隐私保护者苹果，以一个出人意料的方式「叛变」了

摘要

苹果扫描儿童性虐待照片事件还在继续发酵，联名抗议的组织和个人的数量仍在上涨。用户对技术被滥用的担忧，苹果只用一句「请相信我们」显然无法服众。

2016 年 2 月 16 日，苹果收到了法官传来的长达 42 页的政府请求。FBI 试图解锁枪击杀人案嫌疑人的 iPhone，未果，于是要求苹果马上开发一个特殊的 iOS 版本：可以无限次输入密码，直至成功解锁嫌犯手机。

让人意外的是，蒂姆·库克拒绝了执法者，「构建一个能够绕过安全保护的 iOS 版本无疑就是开了一个『后门』。虽然政府可能会争辩说它仅限于这种情况使用，但事实上，这样的控制是根本无法保证的。」苹果看似站到了恐怖分子那一边，但却在很多人心里树立起了捍卫用户隐私的形象。

然而，令人没有想到的是，苹果对「隐私」的态度，转变得如此之快。

最近，苹果针对儿童性虐待保护推出了三条新政，其中最让人不安的一条是：用户照片在上传到 iCloud 前，将会先在设备端进行哈希值比对。如果和现存的儿童性虐待资料库有一定量匹配，那么，会有人工查验问题照片是否涉及儿童性虐待，之后采取封锁帐号、报告机构等措施。

这些还未落地的政策，引发了强烈的舆论地震。6000 余家组织和个人在 GitHub 上发起联名信，「尽管打击儿童虐待的出发点是绝对善意的，但该系统以及背后的智能算法实际上给苹果系统加装了一个『后门』，而这可能侵犯所有苹果用户的个人隐私。」曾经曝光美国棱镜门的「吹哨者」爱德华·斯诺登也签署了这份联名信，他警示道：「今天能扫描儿童虐待照片，明天就能扫描任何东西。」

在这些安全专家和普通用户看来，苹果自己打破了「捍卫用户隐私」的金身。

「我帮孩子洗澡时拍了些照片，会被抓吗？」

苹果主动披露，他们开发了一个用于「扫描」用户相册以揪出 CSAM（儿童性虐待内容）的加密算法。这个算法被称为「NeuralHash」，是一种利用哈希值来进行匹配的算法。哈希值通常是一长串的数字，可以简单理解成是一段数据（某个文件，或者是字符串）的 DNA，或者身份证。之所以比作 DNA，是每个文件的哈希值都是唯一的，基于这个特性，哈希值常常被用来判断两个文件是否相同。

这个算法目前在 NCMEC（全国失踪和受剥削儿童保护中心，是美国国会成立的儿童保护组织，下文简称为「儿童保护中心」）提供的「20 万张图像」上进行训练，再过几个月，会随着 iOS 15 和 macOS Monterey 等新系统的上线正式推出。苹果表示，这项「扫描」用户照片的特性会率先在美国推行。

据苹果的说法，「扫描」照片的过程是这样的：

苹果事先获得了儿童保护中心提供的已在网上传播的儿童性虐待数据库，这个库并非直接提供给苹果，而是被「分解」成了无数组哈希值，然后加密存储在苹果用户的设备上。

用户设备上的照片也能被计算出一组哈希值，在上传到 iCloud 之前就在设备端与儿童保护中心的数据库匹配，原理类似指纹比对。为了防止误判，只有当匹配达到一定量的时候才能交由人工审核，审核员能看到的也是低分辨率的图像，如果涉事用户最终被判定为违规，会被封号和上报 NCMEC。

有网友提出了疑问：「我帮孩子洗澡时拍了些照片，会被抓吗？」苹果解释称，他们并不能直接看到用户的照片，比对依靠的是图像哈希值。假如用户的相册里没有那些特定的、在网上广泛流传的违规照片，便不会被上报。

针对那些特定的违规照片，苹果表示他们的哈希值匹配技术也能「对抗」歹徒对图片的二次处理。即便原片经过裁剪或者其他颜色处理，苹果也能确保视觉上相近的图片会有一样的哈希值。

苹果强调，如果用户禁用 iCloud，那存放在本地的照片就不会被扫描。同时，用户已经上传在 iCloud 里的照片也会被拿来比对。

扫描这类违规内容并非苹果「首创」，Facebook、Twitter、Reddit 等公司也会根据哈希库扫描用户的文件，他们一般使用的是微软开发的工具 PhotoDNA，通常是扫描用户存储在他们服务器上的文件。按照美国法律，这些公司一旦发现了儿童性虐待内容，就有义务向儿童保护中心报告。苹果新政和这些公司的不同之处，在于苹果在用户设备端进行扫描、比对。

另外，苹果针对儿童性虐待保护还将推出两项更新。一项是在 Siri 和搜索功能中提供求助资源和提示信息，另一项是在信息 app 里加入本地机器学习图像识别，主动向未成年人及其家长发出「黄色」预警。后者同样惹来不少非议。

如果用户在 iOS 中配置了家人共享功能，未成年人的 Apple ID 在信息 app 中的对话将受到基于本地机器学习的监控｜Apple

如果未成年人用户在 iMessage 中发送和接收色情照片，苹果系统也会在本地扫描后进行判定，然后一般会先做模糊处理，如果未成年人继续操作，苹果会先警告，然后通知其家长。但苹果表示，家长并不能直接看到孩子浏览的内容，这个过程并没有违背他们对 iMessage 端到端加密的承诺。

联名抗议还在继续

斯诺登在 Twitter 上控诉苹果：「苹果 2015 年：我们不让 FBI 查看死掉的恐怖分子的手机，只为保护你的隐私；苹果 2021 年：我们会用官方黑名单检测你的相册和 iCloud 照片，除了报警之外，还会告诉你家长。」

科技巨头也站出来指责苹果。WhatsApp 主管 Will Cathcart 表示，Facebook 旗下的平台不会采用苹果的方法，他们依靠用户报告儿童性虐待内容。WhatsApp 也会扫描用户未加密的信息，比如用户档案和群组描述，然后寻找违规内容。

「这是一个由苹果建立和运营的监视系统，可以非常容易地用于扫描私人内容，以获取他们或政府决定要控制的任何东西。销售 iPhone 的国家会对什么是可接受的内容有不同的定义。」Cathcart 说。在配合监管机构方面，尽管我们看到苹果曾经拒绝了 FBI 的传令，但总体而言苹果支持监管，支持在各地的法律框架下经营。

约翰霍普金斯大学学者 Matthew Green 提出质疑，目前 iCloud 照片存储没有采用端到端加密，为何还要煞费苦心设计如此复杂的机制？毕竟这一机制显然是为了核验端到端加密内容而准备的。

一个好的假设是，苹果会在照片上传中也应用端到端加密技术；然而坏的假设也有一定可能——苹果在试图拓宽监管边界。

Green 还指出，无论是苹果设计的哈希值比对算法，还是儿童保护中心提供的资料库，都是不透明的。若苹果公开算法，则可能会被利用于钓鱼。另外，被当作是判定依据的违规照片库，更是任何普通用户甚至苹果都无法查验的。

EFF（电子前沿基金会）撰文指出，苹果在用户设备上做本地扫描的做法完全颠覆了「端到端加密」存在的意义，因为用户难以验证苹果究竟「扫描」和「拦截」了什么，而服务器端也有可能通过这个方法，获取大量传输内容的哈希值，并进行数据分析。「再小的后门也是后门，」EFF 写道。

行业分析师 Ben Thompson 在自己的博客上写道，「问题不在于苹果是否只向父母发送通知或将其搜索限制在特定内容。问题在于，苹果在数据离开你的手机之前就开始扫描了。」Thompson 还说，「没错，你可以关闭 iCloud 同步，但关键是苹果用户很难摆脱云同步。」苹果生态下的产品协同，就是靠 iCloud 才能互通互联的。「真正令人失望的是，苹果公司如此执着于他们对隐私的特殊看法，最终呢，用户根本没法相信，他们买来的设备真正属于自己。」

苹果的自辩

上周，苹果软件副总裁 Sebastien Marineau-Mes 写了一份内部备忘录，「有些人对这些功能运作方式有误解」，公司将在未来做出更多的解释。在内部看来，苹果的三项新政既提供了保护儿童的工具，但也保持了苹果对用户隐私的坚定承诺。「我们知道，未来将会充斥着少数人的刺耳声音，但我们的声音会盖过他们的。」

「这项技术仅限于检测存储在 iCloud 中的违规内容，我们不会答应任何政府的要求，扩大它的范围。」苹果还在另一文件中说，「我们将拒绝任何此类要求。」

Matthew Green 在 Twitter 上爆料称，「有人告诉我苹果表示对人们的反应很『震惊』，原本以为上周五就可以平息，周末（苹果发布了相关问题答疑）大家就都会接受。」

但事件还在继续发酵，联名抗议的组织和个人的数量仍在上涨。用户对技术被滥用的担忧，苹果用一句「相信我们」显然无法服众。

有签署公开信的用户质疑，「苹果不是执法机构，扫描流程却对所有用户做出了『有罪推定』」｜appleprivacyletter.com

没有人不支持儿童保护。据美国国家儿童协会报告，平均 5 个儿童中就有 1 个在网络遭遇过性骚扰，另一儿童性侵害保护中心数据显示，有 30% 的侵害从来未曾被报告过。儿童性侵害范围很广，但更多潜伏在水面之下不为人知。

但隐私扫描太容易引起公众恐慌，即便是加了密的隐私扫描，即便是由每次发布会都长篇大论强调隐私保护的苹果发出的。有用户表达了自己的担忧，「这就好比为了预防我犯错，在我家里加装了个摄像头。」在他们看来，商业公司没有「审查」用户数据的权利。

显然，即便一个可以用科技去解决的真问题，一个哪怕确实源于正义的出发点，也一样要对面对信任和授权的巨大挑战。

题图：Apple

编辑：靖宇

本文由极客公园 GeekPark 原创发布