2005年12月15日,《纽约时报》发表长文披露布什总统早在2002年就签署命令,允许国家安全局在没有得到法庭许可的情况下,窃听疑似恐怖分子者的通讯,包括长途电话、手机和电子邮件。就在此条使得舆论大哗的新闻发布之前一天,国会众议院以251票对174票顺利通过延长《爱国者法》期限。《爱国者法》的重要条款之一,就是允许行政当局对恐怖嫌疑人实施窃听。此后不久,致力于从事信息时代个人隐私保护的非政府组织电子隐私保护中心向联邦最高法院提出诉讼请求,要求司法部公布窃听材料。无论朝野,人们纷纷开始思考这一事件是否违反了美国的宪法。由此引申出的问题,则是国家信息安全问题的核心之一:如何在通过控制信息流动保障国家安全与维护公民个人隐私不受行政权力侵害之间寻找更加合适的平衡点。
一、 基本概念界定与理论分析框架
本文所说的国家信息安全 , 指的是这样一种状态:国家行为体认为特定的信息基础设施、特定 信息流动以及国家对于上述设施和信息的控制能力不面临威胁。
国家信息安全的定义可以细分为以下三个层面:(1)从本质上看,国家信息安全主要是特定时期国家行为体通过与其他行为体互动建构而成的一种认知。无论是国家信息安全,还是国家安全,在现实生活中都必然是客观实际与主观认知的结合,但是在本论文中,更加关注其中的主观方面,因为在客观实际保持相对稳定的情况下,不同的主观认知对于最终战略的确定,具有决定性的影响。同时需要明确指出的是,这里国家行为体的认知,是通过决策者的认知具体表现出来的。(2)国家信息安全涉及三个层次的目标,其优先性依次是保障特定信息基础设施的正常运转;保障特定信息流动;获得更大范围控制信息传播的能力。保障特定信息基础设施是国家信息安全最为基本,也是最优先考虑的目标,处于国家信息安全的核心地位。(3)国家信息安全具有两个特点,即依附性和相对性。所谓依附性指的是人们无法脱离独立的问题领域来讨论国家信息安全问题,即使做出这方面的尝试,研究者实际上总是在讨论特定领域的信息安全问题。不同领域本身所具有的特点对于相应的研究有着非常重要的影响,例如,在涉及是否可以通过合作来实现国家信息安全的问题时,军事领域和经济领域表现出了相当强烈的差异。所谓相对性,或说不确定性,主要是因为国家信息安全实际上是一种主观认知。在信息爆炸的时代,这种认知不可避免地受到信息处理能力相对有限与分析框架更新速度滞后的影响。这一相对性决定了必须重视微观层次的研究,更多地关注行为主体内部的具体决策过程。
美国国家信息安全政策制定过程中包括了两大类行为体:美国国家信息安全政策决策圈内的行为体、决策圈外的行为体。决策圈内的行为体具体包括四类:美国总统、美国国会、美国政府内部的军事机构和军事情报机构(以国防部、国家安全局、中央情报局为典型代表)、美国政府内部涉及国家信息安全的非军事行政部门(以国土安全部、联邦调查局、国务院为典型代表)。决策圈内的行为体能够直接参与国家信息安全政策的制定过程。决策圈外的行为体包括利益集团、大众传媒、公众以及外国政府和跨国的非国家行为体。
就具体的国家信息安全政策研究而言, 本文的基本命题是将国家信息安全政策的制定不仅看 作是决策的过程 , 更是一个认知 建构的过程。 制定政策的过程 , 实质是决策圈内不同机构形成共 同认知的过程。 当政策输出之后, 决策圈外行为体的反馈, 实质则是观念建构和共有知识的形成与 变化的过程。这一基本命题可以划分成以下三个子命题:
1.国家信息安全政策的制定过程,是决策圈内行为体建立共有认知的过程;国家信息安全政策与环境之间的互动,则是决策圈内外行为体共有观念建构和分享共有知识的过程。国家信息安全与国家信息安全政策都是被建构而成的,影响这个建构过程的主要因素是决策者对于国家信息安全的认知。其他行为体对于国家信息安全以及国家信息安全政策的影响,是通过对决策者认知的影响间接产生的。
2.影响决策者认知的主要因素是历史经验、组织内部的共有知识以及不同行为体之间的相互关系。决策者的认知,通过对于国家信息安全中重要利益的认定、对国家信息安全面临威胁严重程度的评估以及实现国家信息安全政策工具的选择表现出来。决策机构内部不同行为体对于国家信息安全的认知有其内在的稳定性。对于某个行为体来说,即使最终形成共有认识与其原有的认知不符,也不意味着其必须放弃或者改变原有的认知。
3.决策圈内外的各行为体之间的互动过程大体上可以分为三种模式:第一种模式,是体系内创制模式,也就是决策圈内的行为体形成共同认知,制定政策,然后以政策影响圈外的行为体,形成互动;第二种模式,是自下而上的草根创制模式,就是决策圈外的行为体形成共同认知,通过意愿表达程序输入决策圈;第三种模式,是体系外创制模式,也就是决策圈内的部分行为体,首先以某种方式影响圈外行为体的认知,然后以这种认知作为对圈内其他行为体施加压力,进而影响决策。
在具体实践中,影响决策过程的主要因素包括两个方面:第一个方面是以公众舆论倾向与基本认知为代表的外部环境因素;第二个方面是决策体内部共同认知的变化。总体来说,包括安全政策在内,美国的公共政策制定过程是一种精英主导的自上而下的决策过程。在这一决策过程中,外部环境的多元化与否,是不同精英集团之间是否能够形成有效制衡的关键所在。
二、 均质化的外部环境:9·11 后美国国家信息安全政策演变的外部因素
9·11恐怖袭击事件的直接后果之一,是使得美国民众对于美国面临的安全挑战形成了自越南战争后期以来罕见的一致认识:民众基本上认同美国面临来自恐怖主义的严重威胁。这种认知一致造成的直接后果之一,就是导致了美国国家安全战略决策过程中行政立法关系的变化:行政机构开始再度占据优势地位。这在很大程度上改变了自越南战争后期以来,立法机构在美国国家安全战略决策过程中占据优势地位的局面。
立法机构能够在国家安全战略决策过程中占据优势地位,与自由主义传统中对于“政府”警惕和反对有着深刻的关联。这种基于自由主义的对于政府的不信任,普遍存在于美国的公众之中。如图1所示,自20世纪60年代中期以来,美国的盖洛普公司举行过一系列民意调查,研究美国民众关于何谓国家未来最大的威胁:大型公司、大型工会还是大政府。
调查数据显示, 自1965 年2 月至2004 年11月的时段里, 美国民众始终认为大政府对于国家的未来构成了最大的威胁。值得注意的是, 自冷战后期至2000 年10 月, 认为大政府构成威胁的民众呈现稳定上升趋势:1985 年 6 月的调查数据显示, 50 %的受访者认为大政府构成了最大的威胁 , 2000 年10 月有65 %的受访者认为大政府是最大的威胁。
但是在9·11恐怖袭击事件发生之后,受访者的认知发生了巨大的变化:2002年7月的调查数据显示,只有47%的受访者认为政府是最大的威胁,这一数字是自1983年以来的历史最低点。
自9·11恐怖袭击事件发生以后,直至今日,对于再度遭受恐怖袭击的担忧仍然是美国民众首要关注的问题之一。对于安全的强烈忧虑使得特定时期内美国公众愿意为获得必要的安全保障支付更高的代价,其中包括暂时忍受对于自由权利的侵犯。在9·11恐怖袭击事件发生之后,2002年1月的调查显示,当时有47%的受访者认为,政府应该采取各种必要的措施避免再度在美国发生恐怖袭击事件,其中包括那些会侵犯自由民权的措施。虽然随着时间的推移,这一数字在逐渐地减少,但减少的速度相当缓慢,到了2003年11月,仍然有31%的受访者持相同的观点。
由于公众对于安全问题的关注,由于公众希望政府采取实际行动以保障自身的安全,并愿意为此承受包括自由民权受到侵犯在内的代价,这促使了决策权力从立法机关向行政机关的转移:面对突发事件,面对要求作出快速反应的局面,行政机构因为其能够更加有效地行使权力而获得了优势地位。从美国战后的历史发展看,“滥用行政权力会对自由民权构成损害”这一认知的广泛存在,是制约行政权力扩张的最主要的外部环境。这一认知在9·11事件冲击下出现了淡化与转变的迹象,24而这种认知的变化直接促成了9·11恐怖袭击事件发生之后权力结构的变化。在国家信息安全相关的领域,公众对于政府的不信任表现为对政府所掌握的信息“监听”能力的担忧。9·11恐怖袭击事件发生之前,这种不信任表现得非常强烈。如表1所显示的,2000年9月的民意调查显示,47%的受访者“非常关注”政府“监听”嫌疑犯计算机和追踪其互联网使用情况的能力;54%的受访者“非常关注”政府“监听”嫌疑犯家用计算机文件的能力:63%的受访者“非常关注”使得政府得以“监听”互联网电子邮件以搜集相关证据的软件。这一关注,可以看作是担忧滥用行政权力引致侵害自由民权这一观点在国家信息安全领域的表现。
如果就事论事而言,大多数被看作是“信息攻击”的行动与其说是“战争行为”,不如说是计算机犯罪,对于国家安全并没有构成“实质性威胁”。除了少数有组织的犯罪集团盗取信用卡造成经济损失之外,多数甚至是绝大多数针对政府机构信息系统的攻击行动与其说损害了国家信息安全,不如说是损害了政府的威信,暴露了在日常维护中存在的漏洞。其具有的实质性影响,并不比60年代反对越战的激进青年在墙头喷涂油漆画对国家安全产生的影响更大。
9·11恐怖袭击事件发生之后,在相关部门的分析视野中,狼的影子终于出现了:基地组织这样的非国家行为体,借助遍布全球的发达的通信网络,有效地策划了复杂的跨国恐怖袭击,在美国这个超级大国的本土成功发动了恐怖袭击。对于国家信息安全而言,它提出了一种潜在的可能性:有意图、有能力借助非对称手段对国家行为体发动袭击的非国家行为体不但存在,而且确确实实地应用互联网策划了这样的行动。虽然2001年9月11日拉登是让他的信徒手持与信息技术没有太大关系的裁纸刀劫持飞机去撞大楼的,但是专家可以认为拉登的继承者将通过敲打键盘、点击鼠标的方式对美国满是漏洞的信息基础设施发动袭击。没有人能够忽视这种基于“做好最坏打算”的原则而提出的预言。由此产生了三个重要的后果:第一个后果是改变了国家信息安全问题在整个政府议程的优先性位置,它的排名被提前了;第二个后果就是让主张“控制”的要求获得了更加有利的位置,开始逐渐在国家信息安全政策中占据主导地位,控制战略成为主导信息安全政策制定的指导思想;第三个后果就是那些主张应该限制国家行政权力以避免侵害个人隐私的力量失去了民众,监督政府的声音在很大程度上被掩盖起来了。
其次,9·11恐怖袭击事件的发生,揭示了国家信息安全政策面临的新挑战,即美国国家信息安全面临威胁的主要形式发生了重要变化。9·11恐怖袭击发生之前,在考虑国家信息安全面临的主要威胁时,关注的焦点是直接侵入或摧毁至关重要的信息基础设施,并籍此损害美国的利益。换言之,主要的威胁在于对关键性信息基础设施的信息攻击,而相应的国家信息安全政策的首要任务就是防止恐怖分子破坏关键性的信息基础设施。但是在9·11恐怖袭击事件中,标志性建筑而非信息基础设施成为恐怖分子的攻击目标,恐怖分子非但没有攻击信息基础设施,反而是充分利用了发达的通讯网络作为组织策划跨国行动的有效工具:恐怖分子在利用,而不是攻击互联网;恐怖分子不是运用某一单一手段攻击单一的目标,而是尝试利用多样化的手段攻击不同的目标;恐怖分子借助网络改善其跨国组织、策划与协调的能力,并借助发达的现代媒体传递袭击后果的恐怖效应。
国家信息安全面临威胁形式的变化,对国家信息安全政策提出了新的要求,国家信息安全政策不再是局限于消极的防御性目标———保护国家信息基础设施以及在其中存储、传递、交换和处理的信息的安全———而是要更加积极地加强对于特定信息流动的管理。换言之,如同在反恐战争中已经表现出来的那样,国家必须解决如何有效监控国境内信息流动,甚至是如何有效监控全球信息流动,并能够从中及时识别出特定信息并作出反应的问题。要解决这个问题,就让“控制”而非“开放”成为国家信息安全政策的主导。
沈 逸
(复旦大学 国际关系与公共事务学院)
