「撿到公安部門的辦案手冊」?中國大規模監控新疆穆斯林,APP 首度曝光

「撿到公安部門的辦案手冊」?中國大規模監控新疆穆斯林,APP 首度曝光

撰文:王松蓮(人權觀察中國部高級研究員)、納孜許.杜拉基亞(Nazish Dholakia,人權觀察媒體專員)

2018 年初,人權觀察取得中國西北部新疆地區公安部門,用來實施大規模監控的手機 App 副本。新疆地區 1,300 萬維吾爾人和其他突厥裔穆斯林,遭到中國政府嚴格管制, 他們的基本人權受到侵犯。星羅棋布的檢查站,形成一張看不見的天羅地網,居民遷徙受限、僅僅因為新買一張 SIM 卡,或留起鬍子等等毫不違反中國法律的行為而遭任意拘留, 已經司空見慣。多達 100 萬人被關進「政治教育」營區。

這款 App 為我們打開前所未有的窗口,窺見新疆大規模監控的內情。它匯合各種數據──從人們的血型和身高,到使用電力和收寄包裹的情況,並找出可疑的人或事,通報有關當局。它是一體化聯合作戰平台(一體化平台)的一部分,該平台即是新疆大規模監控的主要系統。人權觀察對這款 App 做了「逆向工程」研究。

一體化平台是什麼?我們何時發現它?

一體化平台是一個整合系統。它匯集的資訊來自、但不限於,加油站、路邊檢查站和設有出入管制的小區、學校等等。它從這些設施和監視攝影機汲取並整合資訊,偵測「不尋常」的活動或行為,向當局發出警報展開調查。

我們曾在 2018 年 2 月,靠著拼湊許多政府採購公告,作出一體化平台的報導。當時,我們就發現新疆政府官員和公安人員使用一種 App 與一體化平台聯繫。我們對這種 App 進行逆向工程,研究當地大規模監控系統,究竟以何種行為與人員為對象,藉此一窺世上最具侵擾性的大規模監控系統的內部運作。

這種 App 怎麼運作?

這種 App 具有 3 種強大功能:收集數據、提報可疑活動或狀況、即時啟動偵查行動。只要發現它認為可疑的人員或事物,這種 App 就會向附近的政府官員發出警報,展開調查。相關官員必須回報,並註明該對象是否需要進一步追查。

有時,這種 App 也會指示官員執行手機查驗,檢查有無可疑軟體、聯繫工具或內容──看看手機上是否安裝了可疑軟體,例如 WhatsApp、有沒有上過含有「暴力視聽內容」的網站、是否使用VPN(虛擬私人網路),或將數據加密以防當局截取和屏蔽──官員會把手機查驗的結果輸入一體化平台 App。

如何找到這個 App,怎麼確定它是真的?

我們收集一體化平台相關資訊的時候,這個 App 是公開可得的,我們就把它下載了。根據它的原始碼,這款 App 的第一版是在 2016 年 12 月發佈的。

每一款 App 都有一個數位證書,就像開發者的簽名。它的證書上面說,這個 App 是由河北遠東通信系統工程公司(遠東通信)開發的。我們在中國政府網站上,還發現另一個由遠東通信發佈的 App,經過比較,兩者的數位簽名吻合。

遠東通信在開發一體化平台的時候,是中國電子科技集團有限公司(中國電科)的全資子公司,中國電科是中國主要的國營軍工承包商。我們也從採購文件得知,中國電科就是一體化平台的開發者。因此,我們可以確認這個 App 是由遠東通信開發,在新疆使用。

如何對這個 App 進行逆向工程?

我發現這個 App 以後,馬上通知我們的資訊安全主任,他對檢查與監控有關的 App 富有經驗。他寄回幾個檔案,裡面包含許多中文的「文字串」,但是因為上下文全被打亂,實在很難了解字串之間的關係。我看到一些中文字,比如「宗教氣質」、「包裹遞送」和「手機軟件」,還有像是「可疑」和「抓捕」等等,但只有這樣。

技術上,我們做的是人權觀察從沒做過的事,毫無前例可循。於是我們對 App 內容做過初步檢查後,開始和德國柏林的資安公司 Cure53 合作。我和他們密集工作了一陣子,決定只做消極調查,也就是不去嘗試連上伺服器,或登入 App。

我們結合各自的專長。有些東西他們破譯不了,因為他們不懂中文;有些我無法理解,因為我不懂程式碼。你可以在原始碼裡面找到中文字,但你還得知道新疆的具體脈絡,才曉得它的意思。有些名詞是我們前所未見的。

能否舉個例子?

這個 App 裡面有 36 種被認為可疑的「人員類別」。有些能夠顧名思義,但有些很難理解。例如有個地方提到「涉『六條線』人員的徒子徒孫」。我們向一位重要的新疆消息來源請教,他說「六條線」是指當局認定具有威脅性的宗教學者。

另有一個名詞叫「野阿吉」。原來「阿吉」是指阿拉伯文「Hajj」,即穆斯林到麥加朝聖。因此「野阿吉」是指未經許可參加朝聖的人,即「非官方阿吉」之意。根據訪談和分析官方文件可知,中國政府禁止穆斯林參加非由官方主辦的朝聖團;凡是參加「野阿吉」的人都成為可疑的「人員類別」。

App 如何記錄有關用電量和包裹遞送的資訊?

我們只知道一體化平台會收到有關使用瓦斯、用電和包裹遞送的資訊。應該是有某個系統持續追踪這些資訊,把它傳送到一體化平台,然後再把其中一些數據推送到 App。

報告中談到的許多大規模監控措施,顯然未經法律授權。事實上,它們應該都是違法的。中國法律並未一般性地授權公安部門監測用電量,也沒有任何法律法規限制人民出國多久,或禁止在國外長期停留。

這個 App 甚至包含某人走前門或後門進出自宅。一體化平台如何收集這些資訊?

新疆當局把超過 100 萬名政府官員分派到新疆各地,以「結親」的名義住在突厥裔穆斯林的家裡,而且負有留意「不尋常」事物的職責。這戶人家是否談論宗教?離家走前門還是後門(預設走後門一定比較可疑)?我們知道一體化平台,和配有人臉辨識和夜視功能的監視錄影機是連線的;它也會從遍佈自治區的無數路邊檢查站收集大量資訊。不過,一體化平台 App 錄入的某些資訊,我們還不清楚它的來源。

有什麼出乎你意料的發現嗎?

大規模監控系統的普遍侵入性,一般人僅因和平的行為被當局盯上──這些問題我早已熟知,老實說並不令我驚訝。真正嚇人的是那些被盯上的人竟被收集這麼多數據,什麼樣的行為被當做有嫌疑,51 種網路工具被列為可疑,什麼類型的人會受到高度監控 ,這些都特別令人訝異。

中國政府不僅限制人民的行動,還管制外人進入自治區,企圖宣稱「新疆一切安好,所謂的人權侵犯根本不存在,全都是誤解。」然而,這個 App 給了我們證據,它就寫在 App 的程式碼之中,無可狡賴。對這個一體化平台 App 的逆向工程,就像撿到一本公安部門的辦案手冊,而在中國如此高度管控下,能拿到這種資料實在太不可思議了。

這個一體化平台 App 還提供我們很多可疑但尚難完全理解的細節。例如,我們本來已知有許多檢查站,但現在我們知道有些檢查站還配備了「數據門」,暗中收集路過人群身上的資訊,例如每台手機上獨一無二的 IMEI 號碼,並將這些數據記錄下來,以供識別身分和追踪他們的動態。

圖/截自 Youtube

這樣的監控到底有何目的?

中國政府正在新疆和整個中國構建系統,目標顯然是實現全面的社會控制。有了這種大規模監視系統,實時且無所不包的監視將成為可能。中國當局還收集大量人員數據,以便深入了解人類行為,進而控制行為。

政治教育即是重塑人們行為的辦法之一。但我認為同樣重要的是,要注意這個系統雖然是侵入性的,但也是粗糙且勞力密集的。我不覺得他們經過深思熟慮,而且他們需要動用大量的公安人力和財政資源來運作。

中國政府如何回應?

起初,中國政府否認拘留營的存在,但新疆的消息在 2018 年夏天突然成為新聞焦點。中國政府改口說這些營區是居民自願參加的職業訓練中心,甚至邀請哈薩克、巴基斯坦及其他穆斯林友邦的官員參加官方組織的訪問團,實地參觀這些營區。中國政府已由一概否認,變成要針對外界報導而自我辯護。

其他國家可以做什麼?

相關各國政府必須認真考慮出口管制和針對性制裁,例如依據美國的《全球馬格尼茨基法》,對涉及新疆侵權的中國高官實施簽證禁令和財產凍結。各國應當提高隱私保護門檻,讓生產這種 App 的公司無法成為標準設定者。

備註:本文原載於 Human Rights Watch 官方網站,英文版原文請見網路專題〈Interview: China’s ‘Big Brother’App Unprecedented View into Mass Surveillance of Xinjiang’s Muslims At the Border

執行編輯:陳慈晏
核稿編輯:林欣蘋

Photo Credit:Human Rights Watch 官方網站

出發,改變人生的一次旅行