(洪延青 北京大学法治与发展研究院高级研究员、中国网络空间安全协会特约研究员)
去年12月6日,澳大利亚联邦议会匆忙通过了《2018年电信和其他法律修正(协助和访问)法案》(theTelecommunications and Other Legislation Amendment (Assistance and Access) Bill 2018)。两天后,该法案获得皇室御准,成为正式的法律(以下简称“协助和访问法”)。
总的来说,该法主要对澳大利亚的《1997年电信法》做出修改,建立了执法部门和情报机关就加密技术要求私营部门提供技术协助的自愿性和强制性的法律框架。同时,该法还修改了刑事方面的法律,增强了执法部门和情报机关在计算机和数据方面的搜查、调取权力,增加了对告密者(whistle-blowers)的处罚,以及提高了对不予配合行为的罚金。
一、“协助和访问法”规定了什么
1、适用对象
“协助和访问法”适用于“指定通信提供者”("Designated Communications Providers")。根据条文,几乎任何从事通信服务相关的组织或个人,都可落入“指定通信提供者”的范畴之内。具体来说,包括:
1) “通信服务”提供者(carriage services),具体包括传统电信服务和互联网连接服务(包括基础网络运营和互联网接入)的提供者;
2) “电子服务”(electronic services)提供者,即互联网通信服务提供者。所覆盖的领域包括“网站、聊天室、通信应用、云和网站托管、点对点分享平台、电邮分发列表”等,且在澳大利亚境内有一到多位终端用户;
3) 与上述“通信服务”和“电子服务”相连接的软件的开发者和提供者;
4) 为“通信服务”和“电子服务”的开展提供“便利或协助性质”的服务的提供者;
5) 制造、提供、安装、运维、运营用于电信网络(telecommunications network)的设备(facility)的组织或个人。设备是指电信网络基础设施的任何部分,或者电信网络所使用的,或与电信网络相连接的“线路、仪器、装置、塔台、天线杆、天线、隧道、管道、洞、坑、杆等结构或物件”;
6) 制造或提供面向消费者所使用设备的组织或个人。设备包括手机、路由、计算装置,还包括手机零部件(包括电路板、SIMs卡、存储器等)的制造者;
7) 提供第三方服务的组织或个人,例如提供消费者设备安装和维修服务的技术专家、外包服务商等。
2、适用的地域范围
简单来说,只要面向澳大利亚通信服务的组织或个人,无论其“公司、服务器、制造地点”是否位于澳大利亚境内,即受到该法的约束。澳大利亚内政部在其官方网站上直言:进入澳大利亚市场,在澳大利亚境内运营,即意味着如果(包括恐怖主义在内的)犯罪分子使用了其提供的通信服务,则该通信服务的提供者有法律上的协助义务。
3、对“指定通信提供者”提出的具体要求
“协助和访问法”向执法部门或情报机关提供了三种法律工具:
1) 技术协助申请(Technical Assistance Request, TAR):该请求为自愿性,不产生强制的法律义务。TAR可由通信拦截机构(包括联邦,州和地区执法部门和澳大利亚刑事情报委员会)、澳大利亚安全情报组织(ASIO),澳大利亚秘密情报局(ASIS)或澳大利亚国防情报局(ASD)的负责人基于法定目的而发出。如果“指定通信提供者”在TAR下自愿提供上述协助,则该提供者及其部门、员工和代理人将就所提供的协助获得民事豁免。
2) 技术协助通知(Technical Assistance Notice,TAN):这是一项强制性命令,可由通信拦截机构或ASIO的负责人发出。如果“指定通信提供者”收到TAN且目前具备提供协助的技术能力,则“指定通信提供者”必须根据TAN提供技术协助。
3) 技术能力通知(Technical Capability Notice, TCN):这是一项强制性命令,可由总检察长和通讯部长在根据通信拦截机构或ASIO负责人的要求下联合发布。如果TCN要求“指定通信提供者”提供技术协助,则“指定通信提供者”必须提供该技术协助,尤其是专门新建或新开发提供该技术协助的能力或功能。
总的来说,执法部门或情报机关可以借助上述三种法律工具,达到下列目标:
1) 在“指定通信提供者”已具备能力的情况下,要求“指定通信提供者”对特定通信进行解密处理;
2) 要求“指定通信提供者”协助执法或情报机关在“指定通信提供者”的网络中安装特定的软件;
3) 要求“指定通信提供者”修改“指定通信提供者”所提供服务的特征,或替换服务;
4) 要求“指定通信提供者”提供访问相关设施、仪器、装备、服务的协助;
5) 要求“指定通信提供者”提供相关技术信息,包括“源代码、网络或服务设计方案、通信服务中设计的第三方提供商的有关情况、网络设备的配置和加密方案”等;
6) 要求“指定通信提供者”为执法部门或情报机关所开展的秘密行动保密。
4、严格的保密义务
该法对接收到申请或通知的“指定通信提供者”设定了严格的保密义务。“指定通信提供者”既不能透露所收到的申请或通知的内容或细节,也不能透露其接收到了申请或通知这件事本身。该保密义务不仅覆盖“指定通信提供者”,还延伸至其职员、服务外包商及外包商的职员。违反保密义务的“指定通信提供者”的有关人员,将被处于高达5年的监禁。
二、“协助和访问法”是否要求设置“后门”
该法最引人关注的争议焦点即在于是否要求“指定通信提供者”设置后门(backdoors)。在其官方网站上,澳大利亚内政部专门开辟一栏用于澄清“关于协助和访问法的迷思”(Myths about the Assistance and Access Act),并明确声明:“该法没有赋予政府安装后门的权力”。
在澳政府看来,最直接的证据是该法第317ZG节明确禁止政府要求“指定通信提供者”在电子保护中建立“系统性弱点或脆弱性”(“an express prohibition against building a systemic weakness or vulnerability into a form of electronic protection”);同时该节还确保“指定通信提供者”能够及时修复“系统性弱点或脆弱性”。关于加解密,第317ZG节还明确禁止要求“指定通信提供者”建立新的解密能力,或要求“指定通信提供者”采取系统性的措施以降低认证或加密的有效性。