A Transition from the Angle of Engineers to a Lawyer’s Perspective
董皓、张楚*
———————————–
本文引用方式:董皓、张楚:“信息网络安全的法学定义研究——从技术视角向法律思维的转换”,载《信息网络安全》2006年第2期(总第62 期),第12-15页。
————————————
从风靡全球的电影“黑客帝国”(Matrix)[1]和“偷天陷阱”(Entrapment)[2]到震惊世界的黑客米特尼克(Mitnick)[3],从各式各样的软硬件防火墙到数字签名技术,“信息网络安全”似乎已经成为二十一世纪最吸引眼球的关键词之一。这个词汇产生了巨大的引力,拉近了计算机工程师和法官这两种原本并不相干的职业的距离,进而让各国立法者们忙碌起来,纷纷开始草拟有关“网络安全”或者“信息安全”的法律条文——事情好像已经变得非常简单,只要我们手中有一本标明了条款序号的小册子,信息网络安全就和“国家安全”、“财产安全”或者“交易安全”一样,成为法官和行政执法者当然的口号和定争止纷的利器,我们的法律体系也就成功地迈入所谓“信息网络时代”了。
但是,在探讨与信息网络安全有关的法律问题乃至谋求制订诸如“信息网络安全法”一类立法之前,我们同样必须首先回答以下一些看似简单的问题:什么样的信息网络才是“安全”的?在不同的法域和法律文化中,“信息网络安全”是否相同?而这些问题的核心在于“信息网络安全”这一词汇的定义——如果说日常生活中,我们可以采用模糊概念的话,那么在一个(至少是追求)逻辑自足的法律体系中,“信息网络安全”则必须有明确的定义——只有这样,才能使立法条文前后一致、表述清晰,也才能为相关的探讨建立起统一的语境,从而为更深入的分析研究铺平道路。
一、“信息”、“网络”、和“安全”的概念分析
从字面意思上看,信息网络安全当然就是信息网络(主要是互联网)上的安全问题,或者对网络上的安全的保障,我们似乎完全没有必要对它进行冗长的词义辨析。但当我们真正需要确定法律关系中的权利义务的时候,就必须首先在概念上进行澄清。只有这样,才能使法律逻辑前后一贯,避免法律规范的矛盾。因此,本文首先就组成“信息网络安全”这个词汇的各个部分——“信息”、“网络”和“安全”,进行逐一分析。
(一)关于“信息”
在汉语中,“信息”一词中的“信”来源于“音信”,而“音信”中的“信”实际上是一个通假字,与“讯”同义——李白在《大堤曲》中,就曾有“不见眼中人,天长音信断”的用法。而“讯”作为名词,就是“消息”的意思。所以所谓“信息”在汉语中,原本只有“音信、消息”的意思,对应的英文应该是“Message”[4];但在现代汉语的翻译中,将英文“Information”翻译为“信息”或“讯息”已成惯例,“Information”是“关于某人或某事的被诉说、听闻和发现的事(Facts told, heard or discovered on/about sb/sth)”,强调的是“被告知”(informed)[5]。而作为一种科学的“信息学”(Information Science),则是指“对各种信息(例如文字、数字、图像)的存储、检索和发送过程(尤指用计算机、远程通信等手段)的研究或处理方案”[6]。在这个意义上的信息,则是“有目的地标记在通讯系统或计算机的输入上面的信号”[7]。
从上述分析可以看出,信息至少包括两重含义,一是“音信、消息”,二是通讯系统或计算机所存储、传递的信号及其组合。显然,当“信息”和“安全”、“网络”放在一起的时候,不可能指“音信的安全”,所以只能是第二个涵义。
再具体分析可以发现,上述内涵下的信息是一个可以囊括众多内容的属概念。只要是通过特定系统和路由方式(主要是计算机网络)所传递的信号,都属于信息范畴。从形式上看,这些信号在本质上都是一段段二进制的代码以及这些代码的组合,从蕴涵的思想内容上看,这些信号有的是落入著作权保护范畴的文字、美术、音乐、摄影、电影及类似电影方法制作的作品等;有的属于著作权法所不保护的公共资源(如立法条文)或者交易信号(如在PKI系统下被传递的电子交易文件);有的可能被一些国家的法律所禁止(如含有恐怖主义、淫秽、暴力内容的信息);还有的可能本身并不构成有意义的、体系化的思想内容,但却仍然潜藏在信息海洋之中(如冗余代码等)。这些纷繁复杂的信息流淌在主要以电子计算机和网络硬件为基础的网络中,形成了信息世界的软件环境。
(二)关于“网络”
“网络”在英文中对应的是“Network”,最初的意思是按一定间隔交叉所形成的网状结构物,进而被延伸到社会生活关系中,形容互相作用保持非正式交往以获得多方面帮助或支持的人群,又进而衍生为“计算机网络”的简称,指的是“为共享信息,用电话线或其它方式连接而成的计算机系统。”
如今,人们对“网络”这个词汇的应用,已经超过了单纯的作为“硬件”的计算机(或其它信息存储、处理和传输设备)及连接这些设备的线路本身,转而将“网络”作为涵盖各种软件和硬件的统一体——网络游戏、网络时代、网络协议、网络文学等概念中,网络成为了一个与“信息”一样拥有多重含义的词汇。如果说“犯罪网络”、“人际关系网络”和“网络安全”中所说的网络之间还有泾渭分明的界限的话,“通信网络”、“互联网络”、“局域网络”就可能使人不知所措了。即使只是在计算机与计算机间的互相联接的意义上探讨“网络”这个词汇,随着技术与媒体的融合,三网(即电信、计算机、广播电视网)合一的趋势已成必然,人们实际上已经无法像过去一样,把计算机、手持通讯设备和电视机作出明确的区分了。
(三)“安全”概念及多元化的安全观
说到“安全”,则更是一个非常抽象的词汇。安全在辞典上的定义是“不受威胁、没有危险、危害、损失”。[8]与之相对应的英文是“Security”或“Safety”。不可否认,对大多数人而言,安全主要包括人身安全和财产的安全。但如果细细分析,我们可以发现,不同的人所认知的“人身”和“财产”的“不受威胁、没有危险、危害和损失”都是不同的。以著作权法上的人身权为例,有的人认为自己的作品的完整性极其重要,而有的人则认为只要能够发表,就能容忍别人对自己的作品进行编辑修改。再以民法上的物权为例,有的人希望自己的物完全由自己占有,甚至有人不愿意把钱存到银行里,而有的人则希望将财产尽可能地融入流通中,并愿意承担其中的风险。不同的人由于自己的观念、角度甚至性格的不同,都会对“安全”有不同的期待,这种现象可以被称为“多元化的安全观”。
对“信息网络安全”而言,这种多元化的安全观现象就显得更为突出。举例而言,对于网站的工程师而言,信息网络安全也许主要在于其所搭建的网络硬件及编写的网站程序按照自己的愿望正常和/或正确地运行;对于网站上所登载的文章作者而言,信息网络安全也许在于他的作品能否根据他的意志发表;对使用网络服务的“网民”来讲,信息网络安全则可能更在于他的计算机不被病毒攻击,同时他的肖像、名誉、隐私等具体人格权不被他人在网络上侵害;对于电子商务的交易主体来说,信息安全也许意味着他从网站上发出的要约能不被改动和不被泄露地到达他的客户,他的客户所支付的款项也能如愿以偿地在网络交易系统中结转;对于正在网络游戏中酣畅淋漓地“PK”(Player Killing)的“玩家”而言,安全可能在于他辛苦“炼级”而来的“装备”和“宝物”不被别人轻易盗取;而对于监察网络秩序的警察来说,安全则可能更在于他所巡视的网站中不能有任何导致政府查封的非法信息。
二、在法言法——从法律的角度定义信息网络安全
通过上述分析可以发现,由于存在多元的安全观,信息网络安全似乎必然地成为一个十分模糊的概念。如果只是为了定义而定义的话,这个问题其实并不难解决,我们可以对论题进行一个规定,将自己的研究限定在上述多元安全观中的某“一元”中。但是,这样的讨论就如同我们先验地把上帝作为造物主,然后再论证说人是上帝造的一样,尽管逻辑上可能十分周延,却无法面对人们对前提本身的合理性的追问。法律是关于“善和公正的艺术”,[9]一个语词在法学上的界定,不能只顾及某一群利益主体的利益,而应综合考量这个语词所可能涉及到各个方面,并同时将这种考量予以精确化。我们认为,要达到这一目的,就必须先分析网络安全对法律的需求是什么。这就如同我们要界定杀人罪,就必须先考察为什么我们要在法律中禁止和惩罚某些导致他人死亡的行为一样。
(一)信息网络安全对法律的需求
网络是一个多面镜,人们在网络时空内的视角和网络时空外的视角可能会截然不同。并且,这种不同可能使传统法律在网络面前不知所措。从网络外的视角看,网络就是一套为了达到特定目的而运行的软件和硬件组合,它的安全问题需要由工程师们来解决——他们可以运用无比丰富的代码语言,将可能危害网络系统正常运转的病毒、“爬虫”(BUG)和攻击行为化解于无形,从而保障网络按照工程师们的设想“正常地”运转。
问题在于,再周密的自动化网络系统,也都是为了满足人们的某种特定需要而设计的,而且人们在网络时空里的活动也时刻对网络进行着改变。因此,从网络内的视角来看,网络中的硬件和软件即使可以按照工程师们的预先设想来运行,也将面临一个是否具备正当性的价值判断问题。举例而言,对于一个企业来说,建立计算机网络是为了降低运营成本和方便管理,而对企业中的职工而言,则可能会因为网络的建立而使自己的行为时刻遭到监视。在这种时候,员工的隐私权和雇主的财产权就产生了利益冲突。站在雇主的角度,工程师可以为他们提供防止员工泄露企业秘密以及禁止他们在工作时间上网浏览娱乐信息的技术;站在员工的角度,工程师也可以制作反侦测软件来使员工的行为不被监控。如果没有法律制度做出细致的规定的话,很难判断究竟哪一个工程师设计出的软件是“安全”的。
另一个例子则来自公共论坛系统。为了国家安全、政权稳定或者追查可能的嫌疑犯的需要,警察机构也许希望自己能够了解到任何一个发言人的真实身份,而对发言人来说,他们也许并不总希望自己的作者身份被别人知晓。这两方面的需求对于工程师们来说都不是困难的事情,但要让他们判断哪一个是正当的,则实在是有些勉为其难。这就如同我们可以通过技术手段制造出枪支并保证它们不走火,但一个公民能否持随意持枪则不是技术能够解决的问题一样。这个时候的网络安全,就已经超出了工程师的能力范围,成为需要由法官、议员甚至哲学家考虑的范畴了。
通过以上分析,我们可以发现,“信息网络安全”这个词汇,对工程师和法官而言,其实是完全不同的。从本质上讲,信息网络安全对法律的需求,实际上来源于人们在面临网络技术革命过程中产生的种种新可能的时候,对这些可能性做出选择扬弃、利益权衡和价值判断的需要。
(二)法学意义上的信息网络安全概念之界定
我们曾经对网络法的基本问题做过探讨——网络上的规范可以分为技术规范、技术性法律规范、网络社区法律规范和其他法律规范。[10]在网络安全方面,技术性法律规范与技术规范的区别在于:技术规范是工程师们的操作手册,它们是基于网络互相连通的需求而形成的统一规则(例如网络通信协议、IP地址和域名命名规则等)。技术性法律规范则是对不同网络系统所需要达到的安全标准进行分类,以使工程师不在安全要求高的网络系统中使用过于简单的技术,也不在安全要求低的系统中强行推广复杂的技术。网络安全对法律的需求在于对技术应用方案的价值判断,这种判断的标准不在于技术本身,而在于对技术所导致的后果的推崇或者防范。所以,法律上的网络安全概念,同样只应涉及技术性法律规范和网络社区法律规范,而不涉及技术规范。
现实生活中,技术规则和法律却并非如我们上面所设想的应然状态一样完全二分。人们一直在试图使用技术手段满足自己的道德需求——数字签名及PKI系统、[11]内容过滤软件和防火墙,都是这种努力的结果。法理和立法的一个不同点是前者可以前瞻,充满了建构理性,后者则往往应需而设,经验理性对其有重大的影响。立法中对网络安全的规定,往往是对现有的技术手段进行规范、提倡或者禁止。因此,在没有探究网络安全对法律的具体需求究竟是什么的时候,立法者往往迷信或者排斥某种技术——最明显的例子是一些国家对数字签名这一特定技术的立法推广和对反向工程的一概排斥[12]。要防止这种现象的产生,最好的办法是跳出技术思维的影响,根据网络安全对法律的需求,重新对法律中的网络安全概念进行界定,这种界定的关键在于:解决法律应当解决的价值判断问题,忽略法律不需要考虑的技术规范。
综上,我们认为,从法律或者法学角度,“信息网络安全”可以做出如下界定:
信息网络安全是一种状态,在这种状态下,
A.既有法律所保障的利益在信息网络时代得以合理延伸,这包括:
(1)在信息网络时代仍然具备正当性的利益,应当继续得到保护;
(2)在信息网络时代失去正当性的利益,不再得到保护;
B.基于新的信息技术而出现的新的利益得到合理分配,这包括:
(1)人们在信息网络中所实施的新行为中,如果具备正当性,则获得保护;
(2)如果人们的新行为不具备正当性,则遭到禁止和惩罚。
这一界定的核心关键词在于“正当性”和“利益”,在一个网络(无论它是基于什么技术平台搭建而成)中,当人们的正当利益得到保障,不正当的行为受到禁止或者无法实施时,我们就认为这个网络是安全的。因此,信息网络安全法的目的,在于对网络上的行为的正当与否做出实体意义上判断,进而保护利益主体的合理利益(主要由上述“网络社区法律规范”来解决),并通过程序性规则防止这些利益被不正当的行为所侵害(主要由上述“技术性法律规范”来解决)。
三、定义之后——反思“数据安全”与“内容安全”的二分法
(一)“数据安全”与“内容安全”
在有关信息网络安全的研究中,“数据安全”与“内容安全”往往被作为一种基本的分类方法。根据笔者的理解,前者是指数据在存储、传输过程中的安全问题;后者则是基于网络信息所表达的思想内容而产生的安全问题。
(二)数据安全与内容安全二分的优点
将网络安全分为数据安全和内容安全,有以下几方面的优点:
首先,这种二分法使立法较为方便。在立法中,采用数据安全与内容安全二分的理论,可以使立法条文要么解决技术标准的问题,要么判断信息内容的合法性,从而使立法技术较为简单。例如,对于不同信息网络系统的等级安全划分,就主要解决的是数据安全的问题,凡是对数据的保密性、可控性、专有性有较高要求的网络系统(如军事信息系统、国家档案系统等),就可以被确定为较高的安全等级,立法中相应地对这些信息系统的技术应用标准规定得较为严格。再如,对于网络上的言论,就属于内容安全的范畴,立法中可以直接将禁止发布、限制发布和允许发布的言论进行区分,从而保障国家、社会和个人的利益。
其次,这种二分法使司法和执法较为简单。与立法相对应,法官和执法者只需要判断安全问题是出在数据安全上还内容安全上,就可以根据不同的立法规定,对相应的行为的合法性做出判断、给予保护或者惩罚。
(三)数据安全与内容安全二分的缺陷
尽管有以上诸方面的优点,但如果我们站在前述“网络安全对法律的需求”的角度仔细分析,就会发现:这种从技术领域衍生出的、并非在法学视野下做出的分类在应用于法律制度体系的构建时,将面临一系列无法克服的障碍。
第一,这种二分法不能体现人们对特定利益的保护要求。如前所述,无论追求的是数据安全还是内容安全,都是为了保障正当利益的实现,而要实现某种特定利益,则可能同时涉及数据安全和内容安全两个方面。例如有关个人数据保护的法律,一方面,网络服务提供商有义务保证个人数据不能被他人非法查看,这属于所谓数据安全的范畴;另一方面,被非法查看的个人数据,一旦被传播和利用,则又涉及所谓内容安全的问题。在这种情况下,如果强行采用数据安全和内容安全二分的理论,将保护同一利益的法律规则放置在不同的立法中,表面上看立法技术十分简单,实际上使立法的成本提高,并且增大了制度漏洞出现的几率。
第二,这种二分无助于法律衡平相互冲突的利益。即使都属于正当的利益,不同种类的利益间仍然有效力等级的区别。例如当人身安全和财产安全之间发生冲突的时候,法律优先保护的是人身安全;当公众安全与个人安全冲突的时候,法律往往优先保护公众的安全。因此,如果网络上传输的信息中,有危及公众人身安全的恐怖主义活动内容,那么法律将许可特定的机构采用形式上损害数据安全的侦测和截取手段对本来属于隐私或者通讯自由范畴的网络信息进行进行检查、过滤、删除乃至查封网络服务器,进而限制行为人对物的所有权。显然,数据安全和内容安全的二分理论并没有为这些措施提供任何助益,反而可能干扰法官或执法者对利益衡平的考量。
第三,这种划分不能满足构建信息网络安全法律制度体系的要求。如前所述,信息网络安全从技术上说是一个模糊概念,如果没有法律来做出价值判断和利益平衡,没有制度来确定衡量安全与否的标准,那我们就无法确信自己究竟是否处于安全的网络环境中。数据安全和内容安全的二分理论没有从法学的视角考察“安全”,也就不能了解安全的要义在于合理利益的保障、正当行为的被许可及不正当行为的受禁止。“数据的不被侵入和篡改”是在数据内容合法的基础上才可能被肯认为正当的利益。所以,在立法的过程中,源于技术领域的数据安全和内容安全二分的理论看似周延,但却将复杂的网络安全(也就是对网络上行为的价值判断和利益衡量)问题过于简单地类型化,不能满足构建网络安全法律制度体系的要求。
认真分析起来可以发现,数据与内容安全的二分法继承了技术领域对信息网络安全问题的划分。工程师们希望法律能够明确地告诉自己所开发的软件和硬件系统主要解决的究竟是数据安全还是内容安全问题,也希望自己能直接地从法律中判断自己开发的技术及设备是否受到法律的认可。实际上,从前述信息网络安全的法学定义出发,数据安全和内容安全的关系是递进而非并列的。要保证人们在信息网络中的正当行为得以实施,首先就需要人们对自己在网络上的操作有可控性,而要保障人们在信息网络中的利益不受到侵害,则又需要由法官(而非技术人员)来判断信息内容的合理性和正当性。
——————————————————————————–
*董皓,法学硕士,云南大学法学院讲师;张楚,法学博士,中国政法大学教授。
[1]华纳兄弟制片公司(Warner Bros., USA)1999年出品,导演:华丘斯基兄弟(Larry Wachowski & Andy Wachowski),主演:基努·李维斯(Keanu Reeves) 伦斯·费许本(Laurence Fishburne) 嘉丽·安·莫斯(Carrie Anne Moss)。
[2]福克斯公司(Fox, USA)1999年出品,导演:乔·艾米(Jon Amiel),主演:辛·康纳利(Sean Connery) 凯瑟琳·泽塔·琼丝(Katherine ZetaJones)。
[3]他的网站为http://www.freekevin.com/。
[4]不过,在英文中,“Message”本身也有“Information”的意思。
[5]Oxford Advanced Learner’s Dictionary of Current English (Fourth Edn),牛津大学出版社1989。
[6]同上。
[7]参见《现代汉语词典》,“信息”词条。
[8]参见《现代汉语词典》,“安全”词条。
[9]罗马法学家凯尔苏斯(P.J.Celsus,67-130年)语。
[10]张楚:“关于网络法基本问题的阐释”,《法律科学》2003年第6期。
[11]关于数字签名、PKI及其局限,参见JaneK. Winn, The Emperor’s New Clothes: The Shocking Truth About Digital Signatures and Internet Commerce。
[12]前者如《欧洲电子签名标准化行动计划》(EESSI);后者如美国统一计算机信息交易法案(the Uniform Computer Information Transactions Act, UCITA)。
(以上为期刊上发表时被删节的注释版本,为保持版本一致,未作补正)