网络空间的安全与隐私问题
[美]阿兰德(N.W.Allard)科斯(D.A.Kass)
网络空间的安全与隐私问题是一个新的课题。本文着重介绍联邦政府对此发起的法律与规则的改革以及一
些正在提出新理由的司法判决。
加密问题
由电子商务这一新机制所引发的历时3 年的加密问题的政策辩论提供了一个生动的政治交易的例子。如果
通过因特网从事银行业务、现金转移或其他商业活动,那么功能强大的公共数据密匙的广泛应用是必需的。然
而,执法部门意识到,加密技术同样能用于掩盖洗钱、诈骗和其他非法交易,甚至能掩盖间谍和恐怖活动。
从加密技术的需求及其各种问题的角度看,政策制定者在规范加密技术时面临三种基本选择。其一,放任
不管。政府不去规范这种技术的出售和出口。软件制造商可随意在国内外销售其任何产品,而罪犯和恐怖分子
同样可以毫不费力地获得这些产品,使其拥有逃避政府监视和侦查的能力,从而利用计算机技术从事洗钱和恐
怖及其他犯罪活动。
第二种选择是禁止政府无法破译的功能强大的加密系统。依照常识,此种行动可能违宪。即使符合宪法,
强制私人组织使用功能较弱的加密系统,也会造成信息被轻易破译。缺乏安全感将损害因特网在商业交易中的
作用并可能最终迟滞电子产业的发展。
第三种选择是介于禁止和放任之间的折衷方案。这一方案现在看来已为克林顿政府所采用。该方案允许使
用和出口功能强大的加密系统,只要政府能获得解开密码所必需的“钥匙”,尽管这个方案可令私人通讯使用
更先进的加密产品,但也引起了人们对民事自由的关注。
尽管政府决定走中间道路,但政府中的许多人却倾向于放松对加密技术的管制。这种冲突泾渭分明,但不
象过去那样以党派为界。一个商业利益与民事自由的联盟组织,依靠国会两党的支持,已经建议立法解除对加
密技术的种种限制。
1.背景
加密产品的出口由两部成文法规范:《武器出口管制法》和《出口管理法》。两者之中,《武器出口管制
法》限制更为严格,由国务院依照《武器国际贸易条例》执行。按照规定,许多加密产品和一定数量的其他“
技术性数据”被视为“军火”,列入限制出口清单,只有在受到严格监督的情况下方能出口。《出口管理法》
由商业部按照《出口管理条例》执行,它对加密技术出口的限制相对宽松一些。
在1996年11月以前,功能强大的加密产品一直被列入限制出口军火清单,出口为《武器出口管制法》所禁
止。然而,一系列行政、立法和司法方面的急剧变革很可能使有关加密产品的规范发生根本性变化。
2.克林顿政府对加密问题的提案
(1)13026 号总统令 1996年11月,克林顿宣布, 只要软件商承诺开发一种“钥匙恢复系统”,他们就
能获得商业部的出口许可。克林顿政府期望由此来对付“加密钥匙”所引起的国家安全和法律实施问题。这种
用于给私人信息解密的“钥匙”,或是由3个政府机构,或是由3个民间组织掌管。不论“钥匙”归谁掌管,一
个“钥匙恢复系统”将使执法部门在持有法院命令的情况下得到私人信息。
该总统令将加密产品从原先由国务院按照《武器出口管制法》进行管制的“军火清单”上,转列入由商业
部按照12924、12981两个总统令和《出口管理法》进行管理的“商业出口管制清单”中。按照这个新框架,只
要符合《美国法典》第50章第2405节和第2406节的要求,加密产品便能获得出口许可。出口许可申请最初将作
为个案处理,以确保美国对外政策和国家安全目标的一贯性。
总统令还指示商业部颁布实施总统令及对加密产品出口进行管理的具体细则。另外,在执行上,应由司法
部长、国务卿和国防部长复核对加密产品的出口是否维持了足够的管制;如果没有,这些加密产品仍应被列入
“军火清单”中。
(2)商业部条例 按照13026号总统令的要求,商业部于1996年12月30日颁布实施总统令的细则。许多实
业界人士期望这一细则能如实体现总统令的精神,然而令人惊异的是,细则并没有消除加密产品的出口壁垒。
实业界人士认为该细则糟糕透顶。计算机与通讯产业联合会谴责它是“本末倒置的产业政策”。商务软件
联盟认为它存在许多大问题:第一,强制使用“钥匙托管系统”;第二,对消费者而言管理方式太过繁琐;第
三,要求企业呈交贸易和市场计划作为出口条件;第四,将开发“钥匙恢复系统”的时间由2年缩短为6个月。
为弥补细则的不足,商务软件联盟赞成:第一,自主选择是否开发“钥匙恢复系统”;第二,所有使用“钥匙
恢复系统”的加密产品的出口不受限制;第三,不为开发“钥匙恢复系统”设定期限;第四,允许所有企业出
口56比特加密系统;第五,允许所有产品一起使用,不管“钥匙恢复系统”的法律地位如何。
但并非所有的商业利益集团都反对该细则。有些人认为这个方案具有可操作性,并已经着手设计可兼容的
软件系统。一个产业联盟已经设计出“国际密码框架”,用于消除加密产品出口和加密材料出口方面存在的障
碍。“国际密码框架”包含了一个“政策激活标志”,可根据用户的不同国籍来限定软件的加密能力。
在商业部的细则中,招致最多反对意见的规定包括:对“出口”的定义中,将电子传输也包括在内;要求
56比特加密软件的生产商和出口商必须提交在两年过渡期内采取何种应用步骤的商业计划;一定批量投放市场
的加密产品须经过一次复核;经营“钥匙恢复系统”的代理商要么经过繁琐的资格审查,要么拥有的秘密等级
必须为政府所了解。
在商业部细则公布之前,加利福尼亚的地方法官培特尔(J. Patel)根据宪法第一修正案否决了国务院的
加密产品出口条例。这个判决又产生了另外一个问题:商业部的条例大都是依据国务院的条例制定的。培特尔
法官的判决对这部条例的合宪性划上了一个大大的问号。
3.立法机关的提案
尽管克林顿政府总体上支持从严规范加密产品的出口,国会中的许多人却主张彻底解除对加密产品的限制
。许多涉及加密问题的立法建议已在104期国会中展开酝酿,尽管它们都没有在专门委员会获得通过,但105期
国会上,许多提案被重新提了出来。
(1)《数字通讯时代在线商业促进法案》
该法案由参议员本兹(C.Burns)在104期国会上初次提出,在 105期国会上再次提出。它可能是赞成加密
立法提案的代表之作。许多人相信它在第105期国会上获得通过的可能性很大, 因为它的主要反对者——艾克
逊参议员现已退休。该法案建立在这样一个前提之上:如果因特网是一个不安全的媒介,则电子商业的充分成
长就无法实现。该提案理由部分声称,要创造这样一个安全的环境,人们必须能获得各种各样的加密产品,但
现在加密产品设计已经受到商业部颁布的一系列标准和指南的妨碍。因此,该法案提议:
·除联邦政府制定的以外,禁止商业部颁布旨在为系统制定加密标准的条例和规范;
·禁止商业部颁布或执行旨在通过出口将政府制定的加密标准强加于私营工业部门的条例和规范;
·禁止联邦政府及各州政府限制具有加密能力的任何产品的出售;
·禁止联邦政府及各州政府将强制提交“钥匙窃听系统”作为对加密产品解禁的先决条件;
·除专门为军事设施而设计的以外,给予商业部长管制具有加密能力的计算机技术和软件出口的专管权;
·只要一种加密软件已经进入公众领域,它们的出口只需申领一普通许可证即可;
·只要商业部长业已批准向一国的金融机构出口加密技术,则同样技术的加密软硬件对该国的出口也应被
批准,除非有确凿的证据表明该技术将被用于军事用途。
提案在第105期国会已举行过听证会, 并得到了包括国家制造商协会、计算机通讯工业协会等在内的主要
商会的有力支持,象“民主与技术中心”这样的隐私权保护团体也在听证会上表示支持该提案。对该法案的支
持者来说,如此广泛的支持是一个积极的信号。
(2)《经过加密获得安全与自由法》
该法案由众议员古德莱特(B. Goodlatte)首次提出,它与上述法案相似,也已成为众议院中现有的促进
加密技术发展的首要立法提案。它旨在解除加密产品在出口和应用方面的限制。该法案在上一期国会中未获专
门委员会通过,但今年又获得了许多人的支持。其内容包括:
·利用和出售任何类型的加密产品为合法;
·对利用加密产品进行的犯罪加重处罚;
·除了明确为军事用途而设计的以外,赋予商业部长加密软硬件出口的专管权;
·一种加密软件已进入公众领域,则其出口不需任何许可证;
·如果向一国出口的某种加密软件供其金融机构使用,则对于相似加密能力的软件向该国的出口,商业部
长应当批准;
·一旦商业部长确信外国供货商能提供一种加密硬件,则应批准本国类似产品的出口。
在最近的听证会上,该法案得到了从保守的“税制改革美国人”组织到“电子隐私信息中心”这样的国民
自由团体以及“商务软件联盟”这类工业组织的广泛赞同。司法部则反对该提案,强调“钥匙恢复系统”的必
要性及该系统对国民自由的威胁甚小。尽管如此,对该法案的广泛支持意味着如果时机选择得当,它有可能在
众议院获得通过。
(3)《加密通讯隐私法》
精通计算机法律问题的参议员莱希(P.Leahy )在上两期国会中都提出了《加密通讯隐私法》,它是《数
据通讯时代在线商业促进法》的变通。它既支持政府管理下的“钥匙窃听系统”,同时又主张严格限制政府运
用管理手段的规格。莱希的法案包括:
·不管有没有“钥匙窃听系统”,所有美国人都可自由使用任何类型的加密系统;
·对非经批准使用“窃听钥匙”者定罪处罚;
·规定“钥匙”持有人公开“钥匙”的条件;
·使美国境内任何类型加密产品的出售行为合法化;
·除明确为军事设施而设计的以外,赋予商业部长加密产品出口管制权;
·对于一般能够获得,或已进入公众领域的加密软件的出口无需申请许可;
·如果一个相同加密能力的硬件能够以商业途径从美国以外的供应商处取得,则商业部长应批准该产品的
出口。
“电子隐私信息中心”批评莱希的法案将允许出口的条件定为“一般情况下可以获得”,这种限制将使美
国一直落后于其他出口商。“电子隐私信息中心”还批评该法案赞同“钥匙恢复系统”。因此该法案以目前的
面目获得通过的前景十分渺茫。
4.司法界的态度
当白宫、国会和实业界为加密产品出口的规范争得不可开交之时,法院开始暗示他们将采取行动以尽早结
束这场辩论。一个联邦法庭推翻了《武器国际贸易条例》中关于禁止加密产品出口的规定;另一个法庭则在推
敲商业部条例的有效性。这些行动意味着法院可能推翻限制加密产品出口的任何规定
(1)伯恩斯坦诉国务院案
伯恩斯坦案是迄今为止处理加密产品出口问题的最为典型的案例。伯恩斯坦设计了一个复杂的加密程序并
试图将该程序出口。然而,国务院根据《武器国际贸易法》将该程序列入限制出口的军火清单,并禁止出口。
伯恩斯坦提出3个理由反对这一规定。首先, 《武器国际贸易条例》中所要求获得许可的内容是事前对使
用言语代码的干预;其次《武器国际贸易条例》内容模糊且管得过宽;对“使用言语代码”已经有了一个单独
的权利保护措施,对此政府方面争辩说,《武器国际贸易条例》是内容中性的监督措施。法院没有支持伯恩斯
坦关于加密言语代码的权利的主张。尽管如此,法院同意了伯恩斯坦的其他主张,并且发现《武器国际贸易条
例》是一个事前的干预措施,因为该条例明确指明针对科学研究及其保密问题。法院还发现,由《武器国际贸
易条例》为出口管制提供的程序补救措施并不能挽救该条例的命运,因为它们给予政府在许可加密产口出口问
题上无限决定权。因此,法院认为该条例中的有关内容妨碍了言论自由,因而判决它们违宪。
尽管随着商业部条例的颁布,《武器国际贸易条例》已不再适用于加密产品的出口。但随之而来的问题是
伯恩斯坦案的裁决也可能适用于商业部的条例,使它们因违宪而归于无效。对商业部的条例的合宪性所进行的
第一次检验可能是美国特区巡回上诉法庭的卡恩案。
(2)卡恩诉国务院案
菲利普·卡恩是一个软件工程师,他设计了一个加密程序,并向国务院申请出口。国务院确定此程序的源
代码属防卫用品,必须服从出口许可的各项条件。卡恩提起的诉讼称:《武器国际贸易条例》违背宪法。经过
一个星期的口头辩论,1997年1月21日, 法庭做出决定:鉴于《武器国际贸易条例》已为商业部条例所取代的
事实,卡恩的诉求必须在地方法院再次进行听证。从司法界及国际上的发展趋势看,可以肯定加密问题仍将是
第105 期国会及以后几期国会中有关电子产业立法问题的战场之一。
隐私问题
尽管在华盛顿围绕加密问题发生的争斗是当前隐私问题辩论的主要内容,另外还存在其他一些与隐私有关
的提案。一些议案已获第104 期国会通过,另一些议案则在第105期国会中提出:
1.《儿童隐私法案》
该议案是由众议员弗兰克斯(R. Franks)在上一期国会中提出,但未获通过。它试图表达人们对因特网诱
致儿童堕落的日益增长的忧虑。该法案将下列行为列为可处一年监禁的犯罪行为,并可对此提起民事诉讼:
·未经其父母同意,目录经纪人出售或购买儿童的个人信息:
·目录经纪人故意不遵守儿童父母的要约,披露关于儿童的信息来源,披露关于儿童的全部信息,或者披
露得到儿童信息的所有人员;
·为商业目的与儿童及其父母有过接触的人不遵守儿童父母的要约,披露信息的来源;
·未经父母同意即与儿童接触,故意将儿童个人信息用于游戏或比赛;
·故意使用监狱劳工处理有关儿童的信息;
·明知信息的扩散将对儿童造成危害,却故意散布或接收该信息。
2.《通讯隐私和消费者授权法》
上期国会中,众议员马基(E.Markey)提出了这项法案,要求联邦通讯委员会研究新技术对隐私造成的影
响,并在必需时采取集体行动,以保护消费者的隐私权。这项法案成为关于联邦通讯委员会在规范因特网中应
当扮演何种角色的大论战中的一部分,因而未在专门委员会上获得通过。不过,它可能在第105期国会中再次被
提出。
3.《国际互联网消费者隐私保护法》
当人们在因特网上浏览时,因特网服务的提供者就能够收集关于用户的个人信息以及他们访问的地址。这
种信息可以被出卖,使用户倍受洪水般涌来的“垃圾邮件”之苦,有时还会使用户的隐私受到侵犯。这项提案
由众议员维恩多(B. Vento)在第105期国会提出, 它要求因特网服务的提供者在将用户的个人信息披露给第
三者之前,应征得因特网用户的书面同意。该法案还要求因特网服务的提供者向用户提供一切在网址上收集到
的关于用户自己的个人信息。
4.《联邦贸易委员会法案》
1月份,联邦贸易委员会发表了一个工作报告, 要求通讯及计算机网络公司更有效地保护用户的个人信息
。这份报告连同联邦贸易委员会于1997年6 月召开的关于因特网隐私问题的研讨会暗示:如果有关公司不能自
律以及国会不能采取相应措施,联邦贸易委员会将可能采取行动来保护特定的消费者隐私权。
摘自美国《哈斯丁斯通讯及娱乐法律季刊》1997年春季号