america express 洪延青:澳大利亚“协助和访问法”——双重标准的又一次例证
america express 洪延青:澳大利亚“协助和访问法”——双重标准的又一次例证
(洪延青 北京大学法治与发展研究院高级研究员、中国网络空间安全协会特约研究员)
去年12月6日,澳大利亚联邦议会匆忙通过了《2018年电信和其他法律修正(协助和访问)法案》(s and Other ( and ) Bill 2018)。两天后,该法案获得皇室御准,成为正式的法律(以下简称“协助和访问法”)。
总的来说,该法主要对澳大利亚的《1997年电信法》做出修改,建立了执法部门和情报机关就加密技术要求私营部门提供技术协助的自愿性和强制性的法律框架。同时,该法还修改了刑事方面的法律,增强了执法部门和情报机关在计算机和数据方面的搜查、调取权力,增加了对告密者(-)的处罚,以及提高了对不予配合行为的罚金。
一、“协助和访问法”规定了什么
1、适用对象
“协助和访问法”适用于“指定通信提供者”(" ")。根据条文,几乎任何从事通信服务相关的组织或个人,都可落入“指定通信提供者”的范畴之内。具体来说,包括:
1) “通信服务”提供者( ),具体包括传统电信服务和互联网连接服务(包括基础网络运营和互联网接入)的提供者;
2) “电子服务”( )提供者,即互联网通信服务提供者。所覆盖的领域包括“网站、聊天室、通信应用、云和网站托管、点对点分享平台、电邮分发列表”等,且在澳大利亚境内有一到多位终端用户;
3) 与上述“通信服务”和“电子服务”相连接的软件的开发者和提供者;
4) 为“通信服务”和“电子服务”的开展提供“便利或协助性质”的服务的提供者;
5) 制造、提供、安装、运维、运营用于电信网络( )的设备()的组织或个人。设备是指电信网络基础设施的任何部分,或者电信网络所使用的,或与电信网络相连接的“线路、仪器、装置、塔台、天线杆、天线、隧道、管道、洞、坑、杆等结构或物件”;
6) 制造或提供面向消费者所使用设备的组织或个人。设备包括手机、路由、计算装置,还包括手机零部件(包括电路板、SIMs卡、存储器等)的制造者;
7) 提供第三方服务的组织或个人,例如提供消费者设备安装和维修服务的技术专家、外包服务商等。
2、适用的地域范围
简单来说america express 洪延青:澳大利亚“协助和访问法”——双重标准的又一次例证,只要面向澳大利亚通信服务的组织或个人,无论其“公司、服务器、制造地点”是否位于澳大利亚境内,即受到该法的约束。澳大利亚内政部在其官方网站上直言:进入澳大利亚市场america express 洪延青:澳大利亚“协助和访问法”——双重标准的又一次例证,在澳大利亚境内运营,即意味着如果(包括恐怖主义在内的)犯罪分子使用了其提供的通信服务,则该通信服务的提供者有法律上的协助义务。
3、对“指定通信提供者”提出的具体要求
“协助和访问法”向执法部门或情报机关提供了三种法律工具:
1) 技术协助申请( , TAR):该请求为自愿性,不产生强制的法律义务。TAR可由通信拦截机构(包括联邦,州和地区执法部门和澳大利亚刑事情报委员会)、澳大利亚安全情报组织(ASIO),澳大利亚秘密情报局(ASIS)或澳大利亚国防情报局(ASD)的负责人基于法定目的而发出。如果“指定通信提供者”在TAR下自愿提供上述协助,则该提供者及其部门、员工和代理人将就所提供的协助获得民事豁免。
2) 技术协助通知( ,TAN):这是一项强制性命令,可由通信拦截机构或ASIO的负责人发出。如果“指定通信提供者”收到TAN且目前具备提供协助的技术能力,则“指定通信提供者”必须根据TAN提供技术协助。
3) 技术能力通知( , TCN):这是一项强制性命令,可由总检察长和通讯部长在根据通信拦截机构或ASIO负责人的要求下联合发布。如果TCN要求“指定通信提供者”提供技术协助,则“指定通信提供者”必须提供该技术协助america express,尤其是专门新建或新开发提供该技术协助的能力或功能。
总的来说america express,执法部门或情报机关可以借助上述三种法律工具,达到下列目标:
1) 在“指定通信提供者”已具备能力的情况下,要求“指定通信提供者”对特定通信进行解密处理;
2) 要求“指定通信提供者”协助执法或情报机关在“指定通信提供者”的网络中安装特定的软件;
3) 要求“指定通信提供者”修改“指定通信提供者”所提供服务的特征,或替换服务;
4) 要求“指定通信提供者”提供访问相关设施、仪器、装备、服务的协助;
5) 要求“指定通信提供者”提供相关技术信息,包括“源代码、网络或服务设计方案、通信服务中设计的第三方提供商的有关情况、网络设备的配置和加密方案”等;
6) 要求“指定通信提供者”为执法部门或情报机关所开展的秘密行动保密。
4、严格的保密义务
该法对接收到申请或通知的“指定通信提供者”设定了严格的保密义务。“指定通信提供者”既不能透露所收到的申请或通知的内容或细节america express,也不能透露其接收到了申请或通知这件事本身。该保密义务不仅覆盖“指定通信提供者”,还延伸至其职员、服务外包商及外包商的职员。违反保密义务的“指定通信提供者”的有关人员,将被处于高达5年的监禁。
二、“协助和访问法”是否要求设置“后门”
该法最引人关注的争议焦点即在于是否要求“指定通信提供者”设置后门()。在其官方网站上,澳大利亚内政部专门开辟一栏用于澄清“关于协助和访问法的迷思”(Myths about the and Act),并明确声明:“该法没有赋予政府安装后门的权力”。
在澳政府看来,最直接的证据是该法第317ZG节明确禁止政府要求“指定通信提供者”在电子保护中建立“系统性弱点或脆弱性”(“an a or into a form of ”);同时该节还确保“指定通信提供者”能够及时修复“系统性弱点或脆弱性”。关于加解密,第317ZG节还明确禁止要求“指定通信提供者”建立新的解密能力,或要求“指定通信提供者”采取系统性的措施以降低认证或加密的有效性。
听起来似乎都不错,但细节在魔鬼之中——关于“系统性弱点或脆弱性”的定义。“协助和访问法”是这样定义“系统性弱点或脆弱性”的:“影响一整类技术”(a whole class of )的弱点或脆弱性,但“不包括针对特定个人所使用的一项或多项目标技术而有选择性地引入”( to one or more that are with a )的弱点或脆弱性。
随后,该法继续对“目标技术”( )进行了定义,包括了以下情形:
1) 特定个人所使用,或可能使用的“通信服务”和“电子服务”;
2) 特定个人所使用,或可能使用的特定计算机或设备上已经安装的,或将要安装的软件,及该软件特定升级包;
3) 特定个人所使用,或可能使用的特定消费者设备( )中的特定组件;
4) 特定个人所使用,或可能使用的数据处理仪器;
从上述对比可看出,在“协助和访问法”中所谓的针对“影响一整类技术”的“系统性弱点或脆弱性”,与针对“目标技术”而有选择性引入的弱点或脆弱性(本文简称“特定弱点或脆弱性”)的刻意区分,绝非如澳大利亚政府所言的泾渭分明,对政府要求设置后门的权力很难有实质性的限制。
首先, “系统性弱点或脆弱性”与针对“目标技术”而有选择性引入的弱点或脆弱性(本文简称“特定性弱点或脆弱性”)在技术本质上并没有显著区别:所谓的“系统性”,并非对技术能够产生系统性、全局性、根本性、框架性的影响;“特定性弱点或脆弱性”中所谓的“特定”、“有选择性”等限定词,也并非指对技术仅有局部、边缘性、浅层的影响。两者的目的和效果都是一致的——均要求通过弱点或脆弱性截获通信。
其次,“系统性弱点或脆弱性”中所谓的“一整类技术”,与“特定性弱点或脆弱性”中所谓的“目标技术”,事实上也没有显著区别。“目标技术”中的“目标”,指的是特定个人所使用或可能使用。设想以下情况:该特定个人使用的是大众日常使用的通信设备或软件,这样的通信设备或软件往往使用的是通用技术或协议,则“特定性弱点或脆弱性”所产生的影响,几乎肯定波及“一整类技术”。
再次,“系统性”和“特定性”的区分无法起到对通信拦截对象的有效限定。从法案文本来看,“系统性弱点或脆弱性”对应的是能够实现大规模、无差别通信拦截的弱点或脆弱性;而“特定性弱点或脆弱性”对应的是具体案件中所涉及的具体个人。“协助和访问法”在实现后者的同时,希望避免前者。但有意思的是,该法在对“目标技术”的定义之后加了一句话:“无论该特定个人是否能被识别,不对界定目标技术产生实质影响”(For the of (a), (b), (c), (d), (e) and (f), it is the can be .)。这句耐人寻味的话,是否意味着所谓的特定个人,在实践中仅需要有个模糊的描述即可,而不用确定到具体、确定的对象?如果是这样的话,一开始针对特定目标的通信拦截,很容易演变成大规模、无差别的秘密行动。
再以一个例子进行说明:针对该特定个人所使用的通信应用,澳大利亚情报机关要求该通信应用提供者向该特定个人定向推送升级包,该升级包中包含由澳情报机关所开发的具有截获通信的间谍软件。根据“协助和访问法”的规定,这样的升级包属于“特定性弱点或脆弱性”,而非“系统性弱点或脆弱性”,通信应用提供者应当配合。但在通信应用提供者眼中,该升级包对应用产生的影响肯定是根本性、系统性的,且升级包中所含有的间谍软件从技术层面来说也一定能感染其他用户的应用。更重要的是,该间谍软件所利用的通信应用中的漏洞,根据“协助和访问法”规定,不属于“系统性弱点或脆弱性”,所以澳情报机关有权要求通信服务提供者禁止修复该漏洞。再加上“协助和访问法”允许情报机关在申请或通知中,无需识别出特定个人而只要给出一定范围即可(如在某特定ip地址登录或使用通信应用的人),则通信应用提供商管控间谍软件的扩散的难度成倍增加。
从上述分析和例子不难看出,即便澳政府不断地澄清和强调“协助和访问法”没有赋予政府加装后门的权力,但澳私营部门始终认为这正是该法的目的。众多科技公司认为该法“人为”、“有意”地降低了其提供产品和服务的安全性,因此强烈反对。正如澳大利亚信息工业协会(The )政策和倡导主管 所言:澳私营部门对澳政府“完全没有信心”,该法赋予政府的权力“史无前例”,权力范围“过分地宽泛”,实践中带来的后果“完全无法预估”。
三、“协助和访问法”的国际因素
面对澳产业界的强烈反对,澳政府仍然“一意孤行”。在许多澳大利亚内外的分析人士看来,“协助和访问法”背后,很大程度上是“五眼联盟”(由美国、英国、加拿大、澳大利亚、新西兰等五国情报机关组成的情报共享联盟)的“阴谋”和“一次试验”。
