Dontsurveil.me

# 加拿大即将削弱你私密消息的每一把锁 — dontsurveil.me 来源：https://opencivics-labs.github.io/dontsurveil.me/c22.html 01 C\-22法案 • 加拿大 • 2026年5月 ## 过去十年里，你的消息都装着*一把锁*。 只有你，以及你正在对话的人，才持有那把钥匙。不是应用，不是公司，也不是政府。你可能从未想过这一点——而这正是关键所在：它就这么静默地工作着。 直到，有可能，*今年夏天*结束前。 C\-22法案将带来的后果 ## 加拿大的每一款消息应用都必须打造*第二把钥匙*。 根据C\-22法案，政府将持有这把钥匙的副本。你信赖的那把锁将不再是一把只有你能打开的锁。它将变成一把被命令复制的锁。 范式转变 今天 只有你持有钥匙。 - 就连应用自己的工程师也无法读取你的消息。 - 如果法庭要求提供内容，Signal 无任何材料可交出。 - 入侵的黑客只会发现噪音，而非你的对话。 如果C\-22法案通过 必须存在一把钥匙的副本。 - 提供商必须建造一条进入通道，即使他们不愿如此。 - 法庭可以要求提供内容。提供商必须遵守，否则面临罚款。 - 找到这条通道的黑客便可轻松进入。这种事已经发生过。 照片说明：为什么这与您有关为什么这与您有关 ## 它几乎触及你*在线*做的每一件事。 将一部名为"合法访问"的法案解读为影响别人的事情，这很诱人。但实际上，它要构建的架构就嵌入在你每天使用的应用和服务中。 #### 如果你给家人或朋友发短信 你通过 Signal、iMessage、WhatsApp 或 Messenger 发送的每一条消息在法律上都将变得可获取。如今，公司无法读取它们。根据这项法案，公司将被要求能够读取。 #### 如果你给医生或治疗师发消息 当你给诊所发短信、预约敏感就诊或通过患者门户发消息时所假设的保密性，有赖于同一种被该法案削弱的加密。医疗保健应用也在覆盖范围之内。 #### 如果你与律师交谈 律师-客户特权依赖于保密通信。端到端加密如今正是这种承诺得以实际执行的方式。后门无法识别特权。 #### 如果你是记者或消息来源 对消息来源的保护变得结构上更加困难。后门不会区分揭露腐败的举报人与泄露国家机密的行为。两者都流经相同的受损通道。 #### 如果你组织、抗议或表达异议 活动人士的协调、倡导工作和政治组织都依赖私密通信。监视负担历来最沉重地落在已被过度监控的社区身上。这项法案延续了这一模式。 #### 如果你经营小企业 "电子服务提供商"的定义非常宽泛——你的SaaS、你的预订系统，甚至小诊所的患者门户都可能被纳入范围。部分命令带有封口令。没有一项命令附带资金支持。 #### 如果你跨境旅行 一旦加拿大建立了这个框架，外国政府可以通过司法协助条约请求数据。你的数据——包括完全在加拿大境内产生的数据——将变得能被隐私规范与你不同的国家所获取。 #### 如果你正在逃离伤害 亲密伴侣暴力和跟踪的幸存者往往依赖加密消息来与庇护所、律师和家人协调，而不被追踪。一条强制性加密绕行通道不会询问谁在查看——它为任何发现它的人打开了大门。 我们已经知道结局如何 1994年，美国通过了一项类似的法律。电话公司被要求在其网络中建造第二把钥匙。 三十年来，它一直放在那里。按预期运行。 一个与中国政府有关联的黑客组织穿过了美国所有主要电话运营商的合法访问基础设施。 他们窃听了通话。他们读取了短信。他们监视了总统竞选活动的数据。 他们在里面待了数月才被人发现。 *副本就是那道门。* 这次攻击被称为"Salt Typhoon"。事后，加拿大自己的网络安全中心与其他十二个国家政府的网络安全机构一起，正式建议*加强*加密，而非削弱。 按威胁向量划分，该法案的后果 ## 这项法案*实际上*危及了什么。 C\-22法案并非一部只做一件事的单一法律——它跨越了数字监视的多个不同类别。点击任一向量查看通俗语言解释及对应的具体法案章节。 01加密强制国家强制提供商建造绕过端到端加密的通道。通俗 公共安全部长可以命令任何指定的"核心提供商"建立运营和技术能力，以便向国家行为者提供用户信息的访问权限——即使这些信息是端到端加密的。法案中包含一项"系统性漏洞"保障条款，但Meta、苹果、Signal和加拿大国家安全与情报审查局（NSIRA）均表示该条款不够充分，因为加拿大总督会同行政会议保留单方面定义何为"系统性漏洞"的权力。 法案 第二部分——《支持授权访问信息法》，第5-14条。尤其参见第7条（部长命令）和第14条（协助义务）。 行动 - 政治签署OpenMedia的请愿书。在二读前给你的议员发电邮。推动委员会在第7条中加入明确的"无后门"措辞。 - 个人将敏感对话转移到Signal（Signal基金会已表示宁肯退出加拿大也不愿遵守）。开启iCloud高级数据保护。 - 集体支持OpenMedia、CCLA和CIPPIC——他们正在承担法律和游说层面的重担。 02批量元数据保留提供商必须保存谁与谁通话的记录，期限最长一年，针对所有人。通俗 第二部分中隐藏了一条条款，授权政府要求提供商保留广泛的元数据类别——包括传输数据——最长一年。针对所有人，无论是否有嫌疑。甚至包括提供商当前并未为其自身商业目的而收集的数据。 **C\-22中的新内容。**这项保留条款是在C\-22中新加入的——其前身C\-2法案中并未包含。因此，C\-22不仅仅是C\-2合法访问内容的缩减版；在元数据方面，它实际上是扩展版。（Geist，2026年3月。） 迈克尔·盖斯特称批量元数据保留为*"政府可以部署的最侵犯隐私的工具之一"*——它捕获的模式（你给谁打电话、何时、从哪、用什么设备）往往比说了什么更具揭示性。欧盟在2014年以不成比例为由废除了类似规定。 法案 《支持授权访问信息法》第5(2)(d)条——授权总督会同行政会议制定保留规定，涵盖"元数据类别——包括《刑法》第487.011条定义的传输数据——合理期限不超过一年"。 行动 - 政治要求将《支持授权访问信息法》第5(2)(d)条的一年保留权限删除或严格限定范围。引用2014年欧盟数据保留指令裁决作为先例。 - 个人使用尽量减少元数据的信使（Signal几乎不记录任何信息）。开启消失消息功能。 - 文化让元数据与内容之间的区别变得可见——"我们不读你的消息"并不意味着"我们不知道你在跟谁聊天"。 03跨境数据共享加拿大法院可以强制外国提供商交出加拿大用户的数据。通俗 一项新条款允许加拿大法院授权治安官向为加拿大人提供电信服务的外国实体提出数据生产请求。其域外管辖意义重大：它与加拿大和美国之间正在进行的《云法案》对话相关联，意味着加拿大的传票现在可以指向加拿大境外的服务器。 法案 第一部分，新《刑法》第487.0181条——*针对外国实体持有的传输数据或用户信息的申请*。门槛：有合理理由*怀疑*。 为何这是一个单独的向量 这不仅仅是数据保留问题——这是触及境外国家的法律架构。专制政府在自身辩论中也引用类似框架。 行动 - 政治推动将第487.0181条的"合理怀疑"门槛提升至"合理相信"。坚持任何加拿大-美国《云法案》行政协议在签署前必须经过议会批准。 - 个人尽可能选择位于数据保护更强司法管辖区的提供商——敏感材料可选择瑞士或德国的托管服务。 - 教育追踪你的政府正在谈判的静默双边协议。大多数协议从未上过新闻。 04平台强制提供商可以被强制服从——并被禁止告知任何人。通俗 三种机制协同作用：(1) "协助义务"要求指定提供商遵守根据《支持授权访问信息法》发布的任何命令；(2) "披露禁令"使提供商披露命令的存在或内容成为非法——有时长达一年；(3) 新的自愿披露安全港条款保护提供商在未经命令的情况下自愿交出数据时免于民事和刑事责任。三者合一：强制协助、强制沉默、以及激励自愿交出。 法案 《支持授权访问信息法》第14条（协助义务）、第15条（披露禁令）。经C\-22第11条修正的《刑法》第487.0195条（自愿披露责任豁免）。《刑法》第487.0121条（服务确认要求，附有非披露条件，最长一年）。 行动 - 政治要求对封口令期限设置落日条款。推动强制透明度报告要求，使提供商能够发布汇总命令数量。 - 个人使用有强烈抵制非法命令记录的提供商。警惕突发的关停通知作为危险信号（如Lavabit、ProtonMail的信件）。 - 集体支持揭露秘密命令制度的新闻报道——如公民实验室、《卫报》、《纽约时报》国家安全版面。 照片说明：记录在案记录在案 ## 一排通常不会同时出现的*反对*声音站到了一起。 苹果 "我们永远不会插入后门。" 路透社 · 2026年5月 Signal "我们宁肯退出加拿大，也不愿损害用户的隐私。" 《环球邮报》 · 2026年 Meta "将第二部分从该法案中剥离。按其当前草案，该法案不可行。" 提交委员会简报 · 2026年5月 NSIRA "根据这项法案，我们无法履行工作。" 加拿大自身监督机构 · 2026年4月 美国国会 "提供商将不可避免地面临削弱加密的指令。" 众议院司法与外交事务委员会主席 NordVPN "没有任何一种情况会让我们妥协无日志架构或加密保护。" 《环球邮报》 · 2026年5月 Windscribe "如果VPN被强制保留使用其网络的人的信息，它们就无法运营。" 总部位于多伦多 · 2026年5月 互联网协会 "我们需要更多工具来在线保护自己，而不是更少。" 保护加拿大运动 · 2026年 CCF "C\-22法案危及加拿大人根据《宪章》第8条享有的基本隐私权。" 加拿大宪法基金会 · 2026年 反对这项法案的机构包括政府自身的国家安全审查机构、加拿大所有主要消息公司、两家最大的VPN提供商（其中一家总部位于多伦多），以及两位美国众议院委员会主席。公开记录中没有任何机构简报为第二部分辩护——除了政府本身。 我们如何走到这一步 ## 这场危及我们数字生活的努力已经酝酿了*十四年*。 相同的内容出现过三次。已被击败两次。如今，它正处于议会委员会阶段——这是可以对其做出改变的最后现实窗口。 2012年 **C\-30法案。**联邦《保护儿童免受互联网性侵犯法案》提议无需令状即可获取用户信息。*因公众强烈反对而撤回。* 2025年6月 **C\-2法案（《强边境法》）。**合法访问内容重新出现，被埋在一项综合边境法案的第14和15部分中。*搁浅。* 2025年9月 **NSICOP关于合法访问的特别报告。（https://nsicop-cpsnr.ca/reports/rp-2025-09-15-sr/250915_NSICOP_Lawful_access_report.pdf）**一个由拥有最高机密权限的议员和参议员组成的委员会发布了一份100多页的加拿大现有合法访问权力审查报告。该报告成为六个月后出台的法案的智力框架。 2025年10月 **C\-12法案。**边境部分被重新引入，但不包含合法访问章节。最终于2026年3月成为法律——没有它们。 2026年3月12日 **C\-22法案提出**，作为一部独立的合法访问法案。一读。 2026年4月20日 二读通过。法案提交至公共安全与国家安全常设委员会（SECU）。 2026年5月7日 最近一次委员会会议。NSIRA、Meta、加拿大电信协会、互联网协会均已提交简报。 今天 · 5月15日 委员会正在审阅书面简报（NSIRA、Meta、CTA、互联网协会等）并听取证人证言。逐条审查尚未开始——这意味着法案文本仍可修改。*这是仍然可以修改法案的窗口期。* 5月下旬 **更多证人听证会。**SECU的证人名单部分公开；其余部分由主席（尊敬的让-伊夫·杜克洛斯）决定。民间社会组织、密码学家及其他行业人士仍在安排中。书面简报仍可提交。 6月上旬 **逐条审查。**议员们逐行审议法案并对修正案进行表决——每个政党均可提出修正案。*这是增加具体保护措施的最后现实时机*，例如对加密破坏命令设置严格法定禁止。 6月中旬 **委员会向众议院报告。**报告阶段辩论。通过动议进行最终修正。众议院三读投票。 6月下旬 **送交参议院（如果众议院通过）。**参议院进行自己的委员会研究和三读。历史上，参议院曾是对合法访问立法有意义的制衡力量。可能快速推进，也可能大大拖延法案进程。 之后 **御准（如果两院均通过）。**法案成为法律。部长可在数周内开始发布技术能力命令。*此后，政治斗争结束——战场转移到法庭。* 委员会结束日期未公开宣布。根据政府公布的期限——在议会休会前通过（大约5月27日前后到下一个主要委员会里程碑）——委员会研究最有可能在5月底或6月初结束。查看LEGISinfo（https://www.parl.ca/legisinfo/en/bill/45-1/c-22）了解当前状态。 时间不多了 ## 影响这一结果的窗口*正在关闭*。 —天 —小时 —分钟 —秒 到这一日期，研究该法案的委员会预计将结束证人听证。6月初，议员们将逐行审议法案并对修改进行表决——这是改变法案内容的最后现实机会。此后，法案将返回全体众议院，修改将变得困难得多。 照片说明：如果通过如果通过 ## 以下是投票*之后*会发生的事。 一部法案成为法律并非一个单一的变化时刻——它分阶段展开。一些后果立即显现。另一些则逐年累积。它们共同构成了现在正在被实际决定的事情。 01头几天 ### 部长获得了一支新笔，以及一份我们看不到的收件人名单。 在御准后数周内，部长即可开始向电子服务提供商发布技术能力命令。部分命令是公开的。部分则是机密的——甚至命令的存在本身都可以是国家秘密。第一轮命令很可能发给大多数加拿大人每天使用的大型提供商。较小的服务商在轮到它们之前不会得到通知，直到……