官方学者:超越推墙与守墙之争 推进长城防火墙改革

【中美两国再次聚焦网络安全。目前正在华盛顿进行中美战略与经济对话接近尾声。美国副总统拜登在开幕式致辞时说,目前亟需在网络和太空等发展迅速的领域形成规则达成一致,而美中两国有责任制定这些规则。美财长雅各布·卢则直言不讳地对中国在网络空间的行为发出警告。

近年来,网络安全议题始终是中美间敏感议题,中国国内互联网防火墙的存在也颇受争议。关于防火墙的讨论一直存在,但因防火墙的技术问题被政治化,从而成为难以触摸之物。但在当下全球化浪潮之中,网络安全问题的讨论愈发紧迫,讨论不应该被极化的政治话语所左右,我们期望以更加主动的姿态来推动防火墙的进化。观察者网专访国际政治与信息安全专家、复旦大学沈逸教授,他从技术治理谈到官僚政治博弈,相信会极大开拓我们的思路。】

全球防火墙概况


观察者网:中国的互联网监管是个若隐若现的老话题。不过这次找您聊一聊互联网监管,源于一位海龟学者“长城防火墙 撤掉又何妨”的文章,这篇文章通过微信在学者中间传播较广。关于互联网安全的话题,做研究的人、民间舆论与监管方之间的观点都有分歧,你一直支持互联网监管,又是学者身份,你如何看待这位学者的观点?

沈逸:在回答你的问题之前,先要讨论下“长城防火墙”本身。什么是“长城防火墙”?如果我没有记错的话,迄今为止中国政府从没有任何官方文件确认过所谓长城防火墙的存在;如果去检索类似维基百科这样的站点,英文版的条目会很确认的告诉你,“长城防火墙”是“金盾工程”(Golden Shield Project)的俗称;“金盾工程”倒是可以在中国政府的相关文件里查到的,但“金盾、金关、金桥”这“三金工程”是作为中国政府电子政务建设的代表工程介绍的,和所谓“防火墙”,其实距离还是蛮大的。


从时间和过程来看,“防火墙”其实是伴随着中国政府应对以法轮功为代表的邪教组织借助网络空间传播特定内容的信息而发展起来的一系列技术手段以及政策规则的统称。1998年前后我还在念本科,当时用QQ(应该还是叫OICQ)和人聊天的时候,时常会遇到一些神奇的账号,它先主动加你,问候三句,接着就开始不停的大段大段的给你贴长长的法轮功宣传文本,我后来随意的统计了下,大概9000字左右的文本,这种神奇的账号可以用30秒就贴完。后来随着对法轮功邪教组织的打击,QQ传输文本中一些字符就无法发出去了,当然后来就是一些网站无法访问了;再后来,2003年开始,不断有一些新的网站,先是在中国大陆可以访问,后来又不能访问了,后来又能访问了,接着又不能访问了,直到最近开始比较稳定的,不能访问了。

在整个发展演进的过程中,一个通常容易被忽视的细节,是民众,或者说,网民,互联网的使用者,他们对此类政策的态度、看法,尤其是容忍和接受的程度,正在梯次发生着微妙而复杂的变化。这次有学者讨论“把防火墙撤了又何妨”,其实可以看作是这种微妙变化的产物。

整体而言,有关防火墙是否要撤销的问题,我觉得可以分为三个层面进行讨论:第一个层面的问题是,国家是否有权对互联网进行管理?第二个层面的问题是,互联网是否需要包括国家在内的权威主体对它进行管理?第三个层面的问题,是应该用何种方式对互联网进行管理?

从国际关系史的视角出发,当前的国际体系仍然是威斯特伐利亚体系,这种体系得名于1648年三十年宗教战争之后召开的威斯特伐利亚合会,以及在会上订立的条约,即《威斯特伐利亚条约》,这个条约被认为确立了主权原则,主权包括对内的至高属性,和对外的平等属性:对内至高属性的体现,就是条约规定“神圣罗马帝国境内各诸侯国,不分大小,有权自主决定其领地内民众的宗教信仰。”,信旧教还是新教,不由罗马教皇说了算,由主权者说了算,如果把宗教理解为一种信息流动,那么可以说,从主权原则确立之日起,就包含了对主权边界范围内信息流动的管理权限。

冷战时期,美国和苏联围绕短波电台也产生过争议:美国要对苏联及东欧阵营发送短波广播,鼓励“推翻暴政”,苏联等国家则发送阻塞信号进行干扰;后果之一是夹在美国信号发送站和苏联阻塞信号发送站之间的第三国民众苦不堪言,短波频道根本没法使用。后来官司打到联合国下面的ITU,裁决结果是,在主权国家边界内各自行动,要发送发送,要阻塞阻塞,但不能干扰无辜的第三方。当然这裁决没啥吸引力,各方还是各显神通自己玩。

就这点而言,从本质上来看,今天有关网络内容的传播、过滤和管理等问题,并没有实质性的超越上述争论,超越由主权本质所界定的法理问题,更多的是在程序、方式、后果以及可接受程度等方面的争议和争论。

需要指出的是,中国不是唯一一个对互联网内容进行管理的国家,澳大利亚、德国、印度、土耳其、西班牙等国家也因为对互联网内容进行管理等问题和谷歌公司有官司。从谷歌公司的角度来看,他收入来源的60%到90%来自于广告收入,而这种广告收入依托的是谷歌的广告联盟,因此他希望实现最大限度的互联网自由,按照最宽松的法律标准实现的互联网自由,因为这样可以有海量的网站带来海量的收入;至于内容,比如某些德国中小网站宣扬新纳粹思想,这个只要不触犯美国的法律,谷歌公司是坚决“不作恶”的;当然德国的法律就会要求谷歌把相关内容从搜索结果中移除,不能显示。

不是独一无二,为何风口浪尖?

观察者:像德国这样与谷歌有官司的国家,也以防火墙的形式把同纳粹有关的内容屏蔽掉?

沈逸:嗯,1996年1月29日,《纽约时报》就以“Germany Moves Again to Censor Internet Content”为题,报道了德国政策对网络上有关纳粹,以及恋童癖等不良信息内容进行过滤的政策。至于和谷歌的内容审查,看下谷歌在透明度报告里面披露的资料(http://www.google.com/transparencyreport/removals/government/DE/),应该就比较清楚了。当然德国的做法,很难用一句防火墙屏蔽来概括,它是一个比较精细操作的政策过程。

说起防火墙,其实说的是过滤网络内容用的软件,根据一些非政府组织的调查结果,全球最出名的过滤软件,叫SmartFilter,是一个在加利福尼亚,当然是美国加利福尼亚不是中国加利福尼亚的公司,Secure Computing,生产的。这个公司呢。2008年,被一个叫McAfee的美国公司收购了。使用这种软件的国家,包括突尼斯、沙特、苏丹、阿联酋、科威特、巴林、伊朗、阿曼、美国还有英国。缅甸和也门用的过滤软件由Websense公司生产;卡塔尔、阿联酋、也门,还使用一种加拿大生产的商业过滤软件Netsweeper。

有非政府组织在2013年列出五家公司,称之为“互联网之敌”,原因是他们生产的产品被用于网络过滤,分别是法国的Amesys,美国的BlueCoatSystems,英国和德国的Gamma,意大利的Hakcing Team,以及德国的Trovicor。与中国相关的话,2011年5月,美国的思科公司在美国被起诉了,原因是有人指控思科公司协助中国政府建设防火墙。
根据上述情况而言,中国的“防火墙”并不是世界上独一无二的存在,生产防火墙的软件公司里挑头的,无论软硬件,也不是中国的公司,那么为什么中国就在防火墙问题上站在风口浪尖上了呢?

一个非常重要的原因,是少数极端的团体,将“防火墙”和“政治体制”联系在一起了,用“推墙”这个词,表面上看是推倒防火墙,实际上看是希望通过这个“推墙”在中国实现“政权更迭”,这里潜藏的假设,就是1995年美国国防部分管隐秘行动和低烈度冲突的副部长办公室出台的《互联网:战略评估报告》中的逻辑:互联网,从长期看,构成威权政体无法有效抵御的战略威胁。……民众从网络上获得与政府发布的版本不同的信息,这会激发他们的不满,触发游行示威,削弱政权合法性,最终导致变革……互联网构成美国实施非常规心理行动的平台……通过投放特定内容的信息,可以达成此前必须派遣特种部队才能获得的效果……同时互联网可以避免美国派遣特种部队面临的直接风险,也可以避免美国政府直接卷入事件的政治风险。

而作为这种行为,即利用互联网来推动政权更迭的对应面,“墙”,或者说,通过对互联网上传播内容的管控来保障政权安全,也因此获得了自己存在的价值和理由。由此形成了一个很奇怪的依存关系:“造墙”和“推墙”的互为因果存在。看上去很奇怪,但冷战时期美国和苏联的国防部里面也有类似的情形:一方的鹰派是否得势,取决于另一方的鹰派;看上去两者不同戴天,但其实存在微妙的“敌手共存”。

现在需要做的是,在中国整体力量持续上升,生存意义上的国家安全问题基本得到解决之后,如何进行有效的政策管理,以及运用网络推进发展的问题。

如果将防火墙理解为一种防御系统,将对互联网的管理看作是国家现代治理能力体系的一部分,其实各个国家都是有类似系统和做法的,无非是能力强弱导致的差别:美国政府内网有爱因斯坦系统负责防御,监控网络流量和行为,实施有效的态势感知,美国政府对公网借助国家安全局的棱镜等系统实施全面监控,经过法定程序之后通知谷歌等公司或者删除某些网络的内容,或者提供某些私密信息,比如维基解密的员工在网上活动的IP地址、登陆时间、信用卡账号乃至私信通讯等,给美国政府以保障国家安全。从广义看,这都是战略性的国家网络防御系统和网络治理能力的组成部分。


我不是搞技术出身的,只能比较通俗和模糊的表达我的设想:理论上说,防火墙这种防御系统,应该是由多个不同功能的模块集成的系统,目前中国的系统上,强项是事前审查的内容管理模块,但在反入侵等模块上能力比较弱;未来,应该要反过来,相对弱化内容管理模块,但要强化针对入侵行动的态势感知和防御模块,从而建立起真正意义上的防火墙。

如何避免防火墙异化是关键

观察者网:你刚刚提到反防火墙有好几派,一个是借推墙来否定执政合法性,另外的呢?

沈逸:说这个问题之前我先扯个远的,20世纪50年代艾森豪威尔总统离任时有个很著名的告别演说,警告美国必须警惕“军事-工业复合体”(Military-Industry Complex)对国家安全战略和政策的过度影响,或者说,绑架。因为无论是军事工业,还是防火墙,我们都必须牢记不是在真空环境下讨论的,而是在市场经济环境下讨论的。因此这不仅仅是个政治过程,还是个政策过程,更是个重要的经济活动。期间涉及到巨大的利益问题。

回到防火墙的问题上,我始终认为,政府是否拥有对互联网的管制权限和政府如何使用这种管制权限是两码事,必须要分开讨论。我的观点很清楚,政府确实有权管,但政府的管理方式要改进。这种改进,需要做的是“流程再造”,重新回到管理的初衷,也就是目标,来考虑问题:设置防火墙也好,对互联网进行管理也好,是为国家大战略服务,是为国家宏观安全和整体发展服务,是为提升和巩固政权合法性服务;换言之,要避免防火墙产生自己的独立的利益和意志,也就是用马克思的话来说,要避免防火墙的异化,避免防火墙在经济收益和市场的环境下,异化成为一种谋取局部收益,并为此牺牲全局收益的特殊存在。

观察者网:听起来有一点点像科幻电影里的“天网”,产生了自己的意志。可能的解决方案是什么?

沈逸:在国家综合治理能力体系建设框架下的流程再造,建立符合网络用户审美需求和使用习惯的政策过程,包括事前的有效评估,事中的有效执行,以及事后的有效反馈。

现在有关防火墙的争议,往往源自比较粗糙的政策过程:莫名的这个网站就不能上了?没有理由,没有依据,又造成了巨大的不便。自然会引发不满。

参考国际经验来看,这种政策过程,智库发挥了很大的作用,比如,美国的战略与国际研究中心,就牵头起草了一份致美国第44届总统的网络安全报告,告诉政府美国可能面临这些威胁,奥巴马的战略制定基本上就是根据这个委员会提出的报告的框架来做的。而且这个战略是可以分析的,别人也是能够看懂这个战略的。我们只要有研究能力就可以研究他们的战略。相比而言,目前中国这方面还有很大改进空间,还有很多可以完善的地方。如何让中国政府因为政治体制所具有的战略上的延续性的优势落实到这些比较具体的公共政策领域,应该成为现代治理能力体系建设的重要组成部分。

弱化内容监管怎么做?

观察者网:你作为普通网民,又是研究网络监管并认同网络监管的学者,你如何使用翻墙软件?

沈逸:我一般用付费的VPN(笑),一个原因是美国有评估报告说部分翻墙软件属于不开源的软件,没人确保里面没被封装了什么奇奇怪怪的东西,代理服务器好点。当然最近也很纠结,原因你懂的。

必须要说的是,我个人做的国际网络安全战略研究等,如果完全不翻墙,那基本上就做不出太多好的研究了,除非不断出国去搜集资料,但在严格控制高校三公经费的情况下也比较纠结。才说了两段就第二个纠结了,但确实如此。

观察者网:看来翻墙毕竟是件麻烦的事情。那么你希望防火墙对内容的管理机制该如何改进?

沈逸:防火墙管理也许可以借鉴这次中央处理香港占中的态度。准确的说,对网络空间上那些消息,整体上可以用类似的思路,就是镇之以静,徐徐图之。政府需要足够的政治定力,能够有真正的自信,掌握在复杂舆论生态中正确进行沟通的方法。任何行为体,无论是政府,还是所谓意见领袖,如果在网络空间透支了自己的信用,他的影响力和公信力就必然会衰退,网络民意,网络舆论,会呈现某种摆动,这种摆动又是螺旋上升和具有学习、进化以及自我修正能力的。整体来看,政府要做的事情,应该是努力促成对公共政策的理性讨论,这需要某种良性互动机制的形成。

回到中国的发展和互联网管理的相互关系上,比较直白的说,今天的互联网管理政策的取向,有可能需要落实到中国共产党自身的发展方向,价值取向以及发展路径等宏观大框架中加以考虑。如果参照中国历史发展的经验,从一个角度来看,今天的互联网,是最能够体现、检验和实践群众路线的空间,是最能够考验和检验党的执政和战斗能力的空间,无论是从哪个意义上来说,都无法回避这些挑战和问题,也不存在那种所谓一下子就解决全部问题的神奇的魔术子弹或者说,万能的解决方案。

观察者网:所以如果内容上放松网络管制,比如让Facebook进来,政府担忧的几种情况不一定会发生?

沈逸:这个问题,是可以研究的,无论是根据案例,还是基于模型。从已有的实践看,因为现在有防火墙的区隔,墙内墙外的网络空间存在压力差;如果放开,就像是两个容器都有水,但水压不同,你把中间的闸门打开后,第一阶段肯定是,压力差消除的过程中导致波涛汹涌,如果没有妥善的管控和应对,那么容器可能因为压力导致全面崩溃,局势走向失控,这个风险是有的。埃及、利比亚的局势是一种近似的模拟。

如何消除这种风险呢?显然有各种方法,但核心的一条,当然是自主可控,意思就是在还能控制局面的情况下能自主的把这个管制逐渐放开。

观察者网:如果放开管制,还是要一步一步实施,比如说先放开学者所呼吁的学术资源搜索?

沈逸:整个政策应该考虑,不同群体有不同需求,学者对学术搜索感兴趣,学生可能对社交网站更加感兴趣,有学生告诉我,不让他/她通过社交网站上传一张刚拍摄的早餐/午餐/晚餐的照片,就瞬间觉得整个人都不好了。这个方面的刚性需求可能比学术搜索要强烈的多,也直接的多。当然,如果真的放开社交媒体这块,真正的挑战,直接指向的包括宣传口的一些部门,整个话语体系、话语能力、沟通技巧,都会面临很大的要求变革的压力。

另外, google学术没有那么神奇,汤姆森路透社的web of science,这个数据库才是做学术的人需要的,但它是付费的。这个数据库收集了从1904年到现在,所有的电子期刊的文献,这些资料,图书馆研究机构都有。专用谷歌做学术是不行的。

观察者网:有一种开玩笑说法,说防火墙是为了保护国外网站。比如中国网民跑白宫网站上请愿,就把白宫网站给挤爆了(笑),你怎么看这种说法?玩笑中有没有一点道理?

沈逸:白宫好像不在被墙的名单里,去请愿的中国网民中好像也提出了关于豆腐脑甜/咸之争这种有很大概率超过美国总统正常知识范围的专业问题,这个用防火墙大概也是挡不住的。玩笑中的道理,就是中国其实有庞大的战略资源,也就是我们的网民,如果超过5亿以上的网民全面涌出,在facebook或者推特上,以刷天涯社区,以及新浪微博的尽头展开活动,呃,别的不太清楚,但至少在全球网络空间促进中文内容传播应该是没有什么太大疑问的;从把中国建设成为网络强国这个整体战略的角度出发,相关政策的调整也是非常必要的。

观察者网:国际上有没有国家因为不用防火墙而出了大灾难的教训?

沈逸:有过防火墙再被推倒是最危险的,典型案例结合上面提到的用那些出名的过滤软件的国家,突尼斯、巴林、卡塔尔、科威特、沙特,在阿拉伯之春里面都出过各种不同的问题,当然最后的结果不太一样,有些是政权更迭,比如突尼斯;有些是在“法治”的名义下直接武力镇压,包括从邻国借兵镇压,比如巴林从沙特借兵把示威的给镇压了,当然因为巴林是美国第五舰队的驻泊地,而被镇压的示威人群是亲伊朗的什叶派,整个镇压的事情也就这么过去了。

中国古人的智慧,大禹治水的故事,已经把现成的解决模型放在那里了,剩下的,就是要领导人的政治决断,以及整个体系,包括政府、公司、社会、个人,共同去实践。当然,实践出来的结果,也是所有人一起承受的。对于一个庞大的官僚系统和包括我们每一个人在内的复杂的利益体系来说,这并不容易,无法操之过急,但是要有准备。

附记:“要有准备”,这是沈逸老师访谈的结语。谈不谈这样一个负载太多情绪和利益的话题,沈逸老师有些犹豫,经过审慎思考,决定公开谈论这个话题,因为这是负责任且懂专业的知识分子的担当,希望有助于中国防火墙寻求改进的思考。(观察者网 余亮 采写整理)

源地址:http://www.guancha.cn/ShenYi/2015_06_25_324599_s.shtml
发表评论