(洪延青北京大學(xué)法治與發(fā)展研究院高級研究員、中國網(wǎng)絡(luò)空間安全協(xié)會特約研究員)

　　

　　去年12月6日，澳大利亞聯(lián)邦議會匆忙通過了《2018年電信和其他法律修正(協(xié)助和訪問)法案》(theTelecommunicationsandOtherLegislationAmendment(AssistanceandAccess)Bill2018)。兩天后，該法案獲得皇室御準(zhǔn)，成為正式的法律(以下簡稱“協(xié)助和訪問法”)。

　　

　　總的來說，該法主要對澳大利亞的《1997年電信法》做出修改，建立了執(zhí)法部門和情報機關(guān)就加密技術(shù)要求私營部門提供技術(shù)協(xié)助的自愿性和強制性的法律框架。同時，該法還修改了刑事方面的法律，增強了執(zhí)法部門和情報機關(guān)在計算機和數(shù)據(jù)方面的搜查、調(diào)取權(quán)力，增加了對告密者(whistle-blowers)的處罰，以及提高了對不予配合行為的罰金。

　　

　　一、“協(xié)助和訪問法”規(guī)定了什么

　　

　　1、適用對象

　　

　　“協(xié)助和訪問法”適用于“指定通信提供者”("DesignatedCommunicationsProviders")。根據(jù)條文，幾乎任何從事通信服務(wù)相關(guān)的組織或個人，都可落入“指定通信提供者”的范疇之內(nèi)。具體來說，包括：

　　

　　1)“通信服務(wù)”提供者(carriageservices)，具體包括傳統(tǒng)電信服務(wù)和互聯(lián)網(wǎng)連接服務(wù)(包括基礎(chǔ)網(wǎng)絡(luò)運營和互聯(lián)網(wǎng)接入)的提供者;

　　

　　2)“電子服務(wù)”(electronicservices)提供者，即互聯(lián)網(wǎng)通信服務(wù)提供者。所覆蓋的領(lǐng)域包括“網(wǎng)站、聊天室、通信應(yīng)用、云和網(wǎng)站托管、點對點分享平臺、電郵分發(fā)列表”等，且在澳大利亞境內(nèi)有一到多位終端用戶;

　　

　　3)與上述“通信服務(wù)”和“電子服務(wù)”相連接的軟件的開發(fā)者和提供者;

　　

　　4)為“通信服務(wù)”和“電子服務(wù)”的開展提供“便利或協(xié)助性質(zhì)”的服務(wù)的提供者;

　　

　　5)制造、提供、安裝、運維、運營用于電信網(wǎng)絡(luò)(telecommunicationsnetwork)的設(shè)備(facility)的組織或個人。設(shè)備是指電信網(wǎng)絡(luò)基礎(chǔ)設(shè)施的任何部分，或者電信網(wǎng)絡(luò)所使用的，或與電信網(wǎng)絡(luò)相連接的“線路、儀器、裝置、塔臺、天線桿、天線、隧道、管道、洞、坑、桿等結(jié)構(gòu)或物件”;

　　

　　6)制造或提供面向消費者所使用設(shè)備的組織或個人。設(shè)備包括手機、路由、計算裝置，還包括手機零部件(包括電路板、SIMs卡、存儲器等)的制造者;

　　

　　7)提供第三方服務(wù)的組織或個人，例如提供消費者設(shè)備安裝和維修服務(wù)的技術(shù)專家、外包服務(wù)商等。

　　

　　2、適用的地域范圍

　　

　　簡單來說，只要面向澳大利亞通信服務(wù)的組織或個人，無論其“公司、服務(wù)器、制造地點”是否位于澳大利亞境內(nèi)，即受到該法的約束。澳大利亞內(nèi)政部在其官方網(wǎng)站上直言：進入澳大利亞市場，在澳大利亞境內(nèi)運營，即意味著如果(包括恐怖主義在內(nèi)的)犯罪分子使用了其提供的通信服務(wù)，則該通信服務(wù)的提供者有法律上的協(xié)助義務(wù)。

　　

　　3、對“指定通信提供者”提出的具體要求

　　

　　“協(xié)助和訪問法”向執(zhí)法部門或情報機關(guān)提供了三種法律工具：

　　

　　1)技術(shù)協(xié)助申請(TechnicalAssistanceRequest,TAR)：該請求為自愿性，不產(chǎn)生強制的法律義務(wù)。TAR可由通信攔截機構(gòu)(包括聯(lián)邦，州和地區(qū)執(zhí)法部門和澳大利亞刑事情報委員會)、澳大利亞安全情報組織(ASIO)，澳大利亞秘密情報局(ASIS)或澳大利亞國防情報局(ASD)的負責(zé)人基于法定目的而發(fā)出。如果“指定通信提供者”在TAR下自愿提供上述協(xié)助，則該提供者及其部門、員工和代理人將就所提供的協(xié)助獲得民事豁免。

　　

　　2)技術(shù)協(xié)助通知(TechnicalAssistanceNotice，TAN)：這是一項強制性命令，可由通信攔截機構(gòu)或ASIO的負責(zé)人發(fā)出。如果“指定通信提供者”收到TAN且目前具備提供協(xié)助的技術(shù)能力，則“指定通信提供者”必須根據(jù)TAN提供技術(shù)協(xié)助。

　　

　　3)技術(shù)能力通知(TechnicalCapabilityNotice,TCN)：這是一項強制性命令，可由總檢察長和通訊部長在根據(jù)通信攔截機構(gòu)或ASIO負責(zé)人的要求下聯(lián)合發(fā)布。如果TCN要求“指定通信提供者”提供技術(shù)協(xié)助，則“指定通信提供者”必須提供該技術(shù)協(xié)助，尤其是專門新建或新開發(fā)提供該技術(shù)協(xié)助的能力或功能。

　　

　　總的來說，執(zhí)法部門或情報機關(guān)可以借助上述三種法律工具，達到下列目標(biāo)：

　　

　　1)在“指定通信提供者”已具備能力的情況下，要求“指定通信提供者”對特定通信進行解密處理;

　　

　　2)要求“指定通信提供者”協(xié)助執(zhí)法或情報機關(guān)在“指定通信提供者”的網(wǎng)絡(luò)中安裝特定的軟件;

　　

　　3)要求“指定通信提供者”修改“指定通信提供者”所提供服務(wù)的特征，或替換服務(wù);

　　

　　4)要求“指定通信提供者”提供訪問相關(guān)設(shè)施、儀器、裝備、服務(wù)的協(xié)助;

　　

　　5)要求“指定通信提供者”提供相關(guān)技術(shù)信息，包括“源代碼、網(wǎng)絡(luò)或服務(wù)設(shè)計方案、通信服務(wù)中設(shè)計的第三方提供商的有關(guān)情況、網(wǎng)絡(luò)設(shè)備的配置和加密方案”等;

　　

　　6)要求“指定通信提供者”為執(zhí)法部門或情報機關(guān)所開展的秘密行動保密。

　　

　　4、嚴(yán)格的保密義務(wù)

　　

　　該法對接收到申請或通知的“指定通信提供者”設(shè)定了嚴(yán)格的保密義務(wù)。“指定通信提供者”既不能透露所收到的申請或通知的內(nèi)容或細節(jié)，也不能透露其接收到了申請或通知這件事本身。該保密義務(wù)不僅覆蓋“指定通信提供者”，還延伸至其職員、服務(wù)外包商及外包商的職員。違反保密義務(wù)的“指定通信提供者”的有關(guān)人員，將被處于高達5年的監(jiān)禁。

　　

　　二、“協(xié)助和訪問法”是否要求設(shè)置“后門”

　　

　　該法最引人關(guān)注的爭議焦點即在于是否要求“指定通信提供者”設(shè)置后門(backdoors)。在其官方網(wǎng)站上，澳大利亞內(nèi)政部專門開辟一欄用于澄清“關(guān)于協(xié)助和訪問法的迷思”(MythsabouttheAssistanceandAccessAct)，并明確聲明：“該法沒有賦予政府安裝后門的權(quán)力”。

　　

　　在澳政府看來，最直接的證據(jù)是該法第317ZG節(jié)明確禁止政府要求“指定通信提供者”在電子保護中建立“系統(tǒng)性弱點或脆弱性”(“anexpressprohibitionagainstbuildingasystemicweaknessorvulnerabilityintoaformofelectronicprotection”);同時該節(jié)還確保“指定通信提供者”能夠及時修復(fù)“系統(tǒng)性弱點或脆弱性”。關(guān)于加解密，第317ZG節(jié)還明確禁止要求“指定通信提供者”建立新的解密能力，或要求“指定通信提供者”采取系統(tǒng)性的措施以降低認證或加密的有效性。

　　

　　聽起來似乎都不錯，但細節(jié)在魔鬼之中——關(guān)于“系統(tǒng)性弱點或脆弱性”的定義。“協(xié)助和訪問法”是這樣定義“系統(tǒng)性弱點或脆弱性”的：“影響一整類技術(shù)”(awholeclassoftechnology)的弱點或脆弱性，但“不包括針對特定個人所使用的一項或多項目標(biāo)技術(shù)而有選擇性地引入”(selectivelyintroducedtooneormoretargettechnologiesthatareconnectedwithaparticularperson)的弱點或脆弱性。

　　

　　隨后，該法繼續(xù)對“目標(biāo)技術(shù)”(targettechnologies)進行了定義，包括了以下情形：

　　

　　1)特定個人所使用，或可能使用的“通信服務(wù)”和“電子服務(wù)”;

　　

　　2)特定個人所使用，或可能使用的特定計算機或設(shè)備上已經(jīng)安裝的，或?qū)⒁惭b的軟件，及該軟件特定升級包;

　　

　　3)特定個人所使用，或可能使用的特定消費者設(shè)備(customerequipment)中的特定組件;

　　

　　4)特定個人所使用，或可能使用的數(shù)據(jù)處理儀器;

　　

　　從上述對比可看出，在“協(xié)助和訪問法”中所謂的針對“影響一整類技術(shù)”的“系統(tǒng)性弱點或脆弱性”，與針對“目標(biāo)技術(shù)”而有選擇性引入的弱點或脆弱性(本文簡稱“特定弱點或脆弱性”)的刻意區(qū)分，絕非如澳大利亞政府所言的涇渭分明，對政府要求設(shè)置后門的權(quán)力很難有實質(zhì)性的限制。

　　

　　首先，“系統(tǒng)性弱點或脆弱性”與針對“目標(biāo)技術(shù)”而有選擇性引入的弱點或脆弱性(本文簡稱“特定性弱點或脆弱性”)在技術(shù)本質(zhì)上并沒有顯著區(qū)別：所謂的“系統(tǒng)性”，并非對技術(shù)能夠產(chǎn)生系統(tǒng)性、全局性、根本性、框架性的影響;“特定性弱點或脆弱性”中所謂的“特定”、“有選擇性”等限定詞，也并非指對技術(shù)僅有局部、邊緣性、淺層的影響。兩者的目的和效果都是一致的——均要求通過弱點或脆弱性截獲通信。

　　

　　其次，“系統(tǒng)性弱點或脆弱性”中所謂的“一整類技術(shù)”，與“特定性弱點或脆弱性”中所謂的“目標(biāo)技術(shù)”，事實上也沒有顯著區(qū)別。“目標(biāo)技術(shù)”中的“目標(biāo)”，指的是特定個人所使用或可能使用。設(shè)想以下情況：該特定個人使用的是大眾日常使用的通信設(shè)備或軟件，這樣的通信設(shè)備或軟件往往使用的是通用技術(shù)或協(xié)議，則“特定性弱點或脆弱性”所產(chǎn)生的影響，幾乎肯定波及“一整類技術(shù)”。

　　

　　再次，“系統(tǒng)性”和“特定性”的區(qū)分無法起到對通信攔截對象的有效限定。從法案文本來看，“系統(tǒng)性弱點或脆弱性”對應(yīng)的是能夠?qū)崿F(xiàn)大規(guī)模、無差別通信攔截的弱點或脆弱性;而“特定性弱點或脆弱性”對應(yīng)的是具體案件中所涉及的具體個人。“協(xié)助和訪問法”在實現(xiàn)后者的同時，希望避免前者。但有意思的是，該法在對“目標(biāo)技術(shù)”的定義之后加了一句話：“無論該特定個人是否能被識別，不對界定目標(biāo)技術(shù)產(chǎn)生實質(zhì)影響”(Forthepurposesofparagraphs(a),(b),(c),(d),(e)and(f),itisimmaterialwhetherthepersoncanbeidentified.)。這句耐人尋味的話，是否意味著所謂的特定個人，在實踐中僅需要有個模糊的描述即可，而不用確定到具體、確定的對象？如果是這樣的話，一開始針對特定目標(biāo)的通信攔截，很容易演變成大規(guī)模、無差別的秘密行動。

　　

　　再以一個例子進行說明：針對該特定個人所使用的通信應(yīng)用，澳大利亞情報機關(guān)要求該通信應(yīng)用提供者向該特定個人定向推送升級包，該升級包中包含由澳情報機關(guān)所開發(fā)的具有截獲通信的間諜軟件。根據(jù)“協(xié)助和訪問法”的規(guī)定，這樣的升級包屬于“特定性弱點或脆弱性”，而非“系統(tǒng)性弱點或脆弱性”，通信應(yīng)用提供者應(yīng)當(dāng)配合。但在通信應(yīng)用提供者眼中，該升級包對應(yīng)用產(chǎn)生的影響肯定是根本性、系統(tǒng)性的，且升級包中所含有的間諜軟件從技術(shù)層面來說也一定能感染其他用戶的應(yīng)用。更重要的是，該間諜軟件所利用的通信應(yīng)用中的漏洞，根據(jù)“協(xié)助和訪問法”規(guī)定，不屬于“系統(tǒng)性弱點或脆弱性”，所以澳情報機關(guān)有權(quán)要求通信服務(wù)提供者禁止修復(fù)該漏洞。再加上“協(xié)助和訪問法”允許情報機關(guān)在申請或通知中，無需識別出特定個人而只要給出一定范圍即可(如在某特定ip地址登錄或使用通信應(yīng)用的人)，則通信應(yīng)用提供商管控間諜軟件的擴散的難度成倍增加。

　　

　　從上述分析和例子不難看出，即便澳政府不斷地澄清和強調(diào)“協(xié)助和訪問法”沒有賦予政府加裝后門的權(quán)力，但澳私營部門始終認為這正是該法的目的。眾多科技公司認為該法“人為”、“有意”地降低了其提供產(chǎn)品和服務(wù)的安全性，因此強烈反對。正如澳大利亞信息工業(yè)協(xié)會(TheAustralianInformationIndustryAssociation)政策和倡導(dǎo)主管KishwarRahman所言：澳私營部門對澳政府“完全沒有信心”，該法賦予政府的權(quán)力“史無前例”，權(quán)力范圍“過分地寬泛”，實踐中帶來的后果“完全無法預(yù)估”。

　　

　　三、“協(xié)助和訪問法”的國際因素

　　

　　面對澳產(chǎn)業(yè)界的強烈反對，澳政府仍然“一意孤行”。在許多澳大利亞內(nèi)外的分析人士看來，“協(xié)助和訪問法”背后，很大程度上是“五眼聯(lián)盟”(由美國、英國、加拿大、澳大利亞、新西蘭等五國情報機關(guān)組成的情報共享聯(lián)盟)的“陰謀”和“一次試驗”。

　　

　　從2013年開始，起始于二戰(zhàn)的五眼情報聯(lián)盟開始舉行年度部長級會議，探討執(zhí)法和國家安全方面的信息共享。2017年6月五眼聯(lián)盟的渥太華會議上，五國就提出需要克服加密技術(shù)的運用對執(zhí)法和情報活動帶來的困難。該會議后發(fā)布的聯(lián)合公告指出，加密能“嚴(yán)重地限制保護公共安全的努力”，五眼聯(lián)盟將與科技公司一道“探索解決的途徑”。2018年8月舉行的會議更加關(guān)注加密問題。五眼聯(lián)盟專門發(fā)布聯(lián)合聲明：“關(guān)于證據(jù)調(diào)取和加密的原則”(PrinciplesonAccesstoEvidenceandEncryption)。聲明中再次強調(diào)了目前政府部門在“破解加密通信”方面面臨的困難越來越多，五國將可能推動立法強制要求建立加密后門。就在會議召開后的當(dāng)月，澳大利亞政府就推出了“協(xié)助和訪問法”的草稿。就像人權(quán)律師LizzieO’Shea在《紐約時報》撰文所說：澳大利亞不像五眼聯(lián)盟中的其他國家那樣擁有“權(quán)利法案”，自然是五眼聯(lián)盟實驗情報收集新手段的首選。

　　

　　在政策分析和倡導(dǎo)人士看來，澳大利亞立法還能解決美國政府一直面臨的難題。眾所周知，美國FBI近年來數(shù)次呼吁美國國會通過立法，強制要求美國的科技公司加強為執(zhí)法提供的技術(shù)協(xié)助，包括強制解鎖手機、破解加密技術(shù)、加裝軟件后門等。但由于美國科技企業(yè)強大的游說和傳統(tǒng)以來公眾對政府的不信任，F(xiàn)BI和司法部的嘗試屢屢失敗。澳大利亞的“協(xié)助和訪問法”正好解決了這個困難：美國國內(nèi)沒法強迫公司做的事情，正好可以在澳大利亞實現(xiàn)。首先，“協(xié)助和訪問法”適用于面向澳大利亞市場提供服務(wù)的公司，這就基本囊括了所有大型的美國科技公司;其次，澳大利亞政府通過“協(xié)助和訪問法”獲得的部分?jǐn)?shù)據(jù)，可以通過五眼聯(lián)盟或雙邊執(zhí)法協(xié)助渠道，與美國政府共享;再次，如果美國的科技公司在澳大利亞為澳政府提供了技術(shù)協(xié)助，則在面臨美國政府的要求時，這些公司很難再以技術(shù)上不可行的理由拒絕提供數(shù)據(jù)。

　　

　　這也難怪新美國(NewAmerica)智庫監(jiān)控和網(wǎng)絡(luò)安全政策主管SharonBradfordFranklin指出：“協(xié)助和訪問法”對美國來說事實上是“加密后門中的后門”(thesepowerfulnewtoolscouldhelpprovidetheUnitedStateswithabackdoortoanencryptionbackdoor)。雖然澳官員數(shù)次在媒體上澄清“協(xié)助和訪問法”對信息共享有嚴(yán)格的限制，但澳大利亞知名媒體《金融評論》(FinancialReview)在今年2月一篇“對五眼的恐懼籠罩澳加密法”(FiveEyesfearsriseoverAussieencryptionlaws)的報道中指出：大多數(shù)專家均認為“協(xié)助和訪問法”里有足夠的漏洞(loopholes)可以讓其他四個國家借助這部法律，繞過其國內(nèi)人權(quán)、隱私保護等方面的法律限制。

　　

　　四、雙重標(biāo)準(zhǔn)本質(zhì)

　　

　　“協(xié)助和訪問法”到底是“合法、合理、合乎比例、可落實、技術(shù)上可行”，還是對通信產(chǎn)品或服務(wù)安全性的嚴(yán)重威脅？相信行文至此，已經(jīng)可以有個基本的判斷。此外這部法律還直接暴露出美國及其盟友赤裸裸的雙重標(biāo)準(zhǔn)。

　　

　　還是在2018年8月，澳大利亞政府宣布因國家安全原因，禁止中國電信設(shè)備制造商(如華為和中興通訊)向國內(nèi)移動電話運營商提供5G技術(shù)和產(chǎn)品，并禁止在國內(nèi)寬帶網(wǎng)絡(luò)中使用中國的電信設(shè)備。這是美國在全球范圍內(nèi)動用其國家力量對中國科技產(chǎn)品和服務(wù)進行阻擊的一部分。在這場阻擊中，從來沒有黑紙白字的證據(jù)，唯一擺在臺面上的只有為維護“供應(yīng)鏈安全”的說辭，以及類似于澳大利亞政府在其禁令公告中說稱“某些供應(yīng)商可能聽從與澳大利亞法律相沖突的外國政府的法外指示”而開展“未授權(quán)的訪問或干預(yù)”的揣測。

　　

　　對比“協(xié)助和訪問法”的實踐和上述說辭，美澳政府又一次把自己雙重標(biāo)準(zhǔn)的行徑暴露在光天化日之下。美澳政府一方面以保障供應(yīng)鏈安全為名排除中國產(chǎn)品和服務(wù)，另一方面卻通過“協(xié)助和訪問法”在產(chǎn)品和服務(wù)中植入后門，削弱產(chǎn)品和服務(wù)的安全性;而在此法之前，斯諾登就已經(jīng)爆料美英國情報機關(guān)聯(lián)手故意降低加密技術(shù)的安全性。可見，公共利益、隱私保護等本來就是拿來作為自己行為的遮羞布。

　　

　　此外，據(jù)《金融時報》報告，澳這項決定背后的一個關(guān)鍵因素是中國2017年出臺的《國家情報法》中規(guī)定：“任何組織和公民都應(yīng)當(dāng)依法支持、協(xié)助和配合國家情報工作，保守所知悉的國家情報工作秘密”。先不論澳政府對該法僅從字面解讀且無視《國家情報法》在實踐落地時有一系列的制度約束，反觀“協(xié)助和訪問法”無論是適用對象、適用地域、所提技術(shù)要求和保密要求等，足以讓任何第三方產(chǎn)生關(guān)于供應(yīng)鏈安全足夠的擔(dān)心。

　　

　　看來，美澳關(guān)心的絕非產(chǎn)品和服務(wù)的安全，他們真正關(guān)心的是能不能有效地強迫產(chǎn)品和服務(wù)提供商按照自己的意志行事。他們還秉持著“非我族類，其心必異”的冷戰(zhàn)思維，還是認為自己國家的企業(yè)是自己人，而來自于聯(lián)盟國家之外的產(chǎn)品和服務(wù)根本不可靠。這樣的思維和行為，損人不利己。澳大利亞科技企業(yè)目前最擔(dān)心的正是因為“協(xié)助和訪問法”的通過，會讓其他國家對其產(chǎn)品和服務(wù)產(chǎn)生擔(dān)心，使其面臨類似于華為的困境，無法進入國際市場。