https://arpokrat.com/zh-cn/blog/tags/investigatory-powers-act/ Recent content in Investigatory Powers Act on Arpokrat Hugo -- gohugo.iozh-cnWed, 10 Jun 2026 00:00:00 +0000 https://arpokrat.com/zh-cn/blog/ipa-osa-backdoors/ Wed, 10 Jun 2026 00:00:00 +0000 https://arpokrat.com/zh-cn/blog/ipa-osa-backdoors/ <p>伦敦已成为全球数字隐私未来之战的中心。随着 2023 年《在线安全法》（Online Safety Act, OSA）的通过，以及最近对被批评者称为“窥探者宪章”的《调查权法》（Investigatory Powers Act, IPA）的修订提议，英国政府声称有权在私人通信的核心强加监控义务。突破点在于授予监管机构 OFCOM 的权力，要求平台部署“经认可的技术”以检测儿童性剥削和虐待（CSEA）材料或恐怖主义内容，即使是在<a href="https://arpokrat.com/zh-cn/messenger">端到端加密通信</a>中也不例外。</p> <p>对于大型数字平台而言，威斯敏斯特传达的信息明确无误：要么为国家访问其基础设施提供便利，要么面临高达其全球收入 10% 的罚款。反击是立竿见影的：Signal 和 WhatsApp 等服务公开威胁要退出英国市场，拒绝为了满足单一司法管辖区而损害其用户的安全。技术上的论点很难反驳：不存在仅保留给合法行为者的万能钥匙（master key）。为执法部门打开的大门，在设计上也是为网络犯罪分子和外国情报机构打开的大门。</p> <h2 id="大型平台的商业模式零知识zero-knowledge的结构性障碍">大型平台的商业模式：零知识（Zero-Knowledge）的结构性障碍</h2> <p>大型平台抵制采用零知识类型加密的原因并非技术上的无能，而是根本的经济不相容性。像 Alphabet 和 Meta 这样的公司依赖于基于系统收集行为数据的货币化模型。顺便说一句，这种模式得到了欧盟《数字市场法》（DMA）的隐性承认，该法将这些“看门人”（gatekeepers）归类为其实力正是由无与伦比的规模的数据积累所滋养的实体。对于这些参与者来说，采用零知识架构将意味着剥夺其广告系统作为燃料的持续用户识别能力。因此，这不是一个技术选择，而是在用户隐私和其商业模式的生存能力之间的权衡。</p> <h2 id="战略风险harvest-now-decrypt-later先收集后破解的威胁">战略风险：“Harvest Now, Decrypt Later”（先收集，后破解）的威胁</h2> <p>除了关于隐私的争论之外，加密的削弱还引发了完全不同范围的国家安全问题。被称为 <a href="https://arpokrat.com/zh-cn/blog/harvest-now-decrypt-later-hndl-zero-knowledge/"><em>Harvest Now, Decrypt Later</em> (HNDL)</a> 的战略涉及国家对手今天拦截和存储海量加密通信，以期在未来获得量子解密能力。通过削弱当前的加密标准，英国的立法框架在客观上促进了针对政府、外交或工业通信的此类操作。</p> <p>正是在这种信任缺失的背景下，像 Arpokrat 这样的生态系统获得了操作上的相关性。通过在《瑞士联邦数据保护法》（FADP）的制度下运营，并采用不收集任何民事标识符的架构，Arpokrat 提供了与受英国司法管辖的基础设施的技术决裂——保证系统对 OSA 预见的禁令保持充耳不闻（免疫）。</p> <h2 id="规范的冲突osa-和-ipa-对抗欧洲法律">规范的冲突：OSA 和 IPA 对抗欧洲法律</h2> <p>对英国新的国家特权的法律分析揭示了其与欧洲关于数据保护和通信机密性法律基础的直接冲突。</p> <h3 id="osa-对抗全面监控的禁令">OSA 对抗全面监控的禁令</h3> <p>OSA 第 121 条引入了 OFCOM 发布命令迫使平台实施客户端扫描（<em>client-side scanning</em>）的可能性。这项措施直接违反了源自欧洲法律并包含在欧洲法院（CJEU）判例法中的禁止一般监控义务的原则。通过强加“设计上的漏洞”（vulnerability by design），它也使公司陷入了进退两难的境地：为了遵守国家指令而削弱其安全性，它们未能履行 GDPR 第 32 条中规定的确保适合处理的最高安全级别的义务。</p> <h3 id="电子隐私指令eprivacy和通信机密性">电子隐私指令（ePrivacy）和通信机密性</h3> <p>对私人消息的扫描与指令 2002/58/EC（<em>ePrivacy</em>）第 5 条第 1 款直接矛盾，该条款要求成员国保证电子通信的机密性，并禁止在未经相关用户明确同意的情况下进行任何形式的拦截或监控。</p> <h3 id="技术能力通知technical-capability-notices和阻止安全更新">技术能力通知（Technical Capability Notices）和阻止安全更新</h3> <p>在 IPA 2016 制度下，英国政府现在打算使用技术能力通知（TCN）在安全更新部署之前对其进行阻止。这种机制与 GDPR 第 32 条规定的确保持续的系统处理安全的义务产生了无法解决的冲突——这项义务恰恰要求能够毫不延迟或不受外部干扰地应用补丁（patches）。</p> <h2 id="在欧洲运营的公司的合规风险">在欧洲运营的公司的合规风险</h2> <p>IPA 的修订旨在迫使公司在实施任何影响安全的技术修改之前通知英国政府，从而赋予其对产品开发的否决权。这种干预为在欧洲市场运营的供应商带来了巨大的法律不安全感：如果英国不再保证提供与 GDPR 具有同等效力的保护，那么英国对欧洲法律的充分性（adequacy）——这已经很脆弱了——可能会受到质疑。因此，在这个新框架下向英国传输数据可能会使公司面临 GDPR 下的制裁风险。</p> <h2 id="通过技术上的不可能性进行防御零知识原则作为法律盾牌">通过技术上的不可能性进行防御：零知识原则作为法律盾牌</h2> <p>由 CJEU 的 <em>Schrems I</em> 和 <em>Schrems II</em> 裁决巩固的国际判例法确立了一个决定性的原则：防止不成比例的监控的唯一强大保障就是技术上无法访问它。零知识（Zero-Knowledge）架构将这一原则应用于三层保护：</p> <ol> <li><strong>缺乏保管权：</strong> 由于平台不持有解密密钥，任何扫描消息的命令在技术上都是无法执行的；</li> <li><strong>操作系统的控制权：</strong> 对 <a href="https://arpokrat.com/zh-cn/os">ArpokratOS</a> 的控制消除了在设备层面为情报收集提供数据的遥测；</li> <li><strong>瑞士的司法管辖区锚定：</strong> 通过将其基础设施托管在瑞士，Arpokrat 在一个需要个性化且理由充分的司法互助请求的法律制度下运营，从而消除了 OSA 预见的大规模扫描的自动执行。</li> </ol> <h2 id="结论">结论</h2> <p>OSA 的规定和 IPA 的修订不仅对个人隐私构成威胁：它们还代表了对通过受英国司法管辖的基础设施的所有欧洲数据的法律确定性的破坏。通过以公共安全的名义使加密弱化合法化，伦敦矛盾地将其盟友和贸易伙伴暴露在零知识架构正是为了防止的工业和国家间谍风险之中。</p> <p>专业和机构通信的完整性现在需要一种结构性的回应：向去中心化生态系统迁移，从代码层面到司法管辖区锚定，全面保证数字主权。</p>