Скільки стежень може витримати демократія?

Річард Столмен

Перша версія цієї статті була опублікована в жовтні 2013 року на Wired.
Також прочитайте Радикальна пропозиція по надійному збереженню ваших особистих даних,опублікована в “Ґардіан” у квітні 2018 року.

Карикатура: пес із подивом дивиться на рекламу, що вискочила на екрані його
комп'ютера

“Як вони дізналися, що я   пес?”

Завдяки фактам, які стали відомі завдяки Едуарду Сноудену, ми знаємо, що сучасний рівень тотального стеження в суспільстві несумісний з правами людини. Неодноразове залякування і переслідування дисидентів, інформаторів і журналістів в США та інших країнах підтверджує це. Нам потрібно знизити рівень тотального стеження, але до яких меж? Яким є дійсно максимальний допустимий рівень стеження, за межі якого ми гарантовано не повинні виходити? Це рівень, при перевищенні якого стеження починає втручатися у функціонування демократії, коли інформаторів (таких як Сноуден), як правило, відловлюють.

В умовах державної таємниці ми, народ, залежний від можливості інформаторів розповідати нам про те, що робить держава. Однак нинішнє стеження відлякує потенційних інформаторів, а це значить, що воно надто сильне. Щоб відновити демократичний контроль народу над державою, ми повинні скоротити стеження до величини, при якій люди будуть знати, що вони в безпеці.

Застосування вільних програм, за що я виступаю вже тридцять років — перший крок до контролю над цифровою стороною нашого життя, що передбачає протидію стеженню. Довіряти невільним програмам не можна; Агентство національної безпеки використовує і навіть створює слабкі місця в невільних програмах для вторгнення на наші комп'ютери та маршрутизатори. Вільні програми дають нам контроль над нашими власними комп'ютерами, але це не захистить наше приватне життя, коли ми виходимо в Інтернет.

У США просувають двосторонній законопроект з метою “урізати сили стеження всередині країни”, але для цього потрібно обмежити використання державними органами наших електронних досьє. Цього не достатньо для того, щоб захистити інформаторів, якщо “піймання інформатора” стає підставою для доступу до даних, дозволяє ідентифікувати його. Нам треба йти далі.

Верхня межа стеження при демократії

Якщо інформатори не сміють пролити світло на злочини і брехню, ми втрачаємо останній шматок фактичного контролю над своїм урядом і державними установами. Ось чому стеження, яке дозволяє державі дізнаватися, хто говорив з журналістом, занадто велике — занадто велика, аби демократія могла його витримати.

Якась посадова особа адміністрації США зловісно заявила журналістам у 2011 році, що США не будуть допитувати журналістів, тому що “ми знаємо, хто з вами говорив”. Іноді для цього на вимогу суду передаються записи телефонних переговорів журналістів, але Сноуден показав нам, що фактично вони весь час отримують записи всіх телефонних переговорів усіх людей в США від Verizon, а також від інших компаній.

Діяльність дисидентів і опозиції вимагає зберігати щось у секреті від держави, яка не проти проробити з ними той чи інший брудний вчинок. ACLU продемонструвала систематичну практику впровадження агентів у мирні групи дисидентів з боку державних органів США під тим приводом, що серед них можуть виявитися терористи. Точка, в якій стеження стає занадто великим — це є точка, в якій держава може дізнатися, хто говорив з відомим журналістом або відомим дисидентом.

Одного разу зібраними відомостями будуть зловживати

Коли люди визнають, що рівень загального стеження занадто високий, сама собою напрошується пропозиція обмежити доступ до зібраних даних. Це звучить непогано, але проблеми це не вирішить, ні на йоту, навіть у припущенні, що держава підкориться цим правилам. (Національне агентство безпеки ввело в оману суд, який розбирав порушення Закону про стеження в цілях зовнішньої розвідки, після чого суд заявив, що він фактично не в змозі отримати звіт про діяльність агентства.) Підозра у вчиненні злочину стане підставою для доступу, бо як тільки інформатора звинуватять у “шпигунстві”, пошук “шпигуна” дасть привід для доступу до накопиченого матеріалу.

На практиці ми навіть не можемо очікувати, що державні агентства стануть вигадувати виправдання, щоб задовольнити правили користування даними, отриманими за допомогою стеження   бо агентства США вже брешуть, щоб прикрити порушення правил. Ніхто в дійсності не збирається дотримуватися цих правил; це просто казка, яку ми можемо вірити, якщо нам до вподоби.

Крім того, державний персонал стеження буде зловживати даними в особистих цілях. Деякі агенти АНБ користувалися системами стеження США для відстеження своїх коханих — минулих, теперішніх і бажаних   ця практика називається “любовна розвідка”. Згідно даних АНБ кілька разів їх викривали в цьому і карали; ми не знаємо, скільки було інших випадків, коли їх через таке не викрили. Але це не повинно нас дивувати, тому що поліція давно користується своїм доступом до записів про номери автомобілів, щоб відстежувати привабливих осіб   практика, відома як “пробити номер, щоб призначити побачення”. Ця практика поширюється із появою нових цифрових систем. У 2016 году слідчу звинуватили у підробці підписів суддів, щоби отримати дозвіл на підслуховування особи, до якої вона була небайдужа. “Асошіейтед прес” знає багато інших прикладів у США.

Дані стеження завжди будуть використовуватися в інших цілях, навіть якщо це буде заборонено. Як тільки дані зібрані й у держави є можливість доступу до них, вона може зловживати цими даними страхітливим чином, як показують приклади з Європи і США, а зовсім недавно й Туреччини (Омана Туреччини про те, хто насправді користувався програмою Bullock, тільки посилила основну навмисну несправедливість довільного покарання людей за користування нею.)

Особисті дані, зібрані державою, нерідко стають здобиччю зловмисників ззовні, які зламують захист серверів, включаючи і зломлювачів, які працюють на ворожі держави.

Уряди можуть легко скористатися можливістю масового стеження, щоб безпосередньо підпорядкувати собі демократію.

Тотальне стеження, доступне державі, дозволяє їй організувати масовану експедицію для цькування будь-якої людини. Щоб убезпечити журналістику та демократію, ми повинні обмежити збір даних, які будуть легко доступні державі.

Стійкий захист особистого життя повинен бути технічним

Фонд електронних рубежів та інші організації пропонують ряд юридичних принципів, складених для запобігання зловживань масовим стеженням. У ці принципи входить (що життєво важливо) явний юридичний захист інформаторів; як наслідок, ці принципи будуть адекватні захисту демократичних свобод — якщо їх приймуть у повному обсязі і будуть дотримуватися завжди і без винятків.

Однак такого юридичного захисту не достатньо: як показують недавні події, вони можуть бути відкликані (як Закон про поправки в FISA), дія їх може бути припинена, або їх можуть ігнорувати.

У той же час демагоги будуть приводити звичайні відмовки як підстави для тотального стеження; будь-який терористичний акт, навіть якщо в ньому загине кілька людей, може використовуватися ними як привід.

Якщо обмеження на доступ до даних знімуть, це буде все одно, мовби вони ніколи не існували: досьє, накопичені за довгі роки, відразу стануть доступні для зловживань з боку держави та її агентів, а якщо їх зібрали компанії, то і для приватних зловживань з їхнього боку. Однак якщо ми зупинимо збір досьє на кожного, то цих досьє не буде і не буде способів зібрати їх заднім числом. Новому антиліберальному режиму довелося б реалізовувати стеження заново, і дані збиралися б тільки починаючи з цього моменту. Що стосується призупинення дії або ігнорування цього закону, ця ідея навряд чи має сенс.

По-перше, не бути дурнями

Щоб у нас була конфіденційність, ми не повинні відкидати її: перший, хто повинен захищати вашу конфіденційність — це самі ви. Уникайте ідентифікувати себе на сайтах Інтернету, зв'язуйтесь з ними через Tor, користуйтеся браузерами, які блокують схеми, застосовні на сайтах для відстеження відвідувачів. Застосовуйте GNU Privacy Guard для шифрування вмісту своєї електронної пошти. Оплачуйте покупки готівкою.

Тримайте свої дані у себе; не зберігайте свої дані на “зручному” сервері компанії. Однак цілком безпечно довіряти резервні копії даних у комерційній службі за умови, що ви зашифрували ці дані, в тому числі імена файлів на своєму комп'ютері за допомогою вільних програм перед тим, як відправляти їх на сервер.

Заради конфіденційності ви повинні уникати невільних програм, оскільки внаслідок передачі компаніям контролю над вашими обчисленнями, вони, ймовірно, шпигуватимуть за вами. Уникайте послуг підміни програм, а також передачі іншим контролю над вашими обчисленнями, це вимагає від вас надання всіх оброблюваних даних на сервер.

Захищайте також конфіденційність своїх друзів і знайомих. Не видавайте їхніх особистих даних, крім необхідних для зв'язку з ними, і ніколи не передавайте жодному сайту список телефонних і електронних контактів. Не кажіть таким компаніям, як Facebook, нічого такого про своїх друзів, що вони могли б не хотіти опублікувати в газеті. А ще краще не користуйтеся Facebook взагалі. Відмовляйтеся від систем зв'язку, в яких від користувачів потрібно називати свої справжні імена, навіть якщо ви раді назвати свої, позаяк це заохочує інших людей відмовитися від своєї конфіденційності.

Самозахист важливий, але найпильнішого самозахисту недостатньо, щоб захистити вашу конфіденційність на системах, які вам не належать. Коли ми спілкуємося з іншими або пересуваємося по місту, наша конфіденційність залежить від сформованої в суспільстві практики. Ми можемо уникати деяких систем, які відстежують наші повідомлення і переміщення, але не всі їх. Ясно, що краще було б примусити всі ці системи припинити стеження за людьми, за винятком законно підозрюваних.

Кожну систему потрібно проектувати з урахуванням конфіденційності

Якщо ми не хочемо жити у суспільстві тотального стеження, ми повинні розглядати стеження як свого роду соціальне забруднення і обмежувати внесок у стеження кожної нової цифрової системи точно так само, як ми обмежуємо вплив фізичних споруд на навколишнє середовище.

Наприклад: “інтелектуальні” електролічильники розхвалюють за те, що вони відсилають в енергетичну компанію моментальні дані про витрату електроенергії кожним користувачем, у тому числі про те, як витрата співвідноситься з витратою середнього користувача. Це реалізовано на основі тотального стеження, але ніякого стеження для цього не потрібно. Енергетичній компанії було б неважко вираховувати середні витрати у житловому районі, поділивши загальну витрату на число абонентів, і висилати отримане значення на лічильники. Електролічильник кожного клієнта міг би порівнювати це з своїми вимірами за потрібний період з середнім графіком витрат за цей період. Те ж саме, тільки без стеження!

Нам треба вбудовувати таку ж конфіденційність у всі наші цифрові системи.

Захід проти збору даних: залишайте їх розосередженими

Один зі способів зробити безпечною для спостереження конфіденційність залишати дані розосередженими, без зручного доступу. Старомодні камери відеоспостереження не представляли загрози конфіденційності(*). Записи велися на місці і зберігалися не довше кількох тижнів. Через незручності доступу до цих записів до них ніколи не зверталися багато; записи піднімали тільки в місцях, де хтось повідомляв про злочин. Було фізично неможливо збирати кожен день мільйони стрічок, а потім переглядати або копіювати їх.

Камери відеоспостереження стали камерами стеження: вони підключені до Інтернету, тому записи можна збирати в інформаційному центрі і зберігати вічно. В Детройті поліцаї тиснуть на підприємців, щоби отримати необмежений доступ до їхніх камер спостереження для можливості дивитися через них у будь-яку мить. вже небезпечно, але становище погіршуватиметься. Прогрес в розпізнаванні осіб може призвести до того, що в один прекрасний день підозрюваних журналістів зможуть постійно відслідковувати на вулиці, щоб побачити, з ким вони спілкуються.

Камери, під'єднані до Інтернету, часто захищені в цифровому відношенні досить погано, тому що хто завгодно може переглядати те, на що спрямована камера. Щоб відновити конфіденційність, нам треба заборонити користування камерами, під'єднаними до Інтернету, коли вони направлені на громадські місця, якщо тільки ці камери не встановлені на людину. Кожен повинен мати право вільно публікувати іноді фото - і відеозаписи, але систематичне накопичення таких даних у Інтернеті повинне обмежуватися.

* Тут я припускаю, що камера безпеки спрямована в зал магазину або на вулицю. Будь-яка камера, спрямована в чийсь особистий простір кимось іншим, втручається в особисте життя, але це інше питання.

Заходи проти комерційного стеження в Інтернеті

Більшість зібраних даних виникає в результаті власної цифрової діяльності людей. Зазвичай дані спочатку збираються компаніями. Але коли мова йде про загрозу конфіденційності і демократії, абсолютно байдуже, проводиться стеження державою безпосередньо або її доручають підприємству, тому що дані, які збирають компанії, систематично доступні державі.

АНБ за допомогою PRISM проникнуло в бази даних багатьох великих інтернет-корпорацій . AT&T зберігає всі свої записи про телефонні переговори з 1987 року і надає їх DEA для пошуку за запитом. Строго кажучи, уряд США не володіє цими даними, але практично різниці немає жодної. Деякі компанії отримують схвалення за те, що пручаються запитам даних з боку держави в тій обмеженою мірою, якою вони можуть це робити, але це може компенсувати тільки частину шкоди, яку вони наносять, збираючи ці дані. Крім того, багато з цих компаній безпосередньо зловживають даними, продаючи їх на біржі даних.

Отже, в цілях забезпечення безпеки журналістики та демократії потрібно скоротити обсяг даних, зібраних про людей будь-якими організаціями, а не тільки державою. Ми повинні перепроектувати цифрові системи так, щоб вони не збирали дані про своїх користувачів. Якщо їм потрібні цифрові дані про наших операціях, їм не повинно бути дозволено зберігати їх довше, ніж короткий час після того, що принципово необхідно їм для роботи з нами.

Одна із спонукальних причин сучасного рівня стеження в Інтернеті полягає в тому, що сайти фінансуються з реклами, заснованої на відстеженні діяльності та уподобань користувачів. Це робить рекламу не просто чимось набридливим, на що ми могли б навчитися не звертати уваги,— це перетворює її в систему стеження, яка шкодить нам незалежно від того, знаємо ми про це чи ні. Системи покупок по Інтернету також відстежують своїх користувачів. І всім нам відомо, що “правила конфіденційності” являють собою скоріше виправдання для порушення конфіденційності, ніж наміри дотримуватися її.

Ми могли б вирішити обидві проблеми введенням системи анонімних платежів — тобто анонімних для тих, хто платить (ми не хочемо допомагати ухилятися від податків тому, кому платять). Система Bitcoin не анонімна, хоча були зусилля зробити спосіб анонімної оплати через Bitcoin. Зате технологія цифрової готівки вперше була розроблена у вісімдесяті роки XX століття; пакет GNU для платежів називається GNU Taler. Зараз нам бракує тільки підприємств, які займалися б цим, і держави, яка б не перешкоджала цьому.

Інший можливий спосіб анонімних платежів  — попередньо оплачені телефонні карточки. Це не так зручно, але дуже просто у здійсненні.

Додаткову загрозу збір особистих даних сайтами являє тому, що зломлювачі можуть проникати на сервери, брати дані і зловживати ними. В в тому числі даними про кредитні картки клієнтів. Система анонімних платежів покінчила б із цією загрозою: пролом у захисті сайту не може зашкодити вам, коли сайт нічого про вас не знає.

Заходи проти стеження за пересуваннями

Ми повинні перетворити цифрові системи збору платежів у анонімні (наприклад, з допомогою цифрової готівки). Системи розпізнавання номерів машин розпізнають всі номери, і дані можуть зберігатися невизначено довго; закон повинен вимагати, щоб відзначалися і записувалися номери тільки тих автомобілів, які перебувають у розшуку. Менш безпечною альтернативою було б відзначати всі автомобілі на місці, але тільки на кілька днів, причому повні дані не повинні бути доступні по Інтернету; доступ до даних повинен бути обмежений списком номерів автомобілів у розшуку.

“Безполітний» список США потрібно скасувати, тому що це покарання без суду.

Допустимо вести список людей, особистість і багаж яких контролюють ретельніше, а анонімних пасажирів на внутрішніх лініях можна було б вважати включеними у цей список. Також допустимо забороняти негромадянам, якщо їм взагалі не дозволено в'їзд в країну, доступ на рейси з посадками в цій країні. Цього повинно бути достатньо для всіх законних цілей.

У багатьох системах продажу квитків для платежів застосовуються різного роду електронні карти. Ці системи накопичують особисті дані: якщо ви одного разу за помилку оплатили поїздку чимось крім готівки, вони назавжди пов'язують електронну картку з вашим ім'ям. Більш того, вони записують всі поїздки, пов'язані з кожною карткою. Все це разом становить систему масового стеження. Збір цих даних потрібно скоротити.

Служби навігації ведуть стеження: комп'ютер користувача передає в картографічну службу координати користувача і місце, куди він направляється; після цього сервер визначає маршрут та повертає його на комп'ютер користувача, де цей маршрут відображається. В даний час сервер, ймовірно, записує координати користувача, оскільки ніщо не перешкоджає. У цій стеження немає принципової необхідності, і її можна уникнути, перепроектувавши систему: вільні програми на комп'ютері користувача могли б отримувати картографічні дані прилеглих областей (якщо вони ще не отримано), прокладати маршрут і відображати його, не передаючи нікуди розташування та пункт призначення.

Системи прокату велосипедів і т. п. можна спроектувати так, щоб особистість орендаря була відома тільки всередині станції, на якій взята одиниця техніки. Система інформувала б усі станції, що одиниця “зайнята”, тому коли користувач повертає її на будь-якій станції (взагалі кажучи, відмінною від тієї, де її взяли), ця станція буде знати, де і коли взята ця одиниця. Система проінформує іншу станцію, що одиниця більше не “зайнята”. Вона складе також рахунок користувача і вишле його (через деяке випадкове число хвилин) в центр по кільцю станцій, тому в центрі не буде відомо, звідки прийшов рахунок. Як тільки це станеться, станція повернення повністю забуде про цю операцію. Якщо одиниця залишається “зайнятою” занадто довго, станція, на якій її взяли, може проінформувати центр; у цьому випадку вона могла б негайно повідомити про особистості того, хто взяв цю одиницю.

Заходи проти комунікаційних досьє

Постачальники послуг інтернету і телефонні компанії зберігають великі відомості про контакти своїх користувачів (перегляд сторінок Інтернету, телефонні дзвінки тощо). Для стільникових телефонів вони записують також фізичні координати користувача. Вони зберігають ці досьє тривалий час: у разі AT&T   понад тридцять років. А скоро вони будуть записувати навіть фізіологічні процеси користувача. Виявляється, Агентство національної безпеки масово збирає дані про місце знаходження стільникових телефонів.

Конфіденційний зв'язок неможливий, коли системи створюють такі досьє. Так що зберігання їх повинно бути незаконно. Постачальникам послуг Інтернету телефонним компаніям не повинно бути дозволено зберігати ці відомості надто довго, якщо тільки спостереження за певною особою не встановлено в судовому порядку.

Цієї міри не цілком достатньо, оскільки її застосування фізично не заважає державі збирати відомості безпосередньо в момент їх виникнення   а саме це у США роблять з деякими або навіть всіма телефонними компаніями. Нам довелося б розраховувати на дотримання закону. Однак це було б краще нинішньої ситуації, в якій відповідний закон (PAT RIOT) явним чином не забороняє таку практику. Крім того, якщо б держава знову ввела таке стеження, воно не набуло б дані про телефонні переговори кожного, проведені до цього часу.

Що стосується таємниці електронного листування, простим частковим рішенням для вас і інших буде користуватися службами електронної пошти у країні, яка ніколи не стала б співпрацювати з вашим урядом, і зв'язуватися один з одним з використанням криптографії. Однак у Лейдера Левісона (власника поштової служби Lavabit, яку розвідка США намагалася повністю розібрати) є думка про криптографічну систему, з допомогою якої вашій службі електронної пошти було б відомо тільки те, що ви послали повідомлення якомусь користувачеві моєї служби електронної пошти, але було б важко визначити, що ви послали повідомлення мені.

Але іноді стеження необхідне

Для розшуку злочинців державі необхідна можливість розслідувати конкретні злочини або конкретні замахи за ордером з суду. З приходом Інтернету повноваження прослуховувати телефонні переговори природно розширюється на повноваження підключатися до інтернет-з'єднань. Цими повноваженнями легко зловживати в політичних цілях, але вони необхідні. На щастя, це не дає можливості знаходити інформаторів заднім числом, якщо (як я рекомендував) ми запобіжимо попередньому масовому накопиченню досьє цифровими системами.

Особи з особливими повноваженнями, виданими державою, такі як працівники поліції, втрачають своє право на конфіденційність, і за ними має вестися спостереження. (Справді, в поліцейському жаргоні є особливий вислів, “давати лжесвідчення”, бо вони справді цим займаються, особливо стосовно протестувальників і фотографів.) У одному містечку Каліфорнії було введено обов'язкове постійне носіння відеокамер поліцейськими, і виявилося, що застосування сили поліцейськими скоротилося на 60%. ACLU підтримує це.

Корпорації — не люди, у них не повинно бути прав людини. Цілком законно вимагати від підприємств публікації деталей процесів, які могли б спричинити за собою небезпеки в хімічному, біологічному, ядерному, фінансовому, обчислювальному (напр., цифрове керування обмеженнямиабо політичному (напр., замовлення політичних проектів) розумінні — публікації настільки докладної, наскільки це вимагає громадський добробут. Порівняно з небезпекою таких дій (згадаймо витік нафти BP, аварію на АЕС у Фукусімі і фінансову кризу 2008 року) загроза тероризму нищівно мала.

Проте журналістику потрібно захищати від спостереження, навіть якщо вона ведеться в ході підприємницької діяльності.

Цифрова техніка принесла з собою запаморочливе зростання рівня стеження за нашими пересуваннями, діями і переговорами. Вона набагато вище рівня того стеження, яку ми відчували на собі в дев'яності роки XX століття, набагато вища рівня того стеження, яке випробовували на собі люди за залізною завісою у вісімдесяті роки XX століття, і пропоновані законодавчі обмеження щодо використання державою накопичених даних не змінюють цього.

Компанії проектують ще глибше стеження. Деякі вважають, що широке стеження, пов'язане з такими компаніями, як Facebook, могло б серйозно впливати на образ думок людей. Такі можливості важо оцінити; але загроза демократії — не вигадка. Сьогодні вона існує і цілком відчутна.

Якщо ми не вважаємо, що наші вільні країни в минулому страждали від гострого браку стеження і повинні бути під суворішим наглядом, ніж Радянський Союз і Східна Німеччина, нам потрібно повернути цей рівень на колишні позиції. Для цього потрібно зупинити масовий збір даних про людей.