(洪延青 北京大學法治與發展研究院高級研究員、中國網絡空間安全協會特約研究員)

　　去年12月6日，澳大利亞聯邦議會匆忙通過了《2018年電信和其他法律修正(協助和訪問)法案》(theTelecommunications and Other Legislation Amendment (Assistance and Access) Bill 2018)。兩天后，該法案獲得皇室御準，成為正式的法律(以下簡稱“協助和訪問法”)。

　　總的來說，該法主要對澳大利亞的《1997年電信法》做出修改，建立了執法部門和情報機關就加密技術要求私營部門提供技術協助的自愿性和強制性的法律框架。同時，該法還修改了刑事方面的法律，增強了執法部門和情報機關在計算機和數據方面的搜查、調取權力，增加了對告密者(whistle-blowers)的處罰，以及提高了對不予配合行為的罰金。

　　一、“協助和訪問法”規定了什么

　　1、適用對象

　　“協助和訪問法”適用于“指定通信提供者”("Designated Communications Providers")。根據條文，幾乎任何從事通信服務相關的組織或個人，都可落入“指定通信提供者”的范疇之內。具體來說，包括：

　　1)      “通信服務”提供者(carriage services)，具體包括傳統電信服務和互聯網連接服務(包括基礎網絡運營和互聯網接入)的提供者;

　　2)      “電子服務”(electronic services)提供者，即互聯網通信服務提供者。所覆蓋的領域包括“網站、聊天室、通信應用、云和網站托管、點對點分享平臺、電郵分發列表”等，且在澳大利亞境內有一到多位終端用戶;

　　3)      與上述“通信服務”和“電子服務”相連接的軟件的開發者和提供者;

　　4)      為“通信服務”和“電子服務”的開展提供“便利或協助性質”的服務的提供者;

　　5)      制造、提供、安裝、運維、運營用于電信網絡(telecommunications network)的設備(facility)的組織或個人。設備是指電信網絡基礎設施的任何部分，或者電信網絡所使用的，或與電信網絡相連接的“線路、儀器、裝置、塔臺、天線桿、天線、隧道、管道、洞、坑、桿等結構或物件”;

　　6)      制造或提供面向消費者所使用設備的組織或個人。設備包括手機、路由、計算裝置，還包括手機零部件(包括電路板、SIMs卡、存儲器等)的制造者;

　　7)      提供第三方服務的組織或個人，例如提供消費者設備安裝和維修服務的技術專家、外包服務商等。

　　2、適用的地域范圍

　　簡單來說，只要面向澳大利亞通信服務的組織或個人，無論其“公司、服務器、制造地點”是否位于澳大利亞境內，即受到該法的約束。澳大利亞內政部在其官方網站上直言：進入澳大利亞市場，在澳大利亞境內運營，即意味著如果(包括恐怖主義在內的)犯罪分子使用了其提供的通信服務，則該通信服務的提供者有法律上的協助義務。

　　3、對“指定通信提供者”提出的具體要求

　　“協助和訪問法”向執法部門或情報機關提供了三種法律工具：

　　1)      技術協助申請(Technical Assistance Request, TAR)：該請求為自愿性，不產生強制的法律義務。TAR可由通信攔截機構(包括聯邦，州和地區執法部門和澳大利亞刑事情報委員會)、澳大利亞安全情報組織(ASIO)，澳大利亞秘密情報局(ASIS)或澳大利亞國防情報局(ASD)的負責人基于法定目的而發出。如果“指定通信提供者”在TAR下自愿提供上述協助，則該提供者及其部門、員工和代理人將就所提供的協助獲得民事豁免。

　　2)      技術協助通知(Technical Assistance Notice，TAN)：這是一項強制性命令，可由通信攔截機構或ASIO的負責人發出。如果“指定通信提供者”收到TAN且目前具備提供協助的技術能力，則“指定通信提供者”必須根據TAN提供技術協助。

　　3)      技術能力通知(Technical Capability Notice, TCN)：這是一項強制性命令，可由總檢察長和通訊部長在根據通信攔截機構或ASIO負責人的要求下聯合發布。如果TCN要求“指定通信提供者”提供技術協助，則“指定通信提供者”必須提供該技術協助，尤其是專門新建或新開發提供該技術協助的能力或功能。

　　總的來說，執法部門或情報機關可以借助上述三種法律工具，達到下列目標：

　　1)      在“指定通信提供者”已具備能力的情況下，要求“指定通信提供者”對特定通信進行解密處理;

　　2)      要求“指定通信提供者”協助執法或情報機關在“指定通信提供者”的網絡中安裝特定的軟件;

　　3)      要求“指定通信提供者”修改“指定通信提供者”所提供服務的特征，或替換服務;

　　4)      要求“指定通信提供者”提供訪問相關設施、儀器、裝備、服務的協助;

　　5)      要求“指定通信提供者”提供相關技術信息，包括“源代碼、網絡或服務設計方案、通信服務中設計的第三方提供商的有關情況、網絡設備的配置和加密方案”等;

　　6)      要求“指定通信提供者”為執法部門或情報機關所開展的秘密行動保密。

　　4、嚴格的保密義務

　　該法對接收到申請或通知的“指定通信提供者”設定了嚴格的保密義務。“指定通信提供者”既不能透露所收到的申請或通知的內容或細節，也不能透露其接收到了申請或通知這件事本身。該保密義務不僅覆蓋“指定通信提供者”，還延伸至其職員、服務外包商及外包商的職員。違反保密義務的“指定通信提供者”的有關人員，將被處于高達5年的監禁。

　　二、“協助和訪問法”是否要求設置“后門”

　　該法最引人關注的爭議焦點即在于是否要求“指定通信提供者”設置后門(backdoors)。在其官方網站上，澳大利亞內政部專門開辟一欄用于澄清“關于協助和訪問法的迷思”(Myths about the Assistance and Access Act)，并明確聲明：“該法沒有賦予政府安裝后門的權力”。

　　在澳政府看來，最直接的證據是該法第317ZG節明確禁止政府要求“指定通信提供者”在電子保護中建立“系統性弱點或脆弱性”(“an express prohibition against building a systemic weakness or vulnerability into a form of electronic protection”);同時該節還確保“指定通信提供者”能夠及時修復“系統性弱點或脆弱性”。關于加解密，第317ZG節還明確禁止要求“指定通信提供者”建立新的解密能力，或要求“指定通信提供者”采取系統性的措施以降低認證或加密的有效性。

　　聽起來似乎都不錯，但細節在魔鬼之中——關于“系統性弱點或脆弱性”的定義。“協助和訪問法”是這樣定義“系統性弱點或脆弱性”的：“影響一整類技術”(a whole class of technology)的弱點或脆弱性，但“不包括針對特定個人所使用的一項或多項目標技術而有選擇性地引入”(selectively introduced to one or more target technologies that are connected with a particular person)的弱點或脆弱性。

　　隨后，該法繼續對“目標技術”(target technologies)進行了定義，包括了以下情形：

　　1)      特定個人所使用，或可能使用的“通信服務”和“電子服務”;

　　2)      特定個人所使用，或可能使用的特定計算機或設備上已經安裝的，或將要安裝的軟件，及該軟件特定升級包;

　　3)      特定個人所使用，或可能使用的特定消費者設備(customer equipment)中的特定組件;

　　4)      特定個人所使用，或可能使用的數據處理儀器;

　　從上述對比可看出，在“協助和訪問法”中所謂的針對“影響一整類技術”的“系統性弱點或脆弱性”，與針對“目標技術”而有選擇性引入的弱點或脆弱性(本文簡稱“特定弱點或脆弱性”)的刻意區分，絕非如澳大利亞政府所言的涇渭分明，對政府要求設置后門的權力很難有實質性的限制。

　　首先， “系統性弱點或脆弱性”與針對“目標技術”而有選擇性引入的弱點或脆弱性(本文簡稱“特定性弱點或脆弱性”)在技術本質上并沒有顯著區別：所謂的“系統性”，并非對技術能夠產生系統性、全局性、根本性、框架性的影響;“特定性弱點或脆弱性”中所謂的“特定”、“有選擇性”等限定詞，也并非指對技術僅有局部、邊緣性、淺層的影響。兩者的目的和效果都是一致的——均要求通過弱點或脆弱性截獲通信。

　　其次，“系統性弱點或脆弱性”中所謂的“一整類技術”，與“特定性弱點或脆弱性”中所謂的“目標技術”，事實上也沒有顯著區別。“目標技術”中的“目標”，指的是特定個人所使用或可能使用。設想以下情況：該特定個人使用的是大眾日常使用的通信設備或軟件，這樣的通信設備或軟件往往使用的是通用技術或協議，則“特定性弱點或脆弱性”所產生的影響，幾乎肯定波及“一整類技術”。

　　再次，“系統性”和“特定性”的區分無法起到對通信攔截對象的有效限定。從法案文本來看，“系統性弱點或脆弱性”對應的是能夠實現大規模、無差別通信攔截的弱點或脆弱性;而“特定性弱點或脆弱性”對應的是具體案件中所涉及的具體個人。“協助和訪問法”在實現后者的同時，希望避免前者。但有意思的是，該法在對“目標技術”的定義之后加了一句話：“無論該特定個人是否能被識別，不對界定目標技術產生實質影響”(For the purposes of paragraphs (a), (b), (c), (d), (e) and (f), it is immaterial whether the person can be identified.)。這句耐人尋味的話，是否意味著所謂的特定個人，在實踐中僅需要有個模糊的描述即可，而不用確定到具體、確定的對象？如果是這樣的話，一開始針對特定目標的通信攔截，很容易演變成大規模、無差別的秘密行動。

　　再以一個例子進行說明：針對該特定個人所使用的通信應用，澳大利亞情報機關要求該通信應用提供者向該特定個人定向推送升級包，該升級包中包含由澳情報機關所開發的具有截獲通信的間諜軟件。根據“協助和訪問法”的規定，這樣的升級包屬于“特定性弱點或脆弱性”，而非“系統性弱點或脆弱性”，通信應用提供者應當配合。但在通信應用提供者眼中，該升級包對應用產生的影響肯定是根本性、系統性的，且升級包中所含有的間諜軟件從技術層面來說也一定能感染其他用戶的應用。更重要的是，該間諜軟件所利用的通信應用中的漏洞，根據“協助和訪問法”規定，不屬于“系統性弱點或脆弱性”，所以澳情報機關有權要求通信服務提供者禁止修復該漏洞。再加上“協助和訪問法”允許情報機關在申請或通知中，無需識別出特定個人而只要給出一定范圍即可(如在某特定ip地址登錄或使用通信應用的人)，則通信應用提供商管控間諜軟件的擴散的難度成倍增加。

　　從上述分析和例子不難看出，即便澳政府不斷地澄清和強調“協助和訪問法”沒有賦予政府加裝后門的權力，但澳私營部門始終認為這正是該法的目的。眾多科技公司認為該法“人為”、“有意”地降低了其提供產品和服務的安全性，因此強烈反對。正如澳大利亞信息工業協會(The Australian Information Industry Association)政策和倡導主管Kishwar Rahman所言：澳私營部門對澳政府“完全沒有信心”，該法賦予政府的權力“史無前例”，權力范圍“過分地寬泛”，實踐中帶來的后果“完全無法預估”。

　　三、“協助和訪問法”的國際因素

　　面對澳產業界的強烈反對，澳政府仍然“一意孤行”。在許多澳大利亞內外的分析人士看來，“協助和訪問法”背后，很大程度上是“五眼聯盟”(由美國、英國、加拿大、澳大利亞、新西蘭等五國情報機關組成的情報共享聯盟)的“陰謀”和“一次試驗”。

　　從2013年開始，起始于二戰的五眼情報聯盟開始舉行年度部長級會議，探討執法和國家安全方面的信息共享。2017年6月五眼聯盟的渥太華會議上，五國就提出需要克服加密技術的運用對執法和情報活動帶來的困難。該會議后發布的聯合公告指出，加密能“嚴重地限制保護公共安全的努力”，五眼聯盟將與科技公司一道“探索解決的途徑”。2018年8月舉行的會議更加關注加密問題。五眼聯盟專門發布聯合聲明：“關于證據調取和加密的原則”(Principles on Access to Evidence and Encryption)。聲明中再次強調了目前政府部門在“破解加密通信”方面面臨的困難越來越多，五國將可能推動立法強制要求建立加密后門。就在會議召開后的當月，澳大利亞政府就推出了“協助和訪問法”的草稿。就像人權律師Lizzie O’Shea在《紐約時報》撰文所說：澳大利亞不像五眼聯盟中的其他國家那樣擁有“權利法案”，自然是五眼聯盟實驗情報收集新手段的首選。

　　在政策分析和倡導人士看來，澳大利亞立法還能解決美國政府一直面臨的難題。眾所周知，美國FBI近年來數次呼吁美國國會通過立法，強制要求美國的科技公司加強為執法提供的技術協助，包括強制解鎖手機、破解加密技術、加裝軟件后門等。但由于美國科技企業強大的游說和傳統以來公眾對政府的不信任，FBI和司法部的嘗試屢屢失敗。澳大利亞的“協助和訪問法”正好解決了這個困難：美國國內沒法強迫公司做的事情，正好可以在澳大利亞實現。首先，“協助和訪問法”適用于面向澳大利亞市場提供服務的公司，這就基本囊括了所有大型的美國科技公司;其次，澳大利亞政府通過“協助和訪問法”獲得的部分數據，可以通過五眼聯盟或雙邊執法協助渠道，與美國政府共享;再次，如果美國的科技公司在澳大利亞為澳政府提供了技術協助，則在面臨美國政府的要求時，這些公司很難再以技術上不可行的理由拒絕提供數據。

　　這也難怪新美國(New America)智庫監控和網絡安全政策主管Sharon Bradford Franklin指出：“協助和訪問法”對美國來說事實上是“加密后門中的后門”(these powerful new tools could help provide the United States with a back door to an encryption back door)。雖然澳官員數次在媒體上澄清“協助和訪問法”對信息共享有嚴格的限制，但澳大利亞知名媒體《金融評論》(Financial Review)在今年2月一篇“對五眼的恐懼籠罩澳加密法”(Five Eyes fears rise over Aussie encryption laws)的報道中指出：大多數專家均認為“協助和訪問法”里有足夠的漏洞(loopholes)可以讓其他四個國家借助這部法律，繞過其國內人權、隱私保護等方面的法律限制。

　　四、雙重標準本質

　　“協助和訪問法”到底是“合法、合理、合乎比例、可落實、技術上可行”，還是對通信產品或服務安全性的嚴重威脅？相信行文至此，已經可以有個基本的判斷。此外這部法律還直接暴露出美國及其盟友赤裸裸的雙重標準。

　　還是在2018年8月，澳大利亞政府宣布因國家安全原因，禁止中國電信設備制造商(如華為和中興通訊)向國內移動電話運營商提供5G技術和產品，并禁止在國內寬帶網絡中使用中國的電信設備。這是美國在全球范圍內動用其國家力量對中國科技產品和服務進行阻擊的一部分。在這場阻擊中，從來沒有黑紙白字的證據，唯一擺在臺面上的只有為維護“供應鏈安全”的說辭，以及類似于澳大利亞政府在其禁令公告中說稱“某些供應商可能聽從與澳大利亞法律相沖突的外國政府的法外指示”而開展“未授權的訪問或干預”的揣測。

　　對比“協助和訪問法”的實踐和上述說辭，美澳政府又一次把自己雙重標準的行徑暴露在光天化日之下。美澳政府一方面以保障供應鏈安全為名排除中國產品和服務，另一方面卻通過“協助和訪問法”在產品和服務中植入后門，削弱產品和服務的安全性;而在此法之前，斯諾登就已經爆料美英國情報機關聯手故意降低加密技術的安全性。可見，公共利益、隱私保護等本來就是拿來作為自己行為的遮羞布。

　　此外，據《金融時報》報告，澳這項決定背后的一個關鍵因素是中國2017年出臺的《國家情報法》中規定：“任何組織和公民都應當依法支持、協助和配合國家情報工作，保守所知悉的國家情報工作秘密”。先不論澳政府對該法僅從字面解讀且無視《國家情報法》在實踐落地時有一系列的制度約束，反觀“協助和訪問法”無論是適用對象、適用地域、所提技術要求和保密要求等，足以讓任何第三方產生關于供應鏈安全足夠的擔心。

　　看來，美澳關心的絕非產品和服務的安全，他們真正關心的是能不能有效地強迫產品和服務提供商按照自己的意志行事。他們還秉持著“非我族類，其心必異”的冷戰思維，還是認為自己國家的企業是自己人，而來自于聯盟國家之外的產品和服務根本不可靠。這樣的思維和行為，損人不利己。澳大利亞科技企業目前最擔心的正是因為“協助和訪問法”的通過，會讓其他國家對其產品和服務產生擔心，使其面臨類似于華為的困境，無法進入國際市場。