区块链的网络安全法观察*
2021-03-26孙占利
孙占利
(广东财经大学 法治与经济发展研究所,广东 广州 510320)
中共中央政治局于2019年10月24日就区块链技术发展现状和趋势进行第十八次集体学习。习近平总书记在主持学习时强调,区块链技术的集成应用在新的技术革新和产业变革中起着重要作用,要把区块链作为核心技术自主创新的重要突破口,明确主攻方向,加大投入力度,着力攻克一批关键核心技术,加快推动区块链技术和产业创新发展。本文从区块链的安全性分析推进网络安全体系的结构式创新与发展,立足于我国对区块链的网络安全法制保障现状,探讨技术与法治耦合保障区块链安全。
一、区块链的安全性有助于推进网络安全体系的结构式创新与发展
(一)区块链的技术机理使得其具有更高的网络安全性
美国区块链科学研究所创始人Melanie Swan在其著作《区块链:新经济的蓝图》中将区块链分为三个阶段:以数字货币为代表的区块链1.0;以智能合约为代表的区块链2.0;超越货币、经济、市场在司法、政府管理、公证等领域拓展应用的区块链3.0。区块链已经进入了2.0时代,并正在向3.0阶段迈进[1]。
从认识论的角度来看,区块链是现实世界与虚拟世界之间的链接桥梁,其意义在于重新构造一种信任机制,提升现实世界的有序度;从技术特征层面来看,区块链具有数据不可篡改、智能合约、信息可追溯性、去中心化以及信任共识机制等特征[2]。区块链具有较强的经济价值、法律价值、管理价值和应用价值,但其在给国家发展带来机遇、社会带来便利的同时,也具有一定的风险[3]。
区块链是由共识算法维护和储存在多个节点上的数据库,其基础性的技术机制是去中心化的分布式账本,各个节点的信息依靠密码算法可以自动安全地传递、验证及管理,具有分布式、防篡改、高透明、可溯源等特性,非经51%以上的数据节点或算力的同意就无法修改数据,这虽然使得区块链被认为具有无法消错的缺点,但却产生了更高的安全性。区块链的技术基础虽然是开源的,数据对本区块的所有人广播和开放,但交易各方的个人信息可以被加密,也可以匿名进行信息传递(但可以被验证)。而且,其智能合约能够自动执行本需要人工才能完成任务的协议。例如,当事人的支付行为会自动触发对方当事人履行相应的义务(如通过电子记录自动转移标的物的所有权或使用权)。进一步观察,由于区块链使用去中心化的分布式核算和存储,任一节点的权利和义务都是均等的,系统中的数据块由整个系统中所有具有维护功能的节点来共同维护,也即区块链采用基于协商一致的规范和协议使整个系统中的所有节点能够在去信任的环境下自动安全地交换数据,所有节点通过“全网记账”自动剔除虚假信息或欺诈信息,不需要任何人为的干预。信任可以传递,也可以外溢,从而建立“不信之信”的信任机制,技术信用也就随之取代了传统的人工信用,进而在共识机制和技术信用的基础上建立了一个安全可信的网络环境。区块链包括公有链、联盟链和私有链,可适用于不同的应用场景,其安全程度大体上可按私有链、联盟链、公有链来排序。
(二)区块链的技术发展与区块链安全风险的博弈
尽管在区块链链上发起“51%攻击”的成本很高(目前估计超过10亿美元),但是,一旦政府开始使用区块链存储有价值的档案,发起这一攻击的吸引力就会大增。而且,区块链所存储的任何数据的质量和准确性,不能由区块链自己来保证。如果没有一个中心化机构或可信部门负责检查和验证区块链上记录的数据,那么,这些数据的质量和准确性就没有保障[4]。此外,区块链的数据公开透明导致的隐私权等安全问题也引起了业界的高度关注。区块链技术并未止步不前,而是在不断发展以解决实践中出现的安全问题。
中国信息通信研究院、可信区块链推进计划发布的《区块链白皮书(2019年)》提出,当前,区块链在账本数据、密码算法、网络通信、智能合约、硬件等方面不断研发和应用多种技术措施保障其安全。账本数据方面,为满足账本数据的一致性和可用性等安全要求,业界普遍采用数据校验、数据容灾备份等技术方案,以保证各节点数据在上链过程中的一致性,及链上数据因系统故障导致丢失损毁后及时恢复。密码算法方面,在签名验签、链上数据授权访问等业务流程中,国密加密逐渐成为区块链应用的主流选择。网络通信方面,节点认证机制、账本隔离技术、数据分片技术等网络准入技术及网络防护不断完善,攻击者利用网络协议漏洞进行日蚀攻击、路由攻击及DDoS攻击(分布式拒绝服务攻击)的威胁程度在不断降低。智能合约方面,随着形式化验证技术更加完善,代码审计手段日益丰富,由合约漏洞导致的安全事件也有所降低。硬件方面,主流硬件供应商在近些年纷纷推出了以可信执行环境(TEE)为代表的硬件安全防护解决方案。此外,区块链的隐私保护手段也日趋多元化,诸多公链、联盟链项目在积极探索隐私保护方案。从保护对象来看,隐私保护手段可以分为三类:一是交易信息的隐私保护,对交易的发送者、交易接受者以及交易金额的隐私保护,有混币、环签名、机密交易(confidential transaction)和Mimblewimble方案等;二是智能合约的隐私保护,针对合约业务数据的保护方案,包含零知识证明、多方安全计算(MPC)、同态加密等;三是链上数据的隐私保护,主要有账本隔离、私有数据和数据加密授权访问等解决方案。目前,混币、机密交易、零知识证明等方案多出现在公链项目,在供应链金融等对隐私保护有强烈需求的应用场景中,则在以往以数据加密、账本隔离为主的实现方式的基础上,逐步出现了基于零知识证明、安全多方计算等隐私保护技术的应用。
区块链的技术发展与区块链安全风险的博弈还将继续下去,但区块链的安全保障并不限于安全技术保障,也需要在“区块链向善”的理念下,通过链上与链下的分割与融合治理,在区块链内部自治规则(特别是通过激励相容机制调动链上各方的积极性维护区块链安全)和区块链外部规则(区块链的安全监管法律规范)的共同作用下,强化“以链治链”,全方位、系统性地保障区块链安全。
(三)区块链推进了安全与效率的平衡
区块链的分布式存储、信息透明、防篡改等特点,既能够促进网络安全,也给网络安全带来新的挑战。首先,区块链的防篡改性质可能被不法利用。由于区块链上存储着大量公共信息,很可能成为黑客攻击的目标,黑客如果完成51%的节点攻击,就可以修改区块链记录。凡是软件或程序都存在漏洞,区块链也不例外。区块链漏洞会被人利用来篡改交互记录,错误记录一旦形成则难以更改。针对区块链记录被篡改的问题,可以由政府发起建立区块链社区平台,一方面,对于区块链进行持续检测,保证区块链无漏洞运行;另一方面,组织强大的技术力量对抗黑客的进攻。其次,区块链的开源性质容易导致隐私泄露。有些交互信息不具备隐私性和敏感性,可以共享,有些则反之。然而,用户只要在区块链平台上注册,就可以查看和下载所有的存储信息。目前防止隐私泄露的方法主要是用户假名和加密,但是通过大数据挖掘,依然可以找到信息和用户之间的相关性,可利用信息分离机制,对于那些敏感性和隐私性信息,在区块链上不放入其原始信息,而是放入信息的证据,这既可以确保区块链节点信息的真实性,也可以保留基础数据的隐私[5]。最后,区块链在应对网络攻击问题上拥有一种特殊的技术机制,即如果攻击成功,只会造成系统的价值归零,攻击者无法得到有价值的回报。因此,区块链的该独特功能也可以在一定程度上防范攻击和保障网络安全。然而,例外的情形也是存在的,特别是在代码存在漏洞的情况下。例如,The DAO在2016年遭到攻击,价值近6 000万美元的以太币被转移而非仅仅只是破坏。
安全与效率是法治社会的价值要求。然而,安全与效率二者之间存在矛盾,即在追求安全性时就会损害效率,反之亦然。市场经济立法一直致力于从平衡的角度来协调二者的关系,但只是一种理想状态,且不断受到共享经济、分享经济等新业态、新模式的挑战。区块链对此问题提供了新的解决路径,即从交易机制上提供了解决安全与效率之间的矛盾的新方式。区块链不仅使得交易变得公开透明,有效解决了信息不对称问题,而且在区块链交易中,合约或协议可以以智能合约的形式嵌入区块链中,由区块链技术确保合约在履行中不得篡改和自动、实时完成支付及交付等合同履行行为。从组织行为学的角度看,区块链可以被看成是一种新型的组织行为模式,使得去组织化的分布式协同生产成为可能,采用工作量证明等激励机制促进生产要素的最佳配置,从而提高交易安全和交易效率,彰显其价值增值。如果说互联网的功能主要是信息传递和信息交互,那么,区块链的应用则促成价值传递,这也是区块链被称为价值互联网的原因所在。总体而言,区块链的技术机理使得其本身的安全性要高于互联网,但在看到区块链的安全性有助于推进网络安全体系的结构式创新与发展的同时,也应看到如何通过技术与法治耦合保障区块链安全已成为亟待解决的问题。
二、我国的网络安全法制为区块链安全提供了基本法律保障
(一)我国关于网络安全的一般立法适用于区块链
按照《中华人民共和国网络安全法》(以下简称《网络安全法》)的规定,网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。因此,《网络安全法》及其他网络安全立法是适用于区块链及其行业应用的,而《网络安全法》则是网络安全领域的“根本大法”。《网络安全法》对网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置等做了规定,确立了网络安全的基本法律遵循。《网络安全法》规定的法律责任包括民事责任、行政责任及刑事责任,因此,其他相关法律也协同作用于网络安全的法律保障。
在相关的立法中,《中华人民共和国密码法》(以下简称《密码法》)与区块链的联系度非常高,其联接点就是“密码”。《密码法》第2条规定:“本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。”该法将密码分为核心密码、普通密码和商用密码并据此分别建立密码的应用及管理制度,将密码科研、生产、销售、服务、进出口、检测、装备、使用和销毁等活动都纳入了法治轨道,以实现规范密码应用和管理、促进密码事业发展、保障网络与信息安全、维护国家安全和社会公共利益及保护公民、法人和其他组织的合法权益的立法目的。由于加密技术是区块链的关键技术,《密码法》将直接作用于区块链领域,对于区块链技术的研发应用和规范发展具有重大意义。
需要说明的是,区块链并不等同于比特币,虽然区块链是基于比特币技术演进而来,但区块链行业有“币圈”和“链圈”之分。此种区别虽不严谨,但较能反映此前区块链应用的实践状况。2017年9月2日,互联网金融风险专项整治工作领导小组办公室向各省市金融办(局)发布《关于对代币发行融资开展清理整顿工作的通知》(整治办函〔2017〕99号),明确ICO(initial coin offering)本质上属于未经批准的非法公开融资,涉嫌非法集资、非法发行证券、非法发售代币募集,以及涉及金融诈骗、传销等违法犯罪活动,严重扰乱了经济金融秩序。2017年9月4日,央行等七部委发布《关于防范代币发行融资风险公告》,主要内容为:任何组织和个人不得非法从事代币发行融资活动,加强代币融资交易平台的管理,各金融机构和非银行支付机构不得开展与代币发行融资交易相关的业务,社会公众应当高度警惕代币发行融资与交易的风险隐患。虽然数字货币是区块链1.0的代表,但并不能代表区块链,且数字货币并不必然要借助于区块链,其基础都是加密算法。因此,虽然与基于区块链的数字货币紧密相关,但该公告并不能被认为是关于区块链的专门性规范文件。新近的信息是央行在多年研究的基础上采用“一币两库三中心”架构和央行、商业银行双层运营体系发行数字人民币(人民币的数字化形式,不同于比特币等加密货币)。
(二)区块链的专门立法为区块链信息服务确立了行为规范和制度保障
2019年1月10日,国家互联网信息办公室发布了《区块链信息服务管理规定》(自2019年2月15日起施行)。《区块链信息服务管理规定》旨在明确区块链信息服务提供者的信息安全管理责任,规范和促进区块链技术及相关服务健康发展,规避区块链信息服务安全风险,为区块链信息服务的提供、使用、管理等提供有效的法律依据,其主要内容如下。
1.管理机构
国家互联网信息办公室依据职责负责全国区块链信息服务的监督管理执法工作。省、自治区、直辖市互联网信息办公室依据职责负责本行政区域内区块链信息服务的监督管理执法工作(1)《区块链信息服务管理规定》第3条规定:“国家互联网信息办公室依据职责负责全国区块链信息服务的监督管理执法工作。省、自治区、直辖市互联网信息办公室依据职责负责本行政区域内区块链信息服务的监督管理执法工作。”。
2.区块链信息服务提供者的义务
区块链信息服务提供者的义务主要是:落实信息内容安全管理责任,建立健全用户注册、信息审核、应急处置、安全防护等管理制度(2)《区块链信息服务管理规定》第5条规定:“区块链信息服务提供者应当落实信息内容安全管理责任,建立健全用户注册、信息审核、应急处置、安全防护等管理制度。”;区块链信息服务提供者应当具备与其服务相适应的技术条件,对于法律、行政法规禁止的信息内容,应当具备对其发布、记录、存储、传播的即时和应急处置能力,技术方案应当符合国家相关标准规范(3)《区块链信息服务管理规定》第6条规定:“区块链信息服务提供者应当具备与其服务相适应的技术条件,对于法律、行政法规禁止的信息内容,应当具备对其发布、记录、存储、传播的即时和应急处置能力,技术方案应当符合国家相关标准规范。”;区块链信息服务提供者应当制定并公开管理规则和平台公约,与区块链信息服务使用者签订服务协议,明确双方权利义务,要求其承诺遵守法律规定和平台公约(4)《区块链信息服务管理规定》第7条规定:“区块链信息服务提供者应当制定并公开管理规则和平台公约,与区块链信息服务使用者签订服务协议,明确双方权利义务,要求其承诺遵守法律规定和平台公约。”;区块链信息服务提供者应当按照《网络安全法》的规定,对区块链信息服务使用者进行基于组织机构代码、身份证件号码或者移动电话号码等方式的真实身份信息认证(5)《区块链信息服务管理规定》第8条规定:“区块链信息服务提供者应当按照《中华人民共和国网络安全法》的规定,对区块链信息服务使用者进行基于组织机构代码、身份证件号码或者移动电话号码等方式的真实身份信息认证。”;区块链信息服务提供者开发上线新产品、新应用、新功能的,应当按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估(6)《区块链信息服务管理规定》第9条规定:“区块链信息服务提供者开发上线新产品、新应用、新功能的,应当按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估。”;区块链信息服务提供者和使用者不得利用区块链信息服务从事危害国家安全、扰乱社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动,不得利用区块链信息服务制作、复制、发布、传播法律、行政法规禁止的信息内容(7)《区块链信息服务管理规定》第10条规定:“区块链信息服务提供者和使用者不得利用区块链信息服务从事危害国家安全、扰乱社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动,不得利用区块链信息服务制作、复制、发布、传播法律、行政法规禁止的信息内容。”。
3.信息安全问题的处理
相关规定主要是:区块链信息服务提供者应当配合网信部门依法实施的监督检查,并提供必要的技术支持和协助;区块链信息服务提供者应当接受社会监督,设置便捷的投诉举报入口,及时处理公众投诉举报(8)《区块链信息服务管理规定》第18条规定:“区块链信息服务提供者应当配合网信部门依法实施的监督检查,并提供必要的技术支持和协助。区块链信息服务提供者应当接受社会监督,设置便捷的投诉举报入口,及时处理公众投诉举报。”;区块链信息服务提供者提供的区块链信息服务存在信息安全隐患的,应当进行整改,符合法律、行政法规等相关规定和国家相关标准规范后方可继续提供信息服务(9)《区块链信息服务管理规定》第15条规定:“区块链信息服务提供者提供的区块链信息服务存在信息安全隐患的,应当进行整改,符合法律、行政法规等相关规定和国家相关标准规范后方可继续提供信息服务。”;区块链信息服务提供者应当对违反法律、行政法规规定和服务协议的区块链信息服务使用者,依法依约采取警示、限制功能、关闭账号等处置措施,对违法信息内容及时采取相应的处理措施,防止信息扩散,保存有关记录,并向有关主管部门报告(10)《区块链信息服务管理规定》第16条规定:“区块链信息服务提供者应当对违反法律、行政法规规定和服务协议的区块链信息服务使用者,依法依约采取警示、限制功能、关闭账号等处置措施,对违法信息内容及时采取相应的处理措施,防止信息扩散,保存有关记录,并向有关主管部门报告。”;区块链信息服务提供者应当记录区块链信息服务使用者发布内容和日志等信息,记录备份应当保存不少于六个月,并在相关执法部门依法查询时予以提供(11)《区块链信息服务管理规定》第17条规定:“区块链信息服务提供者应当记录区块链信息服务使用者发布内容和日志等信息,记录备份应当保存不少于六个月,并在相关执法部门依法查询时予以提供。”。
总体而言,除了规范性文件和地方性法规中的部分条款涉及到区块链,目前关于区块链的专门立法仅有《区块链信息服务管理规定》。《区块链信息服务管理规定》就区块链的特殊性对其信息服务管理和法律责任等主要问题做了规定,使得相关的监管执法活动有法可依。然而,该规定的内容也仅限于信息服务管理,与区块链安全相关的法律保障内容也就限于信息安全,这是该规定的立法目的和立法范围所决定的。2017年7月,国家互联网信息办公室会同相关部门起草了《关键信息基础设施安全保护条例(征求意见稿)》,该条例已经列入国务院2020年立法工作计划,其中也包括区块链的安全保护。一些地方也已经颁布了促进和保障区块链发展的政策和规范性文件。例如,2020年5月,广州市工业和信息化局印发《广州市推动区块链产业创新发展的实施意见(2020-2022年)》,2020年5月,贵州省人民政府印发《区块链技术应用和产业发展的意见》。可以预见,关于区块链技术和产业创新发展的政策与立法将会驶入“快车道”。
三、进一步推进区块链安全的法律保障
(一)从国家战略高度重视区块链安全的法律保障
2016年10月,《国务院关于印发“十三五”国家信息化规划的通知》中首次将区块链列为重点前沿技术,明确提出需加强区块链等新技术的创新、试验和应用,以实现抢占新一代信息技术主导权。2017年1月,工业和信息化部发布的《软件和信息技术服务业发展规划(2016-2020年)》提出区块链等领域创新达到国际先进水平等要求。2017年10月,国务院发布的《关于积极推进供应链创新与应用的指导意见》提出要研究利用区块链、人工智能等新兴技术,建立基于供应链的信用评价机制。
我国已经将区块链列为国家战略的重要组成部分,各级政府高度关注区块链的研发和应用。十九届四中全会以来,区块链更是引起了各级政府和社会各界的高度关注,一些省市自治区也纷纷推出了促进区块链技术和产业创新发展的政策,推进区块链技术和产业创新发展也已经成为社会共识。工业和信息化部总经济师王新哲在“2019可信区块链峰会”上表示,工业和信息化部将加快推进区块链技术产业创新发展,大力推动区块链和经济社会深度融合,充分发挥区块链技术在带动技术突破、驱动经济发展、促进民生改善、推动社会进步等方面的战略性作用。据王新哲介绍,未来工业和信息化部重点抓好五方面工作:一是跟踪分析前沿动态,加快完善顶层设计;二是加强核心技术研发,持续提高创新能力;三是加快应用落地步伐,推动区块链与实体经济融合;四是建立健全标准体系,构建完善产业生态;五是着力强化安全保障,引导产业健康发展[6]。
区块链被认为是重塑世界的新技术,法律视野下的区块链的特点是主体匿名性、交易智能化、管理去中心化、链上规则自治化、数据不可变性、信息透明性和对称性及救济(或奖惩)自动化。但这只是从技术层面的分析,从组织行为学的角度观察,区块链的去中心化和共识机制为自组织与自协调机制提供了新的技术化模式。因此,区块链不应被简单地从技术层面视为新型的劳动工具和进而推动生产力的发展,区块链的深入应用将对社会组织结构乃至生产关系产生深刻变革。“区块链解决信任的问题,它试图构建一个低摩擦系数的世界,属于生产力范畴;而通证是重构利益分配,属于生产关系的范畴。”[7]从网络安全法的角度看,应当客观、科学地评价区块链的网络安全价值,积极拓展区块链的网络安全功能,充分利用区块链的技术特点推进网络安全和网络安全法治的现代化。同时,也应当重视区块链安全的立法、执法监管及司法,规范和保障区块链的安全和创新发展。
(二)从“零信任安全”的理念构建区块链的安全架构和法治保障体系
“零信任安全”理念是当前网络安全业广为推崇的新型安全理念,甚至被认为是抵御不断变化的网络安全威胁的最好方法。“零信任”一词是由Forrester Research的分析师约翰·金德维格(John Kindervag)在2010年提出的,其核心思想是“从来不信任,始终在校验”,将“信任但需要验证”方法转化为“验证而不信任”。Evan Gilman等所著《零信任网络:在不可信网络中构建安全系统》是首部介绍零信任网络的专业技术著作,提出传统的安全模型有以下缺点:缺乏网络内部的流量检查,主机部署缺乏物理及逻辑上的灵活性,存在单点故障,数据中心内部的系统和网络流量是可信的假定是不正确的,网络边界的安全保护一旦被突破,即使只有一台计算机被攻陷,攻击者也能够在“安全的”数据中心内部自由移动[8]。
奇安信身份安全实验室进一步提出,零信任的核心能力包括以身份为基石、业务安全访问、持续信任评估和动态访问控制四个方面的核心能力。(1)以身份为基石。需要为网络中的人和设备赋予数字身份,身份化的人和设备运行时组合构建访问主体,并为访问主体设定其所需的最小权限。(2)业务安全访问。零信任架构关注业务保护面的构建,要求所有业务默认隐藏,根据授权结果进行最小限度的开放,所有的业务访问请求都应该进行全流量加密和强制授权。(3)持续信任评估。通过信任评估引擎,实现基于身份的信任评估能力,同时需要对访问的上下文环境进行风险判定,对访问请求进行异常行为识别并对信任评估结果进行调整。(4)动态访问控制。动态访问控制是零信任架构的安全闭环能力的重要体现。设置灵活的访问控制基线,基于信任等级实现分级的业务访问,当访问上下文和环境存在风险时,需要对访问权限进行实时干预并评估是否对访问主体的信任进行降级[9]。
2017年,Google宣布成功完成基于零信任理念构建的新一代网络安全架构——BeyondCorp项目。2019年7月,美国国防创新委员会公布的《通往零信任(安全)之路》白皮书认为,随着越来越多的用户和终端接入网络,网络攻击面增加,现有网络安全设备正面临严峻考验,政府和商业部门正在重新评估目前基于“边界”的网络安全架构,并考虑采用零信任新架构以提高网络安全性。白皮书建议国防部以零信任安全的理念作为未来网信安全的政策基础,即建设零信任架构。零信任架构是另一个安全概念,其中心思想是不应自动信任内部或外部的任何人/事/物,应在授权前对任何试图接入系统的人/事/物进行验证[10]。
在当前基于边界的企业安全防护体系正在消弭的背景下,零信任安全已成为下一代主流安全技术路线。腾讯公司近年来一直致力于零信任安全技术、标准及其应用,继2019年7月《零信任安全技术-参考框架》在中国通信标准化协会成功立项后,在2019年9月召开的ITU-T SG17安全研究组全体会议上,由腾讯公司联合国家互联网应急响应中心、中国移动通信集团设计院、赛门铁克公司提出的《服务访问过程持续保护参考框架》国际标准获得立项,该框架是零信任安全技术参考框架的核心组成部分,重在识别企业用户在网络访问过程中受到的安全威胁,指定访问过程中的持续保护措施,实时检测网络异常的访问行为,引入授权增强机制。一举拿下ITU-T国际标准,标志着以腾讯公司为代表的中国互联网企业在国际标准组织制定中已开始扮演越来越重要的角色,成为规则的制定者和引领者,体现了中国力量在国际网络安全领域的技术领导力和话语权,更有力地推动了零信任安全技术在全球范围规模商用的进程[11]。
随着网络攻击日益复杂和激烈,传统的基于边界的网络安全理念已“捉襟见肘”,难以再适应当前严峻的网络安全形势。区块链分为私有链、联盟链和公有链,可以根据业务需求和应用场景选择特定的区块链架构,但总体来说,在区块链环境下,其主体匿名但可以被验证,数据不可篡改但可被溯源,无管理中心但有共识机制,链上各方或许并不了解但可以彼此信任,这些特点恰恰符合网络安全的“零信任安全”理念。因此,可以认为,区块链将会使得“零信任安全”理念得到进一步巩固和加强。同时,也应基于“零信任安全”的理念构建区块链的安全系统和法治保障体系。
(三)技术与法治耦合解决区块链安全中的特殊法律问题
国家互联网信息办公室有关负责人在《区块链信息服务管理规定》发布会上表示,区块链在给国家发展带来机遇、给社会生活带来便利的同时,也带来了一定的安全风险。通过与传播领域的结合,被一些不法分子利用以传播违法有害信息,实施网络违法犯罪活动,损害公民、法人和其他组织的合法权益。部分区块链信息服务提供者的安全责任意识不强,管理措施和技术保障能力不健全,这对互联网信息安全提出新的挑战[12]。
业界对区块链的安全问题也不无担忧,主要集中于区块链被用于违法犯罪活动、隐私安全、数字货币被盗、软件漏洞、无政府主义和独裁主义等。例如,区块链技术也受到国内外广泛关注并快速应用,从数字货币到智能合约,并逐步向文化娱乐、社会管理、物联网等多个领域延伸。随着区块链应用范围和深度的逐渐扩大,数字货币被盗,智能合约、钱包和挖矿软件漏洞等安全问题将会更加凸显[13]。尽管区块链系统的技术创新确实令人兴奋,但对“不可信的”技术平台要慎之又慎,这些平台会在那些逃避社会的个人之间强制推行一种基于契约的关系[14]。区块链被称为是“最有可能改变未来十年商业模式的技术”,但也被称为犯罪活动、庞氏骗局、无政府和独裁主义的避风港[15]。因此,也需要重视区块链带来的新型网络安全问题。中国工程院院士、浙江大学区块链研究中心主任陈纯认为,公有链已成为新媒体的传播媒介,因为公有链本身具有去中心化、不可篡改、不可删除、低成本的特点。因此,在没有监管的前提下,利用公有链传播有害信息、网络谣言和煽动性、攻击性信息的成本非常廉价[16]。对于公有区块链来说,由于任何人都可以在其数据库中写入数据,其信息内容的监管也成为问题。对此,我国首先就区块链提供信息服务出台了专门的管理规定。区块链特性使得链上数据难以被篡改,区块链可能成为传播危害公共安全、涉及恐怖主义和不良信息的载体。随着监管的发展,任何利用公有链区块链技术进行与互联网内容传播有关的违法犯罪活动,和各国一样会受到法律的追究。
关于区块链的安全问题,应当区分区块链本身的安全问题和区块链应用的安全问题,虽然二者的形成、防范及制裁往往是伴生的或融合的。对于区块链应用中的网络安全问题,可以按照《网络安全法》《民法典》《刑法》等法律法规关于网络违法犯罪的相关立法进行处理或制裁,在这个问题上,区块链与互联网并无本质差别,都是违法犯罪的工具。可能的差异在于利用区块链的匿名性等特点或利用比特币等数字货币实施洗钱等犯罪时,将会给侦查或取证带来较大的难度。区块链本身的安全问题应是区块链安全的法律保障关注的重点。首先,对于区块链的安全性问题不能一概而论,而是应对私有链、联盟链及公有链进行区别对待,结合三者各自的技术特征和应用功能对其网络安全问题进行差异化分析并提供与之相适应的法律保障;其次,互联网时代网络安全法的一些规则不再适应区块链独特的技术机制所产生的网络安全问题,例如,在区块链的分布式记账中,如何确定个人数据拥有者或控制者和如何确定责任的分担?如何实现被遗忘权、数据删除权、数据的可携带权?诸如此类的问题将是区块链网络安全法律保障的难点问题;最后,区块链的分散决策机制和资源配置模式已经得到较为充分的认识,但其对社会组织结构的变革及其可能产生的网络安全法律问题尚需随着区块链实践应用的深入来观察。
无论是区块链安全,还是区块链的技术研发与产业应用,技术标准、行业标准都是重中之重。如果各机构在不同的标准上不断建立新的“孤岛式”的解决方案,将导致产生无数基于不同标准的、经过重大妥协的、复杂的、封闭的解决方案。只有建立技术标准之后,各公司关于区块链的操作性才会更强;只有建立行业标准,各机构之间才能实现交互操作[17]。2017年5月,工业和信息化部电子标准化研究院发布了《区块链参考架构》标准。2018年3月,工业和信息化部发布《2018年信息化和软件服务业标准化工作要点》,提出推动组建全国信息化和工业化融合管理标准化技术委员会、全国区块链和分布式记账技术标准化委员会。2019年11月7日,信息化和软件服务业司在北京组织召开的区块链标准化工作座谈会上,信息化和软件服务业司相关负责人表示,将联合有关部门加强区块链标准化研究,加快关键急需标准的研制和应用,同时积极对接国际标准组织,提升国际话语权和规则制定权[18]。2020年4月10日,工业和信息化部发布《网络数据安全标准体系建设指南》(征求意见稿),征求意见稿提出,到2021年,要初步建立网络数据安全标准体系,有效落实网络数据安全管理要求,基本满足行业网络数据安全保护需要,推进标准在重点企业、重点领域中的应用,研制网络数据安全行业标准20项以上。到2023年,要健全完善网络数据安全标准体系,显著提高标准技术水平、应用水平和国际化水平,有力促进行业网络数据安全保护能力提升,研制网络数据安全行业标准50项以上。2020年2月5日,中国人民银行正式发布了《金融分布式账本技术安全规范》(JR/T 0184-2020)金融行业标准。《信息技术 区块链和分布式记账技术 存证应用指南》《信息技术 区块链和分布式记账技术 智能合约实施规范》等国家标准正在制定中。2020年4月13日,工业和信息化部发布了《全国区块链和分布式记账技术标准化技术委员会组建公示》,该技术委员会将承担起体系化推进区块链标准制定工作的具体任务。
在执法监管方面,我国已经将区块链纳入执法监管视野。截止到2020年4月24日,网信办已经公布了三批区块链信息服务备案编号。备案不同于审批,也不等于对备案主体及其产品和服务的认可,备案登记属于监督手段,标志着将区块链信息服务纳入到了规范化的监管体系中。区块链信息服务企业应当自律、合规发展,也应当接受监管部门的依法监管。同时,监管部门也在着力于探索运用区块链解决政务管理中的信息共享和网络安全等问题。在执法监管实践中,如何协调网络安全与创新发展的关系一直是执法监管的难题。从我国的监管实践看,包容审慎的执法监管理念已经成为执法监管的共识,透明、高效、信息对称的一体化、穿透式执法监管体系正在稳步推进,区块链赋能电子政务将进一步推进执法监管体制和机制改革,更有利于在监管中妥善协调网络安全与创新发展的关系,促进区块链研发和应用的自主、可控,切实保障区块链系统的安全运行。
总体而言,区块链本身具有比互联网更高的安全性,其分布式账本可以有效保障信息完整性和不可篡改性,且可采用基于协商一致的规范和协议使整个系统中的所有节点能够在去信任的环境下不需要任何人为的干预自动安全地交换数据,防止信息泄露和欺诈,对于网络安全特别是网络信息安全具有重要的价值。因此,应充分发挥区块链的独特优势,运用法律手段推动区块链在各行业、各领域的深入使用。同时,也应重视具有非中心化特征和匿名性特点的区块链的法律监管,防止其中的安全问题及其引发的社会风险,技术与法治耦合推进区块链的安全保障,促进区块链系统的安全运行和区块链产业的可持续发展。例如,《贵阳市大数据安全管理条例》规定:“鼓励安全责任单位运用区块链等新技术手段,优化数据聚通用架构,强化信任认证和防篡改设计,提升大数据安全防护水平。”[19]
(四)积极促进区块链安全的国际合作
区块链被认为是重塑世界的新技术,已经引起了许多国家的高度重视,但目前区块链的应用尚处于初级阶段,区块链的安全问题特别是国际合作问题尚待进一步观察。然而,可以确定的是,国际社会并不会否定区块链安全的国际合作的必要性。事实上,由于区块链的特殊性及其网络安全问题并未充分暴露,国际合作的意义更为重大。
欧美发达国家及澳大利亚、日本、韩国等国家高度重视区块链,相继制定了发展战略或法律法规。据新华社报道,2018年2月1日,欧盟委员会宣布启动一项旨在促进欧洲区块链技术发展并帮助欧洲从中获益的新机制。这个机制具有收集与区块链有关的信息、监测和分析相关趋势、探索区块链技术的社会经济潜力并应对相关挑战等功能。欧盟委员会表示,区块链技术可使在线交易具有很高的可追溯性和安全性,被视为重大技术突破。这一技术将影响数字服务并改变医疗、保险、金融、能源、物流、政府服务等领域的模式[20]。例如,2018年9月,西班牙人民党的133名代表向西班牙议会下院众议院提交了与区块链有关的提案,建议政府引入区块链,以改善内部流程和提供决策的可追溯性、稳健性及透明度[21]。2018年,美国俄亥俄州通过《区块链法案》,承认基于区块链的智能合约与数字签名的法律地位。2019年7月9日,美国参议院商业、科学和运输委员会批准了《区块链促进法案》,该法案明确要求美国商务部为“区块链”建立标准定义,以及建立新的法律框架,为未来新兴技术的应用提供指导和防范风险。2019年3月,澳大利亚公布了一项国家区块链路线图战略,该路线图将重点关注一系列政策领域,包括监管、技能和能力建设,及创新、投资、国际竞争力和合作等[22]。2019年9月,德国经济与能源部和财政部联合发布了《德国国家区块链战略》,说明了德国对区块链的整体观点,展现了其在区块链方面的目标和原则,并提出了具体的行动措施。
或可预判的是,随着区块链的创新应用和深入发展,国际社会将会把目光从互联网时代的网络安全转向区块链时代的网络安全。从国际合作的视域观察,需要在政策、标准、规则及机制等方面推进区块链安全的国际合作,区块链技术及其应用标准将是首当其冲需要协商解决的问题。2016年9月,国际标准化组织(ISO)成立了区块链和分布式记账技术委员会(ISO/TC307),着手开展区块链和分布式记账技术领域相关标准研制工作,并与其他国际性组织合作研究区块链和分布式记账技术领域的标准化相关问题。截至2019年7月,ISO/TC307建立了6个工作组(G)和一个研究组(SG),主要致力于区块链基础技术、安全隐私和标识智能合约及其应用、治理、用例、互操作等方向的标准制定与研究,目前共有20项左右的在研标准项目。2016年至2017年初,国际电信联盟通信标准化组织(ITU-T)成立了多个焦点组进行区块链技术与应用研究,同时多个研究组也从不同领域开展区块链应用标准化工作。ITU-T的SG13、SG16、SG1和SG20等研究组分别从未来网络、多媒体应用、安全与标识、物联网与智慧城市等领域着手研究区块链应用的标准化,同时,ITU-T FG DLT、FG DFS、FG DIC和EG DPM等几个焦点组也分别从区块链应用分析、数字金融服务应用、数字货币应用和区块链数据处理领域硏究区块链技术与标准化问题。该组织目前已提出十多项区块链国际标准项目,大部分都是由来自中国的企业提出和主导。前文述及,我国也高度重视标准问题,信息化和软件服务业司将联合有关部门加强区块链标准化研究,加快关键急需标准的研制和应用,同时积极对接国际标准组织,提升国际话语权和规则制定权。
区块链安全的国际合作必然会面临一些互联网时代所未遇到的特殊难题。2019年7月,欧洲议会属下的“科学预见小组”(STOA)发布了《区块链与GDPR:分布式记账技术能否与欧盟数据保护条例相协调?》,该研究报告分析了区块链与GDPR《通用数据保护条例》的冲突,但并未提出具体可行的对策。在信息化和经济全球化交融发展的大背景下,虽然可以在某些问题上做出有益的探索,但由一国或区域性国际组织解决相关问题会力不从心。从网络安全法的角度看,要解决的问题就不仅是区块链与一部立法的冲突与协调问题,而且是各国相关法律的冲突与协调问题,问题的复杂性将使其解决的难度更大。然而,难度并不必然意味着悲观,互联网时代的国际安全合作的理念、原则及有益经验仍然适用于区块链。
人类命运共同体理念是习近平总书记站在人类社会整体发展的高度,基于对世界历史发展趋势的深刻理解和科学把握而提出来的[23]。网络空间命运共同体是人类命运共同体理论在网络空间的具体体现,是网络空间和平与发展的共同期望。在2015年第二届世界互联网大会上,习近平主席指出,网络空间是人类共同的活动空间,网络空间前途命运应由世界各国共同掌握。各国应该加强沟通、扩大共识、深化合作,共同构建网络空间命运共同体。在本次互联网大会上,习近平主席就网络治理提出了“四个原则”和“五点主张”,“四个原则”是指推进全球互联网治理体系变革,应该坚持四个原则,包括尊重网络主权、维护和平安全、促进开放合作、构建良好秩序。“五点主张”包括:第一,加快全球网络基础设施建设,促进互联互通,让更多发展中国家和人民共享互联网带来的发展机遇;第二,打造网上文化交流共享平台,促进交流互鉴,推动世界优秀文化交流互鉴,推动各国人民情感交流、心灵沟通;第三,推动网络经济创新发展,促进共同繁荣,促进世界范围内投资和贸易发展,推动全球数字经济发展;第四,保障网络安全,促进有序发展,推动制定各方普遍接受的网络空间国际规则,共同维护网络空间和平安全;第五,构建互联网治理体系,促进公平正义,应该坚持多边参与、多方参与,更加平衡地反映大多数国家的意愿和利益。习近平主席提出的“四个原则”和“五点主张”展现了网络治理的中国主张,也体现了世界上绝大多数国家关于网络治理的共同心愿,对于包括区块链安全在内的网络安全的国际治理具有重大的指导意义。