← Cuadernos Lacre

Analisis · 20 Mei 2026

Kill switch dan penangkapan institusi

Janji perlindungan yang mengekalkan kemungkinan untuk menariknya balik. Apabila suis wujud, seseorang akhirnya akan menekannya.

Janji yang bergantung pada kemungkinan untuk menariknya balik

Pada tahun 2017, semasa Taufan Irma, beberapa pemilik Tesla di Florida mendapati bahawa kereta mereka, setelah menerima kemas kini jarak jauh daripada pengilang, tiba-tiba mendapat tambahan kilometer jarak perjalanan. Mereka tidak membayarnya. Bateri sentiasa mampu memberikannya; pengilang telah memutuskan, untuk menyegmentasikan pasaran, untuk tidak membenarkan pelanggan memilikinya. Semasa kecemasan, Tesla mengaktifkan kapasiti penuh secara sementara. Setelah kecemasan berlalu, ia menonaktifkannya semula.

Apa yang digambarkan oleh berita sebagai isyarat kemurahan hati adalah, jika dibaca dengan teliti, sesuatu yang lain. Pemilik tidak pernah memiliki keseluruhan produk yang mereka bayar. Pengilang mengekalkan keupayaan teknikal —untuk meluaskan atau mengurangkan ciri dari jarak jauh— dan memilih untuk menggunakannya demi keuntungan pelanggan dalam kes khusus tersebut. Mereka boleh sahaja memilih sebaliknya. Cerita ini tidak menceritakan tentang tindakan kebaikan; ia menceritakan tentang seni bina kuasa.

Artikel ini membincangkan seni bina tersebut. Kami memanggilnya, mengikut konvensyen industri, kill switch: suis jarak jauh yang membolehkan pengendali menonaktifkan, mengubah suai atau menarik balik keupayaan produk, perkhidmatan atau peranti yang sudah dipercayai oleh pengguna sebagai miliknya. Persoalannya bukan sama ada pengendali itu jujur. Persoalannya ialah apa yang berlaku apabila mereka berhenti bersikap jujur, atau apabila seseorang memaksa mereka menggunakan suis itu ke arah lain.

Apakah sebenarnya kill switch itu

Istilah ini berasal dari bahasa Inggeris dan sukar untuk diterjemahkan: interruptor de muerte kedengaran dramatik; interruptor remoto kedengaran terlalu neutral. Apa yang mentakrifkan kill switch bukanlah drama, tetapi satu ciri ringkas: keupayaan teknikal untuk menyahaktifkan sesuatu dari jauh, di tangan pihak yang bukan pengguna yang menggunakannya. Ia boleh menjadi penutupan sepenuhnya —kereta yang tidak boleh dihidupkan, fail yang dipadamkan, akaun yang digantung— atau penutupan separa —fungsi yang hilang, bateri yang kehilangan jarak, langganan yang terganggu.

Bukan semua kawalan jauh adalah kill switch. Kemas kini keselamatan rutin, yang dibenarkan oleh pengguna semasa memasang produk, bukanlah kill switch. Begitu juga sistem anti-kecurian yang boleh diaktifkan oleh pemilik sendiri apabila telefon mereka dicuri. Kill switch, dalam erti kata sebenar, mempunyai tiga ciri: penggunaannya adalah keputusan pengendali, bukan pengguna; ia tidak memerlukan persetujuan khusus daripada pihak yang terjejas untuk diaktifkan; dan ia dilaksanakan ke atas produk atau perkhidmatan yang pengguna sudah anggap sebagai milik mereka sepenuhnya.

Galeri suis aktif Eropah

Tesla kerap mengulangi corak ini, dalam kes mereka secara didokumentasikan: penurunan kontrak jarak yang dikenakan ke atas kenderaan terpakai yang bertukar pemilik, penarikan balik fungsi pemanduan berbantu selepas pembatalan lesen, pengubahsuaian unilateral tingkah laku produk antara versi perisian tegar. John Deere telah bertahun-tahun berada di pusat perdebatan Eropah dan AS mengenai hak untuk membaiki: pembelian traktor termasuk lapisan perisian yang perkhidmatannya bergantung pada rangkaian rasmi pengilang; apabila rangkaian itu menolak pendaftaran, traktor mengurangkan fungsi penting. BMW menawarkan langganan bulanan pada tahun 2022 untuk mengaktifkan pemanasan tempat duduk dalam kereta yang sudah dipasang secara fizikal; tekanan awam memaksa penarikan balik model tersebut, tetapi keupayaan teknikal kekal.

Dalam bidang perisian, coraknya adalah berstruktur. Adobe Creative Cloud membatalkan lesen bulanan apabila langganan tidak diperbaharui, menyebabkan fail yang dicipta pengguna dengan alat tersebut tidak boleh digunakan. Microsoft boleh menyahaktifkan salinan Windows yang dianggap tidak tulen, tanpa remedi praktikal. Google menarik balik aplikasi daripada Play Store bagi mematuhi perintah mahkamah atau keputusan dalaman; aplikasi yang dinyahpasang juga dinyahpasang daripada telefon di mana ia berada. Apple Pay dinyahaktifkan di Rusia pada Mac 2022 apabila Apple mematuhi sekatan antarabangsa: sah dalam konteks tersebut, tetapi prosedurnya sentiasa tersedia.

Hujah sah dari pihak pengilang

Sesiapa yang mereka bentuk salah satu sistem ini biasanya menawarkan hujah yang sangat sah:

  1. Pencegahan kecurian. Jika kereta atau telefon saya dicuri, saya menghargai keupayaan pengilang untuk melumpuhkannya dari jauh.
  2. Pencegahan penipuan. Langganan yang tidak dibayar memerlukan mekanisme pemotongan; tanpa mekanisme itu, model perniagaan akan runtuh.
  3. Pencegahan penyalahgunaan. Alat yang berbahaya di tangan yang salah boleh mendapat manfaat daripada keupayaan untuk dibatalkan.
  4. Pematuhan kawal selia. Perintah undang-undang tertentu memaksa pengendali untuk membuang kandungan, melumpuhkan fungsi atau menggantung akaun, dan sistem tanpa suis adalah sistem yang tidak dapat mematuhinya.

Keempat-empat hujah adalah benar. Tiada satu pun yang mengubah hakikat perkara itu. Memang benar bahawa kill switch memudahkan pencegahan kecurian; juga benar bahawa keupayaan yang sama berfungsi untuk memaksa pelanggan yang masih hidup, bukan sahaja untuk memudaratkan pencuri. Memang benar bahawa model langganan memerlukan pemotongan; juga benar bahawa pemotongan boleh dilaksanakan esok ke atas pelanggan semasa atas sebab selain daripada yang diperuntukkan dalam kontrak. Persoalannya bukan sama ada kill switch mempunyai kegunaan yang sah. Persoalannya ialah, sebaik sahaja ia wujud, kegunaannya tidak terhad kepada yang diramalkan dalam dokumentasi awal.

Penangkapan institusi

Di sinilah masuknya konsep yang memberi tajuk kepada rencana ini. Penangkapan institusi ialah situasi di mana seorang pelakon — syarikat swasta, pentadbiran, badan kawal selia — akhirnya menjalankan keupayaan yang diperolehnya atau diberikan kepadanya untuk tujuan terhad bagi tujuan yang lebih luas, berbeza, atau secara terus terang bertentangan dengan tujuan asal. Ekonomi politik telah mengenali fenomena ini selama beberapa dekad dalam peraturan kewangan. Industri teknologi sedang menemuinya dengan tangannya sendiri.

Mekanismenya adalah seperti berikut. Syarikat mereka bentuk kill switch untuk tujuan yang sah: anti-kecurian, pengurusan langganan, pematuhan. Syarikat mendokumentasikan tujuan tersebut dalam syarat penggunaannya, dalam dasar privasinya, dalam mesej awamnya. Tahun berlalu. Sebuah Kerajaan mengeluarkan perintah di bawah undang-undang baharu; syarikat terpaksa menggunakan suis ke arah yang tidak diterangkan dalam dokumentasi asalnya. Pemegang saham aktivis masuk ke dalam lembaga dan mengubah dasar komersial; suis wujud, dan digunakan mengikut dasar baharu. Syarikat diambil alih oleh syarikat yang lebih besar; syarat perkhidmatan ditulis semula secara unilateral dengan notis tiga puluh hari. Dalam setiap kes, pelanggan yang mempercayai suis untuk tujuan yang didokumentasikan mendapati bahawa suis itu masih ada, tetapi bertindak balas terhadap kepentingan lain.

Kes paradigmatik bagi pembaca Eropah: kes Apple lawan FBI di San Bernardino, pada tahun 2016. Selepas serangan di California, FBI menuntut Apple untuk membuka kunci iPhone pelaku. Apple enggan, dengan alasan sebahagiannya hujah prinsip dan sebahagiannya hujah teknikal: sistem, seperti yang direka, tidak membenarkan syarikat itu sendiri membuka kunci peranti tanpa menulis semula perisian asas. Pertahanan yang paling kukuh bukan moral; ia adalah seni bina. Apple tidak bergantung pada janji untuk tidak menekan suis; ia bergantung pada ketiadaan suis. Syarikat lain, dengan suis yang ada dalam seni bina mereka, tidak dapat mengekalkan kedudukan yang sama menghadapi tekanan yang setara.

Trajektori kawal selia Eropah

Undang-undang Eropah, dalam penggal perundangan terakhir, telah mendorong ke arah lebih banyak kapasiti kawalan jauh, bukannya kurang. Akta Perkhidmatan Digital (DSA), yang terpakai sepenuhnya sejak Februari 2024, mewajibkan platform untuk membolehkan mekanisme pantas bagi penarikan kandungan di bawah perintah pihak berkuasa yang kompeten; mekanisme yang tidak akan wujud tanpa kapasiti teknikal yang mendasari. Akta Kecerdasan Buatan (AI Act), yang berkuat kuasa secara berperingkat sejak Ogos 2024, memerlukan penyedia sistem AI berisiko tinggi tertentu untuk mempunyai langkah-langkah yang membolehkan penyahaktifan atau pengawasan manusia yang signifikan: satu bentuk normatif kill switch wajib. Akta Pasaran Digital (DMA) sebaliknya, memperkenalkan kewajipan kesalingoperasian: satu arus bertentangan yang mengehadkan kesan penguncian.

Bagi profesional Eropah, bacaan yang jujur adalah seperti berikut: soalan "adakah pengendali boleh menyahaktifkan perkhidmatan ini untuk saya?" mempunyai lebih banyak jawapan afirmatif setiap tahun disebabkan tuntutan undang-undang, bukannya kurang. Ini tidak mempersoalkan kesahan peraturan tersebut —DSA menjawab masalah sebenar—, tetapi ia memperkukuh satu perkara: mempercayai bahawa pengendali tidak akan menggunakan suis tersebut memerlukan kepercayaan, sebagai tambahan, bahawa tiada kewajiban undang-undang masa depan yang akan memaksa mereka untuk menggunakannya ke arah yang tidak dipertimbangkan hari ini. Ia adalah kepercayaan yang tidak hanya terletak pada syarikat; ia terletak pada keseluruhan persekitaran kawal selia.

Persoalan reka bentuk yang jarang dikemukakan

Kebanyakan reka bentuk teknikal kontemporari mengandaikan bahawa suis akan wujud dan kemudian berjanji untuk tidak menyalahgunakannya. Terdapat alternatif, yang lebih menuntut tetapi sangat boleh dilaksanakan: merka bentuk dengan mengandaikan bahawa suis tidak sepatutnya wujud. Ia bukan slogan. Ia membabitkan keputusan konkrit: seni bina teragih berbanding berpusat, hak pada peranti pengguna berbanding hak yang diperoleh daripada akaun, kandungan disulitkan dengan kunci yang tidak dimiliki oleh pengendali berbanding kandungan disulitkan dengan kunci yang disimpan oleh pengendali, identiti kriptografi pengguna berbanding identiti yang diuruskan oleh pengendali. Setiap keputusan ini mempunyai kos teknikal sebenar dan akibat komersial sebenar. Tetapi semuanya berkongsi satu sifat: sebaik sahaja diambil, ia menghapuskan perintah undang-undang tertentu sebagai objek yang mungkin. Perkara yang tidak boleh dilaksanakan tidak boleh diperintahkan untuk dilaksanakan.

Untuk Pembaca Profesional

Lima soalan yang patut ditanya kepada pembekal mana-mana perkhidmatan profesional kritikal sebelum menggunakannya, dirumuskan dalam urutan yang akan dikemukakan oleh pemeriksa kesinambungan perniagaan:

  1. Adakah terdapat kapasiti teknikal penyedia untuk menggantung, menyekat, memadam atau menurunkan kualiti perkhidmatan, data atau produk saya dari jauh?
  2. Dalam andaian apa yang dinyatakan secara kontrak di mana penyedia boleh melaksanakan kapasiti tersebut?
  3. Dalam andaian apa yang tidak dinyatakan —perintah mahkamah, sekatan antarabangsa, perubahan dasar unilateral, pengambilalihan korporat— di mana mereka juga boleh melaksanakannya?
  4. Jika ia dilaksanakan, berapakah masa kesinambungan aktiviti profesional yang saya miliki, dan apakah pelan keluar yang tersedia?
  5. Adakah terdapat alternatif seni bina di mana jawapan kepada soalan satu adalah "tidak" melalui pembinaan, bukannya melalui janji?

Jawapan kepada soalan kelima tidak selalu tersedia atau berkadar. Hamparan peribadi mungkin tidak layak mendapat keperluan tersebut. Fail undang-undang yang aktif, sejarah perubatan pesakit, perakaunan cukai, perbualan yang dilindungi secara deontologi, ya. Perkadaran adalah keputusan profesional; pembacaan jujur terhadap soalan satu bukan: sama ada suis itu wujud, atau tidak.

Perlindungan yang mengekalkan kemungkinan penarikan balik bukanlah perlindungan struktur; ia adalah kepercayaan yang dinamakan semula. Kepercayaan, seperti yang telah kami nyatakan dalam Buku Nota lain, adalah penyelesaian sosial yang sah apabila diberikan kepada mereka yang layak menerimanya, tetapi rapuh pada pertukaran tangan pertama. Pertahanan struktur yang paling bersih adalah yang tidak boleh ditarik balik kerana ia tidak wujud pada mulanya. Seperti segala-galanya dalam seni bina: pilihan reka bentuk, bukan keputusan pemasaran.

Sumber dan bacaan lanjut

  • Tesla — kemas kini September 2017 memperluaskan otonomi bateri model S dan X secara sementara di Florida semasa Taufan Irma. Kes yang didokumentasikan secara meluas dalam akhbar khusus dan laporan seterusnya mengenai pembatalan kontrak otonomi.
  • Peraturan (EU) 2022/2065 Perkhidmatan Digital (DSA) — terpakai sepenuhnya sejak 17 Februari 2024. Perkara 16 dan 9, mengenai mekanisme pemberitahuan dan tindakan serta perintah daripada pihak berkuasa yang kompeten.
  • Peraturan (EU) 2024/1689 Kecerdasan Buatan (AI Act) — berkuat kuasa sejak 1 Ogos 2024, penggunaan berperingkat sehingga Ogos 2026. Perkara mengenai pengawasan manusia dan langkah mitigasi wajib bagi sistem berisiko tinggi.
  • United States District Court — Apple, Inc. (16 Februari 2016). Dokumentasi kes yang dikenali sebagai San Bernardino mengenai akses kepada iPhone dalam penyiasatan jenayah.
  • U.S. Federal Trade Commission — memorandum mengenai hak untuk membaiki (2021-2024) dengan rujukan khusus kepada John Deere dan sektor pertanian; dilengkapi dengan Arahan (EU) 2024/1799 mengenai promosi pembaikan barangan.

Bacaan terkini