AIVD与MIVD的批量数据集:影子情报机构Bulkdatasets AIVD en MIVD: de schaduw geheime dienst
最新发布的研究报告指出,荷兰情报部门(AIVD 和 MIVD)在处理批量数据集时存在疏忽甚至违法行为。这些数据集通常包含数百万无辜群众的个人数据,主要来源于线人、外国情报机构或商业实体。情报部门对这些海量数据的收集和管理缺乏足够的法律约束和透明度。这种“影子情报”运作模式引发了严重的隐私泄露和权力滥用担忧。
根据今日发布的一份研究报告(PDF)显示,AIVD 和 MIVD 在处理批量数据集时不仅操作草率,有时甚至存在违规行为。
批量数据集是包含数百万普通民众数据的大型文件,这些数据通过各种渠道被情报机构获取。报告指出:
“例如,情报机构可以从线人、其他政府机构、外国情报部门获取批量数据集,或者通过向商业机构付费购买。情报机构还可以利用特殊权力来获取批量数据集。例如,实施黑客行动或控制(虚拟)特工来获取批量数据集。”
如果情报机构想了解某个目标(target)的信息,他们可以向电信运营商或其他政府部门提出询问。他们也可以对目标(或其家属、室友或雇主)进行窃听或黑客攻击。此外,还可以对大型互联网/通信设施进行批量窃听。迄今为止,所有这些行动都受到外部委员会相当严格的审查和监督。否则是不被允许的。
但是,如果情报机构在某处发现或获得了包含飞行轨迹的庞大数据库呢?如果他们在公开市场上购买了数百万公民的位置数据呢?或者,如果他们设法获取了 Odido 数据泄露事件中的数据呢?
这样一来,他们就能找到非常相似的数据,否则他们原本必须通过繁琐的程序和审查,针对每个具体个案提出申请。此外,情报机构在网上向黑客购买此类文件或自行下载是合法的,无论其来源如何。
图片来源:C M on Unsplash
凭借大量泄露和交易的文件,情报机构完全可以建立一个包含普通大众数据的“影子档案”。作为情报机构,可以利用这些数据为自己谋利,而且受到的外部规则和程序约束要少得多。这样一来,最终几乎所有人的信息都会被全方位覆盖。
我们不知道目前这涉及多少数据量,但在 2024 年,监督委员会 CTIVD 在第 79 号报告中写道:
“在 2020 年 1 月 1 日至 2023 年 6 月 1 日的调查期间,情报机构的虚拟特工收集了数十个批量数据集,其中大多包含数千万条数据。”
此后,这一数量只会有增无减。
那么,你能用这些数据做什么呢
例如,你可以利用这类位置数据来查明还有谁参加了与已知恐怖分子的集会。
你甚至可以顺手利用这类位置数据来判断你的女朋友是否出轨(以及出轨对象和地点)。
随着这些批量数据存储时间的延长,出现错误的概率也会增加。我之前曾就此写过详细的文章。简而言之,数据越多,某人因为这些数据的组合而显得形迹可疑的概率就越大。因为,为什么你当时会和那些恐怖分子待在一起?随着时间的推移,反驳这些数据也变得越来越困难。因为作为个人,你可能早就记不清 5 年前自己在那里做过什么了。
因此,从公民权利和安全的角度来看,建立和保存庞大的数据档案并非没有代价。或者正如欧洲人权法院曾一针见血指出的那样,这始终是对个人隐私的侵犯:
“即使仅仅是存储与个人私生活相关的数据,也构成了《欧洲人权公约》第8条所指的‘干涉’(Leander v. Sweden, 1987, § 48)” —— 欧洲人权法院。
因此,妥善保护包含大量个人数据的批量数据集、受控开放访问以及及时删除这些数据,是至关重要的。
对于尚未被说服的人,我真心推荐阅读我之前写的这篇充满实例的文章。
近期的批量数据集
AIVD和MIVD在处理批量数据集方面有着不堪的历史,他们曾不惜一切代价想要保留所有数据,并拒绝销毁数据集。即使在获得了绝佳的机会来证明这些数据集的效用和使用情况后,他们也未能做到。我之前曾撰文讨论过此事。
最终,各方达成了新的协议,而监督委员会(CTIVD)现已调查了他们是否遵守了这些新协议,答案非常明确:“没有”。
在过去那个存在“5个问题数据集”的时代,这本来就已经是个问题了。但报告显示,该机构内部散落着海量的数据,这些数据往往甚至没有被认定为批量数据集。这样一来,它就成了一个你可以毫无规则限制、不留访问日志地随意翻阅的文件,而且也不必在规定的年限内进行清理。真是“方便”。
有些批量数据集并不那么敏感。你可以想象一下旧的电话簿或年鉴。例如,用它来核实某人是否真的在1995年居住在代尔夫特(Delft),可能会非常有用。
另一些数据集则非常敏感(例如位置、行程和通话记录)。因此,对于谁有权在这些数据中进行检索,有着明确的协议。这样就不会出现任何人都能随随便便查查看看到底有谁去过他/她朋友家之类的情况,这只是一个例子。
未来展望
CTIVD提出了13项改进建议,这些情报机构毫无疑问会着手处理。此外,政府也对报告做出了非常详尽的回应,其中采纳了部分建议,但也表示对其他一些建议不会采取任何行动。
预计今年夏天,全新修订的《情报与安全服务法》(Wiv202.)的文本将会发布。该法案将对批量数据集的处理方式进行彻底重塑。监督委员会已经阅读了该法案,并在其网站上以粗体字醒目地标出了以下内容:
他们这么做绝不是无的放矢。人们对新法案存在担忧。
鉴于目前流通的遭窃取、被黑客攻击以及在国际上被交易的信息数量巨大,对这种“影子情报机构”进行妥善监管显得至关重要。不能允许像现在这样:情报机构从兄弟机构那里获得批量数据集后,却声称这些是“公开”信息。
我希望新法案的内容不要太过骇人听闻,同时也希望 Tweede Kamer(荷兰众议院)和 Raad van State(国务委员会)能对其进行严格审视。
延伸阅读
需要完整排版与评论请前往来源站点阅读。