监控与隐私的代价#

我花了很多年保护美国总统。这份工作的一部分，就是在威胁成形之前就发现它们。这意味着情报工作——监控通讯、追踪行踪、分析行为模式。我当时相信这一切，现在也依然相信：有针对性的、合法的监控，对保障国家安全来说是必要的。

但有一件事一直在啃噬我：当年我们用来保护总统安全的那些工具，现在对准了所有人。而在"保护自由世界的领袖"和"给每个公民的数字足迹建档"之间的某个地方，我们越过了一条线。大多数人甚至没注意到这件事的发生。

成本的倒转#

有一个简单的等式，能解释当前监控领域的一切问题，归根结底就是两个字：成本。

一代人以前，监控是昂贵的。跟踪一个人需要特工、车辆、时间和协调配合。窃听电话需要搜查令、技术人员和专用设备。截获信件需要拦截实体信封。每一次监控行动都要消耗真金白银——这意味着监控必须有针对性。你不可能监视所有人，因为你根本付不起那个钱。高昂的成本本身，就是一种保护。

现在再算算今天的账。一台服务器就能同时处理数百万条通讯。面部识别软件几秒钟内就能扫描上千张面孔。手机定位数据在公开市场上被买卖——买家不是情报机构，而是广告公司、数据中间商，以及任何一个有信用卡的人。多监控一个人的边际成本，已经降到了几乎为零。

而隐私的成本呢？恰恰相反，一路飙升。加密软件、VPN服务、一次性手机、注重隐私的浏览器、法拉第袋、数字安全顾问——每一样都要花钱，都需要技术门槛，而且充其量只能提供不完整的保护。你可以花上几千美元、几百个小时来保护自己的隐私，然后某个你听都没听过的公司发生一次数据泄露，就能一夜之间把这一切化为乌有。

这个等式已经彻底翻转了：

过去，监控是昂贵的，隐私是免费的。如今，监控是免费的，隐私是昂贵的。

好好想想这句话。

从权利到特权再到商品#

这种成本倒转，正在推动一场应该让每个美国人——无论政治立场——都感到恐惧的转变。隐私正在发生一场质变：从一项天然权利，变成一种奢侈品。

第一阶段：隐私是一项天然权利。 在人类历史的大部分时间里，情况就是如此。隐私不是你需要争取或花钱购买的东西。它是默认状态。你的谈话是私密的，因为没人在听。你的行踪是私密的，因为没人在追踪。你的想法是私密的，因为没人能读取。隐私就像空气——无处不在、免费、理所当然。

第二阶段：隐私是一项受争议的权利。 这是我们目前所处的阶段，尽管大多数人还没意识到。隐私仍然存在，但不再是自动的。你必须主动去维护它。你得选择加密通讯软件。你得阅读那些没人读的、长得离谱的隐私政策。你得退出数据收集，而退出流程是被刻意设计得令人困惑、耗时且不完整的。隐私已经从你"拥有"的东西，变成了你"做"的事情。而做这件事，需要意识、精力，而且越来越需要钱。

第三阶段：隐私成为一种奢侈商品。 这是我们正在走向的方向，而在某些方面，我们已经到了。富人可以请隐私顾问、使用安全通讯、住在监控受限的封闭社区、雇佣法律团队来维护他们的隐私权。而我们其他人呢，只能用默认设置——也就是默认被监控。你的手机在追踪你。你的智能电视在听你说话。你的搜索引擎在给你画像。你的社交媒体平台在卖你的数据。要想退出这一切，需要的技术水平和经济投入，对普通人来说根本遥不可及。

当一项基本权利变成了只有富人才能负担的东西，它就不再是权利了。它变成了商品。而商品服务的是市场，不是公民。搜狐和腾讯网最近都在讨论一个看似无关却切中要害的案例：幼儿园的实时监控。家长以为装了摄像头就安心了，却没想到监控画面里不只有自家孩子——其他儿童的面部、行为、生活细节全被一并收录，一旦被截取传播，隐私的伤害就从“被监控的成年人”蔓延到了“无力抵抗的孩子”。监控从一项保护措施，悄悄变成了一种无差别的凝视。

自身免疫悖论#

我的安保从业背景，让我看待这个问题的角度和大多数评论家不太一样。

任何免疫系统——无论是生物的还是制度的——都需要校准。太弱，威胁就会趁虚而入。太强，系统就会开始攻击自身。医生把这叫做自身免疫性疾病。免疫系统变得过于激进，无法区分外来入侵者和健康组织，最终摧毁了它本应保护的东西。

大规模监控，就是国家安全的自身免疫性疾病。

我亲眼见过有针对性的监控是怎么运作的。当你掌握了关于某个具体威胁的具体情报，监控就是一把手术刀——精准、适度、有效。你监控嫌疑人。你追踪通讯。你构建案件。目标范围很窄，理由很充分。

但大规模监控不是手术刀，而是化疗。它向整个系统注入一种有毒物质，既杀死威胁，也杀死健康细胞。没错，它确实能抓到一些坏人。但在这个过程中，它把每一个公民都当成了潜在的敌人。它收集数百万无辜者的数据，只是为了万一其中某个人将来可能会做坏事。而且它创建了一份关于所有人行为的永久记录——这份记录在未来的任何时间点，都可能被访问、被滥用、被泄露、被黑客入侵，或被武器化。

药比病更可怕了。我们正在构建一个如此强大的免疫系统，以至于它正在碾碎它本应保护的肌体。

监控的棘轮效应#

就像政府的扩张一样——这绝非巧合——监控只会朝一个方向转。

每一次恐怖袭击，都为更多监控权力提供了正当理由。每一次大规模枪击事件，都为更多数据收集提供了正当理由。每一次网络攻击，都为更多监控提供了正当理由。而在每一次扩张之后，新的基线就变成了永久性的。紧急权力变成了常规操作。临时授权变成了标准流程。

有哪个监控项目曾经被缩减过吗？有哪项数据收集权限曾经被削减过吗？有哪种监控能力，一旦部署，曾经被自愿拆除过吗？

你知道答案。

监控国家的增长方式与行政国家如出一辙：一场危机接一场危机，每一场都为永久性的扩张提供了正当性，而这种扩张永远不会被逆转。而每一次扩张都让下一场危机更有可能发生——因为一个被监控的民众是一个愤怒的民众，而愤怒的民众恰恰会制造监控本应防止的那种不稳定。

真正的平衡是什么样的#

在这个问题上，我不是一个极端主义者。我待过保护那一边。我知道监控能拯救生命。我亲眼看过情报阻止了那些公众从未听说过的袭击——因为袭击从未发生。在一个威胁真实存在、持续不断、不断演化的世界里，拆毁我们的监控能力无异于自杀。

但目前的轨迹是不可持续的。不是因为监控本身有什么错，而是因为没有限制的监控天然就是危险的。最健康的免疫系统不是最强大的那个——而是最平衡的那个。强到足以对抗真实威胁，克制到不会吞噬自己的宿主。

实践中的平衡是什么样的？是监控权力的落日条款——真正有约束力的条款，到期必须废止，需要拿出新的理由才能续期。是真正的监督，而不是大多数机密项目中那种走过场的橡皮图章式监督。是公开透明地告知正在收集什么数据、由谁收集、保留多久。是一个法律框架，不把隐私当作安全的障碍，而是把隐私当作安全的组成部分——因为一个不信任自己政府的社会，是一个无法与自己政府合作的社会；而一个无法与政府合作的社会，本质上就是一个脆弱的社会。

问题不在于我们是否需要监控。我们需要。

问题在于，我们能否建立一个监控系统，在保护我们免受威胁的同时，不会自己变成最大的威胁。

目前，我不确定我们做得到。但我知道我们必须尝试。因为另一种选择——一个隐私只属于买得起的人、而监控成为公民身份默认条件的世界——不是一个值得捍卫的世界。