科技
加拿大C-22法案被指扩大监控 隐私公司忧心数据安全
Bill C-22拟要求电子服务商保留用户元数据一年,引发隐私担忧。VPN服务商Windscribe CEO Yegor Sak指出,法案定义宽泛,将迫使企业存储更多数据,增加泄露风险,甚至可能迫使隐私公司迁出加拿大。

加拿大《C-22法案》(Bill C-22)旨在为执法和安全机构提供合法工具以调查数字犯罪,但隐私倡导者警告,该法案以牺牲所有加拿大互联网用户的在线隐私为代价。VPN服务商Windscribe的联合创始人兼CEO Yegor Sak撰文指出,即使经过修正,该法案仍将削弱用户隐私。
Windscribe是一家自筹资金的加拿大互联网隐私公司。Sak表示,加拿大确实面临公共安全问题,警方和安全机构需要合法工具来调查严重犯罪和威胁,但C-22法案建立的数据监控机制会给每个加拿大人和企业带来隐私代价。
该法案对“电子服务商”的定义极为宽泛:任何向加拿大人提供电子服务或在加拿大开展部分业务的公司都可能被包含在内。这意味着不仅仅是大型电信公司,大多数加拿大企业都可能受其约束。
C-22法案的核心是允许政府要求特定服务商建立和维护技术能力,以便执法和情报机构访问已获法律授权获取的信息。同时,该法案授权法规要求服务商保留长达一年的元数据。值得注意的是,法案声称元数据保留不包括消息内容、浏览历史或社交媒体活动。但Sak指出,元数据包括传输数据和账户相关信息,可以揭示谁在何时、何地、通过何种服务、使用何种标识符进行连接,有时还能关联到其他账户或设备。实践中,元数据往往是一个人数字生活的全景图——当局可以知道用户去过哪里、停留多久,只是不知道具体做了什么。
对小型服务商而言,合规成本可能高得离谱。大型企业可以承担这些义务,但家庭网店、地区性软件公司、小型托管提供商,甚至发送邮件的医生或律师,都没有银行或大型隐私公司的安全团队。Sak举了一个例子:经营网店的奶奶Beth没有全职法律顾问或系统工程师来确保政府要求的客户信息数据库免受现代威胁。渥太华的政客可能说这不是立法的针对对象,但法律条文本身措辞宽泛,这些义务可能落在完全没有能力处理的企业头上。
一旦企业被要求收集或保留原本不会存储的数据,公民隐私就会面临更大风险。用户的信息存放越多,犯罪分子、敌对势力、恶意内部人员和身份窃贼窃取的机会就越多。加拿大多年来一直倡导组织收集更少数据(数据最小化)以降低泄露风险,但C-22法案完全与之背道而驰。
Windscribe在这场辩论中利益直接相关,因为其产品建立在“不保留用户日志”的基础上。如果法律推动隐私公司保留数据,就削弱了用户选择他们的核心理由。Sak表示,任何使用在线服务的加拿大人都应该在意国家鼓励企业存储比所需更多的敏感数据。
截至发稿,加拿大公共安全部长Gary Anandasangaree表示正在准备对法案的修正,重点在于保留加密。但Sak指出,部长同时强调不会在要求电子服务商收集和存储一年元数据上做出让步。这意味着加拿大人隐私和安全仍面临风险,Windscribe可能被迫将总部迁出加拿大以维持用户隐私。
Sak提出解决方案:C-22法案应缩小范围,使强制保留数据和技术能力要求仅适用于明确定义且具备技术能力、安全成熟度的服务商;命令应需要强司法授权、适当透明度、独立技术审查,以及在合规工作开始前质疑过度要求的实际权利。他总结道:“最安全的数据库是从来没有存在过的数据库。加拿大应该奖励收集更少数据的公司,而不是建立法律框架迫使他们收集更多。”
雪鸮编辑认为,C-22法案一旦通过,所有在加拿大运营的互联网企业——包括不少华人创业的小公司——都可能被强制存储用户数据。对普通华人用户而言,用VPN、网上购物、甚至发邮件都可能留下更长的数据尾巴,泄露风险确实上升。建议关注后续修正方向,尤其是元数据保留条款是否松动;如果Windscribe这样的隐私服务被迫离开,替代选择需要提前考虑。


