代碼作為受憲法保護的言論 I:丹尼爾·伯恩斯坦

丹尼爾·伯恩斯坦生於1971年。他在紐約的高中表現非常出色,15歲時正值畢業班,他曾說:「我無法回想有哪個時候我對數學不感興趣。」那個學年,伯恩斯坦以研究新演算法來計算像圓周率這樣的無限數,被授予著名的Westinghouse科學才華搜尋比賽第五名,成為史上最年輕的獲獎者之一(當時美國總統喬治·W·布希曾將該比賽稱為「科學界的超級盃」)。年輕的伯恩斯坦早已展現出激進主義傾向,他的興趣之一便是為環保事業進行遊說。

在1980年代末,當伯恩斯坦在紐約大學攻讀數學學位時,他的一個電腦帳號遭到駭客入侵;伯恩斯坦回憶道:「當我發現那個駭客在翻閱我的檔案時,我感到十分厭惡。」他花了好幾個小時試圖弄清楚入侵者究竟是摧毀了檔案還是僅僅複製了一份,這次入侵事件激發了他對電腦安全的濃厚興趣。數年後,伯恩斯坦協助設計了一個系統,用以監控入侵者在大學電腦網絡中的活動;在監控過程中,他意識到密碼學本可以幫助防止這種攻擊。

1991年,伯恩斯坦在加州大學柏克萊分校開始攻讀數學博士學位。在求學期間,他接觸到了政府對加密技術出口的管制規定。伯恩斯坦回憶說:「我聽說政府控制著加密技術的出口,但允許以專門的『單向雜湊函數』形式出口加密技術,這讓我覺得非常荒謬。」

雜湊函數是一種數學演算法,可從一個檔案生成一個獨一無二的固定長度字串(即雜湊值)。如果檔案中的任意一位數位被改變,生成的雜湊值將完全不同。這一特性在檔案完整性檢查中非常有用。例如,在透過電子郵件傳送一個檔案之前,可以先對該檔案進行雜湊處理,並將生成的雜湊值與訊息一同傳送(或理想地,放置在另一個使用者可存取的位置以降低中間人攻擊的風險),使接收者能對收到的檔案重新生成雜湊,從而確認其與傳送時的雜湊值是否一致,藉此確定檔案在傳送過程中未遭損壞或竄改。用於生成雜湊值的數學演算法常基於與Diffie和Hellman公開金鑰密碼學相同的原理——其在單向運算(雜湊生成)上十分簡便,但逆向工程(從雜湊值還原原始檔案)則幾乎不可能。

伯恩斯坦開發了一個簡單的演算法,能夠將法律上允許出口的單向雜湊函數轉換成加密系統。他將這個演算法命名為 Snuffle。

Snuffle 本身並非一個加密系統,而是將單向雜湊函數(例如Xerox廣泛提供的免費軟體Snerfru 2.0)轉換成一個私鑰加密系統,而所需付出的努力極少。伯恩斯坦解釋說,負責執行加密的snuffle.c以及負責解密的unsnuffle.c,其實際執行加密與解密的部分各僅包含15行C程式碼,並不包含任何專有的密碼技術。所有密碼相關的程式碼都存在於雜湊函數中;伯恩斯坦指出:「如果雜湊函數足夠強大,系統就會提供強加密;如果雜湊函數薄弱,系統的加密也就薄弱。」他利用了一個監管漏洞——由於雜湊函數不受《國際武器貿易條例》的管制,因此可以出口,而伯恩斯坦的程式碼使得外國使用者能輕易地將這些雜湊函數轉換成加密系統。伯恩斯坦說:「像Pretty Good Privacy這樣的程式已經準備就緒;而我的程式則是一部給你提供加密數據方法的機器,但你仍需要做更多工作才能使其真正可用。」

1992年6月,伯恩斯坦致函國務院,啟動了一項商品管轄權申請(Commodity Jurisdiction Request, CJR),這是一個由政府決定用於出口的密碼學產品是否需要許可證的流程,屆時申請人將進一步申請該許可證。伯恩斯坦計劃向知名網路新聞組「密碼學科學」(數位社群稱為 sci.crypt)發佈 Snuffle5.0 及其相關文件,這在法律上將構成一次出口。伯恩斯坦告訴國務院,Snuffle 能夠「將任何單向雜湊函數轉換成零延遲的私鑰加密系統。」所謂零延遲,意味著 Snuffle 非常適合用於加密線上聊天,而進一步增強數位匿名性的概念無疑會在當時已因擔心失去目標而陷入困境的執法部門中引起不安。1990年代初,犯罪分子正逐漸轉向線上以促進其非法活動;就在兩年前,一場廣為宣傳的公關行動中,美國特勤局曾宣布啟動“太陽魔鬼行動”(Operation SUNDEVIL),作為一項「駭客打擊行動」的一部分,正如助理主任Gary M. Jenkins所解釋,其目的在於向那些決定違反國家法律的電腦駭客發出「明確的警告」。在這樣的背景下,伯恩斯坦所開發的加密技術無疑成為執法部門的眼中釘,尤其是在跨國犯罪日益猖獗的情勢下。

伯恩斯坦希望,儘管 Snuffle 結合了 Snerfru 或其他雜湊函數後能實現密碼功能,但其技術上的特點——自身並未包含密碼技術——將使其能夠出口。用極為保守的語氣來形容自己程式碼的意涵,伯恩斯坦在信的結尾寫道:「實際上,我想要出口的是一種描述如何更有效地利用現有技術的方法。」兩個月後,國務院國防貿易管制辦公室(ODTC)主任威廉·B·羅賓遜致函伯恩斯坦,通知他 Snuffle 屬於防禦性物品,需要出口許可證。國家安全局也參與其中,甚至可能推動了國務院的這一決定;國家安全局加密出口管制部門的 Mark Koro 與 Greg Stark 判定 Snuffle 符合《國際武器貿易條例》(ITAR)的限制。伯恩斯坦感到「震驚」,他評論道:「我原以為我可以自由地發表我的想法。」

伯恩斯坦於 1993 年 3 月對這一裁定提出挑戰。隨後在 7 月,伯恩斯坦與 ODTC 羅賓遜的特別助理查爾斯·雷(Charles Ray)進行了會談,討論此事。伯恩斯坦試圖從雷那裡弄清楚,倘若他利用自己認為存在的 ITAR 漏洞——即公共豁免條款,國務院是否會認為此舉違法,儘管他的做法嚴格遵循了法律文字。伯恩斯坦向雷陳述,ITAR 規定,如果內容已發表並可供公眾在圖書館中查閱,則視為公有領域資訊,因此可免於出口管制。伯恩斯坦想知道,若有人將某項物品放入圖書館,此舉是否就不會觸發公共豁免條款。雷認同伯恩斯坦所指的漏洞,但表示:

「我知道條文是這麼寫的,但我認為這裡需要用點常識。如果有人創造了一個他明知屬於 ITAR 軍火清單上的東西,卻想規避法律,把它拿到圖書館,那麼動機就必須被考慮進去。」

雷認為,這樣的行為「可能被認定為違反《武器出口管制法》(ITAR)。」伯恩斯坦則主張第一修正案保障他發表的權利;但雷不同意,他說:「我不認為這正是新聞自由法規所要保護的。」雷進一步辯稱,新聞自由「同時伴隨著必須遵守現行立法和規定的責任。」信息很明確:即使伯恩斯坦試圖利用公共豁免條款來規避 ITAR(儘管他可能未違反法律的字面規定),政府仍會依據國務院對該法律「精神」的解釋對他提起訴訟。

到了四月,伯恩斯坦請求羅賓遜以書面形式回答他十四個圍繞同一公共豁免條款的問題,這顯然是因為他明白,要對國務院提起司法訴訟需要這類文件。經過近兩個月國務院未有回覆後,伯恩斯坦寫信給加州民主黨眾議員羅納德·德魯姆斯(Ronald Dellums)尋求協助。伯恩斯坦解釋說,他正在與 ODTC 合規與執行部門主管克萊德·布萊恩特打交道,此人一直是個「一貫不合作的政府雇員」。伯恩斯坦形容對其問題回覆的延誤「簡直令人憤慨」,並補充道:「我不確定布萊恩特先生是否有打算回覆我的信件。」伯恩斯坦要求德魯姆斯出面,加速國務院的回應——他於 5 月 24 日這樣做。5 月 27 日,布萊恩特致函伯恩斯坦,告知他國務院「無法告知你假設中提到的內容是否需要許可」,並建議伯恩斯坦提供具體的技術資料和詳細的用途說明,以便進行商品管轄權申請(CJR)的審查。

6 月 30 日,伯恩斯坦致信羅賓遜,告知他:「我打算採取某些行動,這些行動可能會違反貴辦公室所管理的規定。」顯然憤怒不已的伯恩斯坦對羅賓遜說:「你們已經達成了你們明顯的審查目的,使我擔心我可能會犯下罪行。這種行為在一個自由社會中是不可接受的。」伯恩斯坦隨即向羅賓遜聲明:

「我不會在 ODTC 登記。我將不依 ODTC 的任何許可發表 Snuffle 5.0。我再也不會詢問 ODTC 任何特定項目是否屬於防禦物品,也不會向 ODTC 申請任何許可。」

隨後,伯恩斯坦補充道:

「我已發表了數千頁資訊,並且將會發表更多。我認為沒有理由浪費時間去判斷我是否在發表防禦物品。也沒有理由將我的任何資訊提交給 ODTC 審查。不幸的是,你們的部門似乎持有這樣一項政策:ITAR 確實要求對某些出版物進行事前審查和許可。」

伯恩斯坦再次要求就 ITAR 規定向他回答那十四個問題,並重申他創造 Snuffle 只是出於興趣,而 ITAR 中對於「科學目的,包括研發」的豁免條款(ITAR 122.1(b)(4))正是他認為自己工作所屬的範疇,他要求對方「本著誠意,及時且詳盡地回答我的問題。」

兩週後,羅賓遜依然未回覆。伯恩斯坦致信給德魯姆斯,告知他國務院正在「從事違憲審查」。伯恩斯坦認為國務院之所以沒有回覆他的問題,是因為他們知道自己「正處於違反權利法案的行為之中。」伯恩斯坦還補充道:「布萊恩特先生和羅賓遜先生都未回答這個問題:ITAR 是否對其他合法出版行為施加了事前限制?」伯恩斯坦還與一些國家安全局代表交談,他們告訴他,Snuffle 被認為具有「戰略性」,伯恩斯坦由此推斷,基於 Snuffle 構建的密碼系統並不容易被破解。伯恩斯坦評論說:「他們曾提出幫助我改寫程式以使其不具戰略性」——但他拒絕了這一提議。

改換策略後,7 月 15 日,伯恩斯坦將原始的商品管轄權申請(CJR)分解為五個獨立部分,再次提交給國務院審批——其目的是辨識出 Snuffle 哪個部分受到出口管制。這五個獨立的申請分別為:

  1. Snuffle 加密系統論文
  2. Snuffle 加密軟體
  3. Snuffle 解密軟體
  4. Snuffle 使用說明
  5. 用於程式設計以使用 Snuffle 的指導

7 月下旬,伯恩斯坦在 sci.crypt 上向同行密碼學家簡述了自己的經歷:

「我與國務院的鬥爭已進入第二個年頭,且愈演愈烈。好幾個月以來,我都沒有講述這場鬥爭的經過,因為我以為審查者是理性的人,認為默默協商會成功,而對抗必然會失敗。現在我才知道,我錯了。」

伯恩斯坦還公開了他與國務院往來的文件,以「讓你們稍微瞭解一下審查者是如何運作的。」

9 月 7 日,羅賓遜回覆伯恩斯坦那封充滿挑釁意味的 6 月 30 日信件。羅賓遜告知伯恩斯坦:「你以興趣創造 Snuffle 5.0 這一事實,並不意味著你就能免於作為 ITAR 定義下的防禦物品製造商的責任。」羅賓遜指出,根據 ITAR 定義,Snuffle 並不屬於公有領域,因此未經許可出口 Snuffle 屬於違法行為。隨信,羅賓遜附上了要求伯恩斯坦登記為軍火製造商的表格,這是所有出口被列入 ITAR 清單、屬於兩用物品的出口商必須辦理的手續;信的結尾寫道:「我相信這封信及其附件提供了您所要求的信息,並能協助您就您所陳述的意圖採取適當行動。」

9月20日,伯恩斯坦回信給羅賓遜,要求未來所有往來信件均抄送給EFF法務服務主任Shari Steele,這顯示出他打算將此案提交司法審理。伯恩斯坦顯然非常憤怒,他寫道:

  「我對於你僅僅因為我想出並寫下某些資訊,就稱我為『軍火製造商』感到極度厭惡。這個國家的思想自由和言論自由哪去了?你就沒有更有意義的事可做,而要來騷擾正在辛勤工作的數學家嗎?」

伯恩斯坦要求羅賓遜解釋科學研發中ITAR條款與國務院拒絕將Snuffle明確界定為學術研究之間的不一致。隨後,伯恩斯坦在致羅賓遜的另一封信中,還論證了當在網上發布資訊時,要求在出口許可申請中列出「所有終端使用者(按國別分類,並且必須由每位使用者簽署聲明)」的做法,其實操作上根本行不通。他評論說,「看起來ITAR就是透過申請出版許可證的龐大繁瑣程序來禁止出版。」很可能因為認識到羅賓遜態度堅定不移,伯恩斯坦於9月22日將Snuffle的CJR分類上訴至國務院國防貿易中心代理主任大使Michael Newlin。不過,僅僅一週多後,伯恩斯坦的五項CJR請求全部被拒絕。這些請求被當作一個整體來處理,意味著國務院並未讓伯恩斯坦明確指出Snuffle究竟哪個部分違反了ITAR。

1995年2月,EFF宣布贊助伯恩斯坦針對國務院提起的聯邦訴訟。EFF的John Gilmore表示:「這場訴訟是密碼戰爭中的一個戰線。沒有人真正知道這場戰爭最終會如何收場,也不清楚哪一個戰線會最終崩潰。」EFF在新聞稿中指出,政府反對加密技術,因為他們「擔心公民能夠對政府以及其他破壞者保持隱私和安全。」EFF宣稱出口管制制度構成了一種「不允許的事前審查」,違反了第一修正案。EFF認為軟體是以出版形式發佈而非製造的,屬於「受憲法保護的人與人之間溝通的作品」,並主張對出版的限制「違憲地縮減了人們的言論、出版、結社以及從事學術探究和研究的權利。」此外,EFF還指出,ITAR限制了公民保護隱私的能力——這也是另一項受憲法保護的權利。具體來看,EFF認為ITAR存在以下問題:

  • 允許政府在無需司法審查的情況下限制出版,
  • 為第一修正案權利提供的程序保障太少,
  • 要求密碼學作者必須向政府登記,從而創造了一個「有牌照的新聞界」,
  • 要求密碼學資訊的接收者必須逐一識別,禁止一般性的出版,
  • 對何種行為構成非法存在模糊界定,
  • 其範圍過於廣泛,禁止了受保護的活動(例如在美國境內與外國人通訊)以及基於後續可能加入加密技術而禁止軟體出口。

EFF預期,這場訴訟可能需要數年才能獲勝,且「政府將運用一切手段及程序上的拖延策略,以避免法院審查真正的問題。」然而,EFF堅信法院最終會支持他們的論點,認定ITAR違反憲法,並證明政府「企圖限制言論自由和隱私的做法在一個開放社會中毫無立足之地。」加州McGlashan and Sarrail律所的Cindy Cohn同意以無償方式擔任此案首席律師,並由EFF提供額外支援及支付相關費用。Cohn後來表示:

「從法律的角度來看,伯恩斯坦案並不複雜,也沒有創造任何戲劇性的新先例。這案僅僅要求法院承認,第一修正案同樣適用於網際網路上的科學,就如同適用於紙本和課堂上的科學一樣。正是這種科學自由,使我們擁有了網際網路,以及我們今天享受的其他眾多技術。」

在他的法律投訴中,伯恩斯坦聲稱出口管制對他的名譽和生計造成了「無法彌補的損害」。Cohn主張,「不存在一個‘滑動尺度’,根據涉及外國事務的程度而調整審查標準。」她要求法院頒布禁令,允許伯恩斯坦在不必擔心被起訴的情況下發表他的作品,最終要求宣布ITAR違憲。

事前審查對言論自由的限制是一個極具爭議的議題,其核心法律問題在於:電腦程式碼是否足夠具有「表達性」,從而獲得第一修正案的保護。Cohn引用Freeman訴馬里蘭州一案,該案中最高法院裁定,如果政府希望實施出版前許可制度,該制度必須包含一個機制,使法院能在不超過兩週的時間內迅速作出決定;並且,只有政府能提起此類案件,且政府必須承擔證明出版將造成直接、即時且無法彌補損害的舉證責任,而該損害必須超過對言論自由造成的限制。Cohn解釋道:

「即使國家安全或公共安全的主張,也必須與我們的基本權利進行嚴格權衡,並且必須有確鑿的證據證明出版將造成直接、即時且無法彌補的損害,而不僅僅是臆測和一些驚人的情景。」

Cohn還指出,開國元勳們本就打算讓密碼學供公眾使用:「與現今政府的論點截然不同,他們視密碼學為保護資訊——無論是政治性的還是個人性的——的重要工具。」她強調:

「甚至憲法和權利法案本身,也經常以密碼形式存在,就如同托馬斯·傑斐遜與詹姆斯·麥迪遜互相交換那些劃時代文件草稿一樣。密碼學曾被美國開國元勳中的眾多知名人物使用——不僅是傑斐遜和麥迪遜,還有本傑明·富蘭克林、亞歷山大·漢密爾頓、約翰與阿比蓋爾·亞當斯、亞倫·伯爾等人。」

政府則主張法院無權介入此事,且所謂的「言論」僅屬於功能性而非表達性,意味著其不享有第一修正案保護。Cohn回憶說:

「上訴人所提出的關鍵法律問題是:以電子形式發佈和傳播加密源代碼是否足夠具備『表達性』,從而落入既有的事前審查原則之下……」

早在20多年前,司法部法律顧問辦公室就曾指出,「要求先取得許可作為加密資訊『出口』的前提,明顯引發了第一修正案下事前審查的問題。」

Cohn強調道,「各機構早在20年前就已知道這個制度違憲,他們自己的律師也曾這麼告訴過他們。」

此案由自1980年起擔任聯邦法官的Marilyn Hall Patel負責。1995年,雙方在數月內向Patel法官提交了初步書面陳述,政府再次主張法院對此案無管轄權。隨後,國務院態度突然轉變。1995年6月29日,也就是在告知伯恩斯坦其Snuffle學術論文及其他相關文字意見需要CJR近兩年後,國務院推翻了原先的決定,儘管對程式碼本身的許可要求仍然存在。儘管目前尚不清楚促使這一立場逆轉的原因,但很可能是政府律師審查該部門的決定後意識到,試圖限制學術論文的傳播可能違反了第一修正案所保障的言論自由。

首場口頭辯論原定於1995年10月10日在舊金山舉行,以決定該案是否進入全面聽證階段。到此時,伯恩斯坦已完成博士學位,這大大增強了他作為一名科學家,其研究成果受到限制時的可信度。媒體詢問Gilmore,密碼龐克們是否會舉行示威活動,他回答說:「我們要展示的是,法律系統如何能反制那些目前挾持密碼技術作為人質的官僚與專制者。」EFF希望能讓法庭坐滿支持者。Gilmore告訴密碼龐克們,就像正在進行的Phil Karn案件一樣,「這場訴訟真正有可能使整個NSA密碼出口詐騙案宣告非法」,他甚至宣布了一個「密碼龐克盛裝日」以支持伯恩斯坦,並開玩笑道:「嘿,我曾見過Tim May穿西裝,何不再見一次呢?」Gilmore提醒密碼龐克們,要在法官面前留下正面印象,建議他們「橫幅和煽動性T恤可能不是好主意……我們在法院內必須保持安靜有序。」對於一個包括渴望見到政府被推翻的無政府主義者在內的集體而言,Gilmore必須認真防止他們的行動對案件造成不利影響。使用化名Attila的密碼龐克也同意,他們不應該以「一群反社會暴徒」的形象出現在法庭上,並敦促大家「對法官保持尊重——畢竟主角以及『法院』的舉止都會影響法官的判斷。」Gilmore告訴密碼龐克們,這場程序將「讓大多數旁觀者瞭解法院的運作,以及NSA和國務院如何利用官僚手段逃避面對真正問題。」他還開玩笑說,密碼龐克們將有機會「與特地飛來參加這次活動的NSA律師握手」——那位律師正是Susan Arnold,並由司法部的Anthony J. Coppolino陪同。

法庭辯論氣氛激烈。Patel法官提出了許多富有洞察力的問題,試圖瞭解第一修正案權利是否受到了限制。她並未僅僅拘泥於案件最狹隘的解釋,即是否應將Snuffle列入ITAR軍火清單,而是試圖探討軟體是否構成言論這一更廣泛的問題。對此,Coppolino回答說:「這並不是擺在您面前的問題。」政府不願就一般而言,源代碼是否屬於言論這一問題展開辯論,因為這將觸發更強的憲法保護,並設下更高的門檻來以國家安全名義推翻這些保護。Patel法官想知道,在某些情況下源代碼如何能被視為言論(例如當它用於驅動文字處理技術時),而在其他情況下卻不被視為言論;她問Coppolino:「如果在一個情境下是言論,那為何在這個情境下卻不是呢?」 Coppolino解釋說,問題最終是一個技術評估,即Snuffle是否屬於加密技術,而這一決定權在政府手中;對此,Patel法官回應道:「決定何為言論並不該由政府來決定。」

法庭爭辯持續了六個月,直到1996年4月,Patel法官才作出初步意見,這段等待對密碼龐克們而言是值得的。Patel法官猛烈抨擊政府的論點,並重申源代碼作為自由言論受到保護:

「本院認為,高級程式語言與德語或法語沒有實質上的區別……就像音樂與數學公式一樣,電腦語言僅僅是語言,它用以向電腦或懂得閱讀的人傳遞資訊……因此,即便Snuffle源代碼在本質上是功能性的,這並不意味著它不屬於言論範疇……就第一修正案分析而言,本院認定源代碼即是言論。」

Patel法官也針對政府主張Snuffle僅具有功能性而非表達性的論點進行了回應:

「被告在回應中主張,英文軟體描述只是告知智識,而源代碼則真正允許人們加密數據。被告似乎堅持,言論的實用價值越高,其言論性就越低。進一步推論,一旦語言能夠實際執行某些功能,例如演奏音樂或製作千層麵,該語言就不再是言論。這種主張的邏輯充其量令人質疑,其在第一修正案法理中根本找不到支持。」

針對政府主張法院對本案無管轄權的說法,Patel法官表示:「就憲法問題而言,司法部門不僅具備審理這些問題的專業知識,它還是這些問題的最佳且最終解釋者。」她補充說,「聯邦法院在涉及國家安全的憲法問題上一向都予以審理。」談到政府對Snuffle學術論文立場的逆轉,Patel法官寫道:「令人不安的是,被告如今聲稱,一項原本被認為不得受管制的項目,卻在近兩年間被歸類為防禦性物品並需獲許可,這一分類只有在原告提起訴訟後才被改變。」她進一步指出,關於Snuffle科學基礎的學術論文是「最受保護的言論」之一。Patel法官拒絕了政府要求駁回案件的請求,並命令該案進入全面聽證階段。

EFF在一份聲明中寫道:「這一決定對未來安全電子商務具有重大意義,並為擴展第一修正案對電子通訊的保護奠定了基礎。」John Young開玩笑對密碼龐克們說:「這結果證明,一個充滿龐克風格的法庭能如何影響盲目正義的天平。」為了慶祝勝利,Cohn組織了一場在Grey Whale Cove海灘舉行的排球勝利派對,她戲稱那是一個「可不著裝的海灘」,而Gilmore則轉發了邀請,並補充道:「記得我們多麼享受那次穿著銀行家服裝出席伯恩斯坦法庭聽證會,向法官展示我們的關心嗎?現在,是時候換上輕便服裝,來海灘慶祝這一成果了!」Cohn則打趣說:「第一個發現有裸露NSA人員的人可以贏獎!」

Cohn要求法院在伯恩斯坦獲勝或案件進入審判之間做出裁決,她辯稱:「無可爭辯的事實表明,ITAR制度是一個充斥著無限制自由裁量權和延誤的卡夫卡式程序迷宮。」到了1996年9月,政府再次要求駁回針對他們的訴訟,主張ITAR並未構成對科學出版物的事前限制。Cohn在要求駁回該案時表示:「被告再次毫不掩飾地企圖重寫歷史、忽略事實,並單方面消除本案中的爭議點。」她在致法官的信中大膽要求法庭宣布ITAR無效。

Patel法官於9月20日安排了一次聽證會,聽取雙方辯論。隨著第二次開庭日期的臨近,Gilmore又宣布了一個「密碼龐克盛裝日」,呼籲大家參與:

「看著那條細瘦的頸項上,惡劣密碼出口管制的絞索逐漸收緊!成為重拾你教學密碼學、分享密碼表達自由的其中一員!穿上那些由有權勢與知名人士常用的儀式服裝!」

在法庭上,與刻板印象相反,政府僅有一位律師Anthony Coppolino面對代表伯恩斯坦的四位律師。Patel法官問Coppolino:「你們就只有你一個人嗎?……我原以為政府有一大群律師呢!」 Coppolino回答說:「不,我們是以精簡人力運作。」其中一個爭論的焦點是政府是否對伯恩斯坦的學術Snuffle論文進行了審查。政府解釋稱,學術論文在首次CJR申請時與伯恩斯坦的軟體混合在一起處理,雖然後來單獨針對論文申請了另一份CJR,但它仍然與Snuffle代碼被當作一個整體處理;Coppolino表示,「我們並無意規範他的思想或論文。」學術或科學思想的規範顯然屬於第一修正案保護的範疇,法官花了大量時間探討這一議題。Coppolino以簡短的言辭為政府辯護道:

 「不關心那個思想。思想是自由發表的。演算法常被公開以供同行評審……演算法、理論都被公開。會議上也會討論這些事。對此不必在意,重點在於思想在電腦上實際轉化為功能的實現。」

Cohn則主張政府要求法官:

「創造一個基於所謂『功能性』而獲得較低保護等級的新類別。這個概念並未得到妥善定義……這是非常危險的。根據現有案例法,絕對不存在一個基於功能性而獲得較低保護等級的言論類別,而且他們也未提供任何相關案例。」

經過對此議題的長時間探討後,辯論又回到源代碼是否構成言論的問題上。Patel法官很可能知道此案最終將上訴至更高法院,她表示,未來會有更多具有「或許更具智慧」的法官,允許政府對她先前認定代碼屬於受憲法保護言論的觀點提出異議。

一個月後,Patel法官作出了她的判決意見。她重申源代碼是言論,理應受到第一修正案保護,僅在戰爭時期為防止「對國家造成直接、即時且無法彌補的損害」而予以限制,而政府防止密碼「言論」的理由並未達到這一標準。Patel法官裁定,ITAR並未對許可方的裁量權設置「哪怕是最基本的限制」,從而無法緩解因任意或歧視性許可決定所帶來的危險。她對ITAR軍火清單的譴責集中在這一點上,並表示:「該清單明確針對應用科學研究以及關於加密話題的言論。僅僅因為出於國家安全的考慮而規範加密,並不足以單獨證明事前審查的正當性。」Patel法官還批評ITAR決策中缺乏時間限制及司法審查機制,也就是說,「ODTC沒有義務向法院證明其拒絕的正當性。」因此,根據這些缺陷,Patel法官認為軍火清單「構成了對第一修正案的違憲事前審查限制」,因此該清單「無法執行」,伯恩斯坦因此免於起訴。數位隱私社群對此裁決歡欣鼓舞。Gilmore評論說:

我們很高興看到Patel法官明白,我們的國家安全同時需要保護我們基本的言論自由和隱私權。毋須「燒毀憲法以拯救憲法」。那些以國家安全之名數十年來限制這些權利的神秘官僚,必須更深入地理解如何支持並維護我們的民主。

Jim Bidzos說:「這是密碼戰爭中的一個積極信號——這是政府部門中第一次就密碼政策發表理性的聲明。」Greg Broiles則提醒密碼龐克們:「儘管這項裁決在歷史、文化和象徵意義上都具有相當價值,但假定它意味著加密出口限制已經完結是很危險的。」而「The Deviant」(化名)則持不同觀點,認為結果普遍具有正面意義,他說:「一位法官聲稱他的裁決僅適用於一個人,這並不重要;他的決定可以,且很可能會,在其他案件中作為先例,而這正是它所帶來的真正益處。」

在Patel法官裁決幾個月後,克林頓總統於1996年11月15日發布行政命令13026,將非軍事加密技術的管制權移交給由商務部監督的《商務管制清單》。《商務管制清單》是出口管理規定(EAR)的一項工具。違反EAR可能面臨最高25萬美元的罰款和十年的監禁。作為對伯恩斯坦案的可能回應,該行政命令中包含了如下語句:

「加密軟體的出口,就如同本節所描述的其他加密產品的出口,必須受到管制,其原因在於軟體所具備的功能性,而非其資訊價值。」

克林頓總統還指示,若新條款證明不足,加密技術將再次受ITAR管制。新規定於12月30日發布,其內容與過去四年來伯恩斯坦和其他人所爭取的條款驚人地相似。John Gilmore稱這種權力轉移是「毫無意義的空殼遊戲……這完全是他政治決定的問題,他可以選擇忽視並激怒業界領袖,但他無法忽視聯邦地方法院的法官。」Cindy Cohn評論道:「政府顯然選擇忽視Patel法官的發現……他們沒有試圖修正規定,而僅僅是發布了同樣問題的新規定。」她表示,他們將回到Patel法官面前,要求宣布這些新規定在表面上違憲,這一次他們認為全國性禁止執行這些規定是應當的。

在1997年8月的意見中,Patel法官在雙方重新陳述論點後表示,她並不相信政府的意圖是「通過將監管輪換於各部門之間來迴避其規定的憲法缺陷」;然而,她對新規定提出了嚴厲批評。Patel法官同時表達了對雙方的挫折感:   

「本院僅僅就源代碼屬於第一修正案保護的言論作出狹義認定,並不足以將加密技術從所有政府管制中剔除。原告通過誇大第一修正案的作用,假設一旦涉及言論,其後果就變得微不足道;而被告則通過不斷地稱之為『僅僅是言論』或『僅僅是想法』來淡化言論的重要性,並假設言論的功能性可以與言論本身分割開來,這種邏輯極其可疑。」

Patel法官指出,新規定「對言論的友好程度甚至不如ITAR」,而且「對印刷品的例外……是如此不合理且行政上不可靠,以致它只會加劇自我審查的可能性。」她進一步批評說,這種劃分「幾乎毫無意義,也難以成立」,並譴責缺乏評估申請標準,認為該規定「似乎未對機構裁量權設置任何限制。」Patel法官引用了最近的一個最高法院案件(Reno訴美國公民自由聯盟案),該案認定網路上的言論應享有第一修正案保護。將此裁決應用於加密技術,進一步重申「依據傳統第一修正案分析,對於同一材料根據傳輸媒介的不同而採取截然不同的處理方式,不僅是不合理的,而且可能是不允許的。」Patel法官宣布,EAR在事前審查方面違憲,並賦予伯恩斯坦免於其執法的豁免權。然而,雖然Patel法官認為她可以就EAR的違憲問題頒布全國性禁制令,但考慮到所涉法律問題「新穎、複雜且關乎公共利益」,她認為在上訴期間,禁制令的範圍應盡可能窄小。

伯恩斯坦說:「這真是太棒了,我希望在法律再次改變之前,能夠發表我的一些想法。」EFF的執行董事Lori Fena則表示:

「再一次,這需要聯邦法院來釐清技術與憲法之間的關係……讓這一決定向政府的另外兩個分支發出信號,當制定與網際網路有關的法律時,他們必須履行維護憲法的誓言。」

John Gilmore寫道:

「我們創造、使用及部署加密技術的權利,源自於我們基本的民事權利——言論自由、新聞自由、不受任意搜查、正當法律程序以及隱私權。Patel法官已經在第一修正案中確認了這些根基。我們的開國元勳使用加密技術——甚至發明了一些加密技術——並未意圖在權利法案中留下任何『加密例外』。」

在密碼龐克郵件列表中,Vladimir Z. Nuri對Patel法官對規定的裁決感到欣喜若狂,他說:「這裁決是對由一個失控政府所制定的、在所謂國家安全愛國外衣下進行秘密操作的規定的一個勝利,我真誠希望這是那欺詐性結構倒塌的第一根稻草……讓這整個腐敗的結構像一座腐爛的紙牌屋一樣倒塌。」

司法部隨後申請並獲准對伯恩斯坦的禁制令實施暫停,理由是他的行動對政府利益構成了「直接且無法彌補的損害」。

到了1999年夏天,第九巡迴法庭的一個由Myron H. Bright、Betty B. Fletcher和Thomas G. Nelson組成的三人小組審理此案。Fletcher和Bright同意Patel法官的原始意見,而Nelson則持不同意見,最終伯恩斯坦以2比1獲勝。聯合意見認為,

EAR規定:(1) 運作起來就像一個出版前許可制度,對科學表達造成負擔;(2) 給予政府官員無限的裁量權;(3) 缺乏足夠的程序保障。因此,我們認為,被挑戰的規定構成了對言論的事前審查限制,冒犯了第一修正案。

Fletcher指出,法院關注的重點在於伯恩斯坦「發表言論的權利,而非外國聽眾聽取的權利。」她認為,出口定義過於廣泛,包括在網路論壇上發表以及與外國公民進行國內通訊,這意味著「我們認為很明顯,這些規定在國內外多個方面都可能限制伯恩斯坦的言論自由。」Fletcher重申判決認定「源代碼僅僅是文字,雖然這些文字必須符合嚴格的格式和標點要求。」她寫道:

 「雖然以淺顯的英文或一般的數學術語表達這樣一個系統可能是有用的,但對於密碼學家來說,魔鬼往往藏在演算法的細節中。通過使用源代碼,密碼學家可以以極高的精確度和方法論的嚴謹性來表達演算法思想,這是其他方式難以達到的。」

根據此,Fletcher 法官認為:

以源代碼形式存在、且在密碼學領域中被運用的加密軟體,必須被視為具有表達性的言論,因此有權享有事前審查禁制令的保護。

Fletcher 法官猛烈抨擊政府的論點,她寫道:

「簡化到最本質的層面,這種論調認為即使只有一絲『直接功能性』也能壓倒任何原本屬於表達的憲法保護……我們拒絕認為功能性的混合必然使表達失去憲法保護的觀點。」

在總結時,Fletcher 法官採取了更具哲學性的立場:

「無論我們是被政府、罪犯或鄰居監視,可以公平地說,我們保護自己隱私、抵禦窺探的能力從未如此低落。安全加密技術的普及與應用,或許能為我們奪回部分已失去的隱私。因此,政府限制加密的努力,不僅可能牽涉到那些試圖突破密碼學界限的密碼學家所享有的第一修正案權利,也可能影響到我們每一個人作為潛在加密技術受惠者所擁有的憲法權利。」

 「從這個角度來看,政府阻礙密碼學進步的努力,甚至可能觸及第四修正案的保障。」

Fletcher 法官最後作結:

「因為伯恩斯坦所挑戰的出版前許可制度,直接適用於科學性表達,並賦予政府官員無限的裁量權,同時又缺乏足夠的程序保障,我們認定它構成了一種不可接受的事前審查限制。」

而在異議中,Nelson 法官則主張,加密源代碼的主要用途在於加密,儘管它「偶爾也可被用於表達性目的,但本質上仍是一種功能性工具。」Nelson 還指出,「在絕大多數情況下,加密源代碼出口是為了傳遞功能,而非用來傳達思想……只有少數人能真正理解一行源代碼會指揮電腦做什麼。」

政府迅速提出上訴,要求由十一位法官組成的全院合議重新審理此案,理由是該案的重要性。政府認為先前的聽證存在錯誤,而司法多數那「非同尋常的結論」則為加密產品的不受限制出口打開了「大門」。

Cohn 對政府的上訴並不感到意外,她評論說:「這正是政府有意拖延對伯恩斯坦教授以及數以百萬計因加密規定而受限的人伸張正義的時間。」第九巡迴法院投票決定重新審理此案——之前由三位法官作出的裁決被撤回。

1999年10月,在重新聽證尚未開始之前,白宮宣布了一系列出口規則的修改——該案將暫停至2000年3月,以便分析這些變更可能對伯恩斯坦案產生的影響。這些出口修改屬於一個更廣泛的「新方法」,旨在管理密碼學,其催化因素是國會內幾項支持密碼學法案所施加的壓力。國家安全事務副助理James Steinberg 表示:「我們今天所提出的……比目前提交給國會的提案,對這個問題提供了一個更為平衡的處理方法。」新規則宣布後,任何大宗生產的加密產品(例如大規模生產的產品),無論密鑰長度如何,都可以在無需許可證的情況下出口(根據一項許可證「例外」)給個人、企業以及非政府終端用戶,除七個被指定為支持恐怖主義的國家(古巴、伊朗、伊拉克、利比亞、北韓、蘇丹與敘利亞)之外。密鑰長度超過64位的零售加密產品則可以出口給所有終端用戶,包括政府,但同樣排除那些支持恐怖主義的國家。新出口制度的運作基於三個原則。首先,在銷售前,將對加密產品進行一次性技術審查;其次,對使用超過64位密鑰的加密產品銷售後,將實施出口後報告制度;第三,政府將有機制審查出口給外國政府、軍事組織以及「關注國家」的加密產品銷售情況。關於技術審查,國務院副部長William Reinsch 將重點描述為將產品歸類為零售或定制產品。可以推測,對於政府來說,組建專案小組以在全球有限數量的加密演算法中發掘可利用的漏洞,在經濟上是較為高效的;但若市場上充斥著大量定制化的演算法,則在經濟上就不那麼可行。因此,政府很可能會在允許針對單一客戶或少數客戶的大量定制加密演算法進入市場之前,設置額外的審查機制。商務部長William Daley 表示:「這些監管變更基本上為強大美國加密產品的整個商業市場敞開了大門。」

在白宮新聞發布會上,當被問及政府是否認為能夠破解超過64位的加密時,檢察長Janet Reno 回答說(這回答可能令NSA感到不安):「我們已經仔細研究過這個問題,認為這是可能的。」 Bruce Schneier 評論說,這一政策變化「標誌著政府對強加密長期以來敵視態度的逆轉。」政府則辯稱,這並非加密出口規則的「放寬」,而是如國防部副部長John Hamre 所言:「這是一種非常不同的做法,規則非常、非常簡單,每個人都能理解,」與此前那一系列複雜的出口法規相比——但毫無疑問,這是一個顯著的放寬與立場逆轉。

2000年1月14日,針對加密規則的變更正式公佈。變更內容包括針對開源軟體的具體更新:

對於未受明確協議約束、免收許可費或權利金的加密源代碼,只要它是用於商業生產或銷售的產品開發,就可以在無需審查的情況下……根據許可證例外規定進行出口和再出口。

出口者必須在出口或將相關內容上傳至網際網路時,以電子郵件通知商務部。即使在已知恐怖主義國家可能下載該內容或這些國家是像sci.crypt這樣的更大新聞組的活躍訂閱者的情況下,上傳資料也不會被視為EAR所定義的「知識」或禁止出口。對於向從事此源代碼工作的外國人提供「技術協助」,同樣屬於例外範疇。向政府、網際網路及電信供應商銷售加密產品仍將受到嚴格控制。申請人可在提交分類申請後30天內出口,除非政府另有通知;但若「審查進展不符合適當程序」,政府可「暫停該許可證例外資格」。64位對稱加密也將被視為大眾市場軟體/零售軟體,意味著在通過保密審查後便可出口。

美國公民自由聯盟(ACLU)、EFF與EPIC於2000年1月12日聯合發表聲明,對新的加密出口規定作出回應。各方認為這些規定在某種程度上取得了進展,但他們也認為「根本性的憲法缺陷……尚未得到糾正。」各方指出的缺陷包括:政府仍需在電子形式出口公開可獲得的源代碼時進行通知,儘管這些代碼以紙本形式時是可以自由出口的;各方主張這些規定仍屬於「完全依賴政府裁量的許可制度」,而且透過阻止傳輸非公開的源代碼,仍然違反了第一修正案;此外,規定仍然禁止向外國國民提供「技術協助」。Whitfield Diffie 與 Susan Landau 對這些變更則持較為正面態度:

「新規則……是企業需求與情報界需求之間的一個巧妙折衷。由個人、少數團體或小公司使用的產品基本上可以自由出口。而用於保護大型通訊基礎設施的產品——而美國情報機構的主要目標正是國家通訊系統——則被明確排除在零售範疇之外。」

EFF的律師Shari Steele 評論說:「政府確實做出了一些讓步,但這些讓步不足以使這些規定符合憲法。」ACLU的副主任Barry Steinhardt 則承認這些新規定是一個「進步的一步」,但他認為,既然政府已「默許其無法也不應控制加密技術的使用」,那麼它應該宣布一個簡單的放寬措施,而不是一個監管迷宮。律師事務所Thelen Reid的技術與知識產權部門主席Dean Morehous 也認同有所改善,但仍對新規定提出批評:

「儘管新規則顯示出政府依然抱持著一種『加密不擴散』的態度,即使面對的是已在國內外廣泛流通的技術。新規則令人畏懼的複雜性以及隨時可能面臨的嚴重制裁,正好服務於這種政策取向。」

兩天後,Cohn代表伯恩斯坦致信商務部戰略貿易與外交政策管制部門主任James Lewis,請求對這些新規定給予澄清,她形容這些規定「既複雜又模糊」。Cohn特別關注於印刷與數位代碼規則之間的持續差異,以及直接由公開源代碼(例如出售而非免費發佈的代碼)生成的機器/目標代碼是否將適用不同的指導原則。Cohn還指出,對於未公開的「受保護言論」(即源代碼)仍然要求取得許可證,且政府限制缺乏持續的司法監督。

Lewis 立即回覆,表示伯恩斯坦的「擔憂是毫無根據的……新規定不會干擾你所描述的伯恩斯坦計劃中的活動。」Lewis 確認機器代碼在新規定下是可以出口的。這一聲明被伯恩斯坦及其法律團隊認為與規定相矛盾。Lewis 最後寫道:「從全局來看,新規定僅要求在以電子形式出口加密源代碼時,同時向政府提供通知,並且該軟體不得明知且直接地出口到受限制的目的地。」儘管如此,稍後在當年,商務部又對EAR作出多項修改,以使其與返還給伯恩斯坦的指導意見保持一致。伯恩斯坦繼續與商務部協商,爭取進一步修正他認為妨礙其學術工作的監管語言;然而,到2001年9月,與商務部的接觸惡化,且再無其他監管修改。

伯恩斯坦的案件成為歷史上最具影響力的案件之一——它迫使司法界對出口規定的合憲性進行了徹底審視,最終使得加密技術被認定為一種受自由言論保護的表達形式,並迫使監管條例做出重大讓步。但他的案件僅僅是三個通過法院程序並達成這一整體效果的案件之一,第二個案件是關於Bruce Schneier與Phil Karn的案件。