在科幻經典《攻殼機動隊》中曾提出一個概念:攻性防壁。原始設定是指,在人類可以藉由生化電子工程實現超過95%的人類軀體「義體化」之後,「人類」就相當於ghosts in shells -- 棲息在人造軀殼裡的意識記憶,徜徉在互聯網資訊大海中;如何保護這個靈魂般的虛擬實體不會遭受到駭客攻擊,就成了資訊安全與人權保障問題。
顧名思義,攻性防壁就是具有攻擊性的防護壁。當偵測到駭客攻擊時會自動反擊,甚至反過來攻擊入侵的駭客。在攻殼機動隊的世界裡,攻性防壁不僅用來防止義體被入侵導致暴走,還能確保政經軍界重要人士的記憶身份不會被竄改盜用導致國安危機。由於殺傷力強,這種武器級防護罩受到高度管制。但上有政策下有對策,要在黑市中買到這類資安武器,管道多的是。再者,就算有資格使用,也可能因為安全級別不足,導致防禦進攻力不敵對手而被駭到腦死。會噴火的防火牆,焚人亦能焚己。
攻性防壁這個概念,源自美國資訊叛客(cyberpunk)科幻作家William Gibson的經典短篇《Burning Chrome》中名為ICE(Intrusion Countermeasure Electronics)的駭客程式。英文單字cyberspace(網絡空間)這個新詞,正是Gibson發明的。耐人尋味的是,”cyber”一詞的希臘文字根原意指「控制」,也是資訊科學的大宗師、控制論(cybernetics)創始人Norbert Wiener在建構其理論時所援引的本意。Gibson認為,電腦科學家所謂的資訊交織而成的超空間,不過是計算機網絡中的集體共識幻覺(mass consensual hallucination),本質上是一種操縱。這個頗具洞察力的文學意象,不僅啟發了如《黑客帝國》(The Matrix)等科幻經典的宇宙觀,更影響了我們身處的現實世界中不斷演化的互聯網治理框架。
要理解這個互聯網治理框架對正遭逢巨變的全球金融業運營模式的影響,可先把視角拉高到國際秩序與主權國資訊戰的層次,讓思維馳騁,可以得出許多啟發。
戰爭是人類文明的常態。國際關係學者埃弗拉在《戰爭的原因:權力與衝突的根源》(Causes of War: Power and the Roots of Conflict)中指出,國與國最可能開戰的時機,有以下5種:
- 當國家對戰爭結果有錯誤的樂觀認知時;
- 當先發制人的一方可以提昇獲勝機率或增加對手搶先的軍事代價時;
- 當國家相對實力變動較大,即將發生的權力移轉讓衰落中的霸權更願意冒險時;
- 當資源具有累積性,先動手的一方更能保護與奪取資源時;
- 當征服被認為是容易時;
這5種時機雖然無法涵蓋所有歷史上的戰爭,但與互聯網之前一百年前即由歐美強權建立的國際秩序發展進程約略相符。我們所身處的國際現狀,承認民族國家的領土主權不可侵犯。武力侵略主權國家或以軍事手段增進國家利益,也在人類經歷兩次世界大戰的洗禮後,被國際主流社會視為應受節制與譴責的行為。儘管大規模毀滅性武器讓霸權國家得以相互威懾,但想追求止戰而毋需備戰的烏托邦,人性恐怕還需演化相當長的時間。因此,在數百年間積累而成的各種關於何時具備開戰的正當理由(jus ad bellum),與開戰之後仗應該怎麼打得正當 (jus in bello),仍然是廣義的國際法規範的核心組成部分。
舉其大者,聯合國憲章第51條明白規定,會員國在遭受武力攻擊時得保有個別與集體自衛的權利。當然,正當防衛要有充分理由,軍事反擊也須有度。A國軍營被B國的別動隊扔手榴彈偷襲死了三個人,並不構成A國向B國首都扔核彈報復的正當理由。另外,日內瓦公約亦遵循國際人道主義的原則,針對交戰國如何對待戰俘與平民作出了規範。理論上,簽約國若侵害了公約規範內的權益,有可能構成嚴重的刑事罪行。在強權即公理的世界,老練的現實主義者或許認為,這些條約都是具文,規範不了誰。主權國之上雖無世界政府,即使霸如美帝,也要考慮國際觀瞻,窮兵黷武也好,雙重標準也罷,仁義道德仍須標榜。因此,戰爭的國際規範無論事實上的拘束力如何薄弱,總歸是個值得努力的目標。
在動能(kinetic)打擊的古代,傳統國際法上關於戰爭與武裝衝突的規範得以適用,是因為各個整軍經武的主權國對彼此形勢與實力的認知是相對「透明」的:核彈頭儲備了幾顆,航空母艦造了幾艘,焦土作戰燒掉多少間民房,都可以透過外交渠道與情報偵蒐計算。但是在數位(digital)打擊的現代,病毒程式養了幾隻,駭客訓練了幾位,入侵對手的網絡系統幾次,往往都是秘密不公開,即使透過特務間諜搜集而來的情資,也難保不是對手餵食的假情報。
由於網絡空間互聯互通與資訊科技開源(open source)的特性,「以彼之道,還諸彼身」非常容易,你能對我搞什麼破壞,我就有可能對你搞同樣的破壞;如果我讓你知道我知道你如何搞破壞,反而暴露了我搞破壞的實力,因此雙方「留一手」的誘因極高。這意味著,美蘇冷戰時期核武軍備競賽用以建立戰略互信的「實質等價」(essential equivalence)等談判評估機制,在數位打擊時代無法成立。在互信難以建立的博弈情境下,國與國之間存在無法化解的資訊安全困境(cybersecurity dilemma):可信賴的穩定安全既不可恃,只有做最壞打算,積極備戰,甚至不排除先下手為強,不宣而戰。
更麻煩的是,網絡空間沒有絕對的孤島,主權國的疆域在網絡上只有抽象意義。針對某個目標實施數位打擊,難保不會錯傷無辜。目標可以被打擊,是存在可被利用的資訊安全漏洞。漏洞存在來自刺探,或是某國刻意埋藏的特洛伊木馬。主權國對彼此互派間諜進行情蒐,是國際上承認並容忍的行為。但刺探到何種程度算是「武力攻擊」?察覺對手刺探而反擊,算不算「正當防衛」?兩國網軍互相駭入彼此電腦「到此一遊」,可能只是過手較勁,特務機構設計的病毒針對敵國的軍事設施或是關鍵基礎建設實施外科手術式打擊,或是針對其社群網站進行知覺管理以影響選舉輿情,或是駭入其金融市場交易所系統意圖操縱股價造成驚慌,又怎麼算?
戰時射導彈炸掉電廠造成傷亡,是攻擊;平時放病毒造成電廠自爆造成傷亡,還是攻擊?以彰顯意識形態為由針對潛在敵國的企業進行駭客攻擊,算不算侵犯主權的戰爭行為?誰有反制的權利?如果企業母國無法伸張正義,該企業又該如何尋求救濟?若某小國互聯網企業的客戶範圍包含霸權國與中立國的公民,若遭受某流氓國的駭客操控中立國電腦形成的殭屍網絡(bot net)攻擊,導致霸權國公民權益受損,是否構成該霸權國「跨境執法」的理據?互聯網的底層架構先天就是超主權的,當霸權國試圖用源自17世紀「西伐利亞體制」的主權概念「馴化」互聯網,形同在21世紀縱容強權瓜分互聯網鞏固勢力範圍的19世紀式大競逐。一旦核武大國因為數位衝突擦槍走火,第4次世界大戰是否真要用石頭與木棍來打?
凡此種種,在過去20年間已發生多次驚險實例,全球級資訊霸權國 – 美國、中國、俄國,以及北韓、以色列、伊斯蘭國等主權國與非國家行為體在網絡空間對彼此進行的各種維度打擊,早已構成沒有硝煙的超限戰。超限戰的jus ad bellum與jus in bello該如何定義?北約兵力變革司令部下轄的協同資訊戰防禦訓練中心(Cooperative Cyber Defense Centre of Excellence, CCDCOE)彙編出版的塔林準則,雖然全面探討如何將資訊戰的概念納入既有國際法體系當中合理化與正當化,仍然難有定論。在中國的「防火長城」與美國的「稜鏡計畫」在道德上等價的資訊超限戰時代,攻擊與防禦互為表裡,平時與戰時難以區隔。正如美國前總統歐巴馬所言:資訊戰彷彿打籃球,攻防轉換不過轉瞬之間。攻即是守,守即是攻。
盤點回顧了這麼多關於主權國層次的資訊戰議題,對本文標題所提到的「金融數據主權」究竟有何關係?關係可大了。我在《數位身分與區塊鏈記憶體》一文中曾經寫道:
「法規禁止濫用個資,是將蒐集用戶大數據的科技能力視為「危險工具」(dangerous instrumentality)此一英美普通法上的重要概念。… 在尊重並保障言論自由與信仰自由的國家內,人民理應有匿名發表言論的自由而無須擔心「寒蟬效應」,或是購買合法有品味色情書刊而無須惹人側目的安全感。政府要透過用戶大數據甚至強制要求揭露密碼以偵辦犯罪,亦應該符合正當法律程序。這是憲政民主的基礎,不可輕易動搖。一般用戶缺乏駭客級資訊科技,很難察覺甚至抵抗企業或政府蒐集與使用個資。就算用戶被充分告知並在知情之下同意企業或政府蒐集使用個資,也不該讓企業與政府輕易免責。隨著用戶大數據不斷積累,這些數據或許曾經讓企業賺到錢,用戶數據的保管與維護卻成為企業的隱性負債,一不小心就可能吃上官司。… 更深一層看,如果金融科技要發展,本來就有必要在用戶大數據產權歸屬於用戶個人的前提之下,設計一套真正以人為本的數位身份系統架構。」
如果在國際法的領域,領土主權不可侵犯,那麼在國內法的領域,個人隱私亦同樣不可侵犯。如果主權國遭受攻擊可以正當防衛,那麼個人隱私遭受侵犯,是否也可以升起「攻性防壁」,抵抗甚至反擊之?在中國的「防火長城」與美國的「稜鏡計畫」在道德上等價的全民監控時代,政府的角色也許不可或缺,但並不比獲利至上的民營企業更值得信賴。如果大數據的爭奪實質上無異於用戶隱私權的戰爭,人民自衛反擊的底線究竟劃在哪裡?如果平民百姓亦可以任意使用「攻性防壁」,是否會造成互聯網鄉民變成資訊戰民兵、讓日常網絡生活成為「人皆相伐」(bellum omnium contra omnes)的霍布斯式叢林戰場?
西方主流價值體系中的隱私權大分為兩種。歐洲式的是關乎個人社會尊嚴,體現在法國成文法中的概念:Le droit à l'oubli,即所謂的「被遺忘的權利」(The Right to be Forgotten);美國式的關乎在個人空間中免於「暴政」的自由,即所謂的「不受打擾的權利」(The Right to be Left Alone),體現在美國憲法第四修正案及多起最高法院判例確立關於檢調搜索之正當法律程序等人權保護。
拿臉書用戶的行為來比喻,刪除自己與前男友年少輕狂的照片,是歐式的隱私權伸張,但如果自己當初設分享權限時不小心設成公開,被某損友截圖後在自己婚禮前夜爆料廣播,用戶雖有可能向臉書檢舉那些照片,甚至以毀謗名譽之虞控告將該名損友,該損友的惡意行為卻不一定構成對該用戶美式隱私權的侵害。用戶拉黑封鎖該損友的決定,彷彿某國政府將潛在敵國派駐在首都進行間諜行動的外交官視為不受歡迎人物(persona non grata)驅逐出境一樣,抗議的姿態做足了,但若該國事實上無法將該名外交官的大腦記憶體徹底清洗,遣返也只是亡羊補牢,聊勝於無。
由於移動互聯網科技的飛速演進,以及伴隨金融物聯網的崛起,潛在徵信數據源管控難度與資安打擊向量的增加,對創新遲緩的傳統金融業者已構成巨大威脅,亦對各國金融監理環境的治理能力帶來前所未有的挑戰。以銀行與保險為例,用戶將存款與個資託付給提供銀行與保險服務的金融機構,換取一定程度的基本與加值服務。在有競爭的前提下,存款利率與保單費率可視為換取該等服務的價格,亦是金融機構合法獲取資本的費用。科技進步所造成的各種海量數據,從不被察覺未能利用,成為可以淘金的新油(鈾)礦,金融數據的權利與責任歸屬,就有再商榷的必要。
平台搜集用戶大數據的能力必須被視為一種危險工具,因為用戶大數據本身是一種「準公共財」:建構情蒐平台的前期成本很高,一旦建構完成,透過各類情蒐工具整理、分析、篩選大數據將產生規模經濟效益,但作為產生數據源的用戶並無法直接從中獲利。這其實是經濟學上高斯定律的一個很適合的驗證場景。簡單的說,個人行為受到私慾與成本驅動,決策時不一定會在乎其行為對其他人或社會的影響。個人行為可能對社會有利卻沒有回報,或是對社會有害卻不見得負起賠償責任。資源的發掘與使用有交易費用,定義有限資源為私有財產,降低了交易費用,從而讓市場應運而起,用高斯的原話:「權利界定是市場交易的必需前奏。」(The delineation of right is an essential prelude to market transactions.)
零交易費用的完美世界,是烏何有之邦,在現實世界中不存在。但隨著互聯網與區塊鏈技術的發展,至少在訊息的發掘與傳遞上面,交易費用大幅降低。在互聯網上,用戶大數據是一種看似無限、實際有限的資源,大數據的分析技術雖然因為軟體人才的稀缺(或是被互聯網巨頭高價囤積)而有生產瓶頸,但在有競爭的情形下,技術知識的擴散與降價是遲早的事。關於用戶大數據的潛在商業價值應該如何被認定、分配與交易的問題,尤其在金融領域,特別需要清晰的權利界定。但因為互聯網的開放架構特性,這是一個難題。
互聯網1.0的時代,「協定」與「應用」所創造的價值高度不對稱。早期互聯網上的協定多半為電腦工程師與科學家為解決通訊問題所設計的小程式或軟體套件,設計原則並非著重在面向一般大眾與企業的實際需求;互聯網持續發展與互聯網巨頭企業利用資訊不對稱的競爭策略,造成提供應用服務的價值被集中體現在巨頭的股票市值上,支持其平台服務的基礎協定的價值被壓縮。
區塊鏈技術驅動的互聯網時代,因應海量數據及細分市場的需求,更為可管可控的基礎協定,有機會讓應用層的競爭格局重新洗牌。在高度監管的金融與醫療領域,由於用戶對場景的依賴性與相關機構的既存信任,可以與區塊鏈企業透過深度協作來賦予協定價值;應用層的服務價格因為底層協定的互聯網化而下降,導致價值向協定層轉移,有利於提供服務的運營商體系;金融業者可利用區塊鏈技術,以既有金融服務網絡架構為基礎,設計一套互聯互通、可管可控的「金融物聯網」協定來確保價值 – 金融業的「再中介化」。在這個新範式中,數位身份的安全管理,是重中之重。
傳統金融業與互聯網平台的用戶爭奪戰中的政府角色,也愈發敏感。人要行使政治權利與進行經濟活動,必須要能為他人辨識承認。如果個人能夠在姓名身份每次被辨識使用時都收取專利授權金,人類社會將難以為繼。身份產權定義不清,給了有能力蒐集大數據的互聯網平台從用戶數位身份牟利的空間,亦讓用戶個資暴露在遭受誤用、濫用、盜用的風險之下。現行歐盟與北美法律雖然有規範企業蒐集與變現用戶數據的合法範圍,卻從未明文要求企業承認用戶對其個人大數據的「主權」,從而給了大型互聯網平台主張蒐集來的用戶大數據是營業秘密甚至企業私產的餘地,而這正是臉書、亞馬遜、谷歌、騰訊、阿里巴巴等公司市值能夠破千億美元的主因之一,這象徵著互聯網平台超凡的能力,亦隱含著巨大的責任。一旦這些能力被金融機構掌握,或是互聯網平台取得了經營金融業的門票,有效的監督制衡反壟斷機制就更形重要。Level the Playing Field的公正裁判角色,政府監理部門責無旁貸。
提供一個多中心化的數位身份管理平台,是技術賦能與對天賦人權的再次肯定,這正是全球金融科技界高度關注的「數位身份自主權」(Self-Sovereign Identity)的核心理念。此一概念由資安大師與知名創業家Christopher Allen提出後,在區塊鏈業界引起巨大回響,具體思路包括十項基本精神:
- 存在權(Existence):「我」的存在不可磨滅不可篡改,不論在數位世界或實體世界皆然;
- 控制權(Control):用戶必須能控制其數位身份並決定他人如何使用其個資;
- 存取權(Access):用戶應該在全球範圍內享有存取其數位身份與個資的自由;
- 透明度(Transparency):管理數位身份的系統應該建立在開源軟體的基礎上;
- 持續力(Persistence):數位身份應該能永續存在,但不該抵觸用戶選擇被遺忘的權利;
- 跨網力(Portability):用戶身份應該跨平台、跨管轄權,不該為某特定平台或政府壟斷;
- 互操性(Interoperability):用戶身份應該可以隨身攜帶,全球跨網漫遊不受阻礙;
- 同意權(Consent):用戶須授權同意他人使用與分享其數位身份;
- 極小化(Minimalization):數位身份系統應以最低個人資訊揭露量為原則;
- 保護罩(Protection):身份認證系統應以保護用戶權益與自由為最優先考量。
若把「攻性防壁」視為一種在承認用戶對自己數位身分主權的前提下,所得允許的一種正當防衛措施,奠基於區塊鏈技術的數位身份管理「協定」與「應用」,將成為核心的防禦環節。這樣的關鍵基礎建設應該是一種公私部門開誠佈公高度協作的特殊夥伴關係下的產物(public-private partnership),且必須 –- 無論在極權專制或憲政民主皆然 – 受到某種與時俱進且高度問責的司法程序監督制衡,方能因應互聯網及人工智能科技高速演化所帶來的持續挑戰。
這是一個非常大的題目,投資價值非常高,甚至有機會創造一個專門協助管理隱私的新產業。與源鉑資本支持的帳聯網公司同樣身為企業以太坊聯盟創始成員的紐約新創企業ConsenSys所提出的多中心化隱私管理架構,就是很好的開始。但區塊鏈技術不可磨滅、可全數位化監控的特性,又是一大挑戰。在不久的將來,國際社會需要形成一整套關於「拒絕連線的權利」(The Right to Get Off Grid)的習俗規範。屆時如何制衡霸權國們以國安之名進行的咨意妄為,只有以待來者了。
*作者為旅居香港的金融觀察家與專業投資人,源鉑資本(Kyber Capital)執行長。
