代碼作為受憲法保護的言論 II:應用密碼學
布魯斯·施奈爾的《應用密碼學:協定、演算法與 C 語言源代碼》於1993年11月出版。施奈爾告知讀者:「這個世界上有兩種密碼學:一種是能阻止你的小妹妹讀取你檔案的密碼學,另一種則是能阻止主要政府讀取你檔案的密碼學。本書講述的正是後者。」施奈爾將這本600頁的書描述為「密碼學領域的一個生動入門,同時也是一本全面的參考書」,定價為44.95美元。施奈爾還提供了購買附帶光盤的選項,該光盤售價30美元,內含「可能是軍事機構以外,最大規模的密碼學源代碼合集」。起初,施奈爾說服其出版商John Wiley & Sons將源代碼光盤與書籍一同發行,這在許多軟體書中是普遍做法;但在得知《國際武器貿易條例》(ITAR)的限制後,出版商決定不再隨書附送光盤。取而代之的是,施奈爾改為在單獨購買時,將光盤實體郵寄至美國和加拿大的地址。書中收錄了以下演算法的源代碼:維吉尼亞密碼(Vigenere)、恩尼格瑪(Enigma)、資料加密標準(DES)、Lucifer、Feal-8、NewDES、IDEA(用於PGP)、MD5以及安全雜湊演算法(Secure Hash Algorithm)。施奈爾曾詢問丹尼爾·伯恩斯坦,是否可以將伯恩斯坦所撰寫、用以轉換雜湊函數的 Snuffle 5.0 源代碼,納入其密碼功能的彙編中。由於 Snuffle 本身並不包含任何密碼程式碼(所需的程式碼取決於與其搭配使用的雜湊函數),理論上是可以出口的;然而,國務院曾告知伯恩斯坦,他仍需取得出口許可證,這也是伯恩斯坦正在爭議中的問題。出於對在該爭議尚未解決前,將 Snuffle 收錄於施奈爾的密碼學大全中可能引發法律後果的擔憂,伯恩斯坦最終拒絕了施奈爾的提議。
施奈爾希望《應用密碼學》能夠比任何單一(加密)產品更有力地促進密碼學在全球的普及。
施奈爾指出,他的書籍是在一個「動盪時期」出版的,這個時期正值政府努力控制密碼學技術之際,他觀察到:「這裡正運作著一些危險的極權主義假設:認為政府有權窺聽私人通信,以及認為私人公民試圖對政府保守秘密本身就有問題。」談及Clipper晶片時,施奈爾寫道,雖然政府一直有能力進行監控,但這是歷史上第一次,人們被「迫使採取主動措施,讓自己處於易於被監控的狀態」。施奈爾繼續表示:「這些舉措不僅僅是政府在某個鮮為人知的領域提出的建議,而是為了預防性和單方面篡奪原本屬於人民的權力而採取的行動。」施奈爾懷有與密碼學家普遍相同的不信任政府的態度,他說:
「那些曾非法竊聽馬丁·路德·金博士電話的執法機構,同樣也能輕易地竊聽受Clipper保護的電話。近年來,馬里蘭、康乃狄克、佛蒙特、喬治亞、密蘇里和內華達等多個地區的地方警方,因進行非法竊聽而被刑事起訴或遭民事訴訟。部署一種未來可能促使警察國家出現的技術,絕非明智之舉。」
施奈爾進一步勸告道:
「從這裡我們得到的教訓是,僅靠法律來保護我們是不夠的;我們必須用數學來保護自己。加密技術太重要,不能只交由政府掌控。本書提供了你所需的工具,幫助你保護自己的隱私;密碼學產品可能會被宣告為非法,但那些資訊永遠不會消失。」
施奈爾感謝了包括Whitfield Diffie、Eli Biham、Matt Blaze與Phil Zimmermann在內的一眾密碼學家對他書籍的貢獻——這真是一個社群的努力。1995年,第二版出版,內容較原版增長一倍,並特別對密碼龐克們的意見表示感謝。
Al Stevens在流行的《Dr Dobb’s Journal》評論中稱《應用密碼學》是「針對電腦程式設計師的密碼學權威著作。」Stevens形容該書包含了「龐大的知識體系」,並繼續寫道:「我不知道有哪部作品能夠如此全面地涵蓋密碼學資訊,還能提供用以實現文中演算法的電腦程式碼。」在短短六個月內,該書銷量達到15,000冊,其中有1,500至2,000冊銷往海外。Christian D. Odhner向密碼龐克們感慨:「《應用密碼學》完全可以改名為『密碼龐克的聖經』。」多年後,在密碼龐克與政府之間罕見的輕鬆互動中,施奈爾曾將一本《應用密碼學》贈予中央情報局局長John Deutch,作為回報,Deutch送給施奈爾一個中央情報局的獎勵徽章(即挑戰幣)。施奈爾回憶說:
「我看著它,舉在眼前,然後問:『如果我被困在外國需要逃脫,這個會幫到我嗎?』Deutch毫不猶豫地回答:『只要對著它說話就行。』」
獨立於施奈爾之外的密碼龐克Phil Karn於1994年2月致函國務院國防貿易管制辦公室(ODTC)和國家安全局,請求對《應用密碼學》給予14天加速處理的商品管轄權申請(CJR)。Karn認為,既然這本書已廣泛流通,它就屬於「大眾市場軟體」。ODTC的William Robinson回信告知Karn,因為《應用密碼學》已屬於公有領域,所以不受國務院許可管轄;不過,書附的源代碼光盤則不在此例外範圍內。
Karn的下一步是查明,國務院確認不受出口管制的《應用密碼學》書中所包含的相同程式碼,是否能以數位形式(作為光盤)獲得CJR批准。1994年3月,Karn再次致函國務院,請求另外一個14天加速處理的CJR,並解釋說:「逐字逐字符地,資訊完全相同。唯一的區別在於媒介:是以聚酯薄膜上磁性脈衝方式儲存,而非紙上墨印字符。」五週後,Karn仍未收到回覆,他評論道:「他們要麼忽略我的電話,要麼以『很快就會出結果』來敷衍我。」Karn隨後致函國務院,詢問為何尚未收到裁定,因為前後兩次CJR之間唯一的區別僅在於數據呈現的媒介;他主張不應要求第二次CJR,「畢竟,打字技能並非美國人獨有。」三週後,國務院通知Karn,在與國家安全局協商後,《應用密碼學》光盤已被依據《國際武器貿易條例》軍火清單指定為防禦性物品。國務院辯稱,該光盤並非書中內容的精確複製,理由是「每個源代碼清單均被劃分到各自的檔案中,並且能夠輕易地編譯成可執行的子程序……這對於希望將加密技術納入產品的終端使用者來說,無疑增加了附加價值。」國務院還表示,若將這些演算法納入產品中,數個演算法將無法出口,因此光盤上也不允許出口。Karn隨後致函《華爾街日報》的William Bulkeley,聲稱他認為「連政府都不會愚蠢到認為拒絕光盤出口許可會延緩密碼學的普及」,相反,他認為政府「正在利用恐懼與脅迫,試圖以一種不顧後果的方式拖延不可避免的進程。」
Karn對國務院的判決提出上訴,稱該判決「武斷、任性且完全無法辯護」。他反駁國務院所謂的「附加價值」立場,主張利用光學字符識別技術將《應用密碼學》文本轉換為程式碼是微不足道的;Karn還認為,該判決侵犯了憲法所保障的言論自由和新聞自由。他引用了支持其主張的案例,指出當訊息傳向海外時,憲法權利並不因此減損(如Bullfrog Films, Inc v. Wick [1988]案),並提到任何事前審查制度在面對法院時都會遭遇「嚴重的不利推定」,並必須承擔「舉證要求以證明其施加限制的正當性」(如New York Times Co v. US [1970]案)。Karn表示,如果上訴不成功,他準備「尋求司法救濟」。上訴經過四個月後,國務院副助理部長Martha C. Harris重申了《應用密碼學》光盤需要出口許可的觀點。Harris認為該光盤的密碼內容已達到一個「戰略性層級」,因此需要國務院持續的許可;她還表示,這一裁定與第一修正案保護是一致的。Karn隨後聘請律師Kenneth C. Bass和Thomas J. Cooper,進一步透過司法系統對此案提出上訴。Bass和Cooper均曾擔任行政部門律師,這使得他們具備足夠的知識來挑戰這一體制。在Bass與Cooper能進一步進入司法程序之前,他們必須向Harris的上司、國務院助理部長Thomas McNamara提出最後一次上訴,以證明已經耗盡了通過國務院獲得救濟的所有選項——Bass和Cooper對成功的機會持悲觀態度。Bass和Cooper重申了Karn的論點,並引用了更多法律先例,寫道:
「此案展示了我們的政府在以理性方式處理電腦化資訊方面存在著根本性的無能……尤其具有諷刺意味的是,一個在公開場合極力支持即將到來的信息高速公路的政府,其代表卻能採取與實際執行及現實情況如此格格不入的政策立場。」
Bass 與 Cooper 主張,該裁決“是基於印刷與數位之間不合理的區分、違憲的法律詮釋以及對事實的錯誤認識。”律師們指出,ITAR 的公共領域豁免並未因傳播形式而有所區別,從而支持了他們認為書籍與軟碟之間區分不合理的主張。Bass 與 Cooper 認為,州政府對他們第一修正案主張的駁回是“站不住腳的”,並寫道:“僅用一個完全缺乏法律分析的結論性陳述來輕率地處理這一問題,顯示出對本案所涉及憲法權利重要性的驚人漠視。” Bass 與 Cooper 亦提及司法部法律顧問辦公室(OLC)助理檢察長 John Harmon 於 1978 年向總統科學顧問 Frank Press 所撰備忘錄中指出,“現有的 ITAR 規定在對科學家和數學家所研發的密碼思想及資訊進行披露時,實質上構成了一種先行限制,因而違憲。”他們進一步表示,OLC 的觀點在 1981 年及 1984 年均獲得重申,“據我們所知,這些 OLC 意見仍是行政部門內關於第一修正案如何適用於密碼相關資訊傳播的最新且最具權威性的法律見解。” 1995 年 2 月,Bass 與 Cooper 與司法部及 NSA 會面,進一步闡述他們的論點,但到了 5 月卻毫無進展。律師們致函 McNamara 指出,“許可延誤……符合聯邦機構一貫拖延的模式,而這一模式似乎是基於國家安全局公開宣稱的政策,即竭力阻止強大密碼的進一步擴散。”Bass 與 Cooper 最終認為,“在這件事上持續延誤作出決定,除非假設行政部門藉由不作為來打壓 Karn 及其他人的活動,否則是難以理解的。”同時,他們通知 McNamara,Karn 已指示他們在 6 月 15 日前啟動司法審查,不論州政府是否回應。隨後,McNamara 又重申了州政府的裁定。 McNamara 指出,當對某項物品是否涵蓋於美國軍火清單存有疑問時,可適用 ITAR 程序。他辯稱,ITAR 中的技術豁免是指涉“技術祕密”資訊,而非“功能性”資訊,並表示:“與其僅僅包含例如解釋密碼軟體如何運作的理論資訊,不如說該軟碟中包含了實際可用來進行加密的密碼軟體。”他進一步認為,其裁定“並未涉及第一修正案,因為該軟體受許可管制並非因為可能包含‘資訊’,而是因其具備加密通訊的功能。”此外,McNamara 告知 Karn 的法律團隊,此裁定不受司法審查。Bass 與 Cooper 則回應指出,McNamara 並未針對州政府在書籍與軟碟問題上的“根本矛盾”提出解釋,他們認為進一步的交涉已顯得“徒勞”,並堅信已證明行政救濟途徑已走到盡頭。律師們隨後啟動司法程序,要求撤銷州政府的裁定,因為該裁定侵犯了 Karn 的第一修正案言論自由權。在辯護過程中,NSA 副主任 William P. Cromwell 提供了證詞。他的論點進一步擴展了先前有關書籍所提供“技術祕密”與軟碟作為密碼設備“引擎”之間區別的說法。Cromwell 指出,利用光學字元辨識技術將文字轉換為代碼“可能無法生成完全無誤的掃描資料複製品”,而將文字轉換為可執行代碼則需要具備源代碼語言知識和密碼學基礎的人士。與此相對,Cromwell 認為軟碟內的代碼是無誤的,他甚至引用了 FEAL-8 源代碼中書籍出現錯誤,而該錯誤在軟碟中已被修正的事實作為證據。政府方面重申,此案並非屬於司法系統可裁量的範疇,將受出口許可管制之防禦品的定性屬於行政部門的酌情權。政府辯稱,這是一個國家安全問題,而非憲法問題。當談到言論自由時,政府引用了多項司法先例來質疑何者可以被定義為“言論”。政府主張,限制措施並非針對科學思想的討論,而是針對能夠實現該思想的材料——美國人仍然可以自由討論和發表有關密碼學的文章。關於公共可取得性豁免,政府則辯稱,“一項具功能性的防禦品即便已公開獲得,也無法改變在外國更廣泛、不受控地傳播更多此類防禦品可能對政府利益造成更大損害的事實。”在回應 Karn 的指控時,政府自認其行動“非理性”,並作證表示:“面對重大政府利益的考量,認為政府對強大加密技術的出口無法對出口地點、對象及用途發表任何意見,這一立場是‘非理性’的。”隨後,政府要求將此案駁回,而 Karn 後來在向國會作證時表示,政府認為“無論是法院、國會,甚至像我這樣的私人公民,都沒有智慧去質疑他們的政策。”
Karn 的律師主張,軟碟唯一的功能僅是儲存源代碼,就像書籍僅儲存文字一樣——將文字轉換成可運作的代碼需要一位熟練的程式設計師耗費超過一小時的工作,因此它不能被視為具備功能性的加密代碼。Bass 與 Cooper 因此要求進行審理,以釐清爭議事實。Phil Zimmermann 也在 Karn 案中提供證詞,他表示,據不具名消息人士“非正式地通知”他,CJR 對其 PGP 書籍的請求導致 NSA 建議將該書受 ITAR 管制,而商務部則持相反意見。對商務部而言,能夠對強大的 NSA 持異議正顯示出密碼出口對美國經濟所代表的價值。
政府再次要求法官於 12 月駁回此案,而地方法官 Charles Richey 最終於 1996 年 3 月駁回了該案。Richey 對監控案件並不陌生,兩年前他曾判決支持電子隱私資訊中心(EPIC),命令 FBI 釋出與其因現代技術而無法進行監聽有關的資訊,但 Karn 卻未能走運。Richey 在所有爭點上均作出對被告有利的判決,並對 Karn 做出了如下評價:
“原告為了出口電腦軟碟以牟利,提出了行政法及毫無根據的憲法主張,其原因在於他與其他人未能說服國會與行政部門,認為該技術並不危及國家安全。”
Richey 認定軟碟的出口屬於一個“政治問題”。他錯誤地表示 Karn 正試圖牟利,儘管事實上該軟碟屬於 Schneier。Karn 隨後將案件上訴。Bass 與 Cooper 則堅持其既定立場,主張對書籍與軟碟不同的處理“就相當於認為《華盛頓郵報》可以分期連載出版《五角大樓文件》,但卻不允許將相同內容以放置於《郵報》網站上的方式進行傳播”;他們進一步爭辯道:“若提出如此荒謬的主張,我們有信心它將被看穿並徹底否決。” Bass 與 Cooper 強調了近期另一案件 Bernstein 訴國務院案,在該案中,Patel 法官裁定源代碼構成言論,這一裁定間接與政府的主張相左,且與 Richey 法官在 Karn 案中採納的論點相抵觸。這一點非常重要,因為在 Karn 案中,辯護團隊採用了 O’Brien 測試來評估軟碟的限制是否違反憲法權利。然而,O’Brien 測試本來是針對行為與言論同時發生的情況所設(例如在仇恨言論中焚燒國旗)。若以 Patel 法官認定源代碼屬於“純粹言論”的裁定作為先例,則 O’Brien 測試便不是評估軟碟出口限制是否合理的正確工具。相反,政府需滿足一貫適用於先前對言論所施加限制的“明確且現存的危險”標準。Bass 與 Cooper 因此主張應進行審理,以確認政府的立場是否符合“明確且現存的危險”標準。
全國不同地區法官間的判決分歧凸顯出密碼政策上日益擴大的分歧。Phil Karn 的案件在華盛頓被最明確地駁回,而在加州,政府卻獲得了相似的待遇。這種差異或許受地理位置影響;加州的 Patel 法官身處技術產業核心,而 Richey 法官則主持華盛頓特區這個聯邦安全與情報中心。Karn 的律師 Ken Bass 評論說:“這兩種意見反映了對第一修正案如何適用於密碼學問題的兩種截然不同的理念。”支持 Cindy Cohn 的律師 Lee Tien 則評論 Karn 的案件:“他們提出了一個非常有說服力的‘愛麗絲夢遊仙境’式的愚蠢主張,這一主張既簡單又具體,而且有相應的學說作為依據。”而 Bernstein 案的辯護團隊則採取了“傾囊而出”的策略,詳盡地列出了所有可以想像的憲法缺陷。這種司法見解上的對比增加了最終需要由最高法院來解決這些憲法疑問的可能性。
就在第一個上訴法院庭審即將開始之前,總統決定將民用加密出口管制從由國務院管理的 ITAR 移交給由商務部出口管理局管理的出口管理條例(EAR)。庭審仍如期進行。Gilmore 呼籲密碼龐克們出席,指出“這是首次有密碼出口案件進入上訴法院,並且你們的權利正岌岌可危。”Gilmore 在電子前沿基金會的電子通訊刊物 EFFector 上寫道:
“Phil Karn 的案件展示了加密規則的不合理性以及保護這些規則的官僚迷宮的深不可測。認為第一修正案保護書籍作者,但卻不保護擁有相同內容軟碟的作者,實在荒謬。如今所有書籍、雜誌與報紙在印刷前都已由電腦撰寫,且許多亦同時在線上發行。然而,政府律師卻不僅主張有權規範機器可讀出版品,還聲稱法院無權重新審查此問題。”
他們的論點無非就是「請相信我們,交由我們管理你們的基本自由。」不幸的是,國家安全局過去十年的行動充分證明,當能在某些機密間諜計畫中取得優勢時,他們樂於犧牲基本自由。除非出現對我國實體安全的明確且現存的危險(我們並未見到任何此類證據),否則公民自由發言和出版的權利對美國國家安全的重要性遠超任何機密計畫。
經雙方共同同意,法庭上決定由新成立、負責主管該軟碟是否需要出口許可的行政部門提出新的申請。隨著權限轉移,一份新的軟碟出口申請被提交給商務部。1997 年 11 月,商務部通知 Karn,軟碟因「違背美國國家安全利益」而不獲批准出口。商務部曾表示,若 Karn 能夠指出具體的最終使用者與用途,將會重新考慮,但這一要求與 Karn 的言論自由主張相牴觸。Karn 的律師隨即將訴求重新提交至司法系統,政府則要求駁回案件,但這一次,法官於 1999 年 2 月准許舉行證據聽證;然而,該案最終未能進入庭審。
1997 年 4 月,商務部宣布成立總統出口委員會加密子委員會(PECSENC),該委員會由約二十五名成員組成,旨在「確保出口界與負責執行加密政策的政府機構之間達到平衡的代表性。」PECSENC 於 1998 年提交的美國出口管制報告發現,其商業影響「顯著」。對許多軟體應用程式而言,商業客戶僅僅要求安全與加密,這已成為一項必要條件,缺少這一點則意味著交易將無法達成。報告作者指出,許多美國軟體公司正與外國加密供應商展開「合作安排」,以「鼓勵其外國合作夥伴將外國製密碼與美國商業應用程式結合,從而提供完整的安全解決方案。」作者亦指出,雖然這種做法本身並非違法,但在美國法律下卻「風險極高……鑑於所涉利益,許多公司已經做好冒險準備,預計還會有更多公司採取類似行動。」他們評估認為,美國出口政策已「促使美國以外國家發展出密碼軟體與硬體技術。德國、瑞士、加拿大、俄羅斯以及以色列的密碼公司皆從美國加密政策的這一無意後果中獲益。」1999 年 9 月 16 日,在 Karn 案進入庭審之前,政府宣布對出口法規進行修改。
新的加密法規於 2000 年 1 月 14 日正式生效,其重大變革比草案建議的更進一步放寬了管制。特別是,新增了一項規定,允許對開源源代碼進行無限制出口,而無需政府進行任何形式的審查,儘管仍需通知。由此,《應用密碼學》軟碟得以出口。Karn 最終允許其案件因實際意義不大而被撤銷;他表示:「雖然這未能像在法庭上獲勝那樣令人滿意,但從實際效果來看,我已經得到了我所追求的一切。」Karn 亦反思道:「我認為情況比我六年半前開始這場追求時要好得多。」
第三宗在司法系統中挑戰密碼管制法規的法律案件屬於 Peter Junger 教授。