社会治理中区块链的安全风险及其法治应对
2021-11-21贺嘉
贺 嘉
(西南政法大学 人工智能法学院,智能司法研究重庆市2011协同创新中心,重庆 401120)
一、问题的提出:社会算法治理的风险预警
区块链——一种具备多种层级和多种类型应用的综合信息技术,可应用于金融、经济、货币、行政管理等多个领域。同时,区块链概念的分散集成性可为任何事物的所有量子数据呈现、评估和传递提供一种新型组织和行为范式,其可能产生之效能为再一次让人类集群合作的质变式跨越,从而释放人类协同的社会效益。区块链技术的应用分已从货币应用,到协议应用,再发展到如今的社会治理应用。(1)[美]梅兰妮·斯万:《区块链:新经济蓝图及导读》,龚鸣等译,新星出版社2016年版,第45-142页。它建立了一个全新的高效协同模式,使得其应用可超越货币、经济等市场性应用,扩展至公共事务管理领域。梳理区块链应用脉络,从去中心化应用(Decentralized application,简称DAPP)到去中心化自治公司(Decentralized Autonomous Corporation,简称DAC),再到去中心化自治组织(Decentralized Autonomous Organization,简称DAO),以及到去中心化自治社会(Decentralized Autonomous Society,简称DAS)一步步推进,逐渐形成“区块链生态系统”。(2)区块链生态系统是指,围绕区块链本身建立一个分散的生态系统,以实现全面的解决方案运行。可以说,区块链不仅是计算范式的创新,它还突破了社会信用体系,对现有制度和社会结构有着深远影响。
区块链技术的应用,在掀起了行业风波后也引起了政府部门的关注。各国逐渐开始探索其可能的应用场景和发展前景,中、美、英等国家也已将区块链应用于社会公共服务。(3)汤啸天:《运用区块链技术创新社会治理的思考》,载《上海政法学院学报》(法治论丛)2018年第3期,第68页。国务院印发的《“十三五”国家信息化规划》中,区块链作为革新型技术纳入国家行动计划。区块链作为新兴科技,其引领中国自主创新的科技担当意义重大。尤其在当今,经社会行为与社会管理范式的突发式加速变革,数据的时代意义凸显,科技革命使现代社会越发依赖数据。而作为基础信息技术的区块链则为数据传递提供了绝佳的技术参考,使区块链应用的飞跃发展有了时代必然性和可能性。
区块链应用使社会治理有可能实现可程序化的算法治理,这的确有着巨大的吸引力。在区块链的助推下,从比特币到社会信任变革,再到社会的算法治理,取得巨大突破性成就的同时,也隐含着安全风险。“去中心化”作为区块链的基本特征,成为其构建“区块链生态系统”得天独厚的优势;但同时,该特质也改变着现有“中心化”的社会结构与人际系统,同样也危及以“中心化”为基点的信任关系。区块链的“去中心化”成为无政府主义的借口。如在区块链应用实践中已不乏利用区块链技术发展中的规制缺失而进行违法行为的案例。早期比特币市场确曾沦为违法交易的场所。这些交易以去中心化交易为名,却是以去中心化规制为实,这使得区块链技术的应用风险不得不让人警惕。区块链应用的安全风险并不仅限于此等显性风险,该技术信任变革所带来的社会结构性风险也应予以考虑。在鼓励区块链创新和应用的同时,防范其所带来的安全风险有着重要意义。
区块链作为一项战略性前沿技术,滥觞于民间,但其国家科技战略意义却逐渐被各国发现并加以利用。虽经三代发展,但仍未成熟,对于该技术应用的安全风险防控也正在探索,各国均无较完备的治理体系,对其的治理能力有待提高。学界研究业已涉猎该问题,但对于区块链应用风险法治应对理念和路径并未形成体系化成果,更多的是聚焦于就某一具体应用场景的应用显性风险予以规制,而非从国家安全出发,探讨基于创新与秩序平衡理念下的区块链安全风险法治应对体系化进路。推动区块链创新性应用的同时也应该防范其应用的安全风险,从而能将科技风险降至最低,才是可持续发展和应用区块链技术的可行之道。
二、社会治理中区块链的安全风险
国家层面上的安全探讨并非新兴,但它当下的意义重大。这与该概念的时代性和价值性相关,国家层面安全的含义总是附随着时间和空间的价值因素。恰如社会与政治学家卡尔·沃尔夫冈·多伊奇(Karl Wolfgone Deutsch)所说,“安全作为一种价值,同时是享受其他价值的方式和条件,所以它的含义往往是不明确的。”(4)[美]卡尔·多伊奇:《国际关系分析》,周启朋等译,世界知识出版社1992年版,第283页。传统国家安全理论关注于国家军事力量和政治力量捍卫国家安全,认为军事和政治实力是国家安全的保障,是现实主义安全观的体现。而全球一体化进程中,各国间依赖加深,一国之安全也不再仅是军事和政治风险,经济、社会、文化等多个方面均可能带来国家安全风险,非传统安全理论应运而生,人们更注重制度、文化等多要素的考量,以弥补传统安全观的不足。(5)马强:《当代中国总体国家安全观研究》,辽宁大学2017年博士论文,第8页。
国家安全系一种客观安定状态,包括现实状态和未来预期,所以打破现有社会秩序,从而造成安定状态和安全心理丧失。以加密算法为技术基础、以去中心化的算法信任为核心机制的区块链技术,打破了现有人际信任与中心化制度信任,建筑了以点对点网络和密码验证技术为基础的区块链生态系统。(6)Satoshi Nakamoto,A peer-to-peer Electonic Cash System.https://bitcoin.org/bitcoin.pdf。然而,现有法律制度、经济制度、货币体系等一系列现实性构想却都是建立在中心化信任之上,区块链技术“去中心化”为核心的理念,对现有秩序将造成了极大冲击,甚至被称为“第四次工业革命”。(7)李国权、闫黎:《区块链澎湃第四次工业革命浪潮》,载《高科技与产业化》2017年第5期,第39页。区块链应用于社会治理中,其最可见也最直观的则是数据保护缺位,以及算法监管困境所带来的安全风险。然而,区块链应用的冲击还包括隐性的理念冲击,新科技革命下的理念演变如若缺乏有效应对,同样将造成社会秩序的结构性破坏。
(一)区块链应用于社会治理中的数据安全风险
区块链于社会治理中的应用场域可以说是相当广泛,其应用前景也为人关注。区块链技术的应用肇始于比特币这一虚拟货币,区块链首次应用于货币,其在金融领域的应用也相对较早开始。最早出现的数据安全风险也集中在该领域,The Dao事件就是典型例证。(8)黑客利用The Dao智能合约中的编程错误非法盗取平台巨额资金,并因自动执行无法追回。而区块链相关安全风险随着区块链应用逐渐扩展到各个领域,在区块链应用于社会治理中因可能涉及国家安全之敏感领域,其数据安全风险防范尤为重要。
1.数据质量的安全风险
数据质量包括数据的准确性、关联性、完整性和安全性,防止因承载过量、数据滥用、数据加密失效等带来的系统安全风险。区块链数据承载限量一直是一个重要的技术瓶颈。以太坊通过对其结构进行优化。在数据层上,以太坊扩大了区块容量,由于可编程功能的加入,支持发送数据和变量,采用优化的加密算法和默克尔树数据存储结构,减少区块链广播时的数据量,对该问题予以优化,但在更大规模的计算需求下仍然有承载过量的安全风险。同时,区块链的可追溯和不可更改的特点也为数据的滥用埋下了隐患。一旦将公共区块链运用到社会治理中,发生治理不当的情况,则将会被不可更改地留下可为其他系统成员可见的问题。区块链的去中心化特质也为区块链数据滥用提供了便利途径,而社会治理中的敏感数据如若出现非法应用、非法交易等违法行为,将造成严重的损失。
2.数据隐私的安全风险
在区块链系统中,其数据加密的关键技术之一为私钥,只有具有私钥的用户才可被认为具有用户身份凭证,以此打开加密数据。然而,该技术也并非毫无漏洞。在椭圆曲线数字签名算法这一方案中,在一条特定的曲线上仅生成私钥和公钥,也就是说其参数具有公开性,存在信息泄露的风险。攻击者可以利用这类安全风险,复制用户的私钥,即便用户发现私钥被盗用,也很难补救。(9)Mayer H,ECDSA security in bitcoin and ethereum: a research survey. CoinFaabrik, 2016, p.126.除此之外,私钥还存在被盗用的风险,比如利用临时私钥进行攻击。(10)Schmidt J M,MEDWED M, A fault attack on ECDSA. 2009 Workshop on Fault Diagnosis and Tolerance in Cryp-tography (FDTC). IEEE,2009,p.93-99.
在区块链应用层中也仍然存在数据隐私安全问题。虽然区块链技术本身的技术优势之一就是其匿名性的特点,但事实上在身份隐私、交易隐私等方面还是存在隐私泄露的安全风险。就身份隐私方面而言,通过异常的中继模式,攻击者可以利用比特币地址寻找到其对应的用户地址。(11)KOSHY P,KOSHY D,MCDANIEL P. An analysis of anonymity in bitcoin using P2P network traffic. International Conference on Financial Cryptography and Data Security.Springer,Berlin,Heidelberg,2014,p.469-485.在交易隐私方面也存在安全风险。例如,攻击者通过外部信息分析和对相关交易信息流的分析窃取用户交易隐私。(12)Fleder M,Kester M S,PILLAIS,Bitcoin transaction graph analysis.https://arxiv.org/pdf/1502.01657.pdf.就技术本身而言,数据保护本就是制约区块链技术发展的一大瓶颈,虽然通过设计环签名、零知识证明、安全多方计算等方案对数据隐私予以保障,但在现有发展中仍存在一定的技术障碍,不能完全解决数据隐私保护的问题。(13)王慧,王励成,柏雪等:《区块链隐私保护和扩容关键技术研究》,载《西安电子科技大学学报》2020年第5期,第1-10页。
可见,区块链技术的数据安全风险确实存在。区块链应用于社会治理中必然会涉及一些敏感领域,其中不乏与国家安全直接相关的重大安全风险。国防军事领域的应用,如果出现数据安全的系统性风险后果将不言而喻,而在其他社会治理中的应用也需警惕数据安全风险造成的社会影响,例如金融领域所涉及到的金融安全。
(二)区块链应用于社会治理中的算法安全
区块链以算法为基础,摆脱对中心化机构依赖的同时也排斥了中心化监管。“去中心化”是区块链技术的特性,也是其目的。“去中心化”特质让区块链技术天然的带有“去监管”特性,因此在带来交易便利化的同时,也让其应用成为了排斥监管的“天堂”。区块链1.0应用下的早期比特币市场就沦为了犯罪的避风港,比特币为雇凶谋杀、毒品走私、挪用公款、欺诈、洗钱、腐败、市场操纵、反政府等恶性犯罪提供了机会。(14)[美]亚当·罗思坦:《货币的终结:比特币、加密货币和区块链革命》,尚跃星译,机械工业出版社2018年版,第70页。而比特币与犯罪之间的交叉乃为罗斯·乌布里希特(Rose Ulbricht)推出的非法物品交易市场,并将比特币推向犯罪的临界点。去中心化计算表面上是给现有信息化技术打下了“强心针”,推动其突破现有瓶颈,但也存在算法安全风险。
1.算法治理价值导向的安全风险
客观的科学技术,本不具有主观价值判断,但科学技术的应用则难逃善恶追问。马丁·海德格尔(Martin Heidegger)对技术进行论述。在他看来技术有两个含义:一是,技术是合目的的手段;二是,技术是人的行为。而这两个技术的规定实为一体,因为设定目的、创造和利用合目的的手段就是人的行为。(15)[德]马丁·海德格尔:《演讲与论文集》,孙周兴译,生活·读书·新知三联书店2005年版,第4页。恰如海德格尔所言,区块链作为技术之应用,以及该技术之所以能在近年如雨后春笋般腾飞式发展,祛“去中心化”之魅后亦可寻迹其“去中心化”算法安全风险。
(1)“去中心化”的算法中心主义
区块链以其“去中心化”为核心,加密算法、共识机制为基础,实现了社会信赖转变。区块链记录和(再)呈现数据、追加和见证、(去)具体化和(再)配置,并以既反映现有互联网能力又强化它们的能力方式实现。其最初的主要目的是经济,但却形成了足以导致社会变革的技术能力。区块链用其“去中心化”特质编织了一个技术决定的物理社会,并完成新的信任建构,从“中心化”制度信赖转为“去中心化”技术信赖。
比特币作为区块链首批应用,呈现出高度的“去中心化”,从支付、结算、存储等都别于传统中心化货币信用体系。但是,比特币系统的“去中心化”也并不具有彻底性。从比特币来看,区块链的治理结构实际上是受控于一个真实存在的中心化管理机构,在经济资源分配上也难保均衡。据统算,实际上比特币控制在极少数人手里,不到50人控制者大约28.9%的比特币,21.5%比特币份额掌握在不到900人手里,散户持有比特币所占比例仅25%。(16)Dorit Ron and Adi Shamir,Quantitative Analysis of the Full Bitcoin Transaction Graph, Financial Cryptography and Data Security,Springer Berlin Heidelberg,2013,p.6-24.比特币事实上存在着经济利益中心化的情况,极少数程序开发者和早期玩家等在比特币交易平台通过比特币兑换法币,收割了大量经济利益。比特币和以太坊的交易处理基本上由矿池控制。截至2017年12月,比特币超过50%的算力被四家矿池掌握,而以太坊超过50%的算力被两家矿池控制。(17)Etherscan,Ethereum Top 25 Miners by Blocks,https://etherscan.io/stat/miner?range=7&blocktype=blocks.访问时间2019年12月20日。这些矿池已有能力控制比特币和以太坊的运作,并影响它们未来的发展方向。
祛区块链“去中心化”之魅后,可发现其中心化利益实质,以及该利益的最终目的。中本聪开发比特币是在2008年,是时恰逢全球金融风暴,2008年金融危机暴露出政府规制市场的又一次失灵,比特币的出现实际上是以打造远离政府的金融体系为目的。区块链的“去中心化”特质让人看到了“希望”,并认为该技术是解决“市场—政府”二元结构治理困境的关键,它能打破市场与政府的权力平衡,以其中立性改良传统社会运行体制。
产生于后金融危机时期的区块链技术恰好体现了人们对集中化力量的不信任,诺贝尔经济学奖获得者奥利弗·威廉姆森(Oliver Williamson)曾指出:“交易费用经济学主张契约关系的治理主要应当通过私人秩序安排而非法律集中化安排来实现。”(18)Oliver E. Williamson,The Ecnomic Institutions of Capitalism:Firms,Markets,Relational Contracting,Free Press,1985,p.xii.这种对集中化力量的不信任就是区块链被追捧的背后经济学逻辑。这一场由技术掀起的社会变革,其最终目的很难真正去除所有中心化,但却可以造成信息权力的分离。
(2)“去中心化”的算力自由主义
隐藏在技术复杂性背后的是专有技术和普通用户之间的紧张关系,即了解某种技术如何运作的人与不了解该技术运作的人之间的对立。区块链技术以看似用户友好的便利化形式,其背后掩盖的是技术复杂性造成的,操纵和塑造技术的掌控者(人或机构)与那些只是在不同程度上受到技术影响的人之间的权力失衡。
然而,隐藏任何技术的潜在复杂性提出了相关的问题,尤其是关于专有技术和普通用户之间的紧张关系——也就是说,了解某种技术如何运作的人与那些不了解的人之间的紧张关系。以用户友好界面的形式不仅掩盖了技术的复杂性,而且造成了一种蓄意的权力失衡。这意味着,技术越好,越有权利在区块链生态中成为一个真正自由的个人,在自己的数字生活中捍卫权利,获得利益。也就是说谁掌握了技术能力(权力)谁就拥有了该技术社会中的自由。区块链生态中的所谓自治,实际上是以自由主义理性和逻辑为起点,以算法中心主义为价值取向。
在大多数情况下,新技术的兴起总是伴随着一定的 “技术黑箱”,很难被普通用户或者是受该技术所影响的人关注,“相比之下,代码活动家充当一种技术工匠,特别是通过计算机编程以及新技术设备的设计和传播,他们毫不犹豫地查看内部代码或设备,以便在信息对象的工作方式中发挥积极作用。”(19)[英]罗伯特·赫里安:《批判区块链》,王延川、郭明龙译,上海人民出版社2019年版,第5页。虽然大多数人并不希望生活在满是“黑箱”组成的社会网格中,但不可否认,解构大数据的黑箱并不容易,对于普通用户来说能应用该技术绝不意味着就能了解该技术,就更别谈掌控了。那么区块链在达成去除中心化管制意图后,将难以避免会落入某些技术掌控者手中,从而从政府中心化转而成为技术中心化。
总的来说,区块链“去中心化”背后并不是无中心化,而是将自由置于一种狭隘的经济合理化当中,并将这一意图作为建构主义构筑的“至善”社会的一部分,并以该自治的“善”来企图抵抗外部监管,形成技术掌控为中心的技术中心体系。“代码并不比规制更中立,任何一个都受制于垄断和商业利益。”(20)Brown, Ian and Marsden,Regulating Code: Good Governance and Better Regulation in the Information Age,Cambrige: MIT Press,p.19.虽然区块链技术就其技术性而言可能未被视为一种特别危险的技术,但并不意味着它不存在任何安全风险。相反,这些风险却以极其微妙的方式体现。区块链作为“一种制度化技术,用于分散、协调人和经济决策的治理结构”的愿景可能仅是对于“新自由主义”的利益获得者而言。
2.算法治理路径依赖的安全风险
区块链技术推进社会进步的同时也存在这打破传统社会治理格局,实现自我强化并形成新的路径依赖。不可否认区块链在计算范式和信用体系上具有颠覆性创新,随着区块链应用逐渐渗透至社会治理各领域,形成“算法霸权”也是可能的。但也不得不承认,区块链的应用还是初级的,尚未成熟,依然存在一定的技术安全风险。
(1)算法的安全风险
区块链算法的安全风险主要表现在加密算法安全和共识算法安全方面。区块链技术的加密机制是其重要的协议层保障,它为区块链基础架构提供了信息安全的保障,但其本身也仍存在一定的技术安全问题。加密算法是区块连算法的基础技术,主要采用的算法是哈希函数,它在理论上非常安全,但是事实上仍存在一定的安全风险。比如哈希函数的长度扩展也往往可用以攻击哈希函数的加密机制。(21)Coron J S, Dodis Y, Malinaud C, Merkle-Damgaard.Rrevisited: How to construct a hash function.Annual International Cryptology Conference,Springer,Berlin,Heidelberg,2005,p. 430-448.有学者也研究出可通过彩虹表与哈希函数进行碰撞,从而获取密码的方法。(22)Horalekj, Holik F, Horako, Analysis of the use of Rainbow Tables to brakhash,Journal of Intelligent& Fuzzy Systems,2017,p.1523-1534.
区块链的去中心化的实现是以其共识机制作为数据可信性的保障基础,共识算法安全是其运作前提。但该系统的重要共识机制之一PoW共识机制,就面临着“双花攻击”和51%算力攻击的安全风险。所谓“双花攻击”,是指在区块链网络交易延时时,攻击者使用相同的数字货币同时发起两笔交易的攻击,攻击者利用该时间差,在第二笔交易被验证为无效之前,攻击者已经获得了第一笔交易的输出,从而导致“双花攻击”。如果利用“双花攻击”或基于PoW机制的系统中某个节点掌握了51%算力进行攻击时该共识机制便会出现安全风险问题。同样在PoS共识机制(23)为解决PoW机制过于消耗算力的问题而提出的共识机制,该机制可以用权益证明代替工作量证明。中也存在“币龄攻击”和远程攻击的安全问题。
(2)算力的安全风险
前述的PoW共识机制中的51%算力除了存在算法的攻击风险,还存在其本身的算力霸权和算力歧视。PoW的简单少数服从多数原则使得这一机制过于简单,只要掌握了51%的算力则能形成了该系统的算力决策者,可以任意控制系统内的数据信息,形成算力绝对话语权和对数据的支配权,而其他掌握少数算力者将面临难以摆脱的“算力歧视”。
(3)外部的安全风险
区块链系统为自身编织了一套看似牢固安全的网络系统,而区块链的算法风险也往往在网络体系内予以讨论,但随着人工智能的高速发展,区块链恰为其提供了基础网络技术支持。区块链的安全风险不再仅限于区块链体系内,而可能是体系外的智能攻击风险。例如,有专家提出,区块链系统外部通过量子计算的计算方式(24)量子计算是一种在遵循量子力学规律的基础上进行的计算和信息处理的新型计算方式。,能够轻易解密基于加密算法构建起来的网络系统。这种外部算力的供给如果成功,将造成区块链参与者难以弥补的损害,给国家网络信息安全带来极大的挑战。(25)金璐:《规则与技术之间:区块链技术应用风险研判与法律规制》,载《法学杂志》2020年第7期,第85页。
总之,区块链算法应用于社会治理中并不成熟,从技术上而言还存在一定的安全风险,在社会治理中应用区块链技术尤其要考虑算法问题所带来的系统性风险,既要防范算法中心主义引导的技术霸权下的物理社会,也同时要对算法的应用予以有效规制。
(三)区块链应用于社会治理中的社会安全风险
社会,包括生物、环境等所有关系的总和。人类生产、政治、经济、教育等都属于社会活动的范畴。而社会结构则是这一系列关系通过构建秩序所形成的稳定样态,这种稳定的来源与信任息息相关,而区块链应用的信任变革对现有社会结构有种巨大冲击。
1.信任是社会结构的基础
以社会关系为视角研究信任的创始者卢曼(N. Luhmann)指出:信任是一种社会关系结构,本质上属于降低社会交往复杂性的简化机制之一。在论述社会信任中,他认为社会信任是“系统信任”,并通过采用二分建构的方法,将信任分为人际信任和制度信任。(26)王强:《民主行政视野下的政府信任及其构建研究》,吉林大学2007年博士论文,第5页。对于信任的社会学研究有着里程碑意义的迪戈·甘姆贝塔(Diego·Gambetta)认为,信任与合作关系的形成与破裂密切相关。(27)郑也夫编:《信任:合作关系的建立与破坏》,杨玉明、皮子林等译,中国城市出版社2003年版,第264-297页。社会学家西美尔(Georg Simme)在其论著《货币哲学》中也指出:在社会力量中,信任是最重要的综合力量之一。信任是社会结构的基础,当人们之间没有了一般信任,社会结构将不复存在,如同一盘散沙,因为几乎很少有什么关系能够建立在对他人确切的认知之上。(28)[德]西美尔:《货币哲学》,陈戎女等译,华夏出版社2002年版,第178-179页。可见,社会学研究认为,信任是一种社会现象,它是习惯、社会制度和规范的产物,是社会结构的基础,并与文化、政治、经济等都紧密相连。从市场交易意义上对信任也有探讨,如 “信任是对一个交易伙伴依赖的意愿及对这一交易伙伴怀有的信心”“信任是成员一方对另一方所持有的诚实和善意的信念。”(29)曹军新:《金融监管协调机制建设的演进与重构:信任理论视角》,载《经济社会体制比较》2011年第6期,第183页。不管从社会学角度还是心理学角度,信任都是从社会结构单元(个人、国家、集体等)为视角来看待其他社会结构单元的积极心态。
而信任于社会结构的构建功能则如同社会理论家吉登斯(Anthony Giddens)建构的信任理论,他认为,信任是源于人类个体的“本体性安全需求”对他人或系统之可信赖性所持有的信心,并因此成为构建新式社会团结的本源。(30)董才生:《论吉登斯的信任理论》,载《学习与探索》2010年第5期,第64-67页。现代社会的中心化信任所建构起的社会关系结构则是基于结构单元对于中心化概念的信任,如一国公民间的信任很大程度上来自于对国家这一中心化概念及其法律制度的信任,一个公司员工间的信任来自于公司这一中心化概念及其公司章程的信任,股民间的信任来自于中心化金融交易机构及其中心化交易制度的信任。
探寻现代社会的中心化信任根源,需从人类社会发展史来看。历史学家尤瓦尔·赫拉利(Yuval Noah Harari)指出,智人(现在的人类)真正的社群发展是在认知变革之后,这是人类社会的大规模发展基础。因此,这种中心化信任是中心化想象的一种体现和结果,是社会关系的纽带,将无数陌生人联合在一起完成任何一个生物群体都难以想象的合作。
2.区块链应用的社会信任变革
现有社会的中心化信任连结起了整个庞大的社会关系网,正因为这种对中心化概念的共同信任让合作得以产生和进行。但是,这种信任本身并不是一成不变的。人类社会从采集狩猎社会到农业社会,再到工业社会,中心化信任的载体并不相同。事实上,这一种中心化信任虽一直存在,但载体却一直未停止变革。区块链技术作为一项新兴科技,在很大程度上挑战的就是传统中心化概念的统治地位。
人类社会的发展从基于人际关系的人格信任,到通过共同想象建立起的普遍主义抽象信任体系。然而区块链技术的诞生带来的是一种可以排除原有以中心化为基础的概念及其相关制度。如前所述,区块链技术的“去中心化”并非真正的去中心化,而其背后实则是技术中心主义,它带来的挑战不是消除中心化,而是替代中心化。以现代社会的货币信任体系为例,实际上货币本身就是一个想象,其体现的是一种信任关系,因此在二战后建立的世界货币体系。然而,区块链技术带来了分布式账本的记账方法,它可以通过分布式记账、加密算法、点对点传输等技术,确保数据的不可篡改且具有可追溯性,并以此优势成为了解决互联网时代更大规模陌生人之间信任问题的一剂良方。区块链建构出虚拟世界的一种新的信任系统,它可以应对虚拟世界中的信任难题,建立以这一算法技术为核心的信任机制和制度。可以说,区块链技术用其“去中心化”实践挑战现有中心化的制度信任,并企图动摇以此为基础的社会关系结构,从而建构起以算法信任为基础的技术中心社会体系,开启技术驱动的信任体系。
3.社会信任变革的安全风险
被喻为“制造信任的机器”的区块链技术(31)2015年,《经济学人》的封面文章将区块链技术喻为“制造信任的机器”。Economist T. The Promise of the blockchain: The trust machine. The Ecnomist,2015,p.1-3.,在建筑算法信任系统中改变了原本的中心化信任,但这种变革真的会带来安全风险吗?回答这一问题需要明晰中心化信任对于社会治理的意义。
在现代社会,信任是社会运转的基本动力。现代社会的秩序观亦是围绕着这一信任体系所建立。如,相信社会保障机制,才会安心地进行日常工作和生活。人人都能基于这种中心化信任而保持对社会的高需求感,从而融入社会体系中,完成自身工作保证社会运转,如此,社会秩序方可维持。
区块链技术兼具了技术创新与制度革新,它的技术革命带来的不仅仅是技术应用下的变化,而更需要关注的是它引起的认知变革,一场关系到社会治理的中心化信任变革,去中心化技术应用造成的是去中心化理念的盛行。而这种冲击将对中心化维持的现有现有秩序带来负面影响,亦当然构成安全风险。
三、社会治理中区块链安全风险的法治应对
区块链应用虽具安全风险,但考虑其极强的应用价值,故并不能因为风险而直接排斥技术创新。不应知难而退,而应思考如何通过先期制度架构,建立健全风险防范体系,致力于将技术应用风险防范于未然。
(一)数据安全风险应对之策:精准的管理
社会治理中区块链的数据安全风险防范有着极为重要的意义,它将直接关涉国家安全问题,若有不慎将导致难以弥补的国家利益损害,应当予以慎重考量。但亦不可因其可能导致的重大安全问题而将其拒之门外,或者在关键领域回避与区块链技术融合,故而,采取根据其安全风险标准划分出各应用场景的安全风险层级,并据此分层分类予以精准规制的方法才是应有之策。
1.风险层级划分
区块链的传统分类是根据其链治的公开度分为公有链、私有链和联盟链。公有链是完全非中心化的区块链。在公有链上任何个体或者团体都可以发送交易,且交易能够获得该区块链的有效确认,任何人都可以参与其共识过程。公有链将记录网络上所有交易,而且对全体参与者公开透明,以比特币为代表的大多数虚拟货币就是以公有链为基础,它不仅向所有参与者公开,相关软件也为开源式,可以免费获取。(32)Alee Liu. Who’s Buliding Bitcoin? An Inside Look at Bitcoin’s Open Source Development,https://www.vice.com/en/article/9aa4ae/whos-building-bitcoin-an-inside-look-at-bitcoins-open-source-development.2020年9月10日访问。私有链是限制在一定范围内的区块链,外部节点不能加入区块链网络,私有链的各个节点的写入权限收归内部控制,而读取权限可视需求有选择地对外开放。而联盟链介于二者之间。联盟链有多个中心,不同节点的权限不同,满足一定条件的节点成为核心节点,它们往往是由某个群体内部制定多个预选节点为记账人,每个块的生成由所有预选节点通过共识机制决定,其他介入节点可以参与交易,但不参与记账过程。联盟链的各个节点通常有与之对应的实体机构组织,通过授权后才能加入和退出网络。上述三种类别同时还对应着不同的权限控制。从权限控制角度,区块链可分为:无需许可型、限定许可型、可许可型。无需许可往往适用于公有链;限定许可常用于联盟链,如金融行业开发、应用的区块链;可许可常适于私有链,它能够进行权限管理,监管更加严密。(33)杨东:《区块链+监管=法链》,人民出版社2018年版,第17-19页。
上述区块链分类标准实际上也反映出其安全风险层级:公有链因其高度开放性,使得对其监管难度最大,安全风险层级也应最高;私有链因其参与者较少,使得监管较易,安全风险层级也应较低;联盟链介于前二者之间,安全风险层级应属中等。如此,依据区块链技术类型可对其安全风险划分为高风险层级、中风险层级和低风险层级。
但是,如若仅以区块链的技术为唯一考量,而不去考虑其具体应用场景仍存在一定局限性。例如,私有链虽然因参与主体较少故而监管较易,但是却也因其参与主体较少,在社会治理中的可适用性也相对较低,而更多用于私人交易间的技术补足。如此可见,在区块链应用于社会治理中的安全风险层级划分中还应结合其具体应用场域予以考量。以应用场域涉及的权益性质分为公权益应用场域、公私混合权益应用场域、私权益应用场域。公权益应用场域涉及国家安全领域的区块链应用,主要包括军事领域和国家安全事务领域的应用,属于高风险层级;公私混合权益应用场域主要涉及虽不直接关涉国家安全,但具有社会系统性风险从而可能危及国家安全,主要包括司法、金融、公共卫生治理等领域,属于中风险层级;私权益应用场域主要涉及直接关系私人权利义务,不直接具有社会性风险,主要包括私人民商事交易等方面。
2. 分层分域精准规制
划分区块链的安全风险等级,对不同风险层级的区块链应用进行规制,可实现区块链应用的精准治理方案。
(1)高风险层域的规制
对于涉及国家公权益的高风险应用场域,应该采取严厉的规制措施,严格监管,全面防范可能存在的风险,对于数据进行严格审控,以谨慎的态度推广区块链应用。就其应用而言,以私有链和联盟链为主要形式,建立严格审查的准入机制。
高风险层域中尤其重要的应用场景即为军事应用。实际上,早在2016年9月,美国国防部门就建立了基于区块链的数据完整性监控系统。2017年便开始开发区块链技术开发军事加密软件和3D打印站点间的数据共享。2019年8月,美国国防部提出了“区块链网络安全防护”计划,将区块链技术用于情报传递。2020年1月,美国国防部开始创建超级账本区块链协议的通信平台。(34)余沛毅,徐兵,申璐等:《浅谈区块链技术的军事应用前景与挑战》,载《第八届中国指挥控制大会论文集》,第715-719页。我国将区块链运用于军事领域起步略晚,但也已经开始着手研究相关可应用领域,例如军事数据标准管理。(35)李军让,邓元豪,冉计全等:《基于区块链的军事数据标准管理研究》,载《第八届中国指挥控制大会论文集》,第785-790页。但在军事区块链的应用中,对数据的高保密需求也是应用的基本保障。如军事区块链因应用场景的限制,规模一般较小,因此51%的算力安全风险就需要重点防范。如若出现算力外部控制,相关应用机密数据将面临被泄露的风险。因此,高风险层域的区块链应用必须严格审查和密切监管。
(2)中风险层域的规制
对于涉及重要国家治理领域的中风险应用场域,应该采取较严格的规制措施加以规范,以联盟链为主要形式,采取核准制,建立“监管沙箱”机制(36)“监管沙箱”在2016年最早应用于英国市场行为监管局对科技创新公司的监管中。为兼顾创新和监管,监管部门为科技创新公司提供一个专门场地可用作其创新“实验”,保证其在规定的时间和特定领域内完成一定创新活动,同时接受监管部门的监管以及相关主体的测试,以确保风险被控制在一定范围内,不会对公众带来不应有的危害。,完善许可准入和清退制度。
区块链基于其去中心化、分布式账本的特点,最早的应用就在于金融领域,具体呈现则为数字货币。作为一项新兴技术产物,数字货币所具有的去中心化、匿名性、跨境流通性等特点都为传统规制模式带来了前所未有的挑战,然而金融风险虽不同于军事安全等直接关切国家根本利益的风险,但也具有巨大的社会性和系统性风险,如若忽视它对传统监管模式的冲击将带来巨大的金融风险。传统法律制度调整的重点在经济与金融关系,传统制度逻辑自然地将比特币的属性限定为网络虚拟商品,如有关机构下发的《比特币风险通知》中将比特币认定为“不是真正意义的货币”“不具有与货币等同的法律地位”“一种特定的虚拟商品”。确定比特币的虚拟商品性基础定位的同时,否定了其现实性和金融性的内涵。大量利用比特币的货币性特征进行交易,并因为该虚拟商品属性限定,又尚无相关规制,从而造成法律制度的严重冲击。而“监管沙箱”、发放牌照许可准入和违规清退机制的创新规制模式恰适于对科技金融的监管,通过对创新区块链应用进行监管测试,监管机制可以避免监管疏漏。(37)[英]凯伦·杨:《区块链监管:“法律”与“自律”之争》,林少伟译,载《东方法学》,2019年第3期,第121-136页。
除金融领域外,区块链在公共卫生、医疗、司法数据管理等领域的应用也在逐步探索中。但同样应当注意,在中风险层域中,区块链的去中心化存在数据失控的风险,应当加强中心监管权力以及技术能力。相关机构应当担任监管角色,在区块链数据管理中处于最高权限级,享有数据检测、数据安全测评、非法数据标注失真、修改、删除的权力。
(3)低风险层域的规制
对于涉及私权益领域的低风险应用场域,应当以开放和鼓励创新为原则,减少不当干预,但应当注意的是,虽低风险层域与国家安全没有直接关联,但也应防范因规则缺位导致的市场交易混乱,以及私权利保障无效的情况,应建立健全相关权利保障制度,完善纠纷解决机制。
区块链2.0智能合约就是私权益领域的重要应用,可以说,区块链去中心化和自动执行方面可为商事交易提供便利途径,尤其是在跨境电商领域,其主要应用场景包括物流领域、支付领域和商品管控层。在交易中个人数据隐私也同样面临严重威胁。对此,总的规制原则应当是链接技术突破与规则探索同时开展,保护个人数据隐私为基本底线,在此基础上服务科技创新;同时,应当注意防范技术垄断带来的个人权益侵害问题。
(二)算法安全风险应对之规:算法的规制
政府作为社会管理者,掌握着重要的法律制定权和执行权,因此颁布法律成为长久以来最重要的治理手段。劳伦斯·莱斯格(Lawrence Lessig)在讨论互联网治理时认为,可以通过四种不同的机制来影响和控制个体行为:国家制定法、社会规范、供求规律的衍生市场力量以及塑造物理及数字世界的架构。(38)[法]普里马韦拉·德·菲利皮,[美]亚伦·赖特:《监管区块链:代码之治》,卫东亮译,中信出版社2019年版,第191页。劳伦斯·莱斯格主张治理的多元手段。事实上,我们不难看出除法律作为最直接的影响外,其余几项也未见不可由政府引导或影响。政府经济措施往往能影响市场供求关系。因此,政府对虚拟化技术应有掌控权。且无论是法律性规则还是政策性规则,规则仍为治理的主要方式,不过需充分考虑规则的表达形式,即如何对传统的基于社会逻辑展现的规则转化为多元化治理路径,并有效地在技术世界运用。
1.算法规则化
中本聪利用了一套加密算法构筑起了区块链这一算法世界,随着区块链技术的发展和应用的进一步尝试,现在区块链3.0版本的应用已形成了可自治的生态系统,也就是说在该系统内可以依靠算法实行自治。技术无法完全做到事前规制评估和规制价值体现,而市场自利的本质往往又可能操纵技术,使之丧失中立规制功能。盈利关系下的技术规制无法完全达到自治作用,在更广泛的互联网背景下网络企业的机会主义行为难以避免。区块链技术系统自治的支持者提出了“区块链向善”(blockchain for good),但实际上这只是区块链对商业有利的委婉说法。因此,对算法予以规制成为必要的议题。
所谓代码规则化,即将代码算法纳入现有法律体系进行规制。在思虑如何将算法纳入现有法律体系规制时应当考虑几个重要问题:一是如何确定行为主体,区块链的匿名性在带来隐私保护的同时也加大了确定行为主体的难度;二是如何核查行为内容,区块链的加密性给监管和执法也带来了困难;三是如何强制行为主体执行,区块链的自决性不仅表现在决策上,也表现在自动执行上,如何将法律执行力体现在区块链应用上存在困难;四是如何建立全球性合作治理机制,区块链应用具有跨国性,使得其监管很难按照传统的属地管辖进行,因此全球合作成为必要。
2.规则算法化
“代码就是法律(lex informatica)”这一概念并非起于区块链技术的应用,在互联网兴起时,面对互联网监管困境,信息法学者约耳·雷登伯格(Joel Reidenberg)第一次提出了“代码就是法律”的观点(39)Joel Reidenberg.Lex Informatica:”The Formulation of Information Policy Rules Through Technology”,Taxas Law Review 76,1998,p.553.,劳伦斯·莱斯格在其著述《代码1.0》和《代码2.0》中再次主张在网络空间中“代码就是法律”。在他看来,代码从不是被发掘出来的,而是被创制出来的,并且仅由人所创制。(40)[美]劳伦斯·莱斯格:《代码2.0(修订版)》,李旭、沈伟伟等译,清华大学出版社2018年版,第1-9页。
劳伦斯·莱斯格清晰地揭露了看似技术性的代码的人为控制可能和必要,既然代码为人所创制,那么可以创制出试图摆脱监督的代码,亦可以创制出为政府监管所需要的代码。在区块链监管中我们除了需要用规则去管理代码,还需要将现有法治理念、法律规定、法律执行等写进区块链算法中。当然,这里需要考虑两点:一是,如何实现法治理念的算法化,即技术的价值观获取;二是,如何在技术上实现将复杂的法律转化为算法。
(三)社会安全风险应对之策:治理的合作
表面上区块链技术打破了“政府—市场”二分的状况,提供了一套可替代去中心化监管的技术方案,开启了技术驱动、技术自治的非传统市场模式,仿佛在市场经济与带有监管属性的政府规制中寻得了新的突破。区块链的算法优势为市场经济发展注入新的动力,也带来的新的增长点,对此,支持者呼吁政府要鼓励区块链技术,即便尚不成熟,但也不可过早干预。区块链技术仍遵循市场经济逻辑,为市场经济提供可信任平台,如缺乏宏观性和理智性,则难以避免违法行为、垄断、技术漏洞等市场风险。区块链应用相关规制薄弱的问题也逐渐被各国政府认识到,随即各国政府采取了相应的规制手段。然而,各国政府也很快认识到作为底层技术的区块链确有着极大的应用价值。在我国,2017年起国务院、工业和信息化部、国家发展和改革委员会,以及各地方政府等相继颁发了大量鼓励区块链技术的政策。效果明显,但依然难以解决区块链的去中心化所导致的与政府利益冲突的问题,寻求区块链技术的鼓励与规制的平衡是区块链应用安全风险防治的前提,关系到治理的根本理念。
实际上,区块链的治理困局在网络空间发展初期亦发生过。1996年,被誉为互联网奠基人的约翰·佩里·巴洛(John Perry Barlow)在其《网络空间独立宣言》中的描述最具有代表性。当他说到互联网时,他认为互联网将形成一个新的世界。在这个新的世界里,传统的财产、表达、身份、行动等传统概念(法律概念)均将不再适用。网络空间的公民将借助去中心化网络实现自治。(41)John Perry Barlow,Declaration of Independence for Cyberspace(1996),http://www.eff.org/cyberspace-independence.访问时间:2020年5月14日。但随着互联网的逐渐成熟,其政府监管也逐渐成熟,事实证明了巴洛的愿景不过是一个乌托邦式的幻想。在互联网企业为了实现分散权力和鼓励自由交流这一初衷时,甚至放任垃圾邮件、欺诈和犯罪泛滥。事实上,政府之所以可以实行监管,这也与网络技术中心化相关,当手机、应用商店和云计算平台的出现,推动形成了一个更加中心化的网络,少数几家公司便垄断了大部分信息发和网络交易。而这些垄断性企业也应受政府的监管,互联网的无序生长的趋势已经受到很大程度的限制。政府监管的重点是本地互联网服务提供商(ISP)和提供互联网基础服务的大型中介机构,并逐步授权由这些机构来维护互联网秩序。
区块链技术对于中心化治理最大的冲击之一在于信任变革,但事实上,如果民众与市场的信任关系建立在合作型信任关系上,而非传统管制型信任关系上,则可应对区块链信任变革后的中心化信任问题。衡平协调政府与市场利益冲突,建立适宜的中心化监管信任关系,形成政府监管主导、市场共同利益规制、企业自治的合力治理格局,为区块链应用的治理提供基础治理框架。信任可以有效避免市场的非理性,选择适当的治理模式可构建出政府与公众之间的和谐治理关系,亦是社会治理能力和治理体系现代化的重要标识。对区块链应用应当采取治理而非传统管制模式。但基于合作模式的治理亦并非柔性妥协,而是更好的融合,在政府、技术、市场间找到平衡结点,其采取的手段亦应为多元化共治。
四、结语
区块链技术以去中心化算法为核心,以防篡改、匿名性、透明性等为特征,成为了数字经济、人工智能、网络交易等现代科技的支点。区块链的集成应用已成为经济发展的重要支撑和竞争优势。然而,价值驱动下的区块链应用,却因其特性消解了原有现代社会的信任基础、社会结构、法律制度,使其存在着规制困境、技术中心主义、社会结构变革等问题带来的安全风险,总体上仍缺乏体系化防治风险的机制与措施。随着区块链在经济、社会、管理中的应用越来越广泛,学界的研究也逐渐从技术应用拓宽至法律、伦理、社会等多方面。对社会治理中的区块链安全风险应加以法治应对,在对区块链技术信任的同时也需要完善现代化治理机制。同时,区块链因具有天然跨地域性,安全风险的防范也应建立国际合作机制。以自由贸易区为边界,多边条约为规则依托,合作治理为手段,建立共同防控域为措施,监管虚拟口岸为目标,国内相关监管法律域外适用为保障,形成区块链联合治理机制。通过多维度体系化法治体系建构保障区块链技术发展中的国家安全机制。
