翻译:
title: TikTok 表示不会对私信进行端到端加密,称此举会让用户面临风险 author: Joe Tidy(BBC World Service 网络安全记者) published:
TikTok 表示不会引入端到端加密(E2EE)——这一几乎被其所有竞争对手采用、但颇具争议的隐私功能——理由是它会让用户变得更不安全。
端到端加密意味着只有私信的发送者和接收者能够查看消息内容,这使它成为普通公众可使用的最安全通信方式。
Facebook、Instagram、Messenger 和 X 等平台已经采用这一技术,因为它们表示其优先目标是最大化用户隐私。
但批评者表示,E2EE 会让阻止有害内容在网络上传播变得更加困难,因为这意味着科技公司和执法机构都无法查看任何通过私信发送的内容。
情况之所以更加复杂,是因为 TikTok 长期面临指控,称其与中国政府存在联系,可能会使用户数据面临风险。
TikTok 一直否认这一说法,但今年早些时候,这家社交媒体公司的美国业务根据美国立法者的命令与其全球业务进行了分离。
TikTok 告诉 BBC,其认为端到端加密会阻止警方和安全团队在必要时读取私信内容。
在伦敦办公室举行的一次有关安全问题的简报会上,TikTok 向 BBC 确认了这一做法,并表示其目的是保护用户,尤其是年轻用户免受伤害。
该公司将这一立场描述为一种有意为之的决定,用以与竞争对手形成差异。
TikTok 表示其在英国拥有 3000 万月活跃用户,在全球拥有超过 10 亿用户。该平台一直因其数据保护做法而受到审查。
这一社交视频平台总部位于洛杉矶和新加坡,但由中国科技公司字节跳动(ByteDance)所有。
社交媒体行业分析师 Matt Navarra 表示,TikTok “逆势而行”的决定是一个精明的策略,但同时也带来了“相当容易引发争议的外观”。
他对 BBC 表示:“私信中的诱骗(grooming)和骚扰风险确实存在,因此 TikTok 现在可以合理地声称,它优先考虑的是‘主动安全’,而不是‘绝对隐私’,这是一个非常有力的说辞。”
但 Navarra 表示,这一举动也“让 TikTok 与全球隐私预期不一致”,并可能加深一些人对其所有权结构的担忧。
隐私专家长期将 E2EE 视为保护对话免受黑客、公司甚至试图监视用户的专制政府窥探的最佳方式。
哪些应用使用端到端加密? • Signal、WhatsApp、Facebook 私信 / Messenger、Apple 的 iMessage 以及 Google Messages 默认使用 E2EE 技术 • Instagram 正在将其私信系统逐步改为默认使用 E2EE • X(原 Twitter)的私信系统类似 E2EE,但一些批评者认为该平台的系统不如行业标准安全 • Telegram 提供 E2EE 作为可选功能,但并非默认开启 • Snapchat 对私信中的图片和视频使用 E2EE。Snap 之前表示计划更广泛地推广,以覆盖文本内容 • 周一,Discord 宣布语音和视频通话很快将默认采用 E2EE
Watch: How end-to-end encryption works
端到端加密一直受到一些政府、警方以及儿童保护慈善机构的批评。
他们警告说,这会让犯罪分子能够在当局或平台无法调查所交换内容的情况下伤害用户并传播非法内容。
TikTok 坚称,所有私信仍然使用标准加密方式进行保护,这与 Gmail 等服务类似。
该公司还表示,只有经过授权的员工在特定情况下才能查看私信,例如回应合法的执法请求,或用户举报有害行为时。 • 大型科技公司是否应该能够读取人们的消息?
英国儿童保护慈善机构 NSPCC 对 TikTok 的这一决定表示欢迎,理由是该平台在年轻人中非常流行。
其儿童网络安全政策副主管 Rani Govender 表示:“我们知道端到端加密平台对儿童来说可能有多么危险,因为它会阻碍儿童性虐待和剥削行为的发现,并导致全球相关报告数量令人担忧地下降。”
互联网观察基金会(Internet Watch Foundation,IWF)——一个负责监测并删除互联网儿童性虐待材料的组织——也对此表示赞赏。
IWF 首席技术官 Dan Sexton 表示:“在各个平台似乎不顾后果地竞相实施端到端加密的情况下,从安全角度出发有意识地暂缓这一做法,是一个重要的先例。”
萨里大学(Surrey University)的网络安全教授 Alan Woodward 表示,这一决定背后可能存在“来自中国的影响”,并补充说 E2EE “在中国基本上是被禁止的”。
行业观察人士还指出,该公司的决定也可能与维持立法者支持有关,因为在涉及其年轻用户群体保护的案件中,它仍然能够向警方提供协助。
Sign up for our Tech Decoded newsletter to follow the world’s top tech stories and trends. Outside the UK? Sign up here.
如果把政治、监管立场全部排除,只从系统架构角度看,问题其实是一个经典矛盾:
通信内容的隐私性(只有用户可见) vs 平台的安全治理能力(平台能检测违法或有害内容)
端到端加密(E2EE)把系统推到隐私这一端: 平台无法读取内容 → 同时也失去内容审核能力。
因此技术界一直在探索一些折中架构。下面按现实可行度与成本来讲。
⸻
原理
消息在发送之前或解密之后,在用户设备上进行检测。
流程:
用户输入消息 ↓ 客户端本地模型检测(AI / hash匹配) ↓ 如果安全 → 再进行端到端加密发送 如果违规 → 阻止发送或上报
典型技术: • PhotoDNA / hash matching 检测已知非法图片(儿童性虐待素材等) • 本地 AI 模型 • 文本 • 图片 • 视频
曾经的代表方案: • Apple CSAM client-side scanning(后来因争议取消)
⸻
优点 • 仍然保持 E2EE • 平台仍有一定安全控制能力
⸻
问题
核心问题是 信任模型改变: • 用户必须信任客户端软件没有滥用扫描能力 • 平台理论上可以扫描任何内容
技术界对此争议非常大。
⸻
成本
工程成本较高:
成本类型 内容 客户端计算 AI模型推理 电量 移动端消耗 更新维护 模型更新 法律风险 扫描范围争议
大平台可承受,中小平台困难。
⸻
即:
不看消息内容,只看通信行为。
分析内容包括: • 谁和谁聊天 • 聊天频率 • 群组结构 • IP • 设备 • 时间分布
类似网络安全里的:
Traffic analysis
⸻
示例
如果系统发现:
某账号 → 同时私信几十个未成年用户
即使消息内容是加密的,也可以判定为异常行为。
⸻
优点 • 不破坏 E2EE • 算法成熟 • 成本低
⸻
局限
只能发现: • 行为模式异常
无法发现: • 具体违法内容
⸻
成本
较低: • 图分析 • 异常检测 • 风控系统
⸻
一种常见机制:
当用户举报时:
用户 → 提供聊天记录 平台 → 调查
技术方式: • 举报时客户端提交解密后的消息 • 或提交解密密钥
⸻
优点 • 不破坏整体 E2EE • 调查仍然可行
⸻
缺点
依赖: • 受害者主动举报
对于: • 隐蔽犯罪 • 儿童受害
不一定有效。
⸻
一种老方案:
用户 A 用户 B 平台 / 第三方机构
密钥结构:
message key ↓ 同时被三个密钥加密
即:
用户A密钥 用户B密钥 监管密钥
⸻
优点
执法机构可解密。
⸻
问题
安全界基本一致反对:
原因很简单:
只要存在“万能钥匙”,系统就不再安全。
一旦泄露: • 所有通信可被解密
⸻
成本
工程成本不高 但安全风险极大。
⸻
一些前沿方案:
同态加密(Homomorphic Encryption)
允许:
在加密数据上计算
例如:
检测非法关键词
但数据仍保持加密。
⸻
问题: • 计算成本极高 • 目前无法大规模实时使用
⸻
安全多方计算(MPC)
多个节点协同计算:
不暴露原始数据
也存在: • 高延迟 • 高计算成本
⸻
现实平台通常使用组合方案:
内容未加密 ↓ 服务器 AI 审核 ↓ 用户举报 ↓ 行为风控
如果使用 E2EE,通常变成:
E2EE + 元数据分析 + 用户举报 + 客户端扫描
例如:
平台 架构 Signal 完全E2EE + 几乎无审核 WhatsApp E2EE + 举报机制 Telegram 默认非E2EE Apple iMessage E2EE
⸻
关键结论
技术上不存在完美方案。
这是一个三角关系:
隐私 安全治理 系统成本
你最多只能优化其中两个。
大致关系:
架构 隐私 安全治理 成本 服务器审核 低 高 中 E2EE 高 低 低 客户端扫描 中 中 高 隐私计算 高 中 极高
⸻
如果你感兴趣,其实还有一个更底层的问题:
为什么互联网通信最终都绕不开这个矛盾
它其实来自一个更基础的密码学原理:
谁能解密,谁就能审查。
不存在同时满足:
只有用户能读 但平台也能读
这在数学上就是互斥的。
⸻
如果你愿意,我可以再讲一个很有意思的点:
为什么 Telegram 一直不默认 E2EE,而 WhatsApp 反而默认。
这个背后的工程逻辑其实非常现实。
可以把问题抽象为几个设计目标维度。常见的不是三个,而是大致四个:
目标 含义 隐私 平台无法读取通信内容 治理能力 平台/执法机构可以调查违法内容 商业价值 可用于广告、推荐、数据分析 工程成本 实现与维护复杂度
不同组织通常会在这些维度中选 N 取 X 的组合。下面列出常见策略及对应组织类型。
⸻
(隐私 + 低商业数据 + 弱治理)
架构
默认 端到端加密 + 极少数据收集
典型技术 • E2EE • 最小元数据 • 无服务器内容分析
典型平台 • Signal • Session • SimpleX Chat
组织动机
常见于: • 隐私技术社区 • 加密软件开发者 • 非营利组织 • 去中心化网络项目
政策支持者 • 数字权利组织 例如 Electronic Frontier Foundation
特征 • 治理能力弱 • 商业化困难 • 用户规模通常较小
⸻
(治理 + 商业数据 + 弱隐私)
架构
服务器可读取消息内容。
技术 • 服务器侧 AI 审核 • 行为风控 • 数据分析
典型平台 • Telegram(默认聊天) • Discord • WeChat
组织动机
平台希望: • 控制内容生态 • 打击违法内容 • 支持广告/推荐
政策支持者 • 大多数政府监管机构 • 执法机构 • 儿童保护组织
例如: • Internet Watch Foundation
特征 • 治理能力强 • 隐私较弱 • 商业模式成熟
⸻
(隐私 + 一定治理)
架构
E2EE + 举报机制 + 元数据分析
技术 • 端到端加密 • 举报时上传内容 • 行为模式检测
典型平台 • WhatsApp • Apple iMessage • Facebook Messenger
组织动机
大型商业平台通常选择这种模式,因为: • 需要用户信任(隐私) • 又需要治理能力
政策环境
这种模式在: • 欧盟 • 美国
比较常见。
⸻
(治理 + 隐私)
架构
不使用 E2EE,但使用: • 传输加密 • 严格权限访问
技术 • TLS • 内部访问控制 • 审计系统
典型平台 • TikTok • Snapchat
组织动机
平台强调: • 用户安全 • 内容治理
但仍提供基本隐私保护。
⸻
(治理 + 监管)
架构
通信系统必须: • 可审查 • 可解密 • 可监控
常见技术 • 服务器解密 • 关键字过滤 • 深度包检测
典型环境
部分国家互联网监管体系。
例如: • China • Iran
组织动机
目标: • 国家安全 • 信息管控
⸻
(隐私 + 去中心化)
架构 • 去中心化网络 • 无服务器
技术 • P2P • onion routing • 匿名网络
典型系统 • Tor • Briar
组织动机 • 抗审查通信 • 政治活动 • 匿名社区
⸻
总体对应关系
组合 常见选择者 强隐私 加密社区、隐私组织 治理优先 商业平台 平衡模型 大型互联网公司 国家治理 政府监管体系 去中心化隐私 技术极客社区
⸻
一个结构性的规律
互联网通信产品最终通常落在三类:
隐私优先 平台治理优先 监管优先
而商业互联网平台大多选择:
隐私 + 治理
原因很简单: • 用户需要隐私 • 平台需要控制风险
⸻
如果继续往下看,还可以发现一个更有意思的趋势:
未来通信系统可能出现第四种模式:
E2EE + 客户端AI审核 + 隐私计算
也就是:
内容仍然加密,但 AI 在用户设备上执行审核。
这可能是未来十年很多平台会尝试的架构。