国际特赦组织在今天发布的新报告《控制的阴影》中指出,德国、法国、阿联酋、中国、加拿大和美国的多家关系紧密的企业共同助长了巴基斯坦非法扩张的大规模监控和审查体系。这项为期一年的调查是由国际特赦组织与Paper Trail Media、DER STANDARD、Follow the Money、《环球邮报》(The Globe and Mail)、Justice For Myanmar、InterSecLab和Tor Project共同完成。
本调查揭露,巴基斯坦当局如何通过隐秘的全球供应链,从外国公司获取先进复杂的监控和审查工具,尤其是新版防火墙,即“网络监控系统2.0版”(Web Monitoring System 2.0)及“合法拦截管理系统”(Lawful Intercept Management System)。本报告记录了“网络监控系统”防火墙如何随着时间的推移而演变,最初其使用的是加拿大公司Sandvine(现名AppLogic Networks)提供的技术。在Sandvine于2023年撤资后,中国公司Geedge Networks的新技术接替其位,并结合了来自美国Niagara Networks与法国Thales公司提供的软硬件组件,构建了新版防火墙。“合法拦截管理系统”则通过阿联酋公司Datafusion,取得德国公司Utimaco提供的技术。
“巴基斯坦的网络监控系统和合法拦截管理系统就像瞭望塔一样运作,不断窥探普通民众的生活。在巴基斯坦,你的短信、邮件、电话和网络活动都会被监控。而公众对这种持续的监控及其巨大的监控范围却一无所知。这种反乌托邦现实极其危险,因为它在暗中运作,并严重限制了言论自由和信息获取权。”国际特赦组织秘书长阿涅丝·卡拉马尔(Agnès Callamard)表示。
“巴基斯坦的大规模监控与审查之所以成为可能,是因为来自法国、德国、加拿大、中国和阿联酋等不同司法辖区内的大量企业合谋所致。这完全是一种庞大且有利可图的经济压迫行为,且是由那些未能履行国际法义务的公司和国家共同推动。”
“在市场逐利的过程中,本应受到人权约束的底线彻底被忽视。而巴基斯坦人民正为此承受最大的代价。”
“网络监控系统2.0版”能够在几乎完全缺乏透明度的情况下,封锁网络存取和特定内容。
与此同时,“合法拦截管理系统”则由巴基斯坦电信管理局强制要求电信网络安装,并由私营公司执行安装。此系统使军方和三军情报局可以直接获取用户数据,包括通话、短信,甚至浏览的网站。
巴基斯坦的网络监控和合法拦截管理系统就像瞭望塔一样运作,不断窥探普通民众的生活。
国际特赦组织秘书长阿涅丝·卡拉马尔
国际特赦组织技术专家尤勒·范·贝尔亨(Jurre van Bergen)表示:“合法拦截管理系统和网络监控系统2.0版由公共资金资助,获得外国技术支持,却被用来压制异议声音,这对巴基斯坦人民造成严重的人权侵害。”
这两套系统不仅通过收集海量个人数据来实现大规模监控,还允许当局精准监控特定人士的浏览习惯。其中,网络监控系统2.0版甚至可以屏蔽VPN以及当局认定为“非法”的任何网站。
暗中运作的监控体系
对于巴基斯坦非法监控与网络审查的担忧由来已久。在压迫性的政治环境下,该国法律体系无法为民众提供真正的保障。国内法律缺乏保障措施,即使是现存的法律规定(例如《公正审判法》中的授权令要求)也常被忽视。与此同时,当局不断从外国公司获取更先进的监控和审查工具。这些技术的引进大大增强了政府压制异议的能力,包括以记者、公民社会和普通公众为目标。
一名在报告中接受采访的记者告诉国际特赦组织,他认为自己长期处于监控之下,这迫使他不得不进行自我审查。
“显然,无论是电子邮件还是电话,一切都受到监控。”他简单表示,在发表了一篇关于腐败的报道后,他遭遇了严密监控,这影响到他,也波及他周围的人。“报道发表后,我联系的任何人,即使是通过WhatsApp联系,都会受到审查。[当局]会找上这些人,问他们:‘为什么他会给你打电话?’[当局]采取了这种极端作法……现在我好几个月都不敢和家人联系,[因为担心他们会被牵连]。”
阿涅丝·卡拉马尔表示:“不完善的法律与新技术结合,加速了国家限制隐私权、言论自由和和平集会自由的能力,这导致寒蝉效应和公民空间的急剧限缩。”
合法拦截管理系统的供应商
通过订阅平台上的商业贸易数据库,国际特赦组织发现,德国公司Utimaco和阿联酋公司Datafusion提供了使“合法拦截管理系统”能在巴基斯坦运行的大部分技术。Utimaco公司的合法拦截管理系统允许当局筛选电信运营商的用户数据,然后当局通过Datafusion公司的“下一代监控中心”对数据进行访问。
在巴基斯坦境内上网的任何人,都可能成为合法拦截管理系统下“定向大规模监控”(targeted mass-surveillance)的对象。只要国家机构(包括三军情报局)输入一个电话号码,系统即可拦截手机定位、通话与短信。
此外,使用合法拦截管理系统的国家人员可查看巴基斯坦居民通过HTTP协议访问的网站内容(即未加密的网页)。若通过HTTPS访问,操作者虽不能看到加密内容,但仍可以通过元数据得知访问了哪些网站。
“由于巴基斯坦在大规模监控技术的部署与使用中,缺乏技术与法律保障,合法拦截管理系统实际上已成为一种非法且无差别的监控工具,使政府在任何时刻都能监控超过四百万人。”尤勒·范·贝尔亨表示。
来自中国的“网络监控系统2.0版”国家防火墙
根据现有的研究以及商业贸易数据库,国际特赦组织发现,巴基斯坦在2018年首次部署了第一代“网络监控系统”,使用的是加拿大公司Sandvine(现名AppLogic Networks)提供的技术。国际特赦组织将此系统命名为“网络监控系统1.0版”。
国际特赦组织早在2017年就发现了Sandvine的相关贸易数据,其已向至少三家长期为巴基斯坦政府服务的公司发货,包括Inbox Technologies。调查过程中,国际特赦组织还发现了另外两家公司也牵涉其中:SN Skies Pvt Ltd和A Hamson Inc。
通过一份调查合作方获得的泄露资料(国际特赦组织称之为“Geedge数据集”),国际特赦组织还发现,“网络监控系统1.0版”于2023年被中国公司Geedge Networks提供的新技术取代。该新版本被称为“网络监控系统2.0版”。
网络监控系统2.0版在巴基斯坦的安装和运行,是由另外两家公司提供的软件或硬件所实现:美国的Niagara Networks和法国的Thales公司。
国际特赦组织认为,Geedge Networks提供的技术是中国“防火长城”的商业化版本。“防火长城”是一套在中国开发和部署的全面国家审查工具,如今已出口至其他国家。
缺乏监管、控制与透明度
国际特赦组织共联系了20家公司,其中仅有总部位于美国的Niagara Networks和总部位于加拿大的AppLogic Networks(前身为Sandvine公司)回应了问题。他们的答复已被纳入报告中。Datafusion Systems与Utimaco公司曾在2024年10月回应了研究问题,相关答复亦纳入报告中,但他们未对后续信件中所列出的调查结果作出回应。
国际特赦组织还联系了九个政府部门。德国联邦经济事务与出口管制局和加拿大贸易管制局确认收到了我们的信件,但未回答相关问题。巴基斯坦政府则未对任何信件作出回应。
中国、阿联酋等国家以及欧盟和北美部分国家的部门与企业,持续未能对监控技术出口进行监管、控制或提升透明度,而这些技术已在巴基斯坦等国家造成严重人权后果。