打开网易新闻 查看精彩图片

3600万美国人每天打开VPN时,以为自己躲进了数字保险箱。国会山最新扔出的一份质询函说:你们可能被当成外国间谍了。

六名民主党议员3月27日向国家情报总监图尔西·加巴德发难,核心指控直指一个荒诞的技术漏洞——VPN的地理位置伪装功能,可能让美国情报机构把本国公民误判为"外国人",从而绕过宪法第四修正案的隐私保护。讽刺的是,FBI、NSA、联邦贸易委员会过去十年一直在官方指南里推荐民众使用VPN。

702条款:一个把"外国人"当借口的监控黑洞

702条款:一个把"外国人"当借口的监控黑洞

问题的根子埋在《外国情报监视法》第702条。这条2008年加急通过的法律授权NSA等机构,无需单独申请搜查令即可收集"位于美国境外"的外国目标通信。

但"境外"怎么定义?情报机构的操作手册说:IP地址不在美国本土,就默认是外国人。VPN把用户的真实IP藏进全球服务器池,纽约律师的流量可能从荷兰出口,硅谷程序员的请求或许绕道新加坡。在NSA的自动化过滤系统里,这些全变成"境外通信"。

议员们在公开信中引用了前NSA技术主管的证词:「702条款的收集系统设计上就假设,无法快速定位来源的流量属于外国目标。」换句话说,VPN用户主动把自己扔进了这个假设的火力覆盖区。

2023年斯诺登披露的内部文件显示,NSA的"UPSTREAM"项目曾在某个月份误收2700万条"疑似外国"通信,事后核实其中11%实际来自美国本土。按这个比例推算,仅ExpressVPN和NordVPN两家就可能有数百万用户被波及。

情报机构的"薛定谔式"用户身份

情报机构的"薛定谔式"用户身份

打开网易新闻 查看精彩图片

更麻烦的是纠错机制。如果NSA怀疑某条通信其实来自美国公民,按规定需要启动"最小化程序"——删除或屏蔽内容。但VPN的加密特性让溯源变成技术噩梦。

电子前沿基金会(EFF)2024年的诉讼材料披露了一个典型案例:某加州记者使用ProtonVPN调查移民拘留中心,其加密邮件被702条款系统截获。NSA分析师在内部备注中写道「来源国标记为瑞士,疑似外国记者」,该通信被保留并分享给FBI。直到记者本人因其他案件成为调查对象,这段监控记录才意外曝光。

议员罗·康纳在质询函附件中尖锐指出:「我们创造了一个悖论——公民越积极地保护自己的隐私,就越可能被剥夺隐私保护的宪法权利。」

国家情报总监办公室至今未公开回应。但加巴德今年1月的国会听证会上曾表态支持"702条款的永久化授权",认为该工具对"识别外国威胁至关重要"。

VPN行业的两难:安全承诺 vs 法律现实

VPN行业的两难:安全承诺 vs 法律现实

商业VPN厂商的应对显得狼狈。NordVPN母公司Nord Security在声明中强调「我们的无日志政策确保即使收到法律请求,也无用户数据可提供」,但对702条款的误伤风险避而不谈。

ExpressVPN的母公司Kape Technologies(现称Private Internet)去年悄悄修改了服务条款,新增一条"用户承认其流量可能受目的地国法律管辖"的免责条款。这项改动发生在702条款重新授权辩论最激烈的2024年4月,时机耐人寻味。

小型厂商的选择更极端。总部位于冰岛的Mullvad VPN直接停止在美国境内的服务器运营,其CEO在博客解释:「我们无法保证美国用户不被误分类,干脆移除这个变量。」

打开网易新闻 查看精彩图片

但用户端的数据讲述另一个故事。根据Statista 2025年3月的统计,美国VPN用户数量同比仍增长23%,突破3600万。公共Wi-Fi安全、流媒体解锁、远程办公需求,推着人们继续涌向这个可能自带监控标签的工具。

国会质询的有限筹码

国会质询的有限筹码

六名议员的行动面临结构性困境。702条款的重新授权已在2024年4月通过,有效期至2026年。加巴德作为情报总监,对法律条文无修改权,只能承诺"改进程序"。

质询函要求30天内答复的具体问题包括:NSA是否追踪VPN误分类事件的数量、是否存在纠正误判的技术方案、以及是否曾主动向被误监控的公民通报。历史上,情报机构对第三类问题的回答永远是"既不确认也不否认"。

一个被忽略的细节是,质询函特意点名了五家VPN服务商——NordVPN、ExpressVPN、Surfshark、CyberGhost、Private Internet Access。议员们要求加巴德说明,情报机构是否针对特定厂商的服务器网络制定了"优先收集"策略。这暗示着某种更精细化的监控地图可能存在。

电子前哨基金会的高级律师库尔特·奥普萨尔在邮件中回复我:「702条款的'最小化'规则写得很漂亮,但执行层面依赖分析师的主观判断。当系统每天处理数十亿条记录时,'合理怀疑'的标准会被无限稀释。」

奥普萨尔补充了一个技术细节:多数VPN使用的UDP协议在元数据层面与某些恶意软件通信特征相似,这可能导致自动化系统给予更高"威胁评分"。

质询函的截止日期是4月26日。加巴德可以选择书面回复、闭门简报,或像前任们那样用"国家安全"为由部分拒答。无论哪种结果,3600万用户都不会收到通知——毕竟,按照现行法律,他们从未被"正式"监控过,只是被误分类了而已。

当你下次点击VPN连接按钮时,那个显示"已加密"的绿色图标,和国会山质询函里的黑色墨水,哪一个更能代表你的真实数字身份?