鲜为人知的“Migration 5”(移民五国):五眼联盟背后的边境信息共享协议
起初,这一计划仅仅是为了核查几千名寻求庇护者的身份,如今已然演变成了一个庞大的数据网络,涵盖了五眼联盟国家(Five Eyes)中所有出入境人员的数据。
奥克兰市中心一栋办公楼的三楼,人们静静地排着队。气氛紧张,一如既往地紧张。
日复一日地,申请美国签证的人们手里拿着在美国工作或学习所需的各种文件,在美国领事馆排队焦急地等候。他们递交了申请,提供了他们的个人信息、社交媒体账号、照片、以及访问美国的其他证明材料。他们将指纹按在录入设备上进行身份记录,然后在窗口柜台将与一名移民官进行简短(有时还很严厉)的面试–所有的这一切都在不安的等候队伍面前进行。
人们做这一切只是为了获得出行至其他国家的机会–并且只能假设自己所提供的个人信息不会被泄露。毕竟,你无法拒绝提供这些信息,在提供了之后也无法收回这些信息。
但在如今的2024年,这些个人信息可以在几秒钟内传遍全球。没人知道这些信息会被如何使用,也没人知道它们最终可能到达哪些国家。
新西兰、美国、澳大利亚、加拿大和英国–即熟知的”五眼联盟国家”–在过去15年里已经建立起了一个迅速扩张的网络,共享这五个国家所有出入境人员的各类信息。
起初,该协议主要是互相共享寻求庇护者的指纹信息(每年多达3000个指纹),当有匹配的人员时,则会共享进一步信息。
但对数据的需求让这一数字猛增至3万,之后是40万–每个国家、每个成员国伙伴、每年–整体算下来有800万次核查。如今,该数据共享已经不仅局限于寻求庇护者,而是包括所有游客、访客或移民。上面提到过的”最高限额”也可以通过双方协商继续增加。如今英国表示,他们可能会对所有能从 “Migration 5″(M5,移民五国)成员国途径获得数据的人进行检查。
这一切大多是在没有公众讨论、似乎也没有多少监督的情况下发生的。
不过,RNZ经过数月调查,揭示了一些关键细节。
通过与官方人员和专家的背景访谈,通过基于各国官方信息公开法律而获得的文件、美国国会报告和档案记录,本文为您详细讲述”M5″如何成立、共享什么以及为何如此严格保密的故事。
M5的诞生
M5的目标演变成了一句口号:”一国既知,五国皆知(Known to One, Known to All.)”。这五个国家希望分享关于每一个进入他们各自国家的人的所有信息。
这一协作源于第二次世界大战后达成的情报共享防御协议。之后,新西兰、澳大利亚、加拿大、美国和英国在此基础上不断发展相关协作。
2001年美国发生9·11恐怖袭击后,各国之间共享了一份”禁飞名单”。不过由于这份名单是基于姓名识别,因此并不准确。通过移民记录获取照片会比指纹更容易,但匹配照片的过程更复杂,争议也更大,并且准确度较低。
很快,人们意识到”生物特征”才是追踪”坏人”更好的方式。
生物特征的优势
这个联盟前身被称为”Five Country Conference(FCC,五国会议)”–最初是通过在澳大利亚主导的系统发送指纹信息而开展工作。
由于人工核查生物特征以及其他信息非常耗时,最初一次身份核查的用时是以天计算,而不是以小时计算。
与仅仅在中央化数据库中保存的犯罪分子、恐怖分子的指纹与出入境人员的指纹进行比对相反,M5采取了完全不同的方法。各国将对所有出入境人员的生物特征进行采样,并在发现有匹配记录时允许其他联盟成员访问相关记录。在对这些记录进行查询时,联盟成员不需要任何理由。
这一点通过FCC在2000年代末达成的”高价值数据共享协议”(High Value Data Sharing Protocol)得以实现。
新西兰自2011年起与FCC国家共享数据。
同年,M5开始发展一个名为”Secure Real-Time Platform”(SRTP,安全实时平台)的新一代技术,以加快生物特征检查的速度,实现自动化并增加核查量。
M5公布的文件强调,他们并没有构建一个全球数据库,因为各国并不能随意”捕捞”数据。相反,成员国会发送一份匿名的指纹核查请求来进行双边比对,如果没有找到匹配记录,这份请求就会被销毁。
对于M5来说,访问指纹信息的主要局限性在于,只有那些需要签证的人通常才需要提供指纹,通常是通过海外的私人签证申请中心–到2017年已有80个联合中心。并且,这些检查无法捕获来自免签国家的指纹或其他信息。
电子旅行证(electronic travel authorisations,eTA)最早是美国于2009年开始启用的,最终其所有盟友都采取了相同措施,新西兰是在新冠疫情之前几个月启用eTA的。
不过,对于那些希望对首次出入境人员有所了解的国家来说,包括那些通过eTA或通过与加拿大和墨西哥的陆路边境(进入美国)的入境人员,这仍然存在漏洞。
2010年代,FCC开始把目光重新放在更为容易获取的”生物信息”数据的共享上,比如姓名、出生日期–以此扩展更详细的禁飞名单版本。
低调的协议
为了筛查排除虚假身份、罪犯及恐怖分子,数据匹配在其实施的第一个10年内增加了100多倍。
与此同时,M5成员国之间互相签署了一系列备忘录、安排和实施协议,这些协议在新西兰未曾公开。新西兰与英国之间的协议甚至基于【官方信息公开法】(OIA)都无法公开。所有相关内容仅有一项是由部长签署,其余皆为执行官员签署。
这些备忘录及诸多附件条款并没有法律约束力。英国通过其大使馆与美国交换了备忘记录,表明两国都扩大了数据核查的范围,包括各自的本国公民。这一举措在英国国会中也没有讨论。
2013年,美国和英国在皇后镇签署了一项关于自动化数据共享的协议。
该协议没有提到英国、新西兰、澳大利亚、加拿大和美国之间的移民联盟关系,也没有表示各国同意采取同样的行动。因此该协议基本没有引起公众注意。
“协议的大胆令人惊讶。”英国的移民事务教授、律师Elspeth Guild说。
尽管其运作方式先进,且数据覆盖范围很广,但公众对于M5的存在、这五个国家签署的共享彼此移民和难民数据的协议以及相关政策和理念的讨论,知之甚少。
为其提供支撑的协议是含糊不清的,并可以在没有任何监管机构、部长或国会批准的情况下进行修改。新西兰对M5的唯一公开的内容是其隐私影响评估。而相比之下,国内各政府机构之间的数据共享协议在官网上都有全文发布,并会定期审查。
在新西兰参与签署的一系列双边协议和其他联合文件中,仅有一个由部长签署,其余均为具体执行官员签署。唯一的这个例外是2017年5月,时任移民部长Michael Woodhouse与美国签署的协议。
Woodhouse通过电子邮件告诉RNZ:”FCC框架(当时的叫法)和数据共享协议在我担任部长之前就已经成型,主要是由新西兰移民局管理。在我任职期间,除了去皇后镇参加了以此FCC论坛之外,我对其他的没什么深刻印象。”
几个月后,也就是在2017年11月工党与优先档签署联合执政协议的两周后,一名身份不详的MBIE官员签署了一份实施安排计划,详细说明了哪些数据将被共享。
在M5成员国之间可以共享的隐私信息有35项,包括申请人的家庭成员、病史以及旅行记录。新西兰与加拿大之间的协议中允许其共享新西兰居民的上述信息,覆盖范围达110万人。
到2020年,几乎已经没有人公开讨论M5组织的存在。该组织成员国的相关执行官员每个月会会面以此,并制定了未来的”无接触国界(touchless border)”愿景。如今,M5正在以前所未有的规模共享游客、移民以及难民申请者的个人数据。
“无可隐瞒”
Sebastian被一名机场值机助理判定名列禁飞恐怖分子清单时,他才是年仅6周的婴儿。
“她把我们拉到一边并低声告诉我们,(无法登机)’是因为我儿子被标记了’,”Sebastian的加拿大籍父亲Zamir Khan说。一年后,当这种情况再次发生时,他们才发现是因为孩子的名字与其他人重名了。
在加拿大政府修复这个系统错误之前,他在一个倡导组织做了六年的带头人。这个倡导组织关注于那些孩子被列入监控名单上的家庭,并让他对不受监管的移民制度持质疑态度。尽管由于他的工作,他对出入境系统的了解要比普通人高,但他也从来没听说过M5组织。
他担心,对于恐怖主义的合理关注会让出入境政策变得不那么基于证据和公平。”我反对的是,在实施这些系统的同时,却没有任何问责制、透明度或报告来证明它们是利大于弊的。”
“那些不是坏人的人可能会在他们的档案中留下不好的记录。如果这类事发生在这种系统里,我只能想象,修正这些信息或恢复名誉会有多么困难,甚至是不可能的。”
在M5最初的数据共享计划中,成员国最长可以将数据保留10年。如今,这一期限由各个获取信息的成员国自行决定,并根据该国自己的法律进行时间限制。对于美国来说,这一标准是75年。
新西兰从移民中采集的生物特征数据会保留50年,每年由高达40万次的数据共享请求–如果所有M5成员国都这么做,就有160万次数据共享请求。这些数量最高上限也可以通过”互相同意”来增加。该协议还与库克群岛共享生物信息,并与日本共享生物特征和生物信息(生物特征数据为指纹、DNA等生物数据;生物信息数据为姓名、出生日期等身份信息)。
在多伦多大学进行M5数据共享研究的Jamie Duncan说,下一步将是把所有数据集中到一个所有成员国可以同时访问的中心数据库中。”类似于FBI的禁飞名单,没有明确的问责机制,也没有补救机制。”他说。
在新西兰,一个耗资3500万纽元的生物特征能力升级(Biometric Capability Upgrade,BCU)系统在完成内测并获得管理批准后将在10月上线。
移民风险与边境管控主管Michael Alp表示,早期监测可以防止涉嫌诈骗和走私的人进入新西兰。”当(系统)完成后,BCU还能提供额外的照片比对能力,并提高效率。这意味着(入境)申请将可以更快地通过身份识别阶段。”
“作为M5的成员之一让我们能够更有效地行使移民职能,从而提高移民系统的整体完善性。SRTP并不基于某个特定国家。M5中的每个成员国都有这个系统各自的版本,而系统间通过通信进行数据共享。M5成员之间不共享其本国公民的数据。”
该网络的广泛性和保密性引起了英国民权组织Statewatch的负责人Chris Jones的关注。Jones称,普通人可能会觉得他们正常的出行和警方记录不会影响到自己,但事实上并非如此。
“生物特征数据被认为是一项敏感的个人数据,应该高度保护。(任何)组织在收集、共享这些数据时都应该有充分理由。”Jones说。
“我们说的不只是恐怖分子和罪犯,这会牵涉各种各样的人–需要保护的人;想与家人团聚的人;单纯只是想出国的人;想访问一个国家基于某种原因被认为是可疑的人。”
“这些系统不会达到预期效果,也不符合我们所理解的法治。因为它将每一个人都变成了嫌疑人。”
他表示,人们可能永远不会知道,他们被某个国家拒签可能是因为以前去过的国家的数据出现差错。
各种错误、公权力的过度管控、技术故障或黑客攻击造成的漏洞都有令人担忧的可能性。丧失隐私是一个非常现实的后果。
“如果你没做亏心事,就没必要害怕–对于这种论调,我只有一个回应:’为什么你家里有窗帘’?”
“问题是,你的政府应该被允许了解你多少信息?然后,外国政府又应该被允许知道你多少信息?即使这些事情是合理的,为什么这一切没有公开明确,且由你选举的代表进行审查?”
新西兰隐私专员Michael Webster起草了生物特征(采集)规则,阐述了应披露的手机内容以及如何让利益大于风险。Webster说,他的办公室在M5数据共享协议中的参与仅限于隐私影响评估,不过如果收到投诉,他也可以审查这些协议。
新西兰隐私相关法律涵盖了数据收集、保护及销毁,但在2009年【移民法】(Immigration Act 2009)中,允许将这部分作为豁免,包括与海外共享信息在内的情况。
“在这一领域–由于豁免–新西兰移民局需要考虑我的建议,但也仅此而已,”Webster说,”我说的东西,他们会参考。我认为我们会充分提出相关担忧,但之后如何管理和处理这些信息,就是他们的责任了。”
2009年的法案在当时由于存在其他争议,生物特征相关的内容在”Hansard记录”(即国会辩论的书面官方记录)中并不处在显著位置。人权委员会(Human Rights Commission)的意见书是少数涉及这一议题的文件之一,这表明当时(国会)并不清楚数据共享协议已经在制定当中。
“委员会当时不认为要求从所有希望入境新西兰的人那里采集生物特征数据有任何令人信服的理由。它担心这可能为其他领域采集生物特征信息开创先例,或者导致与其他国家交换数据。”
当系统出错时会发生什么?
人权倡导者和律师称,边境管理部门使用的数据(包括大量没有安全问题的人的信息)越多,就越需要独立监管。
他们担心,由于公众不知道发生了多少错误、有多少签证因此被拒、是否有人被拒绝登机等数字,因此无法确信官员查看旅客记录是否合理,也无法确信数据共享的规模是否与所需应对的风险相称。
与失去隐私相比,所采集的信息有多大价值?一个国家是否会将个人的签证决定权转交给另一个国家?如果是,这对另一个国家影响有多大?
奥克兰的移民律师Simon Laurent担心,该流程已经影响到他的一名客户。”我们观察到的情况是,某人被M5组织其他成员国之一判定为使用第二身份来试图获取该国签证。而得出这一结论的唯一依据是通过照片比对。”
“在我所说的这起案例中,其结论的证据基础相当薄弱。如果他们(移民局)自己进行核实,比如说使用更多的身份信息(进行验证),可能会得出不同结论。这也不禁让人质疑,一个国家在没有自己做出尽职调查的情况下盲目采用另一个国家的结论,这样的系统是不完善的。”
他补充道,生物特征数据和生物信息数据是敏感且有市场价值的信息,这些信息可能被存储在许多不同位置,并面临被黑客攻击的风险。
他与其他律师都提出了这一担忧:如果庇护申请者和难民的信息落入他人之手,发往第三国,或者合作国家提供虚假信息时会发生什么。
新西兰移民局的Michael Alp表示,对于难民和保护性签证的申请,也有保密的例外情况,允许在安全的情况下共享相关信息。
“对于如何处理信息是有相关规定的。难民保护官员可以使用法案下的自由裁量权,要求申请人提供生物特征信息,以此确定难民和保护身份。虽然几乎所有成年人都会提供他们的生物特征信息,但在极少数情况下,如果基于任何原因对于M5成员共享信息有顾虑,难民保护官也可以选择不要求提供、或仅与个别成员国数据进行匹配。如果有人存有疑虑并解释其拒绝提供生物识别信息的原因,他们也可以拒绝提供这些信息。”
但即便是查找庇护申请者信息的行为也并不总能带来好的结果,例如,迫害者可能会找到他们。一个例子就是前神学教授Ahmed Zaoui,他被迫逃往新西兰,但由于庇护申请者的原籍国通过其他国家的政府传递虚假信息,Zaoui不得不与恐怖分子的指控进行抗争。
而数据泄露确实会发生,有时候会带来更严重的 后果。
数据被共享的移民和出入境人员可能会面临毫无理由的拒签,这可能对他们的生活产生深远影响。对于难民及其家人来说,则可能是致命的。
单一窗口
人权委员会在2009年就对这种国家之间交换生物特征数据做出担忧是具有前瞻性的。
M5组织如今已经远远超出了国家之间基本数据的共享范畴。其上限已经多次提高,下一步有可能是完全取消上限。
M5成员国可以通过”单一窗口”来查看彼此的移民和海关数据是个阶段性目标,之后”最终实现整合的可能性”。
新西兰在这其中扮演的角色不仅仅是M5成员之一,它还一直为整个项目的托管并为该项目的行政中心支付费用。
*本报道基于由富布莱特奖学金(Fulbright Program)提供支持的在华盛顿特区的乔治敦大学(Georgetown University)进行的独立研究。本文观点及信息不代表Fulbright项目,也不代表美国政府或新西兰政府。
* 本文首发于RNZ中文,根据授权转载。