今天,我们发布了 2019 年上半年的 Cloudflare 透明度报告。我们认识到保持最新报告的重要性,但我们花费了比往常更多的时间来汇总信息。我们有一些值得注意的更新。

谈一谈金丝雀安全声明

自 2014 年发布第一份透明度报告以来,我们对于将采取的行动和如何应对特定类型的执法要求做出了几项承诺(称为金丝雀安全声明)。今年早些时候我们对这些初始承诺做了补充。我们最新的金丝雀安全声明表明 Cloudflare 从未:

  1. 将我们的加密或身份验证密钥或客户的加密或身份验证密钥移交给任何人。
  2. 在我们网络上的任何地方安装任何执法软件或设备。
  3. 因政治压力而封杀客户或撤除内容*
  4. 向任何执法组织提供通过我们网络传递的客户内容的提要。
  5. 应执法部门或其他第三方要求修改客户内容。
  6. 应执法部门或其他第三方要求修改 DNS 响应的预期目的地。
  7. 应执法部门或其他第三方要求,削弱、破坏或推翻其任何加密。

这些承诺是我们的价值观声明,提醒我们身为一家公司重要的是什么,不仅传达我们所做的事,还要传达我们认为应该做的事。若要坚守这些承诺,我们必须要坚信在过去我们已经兑现了诺言,还要相信未来可以继续兑现。

遗憾的是,有一条金丝雀安全声明不再符合保留在我们网站上的标准。在 Cloudlfare 于 2017 年封杀了 Daily Stormer 的服务后,Matthew 表示

"对于是否需要移除不因政治压力而封杀客户这一点,我们内部会有长时间的辩论。能够说你从未做过什么是很有力量的。而在今天之后,请不要误解,如果有某个政府迫使我们撤下他们不喜欢的网站,我们与之抗争将变得困难了一些。"

我们在随后的透明度报告中解决了这个问题,我们保留了这条声明,但添加了一个星号,以标识 Daily Stormer 辩论以及我们做出封杀服务的决定后收到的批评。我们的目标是表明我们仍然恪守不应该因政治压力而封杀客户的原则,同时也不会忽视这样的封杀。我们还尽力公开封杀情况以及我们做出决定的原因,确保不会销声匿迹。

尽管那次封杀引发了关于基础设施公司是否能决定哪些内容应留在网上的激烈辩论,但我们尚未看到有政治觉悟的参与者提出真正的替代方案来解决网络上令人深受困扰的内容和行为。自那时以来,我们看到了更多现实的后果,包括在网上传播中伤和仇恨内容,发表有关基督城、波威和埃尔帕索的恐怖袭击的长文,以及发布美化这些攻击的视频。实际上,由于缺乏真正的公共政策措施来解决这些问题,技术公司(甚至包括 Cloudflare 这样的深层互联网基础设施公司)面临要判断哪些内容可留在网上的压力只会增加。

2019 年 8 月,Cloudflare 终止了对 8chan 的服务,因为他们未能节制其鼓动谋杀行为并充满憎恨的平台。虽然我们认为移除网络安全服务以迫使网站下线并非解决网上仇恨问题的正确公共政策方法,但若网站未能担起预防或缓解其平台所造成损害的责任,这让我们这样的服务提供商几乎没有选择余地。我们已经认识到,他人长期无休止的违法行为可能需要技术层面较深的人采取行动。尽管我们宁愿政府意识到这一需求并建立正当程序的机制,但是如果他们不采取行动,那么基础设施公司或许必须要采取行动来防止损害。

这便回到了我们的金丝雀安全声明。如果我们认为我们可能有封杀客户的义务(即使是少数情形),那么秉持绝不“因为政治压力”而封杀客户的承诺是站不住脚的。从理论上讲,我们可以争辩说,封杀像 8chan 这样的不法客户并不是“因为政治压力”而封杀。但这似乎是错的。我们不应该解析诺言中的特定用语,以向人们解释我们为何不认为自己违反了标准。

我们始终秉持这样的原则:为所有人提供网络安全服务,无论其内容如何,都可以使互联网变得更加美好。尽管我们即将从网站上删除这一条金丝雀安全声明,但我们相信,要赢得并维系用户的信任,我们必须对所采取的行动保持透明。因此我们承诺,如果我们对用户采取任何可能被视为“因政治压力”而进行封杀的行动,我们会提供相关的报告。

英国/美国 CLOUD 协议

正如我们之前说过,政府一直在想方设法改进执法部门对跨境数字化证据的访问。这促成了一部新的美国法律的诞生,即《澄清域外合法使用数据法》(Clarifying Lawful Overseas Use of Data,简称 CLOUD)。这部法律基于这样一种思维,全世界的执法人员在进行执法调查时都应该能够访问与其公民有关的电子内容,无论数据存储在何处,只要有足够的程序保护措施约束确保程序正当。

2019 年 10 月3 日,美国和英国根据这部法律签署了第一份执行协议。按照美国法律规定,该协议将于 180 天后(2020 年 3 月)生效,除非国会采取行动阻止该协议。关于该协议是否包含足够的正当程序和隐私保护,目前正在辩论当中。我们将采取观望态度,并在协议生效后密切监视我们收到的任何要求。

目前来说,Cloudflare 打算遵守来自英国执法部门的适当范围和针对性的数据要求,前提是这些要求符合法律和国际人权标准。一旦 Cloudflare 收到美国以外政府依据 CLOUD 法案提出的执法要求,相关信息将包含在日后的透明度报告中。