一体化平台是什么?我们何时发现它?

一体化平台是一个整合系统。它汇集的资讯来自,但不限於,加油站、路边检查站和设有出入管制的小区、学校等等。它从这些设施和监视摄影机汲取并整合资讯,侦测“不寻常”的活动或行为,向当局发出警报展开调查。我们曾在2018年2月靠著拼凑许多政府采购公告作出一体化平台的报导。当时,我们就发现新疆政府官员和公安人员使用一种App与一体化平台联系。我们对这种App进行逆向工程,研究当地大规模监控系统究竟以何种行为与人员为对象,藉此一窥世上最具侵扰性的大规模监控系统的内部运作。

这种App怎么运作?

这种App具有三种强大功能:收集数据、提报可疑活动或状况、即时启动侦查行动。只要发现它认为可疑的人员或事物,这种App就会向附近的政府官员发出警报,展开调查。相关官员必须回报,并註明该对象是否需要进一步追查。

有时,这种App也会指示官员执行手机查验,检查有无可疑软体、联系工具或内容。看看手机上是否安装了可疑软体,例如WhatsApp?有没有上过含有“暴力视听内容”的网站?是否使用VPN(虚拟私人网路),或将数据加密以防当局截取和屏蔽?官员会把手机查验的结果输入一体化平台App。

你如何找到这个App,怎么确定它是真的?

我们收集一体化平台相关资讯的时候,这个App是公开可得的,我们就把它下载了。根据它的原始码,这款App的第一版是在2016年12月发佈的。

每一款App都有一个数位證书,就像开发者的签名。它的證书上面说,这个App是由河北远东通信系统工程公司(远东通信)开发的。我们在中国政府网站上还发现另一个由远东通信发佈的App,经过比较,两者的数位签名吻合。远东通信在开发一体化平台的时候是中国电子科技集团有限公司(中国电科)的全资子公司,中国电科是中国主要的国营军工承包商。我们也从采购文件得知,中国电科就是一体化平台的开发者。因此,我们可以确认这个App是由远东通信开发,在新疆使用。

你们如何对这个App进行逆向工程?

我发现这个App以後,马上通知我们的资讯安全主任,他对检查与监控有关的App富有经验。他寄回几个档案,里面包含许多中文的“文字串”,但是因为上下文全被打乱,实在很难了解字串之间的关係。我看到一些中文字,比如“宗教气质”、“包裹递送”和“手机软件”,还有像是“可疑”和“抓捕”等等,但只有这样。

技术上,我们做的是人权观察从没做过的事,毫无前例可循。於是我们对App内容做过初步检查後,开始和德国柏林的资安公司Cure53合作。我和他们密集工作了一阵子。我们决定只做消极调查,也就是不去尝试连上伺服器,或登入App。

我们结合各自的专长。有些东西他们破译不了,因为他们不懂中文;有些我无法理解,因为我不懂程式码。你可以在原始码里面找到中文字,但你还得知道新疆的具体脉络,才晓得它的意思。有些名词是我们前所未见的。

中国:新疆大规模监控如何运作

“我们的研究首次证实,新疆警方正在对民众的合法行为进行非法的信息收集,然后利用这些信息来对付他们。”

能否举个例子?

这个App里面有36种被认为可疑的“人员类别”。有些能够顾名思义,但有些很难理解。例如有个地方提到“涉‘六条线’人员的徒子徒孙”。我们向一位重要的新疆消息来源请教,他说“六条线”是指当局认定具有威胁性的宗教学者。

另有一个名词叫“野阿吉”。原来“阿吉”是指阿拉伯文“Hajj”,即穆斯林到麦加朝圣。因此“野阿吉”是指未经许可参加朝圣的人,即“非官方阿吉”之意。根据访谈和分析官方文件可知,中国政府禁止穆斯林参加非由官方主办的朝圣团。凡是参加“野阿吉”的人都成为可疑的“人员类别”。

你能不能说明这种App如何记录有关用电量和包裹递送的资讯?

我们只知道一体化平台会收到有关使用瓦斯、用电和包裹递送的资讯。应该是有某个系统持续追踪这些资讯,把它传送到一体化平台,然後再把其中一些数据推送到App。

报告中谈到的许多大规模监控措施,显然未经法律授权。事实上,它们应该都是违法的。中国法律并未一般性地授权公安部门监测用电量。也没有任何法律法规限制人民出国多久,或禁止在国外长期停留。

这个App甚至包含某人走前门或後门进出自宅。一体化平台如何收集这些资讯?

新疆当局把超过一百万名政府官员分派到新疆各地,以“结亲”的名义住在突厥裔穆斯林的家里,而且负有留意“不寻常”事物的职责。这户人家是否谈论宗教?离家走前门还是後门(预设走後门一定比较可疑)?我们知道一体化平台和配有人脸辨识和夜视功能的监视录影机是连线的。它也会从遍佈自治区的无数路边检查站收集大量资讯。不过,一体化平台App录入的某些资讯,我们还不清楚它的来源。

有什么出乎你意料的发现吗?

大规模监控系统的普遍侵入性,一般人仅因和平的行为被当局盯上 – 这些问题我早已熟知,老实说并不令我惊讶。真正吓人的是那些被盯上的人竟被收集这么多数据,什么样的行为被当做有嫌疑,51种网路工具被列为可疑,什么类型的人会受到高度监控 – 这些都特别令人讶异。中国政府不仅限制人民的行动,还管制外人进入自治区,企图宣称“新疆一切安好,所谓的人权侵犯根本不存在,全都是误解。”然而,这个App给了我们證据,它就写在App的程式码之中,无可狡赖。对这个一体化平台App的逆向工程,就像捡到一本公安部门的办案手册,而在中国如此高度管控下,能拿到这种资料实在太不可思议了。

这个一体化平台App还提供我们很多可疑但尚难完全理解的细节。例如,我们本来已知有许多检查站,但现在我们知道有些检查站还配备了“数据门”,暗中收集路过人群身上的资讯,例如每台手机上独一无二的IMEI号码,并将这些数据记录下来,以供识别身分和追踪他们的动态。

这样的监控到底有何目的?

中国政府正在新疆和整个中国构建系统,目标显然是实现全面的社会控制。有了这种大规模监视系统,实时且无所不包的监视将成为可能。中国当局还收集大量人员数据,以便深入了解人类行为,进而控制行为。政治教育即是重塑人们行为的办法之一。但我认为同样重要的是,要注意这个系统虽然是侵入性的,但也是粗糙且劳力密集的。我不觉得他们经过深思熟虑,而且他们需要动用大量的公安人力和财政资源来运作。

中国政府如何回应?

起初,中国政府否认拘留营的存在,但新疆的消息在2018年夏天突然成为新闻焦点。中国政府改口说这些营区是居民自愿参加的职业训练中心,甚至邀请哈萨克、巴基斯坦及其他穆斯林友邦的官员参加官方组织的访问团,实地参观这些营区。中国政府已由一概否认,变成要针对外界报导而自我辩护。

其他国家可以做什么?

相关各国政府必须认真考虑出口管制和针对性制裁,例如依据美国的《全球马格尼茨基法》,对涉及新疆侵权的中国高官实施签證禁令和财产冻结。各国应当提高隐私保护门槛,让生产这种App的公司无法成为标準设定者。