最近,美国主流媒体对联邦法律《计算机欺诈和滥用法》展开讨论,因为之前美国有数十家银行遭到来自伊朗黑客的攻击,致其网站多次瘫痪,造成数百万美元损失,有些银行私自实施了“以牙还牙”的反击,但此举却遭到了F.B.I.的调查。为什么在面对国家安全受到威胁的危急时刻,明明有能力去反击,政府不但不帮忙阻击,却还调查受害者的反击行为?
原来,美国国会颁布的《计算机欺诈和滥用法》规定:“禁止任何人在未获得授权的情况下侵入他人计算机”,这就意味着任何形式的黑客行为都是犯罪,不管是恶意还是自卫反击,都属于触犯法律。针对这一问题,美国很多人士提出抗议,并要求修改该法律。
可见,美国的法律也存在局限性。
一、被严重吐槽的第一版和之后的频繁修正
《计算机欺诈和滥用法》并非第一次要求被修改,在1984年初步制定的第一个版本,涉及的罪名都属于故意犯罪,且只涉及三个很窄的领域。颁布之后即招致许多批评,有的说跟其他相关法律相比,故意犯罪的要求显得过高;有的说犯罪对于金融信息的保护的范围过于狭窄;有的说该法只保护个人利益而不涉及法人利益;还有的说,对于进入计算机访问授权范围的领域,很难定性为犯罪……
针对各方批评,美国国会开始了一系列的修正工作:
1986年,美国国会扩大了该法的适用范围,并增加了三项罪名。
1988年,修正案将法律的适用范围扩大到所有金融机构,且不限于信用卡事项。
1989年,修正案将“银行”修改为“机构”,将适用范围扩大到存款业务由联邦存贷保险公司提供担保的那些机构。
1990年,修正案再一次对金融机构的范围进行了扩展。
1994年,修正案在将故意行为与过失所导致的后果加以区分,分两条予以规定,同时将犯罪的行为类型进行具体细化。
通过频繁的修改,《计算机欺诈和滥用法》的规制范围越来越细密、合理,他除了规定了未经授权进入计算机系统而导致的刑事或民事责任之外,还专门界定了“超越授权进入”的概念,充分将计算机信息使用和处理的特点融入到法条中。2000年,《计算机欺诈和滥用法》正式编入《美国法典》。
二、为什么《计算机欺诈和滥用法》始终不修改“不得自卫反击”
首先,不容易找出伪装的黑客。黑客的身份都是经过精心伪装的,他们通常会使用所谓的“蛙跳技术”(Leapfrog)从一个点跳到另一个点,也就是先侵入一台服务器,然后以这台服务器的身份再侵入到另一台服务器,以此类推,最后真正侵入目标服务器时,黑客已经经过了多次跳转,或者说经过了多重身份伪装,最高的跳转记录甚至达到了30次。所以,很多人自以为抓到了黑客,其实根本就是抓错了人,反击的结果是伤及无辜。因此,没有过硬的技术,反击黑客,很容易造成误伤。
其次,干扰政府执法。被反击的黑客,很可能也是政府部门也在调查的黑客,当删除了黑客电脑上被盗取的信息时,而这些信息恰恰是那些政府机构用来给黑客定罪的证据。这样的话,不仅没有伸张正义,反而是帮了倒忙。
第三,很可能触犯了更大的犯罪集团。这个黑客也许只是一个喜欢搞恶作剧的IT高手,但也可能是一个危险的犯罪集团,反击行为很可能会让自己身处险境,甚至危及生命。
第四,潘多拉魔盒被打开。利用法律进行反击的人是不是真正的黑客呢?会不会为了实施攻击,黑客先把自己乔装成受害者,然后堂而皇之、肆无忌惮地实施恶意攻击呢?另外,反击的正当防卫和防卫过当如何来划定?鉴于网络世界的复杂性和匿名性,很多事情是根本无法从法律的角度来界定和判断的,一旦法律放开了这个口子,就如同打开了潘多拉魔盒。
所以,到底如何应对黑客,美国政府目前还没有达成共识,《计算机欺诈和滥用法》仍然保持现状,想要确保网络安全,也只能靠个人和企业自觉加强防范。
三、《计算机欺诈和滥用法》滞后性和保守性
由此,从美国的《计算机欺诈和滥用法》的立法过程,可以看出立法的滞后性和保守性。
1.立法的滞后性
与我们在各种报告中常常看到的立法具有前瞻性不同,实际在立法中,往往所涉及的事项并不能完全规范的周全,美国国会频繁对《计算机欺诈和滥用法》进行修改,都是对前一次立法的不周全和滞后性进行的完善。我们无法轻视周围环境对人们决策的影响程度,实践证明,人们很难突破当时所处社会的整体思维,对于尚未出现的事物,更不能全面把握,只能以现实情况来考量制定解决方案。
2.立法的保守性
从1978年8月,美国佛罗里达州第一个通过《佛罗里达计算机犯罪法》,之后历时七年,美国国会才正式于1984年10月颁布了《计算机欺诈和滥用法》,整个立法的起草过程可谓相当漫长。对于被严重吐槽的第一版,美国国会也是不停的修修补补,并不是一次到位,而且对于“禁止任何人在未获得授权的情况下侵入他人计算机”的规定,从2013年开始就有人反对,美国国会也始终无动于衷。
四、立法启示
1.不过于追求完美
莫言说世界上的事最忌讳的就是十全十美,凡事总要留些欠缺,才能持恒。
过于追求完美的成本无法承受,当我们达到完美的状态时,很多最佳的机会也错失了,甚至也不需要这种所谓的完美。
在立法领域,涉及的利益方过多,过于追求某一方预期效益的完美,其实是在伤害其他方的效益。例如,某市在制定大气污染防治条例时,过于追求大气的质量,而对企业设定了过多的限制,进而就会影响到社会的就业、经济发展等问题。 而美国经济学家Nordhaus提出的环境经济学,既考虑极端的环保主义者的诉求,又考虑社会发展的需要,提出比较温和的减排意见,找到社会整体收益最大化的结合点,从而获得了2018年诺贝尔经济学奖。
2.保持向外的视野
立法的主体是人,所以上述立法的局限性其实是人的局限性。要提高立法的前瞻性,只有提高立法者的认知素养。
由于立法的领域无所不包,所以立法者的认知应该是没有边界的,所以只有保持向外的视野,始终处于学习和认知迭代的状态,才能跟上这个日新月异的时代。
不学习、不改变自己认知结构的立法者是无法适应立法需求的。
3.整体保守,个别创新
“保守”这个词很多被认为是贬义词,但是在学习了吴军老师在《硅谷来信》关于保守主义的介绍,“保守”在某些时候并不是贬义词。在立法领域,更强调这种保守性,因为,政策应当是保持一致的、连贯的、渐进的,过于激进的措施会造成难以承担的后果。所以,立法中不要总想着推倒重来,而是固定现有的制度成果,整体上与同位阶的法律相协调、与之前的法条相承接,通过对个别法条上经常性的修修补补,积极改良,逐渐获得更好的效果。
参考文献:
得到课程:《马徐骏的新知报告》
张琳,《美国计算机犯罪立法的发展与启示》,《图书与情报》,2006年第五期
刘守芬、房树新,《八国网络犯罪立法简析及对我立法的启示》,法学杂志,2004.9.15,第25卷
欢迎同行留言评论,一起讨论交流
网友评论