党盯著你？这个实验室，探索著“中国模式”网络的虚与实

“本场活动请勿照相录音录影”，演讲开始前，开放文化基金会的工作人员特别提醒。其实演讲内容无涉机密，相关资料也早已放上网路，但因来自加拿大公民实验室（Citizenlab）的两位讲者，副主任Masashi Crete-Nishihata和研究员Lotus Ruan所要应对的是中国这具庞大的国家审查／监控机器，容或身在台北，主办方多少仍是不敢太过轻忽。不过对公民实验室来说，他们的目标即是以具体的经验研究直面中国网路审查机制，并揭露应用程序背后的管控技术。

防火长城（Great Firewall）、敏感字审查、网路实名制、人脸辨识系统、社会信用体系⋯⋯随著中国政府加速拥抱科技发展，管控的力道不断地加深、加大、加快。生活在2018年的中国，在微信转发官方认定的“不实爆料”，你可能得付上几天拘留的代价；若在微信任意诋毁国家领导人，恐怕更会引来一场无妄的牢狱之灾。而中国警方利用人脸辨识系统逮捕疑犯的新闻，如今似乎也变得一点都不稀奇。宛若电影全面启动一般的场景，仿佛在中国真实上演。

自由像空气，缺乏时，才会感知到它的重要性。前几年曾在中国网路空间大口呼吸到的一丝言论自由气息，如今烟消云散。一个懂得高度应用科技与数据的威权政体，俨然就是欧威尔笔下老大哥（Big Brother）的现代升级版，没有什么是它看不见的、没有什么是它不知道的、没有什么是它不能管控的。中国政府以维持社会稳定和谐知名，施行仿佛无所不在的管治，牢牢地嵌入每一个中国人民的生活言行之中。

但中国政府的审查机制真是如此“无孔不入”吗？本于实事求是的研究精神，公民实验室既非全然无视中国政府侵犯人权的管控作为，但也不愿毫无事实根据地拼凑各种天马行空的监控想像。Lotus便提醒，很多有关中国监控发展的说法往往都只是根据媒体报导与警方声明，从技术的角度来说，其实无法用经验确证什么条件确实会触发监控机制，又或是平台本身是否真的存在监控，“担忧中国日益加增的审查与监控很合理，但现实生活中，有多少真的经得起检验？”

两种审查模式：微信/服务器 游戏/客户端

成立于2001年的公民实验室隶属多伦多大学蒙克国际研究中心（Munk School of Global Affairs and Public Policy），是一个独立于政府和企业之外的研究机构，尝试以跨政治科学、法律、电脑等学科的方法，研究与纪录信息管控对于人权、网路开放性与安全性的可能危害。具体而言，研究领域包括标示数位间谍对于公民社会的威胁，了解控制网路言论自由的技术，检验政府与企业的透明度与当责性，以及分析手机应用程序对于隐私的管控。

谈及加入公民实验室的契机，Masashi受访时表示，还在大学修读政治科学时，就曾上过公民实验室主任Ronald Deibert的课程，便对相关研究非常感兴趣，此后才一头栽进了研究网路屏蔽、审查与监控的世界。

Lotus则提到，原先还在中国时，自己也是一名记者，从而发现政府审查媒体平台的事实，便对此议题十分关注。随后到加拿大攻读硕士准备毕业之际，发现公民实验室提供了一个能够本于事实，并运用信息技术来分析中国社群媒体审查机制的机会，便希望能够应用自己的传播背景，从更切实的技术研究来理解审查背后的运作机制。

Masashi指出，早期外界很少察觉到世界各国如何限制网路言论自由，所以起先实验室主要的计划便是展开严谨的网路屏蔽与审查研究，研究范围涵盖全球74个国家。其中中国因著信息管控体制的复杂特性，一直都是公民实验室高度关注的国家。

他认为，即便中国信息管控政权有许多独特之处可能都难以被其他国家复制，不过因著中国长时间投入大量资源与心力，提供了其他国家一种科技未来可能的观点。因此专注研究“中国模式”就变得非常重要。在技术与政治上理解管控体制如何运作，而在社会与心理上又会如何影响人民，取得一个更全面而精确的观点，从而能够提出更切实的顾虑，也才知道如何防范那些威权领导或是人权纪录不佳的政府试图复制“中国模式”。

由于多数国际主流平台服务都遭中国政府封杀，为了深入了解中国网民“与众不同”的使用情境，以及审查／监控机制运作的实际情况，自2013年以来，公民实验室的研究对象包含通讯软体（TOM-Skype、新浪UC、LINE、微信）、网路浏览器（百度、QQ、UC）、直播软体（YY、9158、呱呱、新浪秀），以及超过200款登上排行榜的手机游戏。最新研究则是挖掘开源社群Github中含有特定关键字清单的专案，试图进一步了解镶嵌在政府、公司与审查机制之间的个别开发者。



Masashi指出，实验室致力于分析不同类型的应用程序，并尽可能地探索更多不同的产业类别，以了解审查管控如何在个别的应用程序上运作，而它们之间可能又有什么异同？

根据研究发现，审查机制可分为在客户端或服务器端运作。以微信为例，就是在服务器端执行审查。“那就像是个黑盒子，我们可以丢东西进去，然后看看什么东西会跑出来，但中间发生了什么事，我们一无所知”，Masashi解释。研究者只能倚赖样本测试，设定一组可能被平台屏蔽的内容，传送特定文字或图片到远端服务器，再一一记录实验结果；或者选定会被屏蔽的公开贴文，观察纪录被平台删除的过程。

不同于微信的审查机制，包括TOM-Skype、新浪UC、YY、9158、呱呱、新浪秀和所有公民实验室所研究的手机游戏在内，则都是在客户端审查。简单来说，当你准备发送一则信息，在信息离开装置上传到网路或服务器以前，它就会先行扫描信息是否含有特定关键字。

相较于服务器端审查的研究限制，针对客户端审查，公民实验室得以借助逆向工程拆解整个应用程序，清楚呈现出审查的规则，取得程序内建的关键字清单，并且进一步运用最邻近点演算法比对不同应用程序关键字清单的相似程度。而在破解成功后，随著不同政治或社会事件发生（如刘晓波逝世、十九大等），实验室也能同步收到关键字清单更新。从而确认审查密度的确会随著事件动态发展，现在被屏蔽的关键字，过一段时间之后也可能解禁。

此外，因著实验室针对客户端审查的研究可以取得完整的关键字审查清单，也挑战了哈佛大学教授Gary King的研究团队在2013年提出的审查理论。King当时以抽样的方式从1,382个中国社群网站下载贴文加以分析，提出了一个明确的审查区分假设：中国政府不会特别压制批评党或政府的言论；而是严加控管可能引发集体行动的内容，无论是反对政府或是支持政府皆然。据此，King认为中国政府以容忍批评的方式，维系政权稳定与弹性。

但有别于King从他们研究的社群网站所得到的普遍性推断，在研究、比较过数个客户端审查的应用程序后，实验室发现关键字审查的完整清单中既包括对于党跟政府的批评，也有锁定集体行动的部分。而近来实验室针对微信的研究也发现，包括各种讽刺习近平的词语都都被列入审查屏蔽之列。因此所谓愿意采纳诤言的威权弹性治理模式，若非值得商榷，至少也已是不复存在。

不存在一份由政府主动提供的共同清单

而研究过这么多不同产业类别的应用程序之后，Masashi指出，有一个相当一致的发现是，不同审查清单之间关键字重叠的比例微乎其微。据此，他们认定并不存在一份由政府主动提供的共同清单。又即使遇上特定重大事件，管控压力加大时，不同应用程序之间的审查清单仍有差异，显然公司并不会收到一份出自政府的明确清单，而多半只有概括式的指令。

不同于那种“上面交办、下面照办”的猜想，事实上中国政府将信息管控的责任下放给个别公司，让它们保有相对的弹性去决定如何执行审查。除了关键字审查清单高度分歧之外，在直播软体和手机游戏的研究中，也都有发现公司可能是基于商业利益考量，在关键字清单中特别加入竞争对手的软体名称或是网域。这也更加凸显个别公司在执行审查上的操作空间。

“缺少政府与公司的共同参与，没有管控体制能够正常运作”，Masashi认为，虽然中国存在非常严厉的管控，公司也得承受复杂而严峻的压力遵循管控，但政府实际上终究得要仰赖公司执行审查。而在这样的系统之中，不可能存在完全由上而下的管控形式。

撇开明确的政治红线，在其他相对模糊的议题上，公司可能会因著不同的经营考量，试著与政府磋商管控界线，甚至从中谋取寻租空间。同样地，充满创意的中国网民也会利用科技或语言，找出在网上讨论与表达的方法。总结来说，政府不可能完全控制一切，而只是想要管控大多数的舆论，好让社会维持稳定。

而演讲当天开放提问时，也有听众好奇，随著实验室持续发布各种应用程序审查机制的报告，相关企业会不会因而陆续修补能够回避审查的漏洞？Masashi回应说，实验室到目前为止还没有发现类似情况，以Tom-Skype的研究为例，后续都还是有收到关键字更新，不受研究报告任何影响，但最新针对微信图片审查的研究则还需持续观察。

监控的可见与不可见

不过回到前述提及的新闻案例，除了网路言论审查之外，外界现在更担心的是，借助人脸辨识技术，中国现在是不是正在创造一个真正的全景敞视监狱（Panopticon），对人民展开全天候不间断的监控？

首先，审查（censorship）与监控（surveillance）是两件不太一样的事情。Masashi解释，审查可以看得到短回馈回路（short feedback loop）。当你传一个信息给某人，对方没有收到，或是收到了一个信息已被屏蔽的警告，因此我们便得以知道发生了什么事，而这也是可以被确证的。

然而监控本质上就是要被设计成看不见，也很难被纪录与确证。过去在公民实验室的研究中，只有少数研究（如Tom-Skype）确实有发现到监控机制存在。当特定关键字触发监控机制启动后，应用程序会完整纪录发送者的用户名称、信息关键字与发送时间，以及接收者的用户名称，再打包送回到服务器端。

而这个“意外发现”自然带出了大家更担心的问题，“如果有应用程序确实会监控用户，那是否其他中国的应用程序亦然？”但Masashi重申，要在技术上确证监控从来都不是一件简单的事情。

你或许可以知道自己被审查；但如果你正在被监控，而且监控是有效的，那你永远都不会知道发生了什么事。于是即便如报导所言，微信真的有在监控用户，我们也无从确证黑盒子里的情况，遑论企业从来不会承认他们正在监控人民。

同样地，我们虽然看见了许多各种有关应用人工智慧监控的发展，但我们似乎仍旧“看不见”它的真实样貌。Masashi坦言，可以理解一般人对于这些科技的担忧，但公民实验室目前对于这种监控系统实际上如何运作同样所知有限。不过他也提醒，外界目前对于系统如何运作也存在很多误解。

像是虽然腾讯宣称已经掌握人工智慧的最新技术，但根据研究发现，微信使用的图片审查演算法既不新颖、也不完美，仍旧存在很多可以规避审查的漏洞。一种是常见的光学字元辨识技术（optical character recognition），用以过滤包含特定关键字的图片；另一种则是运用图片相似度对比，排除那些与资料库图片黑名单相似或吻合者，但也并没有应用机器学习来判别图片。

因此，Masashi认为，在做出太多有关人工智慧可能造成危害的假定以前，应该还是要多去了解系统本身在技术、社会与政治上的基础以及系统如何被开发。“人们对此保持警觉，并积极讨论是一件好事，但如果讨论只是根据系统运作的假设而非事实，恐怕也是无助于事。”

以事实筑起抵御管控的防火墙

面对中国科技威权的快速进展，相较于外界诸多言之凿凿的指控，公民实验室的立场显得相对保留。但Lotus认为，整个关注中国科技威权的社群像是一个生态系统，需要有人站出来大声疾呼反对，也需要有倡议组织或是新闻报导，“但同样需要像公民实验室所做的扎实研究一样，从虚构与炒作之中提炼出事实。”

重视事实并不代表其他人的努力不重要，而是就公民实验室看来，骤下结论以前，还是希望能够提供更多事实全貌，才能为相关的辩论与未来的倡议做出贡献。而借由经验研究与本于资料的方法，也才能揭露审查机器的能耐，完整呈现系统的运作模式，提供有关中国信息管控体制更细致的解释。

但另一方面，Lotus也不忘提醒，中国的审查体制并没有那么精密（sophiscated），它真正精密的地方在于不清楚表明红线何在，从而在社会中制造出自我审查和过度审查的文化。如同汉学家林培瑞（Perry Link）“盘绕在吊灯上的巨蟒”的著名比喻，牠无需动作，也不必厘清界线，每个置身在其阴影下的人，就会清楚地收到“你自己决定”的信息，自然地做出相应的调整。

如果无法完整了解中国信息管控政权的虚实，恐怕就很难跳脱出主流叙事推定的框架，反而过度放大管控的可能性。我们当然需要高度关注中国审查／监控的发展，但更需要踏实而严谨的研究所筑起的防火墙，才能抵御一个无比巨大而无所不能的管控中国之印象，同时避免持续落入自我审查的逻辑之中。有效理解审查／监控机器的能与不能，也才有机会突破管控真正幽微的凝视。