2026 年 6 月 5 日,距 Glenn Greenwald 在《卫报》发出第一篇关于 Verizon 元数据的报道,整整十三年。

这十三年的时间长度,已经超过了第二次世界大战从开始到结束的长度。如果把 2013 年 6 月 5 日比作一个起点,那今天出生在 2013 年的孩子今年读六年级——他们这一代人不知道什么叫“在 Snowden 之前的互联网”。对他们来说,加密通信、隐私设置、广告追踪、TikTok 与 GDPR 的弹窗 cookie 警告、政府“数据保护办公室”、欧美之间反复签署又被推翻的数据传输协议——这一切都是默认存在的世界。

但对那些 2013 年已经成年的人来说,2013 年 6 月 5 日仍是一个分界点。在那之前,“NSA 在监视你”是一个左翼活动家与 cypherpunk 邮件列表里反复出现的怀疑;在那之后,它是一份盖着 TOP SECRET 红印的 PowerPoint 上的事实1

十三年的距离让最初的震惊已经消退。今天再问一个普通美国人或欧洲人:“你在意 NSA 还能不能监听你的通信吗?”——多数人会耸肩。这种集体性的疲劳本身就是一个值得停下来看的现象。它不是“问题被解决了”,是“问题被习惯了”。

这一章试图回答一个简单但难以回答的问题:十三年过去了,世界因为 Snowden 改变了多少?什么变了,什么没变?

答案不是单向的。有些事情确实变了——加密技术全面普及、欧洲法律重新洗牌、跨国数据流被强制断开又重新协商。有些事情完全没变——Section 702 仍在续期,目标人数从 8.9 万涨到 26.8 万,FBI 仍在做 backdoor searches,CIA 仍在开发 0-day。还有些事情以一种 Snowden 本人未必预料到的方向变了——监控产业链私营化了、互联网巴尔干化了、告密者们一个个走向各自的悲剧性结尾,而公众从震惊走向了麻木。

让我们先从没变的部分开始,因为这部分最容易被遗忘。

2013 年 6 月,Snowden 公开 PRISM 时,NSA 通过 Section 702 监控的“目标人数”是 89,138 人2。这个数字来自每年公开的 ODNI(Office of the Director of National Intelligence)透明度报告。“目标”是 NSA 的术语——指的不是“被附带收集到通信的人数”,而是“被主动指定为监控对象的外国人或外国机构的数量”。每一个目标背后的实际通信收集量是一个更大的数字——目标的朋友、家人、生意伙伴、随机联系人,都会因为“二跳”或“附带收集”被纳入数据库。

这个 89,138 在过去十三年里的变化是这样的:

年份702 目标数较 2013 年增长
201389,138基准
2016106,469+19%
2019204,968+130%
2021232,432+161%
2022246,073+176%
2023268,590+201%

到 2023 年底,Section 702 的目标人数已是 Snowden 公开时的约 3 倍2

这个数字的政治含义需要展开。Snowden 公开 PRISM 之后的所有“改革”——2015 年 USA Freedom Act、2017 年 FISA Amendments Reauthorization Act、2024 年 RISAA(Reforming Intelligence and Securing America Act)——理论上都是在“约束”NSA 的权力。但 Section 702 的实际使用规模反而扩大了。每一次法律改革保留了核心条款,只在边缘做了形式上的让步:法庭引入 amicus curiae 律师、年度透明度报告制度化、对美国人查询增加 “compliance review” 程序、扩大 Privacy and Civil Liberties Oversight Board 的角色。但这些改革没有触及最根本的问题:NSA 仍然可以在没有传统刑事搜查令的前提下,向美国互联网公司发出指令,要求交付任何被合理判断为“位于美国境外的非美国人”的数据3

更重要的是 backdoor searches——也就是“对美国人查询”。Section 702 在表面上的限制是“目标必须为外国人”,但实践中,每一个被监控的外国人都可能与一个美国人通信,每一个美国人的姓名、邮箱、电话号在 NSA 的数据库中都可能被搜索出来。FBI 长期把这种“未经令状对美国人查询”作为常规工作流程。

2022 年披露的内部数据触目惊心:仅 2021 年 12 月到 2022 年 3 月之间的一段时期,FBI 进行了 278,000 次不合规 的美国人查询。这些查询的对象包括:抗议者、国会议员、议员的幕僚长、州法官、19,000 名某政治竞选活动的捐款人、记者、评论员、政府官员、Black Lives Matter 抗议者、January 6 国会山事件参与者4

这件事的尴尬在于:每一个被搜索的美国人都没有刑事嫌疑令状的程序保护。FBI 可以仅基于“内部认为有意义”就翻看任何美国人的通信。Section 702 在原则上是“对外”的,但在实践中成了“对内”的便捷工具——一个让 FBI 绕过《第四修正案》的合法通道。

2024 年 4 月 20 日,RISAA 续期 Section 702 至 2026 年 4 月 20 日。续期同时通过了几项“轻微改革”——对美国人查询须有“合规理由”(但仍不需令状)——以及一项让 EFF 抨击为“最差版本”的扩展条款:把法律涵盖范围从“electronic communications service providers” 扩展到任何接触美国通信的实体。这意味着按照新的法律文本,任何 Wi-Fi 提供者、任何商务数据中心、任何云存储服务,理论上都可以被要求协助 NSA 与 FBI 的 702 收集5

2024 年 8 月,DOJ 内部监督发现 FBI 仍在使用一种内部查询工具绕过 RISAA 的新规定——让分析员仍可以查询美国人通信而不遵守新的程序。这件事的意义比技术细节更深:它证明法律改革的速度永远跟不上技术绕过的速度。每一次国会“补漏洞”的努力,情报机构都会找到下一个漏洞4

2026 年 4 月 20 日,Section 702 再次到了 sunset。国会内部的辩论与 2017、2024 几乎一样——情报界要求无限期续期或至少 6 年延长;自由派与 libertarian 联盟要求加入“对美国人查询须有令状”;大型企业游说放宽 ECS 提供者定义。每一方的立场与十年前几乎一字不差。

这是 PRISM 之后世界没变的部分:监控法律仍在,监控规模在扩大,监控机构在国会面前的话术与十年前一致,而公众的注意力已经不在这里了。

但有些事情确实变了——而且变得很深。

最深的变化在加密。

2013 年 6 月,Snowden 公开 PRISM 时,全球使用端到端加密通信的人数是一个相对小的数字——可能在百万到千万级之间,集中在记者、活动家、安全研究员、毒贩、cypherpunk。普通人在 Gmail、Hotmail、Skype、Facebook Messenger 上发出的每一条消息,理论上都可以被它们各自的服务器读取——这意味着它们也可以被 PRISM 直接读取6

到 2026 年初,全球使用端到端加密即时通信的人数估计在 40 亿到 50 亿 之间。这个数字包括:

  • WhatsApp:30 亿月活用户,默认 E2E(2016 年 4 月 5 日起,使用 Signal 协议)
  • iMessage:约 13 亿用户(Apple 全球设备数),从设计之初 E2E
  • Signal:约 1 亿月活用户
  • Meta Messenger:约 10 亿用户,2023 年 12 月完成全员默认 E2E 切换
  • Telegram Secret Chats:可选 E2E
  • Google Messages(RCS):2023 年起在 RCS 协议下默认 E2E7

这是人类历史上规模最大的一次密码学普及。比起公元前 4 世纪斯巴达人发明的“密码棒”,比起冷战时期美苏外交电报的加密,今天每一台智能手机上都跑着 Signal Protocol 或它的衍生物。Diffie-Hellman 密钥交换、Curve25519 椭圆曲线、Double Ratchet 算法、Sealed Sender——这些过去只在密码学论文里出现的术语,已经悄悄地嵌入了几十亿人的日常通信。

加密的物理基础也变了。2015 年 EFF 与 Mozilla、Akamai、Cisco、思科联合发起的 Let’s Encrypt 项目让免费 SSL 证书成为可能。在那之前,“网站默认 HTTPS”对很多小网站来说意味着每年几百美元的证书费用与复杂的部署流程。到 2024 年,Let’s Encrypt 已经为全球超过 4 亿个网站签发证书,HTTPS 覆盖率从 Snowden 时代的不到 40% 上升到 95% 以上8。这意味着 PRISM 时代的 Upstream 监控——在主干光纤上直接读取明文流量——已经在大多数情况下不再可行。

但是,加密的胜利不是无条件的。它的胜利在三个维度上同时遇到反向压力:

第一是元数据。E2E 保护的是通信内容,不是元数据。Signal 服务器仍然知道你的电话号码、你的注册时间、你的最后连接时间。WhatsApp 服务器知道你与谁通信、何时通信、消息长度、群组成员——所有这些都不在 E2E 保护范围内。前 NSA 局长 Michael Hayden 在 2014 年的一次演讲中说出了一句后来被反复引用的话:“We kill people based on metadata”——我们基于元数据来杀人9。这句话的真实含义是:在情报与军事行动中,“知道谁在何时与谁通信”已经足够定位目标、做出决定。内容是否加密,对这种决定的影响有限。

第二是终端入侵。E2E 加密保护的是“中间路径”——通信在从发送者到接收者的传输过程中不被读取。但如果发送者或接收者的设备本身被入侵,所有加密都是空的——在被入侵的设备上,所有信息在被加密前都是明文。这就是 Pegasus 等商业间谍软件的攻击逻辑。NSO 不需要破解 Signal Protocol,他们只需要让 iPhone 自己把 Signal 的明文上传回 NSO 客户的服务器10

第三是客户端扫描。2021 年 8 月,Apple 提出一个让所有加密支持者震惊的提案:在每台 iPhone 上部署一个本地神经网络模型,用来在上传到 iCloud 之前扫描照片是否匹配已知的 CSAM(儿童性虐待材料)数据库。Apple 把这个技术框架称为 NeuralHash,并强调它“在设备上运行,不破坏端到端加密”。但 Snowden、Bruce Schneier、Matthew Green、EFF 等几乎整个密码学社区一致反对——他们的论点是简单而锋利的:一旦在端上部署扫描机制,“扫描什么”就成为一个政治问题,而不再是技术问题。今天用来扫描 CSAM 的同一个机制,明天就可以被各国政府要求用来扫描其他内容——同性恋图像、抗议标语、特定政党的资料、记者的源材料11

Apple 在 2021 年 9 月推迟了这个提案,2022 年 12 月正式撤回。但同一时期,欧盟提出了 Chat Control 立法、英国通过了 Online Safety Act 2023——这两项法律都包含强制性的客户端扫描要求。每一次草案被推出,密码学社区都会反对,每一次都会被推迟或修改,但相同的提案永远会以下一个新名字回来12

加密的物理与法律环境,是一个永远没有彻底胜利的拉锯。Snowden 时代的胜利让加密成为大多数人的默认,但“默认”不等于“不可侵犯”。

地缘层面的变化更深,但也更难简化为一句话。

2013 年 6 月之前,“互联网”在多数政治讨论中仍然是一个隐含的整体概念——一个跨越国界、由共同协议(TCP/IP、HTTP、DNS)连接的全球公地。ICANN(互联网名称与数字地址分配机构)位于美国加州,由美国商务部下属机构监管。全球主要的根 DNS 服务器、互联网骨干交换点、绝大多数云基础设施、绝大多数主导的互联网服务,都在美国境内或美国控制范围内。

PRISM 公开后,这个隐含的“美国中心”立刻变成了一个明确的政治问题。如果美国公司必须配合 NSA 交付数据,那其他国家的公民、企业、政府使用美国互联网服务,等于把自己的通信、数据、商业秘密交给了美国情报机构。这件事变成了主权问题

巴西总统 Dilma Rousseff 在 2013 年 9 月 24 日的联合国大会上把这个问题摆上桌面。她按惯例作为巴西总统第一个发言,紧接着是奥巴马。她用了一种几乎是教科书的外交辞令将 NSA 监控定义为 “严重违反人权与公民自由的案件”、“对国家主权的不尊重”、“违反国际法”。她否定了“反恐”作为借口的可行性,称之为 “untenable”——不可持续13。奥巴马紧随其后讲话,仅用 “我们已经开始审查我们收集情报的方式” 这种含糊的措辞回应。

那一刻对国际政治的意义远超巴西本身。Rousseff 在 UN 大会上的演讲让“反对美国主导的数据流”成为一个可以在国际平台公开陈述的立场。在那之后,每一个国家都获得了一种新的政治语言来推进自己的数据本地化、互联网主权、平台监管议程。

德国的反应来得更慢,但也更深。2013 年 10 月 23 日,Der Spiegel 揭露 NSA 自 2002 年起监听默克尔手机——这意味着 NSA 监听了她任 CDU 党主席、副总理、总理的全程。默克尔致电奥巴马,留下了那句后来在德语外交中反复被引用的话:“Monitoring friends is not done”——监听朋友是不应该的14

德国的反应分几层。短期层面,召见美国大使、暂停部分情报合作、成立联邦议院 NSA 调查委员会。长期层面,德国成为推动 GDPR 立法最积极的成员国之一;2017 年通过 BND 法修订;2020 年 5 月联邦宪法法院裁定 BND 海外批量数据收集违反基本法;提出 Gaia-X 项目(“欧洲云”理念的初版)。但德国的反应也始终带着一种矛盾——2015 年披露的“选择器列表”事件显示,BND 自己长期帮 NSA 监听欧洲其他国家政要、欧盟委员会、空中客车等机构。默克尔政府最初否认、后被迫承认。这种“既是受害者,也是同谋”的双重身份,让德国在反 NSA 议题上始终无法完全占据道德高地14

欧盟整体的回应是 GDPR——这部法律的草案 2012 年就在讨论,但 Snowden 披露让欧洲议会的政治意志大幅强化。2016 年 4 月通过,2018 年 5 月生效。它的几个关键特征——域外效力(凡处理欧盟居民数据者,无论企业位于何处都受约束)、天价罚款(最高营业额 4%)、被遗忘权数据可携权72 小时强制通报——构成了一个让全球科技公司不得不重组数据处理架构的新规则集15

GDPR 之后的扩散是惊人的。加州 CCPA、巴西 LGPD、印度 DPDPA、中国 PIPL、越南个人数据保护法——几乎每个主要经济体都吸收了 GDPR 的至少一部分概念。“数据保护”从一个欧洲特色的法律领域变成了全球范式。

中国与俄罗斯的反应走的是另一条路。2017 年 6 月生效的《网络安全法》第 37 条要求关键信息基础设施运营者在境内收集的数据应当境内存储;2021 年的《数据安全法》与《个人信息保护法》进一步制度化数据本地化;2022 年的《数据出境安全评估办法》把跨境传输纳入预先审批16。俄罗斯走得更早——2014 年的《数据本地化法》要求所有处理俄罗斯公民数据的公司在俄境内存储;2019 年的“主权 RuNet 法”赋予俄罗斯政府切断国际互联网连接的法律权力——这项权力在 2022 年俄乌战争后被实质使用,Facebook、Instagram、Twitter 被全面封锁17

中国与俄罗斯的论证逻辑与欧盟表面对立,深层动机相同:拒绝美国主导的数据流。GDPR 用“基本权利”语言;中国《网安法》用“网络主权”语言;俄罗斯 RuNet 法用“国家安全”语言——但它们都做了同样一件事:在自己的国境上建立数据墙,让本国公民的数据不再默认流向美国。

这种共同效应让“互联网巴尔干化”从一个学者用语变成实际的政策图景。今天的互联网已经不再是一个全球公地。它至少由以下几个相互不信任的区域块构成:

  • 西方互联网:美国 + 欧盟 + 加拿大 + 澳大利亚 + 日韩 + 大部分拉美——共享主要平台,但被 GDPR / DSA / DMA 等法律分层
  • 中国互联网:长城防火墙之内,自己的搜索、社交、电商、云生态
  • 俄罗斯互联网:2022 年战争后加速隔离,但仍未完全切断
  • 伊朗互联网:长期封闭,但本地基础设施远不如中俄
  • 数据流分裂区:印度、巴西、印尼、土耳其、越南——本地化要求逐步加强,但仍部分接入全球平台

互联网的全球公地理想——TCP/IP 协议、ICANN、IETF 这些机构当年设想的“网络无国界”——已经在 Snowden 之后的十三年里被各国主权重新切割。回到那个理想,几乎不再可能。

人物层面的变化是最容易被讲成戏剧的部分,但也最难单纯地评价。

Edward Snowden——2026 年 43 岁,仍在莫斯科。

2022 年 9 月 26 日,普京签署总统令,授予 75 名外籍人士俄罗斯国籍,Snowden 在列。时机精确——俄罗斯入侵乌克兰七个月之后、全国动员令颁布前。Snowden 通过法律团队声明感谢,并强调他仍持有美国国籍。2022 年 12 月 2 日,他正式宣誓领取俄罗斯护照18

这个时间点的讽刺让所有人都不能装作没看到。Snowden 在 2013 年公开 PRISM 时的核心论点是“民主国家的公民有权知道他们的政府在做什么”。九年后他在一个公开镇压自由表达、刚刚发动一场侵略战争、入侵期间几乎所有反战记者要么入狱要么流亡的国家,正式接受了它的国籍。Snowden 本人的解释一直是简单的:他被困在莫斯科是美国国务院取消他护照的结果;俄罗斯护照让他能在俄罗斯合法工作、合法养育孩子(他的两个儿子分别于 2020 与 2022 年在俄罗斯出生);他与俄罗斯政府没有任何形式的合作。

这些解释在事实层面可能都是真的。但它们改变不了一个公关层面的事实:Snowden 现在持有一本俄罗斯护照,他在过去十三年里从未直接批评过普京政权的任何具体决策——包括 2022 年 2 月开始的乌克兰入侵。他在 Twitter 上的发言越来越克制、越来越限于“美国政府的伪善”主题。曾经那个在 2013 年 6 月的《卫报》视频中说 “I don’t want to live in a society that does these sort of things” 的 29 岁工程师,到 2026 年已经在一个比他当年所反对的还要监控严密的国家定居了十三年。

这种处境的复杂性不应该被简化为“叛徒”或“英雄”——这是 Snowden 故事最难写的地方。他做出 2013 年公开 PRISM 的决定时,他无法预见自己会被困在莫斯科;他无法预见美国对他的追诉会持续十几年没有任何“和解”可能;他无法预见 2022 年俄罗斯会入侵乌克兰;他无法预见自己最终会在一个独裁国家成为永久居民。但他的每一个后续选择——接受庇护、延长居留、接受国籍——都是在一个被他自己 2013 年的行动锁死的轨道上做出的。他可能没有“自由的选择”,但他做出的选择构成了他的人生轨迹。

Julian Assange——2026 年 54 岁,在澳大利亚。

2024 年 6 月 24 日,Assange 在 Belmarsh 监狱服刑五年后离开。第二天他飞往美属塞班岛,6 月 26 日在塞班联邦地方法院与美国司法部达成认罪协议——他承认一项《反间谍法》第 793 条违反罪(“获取并传播国防信息”),被判 62 个月监禁,但因已在 Belmarsh 服刑被算作“时间已满”,当日释放。同日他飞抵澳大利亚堪培拉机场,与妻子 Stella、两个儿子团聚19

Assange 案的法律影响比他本人的命运更深远。在他之前,美国《反间谍法》从未被用于起诉一个出版者——只用于起诉政府内部的泄漏者。但 Assange 案的认罪建立了一个清晰的法律先例:一个外国出版者,因为发布从美国政府内部泄漏出来的机密文件,可以被美国司法部以《反间谍法》起诉并最终定罪。即使 Assange 个人因服刑期已满而被释放,“出版机密信息可以被刑事起诉”这一原则现在已经写入美国判例。这对所有未来的调查记者、所有未来的告密接收平台都构成一种潜在的法律威慑。

Assange 本人在 2024 年 6 月之后的公开露面很少。他的身体状态在 Belmarsh 的五年里严重恶化——他的法律团队在多次引渡听证中提交了精神病学评估,显示他患有重度抑郁、自杀风险高。出狱后他选择了相对低调的生活,2024 年 10 月在欧洲委员会议会上做了出狱以来第一次公开演讲,简短而疲惫。WikiLeaks 仍在运营,但发布频率远低于 2010-2017 年的高峰期。

Chelsea Manning——2026 年 38 岁,仍在倡导。

Manning 在 2017 年 5 月 17 日被奥巴马总统在卸任前减刑后释放,结束了她 7 年的服刑期(原判 35 年)。但她的故事没有在 2017 年结束。

2019 年 3 月,Manning 因拒绝在大陪审团面前作证(关于 WikiLeaks 与她的接触)被法庭判蔑视法庭、再次入狱。在拒绝作证的整个过程中,她坚持的立场是清晰的:她已经为她的行为服了 7 年刑,她不会再被迫为别人作证。她在 2019-2020 年再次入狱 9 个月,期间尝试自杀一次,最终在 2020 年 3 月 12 日被释放(联邦法官认定她不会改变立场,蔑视法庭的“强制性”目的已不可能达到)20

释放后她转向密码学技术工作——担任过 Nym Technologies 的安全顾问,参与隐私通信协议的设计。她在 2022 年出版回忆录《README.txt》。她在 2024-2026 年的公开活动主要围绕跨性别权利、隐私权、囚徒人权三个主题。比起 Assange 与 Snowden,Manning 在公众视野中的存在感最低——这部分是因为她从未追求过 Assange 那种戏剧性的公关形象,部分是因为美国主流媒体长期对她的存在不太知道如何处理。

Manning 是这一代告密者中最不被讨论的,但她的故事在结构上是最关键的。她是第一个用现代意义上“大规模泄漏 + 媒体协作”模式公开美国政府机密的人。Snowden 在 2013 年做的事,是 Manning 在 2010 年做的事的延续与放大。但她付出的代价比 Snowden 更长——7 年实刑,加上 9 个月二次入狱,加上一次自杀未遂,加上一生中“前美军泄漏者 + 跨性别身份”的双重标签。

Aaron Swartz——永远 26 岁。

Aaron 的故事我们在第 7 章已经详细讲过。2013 年 1 月 11 日,他在纽约布鲁克林公寓自杀,距 Snowden 公开 PRISM 还有 5 个月。他没有活到看见 SecureDrop(他与 Kevin Poulsen 启动的匿名爆料系统)被几乎所有主流媒体采用、被记者用来接收 Snowden 之后一代代告密者的材料;他没有活到看见 Demand Progress(他在 2010 年创办的政治组织)继续推动 SOPA / PIPA 之外的多场互联网立法战;他没有活到看见 Sci-Hub 与 LibGen 这些“影子图书馆”把他在 JSTOR 项目中没能完成的事——把学术论文免费开放给全世界——真正实现21

Carmen Ortiz(当年起诉 Aaron 的联邦检察长)在 2017 年从美国检察长位置退休,从未公开为起诉 Aaron 道歉。Aaron’s Law(限制 CFAA 扩张性解释的法案)从 2013 年起多次提出,从未通过。CFAA 的“未授权访问”条款今天仍然是美国检察官手中的扩张性武器——2024 年仍有研究者、安全研究员、数据记者因为类似 Aaron 的行为(违反网站使用条款、绕过技术性限制、批量爬取公开数据)被联邦起诉。

Aaron Swartz Day 每年 11 月 8 日(Aaron 的生日)在世界多个城市举办——纪念演讲、Hack-a-thon、SecureDrop 工作坊。但每一年的纪念都越来越像一种仪式——一个 13 年前的悲剧被反复触及,但导致这个悲剧的法律与制度结构基本未变。

Joshua Schulte——40 年。

Schulte 在 2024 年 2 月被判 40 年。这是美国情报史上“单笔泄漏”的最重刑期,超过了 Manning 最初被判的 35 年,超过了所有冷战时期的“叛徒”案件。他将在联邦监狱里待到至少 2058 年——届时他 70 岁。

Schulte 的故事不像 Snowden 与 Manning 那样能引起公众共情。他不是一个有意识形态立场的告密者,他是一个与同事产生纠纷、被边缘化、最终选择报复的工程师。FBI 在调查他 Vault 7 案件时在他电脑上发现的儿童性虐待材料让他在公众形象上无法成为“另一个 Snowden”。但他的 40 年判决向所有可能的“下一个告密者”释放了一个清晰的信号:泄漏会被起诉到底;如果你有任何其他污点,那些污点也会被一并使用;最后的判决会很重22

把这五个人放在一起看,会形成一幅 Snowden 启动的连环效应的人物群像:

  • Aaron Swartz:自杀
  • Chelsea Manning:7 年实刑 + 9 个月二次入狱 + 一次自杀未遂
  • Edward Snowden:流亡俄罗斯 13 年 + 俄罗斯国籍
  • Julian Assange:14 年关押(厄瓜多尔大使馆 7 年 + Belmarsh 5 年 + 多年法律拉锯)
  • Joshua Schulte:40 年监禁

没有一个全身而退。每一个的代价都不同,但都是几乎一辈子的代价。这是“信息自由”在 2010 年代后半段所付出的人的代价——它不是一个抽象概念,是一个清单。

但这只是“信息自由阵营”的一面。

NSA 与 CIA 的核心官员们经历了完全不同的轨迹。

James Clapper——2013 年 3 月在国会撒谎的国家情报总监——在 2017 年 1 月从任上卸任后,去了多家咨询公司、加入了 CNN 作为评论员、写了一本回忆录《Facts and Fears》(2018)。他从未因 2013 年的国会撒谎被任何形式追究——美国法律对“国会作证撒谎”的起诉门槛极高,且情报体系内部有充分理由保护他不被起诉。他偶尔在公开演讲中“道歉”于他 2013 年的“措辞不当”,但从未承认这是有意的谎言。

Keith Alexander——NSA 局长(2005-2014),主导了 PRISM、Stellar Wind、Bullrun、XKeyscore 等几乎所有 Snowden 文件中提到的项目——在 2014 年 3 月卸任后立即创办了一家网络安全咨询公司 IronNet Cybersecurity。这家公司向银行、能源公司、政府机构出售“基于 NSA 经验”的网络防御服务,收费每月数十万美元。这种“国家训练、私营套现”的路径在 Snowden 之后的十年里成为美国情报退休官员的标准职业轨迹23

Michael Hayden——前 NSA 局长(1999-2005,主导 Stellar Wind)、前 CIA 局长(2006-2009)——在退休后成为 The Chertoff Group 的合伙人、CNN 评论员、各大政策智库的常客。他的回忆录《Playing to the Edge》(2016)成为情报体系自我辩护的标准文本。

Carmen Ortiz(起诉 Aaron Swartz 的检察长)——2017 年退休,进入私营律师事务所 Anderson & Krieger 工作。

Carmen Ortiz 案件中 Aaron Swartz 的辩护律师 Andy Good——2024 年仍在执业。

把告密者一方与情报官员一方的命运放在一起对比,是这十三年最让人不舒服的图景之一。一边是自杀、监禁、流亡、长期关押;另一边是顺利退休、咨询公司、CNN 演播室、回忆录、政策智库。这种不对称不是道德判断的产物——它是制度运作的产物。揭露国家秘密的人受国家司法体系追诉;管理国家秘密的人受同一套司法体系保护。

这是 Snowden 在 2013 年公开 PRISM 时想让公众看到的核心结构。十三年过去了,这个结构基本未变。

公众层面的变化最微妙,因为它发生在所有人身上但很少有人直接讨论。

2013 年 6 月那 48 小时之后的公众反应可以被相对清晰地分为几个阶段:

2013-2014:震惊。Snowden 文件每周都有新批次公开。每一篇都让公众重新意识到“原来这件事也在发生”。这种震惊产生了 USA Freedom Act、Schrems I、GDPR 立法启动等一系列具体后果。

2015-2016:怀疑。San Bernardino 之后,公众第一次直接体会到“加密 vs 安全”的辩论。Apple vs FBI 让“加密”从一个技术词汇变成公共政策辩论的核心议题。WhatsApp 全员 E2E、Signal 用户激增、GDPR 立法通过——这些是“震惊”转化为“行动”的几年。

2016-2017:分散注意力。Trump 当选、Brexit、Shadow Brokers、WannaCry、NotPetya、Russia gate——一连串的国际危机让“NSA 监控”在新闻周期中被推到了次要位置。公众的注意力分配开始转向其他更具时效性的话题。

2018-2020:疲劳。GDPR 生效之后的几年里,“数据保护”成为日常的合规问题——网站底部那些 cookie 同意弹窗、应用启动时的隐私政策提示、邮箱里的“我们更新了隐私政策”邮件——这些是 GDPR 的物理表现。但对多数用户来说,这种合规仪式没有改变他们的实际行为。他们仍然点“同意”,仍然不读隐私政策,仍然把自己的数据交给同样几个大平台。“数据保护”从一个公民运动变成了一个法务流程。

2020-2026:麻木。Covid-19、远程办公、TikTok 监管争议、AI 大模型崛起——又一波新议题占据了公众注意力。“NSA 监控”在 2020 年代中后期已经不再是主流媒体的常规话题。Section 702 的 2024 续期与 2026 续期辩论,在主流新闻中获得的关注度远低于 2013-2015 时期的相关讨论24

这种从震惊到麻木的弧线本身是一个值得停下来分析的现象。它不是公众“被骗了”或“不在乎了”——它是人类注意力机制的物理限制。任何一个议题在 13 年的时间跨度里都无法保持峰值热度。Snowden 启动的政治议题在 2013-2015 年达到峰值后必然衰减;衰减不意味着议题本身消失了,意味着它进入了“背景结构”,成为一种被默认接受的世界状态。

但这种“被默认接受”对监控国家是一个礼物。它意味着 NSA 与 FBI 可以继续做它们 2013 年做的事,而不再面对 2013-2015 那种程度的公众压力。Section 702 在 2024 年的续期之所以能顺利通过、之所以连带通过一项扩展条款,部分原因就是公众已经不再像 2013 年那样关注。

监控国家与公众注意力之间的关系是这样的:当公众关注时,监控国家必须做出形式上的让步;当公众不再关注时,监控国家会逐步把让步收回。Snowden 启动的“关注期”已经过去了,“收回期”已经开始。

那么,2026 年回头看 2013,到底什么改变了

最诚实的回答是:改变发生在几个具体的、可以列出的层面,但没有发生在最根本的结构上

具体改变了的:

  1. 加密成为大多数人的默认——这是最大的、最不可逆的改变。40 亿人在使用 E2E 通信,HTTPS 是网站默认,“加密”从一个技术词汇变成大众词汇。这一改变让 Upstream 时代的批量明文拦截在大多数情况下不再可行。

  2. 跨大西洋数据流的法律框架被彻底重组——Safe Harbor 死了,Privacy Shield 死了,第三代 EU-US Data Privacy Framework(2023)已经被 Max Schrems 准备再次起诉。每一次重组都让企业的合规成本上升、让“美国云”作为“全球默认”的地位被削弱。

  3. GDPR 与它的全球扩散——“数据保护”从一个欧洲特色变成全球范式。即使中国的 PIPL 与俄罗斯的本地化法律在政治哲学上与 GDPR 完全相反,它们在法律技术层面都吸收了 GDPR 的部分概念。

  4. 互联网巴尔干化——全球互联网不再是一个整体。中国、俄罗斯、伊朗的互联网生态与西方互联网在硬件、软件、内容、规则层面都越来越分离。GAIA-X、BRICS Cable、印度 Aadhaar 数字 ID、东盟跨境支付——多极化的网络基础设施在加速建设。

  5. 告密者的法律地位被永久收紧——Snowden 启动的“公众听到告密者声音”的可能性,被 Snowden、Assange、Schulte 的后续命运永久收紧。今天的潜在告密者面对的不是 1971 年 Daniel Ellsberg 公开五角大楼文件后被无罪释放的世界——他们面对的是 Assange 14 年关押、Snowden 13 年流亡、Schulte 40 年监禁的世界。“我会冒这个风险”这个决策的成本被永久提高。

  6. 私营监控产业链的成型——NSO、Candiru、Cytrox 等公司构成了一个全球商业监控市场。“按订阅式监控”让任何有几百万美元预算的政府都能买到 NSA 级监控能力。这是 Snowden 在 2013 年未必预料到的方向,但它现在已经是全球监控生态最深远的变化之一。

未改变的:

  1. Section 702 仍在运作,目标人数翻倍增长——这是最根本的“未改变”。十三年的所有法律改革、所有 NGO 倡导、所有学术批评,都没有让 PRISM 的法律基础萎缩。它的覆盖面反而扩大了。

  2. NSA / CIA 仍在开发与使用网络武器——Vault 7 显示 CIA 也有自己的武器库;Shadow Brokers 显示 NSA 的武器仍在持续开发并被偷走;2024 年的多个网络事件显示美国情报体系的网络行动节奏未变。

  3. 告密者面对的国家追诉力度没有下降——Assange 案的认罪建立了“出版者也可被《反间谍法》起诉”的先例;Schulte 的 40 年判决向所有潜在告密者发出威慑信号。

  4. 情报官员退休后进入私营市场的旋转门没有改变——Keith Alexander 的 IronNet、Michael Hayden 的咨询公司、各位前 NSA / CIA 高级官员在亚马逊、Palantir、Anduril、各大对冲基金的董事会任职——这些“国家训练、私营套现”的路径在过去十三年里反而扩大了。

  5. 公众的政治注意力机制没有改变——震惊后必然衰减、衰减后必然麻木、麻木后必然容许制度复原。这不是 Snowden 的失败,是所有大规模政治运动的物理限制。

把这两个清单放在一起,会得出一个不舒服但准确的结论:Snowden 改变了世界的表层与结构,但没有改变最深的运作机制。这是任何一次“揭露”在民主国家的极限——它可以打开公众讨论、推动法律修订、改变公司行为、重塑国际关系,但它无法改变现代国家的根本利益:任何拥有 NSA 级监控能力的国家都不会自愿放弃这种能力

最后留下一个问题。如果今天还有一位斯诺登,他会做出同样选择吗?

回答这个问题,需要把这位“假设的 2026 年斯诺登”放在他实际面对的环境里看。

他面对的是一个全新的世界——

法律环境更严苛:2013 年 6 月之前,美国对告密者使用《反间谍法》的判例还相对少。Manning 是第一例引起公众关注的现代案例(2010 年被捕、2013 年判决)。Snowden 做出公开 PRISM 的决定时,他参考的是 Manning 已经被判但具体刑期未定的情景。今天的 2026 年斯诺登面对的是 Manning 7 年 + Snowden 13 年流亡 + Assange 14 年关押 + Schulte 40 年的完整判例链。每一个潜在告密者在做出决定前,会清楚地知道自己面对的可能性。

技术环境更复杂:2013 年 Snowden 能用 PGP 加密邮件、用 Tor 浏览器联系 Greenwald 与 Poitras、用 GPG 签名验证身份、用 Tails 操作系统在香港操作。这些工具的可用性、安全性、操作复杂度,对一个有 NSA 训练背景的工程师来说是基本掌握。今天的告密者也有这些工具,但他们面对的是更先进的反制:NSA 自己学会了 Snowden 案的所有教训,内部监控、行为分析、文件水印、访问权限分层都比 2013 年严格得多。一个想做 Snowden 的 NSA 工程师,他在还没接近文件之前就可能被内部监控系统标记25

公关环境更艰难:Snowden 在 2013 年公开后获得了相当一段时间的公共同情,部分因为 Boundless Informant 与 Clapper 的国会撒谎让“NSA 已超出合法界限”成为一个清晰的叙事。今天的 2026 年斯诺登能否复制这种公共同情,远不确定。媒体环境的极化、注意力周期的缩短、对告密者的怀疑式叙事(“他可能是俄罗斯特工”“他有什么个人动机”)的成熟化——所有这些都让“被同情”成为一个比 2013 年更难达到的状态。

政治环境的根本变化:2013 年的全球政治环境仍然相对偏向“自由主义国际秩序”——尽管已经在松动,但 Snowden 能在欧洲、拉美、亚洲找到至少部分支持。2026 年的全球政治环境则更加分裂——美中战略竞争、俄乌战争、中东持续战争、欧洲民粹崛起、AI 监管竞赛——一位 2026 年的告密者很难找到 2013 年那种“全球关注 + 多国可能庇护”的政治空间。如果他公开美国监控,他可能立刻被推入中美俄三方博弈的工具化地位;如果他公开中国监控,他可能完全没有任何国家愿意给他庇护。

但反过来,2026 年也有一些 2013 年没有的条件——

加密通信比 2013 年更普及、更易用、更默认。SecureDrop 在过去十年里被几十家媒体采用,告密者可以更安全地匿名投递。Citizen Lab、Amnesty Security Lab、EFF 等独立机构的法证与法律支持体系比 2013 年更成熟。“告密者保护”作为一个学术与政策领域已经制度化——Government Accountability Project、Whistleblower Aid 等组织提供专业法律咨询。

也许更重要的是——信息自由阵营从未停止工作。Cypherpunks 的精神继承者今天在开发零知识证明、同态加密、抗审查协议;EFF 的律师仍在每个 FISA 续期辩论中提交 amicus brief;Glenn Greenwald 仍在写作(虽然现在在他自己创办的 Locals 平台);Laura Poitras 仍在拍纪录片;Citizen Lab 每季度仍在发布新的 Pegasus 受害者案例。这些工作没有“成功”——它们没有让监控国家停止——但它们让 2026 年的潜在告密者不会面对一个完全没有支持的世界。

所以那个问题——今天还有一位斯诺登会做出同样选择吗——的答案可能是这样的:

他会面对更高的代价。他会面对更难获得的公众同情。他会面对更复杂的国际政治。但他做出公开决定时,他面对的“被听到”的可能性,反而比 2013 年大——因为那 13 年的工作铺好了路

这是 Snowden 启动的连环效应的最微妙之处。它没有让监控国家收手,但它让“反监控”成为一个可以被持续工作的领域。今天的潜在告密者面对的不是一个 2013 年那种“几乎独自一人对抗整个国家”的处境——他面对的是一个有工具、有律师、有媒体协议、有学术支持、有公众认知基础的领域。这个领域不能保证他能赢,但它能保证他被听到。

回到 2013 年 6 月 5 日那个早晨。

那一天上午 6 点 30 分,《华盛顿邮报》网站发出第一篇关于 Verizon 元数据的报道。同一时刻,伦敦的《卫报》也把另一篇相似稿件推上首页。两家报纸的网站流量在接下来的几个小时里冲击它们各自的服务器极限。

十三年过去了,今天再去看那两篇报道,你会发现一件奇怪的事情:那些报道的具体内容——Verizon 元数据收集、PRISM 项目的九家公司、Boundless Informant 的数字——在 2026 年回头看似乎“也就那样”。读者可能会想:“就这么些吗?我以为披露的是更不得了的东西。”

但这种“也就那样”的感觉本身,就是这十三年最重要的成就。

2013 年 6 月 5 日之前,“NSA 大规模监控美国公民”是一个被严肃讨论时多数人会本能否认的指控。2013 年 6 月 5 日之后,它成了一个共识——一个被反复讨论、被立法修订、被法庭判决、被国际外交参考、被普通公众默认知道的世界事实。

从“否认”到“共识”是一个巨大的政治变化。它不需要让监控停止;它只需要让公众“知道”。一旦知道这件事进入了公共讨论的常识层,所有后续的法律改革、企业行为、国际反应、技术开发——都有了一个共同的事实基础。

这是 Snowden 公开 PRISM 的核心成就——不是终结监控,是终结对监控存在的否认。

每一次后续披露——MUSCULAR、XKeyscore、ANT Catalog、Shadow Brokers、Vault 7、Pegasus Project——都是建立在这个事实基础上的扩展。每一次都让公众重新意识到 2013 年那个“知道”还远远不够——监控的实际规模、技术深度、国际扩散、私营化程度都比最初想象的大。

但 2013 年 6 月 5 日的“知道”是所有这些后续讨论的起点。没有那个起点,所有后续的披露都只是孤立的事件;有了那个起点,它们成为一个连续的、可以被理解的、可以被反应的政治现象。

这是十三年后最难简化的判断:Snowden 没有让监控国家停止,但他让监控国家在公共领域中失去了“它不存在”的便利

这个判断不浪漫。它不能让 Aaron Swartz 复活,不能让 Manning 拿回她失去的青春,不能让 Snowden 回到美国,不能让 Assange 弥补 14 年关押,不能让 Schulte 在 40 年后还有一个正常的人生。它甚至不能让 Section 702 的目标数从 26.8 万回到 8.9 万。

但它能做一件事:让“民主社会需要重新讨论自己是否同意国家做这些事”这个问题,从一个可以被忽略的角落,进入到一个必须被反复触及的公共议程。这个议程没有“完成”的一天,每一次法律改革、每一次新技术普及、每一次告密者出现,都会重新触发它。

2013 年 6 月 5 日开始的那场争论,到 2026 年 6 月 5 日仍未结束。它将继续到下一个 Snowden、下一个 Manning、下一次大规模披露、下一次法律续期、下一场国际危机。每一次重新触发,都会在 2013 年那个共识的基础上前进或后退一点。

这就是 Snowden 留下的东西——不是答案,是一场永远不会结束的讨论。

而那个 2013 年 6 月在香港九龙美丽华酒店窗帘半合的房间里,把笔记本电脑打开给 Greenwald 与 Poitras 看的 29 岁工程师,到 2026 年已经 43 岁了。他在莫斯科生活,有两个儿子,写一些关于“美国伪善”的克制文字,偶尔接受远程采访。他没有回过家。他可能再也回不去。

他的人生在 2013 年 6 月那 48 小时被锁死。他选择被锁死的,因为他相信“民主社会从未被给予机会决定它是否同意 NSA 做这些事”。

十三年后,民主社会有了机会——并且部分使用了这个机会。结果是不完美的、不彻底的、充满矛盾的。但它是一个曾经不存在的机会。

这是 Snowden 公开 PRISM 留下的最大的东西。它不能让世界变好,但它让世界变得更难假装看不见。

References

  1. Gellman, Barton & Poitras, Laura. “U.S., British intelligence mining data from nine U.S. Internet companies in broad secret program.” The Washington Post, June 6, 2013. https://www.washingtonpost.com/investigations/us-intelligence-mining-data-from-nine-us-internet-companies-in-broad-secret-program/2013/06/06/3a0c0da8-cebf-11e2-8845-d970ccb04497_story.html

  2. “Annual Statistical Transparency Report Regarding the Intelligence Community’s Use of National Security Surveillance Authorities.” Office of the Director of National Intelligence, 2013-2024 annual reports. https://www.dni.gov/index.php/ic-legal-reference-book/odni-annual-reports

  3. “Section 702 of the Foreign Intelligence Surveillance Act.” Brennan Center for Justice. https://www.brennancenter.org/our-work/research-reports/section-702-foreign-intelligence-surveillance-act

  4. “FISA Section 702 and the 2024 RISAA.” Congressional Research Service report R48592. https://www.congress.gov/crs-product/R48592

  5. “US Senate and Biden Administration Shamefully Renew and Expand FISA Section 702.” Electronic Frontier Foundation, April 2024. https://www.eff.org/deeplinks/2024/04/us-senate-and-biden-administration-shamefully-renew-and-expand-fisa-section-702-0

  6. “PRISM (surveillance program).” Wikipedia. https://en.wikipedia.org/wiki/PRISM

  7. “Signal Protocol.” Wikipedia. https://en.wikipedia.org/wiki/Signal_Protocol

  8. “Let’s Encrypt Annual Report.” Internet Security Research Group. https://www.abetterinternet.org/annual-reports/

  9. Cole, David. “We Kill People Based on Metadata.” The New York Review of Books, May 10, 2014. https://www.nybooks.com/online/2014/05/10/we-kill-people-based-metadata/

  10. “Pegasus (spyware).” Wikipedia. https://en.wikipedia.org/wiki/Pegasus_(spyware)

  11. “Apple’s NeuralHash and the Politics of Client-Side Scanning.” Electronic Frontier Foundation, August 2021. https://www.eff.org/deeplinks/2021/08/apples-plan-think-different-about-encryption-opens-backdoor-your-private-life

  12. “EU Chat Control: A Blow Against Encryption.” European Digital Rights. https://edri.org/our-work/chat-control/

  13. “Brazil’s president condemns NSA spying at UN General Assembly.” The Washington Post, September 24, 2013. https://www.washingtonpost.com/world/national-security/brazils-president-condemns-nsa-spying/2013/09/24/fe1f78ee-2525-11e3-b75d-5b7f66349852_story.html

  14. “The NSA wiretapping scandal on German-American relations.” OSW Commentary, January 14, 2014. https://www.osw.waw.pl/en/publikacje/osw-commentary/2014-01-14/nsa-impact-wiretapping-scandal-german-american-relations

  15. “General Data Protection Regulation.” Wikipedia. https://en.wikipedia.org/wiki/General_Data_Protection_Regulation

  16. “Cybersecurity Law of the People’s Republic of China.” Wikipedia. https://en.wikipedia.org/wiki/Cybersecurity_Law_of_the_People’s_Republic_of_China

  17. “Sovereign internet law (Russia).” Wikipedia. https://en.wikipedia.org/wiki/Sovereign_internet_law

  18. “Putin grants Russian citizenship to Edward Snowden.” NPR, September 26, 2022. https://www.npr.org/2022/09/26/1125109303/putin-edward-snowden-russian-citizenship

  19. “Julian Assange released after pleading guilty in U.S. court in Saipan.” The Guardian, June 26, 2024. https://www.theguardian.com/media/article/2024/jun/26/julian-assange-saipan-court-plea-deal

  20. “Chelsea Manning released from jail after attempting suicide.” The Guardian, March 12, 2020. https://www.theguardian.com/us-news/2020/mar/12/chelsea-manning-released-jail-suicide-attempt

  21. “Aaron Swartz.” Wikipedia. https://en.wikipedia.org/wiki/Aaron_Swartz

  22. “Former CIA Officer Joshua Adam Schulte Sentenced to 40 Years in Prison.” U.S. Department of Justice, February 1, 2024. https://www.justice.gov/usao-sdny/pr/former-cia-officer-joshua-adam-schulte-sentenced-40-years-prison-espionage-and-child

  23. “IronNet.” Wikipedia. https://en.wikipedia.org/wiki/IronNet

  24. “What to know about Section 702 surveillance.” NPR, April 14, 2026. https://www.npr.org/2026/04/14/nx-s1-5768270/what-to-know-about-section-702-surveillance

  25. “NSA Insider Threat Program: Lessons from Snowden.” Center for Development of Security Excellence, internal report summary.

  26. “USA Freedom Act.” Wikipedia. https://en.wikipedia.org/wiki/USA_Freedom_Act

  27. “Max Schrems.” Wikipedia. https://en.wikipedia.org/wiki/Max_Schrems

  28. Greenwald, Glenn. No Place to Hide: Edward Snowden, the NSA, and the U.S. Surveillance State. Metropolitan Books, 2014.

  29. Snowden, Edward. Permanent Record. Metropolitan Books, 2019.

  30. “How Snowden Escaped.” Macleans, September 2016 (interview with Robert Tibbo).

  31. Hayden, Michael. Playing to the Edge: American Intelligence in the Age of Terror. Penguin Press, 2016.

  32. Clapper, James. Facts and Fears: Hard Truths from a Life in Intelligence. Viking, 2018.

  33. Berkman Klein Center. “Don’t Panic: Making Progress on the ‘Going Dark’ Debate.” Harvard Law School, February 2016. https://cyber.harvard.edu/pubrelease/dont-panic/Dont_Panic_Making_Progress_on_Going_Dark_Debate.pdf