2026年7月7日下午,法国斯特拉斯堡。欧洲议会投票:331票赞成,304票反对,11票弃权。通过了一项紧急程序。
程序名很长,大意很短:让互联网公司重新获得扫描你私人消息的权力。你发给朋友的照片、你发的每一条语音、你敲下的每一段文字——平台可以逐条检查里面有没有”问题内容”。
三天后,7月9日,议会将进行最终表决。而阻止它,反对派需要凑够361票。很多议员已经提前回家过暑假了。
三个月前,这同一个议会亲手否决了同一部法案。
一部死掉的法律,怎么又活过来了?
事情要往回拨几个月。
2021年,欧盟通过了一部临时法规,编号2021/1232,圈内管它叫”Chat Control 1.0”。它给互联网平台发了一张”临时通行证”:你们可以自愿扫描用户的私信和邮件,在其中寻找儿童性虐待内容。保护孩子——这个理由谁也没法公开反对。
这张通行证本该2024年到期,后来延期到2026年4月。3月,欧洲议会投票拒绝再次延期。通行证作废。法规失效。
然后事情变味了。
欧盟理事会——代表27国政府的机构——起草了一部”全新”法规。内容呢?跟过期的那部几乎一字不差。换个编号,重新提交。
前海盗党议员Patrick Breyer,长期跟踪这项立法,给了它一个精准的描述:“史无前例的操作”——议会已经说了不的东西,换一层包装又端回来。
▲ 7月7日,欧洲议会就Chat Control紧急程序投票结果:331票赞成,304票反对。来源:X / @lukomski_sebito
更妙的是程序规则:阻止它需要361票——全部720名议员的绝对多数。让它通过,只需要在场议员中的简单多数。
7月9日是夏季休会前最后一个工作日。人已经走了不少。支持的议员只要当天人多就行,反对的议员必须从休假中赶回来投票。两边需要的票数根本不在一个量级。
一位Hacker News用户引用了前欧盟委员会主席容克的一段著名的坦白:“我们做个决定,把它放在那儿,看看会发生什么。如果没人抗议——因为大多数人根本不理解我们决定了什么——我们就一步一步往前走,直到没有回头路。“
平台怎么”看”你的加密消息?
有人会问:我发WhatsApp,不是端到端加密的吗?平台自己都看不了,怎么扫描?
这是整件事情最核心的技术问题。
端到端加密可以这么理解:你和朋友约好了一种特殊的通信方式。你写一封信,装进密码箱——只有你和他有钥匙。邮局和快递公司没有,造箱子的工厂也没有。数学上这意味着:除了你们两个,这世上没人能打开箱子看信。
现实中,用WhatsApp发的消息,在你的手机上加密,只有对方手机能解密。路上所有服务器看到的,是一堆乱码。
那扫描怎么实现?方案叫客户端扫描:在你手机上先检查,检查完了再加密发送。
回到寄信的比喻:在你把信锁进箱子之前,先在箱子里装一个扫描仪。等箱子运到对方手上、对方开锁之前,扫描仪已经帮你读过内容了。箱子在路上确实是锁着的——但你的手机,在你锁箱子之前,已经替当局”翻了一遍你的东西”。
这听起来像在玩文字游戏。大多数研究过这项技术的密码学家认为:它就是在玩文字游戏。
更让人头疼的是误判。设想一个AI识别系统,准确率99.9%——已经非常高了。但放到一个每天有5亿活跃用户、每人平均发10条消息的平台上,这个系统每天会制造500万条错误报告。谁来查这些”假警报”?交给警察——对无辜者是灾难。再交给另一层AI筛查——等于用更多机器来监督前一台机器,而真正需要人类判断的环节,从来没出现过。
苹果公司在2021年尝试过类似方案,取名CSAM Detection。安全研究人员在几天之内就演示了”哈希碰撞”——把正常照片做出跟违规内容一样的数字指纹。苹果最终在2022年彻底放弃了这个项目。
笔者想指出一个容易被忽略的事实:全世界最有动机制造一套安全扫描系统的公司——苹果有顶级的密码学团队和真金白银的商业理由——试过了,做不出来。现在欧盟立法让所有中小型平台也去解决这个问题。在笔者看来,它不太像一个能靠”工程努力”填平的坑。
▲ 欧盟Chat Control法案涉及对私人通信的扫描规则,引发了隐私与安全的激烈辩论。来源:CyberInsider
保护孩子 vs. 保护隐私:两边都没撒谎
公平地说,推Chat Control的那一方,不是在胡扯。
投票前,四位欧盟委员联名致信议会,措辞紧迫:“没有检测机制,施暴者继续逍遥法外,几乎所有儿童受害内容将变得无法检测。“反对者也承认,法规过期这两个月,Meta和Google仍在主动提交举报——但支持方真正的焦虑是:暑假里每少抓到一例,就多一个正在受伤害的孩子。
中右翼的欧洲人民党在辩论中的逻辑也很直白:保护孩子不能等。先恢复一个”临时”框架嘛,暑假后再慢慢谈怎么搞永久法规。
反对方的理由同样站得住。海盗党议员Markéta Gregorová指责欧洲人民党”在演一出闹剧”。另一位议员说:“没人想削弱儿童保护,但这不能成为把所有公民放在普遍怀疑之下、给大规模监控找借口的工具。”
夹在中间的评论可能离真相最近。一位用户写道:“绝大多数人希望更有力地打击针对儿童的犯罪。但这部法律是’给我无限权力让我做好事’的标准案例。你完全可以写一部范围很窄、针对特定嫌疑人的法律。结果拿到的,是一个影响每一个普通人日常通信的工具。”
还有一个容易被忽略的细节:欧盟理事会自家的法律服务部门,6月10日出具了法律意见——即便是”自愿”扫描,实际上也构成了对通信的”普遍监控”。没有针对具体嫌疑人的合理怀疑,没有司法机关的事先授权。这与《欧盟基本权利宪章》第7条存在冲突。翻译成大白话:理事会自己的律师都觉得这不太对。
这跟你有什么关系?
如果你不在欧洲,可能会觉得这是隔壁家的事。两点值得留意。
**第一,互联网服务没有国界。**如果WhatsApp为了满足欧盟要求而在App里内置了扫描功能,它几乎没有动力为中国用户单独维护一个”不扫描”的版本。最有可能的结果是:这个机制作为一项全球功能统一部署。你问都不需要问,更新默默就来了。
**第二,连锁效应。**有用户在HN上指出:“一旦某个服务商满足了欧盟的要求,其他国家的政府就会来敲门——‘你都能给欧盟做,为什么不能给我们做?技术上又不是实现不了。’”
还有一个更隐蔽的后果:Chat Control 1.0的复活,反而可能让Chat Control 2.0——一部本应更精确、更有节制、更平衡的永久性法规——的谈判变得更遥远。既然”临时措施”已经恢复了,谁还着急打磨一部更好的正式法律?结果可能是:本该在2024年就被替换掉的临时方案,成了一个半永久的存在。
7月9日:最后一道防线
最终表决就在今天。阻止它需要361票——比7月7日反对票多出57票。
从程序设计的角度看,这是一场不对称的比赛。否决的门槛被刻意抬高,通过的门槛被刻意放低。无论今天的结果如何,过去几个月的反转过程本身,已经可以看到一些让人不安的东西:一套本应保护民主的程序,正在被用来绕开民主。
在笔者看来,这不是一个简单的”坏人监控好人”的故事。推动者真心认为在保护孩子,反对者同样真心认为在捍卫基本权利。但一部被亲手否决的法案,换了一个编号,趁大多数人回家过暑假之前重新摆上桌——这个过程本身,可能比法案内容更值得被看见。
参考链接:
- CyberInsider报道:https://cyberinsider.com/eu-now-one-step-away-from-reviving-private-message-scanning-rules/
- Hacker News讨论:https://news.ycombinator.com/item?id=48834296
- Patrick Breyer分析:https://www.patrick-breyer.de/en/reality-check-eu-council-chat-control-vote-is-not-a-retreat-but-a-green-light-for-indiscriminate-mass-surveillance-and-the-end-of-right-to-communicate-anonymously/
- 客户端扫描技术解读:https://dev.to/havenmessenger/eu-chat-control-what-client-side-scanning-actually-means-for-encryption-1748
- 法案全貌与最新进展:https://stateofsurveillance.org/news/eu-chat-control-csar-encryption-scanning-2026/