论信息安全的道德防线

作 者:
吕耀怀 

作者简介:
吕耀怀(1956-),男,湖北黄陂人,教授,哲学硕士,研究方向为科技伦事学。 吕耀怀,中南大学 哲学研究所,湖南长沙 410083

原文出处:
《自然辩证法研究》

内容提要:

信息安全不仅需要技术、法律层面的保障,而且需要构筑必要的道德防线。对于信息安全负有道德责任和道德义务的人员大致可以分为三种类型:信息技术的使用者、开发者和信息系统的管理者。与此相对应,可以设定有关信息安全的三个系列的道德准则。黑客伦理作为黑客亚文化群的行为准则,既可能导致危及信息安全的行为,也可能具有一定的积极的道德意义。


期刊代号:B8
分类名称:伦理学
复印期号:2001 年 02 期

关 键 词:
信息安全  道德准则  黑客伦理 

字号:

      1 信息安全问题:意外的或故意的

      由于计算机技术,通讯和远程通讯手段的广泛运用,信息业正在以惊人的速度发展。因特网使地球变小,人们比以往任何时候都更容易传播、存取和交流信息。而与此同时,信息安全问题也日益变得严重,愈来愈为人们所关注。人们普遍认识到:信息非常需要安全保障,没有必要的安全保障,信息就可能被非法地窃取,就可能被某些别有用心的人用来损害他人的合法利益。

      就大多数情况而言,信息安全问题是由人的行为引起的。归纳起来,使信息安全发生问题的行为无外乎两种类型:意外的和故意的。信息存取人员或信息系统的使用者由于粗心、疏忽大意等原因,在操作中不慎损坏了信息系统的软、硬件,或不经意间泄露了信息数据库中的保密信息,因为他主观上并无追求产生如此后果的故意,故这样的行为属于导致信息安全问题的意外行为。这种行为虽然是非故意的,但其引起的后果也往往可能是严重的:信息系统可能因此而运转不良甚至于瘫痪,信息所有者的合法利益亦可能面临被损害的危险。

      更为严重的是造成信息安全问题的大量故意行为。这样的行为花样百出,形式不一。有人可能纯粹出于恶作剧或报复目的,非法使用信息手段,把别人的信息系统搞得一塌糊涂;也有人为了获取钱财、情报等,而非法地侵入有关信息系统。前者如编制逻辑炸弹(“定时炸弹”)、“蠕虫”之类的非法程序,或以大量的垃圾信息密集轰炸特定网站,致使计算机系统的软、硬件受损或网站无法正常工作。后者如侵入银行的信息系统,使用“意大利香肠”、“特洛伊木马”等非法技术手段盗取钱财;侵入竞争对手的信息系统,盗取有关的商业机密等等。无论这样的行为采取何种方式,其共同点有二:一是行为主体都有主观上的故意,二是导致受攻击方的既得利益或可得利益的损失。从目前情况来看,使信息安全遭受威胁的故意行为有越来越多且越来越严重的趋势。

      为了保障信息安全,人们已经或正在采取一系列的技术措施与法律措施。

      从技术层面上看,可以采用“防火墙”、数据加密等技术手段保护信息系统,可以研制和开发用于杀灭病毒或增加信息系统对于病毒的“免疫力”的反病毒软件。目前,为保障信息安全而创造的技术手段已有很多,而且还在继续研制和开发。通过采用这样的技术手段,在一定程度上确实提高了信息系统的安全系数。

      从法律层面上看,应当说,法律以其强制性特点而能够成为保障信息安全的有力武器。事实上,信息立法的不少内容都涉及到信息安全问题,如:美国的《反计算机诈骗和滥用条例》,英国的《反计算机滥用法》、《数据保护法》等等。以这样的法律为依据打击破坏信息安全的各种违法、犯罪行为,可以明显减少对于信息安全的威胁。在我国,有关信息安全的法律、法规也在逐步健全。1997年10月1日颁布的新《刑法》规定:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机系统,处三年以下有期徒刑或者拘役。而违反国家规定对计算机信息系统进行删除、修改、增加、干扰,造成计算机系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。新《刑法》还对故意制作、传播计算机病毒等破坏程序和利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的各种行为,作出了相应的定罪处罚规定。

      虽然技术层面、法律层面的保障对于信息安全是必不可少的,但仅有这样的保障又是不够的。斯皮内洛指出:“从某种程序上来说,安全技术落后于计算机技术的发展。”[1]相对于信息技术的突飞猛进,信息安全的技术手段总是显得不够完备。而且,安全与反安全的技术较量也似乎不会止息:无论用于信息安全保护的技术手段如何改进,它总会遭遇企图破解或规避这种手段的不法分子的挑战。法律虽然是一种有力的武器,但相对于信息领域日新月异的变化,相对于不安全因素的层出不穷,有关信息安全的法律保护又往往因立法程序问题而显得姗姗来迟。此外,信息立法只规定对于那些威胁信息安全的严重行为的惩处,而大量次一级的行为则可能游离于法律的边缘或法律之外。

      为了使信息安全能够获得更深层次的保障,以补技术保障与法律保障之不足,人们有必要诉诸道德,从道德层面来考虑信息安全的进一步保障问题。

      2 信息安全保障的道德层面

      从道德层面考虑信息安全的保障问题,至少应当明确:在信息安全问题上,什么人负有特定的道德责任和义务?这些道德责任和义务有那些具体的内容?对于信息安全负有道德责任和义务的人员大致可以分为三种类型:信息技术的使用者、开发者和信息系统的管理者。为了保障信息安全,这三种类型的人都应履行特定的道德义务,并要为自己的行为承担相应的道德责任。根据其活动、行为的不同性质及与信息安全的不同关系,可以为这三种类型的人拟定各自应遵循的主要的道德准则,从而形成三个不同的道德准则系列。

      系列1:信息技术的使用者的道德准则

      (1)不应非法干扰他人信息系统的正常运行;

      (2)不应利用信息技术窃取钱财、智力成果和商业秘密等;

      (3)不应未经许可而使用他人的信息资源。

      系列2:信息技术的开发者的道德准则

      (1)不应将所开发信息产品的方便性置于安全性之上;

      (2)不应为加速开发或降低成本而以信息安全为代价;

      (3)应努力避免所开发信息产品自身的安全漏洞。

      系列3:信息系统的管理者的道德准则

      (1)应确保只向授权用户开放信息系统;

      (2)应谨慎、细致地管理、维护信息系统;

      (3)应及时更新信息系统的安全软件。

      在系列1中,准则(1)、(2)、(3)所针对的大多为引起信息安全问题的故意行为。准则(1)和准则(2)所禁止的行为,是对他人利益造成直接危害的行为。无害于他人,是道德的最低要求,连此最低要求都达不到的行为,自然要列入道德准则禁止的范围。准则(3)所禁止的行为,可能造成但也并非一定造成实际的损害,但即使是未造成实际损害的这类行为,在道德上也无法获得支持。斯皮内洛指出:“一般都认为即使没有任何直接的损害,电子侵害本身就是错误的。当进行电子侵害时,侵害者便违反了对财产权的尊重,而尊重财产权是重要的道德和社会价值。”[2]

相关文章: