编者按
类似基因编辑、人工智能领域的伦理风险,在网络安全研究领域中也同样存在。比如,人脸识别的使用风险以及网络安全实验具有的攻击性可能对互联网生产系统产生不良影响等。
那么,如何理解网络安全研究中的伦理道德边界?在网络安全研究中如何做好伦理机制审查?针对以上问题,本期报道分享了法律界专家和网络安全领域的相关专家、研究人员在此方面的经验和观点。
劳东燕 清华大学法学院教授
很多技术专家认为技术是中立的,但是否真的如此呢?
2020年,一篇影响甚广的文章《外卖骑手,困在系统里》详细分析了外卖骑手在系统算法驱使下所面临的困境。
大家可能认为算法是中立的,只是一项技术而已。但外卖平台的算法力求不断缩短骑手的送餐时间,并对未按时送达的骑手进行经济性惩罚。为避免受到惩罚,骑手常有意或无意地违反交通法规,造成交通事故频发。
从法律角度而言,平台的算法涉及多方主体,包括外卖平台、骑手、顾客和店家,以及容易被忽视的在事故中伤亡的第三方,和因此损耗大量行政资源、司法资源来处理事故的政府部门。
表面上看似中立的算法其实是有偏向的,它主要表现为利益和风险分配方面的不公平。这种算法的最大受益者是平台,其后依次为店家、顾客和骑手。
那么,算法带来的风险由谁承担呢?平台为了规避法律责任,将骑手外包给其他的劳务公司,从而使得平台与骑手之间表面上不存在劳动关系。相应地,一旦出现事故,无论是骑手还是第三方伤亡,平台都不用承担任何责任。店家和顾客,自然也不会被当作责任主体来追究。因此,算法实际上将主要的风险分配给了骑手与更为无辜的第三方。
在这一事例中,对于现行算法,最大受益者是平台,而风险的承担者则主要是骑手、公众,可能还有政府部门。不难发现,算法绝非中立,而是具有偏向性的,它进行了不公平的利益和风险分配。
技术中立是一个伪命题
所谓技术中立,其实是个伪命题,关键在于以什么为参照系。
如果在科技系统内部看,技术自然是中立的,没有好坏之分。但技术不只涉及科技系统,它也作用于现实社会。
立足于经济系统的角度,技术会被分为盈利的技术和非盈利的技术。
从伦理系统的角度来观察,技术必然被分为善的技术和恶的技术。
而以法律系统为参照系,所有的技术都会被分为两类,也就是合法的技术和非法的技术。
在目前的法律中,相应技术如果主要用于违法犯罪,则其开发、使用本身就会引发刑事责任。如果某项技术既可用于合法途径,也可用于违法犯罪,则决定技术合法与否,需要考察行为人的主观明知和故意。
当前涉及网络的技术大多属于第二类。例如支付宝和微信平台,都存在被违法犯罪分子利用的问题,包括用于洗钱和传播诈骗信息等。
我国《刑法》第285条与第286条分别将提供侵入、非法控制计算机信息系统的程序、工具和故意制作、传播计算机病毒等突破性程序规定为犯罪。根据前述规定,开发、提供相关技术会构成犯罪。
如果技术本身既可为善也可作恶,针对此类技术性帮助的行为《刑法》中有一个独立罪名,即第287条之一的帮助信息网络犯罪活动罪,具体表现为明知他人利用信息网络实施犯罪,而为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持或提供广告推广、支付结算等帮助。
同时,刑法中还有关于共同犯罪的条款,明知他人实施特定犯罪而提供相应的技术支持,还可能与相应的下游人员构成诈骗等犯罪。例如,为电信诈骗提供技术支持,会构成诈骗罪共犯;开发网络游戏的外挂程序,开发人员与提供人员可能被认定构成非法经营罪、侵犯著作权罪或破坏生产经营罪等。
因此,从法律的角度而言,技术不可能是中立的,不能任由其作用于社会而不加约束。技术所带来的很多社会问题,并不能借助技术解决。所以,在做技术研发时,应当遵守相应的伦理限制。
当然,在网络风险方面,我国现有的法律往往实行一禁了之的传统规制思路。在网络时代,这样的规制思路可能反而对网络安全不利。
因为一味禁止的态度,也可能导致网络整体安防能力难以得到有效提升,从而做到魔高一尺道高一丈。一旦有人无视禁令,开发与运用相关技术进行破坏,可能会对网络系统形成毁灭性的攻击。
基于此,我们需要在遭遇网络攻击的过程中不断提升安防能力。正如塔勒布所定义的反脆弱性那样,如果火势微弱,很容易被风吹灭,反之,如果火势很旺,风的加入会促使燃烧得更旺。就此而言,当前法律体系对于网络安全的规制思路与方法,可能需要进一步改进和完善。
网络安全需要伦理与法制双管齐下
在网络安全领域必须对技术进行相应规制。
首先,在技术研发与运用上应坚持基本的伦理要求。
如果借鉴医疗领域中的生命伦理原则,与网络安全相关的技术同样应坚守以下原则:
尊重人性尊严原则,不能把人当作工具;人的利益高于科学和社会利益原则,民众是由个人所集成,没有个人何谈国家利益、社会利益;以及行善及不伤害原则、不歧视和不侮辱原则等。
其次,在法律层面也要形成制约。
技术是一把双刃剑,但不同类型的技术,双刃剑的效应大不相同。因此,法律上的规制措施也会有所差别,大致可分成三类:
一是被法律完全禁止的技术,例如基因编辑婴儿;二是原则禁止例外允许,例如欧盟对于人脸识别技术便采取原则禁止的态度;三是允许合规情况下进行推广使用,例如自动驾驶的技术。
以人脸识别技术为例,国内有关人脸识别技术的争论,往往停留于保护个人隐私还是保护公共安全的层面。实际上,如果这项技术全面推广运用,不仅所有人的隐私得不到保障,其人身与财产安全也会受到重大威胁。将人脸识别当作预防违法犯罪的手段,只会带来更多更严重的违法犯罪。
如何在法律上对人脸识别等技术进行规制?
目前主要有以下几种做法:
一是类似欧盟的方案,即原则禁止例外允许,只在打击恐怖犯罪,或刑事案件取证,以及失踪儿童追踪等情况下允许使用;二是一般允许同时强化过程中的监管;三是自由放任加技术手段监管。
此前我国大体上采纳的是第三种模式。由于这种模式给个人信息保护带来极大的威胁,决策层正在考虑强化监管,今后可能会走上一般允许同时强化监管的模式。
然而,这种模式存在一定的挑战。因为前端如此巨量的信息收集,后端的监管成本势必大大提高,执法资源有限,难以实现有效监管。
如果无法采取欧盟的模式,我建议在人脸识别技术的运用上,采取特别许可制度,也就是相关企业与部门必须具备相应资质,经过特别许可才允许收集与使用个人的生物识别信息。
据我所知,现在有一种观点认为,既然分散地收集人脸数据风险很大,不如统一收集到政府的某个职能部门,这种方案虽然在一定程度上有助于减少泄露的风险,但会带来其他方面的问题,相关职能部门权力过大,过于集中,无疑会形成更大的潜在风险。
在信息时代,数据被认为是比石油更为珍贵的资源,而作为一个超大规模的复杂社会,中国在国情方面的特殊性,以及网络化与信息化发展程度的差异,使得在网络空间治理上,我们并无现成的方案可供照搬。
《网络安全法》《数据安全法》和《个人信息保护法(草案)》的陆续出台,是我国在网络和数据合理化治理道路上的重要里程碑。然而,网络安全事业无法做到一劳永逸,未来对于相关法律规制的探索仍将不断持续。
* 本文根据清华大学法学院教授劳东燕在网络空间安全国际学术研究交流会上的报告整理
声明:本文来自中国教育网络,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。