面对政府的秘密，我们人民依赖举报人来告诉我们政府在做什么。（在 2019 年，我们被提醒到这一点，当时各种举报人向公众提供了关于特朗普试图敲诈乌克兰总统的信息。）然而，今天的监控恐吓了潜在的举报人，这意味着监控太过分了。为了恢复我们对国家的民主控制，我们必须将监控降低到举报人知道他们是安全的程度。

自 1983 年以来，我一直倡导使用自由/开源软件，这是掌控我们数字生活的第一步，其中也包括防止监控。我们不能信任非自由软件；美国国家安全局利用甚至制造非自由软件中的安全漏洞，以入侵我们自己的计算机和路由器。自由软件让我们控制自己的计算机，但是一旦我们踏入互联网，它就无法保护我们的隐私。

美国正在起草旨在“削减国内监控权力”的两党立法，但它依赖于限制政府对我们的虚拟档案的使用。如果“抓住举报人”成为足以识别其身份的理由，那么这将不足以保护举报人。我们需要走得更远。

如果举报人不敢揭露犯罪和谎言，我们将失去对政府和机构的最后一点有效控制。这就是为什么允许国家找出谁与记者交谈的监控太过分的原因——对民主来说太过分了。

一位不愿透露姓名的美国政府官员在 2011 年曾不祥地告诉记者，美国不会传唤记者，因为“我们知道你在和谁说话。”有时，记者的电话记录会被传唤以找出答案，但斯诺登向我们展示了，实际上他们一直在传唤美国每个人的所有电话记录，从 Verizon 和其他公司。

反对派和异议人士的活动需要对愿意对他们耍肮脏手段的国家保密。美国公民自由联盟已经证明美国政府以其中可能存在恐怖分子为借口，系统性地渗透和平异议团体。监控太过分的临界点是国家可以找到谁与已知记者或已知异议人士交谈的点。

当人们意识到普遍监控的程度过高时，第一反应是提出限制访问累积数据的要求。这听起来不错，但这并不能解决问题，甚至不会有丝毫改变，即使假设政府遵守规则。（美国国家安全局误导了外国情报监视法庭，该法庭表示它无法有效地追究美国国家安全局的责任。）犯罪嫌疑将成为访问的理由，因此一旦举报人被指控“间谍活动”，找到“间谍”将为访问累积的材料提供借口。

实际上，我们不能期望国家机构甚至编造借口来满足使用监控数据的规则——因为美国机构已经撒谎以掩盖违反规则的行为。这些规则并非真正意味着要遵守；相反，它们是一个我们如果愿意就可以相信的童话故事。

此外，国家监控人员会出于个人原因滥用数据。一些美国国家安全局特工利用美国的监控系统来追踪他们的爱人——过去、现在或希望中的——这种做法被称为“LOVEINT”。美国国家安全局表示，它已经抓获并惩罚了这种情况几次；我们不知道有多少次没有被抓到。但这些事件不应该让我们感到惊讶，因为警察早就利用他们访问驾驶执照记录的权限来追踪有吸引力的人，这种做法被称为“为约会而运行车牌”。随着新的数字系统，这种做法已经扩大。在 2016 年，一名检察官被指控伪造法官的签名，以获得授权窃听一个浪漫迷恋的对象。美联社知道美国有许多其他例子。

即使被禁止，监控数据也始终会被用于其他目的。一旦数据被累积，并且国家有可能访问它，它就会以可怕的方式滥用这些数据，例如欧洲、美国，以及最近的土耳其的例子。（土耳其对谁真正使用 Bylock 程序的困惑只会加剧任意惩罚使用它的人的基本故意的非正义性。）

你可能会觉得你的政府不会将你的个人数据用于镇压，但你不能依赖这种感觉，因为政府会改变。截至 2021 年，许多表面上是民主的国家由具有专制倾向的人统治，塔利班已经接管了在美国的怂恿下建立的阿富汗生物识别系统。英国正在制定一项法律，镇压可能被描述为造成“严重破坏”的非暴力抗议。我们所知的是，美国在 2025 年可能会永久性地变得具有压迫性。

国家收集的个人数据也很可能被外部黑客获取，这些黑客会破坏服务器的安全性，甚至被为敌对国家工作的黑客获取。

政府可以轻易地利用大规模的监控能力来直接颠覆民主。

国家可以访问的全面监控使国家能够对任何人发起大规模的钓鱼式调查。为了使新闻业和民主安全，我们必须限制国家容易访问的数据积累。

电子前沿基金会和其他组织提出了一套旨在防止大规模监控滥用的法律原则。这些原则包括，至关重要的是，对举报人的明确法律保护；因此，如果完全采用并永远无一例外地执行，它们将足以保护民主自由。

然而，这种法律保护是不稳定的：正如最近的历史所表明的那样，它们可以被废除（如《外国情报监视法修正案》），中止或被忽视。

与此同时，煽动者会以通常的借口作为全面监控的理由；任何恐怖袭击，即使只杀死少数人，也可能被大肆宣传，从而提供机会。

如果取消对数据访问的限制，就好像这些限制从未存在过一样：多年积累的档案会突然被国家及其代理人滥用，如果被公司收集，也会被其用于私人滥用。然而，如果我们停止收集每个人的档案，这些档案就不会存在，也就无法追溯性地进行汇编。一个新的不自由政权将不得不重新实施监视，并且只会从那个日期开始收集数据。至于暂停或暂时忽略这项法律，这个想法几乎没有任何意义。

要拥有隐私，你必须不要把它丢掉：第一个必须保护你隐私的人是你自己。避免在网站上暴露身份，使用 Tor 连接它们，并使用可以阻止它们用来跟踪访问者的方案的浏览器。使用 GNU Privacy Guard 加密你的电子邮件内容。用现金支付。

保留你自己的数据；不要将你的数据存储在公司“方便”的“云”服务器中。但是，将数据备份委托给商业服务是安全的，前提是在上传之前，你将文件放入一个存档，并使用你自己的计算机上的自由软件对整个存档（包括文件名）进行加密。

为了隐私，你必须避免使用非自由软件；如果你将计算机的操作控制权交给公司，他们很可能会让它监视你。避免将服务作为软件替代品；除了将你的计算方式的控制权交给他人之外，它还需要你将所有相关数据交给公司的服务器。

也要保护你的朋友和熟人的隐私。不要泄露他们的个人信息，除了如何联系他们的方式，并且永远不要将你的电子邮件或电话联系人列表交给任何网站。不要告诉像 Facebook 这样的公司任何关于你的朋友的事情，这些事情他们可能不希望在报纸上发表。最好是完全不要被 Facebook 利用。拒绝要求用户提供真实姓名的通信系统，即使你很乐意透露自己的姓名，因为它们会迫使其他人放弃他们的隐私。

自我保护至关重要，但即使是最严格的自我保护也不足以保护你在不属于你的系统上或来自这些系统的隐私。当我们与他人交流或在城市中移动时，我们的隐私取决于社会的惯例。我们可以避免一些监视我们通信和行动的系统，但不是所有系统。显然，更好的解决方案是让所有这些系统停止监视除合法嫌疑人以外的人。

如果我们不想要一个全面的监视社会，我们必须将监视视为一种社会污染，并像限制物理建设的环境影响一样限制每个新数字系统的监视影响。

例如：电力“智能”电表被吹捧为可以向电力公司发送每个客户的实时用电数据，包括用电量与普通用户的比较情况。这是在普遍监视的基础上实现的，但不需要任何监视。电力公司很容易通过将总用电量除以用户数量来计算住宅区的平均用电量，然后将其发送到电表。每个客户的电表可以将她在任何所需时间段内的用电量与该时间段的平均用电模式进行比较。同样的好处，没有监视！

我们需要将这种隐私设计到我们所有的数字系统中 [1]。

使监控对隐私安全的一种方法是保持数据分散且难以访问。老式的安全摄像头对隐私没有威胁(*)。录像存储在场所内，最多保留几周。由于访问这些录像不方便，因此从未大规模进行过；它们仅在有人报告犯罪的地方被访问。每天物理收集数百万个磁带并观看或复制它们是不可行的。

如今，安全摄像头已成为监视摄像头：它们连接到互联网，因此录像可以收集在数据中心并永久保存。在底特律，警察向企业施压，要求他们无限访问他们的监控摄像头，以便他们可以在任何时候查看它们。这已经很危险了，而且还会变得更糟。面部识别技术的进步可能会带来这样的日子，届时，可以随时在街上跟踪可疑的记者，以了解他们与谁交谈。

联网摄像头本身通常具有糟糕的数字安全性，这意味着任何人都可以看到这些摄像头看到的内容。这使得联网摄像头对安全和隐私都构成重大威胁。为了隐私，我们应该禁止在允许公众进入的地点和时间使用联网摄像头，除非是由人携带。每个人都必须可以偶尔发布照片和视频录像，但必须限制在互联网上系统地积累此类数据。

大多数数据收集来自人们自己的数字活动。通常，数据首先由公司收集。但是，当涉及到对隐私和民主的威胁时，无论监视是由国家直接进行还是外包给企业进行都没有区别，因为公司收集的数据是系统地提供给国家的。

美国国家安全局通过 PRISM，已经进入了许多大型互联网公司的数据库。AT&T 自 1987 年以来保存了其所有电话通话记录，并应要求向 DEA 提供这些记录进行搜索。严格来说，美国政府不拥有这些数据，但在实际操作中，它可能也拥有这些数据。一些公司因在有限的程度上抵制政府的数据请求而受到赞扬，但这只能部分弥补他们首先收集这些数据所造成的损害。此外，许多公司直接滥用这些数据或将其提供给数据经纪人。

因此，为了使新闻业和民主安全，我们需要减少任何组织（而不仅仅是国家）收集的有关人们的数据。我们必须重新设计数字系统，使其不积累有关其用户的数据。如果他们需要有关我们交易的数字数据，则不应允许他们保留这些数据超过其与我们交易的固有必要时间。

当前互联网监视水平的一个动机是，网站通过基于跟踪用户活动和倾向的广告来获得资金。这会将仅仅是一种烦恼（我们可以学会忽略的广告）变成一个监视系统，无论我们是否知道，它都会伤害我们。互联网上的购买也会跟踪其用户。而且我们都知道，“隐私政策”更多的是侵犯隐私的借口，而不是维护隐私的承诺。

我们可以通过采用匿名支付系统来纠正这两个问题，即对付款人匿名。（我们不想帮助收款人逃税。）比特币不是匿名的，尽管正在努力开发使用比特币匿名支付的方法。但是，数字现金技术最早在 1980 年代开发；用于执行此操作的 GNU 软件称为 GNU Taler。现在我们只需要合适的商业安排，并且国家不要阻碍它们。

另一种可能的匿名支付方法是使用预付电话卡。它不太方便，但很容易实现。

网站收集个人数据的另一个威胁是安全破坏者可能会进入、获取并滥用它。这包括客户的信用卡详细信息。匿名支付系统将结束这种危险：如果网站对你一无所知，那么网站中的安全漏洞就不会伤害你。

我们必须将数字收费转变为匿名支付（例如，使用数字现金）。车牌识别系统识别所有汽车的车牌，并且数据可以无限期地保存；法律应要求它们仅注意并记录法院命令寻求的汽车列表中的那些车牌号码。一个不太安全的替代方案是仅在本地记录所有汽车，但仅记录几天，并且不要通过互联网提供完整数据；对数据的访问应仅限于搜索法院命令的车牌号列表。

美国的“禁飞”名单必须被废除，因为它是一种未经审判的惩罚。

可以有一个名单，列出那些将对其人员和行李进行额外仔细搜查的人员，并且国内航班上的匿名乘客可以被视为他们在此名单上。如果非公民根本不允许进入该国，则也可以禁止他们登上飞往该国的航班。这对于所有合法目的应该足够了。

许多公共交通系统使用某种智能卡或 RFID 进行支付。这些系统会积累个人数据：如果你一旦犯了使用现金以外的任何方式付款的错误，他们会将该卡与你的姓名永久关联起来。此外，他们会记录与每张卡相关的所有行程。它们加在一起就构成了大规模的监视。必须减少这种数据收集。

导航服务会进行监视：用户的计算机将用户的位置和用户想去的地方告诉地图服务；然后服务器确定路线并将其发送回用户的计算机，计算机将其显示出来。如今，服务器可能会记录用户的位置，因为没有什么可以阻止它这样做。这种监视并非固有必要，重新设计可以避免这种情况：用户计算机中的自由/自由软件可以下载相关区域的地图数据（如果之前没有下载），计算路线并显示路线，而无需告诉任何人用户在哪里或想去哪里。

自行车等物品的借用系统可以设计成仅在借用物品的站点内知道借用者的身份。借用操作会通知所有站点该物品“已借出”，这样当用户在任何站点（通常是不同的站点）归还物品时，该站点将知道该物品是在哪里以及何时被借出的。它会通知其他站点该物品不再是“已借出”状态。它还会计算用户的账单，并（在等待随机分钟数后）沿着一连串站点发送到总部，这样总部就不会知道账单来自哪个站点。一旦完成此操作，归还站点将忘记所有关于该交易的信息。如果物品“已借出”时间过长，借用物品的站点可以通知总部；在这种情况下，它可以立即发送借用者的身份信息。

互联网服务提供商和电话公司会保留其用户联系方式（浏览记录、通话记录等）的大量数据。对于手机，他们还会记录用户的物理位置。他们长期保留这些档案：以美国电话电报公司（AT&T）为例，超过30年。很快他们甚至会记录用户的身体活动。看起来美国国家安全局（NSA）正在批量收集手机位置数据。

在系统创建此类档案的情况下，不受监控的通信是不可能的。因此，创建或保留这些档案应该是非法的。在没有法院命令监视特定方的情况下，不应允许互联网服务提供商和电话公司长期保留这些信息。

这个解决方案并不完全令人满意，因为它不会在物理上阻止政府立即收集生成的所有信息——这正是美国对某些或所有电话公司所做的事情。我们将不得不依靠法律来禁止这种行为。然而，这会比目前的状况要好，因为目前的状况下，相关法律（《爱国者法案》）并没有明确禁止这种做法。此外，如果政府恢复这种监视，它将不会获得在那之前发生的关于每个人通话的数据。

对于你与谁交换电子邮件的隐私，一个简单的部分解决方案是，你和其他人使用一个绝不会与你本国政府合作，并且彼此之间使用加密通信的国家的电子邮件服务。然而，拉达尔·列维森（美国监控试图完全腐蚀的邮件服务Lavabit的所有者）对加密系统有一个更复杂的想法，通过该系统，你的电子邮件服务只知道你向我的电子邮件服务的某个用户发送了邮件，而我的电子邮件服务只知道我收到了来自你的电子邮件服务的某个用户的邮件，但很难确定是你给我发送了邮件。

为了让国家找到罪犯，它需要在法院命令下能够调查特定的犯罪行为，或者特定的疑似计划犯罪行为。对于互联网，窃听电话谈话的权力自然会延伸到窃听互联网连接的权力。这种权力很容易被滥用以达到政治目的，但它也是必要的。幸运的是，如果（如我建议的那样）我们阻止数字系统在事前积累大量档案，这将无法在事后找到举报人。

拥有特殊国家授予权力的个人，例如警察，会丧失他们的隐私权，并且必须受到监控。（事实上，警察对伪证有他们自己的行话术语，“伪证供述”，因为他们经常这样做，尤其是在关于抗议者和摄影师的事件中。）加利福尼亚州的一个城市要求警察始终佩戴摄像机，结果发现他们的武力使用率下降了60%。美国公民自由联盟（ACLU）赞成这一点。

公司不是人，没有资格享有人权。要求企业公布可能对社会造成化学、生物、核、财政、计算（例如，DRM）或政治（例如，游说）危害的流程的详细信息是合法的，达到公众福祉所需的任何程度。这些运营的危险（想想英国石油公司（BP）石油泄漏事件、福岛核事故和2008年金融危机）远远超过了恐怖主义的危险。

然而，即使新闻业是作为企业的一部分开展的，也必须受到保护，免受监视。