西安交通大学信息安全法律研究中心马可:暗网法律治理思路探究

西安交通大学信息安全法律研究中心马可:暗网法律治理思路探究

自Tor于2004年提出了隐匿服务(Hidden Service)的概念以来,以Tor为代表的去中心化、匿名化的暗网已经发展10年以上,近年越来越引起关注。在过度强调不可控的背后,人们可能会忽略除网络层IP地址匿名等特点外,暗网在网络的其他层与表层网并无过多差别,随着各国的重视与监管的深入,暗网不再是法外之地。顺应网络空间治理法治化的趋势,本文在认识暗网治理态度不一且难以彻底摧毁的现实基础上,尝试透过暗网的技术特点,从法律角度认识和分析暗网。全盘的否定或认可并非最佳治理方案,需要考虑法的不同价值权衡问题,兼顾打击违法犯罪与疏导合法利用之目的,以期对暗网的治理思路有所裨益。

根据美国国会研究服务局(CRS)2017年3月10日发布的《暗网》报告,暗网去中心化、匿名化的特点既吸引合法利用,又被认为会促进非法利用。合法利用体现在为保护隐私、通信秘密、商业秘密的私人利用,也包括执法、军事、情报界对暗网的利用。非法利用方面,暗网一度被认为会促进恶意活动,从普通犯罪到恐怖活动再到国家间谍。当然,网络层的匿名与去中心化的特点并非完全无损地符合利用者的预期,源头也并非完全不可追溯。在技术监管方面,多国试图去匿名化、追踪溯源。法律方面,普遍赋予执法机构使用特殊调查手段对违法活动进行追踪溯源的权力。在技术治理与法律治理不断加强和深化的背景下,其效果仍处于被期待的情况。

一、暗网治理概述

暗网的存在不可回避,已成为一个世界性的治理难题,对于暗网的法律规范,反映了不同国家对于互联网、隐私以及刑事诉讼等方面的不同态度。暗网给了人们更多自由,但同时秩序价值变得难以保障。面对法的自由价值与秩序价值冲突的情况,我国和美国对暗网的监管态度存在明显差别:

(一)我国限制进入暗网

在自由与秩序之间,我国更偏向强调秩序。我国法律法规及相关政策具有相对稳健的特点,以保障社会生活的稳定与发展。暗网的去中心化、匿名性、不可控性以及暗网网站建立的随意性等特点尚不符合我国对于互联网建设、使用、运营、维护的基本要求。例如,《中华人民共和国计算机信息网络国际联网管理暂行规定》第六条要求“计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道,任何个人不得自行建立或者使用其他信道进行国际联网。”

在网络运行安全方面,我国总体遵循谁建设谁负责的原则。2017年6月1日实施的《网络安全法》明确要求建设、运营、通过网络提供服务应当遵循法律法规及强制性规定,采取必要措施,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。网络信息安全章节,专门强调国家网信部门和有关部门负有网络信息安全的监督管理职责。管理对象体现为网络运营者、任何使用网络的个人和组织。

(二)美国相对宽松并加强监听

美国政府目前尚未禁止人们对暗网的使用,且很少过滤暗网上的内容,他们越来越关心的是对暗网通信的监听,其目标是保证政府能够接触到所有点对点的通信,但这本质上是复制阿拉伯联合酋长国和沙特阿拉伯更具侵略性的互联网监管法律。强化监听的治理方式被诟病威胁隐私与通信自由,受到一部分人的批评。9·11之后的《爱国者法案》增强了监督信息安全的能力,例如授权有关部门截取恐怖主义信息,计算机欺诈、计算机滥用、计算机攻击的通信信息的权力,提高侦听、揭发通信信息的底线,例如可以查看公民的上网记录、私人信件、电子邮件甚至监视公民阅读情况。2017年修订的美国《外国情报监听法案》、《美国自由法案》进一步强化了监听的合法化。

关于暗网网络,例如Tor网络的合法性问题:Tor网络建立最初并非为了非法目的,但对Tor的利用存在合法与非法之分,随之带来Tor用户(志愿者节点)的合法性问题。有观点认为用户行为更多是对网络流量的移动,应当适用数字千年版权法的避风港原则。另一部分观点指出,数字千年版权法案并没有预见会有Tor网络的出现,《数字千年版权法案》在103条规定禁止破坏著作权之保护体系,并考虑到Tor是否会违背版权所有者采用技术措施识别和保护其作品的因素,法院可能不会直接适用避风港原则。目前尚无法规要求节点运营者承担责任,在审判实践中,法院也认为法律并没有预见用户可以通过暗网进行点对点直接通信,互相传输信息,网络服务提供者是被动的,并不知晓其中内容。

在执法方面,美国联邦调查局正在不断深入暗网打击非法活动,法院在审判实践中支持并依法授予其使用网络调查技术NIT的权力,联邦调查局可以依此使用特殊技术手段进行执法。在总体监管与执法方向上,虽然存在隐私、自由与保障网络空间合法性的争议,但是美国未来可能更倾向于允许用户使用Tor网络,但会对利用Tor进行违法活动的行为设置独立责任。

(三)国际合作

俄罗斯有锁紧使用暗网的趋势,在中俄达成网络空间行为准则之后,首轮中美执法及网络安全对话形成成果。美国2015年《网络安全法》规定通过引渡或无合作情况下的磋商等方式打击国际犯罪,中美在打击暗网犯罪活动方面,已经有执法协作实例。

二、重识暗网

许多人可能认为互联网(Internet)和万维网(World Wide Web)是同义词,但他们并不是。恰恰相反,万维网只是互联网的一部分而已,都是可以访问信息的媒介。对其进一步的概括,有些人可能会将其归纳为可以通过Google等传统搜索引擎搜索到的网站,然而这些内容也只是万维网的一部分——被称为“表层网”。深网是指“由于各种技术原因没有被搜索引擎索引的互联网上的一类内容”,因此无法通过传统的搜索引擎进行访问。深网上的信息包括私人内部网(诸如公司,政府机构或大学之类的内部网络),Lexis Nexis或Westlaw等商业数据库或内部论坛才能搜索的网站内容。进一步地深入网络,会发现暗网又是深网中被刻意隐藏的一部分。暗网是一个通用术语,用于描述用户必须使用特殊软件才可访问的隐藏站点。尽管这些网站的内容可以被访问,但这些网站的发布者却是被隐藏的,用户在暗网中共享信息和文件,被检测追踪的风险也很小。

暗网与表层网的主要区别概括如下:访问需要借助Tor之类的特殊工具;应用层的“域名”、“网址”仅仅是索引性质,是暗网网络随机生成的,本质上仅是一个匿名节点和密钥的查询描述符,具有随意变动性,因此无法被追踪到;网络具有去中心化、匿名化的特点。除这些特点外,暗网在网络的其他层与表层网并无过多差别,并非完全不可监管之地。

三、暗网的法律分析

(一)暗网的合法性分析

从网络的客观分层、技术中立角度分析,暗网是网络空间的组成部分,是互联网的一个子集,暗网具有去中心化、匿名化的特点,但并非专门为非法目的而生,仅存在人们的合法利用或非法利用。合法利用体现在保护在线隐私、商业秘密、通信自由与通信秘密,规避审查保障政治异见人士的通信,政府、军队通过暗网获取情报信息,执法部门深入暗网调取证据打击违法犯罪。非法利用则体现为暗网上充斥着法律法规所禁止的犯罪活动、间谍活动、恐怖主义活动等,对国家法律法规带来挑战。暗网的运行模式与传递的信息、内容不完全符合一些国家的现有监管要求或网络空间治理目标,因此部分国家趋向锁紧对Tor网络的使用例如俄罗斯;有些国家依法禁止使用Tor,例如我国;有些国家则加强监听和过滤来尝试治理。随着全球网络安全知识与技术的进步,在增加技术研究与投入来寻求通过技术治理暗网的方向上以及加强探索法律治理上初步呈现一致倾向。

(二)暗网中的主体行为分析

如前所述,暗网除其去中心化、匿名化的特点外,建设、使用、维护等行为模式与表层网的行为模式基本相通。人们对表层网与暗网的利用在合法性方面基本一致,均存在合法利用与非法利用的情况,表层网所存在的网络安全问题,在暗网中同样存在,暗网是互联网治理中不可忽视的一部分,我们仅分析与主体身份特征或行为有关的差异部分:

1. 用户的使用行为

依照我国1996年《中华人民共和国计算机信息网络国际联网管理暂行规定》的规定:任何人进行国际联网,必须使用邮电部国家共用电信网提供的国际出入口信道,不得自行建立或使用其他信道进行国际联网。私人需要进行国际联网的,必须通过接入网络进行国际联网,该暂行规定还规定了相应的行政责任。

考虑到用户的使用行为在其他国家例如美国并非完全违法,难以追踪暗网中的服务者、用户以及对暗网对使用行为难以完全禁止的现状,法律上的绝对禁止以及实名制等要求的可操作性目前尚不能一概而论。

2. 志愿者中转行为

以使用最为广泛的Tor网络而言,当用户作为中继节点的志愿者,用户的身份则出现双重性。志愿者节点是管道、网络接入服务、还是纯粹传输服务的定性是对其进行法律规制的前提。当用户加入志愿者节点,在技术起到中继节点的作用,即成为其他用户隐匿行为的跳板,已不再单纯为使用网络之目的。该志愿者节点仅临时性传输了暗网中加密的流量,志愿者节点无法对暗网的通信内容进行感知和控制,因此本文认为其仅仅是欧盟《电子商务法》中所称的纯粹传输服务,严格意义上,仅仅是一个管道或称纯粹传输服务。

3. 网络服务提供行为

对网络用户而言,暗网中的服务提供者与表层网服务提供者的行为本质上并无太大差别。

一般而言,网络服务提供者提供服务或产品均应当符合本国相应法规的要求。

相较于暗网中的用户,对于网络服务提供者各国法规普遍有所要求,对于特别行业均有相应的市场进入要求。例如,不提供真实信息的电子商务服务提供者,违反欧盟《电子商务法》,该法案第五条要求服务提供者应当公布其名称、营业机构地址和联系方式。关于商业通讯,第六条要求商业通讯应当可以被清楚地识别,代表某一自然人或法人进行商业通信时,该自然人或法人的身份应当可以被清楚识别。由此可见,在暗网中从事电子商务活动,如不提供真实身份,则违反了该法案;我国《网络安全法》明确要求提供网络产品、服务应当符合国家标准的强制要求,发现产品、服务存在安全缺陷、漏洞等风险时应当立即采取补救措施。提供特许进入行业的服务,均需要取得相应许可。我国《刑法》第二百二十五条规定非法经营罪,兜底条款为其他严重扰乱市场秩序的非法经营行为。由此可见,一项服务要在暗网中匿名进行,尚需要针对具体情况,考虑不同地区法规要求进行合法性分析。

综上,暗网作为网络空间的组成部分,是互联网的一个子集,在暗网上进行活动、利用暗网的行为需要根据不同国家、地区的法律法规情况,进行具体分析。

四、结论

对于暗网网络,目前尚未形成监管共识,但在打击犯罪,维护网络空间安全层面各国逐步走向合作路线,在本国管辖范围内尝试公私合作也在积极进行。    在尝试治理方面,盲目地一概否定或过多干预可能并非最佳路径,法律的滞后性要求法学研究保持与时俱进。与此同时,不可回避隐私、自由、人权、法治、秩序等价值的权衡问题并考虑法律对社会的积极作用,在打击违法犯罪的同时尽可能地疏导和帮助合法利用行为。

本文来自于《中国信息安全》杂志2017年第11期,经授权后发布,本文观点不代表MottoIN立场,转载请联系原作者。

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code