加密邮件供应商协助跨国维稳:ProtonMail 做了什么?为什么? - iYouPort
加密邮件供应商协助跨国维稳:ProtonMail 做了什么?为什么?
- 这是一个悲痛的事实。尤其是,非常值得您警惕。
ProtonMail 是一家专注于端到端加密通信的电子邮件服务提供商,最近,在一份 警方报告显示 法国当局设法获得了一名使用该加密邮件服务的法国活动家的IP地址后,该公司一直面临着批评。
该公司已经就这一事件进行了广泛的沟通,表示它默认不会记录IP地址,它需要 “遵守当地的法律法规” —— 在这种情况下是瑞士的法律。虽然 ProtonMail 没有与法国当局合作,但是, 法国警方通过欧洲刑警组织向瑞士警方发出请求,迫使这家瑞士公司交出了其一名用户的IP地址 。
在过去的一年里,一群活动家占领了巴黎圣马特广场附近的少数商业场所和公寓。 抗议者们想要对抗士绅化、房地产投机、Airbnb和高端餐厅。虽然开始时是一场地方冲突,但是很快就成为一场象征性的反抗运动 。当抗议者们开始占据 Le Petit Cambodge —— 一家在2015年11月13日巴黎恐怖袭击中成为目标的餐厅 —— 所租用的场所时,他们吸引到了 报纸头条的报道 。
9月1日,该组织在反资本主义新闻网站 Paris-luttes.info 上发表了 一篇文章 ,总结了针对该组织一些成员的不同警方调查和法律案件。根据他们的报道, 法国警方向 ProtonMail 发出了 欧洲刑警组织 的数据请求,目的是揭露创建 ProtonMail 账户的人的身份 —— 该反抗团体正在使用这个电子邮件地址进行交流。这个地址也被分享到各种无政府主义网站上。
第二天,@MuArF 在推特上 分享了 一份警方报告的摘要,详细介绍了 ProtonMail 的回复。据 @MuArF 称,这份警方报告与正在进行的针对占领圣马特广场附近多个场所的反抗团体的调查有关。它说,法国警方通过欧洲刑警组织收到了一条消息,该消息包含有关反抗者的 ProtonMail 账户的细节。
以下是报告的内容:
“PROTONMAIL 公司通知我们,该电子邮件地址是 …… 与该账户相连的IP地址如下…
使用的设备是一个…… 设备,识别号为 ……
该公司传输的数据仅限适合 PROTONMAIL 技术公司的隐私政策。”
ProtonMail 的创始人兼首席执行官 Andy Yen 在 Twitter 上 对警方的报告作出了反应,但是没有特别提及该案件的具体情况。“Proton 必须遵守瑞士法律”,他写道,“只要有犯罪行为,隐私保护就可以暂停, 瑞士法律要求我们回应瑞士当局的请求 ”。
特别是,Andy Yen 明确表示,他的公司没有与法国警方或欧洲刑警组织合作。似乎欧洲刑警组织充当了法国当局和瑞士当局之间的沟通渠道。在某些时候,瑞士当局接管了这个案件,并直接向 ProtonMail 发出请求。该公司在 其透明度报告 中提到这些请求是 “由瑞士当局批准的跨境请求”。
TechCrunch 联系了 ProtonMail 的创始人兼首席执行官 Andy Yen,询问有关此案的问题。
一个关键问题是,目标账户持有人究竟何时被告知他们的数据已被瑞士当局要求了 ,因为 —— 根据 ProtonMail 的说法 —— 给受害人通知是瑞士法律规定的义务。
然而,Yen 告诉记者 —— “出于隐私和法律原因” —— 他无法评论该案件的具体细节或提供 “关于正在进行的调查的非公开信息”,并补充说,“你必须向瑞士当局提出这些询问” 。
与此同时,他确实将记者指向了 这个公开页面 ,ProtonMail 在这里写着它会为寻求其端到端加密电子邮件服务的用户数据的执法机构提供信息,包括制定 “ProtonMail用户通知政策”。
该公司在此重申,瑞士法律 “要求在第三方要求提供用户的私人数据,并且这些数据将被用于刑事诉讼时,必须通知用户” —— 但是,它也指出,“在某些情况下”,通知 “可以推迟”。
根据这项政策,Proton 表示, 在以下情况下,通知会延迟 :瑞士法律程序本身、瑞士法院命令、或 “适用的瑞士法律” 暂时禁止通知;或 “根据执法部门提供的信息,我们绝对酌情认为,提供通知可能会对可识别的个人或群体造成伤害、死亡或不可挽回的损害”。
“但作为一般规则,目标用户最终将被告知并有机会反对数据请求,无论是 ProtonMail 还是瑞士当局”,该政策补充说。
因此,在这个具体案例中,ProtonMail 很可能是根据法律命令推迟通知账户持有人的 —— 鉴于从启动记录到披露之间似乎长达8个月 —— 或者是瑞士当局提供的信息使其得出结论,推迟通知对于避免对某人或某些人造成所谓的 “伤害、死亡或不可挽回的损害” 的风险至关重要。目前还不清楚这里的 “不可挽回的损害” 在这种情况下究竟指的是什么,以及它是否可以被形象地解释为对个人/团体利益的 “损害”,例如对刑事调查的损害,而不仅仅是身体上的伤害,这将使该政策的范围大大扩展。
在这两种情况下,如果瑞士法律规定在个人数据被要求时必须进行通知,那么, 如果同一法律机构可以在很长一段时间内(在这个具体案例中似乎超过了半年)堵住通知的嘴,那么向个人提供的透明度将受到严重限制。
ProtonMail 的公开披露还记录了瑞士当局要求提供的数据量的惊人增长。
根据其 透明度报告 , ProtonMail 早在2017年就收到了来自瑞士当局的13个数据请求 —— 但到2020年,这个数字已经膨胀到了超过三千五百个(3,572!) 。
向瑞士当局提出的外国请求被批准的数量也在上升,尽管没有那么陡峭 —— ProtonMail 报告在2017年收到13个这样的请求 —— 在2020年上升到195个。
该公司表示,它遵守对用户数据的 “合法要求”,但它也表示,如果它认为这些命令不合法,它就会提出异议。它的报告显示,有争议的数据请求也在增加 —— 2017年 ProtonMail 对3个数据请求提出过异议,但在2020年,它对收到的750个数据请求进行了反击。
根据 ProtonMail 的 隐私政策 ,它在回应瑞士法律规定的有效请求时 可以提供的用户账户信息可能包括 :用户自己提供的账户信息(如电子邮件地址);账户活动历史记录/ 元数据(如发件人、收件人电子邮件地址;传入邮件的IP地址;发送和接收邮件的时间;邮件主题等);邮件总数、使用的存储空间和最后登录时间;以及,从外部供应商发送到 ProtonMail 的未加密邮件。 作为一个端到端加密的电子邮件供应商,它不能解密电子邮件数据,因此无法提供有关电子邮件内容的信息,即使在收到搜查令时也是如此。
如果您错过了《 如何在ProtonMail中设置PGP加密 》
然而,在其透明度报告中, 该公司还表明了它可能(在法律上)有义务进行的额外的数据收集层 —— 它写道:“除了我们的隐私政策中列出的项目外,在极端的犯罪案件中,ProtonMail 还可能有义务监测用于访问从事犯罪活动的 ProtonMail 账户的IP地址”。
现在,正是IP地址监控部分在隐私倡导者中引起了如此大的恐慌 —— 对 Proton 公司作为一家 “以用户隐私为中心” 的公司的营销主张提出了不小的批评。
它面临着特别的批评,因为它在营销中声称提供 “匿名电子邮件”,以及在其透明度披露中的告诫措辞 —— 其中谈到IP地址记录只发生在 “极端的刑事案件” 中。
有任何人认为反城市化的反抗运动活动家符合 “极端刑事案件” 标准吗?
同时,Proton 确实为用户提供了 一个洋葱地址 —— 这意味着担心被追踪的活动家可以使用Tor访问其加密的电子邮件服务,这使得他们的IP地址更难被追踪。因此,它正在为用户提供工具,以保护自己免受IP监控(以及保护他们的电子邮件内容不被窥探),尽管它自己的服务在某些情况下可以被瑞士执法部门变成IP监控工具。
在围绕法国活动家的IP记录被揭露的反响中,Yen 通过 Twitter 表示,ProtonMail 将在其网站上提供更突出的洋葱地址链接。
Proton 公司也提供自己的VPN服务 —— 而且 Yen 声称, 瑞士法律不允许其记录VPN用户的IP地址 。因此,如果这些活动家同时使用 Proton 公司的端对端加密电子邮件和VPN服务,他们是否能够躲过IP地址记录,值得推敲 ……
“如果他们使用 Tor 或 ProtonVPN,我们也能够提供一个IP,但这将是VPN服务器的IP,或Tor出口节点的IP” ,当记者问及这个问题时,Yen 说。
“我们确实通过我们的洋葱网站(protonmail.com/tor)来防止这种威胁模式”,他补充说, “不过一般来说,除非你的基地在国际水域离岸15英里外,否则不可能无视法院的命令”。
“瑞士的法律制度虽然不完美,但确实提供了一些制衡措施,值得注意的是,即使在这种情况下,也需要两个国家的三个当局的批准,这是一个相当高的标准,可以防止大多数(但肯定不是全部)权力滥用”。
在 Reddit 上 的 公开回应 中,Proton 公司还写道,它 “深切关注” 这一案件 —— 重申它在这一事件中无法对该命令提出异议。
“本案的起诉似乎相当激进”,它补充说,“不幸的是,这是近年来我们在世界各地越来越多地看到的一种模式(例如在法国,所谓的反恐法被不适当地使用) 。我们将继续反对这种法律和滥用行为” 。
放大来看,在另一个可能威胁到欧洲互联网用户隐私的令人担忧的发展中,欧盟立法者已经表明,他们希望努力找到能够 合法访问加密数据 的方法 —— 即使他们同时声称 “支持强加密”。
隐私权运动活动家再次表示深切担忧。
ProtonMail 和其他一些端到端加密服务在1月份的一封公开信中警告说, 如果欧盟立法者继续朝这个方向发展,有可能使该地区走上一条危险的反加密道路 。⚪️
ProtonMail logged IP address of French activist after order by Swiss authorities
文章版权归原作者所有。
