕敲鍵盤即可獲得。資料囤積也使國家安全域性比以往任何時候都更容易洩密。當時的國家安全域性承包商愛德華·斯諾登對國家安全域性秘密資料收集活動的範圍感到震驚,他設法從夏威夷的一臺伺服器上下載了數千份秘密檔案,然後飛往香港,並將這些檔案交給了媒體。
關於人類行為的資料,例如人口普查資訊,一直以來對於政府和行業的運作都至關重要。但是,一個秘密機構收集整個人口的資料,將這些資料儲存在秘密的伺服器群中,並在幾乎沒有或根本沒有監督的情況下對其進行操作,這與以往的任何情況都存在質的區別。難怪斯諾登的披露引發瞭如此激烈的公眾辯論。
到目前為止,關於國家安全域性資料收集活動的評論大多集中在道德和政治層面。對國家安全域性慘敗的結構和技術方面關注較少。不僅政府在收集和使用大資料方面的政策不足,而且制定和評估這些政策的過程也需要加快速度。政府的做法必須像技術發展一樣迅速地適應。沒有簡單的答案,但一些基本原則將使我們步入正軌。
第一步:分散乾草堆
亞歷山大關於在大海撈針的說法是錯誤的。你不需要整個乾草堆——只需要檢查其中任何一部分的能力。將大量資料儲存在一個地方不僅是不必要的,而且對間諜和被間諜者來說都是危險的。對於政府而言,這使得毀滅性的洩密事件更有可能發生。對於個人而言,這為前所未有的侵犯隱私創造了可能性。
斯諾登的披露清楚地表明,在政府手中,資訊變得過於集中。國家安全域性和其他政府組織應將大資料資源留在原地,由建立資料庫的組織監督,並採用不同的加密方案。不同型別的資料應分開儲存:財務資料在一個物理資料庫中,健康記錄在另一個數據庫中,等等。關於個人的資訊應與其他型別的資訊分開儲存和監督。國家安全域性或任何其他有充分合法理由這樣做的實體,仍然能夠檢查這個分散的乾草堆的任何部分。它只是不會將整個乾草堆放在一個伺服器群中。
實現這種分散的最簡單方法是停止囤積。讓電信和網際網路公司保留他們的記錄。不必急於銷燬國家安全域性當前的資料庫,因為這些記錄的內容和與之相關的軟體都將很快成為過時的歷史。
可能很難想象國家安全域性放棄其資料收集活動——實際上,沒有立法或行政命令,這種情況不會發生——但這樣做將符合該機構自身的利益。國家安全域性似乎也知道這一點。在去年夏天科羅拉多州阿斯彭安全論壇上發表演講時,時任國防部副部長的阿什頓·卡特診斷出了國家安全域性麻煩的根源。“[斯諾登洩密事件的]失敗源於我們需要扭轉的兩種做法……。在一個地方集中了大量的資訊。這是一個錯誤。” 其次,“你有一個人被賦予了非常大的許可權來訪問和移動這些資訊。這也不應該是這樣。” 分散式、加密的資料庫在不同的計算機系統上執行,不僅會使斯諾登式的洩密更加困難,而且還可以防止來自外部的網路攻擊。任何一次攻擊都可能只導致訪問整個資料庫的有限部分。即使是專制政府也應該對資料分發感興趣:集中的資料可能使內部人員更容易發動政變。
分發資料如何幫助保護個人隱私?答案是,它使跟蹤資料庫和人類操作員之間的通訊模式成為可能。每種型別的資料分析操作,無論是搜尋特定專案還是計算某些統計資料,都有其自身的特徵通訊模式——其自身在資料庫之間連結和傳輸的簽名網路。這些簽名,關於元資料的元資料,可以用來監視其他私人通訊的整體模式。
考慮一個類比:當公司不同部門之間的通訊模式可見時(例如透過實體郵件),那麼即使操作的內容(郵件的內容)仍然隱藏,正常操作的模式對於員工也是可見的。例如,如果負責維護員工健康記錄的人看到財務記錄部門突然訪問了大量這些私人記錄,他或她可以詢問原因。同樣,構建大資料操作使其生成關於元資料的元資料,使監督成為可能。電信公司可以跟蹤發生在他們身上的事情。獨立的公民實體以及媒體可以使用這些資料來充當國家安全域性的監督機構。有了關於元資料的元資料,我們可以像國家安全域性對每個人所做的那樣對待國家安全域性。
第二步:加強我們的傳輸線路
消除國家安全域性的大規模資料儲存只是保證資料豐富世界中隱私的一步。透過加密保護我們資訊的傳輸和儲存可能同樣重要。如果沒有這種保護措施,資料可能會在無人知曉的情況下被竊取。在網路犯罪日益增多和網路戰威脅日益加劇的世界中,這種形式的保護尤為迫切。
每個使用個人資料的實體,無論是政府、私人實體還是個人,都應遵守一些基本的安全規則。外部資料共享應僅在具有相似安全標準的資料系統之間進行。每個資料操作都應需要可靠的身份憑證鏈,以便我們知道資料來自何處以及去向何處。所有實體都應接受元資料監控和調查審計,類似於今天信用卡欺詐的監控方式。
一個好的模型是所謂的信任網路。信任網路結合了一個計算機網路,該網路跟蹤法律框架內每個資料片段的使用者許可權,該法律框架規定了可以對資料做什麼和不能做什麼——以及違反許可權的後果。透過維護來源和許可權的防篡改歷史記錄,可以自動稽核信任網路,以確保資料使用協議得到遵守。
長期存在的信任網路版本已被證明既安全又穩健。最著名的是環球銀行金融電信協會 (SWIFT) 網路,約有 10,000 家銀行和其他組織使用該網路進行資金轉移。SWIFT 最突出的特點是它從未被駭客入侵過(據我們所知)。當被問及為什麼搶劫銀行時,主謀威利·薩頓據稱說:“因為錢在那裡。” 今天,SWIFT 就是錢所在的地方。每天有數萬億美元透過該網路流動。由於其內建的元資料監控、自動化審計系統和共同責任,這個信任網路不僅阻止了搶劫犯,還確保了資金可靠地流向目的地。
過去,信任網路的運行復雜且成本高昂,但計算能力成本的降低使其進入了較小組織甚至個人的能力範圍。我在麻省理工學院的研究小組與資料驅動設計研究所合作,幫助構建了 openPDS(開放個人資料儲存),這是此類系統的消費者版本。我們現在正在與各種行業和政府合作伙伴測試該軟體背後的想法,即普及 SWIFT 級別的資料安全性,以便企業、地方政府和個人可以安全地共享敏感資料——包括健康和財務記錄。美國的一些州政府已開始評估這種架構,用於內部和外部資料分析服務。隨著信任網路的使用變得更加廣泛,個人和組織之間傳輸資料將變得更加安全,從而更容易實施安全、分散式的資料儲存架構,以保護個人和組織免受大資料的濫用。
第三步:永不停息的實驗
最後,也許也是最重要的一步是,我們必須承認我們沒有所有的答案,而且確實沒有最終的答案。我們唯一可以肯定的是,隨著技術的變化,我們的監管結構也必須隨之改變。這個數字時代是全新的;我們不能僅僅依靠現有的政策或傳統。相反,我們必須不斷在現實世界中嘗試新的想法,看看哪些有效,哪些無效。
來自其他國家、公民和科技公司的壓力已經導致白宮提議對國家安全域性的監控進行一些限制。科技公司正在起訴要求釋出來自國家安全域性的請求資訊——關於元資料的元資料——以努力恢復信任。5 月,眾議院通過了《美國自由法案》;儘管許多隱私倡導者認為該法案力度不足,但該法案將開始限制批次資料收集,併為該過程引入一些透明度。(截至發稿時,該法案正在參議院待審。)
這些都是朝著正確方向邁出的步伐。然而,我們現在所做的任何改變都只是針對長期問題的短期解決方案。技術在不斷發展,政府流程的創新速度必須跟上。最終,我們可以做出的最重要的改變是不斷進行實驗,並進行小規模的測試和專案部署,以找出哪些有效,保留有效的,並拋棄無效的。