國際特赦組織於今日發佈的新報告《控制的陰影》中指出,德國、法國、阿聯酋、中國、加拿大和美國的多間關係密切的企業,共同助長了巴基斯坦非法擴張的大規模監控和審查體系。這項為期一年的調查由國際特赦組織與 Paper Trail Media、DER STANDARD、Follow the Money、《環球郵報》(The Globe and Mail)、Justice For Myanmar、InterSecLab 及 Tor Project 共同完成。
本次調查揭露,巴基斯坦當局如何透過隱秘的全球供應鏈,從外國公司獲取先進而複雜的監控和審查工具,特別是新版防火牆,即「網絡監控系統 2.0 版」(Web Monitoring System 2.0)及「合法攔截管理系統」(Lawful Intercept Management System)。本報告記錄了「網絡監控系統」防火牆隨時間演變的過程:最初使用的是加拿大公司 Sandvine(現名 AppLogic Networks)提供的技術。在 Sandvine 於 2023 年撤資後,中國公司 Geedge Networks 的新技術取而代之,並結合美國 Niagara Networks 與法國 Thales 公司提供的軟硬件組件,構建了新版防火牆。「合法攔截管理系統」則透過阿聯酋公司 Datafusion,引入德國公司 Utimaco 所提供的技術。
國際特赦組織秘書長阿涅斯・卡拉馬德(Agnès Callamard)表示:「巴基斯坦的網絡監控系統和合法攔截管理系統如同瞭望塔般運作,不斷窺探普通民眾的生活。在巴基斯坦,你的短訊、電郵、電話及網絡活動都會受到監控。而公眾對於這種持續的監控及其龐大的範圍卻毫不知情。這種反烏托邦的現實極其危險,因為它在暗中運作,並嚴重限制了言論自由和資訊獲取權。」
她續指:「巴基斯坦的大規模監控與審查之所以成為可能,是因為來自法國、德國、加拿大、中國及阿聯酋等不同司法管轄區的大量企業合謀所致。這完全是一種龐大且有利可圖的經濟壓迫行為,而推動者正是那些未能履行國際法義務的公司與國家。」
「在市場逐利的過程中,本應受人權約束的底線已被徹底忽視,而巴基斯坦人民正為此承受最大的代價。」
「網絡監控系統 2.0 版」能夠在幾乎完全缺乏透明度的情況下,封鎖網絡存取及特定內容。
與此同時,「合法攔截管理系統」則由巴基斯坦電訊管理局強制要求電訊網絡安裝,並由私營公司執行安裝。該系統使軍方及三軍情報局可直接獲取用戶數據,包括通話、短訊,甚至瀏覽的網站。
「巴基斯坦的網絡監控系統和合法攔截管理系統如同瞭望塔般運作,不斷窺探普通民眾的生活。」
國際特赦組織秘書長阿涅斯・卡拉馬德
國際特赦組織技術專家尤勒・范・貝爾亨(Jurre van Bergen)指出:「合法攔截管理系統與網絡監控系統 2.0 版由公共資金資助,並獲取外國技術支持,卻被用來壓制異見,這對巴基斯坦人民造成嚴重的人權侵害。」
這兩套系統不僅透過收集海量個人數據以實現大規模監控,亦允許當局精準監控特定人士的瀏覽習慣。其中,「網絡監控系統 2.0 版」甚至能屏蔽 VPN 以及任何被當局認定為「非法」的網站。
暗中運作的監控體系
對於巴基斯坦非法監控與網絡審查的憂慮由來已久。在壓迫性的政治環境下,該國法律體系無法為民眾提供真正保障。國內法律缺乏防護措施,即使現行法律規定(例如《公正審判法》中的授權令要求)亦常遭忽視。與此同時,當局持續自外國公司獲取更先進的監控及審查工具。這些技術的引進大大增強了政府壓制異見的能力,包括以記者、公民社會及普通公眾為目標。
一名在報告中接受訪問的記者告訴國際特赦組織,他相信自己長期處於監控之下,因而被迫進行自我審查。
他表示:「顯然,不論是電郵還是電話,一切都受到監控。」在發表一篇有關貪腐的報道後,他遭遇了嚴密的監控,這不僅影響他本人,亦波及他周遭的人。
「報道發表後,我聯絡的任何人,即使透過 WhatsApp 聯繫,亦會受到審查。[當局]會找上這些人,問他們:『為甚麼他會致電給你?』[當局]採取了這種極端做法……現在我已有數月不敢與家人聯絡,[因擔心他們會被牽連]。」
阿涅斯.卡拉馬德補充道:
「不完善的法律與新技術相結合,加速了國家限制私隱權、言論自由及和平集會自由的能力,這導致寒蟬效應及公民空間的急劇收縮。」
合法攔截管理系統的供應商
透過訂閱平台上的商業貿易數據庫,國際特赦組織發現,德國公司 Utimaco 及阿聯酋公司 Datafusion 提供了使「合法攔截管理系統」能在巴基斯坦運作的大部分技術。Utimaco 公司的合法攔截管理系統允許當局篩選電訊營辦商的用戶數據,隨後當局再透過 Datafusion 公司的「下一代監控中心」訪問這些數據。
在巴基斯坦境內上網的任何人,都可能成為合法攔截管理系統下「定向大規模監控」(targeted mass-surveillance)的對象。只要國家機構(包括三軍情報局)輸入一個電話號碼,系統即可攔截手機定位、通話與短訊。
此外,使用合法攔截管理系統的國家人員可查看巴基斯坦居民透過 HTTP 協議訪問的網站內容(即未加密的網頁)。若透過 HTTPS 訪問,操作者雖無法查看加密內容,但仍可透過元數據得知訪問了哪些網站。
尤勒.范.貝爾亨指出:「由於巴基斯坦在大規模監控技術的部署與使用上缺乏技術與法律保障,合法攔截管理系統實際上已成為一種非法且無差別的監控工具,使政府在任何時刻都能監控超過四百萬人。」
來自中國的「網絡監控系統 2.0 版」國家防火牆
根據現有研究及商業貿易數據庫,國際特赦組織發現,巴基斯坦於 2018 年首次部署了第一代「網絡監控系統」,使用的是加拿大公司 Sandvine(現名 AppLogic Networks)提供的技術。國際特赦組織將此系統命名為「網絡監控系統 1.0 版」。
早在 2017 年,國際特赦組織已發現 Sandvine 的相關貿易數據,其已向至少三間長期為巴基斯坦政府服務的公司發貨,包括 Inbox Technologies。調查過程中,國際特赦組織還發現另外兩間公司亦涉入其中:SN Skies Pvt Ltd 與 A Hamson Inc。
透過一份由調查合作方獲得的外洩資料(國際特赦組織稱之為「Geedge 數據集」),國際特赦組織發現,「網絡監控系統 1.0 版」於 2023 年被中國公司 Geedge Networks 提供的新技術所取代。該新版本被稱為「網絡監控系統 2.0 版」。
「網絡監控系統 2.0 版」在巴基斯坦的安裝及運行,係由另外兩間公司提供的軟件或硬件所實現:美國的 Niagara Networks 與法國的 Thales 公司。
國際特赦組織認為,Geedge Networks 提供的技術是中國「防火長城」的商業化版本。「防火長城」是一套在中國開發及部署的全面國家審查工具,現已出口至其他國家。
缺乏監管、控制與透明度
國際特赦組織共聯絡了 20 間公司,其中僅有總部位於美國的 Niagara Networks 與總部位於加拿大的 AppLogic Networks(前身為 Sandvine 公司)回覆了問題,他們的答覆已被納入此報告。Datafusion Systems 與 Utimaco 公司則於 2024 年 10 月回覆了研究問題,相關答覆亦已收錄於報告中,但他們未有就後續信函中所列的調查結果作出回應。
國際特赦組織亦聯絡了九個政府部門,其中德國聯邦經濟事務及出口管制局及加拿大貿易管制局確認收到信件,但未有回應相關問題。巴基斯坦政府則未有回應任何信件。 中國、阿聯酋等國家,以及歐盟及北美部分國家的部門與企業,持續未能對監控技術出口進行監管、控制或提升透明度,而這些技術已在巴基斯坦等國造成嚴重的人權後果。
閱讀原文:
國際特赦組織是一個全球運動,在150多個國家及地區有一千多萬人參與,致力於杜絕人權侵犯
