“漏洞”交易的法律思考——以法律价值观为视角
【摘要】“漏洞”交易是否可能合法化?
| 科 | 技 | 杂 | 谈 |
中国通信行业第一自媒体
本文作者:谢君泽
本文来源:http://infolaw.fyfz.cn/b/880233
欢迎投稿 杂谈投稿邮箱:631255063@qq.com
“漏洞”是网络安全的最大威胁。因此,一直以来笔者都十分关注并重视对“漏洞”的思考。恰巧,近日笔者的“黑友”余弦先生发表了《我的漏洞世界观》一文,文章虽短,但余弦先生却能像艺术家一样思考“漏洞”的原理与价值。之余,余弦先生亦提出了“漏洞”交易是否可能合法化的疑问。在此,笔者从法律价值观的视角,特撰文予以回应。
法律价值观:多元性与衡平性
技术的价值观是相对单一的。所有的技术创新,几乎都是以效益为第一目标。汽车的产生是为了“运输”效益的提高,原子弹的产生是为了“战争”效益的提高,“克隆”技术的产生一定程度上是为了“医疗”效益的提高,而网络技术的产生则是信息“传输”效益的提高。虽说人们在运用汽车、原子弹、“克隆”及网络时,会一定程度地考虑有关的“安全”问题。但是,这也仅仅是技术创新后运用过程中的考量。而实际上,在技术创新之前或者技术创新的过程中,技术的唯一价值取向其实就是“效益”。
但是,法律作为一种规范性的社会科学,他的价值取向从来都不是单一的。按照经典的法学理论,法律的价值目标,不仅包括效益和安全,还包括自由与秩序、公平与正义。还有些人认为,自由与秩序、公平与正义才是法律的核心价值,而效益和安全只能是第二梯次的法律价值。
也许是法学修养有限,笔者倒不是这么认为。笔者认为,自由与秩序、公平与正义、效益和安全,都有可能成为第一梯次的法律价值。而,他们之间其实是一种“动态衡平”的过程,随着不同的时间、空间、人群、事件而调整价值取向。
以自由和秩序而言,法律既要保护人身、财产、思想的自由,也要考虑在尊重自由的基础上维护国家和社会的秩序。因此,自由和秩序之间是一种辩证的关系,是一个“动态衡平”的关系。有时候,法律要考虑自由多一点。有时候,法律要考虑秩序多一点。在国家和社会不稳定的时期,法律要考虑秩序多一点,而牺牲更多的个人自由。所谓“乱世用重典”,这是为了稳定国家和社会的秩序。但是,随着国家和社会的秩序安定,法律则又要考虑给予更多的个人自由。可见,法律的价值追求与国家和社会的发展阶段是息息相关的。实际上,即使在同一历史阶段,在不同的空间与场合,这种价值追求也会有所不同。比如,在交通拥堵或人群混乱的情况下,可能要考虑秩序多一点,考虑个人自由少一点。诸如此类!
而,公平与正义之间也是一种辩证与“动态衡平”的关系。以刑事诉讼活动为例,在侦查阶段,侦查机关要“强势”一点,嫌疑人要“弱势”一点。在庭审阶段,辩护人要“强势”一点,公诉人要“弱势”一点。侦查机关要“强势”,是为了打击犯罪行为,维护社会的正义。辩护人要“强势”,是为了保护个体人权,维护个案的正义。而,公权力机关在侦查阶段强势一点,庭审阶段弱势一点,嫌疑人或辩护人在侦查阶段弱势一点,庭审阶段强势一点,这本身就是公平与正义“动态衡平”的体现。此外,由于实体正义过于理想、难以追求,而程序正义比较现实、容易达到,因此我们讲究以程序正义弥补实体正义的缺陷,这其实也是一种“动态衡平”。只是,是“正义”这一种法律价值的内部“动态衡平”。
效益和安全的关系自然亦是如此。习近平总书记提“网络安全和信息化”,本身就是一种“效益与安全”的关系。“信息化”追求的是“效益”目标,“网络安全”注重的是“安全”目标。只是,总书记将“网络安全”一词放在“信息化”一词的前面,是否体现了现阶段应侧重于“安全”的价值取向?这是可以思考的。
毫无疑问,法律价值的冲突,不只是存在于某两个价值目标之间或者某一个价值目标内部。实际上,在立法、执法、司法的过程中,法律价值的冲突往往是多元的、混合的。尤其是立法,更是游离于自由、秩序、公平、正义、效益、安全各种价值之间的综合评判与终决取向。
法律价值的衡平:“漏洞”交易与“漏洞”服务
至于“漏洞”交易的法律价值取向,或说法律定性,人们也许是最为茫然的。人们最“擅长”的类比思维,在此失去了效果。人们无法在传统空间中找到一个与网络“漏洞”相同或相似的东西。因此,便无法通过类比思维加以评价。虽然有人提出,网络“漏洞”很像是网络“军火”。但是,就笔者看来,这只能算是一种“比喻”,还谈不上“类比”。既然网络“漏洞”是前所未见的事物,笔者认为,那从法律价值观的角度进行分析评判,应该是最适宜的。
在分析评判之前,必须首先强调的是,“漏洞”扫描和“漏洞”交易是两种不同的概念,也是两种不同的行为。“漏洞”扫描更多的是一种技术概念和技术行为,而“漏洞”交易更多的是一种法律概念和法律行为。而技术实施者与交易实施者的身份,有时候是竞合的,有时候是分离的。一般来说,“漏洞”扫描可以理解为“漏洞”交易准备阶段的前置技术行为。更为重要的是,“漏洞”扫描和“漏洞”交易的法律评价是截然不同的。
“漏洞”扫描作为一种发现“漏洞”的“中性”技术行为,从效益和安全的角度考量,它一方面有可能正当使用于不断改善网络安全从而保障网络“效益”,另一方面也有可能被违法犯罪分子所利用于破坏网络安全从而损坏网络“效益”。因此,本着技术中立的原则,“漏洞”扫描这种技术行为,本身不应给予“善”或“恶”的法律评价。
而“漏洞”交易作为一种买卖网络“技术性缺陷”的行为,其交易的相对方应当是指(具有技术性缺陷的)网络运营者以外的第三者。换言之,所谓的“漏洞”交易是指出售者将网络运营者的某些技术性缺陷有偿转让给第三者。
如果说,出售者不是将网络运营者的技术性缺陷转让给第三者,而是转让给网络运营者自己,那么就不能定性为法律上的“交易行为”而应定性为法律上的“服务行为”。即,“出售者”为“网络运营者”提供寻找网络“漏洞”的服务并给予对价。虽然从某种程度上讲,“服务”本质上也是属于一种广义上的“交易”,但在此应当做严格区分。
从法律价值观的角度而言,笔者认为,提供给(具有技术性缺陷的)网络运营者的“漏洞”服务行为,既有利于“安全”的提高,也有利于“效益”的增加,更不产生自由、秩序、公平、正义的负面效应。因此,法律应当积极认可并予明确肯定。
至于,提供给第三者的网络“漏洞”交易行为,就现阶段而言,还不宜支持,甚至于应予杜绝。虽说购买“漏洞”的第三者,有极少数可能是为了“学习”或“研究”等善意目的,然而不可否认的是,目前绝大多数购买“漏洞”的人都是为了恶意的商业利用、军政利用,以至于实施违法犯罪行为。因此,笔者认为,在现阶段网络安全意识不高、网络安全技术研究不够、网络安全资源投入有限、网络安全法律制度不健全的情况下,纵容或鼓励网络“漏洞”的交易,虽有一定的“效益”正面价值,但会形成极大的“安全”负面价值。从另一个角度来讲,目前网络乱象丛生,网络治理尚不成熟,因此,当前网络领域中的秩序价值应当优于自由价值,正义价值应当优于公平价值。总的来说,在负面综合价值极大于正面综合价值的情况下,笔者认为,不宜让网络“漏洞”的市场交易合法化。
至于,法律对“漏洞”交易不予认可或说能予容忍的程度,取决于负面综合价值与正面综合价值的量比。如果立法者认为“漏洞”交易是一般程度的负面,是可以“一般容忍”的,那么可以将“漏洞”交易近同于“赌博”处理,轻微的“视而不见”,严重的“略施惩戒”。如果立法者认为“漏洞”交易是严重程度的负面,是一种“绝不容忍”的,那么可以将“漏洞”交易近同于“枪支军火”处理,不管是轻微或是严重,都“严惩不怠”。不论若何,法律对“漏洞”交易不置可否,使之处于“灰色地带”,这对于网络安全而言是十分危险的。实际上,由于私法领域奉行“法无禁止即可为”的帝王规则,法律不置可否甚至还会可能产生法律默示承认的风险。
当然,虽说“漏洞”交易不宜私法化或市场化,但这并不意味着“漏洞”交易一无是处。笔者认为,从国家安全、社会公共安全的角度来讲,如何将“漏洞”交易纳入“军政化”的范围是很值得我们思考的。其实,笔者一直相信,网络安全将来必须走公私合作,以至于私营化运作的道路。也许,由私人或私营机构为军队或政府部门提供网络安全的“漏洞”服务,是一个“公私合作”的极好开端!
“漏洞”交易的法律价值取向:当前服务化与未来合法化
行文至此,结论亦呼之欲出。以现阶段的网络安全水平,针对第三方的“漏洞”交易尚不具有私法化或市场化的可能,但是针对(具有技术性缺陷的)网络运营者的“漏洞”服务应当得到法律的积极认可和有效保护。至于,什么时候“漏洞”交易可能合法化,那也许是网络安全技术与网络安全法律都十分发达的未来,而那正是网络社会的自由与秩序、公平与正义、效益和安全再次价值衡平之时。
当然,“漏洞”服务不仅可以为“私”领域所用,还可以为“公”领域所用。作为国家和政府,作为网络安全战略的布局者,如何建立好网络安全的“公私合作”制度,如何利用好私人或私营机构提供的“漏洞”服务为国家网络安全、社会公共网络安全所用,这更是值得我们思考研究的。笔者似乎看到,网络安全的“公私合作”制度,即将成为网络时代我党的新时期“群众路线”!
末了,笔者似乎能够体会到余弦先生极具艺术气息的“漏洞世界观”。在网络时代,法律的漏洞与技术的漏洞一样,四处皆是,同样散发着艺术芳香。技术漏洞引发一个个重大事故,激励着人们研究技术方案的升级;法律漏洞引发一个个冤错案件,激励着人们研究法律规则的完善。技术的漏洞,需要依靠技术的更新去弥补;法律的漏洞需要依靠法律的精神去阐释。
然而,虽然我们因为过去的冤错案件而不断进步,但是却不能纵容未来冤错案件的肆意妄为。就如同,虽然我们追求网络安全的不断完善,但是又不能容忍“漏洞”交易的自由泛滥。
【作者简介】
谢君泽,现为中国人民大学网络犯罪与安全研究中心秘书长、研究员,中国人民大学法学院物证技术鉴定中心副主任、国家司法鉴定人,中国人民大学法学院证据学研究所研究员,首都互联网协会法律专业委员会委员,具有信息技术与法律专业的双重背景,长期致力于计算机网络取证、电子证据司法鉴定、职务犯罪侦查信息化、网络安全法等信息与法的交叉研究,多次参加最高人民检察院、中华全国律协等部门相关规则的起草与论证。
科技杂谈已经开通文章评论
点击下方“评论”表达我的态度
【昨日文章索引】
点击下方 【阅读原文】加入 “科技杂谈菁英会”。
2013年度最佳IT原创自媒体
2014年度最佳新媒体人
2014年度最受企业关注自媒体
国资委微公益行动联合发起人
| 新科技 | 睿思想 |
已入驻百度百家、腾讯新闻、搜狐新闻、今日头条、网易阅读
犀牛财经自媒体联盟(xinews)成员
转载授权、商务合作,联系微信号:sophie0306