不理解而监管:为什么欧洲更偏爱合规而非证据
CNIL喜欢将自己描绘为法国对抗数字滥用的堡垒。从表面上看,这很有吸引力:一个独立的机构,自由的守护者,能够对国家和企业都进行约束。但在现实中,它是一只拥有泡沫牙齿的行政老虎。这并非因为个人缺乏善意,而是出于结构性原因。CNIL诞生于一个计算机集中化、运行缓慢,最重要的是能够被通才法学家理解的世界。然而当代数字权力是分散的、跨国的、深度技术化的。结果是:CNIL在问题是系统性的地方却在考虑合规性。它检查是否勾选了复选框,是否有法律声明,表格是否符合GDPR。与此同时,架构本身——大规模收集、算法推理、信息的根本不对称——保持不变。CNIL事后处罚,通过罚款制造两天的头条新闻,然后被当作运营成本吸收。它什么都不拆解,不打开引擎盖,从不公开解剖一个系统并说:"这就是你们如何监视我们的确切方式,一行代码一行代码地"。它既没有这种文化,也没有手段,更重要的是没有真正的政治授权。
面对它,EFF和混沌计算机俱乐部在另一个级别上竞争。EFF是法律政治性的:它攻击、辩护、创造判例法,将数字自由转化为可对抗的权利。它在规则被书写的舞台上行动,很清楚法律虽然缓慢,但当它做出裁决时,它会持续裁决。而CCC则在上游运作:它证明。它表明皇帝没有穿衣服,投票机坏了,生物识别技术是一个危险的闹剧,宣称的安全是营销谎言。在CNIL要求保证的地方,CCC拿出示波器、内存转储和公开演示。区别是残酷的:CNIL说教,CCC通过证据证伪官方话语。一个既不能深度审计也不能使技术统治机制可见的机构注定要礼貌地无力。
"漏洞赏金"完全符合这种将无力伪装成现代性的逻辑。从表面上看,这很聪明:企业向那些发现漏洞的人付费。实际上,这是对技术批评的愤世嫉俗的私有化。你被允许搜索,但只能在他们告诉你搜索的地方,只能搜索他们决定公开的内容,最重要的是,一旦付款就必须闭嘴。漏洞赏金不是安全工具,而是叙事控制工具。它将研究者变成沉默的承包商,将漏洞变成孤立事件,并阻止任何对架构选择的公共辩论。在监控或支付系统中发现关键漏洞从不会开启这样的政治问题:这个系统是否应该以这种形式存在。人们修补,支付几千欧元,然后继续如常。相反,CCC认为某些漏洞不是bug而是症状。而症状,要展示、讨论、政治化。这就是为什么它被法务部门憎恨而被那些仍然认为技术不是中性的人喜爱的原因。
至于欧盟,它带着钦佩和恐惧混合的情绪看待这一切。它钦佩CCC预测偏差、比其他人更早理解什么会出错的能力。但它无法承担其方法。欧盟更愿意事后立法,制定大规模、冗长的法规,在意图上往往聪明,但建立在对技术现实的抽象之上。DMA、DSA、AI法案:这些文本是必要的,有时是勇敢的,但总是落后于战争。欧洲试图通过规范模仿CCC,但从不接受核心理念:需要能够公开破坏技术玩具的行动者,以便政治重新掌控。然而破坏玩具意味着接受冲突、外交尴尬、工业界的愤怒,有时甚至是自己机构的暂时荒谬。欧盟想要没有汗水的美德,没有对抗的监管,没有勇气看着自己的系统在技术演示下崩溃的主权。
从根本上说,一切都在这里发生。CNIL安抚,漏洞赏金麻痹,欧盟监管。而CCC则令人不安。只要欧洲机构继续偏爱程序舒适而非证据考验,它们就会继续追赶那些只有在为时已晚时才理解的技术。这不是个人能力问题,而是政治脊梁问题。而这,没有任何法规能够纠正。
