杜佳：當美國説網絡安全與開放的時候，到底在説什麼？

2019-12-07

（文/杜佳）

“政治保衞”部門

1947年，美國通過《國家安全法》（National Security Act of 1947，公法80-235），為保衞國家安全搭建起法律和機構體系。(美國國會，1947)

（德州大學奧斯汀分校：美國的情報部門）

根據該法律102條（SEC.102），美國建立中央情報局（Central Intelligence Agency），“協調各政府部門、司、局的情報工作，以便符合國家安全利益”。CIA局長有權力“核查”各部門的情報，相當於美國情報界（intelligence community）的“大總管”。2005年之後，CIA局長只管理本部門，統合其他情報部門的職能被“國家情報總監”（Director of National Intelligence）接管。

（《國家安全法》：建立中央情報局）

美國情報部門包括CIA、國家安全局、國防情報局（Defense Intelligence Agency）等。此外，負責打擊犯罪的聯邦調查局也承擔部分情報工作。

《美國法典》第28編33章規定了聯邦調查局的職能，533條規定，美國司法部長可以任命官員“偵辦、檢舉反對美國的罪行”。(美國國會，1966)

（《美國法典》：“偵辦、檢舉反對美國的罪行”。）

根據1968年6月19日通過的《綜合防控犯罪和街道安全法》（Omnibus Crime Control and Safe Streets Act of 1968，公法90-351），美國執法部門有權力使用電話監聽等技術手段。(美國國會，1968)

那麼什麼叫“情報工作”？根據最新版的《國家安全法》第3條（SEC.3），情報工作分成兩個部分，分別是“對外情報”工作（foreign intelligence）和“反情報”工作（counterintelligence）。

所謂“對外情報”，是指一切關於外國政府、組織、個人和國際恐怖組織之意圖和活動的情報。“反情報”是指對抗外國政府、組織、個人或國際恐怖組織實施的諜報、破壞、刺殺等活動的工作。(美國國會，1947)

1978年，美國通過《外國情報監聽法》（Foreign Intelligence Surveillance Act of 1978，公法：95-511），該法律101條（SEC.101）對“外國情報”有了更加細緻的規定：“外國勢力或外國代理人”所實施的“進攻或其他嚴重敵意行為”、“破壞或國際恐怖活動”、“秘密情報活動”，與之相關的一切信息。或者説與國防、國家安全有關，與外國有關並牽扯到美國人的一切信息。(美國國會，1978)

102條（SEC.102）規定，美國總統可以通過司法部長，授權針對外國情報的電子監控，不需要法庭同意。監控的對象是“外國勢力”之間的通訊，不能牽扯進美國人。

103條（SEC.103）規定，專門設立的外國情報監聽法庭（Foreign Intelligence Surveillance Court）。美國聯邦政府官員在經過司法部長同意後，向法庭提起申請，獲得批准後對目標實施監控，可以涉及美國人。

法庭自設立以來，直到2017年，收到41222個申請，批准了絕大多數申請，只拒絕了85個。(電子隱私信息中心，2018)

這就是美國的“政治保衞”工作和有關部門。

不許“陰謀”干涉美國

美國是個奉行自由主義的國家，但美國有一整套嚴密的法律體系，來保衞自己的政治體制。

在這個體系中，首先必須被提到的，是關於“陰謀罪”（conspiracy）的規定。

美國法典第18編371條（18 U.S. Code § 371）很簡短，規定不準陰謀侵犯、欺騙美國政府（conspire either to commit any offense against the United States，or to defraud the United States）。(美國國會，1948)

（《美國法典》：不準陰謀反對美國！）

“如果兩人及以上人等陰謀或者實施針對美國的侵犯，或者針對美國的欺騙，或者為任何目的，以任何方式欺騙任何政府部門，一人及以上人等有任何實施陰謀目標的行為”，每個人都會接受懲罰。

第18編1349條（18 U.S. Code § 1349）規定“企圖、陰謀犯罪”與實施犯罪同罪。(美國國會，1948)

所謂“陰謀侵犯、欺騙美國政府”者，囊括了所有針對美國政府的謀劃。2018年2月16日，美國華盛頓特區大陪審團根據這條法律批准司法部指控“通俄門”俄羅斯涉案人員和機構干擾美國大選，干涉美國內政。

根據起訴書，俄羅斯網絡研究局（Internet Research Agency）被控對美國發動“信息戰”（information warfare），通過偽造身份，假裝美國人，在美國的社交媒體和其他網絡平台上發佈各種信息，干擾美國大選。

這一條就落在了“陰謀罪”的範疇裏，被有關部門依法指控。

1938年，美國通過的《外國代理人註冊法》（Foreign Agents Registration Act，《美國法典》第18編951條，第22編611至622條），除外交人員之外的任何人，在美國境內作為“外國政府的代理人”，必須公開代理關係，並在美國司法部註冊。

如何認定“外國代理人”（agent of a foreign government）呢？《美國法典》第18編951條（18 U.S. Code § 951）規定，只要在美國境內，“服從外國政府或官員指示，或受其控制”。(美國國會，1948)

《美國法典》第22編611條（22 U.S. Code § 611）規定，任何“外國委託人的代理人”（agent of a foreign principal）必須註冊。“外國委託人”包括一切外國的組織和個人，包括外國政府、政黨、公司等。(美國國會，1938)

611條c部分特別指明，“任何人”受“外國委託人”“命令、要求，或接收指示，或被其控制”，或者“任何人的活動直接或間接，全部或部分被外國委託人監管、指導、控制、資助、補貼”，在美國從事“政治活動”（political activities），那他就是外國代理人，必須去司法部申請註冊。

在司法實踐中，美國對外國代理人的認定是高度政治化的，是不是“代理人”由有關部門説了算，跟當時美國的政治環境和態度有關。2018年9月18日，《華爾街日報》報道，美國司法部要求新華社和中國國際電視台註冊成為外國代理人。(凱特·基菲和阿魯納·維斯旺達，2018)

（《華爾街日報》：美國司法部要求新華社和中國國際電視台註冊成為外國代理人。）

1971年，美國通過《聯邦競選活動法》（Federal Election Campaign Act，《美國法典》第52編30121條），禁止外國干涉美國的競選活動。(美國國會，1972)

該法律禁止任何“外國人”或“外國委託人”“直接或間接”為“聯邦、州和地方選舉”做出任何“貢獻”。所謂“貢獻”（contribution），囊括所有“有價之物”（anything of value），只要是用來影響選舉。(美國國會，1972)

相關法律可以放在司法實踐中去理解。2011年8月8日，華盛頓特區地區法院對布魯曼訴美國聯邦選舉委員會案（Bluman v. Federal Election Commission）做出判決。

法庭認為，“外國公民沒有憲法權利參與”美國的“民主自治活動”，“對於我們（美國）國家政治共同體定義來説這是最基礎的”。而且“限制外國公民參與美國民主自治活動，從而阻止外國對美國政治進程的影響”，對美國政府來説“利益攸關”。(美國聯邦選舉委員會，2012)

（美國聯邦選舉委員會：維持美國政治獨立性，阻止外國干涉，這是“最基礎的”。）

官司打到最高法院，2012年1月9日，美國最高法院維持原判。

一句話，美國政府對自己的政治自主性非常在乎，不允許任何外部影響，這屬於不容商議的政治共識，是“最基礎的”。美國人自然沒有“憲法權利”參與他國“政治進程”，但這不妨礙美國干涉和影響他國。這一套不準“出口轉內銷”，不然就是“陰謀侵犯、欺騙美國政府”，政治保衞部門的鐵拳隨時降臨。

“網絡恐怖主義”

網絡時代到來，美國有了新的干涉工具，同時面臨新的政治保衞任務。美國是互聯網的誕生地，較早地將網絡用於各個領域，同時很早就開始重視網絡安全。

《美國法典》第18編1030條針對各種計算機犯罪做出規定，禁止“未經授權”或者“超出授權範圍”登入計算機獲取資料，特別是竊取美國政府、金融機構“受保護電腦”的信息。這類信息可能被用來“損害美國”，或者“增進任意外國利益”。(美國國會，1984)

法律授權美國聯邦調查局、美國特勤局（Secret Service）來查處此類犯罪。

1997年6月9日到13日，美國國家安全局、CIA、聯邦調查局、國防情報局、國務院、司法部等國家軍政要害部門，舉行了一場聯合網絡安全演習，代號“合格接球員97”（Eligible Receiver 97）。在演習中，美國國安局扮演紅方（假想敵），使用能夠公開獲取的各種技術手段，對美國各處民用和軍事設施發動網絡攻擊。

演習暴露出很多問題，“在第三天，我們讓藍方（防守方）疲於奔命”。美國需要搭建網絡安全防禦體系。(國家安全檔案庫，2018)

“9·11事件”後，美國對國家安全的重視到達新的高度。2002年11月25日，美國通過《國土安全法》（Homeland Security Act of 2002，公法：107-296）。國土安全部（Homeland Security Department）依法成立，統合相關工作，以阻止恐怖襲擊，填補美國安全漏洞。

依照該法律規定，國土安全部的一項重要職能是維護信息安全以及網絡完全。第224條（SEC.224）要求該部門分管信息分析和基礎設施保護的次長（The Under Secretary for Information Analysis and Infrastructure Protection）建立“網絡護衞”（NET guard），作為全國的“技術守護”（national technology guard），守護信息系統和通訊網絡的安全。

《2002年度強化網絡安全法》（Cyber Security Enhancement Act of 2002）作為《國土安全法》的第225條（SEC.225），與該法律一起通過。

根據該條目，美國量刑委員會（United States Sentencing Commission）在制定有關計算機犯罪的刑罰時，必須考慮網絡安全情況。包括被告人的犯罪計劃是否複雜；被告人是否侵犯個人隱私；犯罪行為是否涉及國防、國家安全與司法部門使用的電腦；犯罪行為是否對關鍵基礎設施造成（潛在）損害；是否損害公共衞生、公共安全；等等。

就在《國土安全法》通過之後的第3天，美國又通過了《網絡安全研究發展法》（Cyber Security Research and Development Act，公法：107-305）。(美國國會，2002)

該法律第2條（SEC.2）稱，國會認為，美國在網絡安全方面有很多漏洞，因此應該“顯著增加”“計算機和網絡安全的研發投入”。

2003年，美國聯邦調查局對“網絡恐怖主義”（cyber-terrorism）做出定義：“通過利用電腦或者電信設備，導致暴力、破壞、擾亂服務，通過在特定人羣中製造混亂和打消確定性來製造恐懼，旨在影響政府或人羣，以符合特定政治、宗教、社會或者意識形態議程。”(哈羅德·亨德舒特，2003)

（美國陸軍：聯邦調查局欽定了，這種屬於網絡恐怖主義。）

2005年8月15日，美國陸軍發佈《網絡行動和網絡恐怖主義手冊》（U．S．Army Training ＆ Doctrine Command，DCSINT Handbook no．1．02），援引了2003年美國聯邦調查局對“網絡恐怖主義”的定義。(美國陸軍訓練與條令司令部，2005)

按照這個標準，美國通過網絡顛覆他國政府的諸多行動，簡直在字面意義上符合美國自己對網絡恐怖主義的定義。根據筆者杜佳此前提到的種種作為，CIA和美國國際開發署豈不成了“恐怖組織”？

2014年12月18日，美國同時通過兩個網絡安全法律，其一是《2014年度強化網絡安全法》（Cybersecurity Enhancement Act of 2014，公法113-274），以美國商務部牽頭，聯繫各有關部門、企業，制定減少關鍵基礎設施網絡風險的標準和程序。同時該法律要求美國國防部、能源部、科學基金會等各有關部門，每4年制定一份網絡安全研發戰略計劃。(美國國會，2014)

其二是《國家網絡安全保護法》（National Cybersecurity Protection Act of 2014，公法113-282），規定在國土安全部內建立國家網絡安全和信息綜合中心（national cybersecurity and communications integration center），統合關鍵基礎設施保護、網絡安全和其他相關事務。(美國國會，2014)

2017年11月2日，美國通過《強化各州和地方打擊網絡犯罪法》（Strengthening State and Local Cyber Crime Fighting Act of 2017，公法：115-76）。第2條（SEC.2）規定在美國特勤局內建立國家電腦取證研究所（National Computer Forensics Institute），為打擊網絡犯罪提供宣傳和訓練，指導各州、地方執法機關的調查工作。(美國國會，2017)

美國網絡不是“法外之地”

2009年發生在摩爾多瓦、伊朗的一系列事件，和2010年末開始的阿拉伯之春，也讓美國直觀地感受到了網絡的威力，同時也引發擔憂。美國必須警惕其他國家對美國也來這一手。

2011年，奧巴馬政府的白宮和國防部相繼發佈重要文件，站在各自的立場上闡述美國的網絡戰略。

2011年5月，北非地區的“臉書青年”們革命勁頭正旺，白宮發佈《網絡空間國際戰略》（International Strategy for Cyberspace），系統闡述本屆政府的網絡政策。(美國白宮，2011)

（白宮：《網絡空間國際戰略》）

文件開宗明義，“美國致力於保證和提高數字網絡對於社會和經濟的有利方面”，“我們的網絡空間國際戰略反映了我們對基本自由、隱私和信息自由流動的核心承諾”。

所謂“基本自由”，是美國一直以來所主張的言論、結社、表達等“公民自由”（civil liberties）在網絡時代的翻版。保護隱私，主要是指“個人應得以知曉他的個人信息會被如何使用，並有信心相信他的信息會被公正處理”。

不過美國承認，網絡帶來了各種挑戰，因此網絡不是法外之地。在保護“基本自由”的同時，“美國不會對惡意的網絡用户視而不見”；在保護隱私的同時，“給予執法機關所需求的調查權力”；在保障信息自由流動的同時，兼顧網絡安全。

在三大“核心承諾”的基礎上，美國的目的聲稱是推動網絡環境朝着“開放、可互相操作、安全和可靠”的方向發展。

所謂“可互相操作”（interoperable），是指世界各地的網絡相互連接，信息可以在不同國家之間流動。網絡不至於因為各國的限制，變成一個個“局域網”而“碎片化”（fragmented）。

除了政治因素，技術因素也限制可互相操作性。全球網絡“可互相操作”的技術前提是各個網絡終端在發送和接受信息時使用同一套技術標準。在這方面，美國和西歐作為計算機和網絡的誕生地，貢獻了幾乎所有的網絡協議，如網絡地址的IPv4協議、超文本鏈接協議（http）等。

“開放”和“可互相操作”是為了保證美國核心承諾中有關自由的部分。為了確保“安全和可靠”，美國呼籲建立國際法律和規則體系，以約束網絡行為體，並減少誤判。

明確了目的之後，美國又拿出五大原則：“堅持基本自由”、“尊重財產”、“重視隱私”、“犯罪防禦”、“自衞權利”。

從經濟學的角度來講，這五大原則合起來看上去像是網絡版的“守夜人政府”原則，新自由主義氣息濃厚。在這個模式下，非國家行為體（資本和企業）的“自由”和“財產”被放在第一位，國家的目的僅是提供必要的保護。

不過，白宮可不打算做消極的守夜人。在網絡安全防禦方面，白宮提出積極防禦的方針，主動出擊，威懾和阻嚇對手。白宮還提出走出國門，建立“全球分佈的早期預警系統”，儘早發現威脅，並將之消滅在萌芽狀態。

同時，美國的外交部門也要積極行動，在全球推動三大“核心承諾”，實現“開放、可互相操作、安全和可靠”的發展目的。

乍看之下，似乎美國的網絡外交目標似乎沒有問題。但仔細想想，發現問題不小。

美國要如何在全球“推動”網絡“開放”和“基本自由”？再説了，“自由”和“安全”往往會很難兼顧，特別是對小國來説。

在文件中，美國承認“國家是責任方”，“國家持續地發揮作用維護和平和穩定”。這相當於承認各個主權國家管理自家網絡的自主地位。那麼不同的國家各有制度，或選擇開放，或選擇有限的開放，或者對開放的理解與美國不一樣。美國要如何去各主權國家“推動開放”？

白宮的想法很簡單，世界各國必須按照美國的要求去“開放”，否則就會由美國來確保開放。

“我們不會允許網絡治理或者技術架構被重新設計，去適應侵犯基本自由的決定。”

通過這句話，美國的網絡發展目的可以得到更好理解。所謂“安全”，主要是指維護美國的網絡安全；所謂“開放”，主要是指世界其他國家對美國開放。

因此美國特別重視網絡自由。人們在網絡上“自由表達，分享信息，監督選舉、揭露腐敗、組織社會和政治運動”，並譴責對人權的侵犯。文件提出，美國將會“不遺餘力地”在網絡空間推動自由，“支持公民社會活動者，人權支持者和記者使用數字媒體”。

參考美國以往的“光榮事蹟”，我們發現美國總是以“人權”、“自由”為藉口輸出影響，干涉他國；以支持“公民社會”為名義扶植反對派，試圖顛覆他國政府。

在信息時代，美國國家部門通過美國的科技公司，掌握了大量技術工具，以收集用户信息並進行大數據挖掘和分析，以便引導網絡上的“精確打擊”。

再説了，美國在全球監控“一切外國通訊”，有關部門肆意入侵中國企業計算機系統，對中國發動“數碼冷戰”，哪裏尊重過別人的“隱私”和“財產”權？

但是誰敢把這一套用在美國身上，就會被美國視作威脅，引發美國的反擊。

結合起來就是世界各國必須服從美國管制，對美國保持開放，維護美國進入本地網絡的自由，同時進入美國網絡時必須服從美國法律和司法機構的管理，以確保美國的安全。

2011年7月，為響應白宮精神，美國國防部發布《網絡空間行動策略》（Strategy for Operating in Cyberspace）。(美國國防部，2011)

文件開門見山，認定網絡空間屬於“作戰領域”（operational domain），與陸、海、空、天等傳統作戰領域具有同樣地位。因此美國國防部需要組織、訓練力量並進行裝備，以便“充分利用網絡空間的潛在優勢”。

（美國國防部：網絡空間屬於“作戰領域”。）

美國國防部認定美國面臨三大威脅：敵對勢力或者犯罪分子盜取並利用網絡數據；擾亂或阻斷網絡或者網絡服務；打擊、癱瘓互聯網或者聯網的其他設施。

面對這些威脅，美國需要組織力量，採取“網絡積極防禦，以阻止入侵，擊敗對手的活動”。

同時，國防部表示與白宮達成高度一致，支持白宮承諾在全球“推動基本自由，保護隱私，確保信息自由流動”。

執行國防部政策的機構，就是美國戰略司令部屬下的網絡司令部。在未來的幾年，這個部門會發展壯大，並升級成為聯合作戰司令部。美國的網絡戰隊，既是向他國進攻的利劍，也是網絡防禦的盾牌。

《塔林手冊》

2011年美國白宮的《網絡空間國際戰略》提出建立健全有關網絡安全的國際法律體系。由北約卓越合作網絡防禦中心（the NATO Cooperative Cyber Defence Centre of Excellence）2009年開始編撰，2013年出版的《塔林網絡戰國際法手冊》（Tallinn Manual on The International Law Applicable to Cyber Warfare，簡稱“塔林手冊”）就是這樣的一次嘗試。(北約卓越合作網絡防禦中心，2013)

該文件由各國法律專家共同編撰而成，專家組主任是美國海軍戰爭學院（US Naval War College）的教授邁克爾·施密特（Michael Schmitt）。美國網絡司令部派人充任觀察員。該文件不是國際協議，沒有強制力。文件在開篇表示，不代表北約或者專家所在國家的意見和立場，只反映專家組的看法。不過該文件依然具有參考價值。

《塔林手冊》原則上尊重各國主權，認為國家對網絡本身（per se）沒有控制權，但是國家應該對主權範圍內的網絡基礎和網絡活動設施享有控制權。文件援引《聯合國憲章》（the United Nation Charter）等國際法，認為一國不應該對另一國發動“網絡進攻”（cyber attack）。威脅或“使用武力”（use of force）的“網絡行動”（cyber operation），損害他國領土完整和政治獨立，是非法的。

文件還提到，國際刑事法庭原則上“禁止任何國家或者國家組織直接或間接其他國家的內部和外部事務”，干涉的對象包括對方國家“對政治、經濟、社會和文化政策的選擇，和外交政策的形成”。

按照這個精神，文件特別提到，美國用“震網病毒”對伊朗核設施發動的網絡攻擊屬於“網絡攻擊”，原則上不合法。

那美國網絡司令部豈不是應當停止運作？無怪乎該文件雖然是打着北約的名義制定，但是不代表以美國為首的各國立場。

具體法律細節，筆者無意在此深究。《塔林手冊》在原則上尊重各國主權，希望促成各國在網絡上和平共處。然而在現實中，美國這樣的大國不斷開發網絡武器，保持全球存在，時刻準備發動進攻。這就是“應然”和“實然”之間的巨大鴻溝。