7月9日,欧洲议会就"聊天监控"过渡法规投票:314票反对、276票赞成、17票弃权。多数议员实际上不想让它通过。但欧盟规则里,否决需要"绝对多数"——361票,不是简单多数。314票没能跨过这道门槛,法案照常生效,无差别扫描私人通信的做法要延续到2028年,或等永久法规谈判出结果为止。
更能说明问题的是另一次投票:把扫描范围收窄到司法认定嫌疑人的修正案,拿到322票赞成、255票反对,同样没能跨过361票门槛,同样失败。两次表决,多数议员的意愿都被议事规则本身挡在了门外。
恢复的和没变的
真正恢复的,是美国科技公司重新获准在无法院授权、无具体嫌疑的情况下,扫描Instagram、Discord、Snapchat、Skype、Xbox私信,以及Gmail、iCloud邮件。
但"监控空白期结束"这个说法,夸大了变化幅度。公开社交媒体帖子和云存储文件,投票前就能被扫描,不受这条法规约束;用户举报、法院授权的定向监听,从没中断过;端到端加密聊天——比如WhatsApp——从一开始就不在扫描范围内,欧洲本土通信服务商也从未执行过扫描。这次通过的"加密豁免"条款,某种程度上是一句正确的废话:服务商本来就扫描不到加密内容。
真正被叫停、又被重新打开的,只有一件事:在没有法院令、没有具体嫌疑的前提下,翻看无辜用户在少数几个美国平台上的未加密私信。
两组数据,两个战场
欧盟委员会和德国联邦刑事警察局(BKA)的数据,是这几年辩论里最常被引用的弹药:2022年以来美国疑似虐待举报量已下降近一半;2024年私聊扫描只贡献了全部举报的36%,多数举报来自公开帖子和云存储;BKA统计里,48%的举报根本不构成刑事案件,由此展开的调查中40%指向的其实是未成年人自己;Meta产生的举报约99%是已知素材的重复匹配。欧盟委员会自己承认,没有证据表明无差别扫描增加了定罪数量或救出的儿童数量。
隐私权组织EDRi给出的是另一组数据,来源和口径都不同:爱尔兰警方2020年收到的相关举报里,真正构成CSAM的比例约20%,至少一成是彻头彻尾的假警报。EDRi的论证要点是一种规模效应——哪怕检测精度做到99.99%,放到平台级的通信量上,每天依然会跑出数以万计的虚假警报。
这两组数据不是同一件事的两种说法,地域、年份、口径都不同,不能互相印证。但方向一致:无差别扫描筛出的,更多是噪音,不是施害者。
被略过的另一方
Breyer的批评很响亮,但这场争论不是他一个人对抗欧盟机构。儿童保护机构NCMEC立场明确:反对没有CSAM检测例外的端到端加密——主张加密应该为儿童保护让步,而不是反过来。这和"无差别监控无效"的说法是正面冲突的,不该被忽略。
Signal和Mozilla的反对落在更技术的层面。他们担心的不是这一次扫描本身,而是基础设施一旦搭起来,很难被真正约束住范围。今天是自愿扫描,明天可能是强制扫描;今天扫描未加密消息,明天可能要求在消息加密前先在设备端过一遍。加密的意义在于内容在传输和存储环节都不可读——一旦引入设备端的强制检查点,加密剩下的更多是形式。
- 风险.一旦"自愿扫描"的基础设施常态化,收紧范围、加码强制的门槛只会越来越低。
这套程序设计最扎眼的地方在于:一项连欧盟委员会自己都说"没有证据证明有效"的措施,靠着否决门槛的技术性缺口,就能自动续命到2028年。理事会不需要做任何让步,不需要拿出任何新证据,只要维持现状,拖到下一次投票就行。天下熙熙,皆为利来——这套规则真正的受益者,不是儿童,是不想改举报流程、不想担新合规成本的平台和部门。
程序门槛护住的不是儿童,是谁都不想改的现状
我更在意的是,这场辩论正被简化成"监控还是隐私"的二元叙事,而真正该追问的——定向扫描能不能落地、谁来做司法认定、被反复提起的欧盟儿童保护中心有没有资源——反而被搁到了一边。九月的永久法规谈判,理事会和议会的分歧焦点还是老问题:一个要把扫描权继续交给科技公司自行裁量,一个要求扫描必须对准法院认定的嫌疑人。过渡期的存在,恰恰消解了理事会让步的紧迫性——反正不用谈,现状也能一直用下去。
314票反对,17票弃权,这场投票留下的不是一个答案,而是一个被推迟的问题:如果多数人反对的方案还能自动生效,接下来该改的,或许不只是聊天监控这一条法规。
