今天,我们将发布2019年上半年Cloudflare的透明度报告。我们认识到保持报告及时更新的重要性,但是我们整理这些报告所用的时间比平常多一些。我们有一些值得注意的更新。
拉取权证金丝雀
(权证金丝雀:公开通知,如果服务提供商尚未收到其客户数据的秘密政府传票,将禁止他们说自己已收到。)
自从我们在2014年发布了第一份透明度报告以来,我们一直坚持一些承诺,即我们将采取哪些行动,以及我们将如何回应某些类型的执法要求。我们在今年早些时候对这些最初的承诺进行了补充,因此我们目前的权证金丝雀声明,Cloudflare从未:
将我们的加密/身份验证密钥,或我们客户的加密/身份验证密钥交给任何人。
在我们的网络上安装任何执法软件或设备。
由于政治压力而终止服务客户或删除内容。*
向任何执法机构提供我们网络上传输的客户内容的提要。
应执法部门或其他第三方的要求修改客户内容。
应执法部门或其他第三方的要求,修改DNS响应的预定目的地。
应执法部门或其他第三方的要求,削弱,泄露或破坏其任何加密。
这些承诺是一种价值观声明,不仅传达我们所做的事情,而且传达我们认为应该做的事情,旨在提醒我们,作为一个公司,什么是重要的。我们过去保持着这些承诺,而我们也将继续坚信于此。
不幸的是,有一个权证金丝雀不再符合我们保留在我们网站上的测试。在2017年Cloudflare终止了Daily Stormer的服务后,Matthew 评论道:
“我们将在内部进行一场长期的辩论,讨论是否需要去掉‘由于政治压力而终止服务客户’这一公告。能够说自己从未做过某事是很强大的。而且,从今天开始,毫无疑问,当某个地方的政府迫使我们关闭他们不喜欢的网站,我们将更难与之争辩。”
我们在随后的透明度报告中处理了这个问题,保留声明,但在其后增加一个星号的方式,以标识关于Daily Stormer的辩论以及在我们决定终止服务后收到的批评。我们的目标是,表明我们仍然致力于这样的原则,即我们不应该因为政治压力而终止服务客户,而不是忽视这一终止事件。我们还试图公开终止合同的情况以及我们作出这一决定的理由,以确保其不会被人们忽视。
尽管这一终止引发了关于基础设施公司是否应该决定哪些内容应该保留在网上的重大争论,但我们还没有看到政治上负责任的行动者提出真正的替代方案来解决网络上令人深感不安的内容和行为。从那时起,我们看到了更多的这些内容造成的现实后果,这些内容包括网上传播的尖酸刻薄和充满仇恨的内容,与克赖斯特彻奇、波威和埃尔帕索的恐怖袭击有关的长篇大论,还有赞美这些袭击的视频。事实上,在缺乏真正的公共政策举措来解决这些担忧的情况下,科技公司——甚至像Cloudflare这样实力雄厚的互联网基础设施公司——对“哪些内容应该留在互联网上”的判断压力只会越来越大。
2019年8月,Cloudflare终止了对8chan的服务,原因是8chan未能缓和其平台中充斥着的仇恨言论,引发了谋杀行为。虽然我们不认为移除网络安全服务来迫使网站离线是正确的公共政策,但一个网站未能承担起防止或减轻其平台造成的伤害的责任,使得像我们这样的服务提供商别无选择。我们已经认识到,其他人的长期和持续的无法无天行为可能需要那些更底层的技术人员采取行动。尽管我们希望各国政府能够认识到这一需求,并建立正当程序的机制,但如果他们不采取行动,基础设施公司可能会被要求采取行动来阻止损害。
这就回到了我们权证金丝雀的问题上。如果我们认为即使在少数情况下,我们也可能拥有终止服务客户的义务,那么 “迫于政治压力”,保持绝不终止服务客户的承诺是站不住脚的。从理论上讲,我们可以辩称,终止像8chan这样的非法客户并不是“迫于政治压力”。但这似乎是错误的。我们不应该分析我们承诺的具体文字,向人们解释为什么我们不认为自己违反了标准。
我们始终坚持这样的原则:向所有人提供网络安全服务,无论其内容如何,都可以使互联网变得更美好。尽管我们正在从网站上移除权证金丝雀,但我们相信,要赢得并保持用户的信任,我们必须对所采取的行动保持透明。因此,我们承诺,对于可能被视为“由于政治压力”而终止的客户服务,我们会报告我们采取的任何行动。
英国/美国CLOUD协议
正如我们之前所描述的,各国政府一直在努力寻找改善执法部门跨境获取数字证据的途径。这些努力是美国产生了一项新的法律,即《澄清海外合法使用数据法案》(Clarifying Lawful Overseas Use of Data,CLOUD),其前提是,全世界的执法人员在进行执法调查时都应该能够访问与其公民有关的电子内容,无论数据存储在何处,只要它们受到足够的程序保护措施约束,即可确保程序正当。
2019年10月3日,美国和英国根据该法签署了第一份行政协议。根据美国法律的要求,除非国会采取行动阻止该协议,否则该协议将在从2020年3月起的180天内生效。关于该协议是否包括足够的正当程序和隐私保护,目前仍存在争议。我们将采取观望的态度,并将密切监测协议生效后我们收到的任何请求。
目前,Cloudflare打算遵守来自英国执法部门的适当范围和针对性的数据要求,前提是这些要求符合法律和国际人权标准。有关Cloudflare根据CLOUD法案从非美国政府收到的法律要求的信息,将包含在以后的透明度报告中。