互联网空间的可规制性(regulability)是《代码》一书论述的起点。众所周知,早期流行的技术乌托邦论调——或称“互联网例外主义”(Internet Exceptionalism)——鼓吹互联网无法规制,其基本逻辑即所谓“互联网上没人知道你是一条狗”:如果网络空间中的行为人身份难以辨识、行为发生的物理位置难以确认、行为实现目的所借助的数据传输过程无法被加以区别对待,那么对相关行为加以规制的确极为困难。但莱西格认为,即便这些描述符合互联网早期的技术架构特点,也不意味着不可规制性(unregulability)是互联网的本质;恰恰相反,技术是弹性的,无论是商业利用还是政治控制的需要,都将不断推动那些增强互联网可规制性的技术——身份验证、数据标识和物理定位——被广泛采用。到《代码》2.0版本问世时,莱西格已经在序言中明确宣告自己的看法胜出,而曾在《代码》1.0中被莱西格视为主要反题的互联网例外主义论调则已然式微。
互联网的可规制性在《代码》一书的理论框架中扮演着重要地位,它是探讨“如何规制”与“谁来规制”这两个“正题”的必要前提。只有互联网具有可规制性,莱西格的标签式命题——“代码即法律”(code is law)——才有足够的理论意义。在描述层面上,“代码即法律”意味着互联网的技术架构(architecture)——也即“代码”——本身就是一种规制的力量,它能够对人们在互联网中的行为产生具体约束,而设计和运用代码的能力因此也可被视为一种规制权。在规范层面上,“代码即法律”还意味着人们需要考虑基于代码的互联网规制是否可欲;特别是,如果“法律”一语常常被理解为包含了某种规范合法性概念,那么当代码及其背后的商业、技术和政治利益以相对不甚透明的形式行使事实上的规制权时,自然也会面临正当性方面的疑问。
不出意料,作为一部法律理论作品,《代码》不甘心只在描述层面解释互联网依靠代码规制的原理,而是将其论证拔高到了有关价值选择的规范层面。在莱西格看来,既然互联网是可以规制且必将受到高度规制的,那么网络规制的阵地,民主和公共利益不占领,私人利益集团就会占领。而莱西格悲观地认为,对司法审查的过度依赖,以及立法政治的过度腐败,使得美国既有体制无法在互联网趋向规制的大势面前,有效地做出符合自由左派意识形态的价值选择。但不难看出,莱西格对民主政府肩负公共政治责任、在互联网规制中扮演公共利益的代表,至少是抱有强烈期许的。
作为一个描述性命题,“代码即法律”今天仍保持着福柯式的穿透力;作为规范性命题,它也仍能引发对政府规制抱有更多同情理解的自由左派的共鸣。但苹果手机解锁事件表明,商业对莱西格式的自由左派逻辑吃得很透。在与政府的长期博弈过程中,技术企业对前者以“代码即法律”作为——无论真诚或虚伪的——规范依据要求其承担某种公共责任这一风险,始终保持着相当高的警惕,并不断寻求抵制此类要求的适应性策略。而商业与政府之间的这种互动态势,使得“代码即法律”命题的涵义变得十分微妙。
具体而言,技术企业在面临公共责任承担风险时的主要适应性策略,似乎是赋予“代码即法律”以某种新的解读,藉此首先来论证自身在一些领域中行使规制性权力的合法性。早在1990年代后期,美国的技术企业就曾与克林顿政府之间发生过一场颇受关注的数据加密之争(crypto wars),而这场争端以技术企业胜利、政府未能成功推行可保证政府享有数据后门的Clipper芯片标准告终。此后,商业企业通过代码,成为了正式法律之外用户“合理隐私预期”的实际规制者。而至少就近些年的表现来看,苹果公司更是试图全力扮演一种引领最高保护水准的隐私立法/规制者的角色。如前所述,在本次解锁事件发生之前,苹果公司声称为了最大限度保护用户的设备和数据安全,已在技术上消灭了包括公司自身在内所有第三方进行硬件设备解密的能力。而就在此之前不久,美国最高法院实际上刚刚通过一个判例,确立了要求警方在查看智能手机内数据之前向法院获得搜查令的规则。考虑到苹果在更早前已对其提供传输服务的通讯数据(如iMessage和Facetime)实施了“端对端加密”(end to end encryption), 此番进一步落实“设备/全盘加密”(full disk encryption)措施后,对于至少一部分苹果手机用户的数据来说,无论其在传输途中(in transit),还是已停驻在设备上(in rest),苹果都可以号称对其完全无从知悉、也无法获取。而如果苹果真的借此为自己关上了全部“后门”,那么即使刑侦部门遵守宪法的正当程序规则,从法院获取搜查令,拿到苹果面前也只能是一纸空文。
在斯诺登事件之后,如何规制政府基于国家安全和司法调查等公共利益理由获取个人数据的行为,在美国乃至西方各国始终饱受立法和司法层面的争议,很难找到令各方满意的解决方案。在这种背景下,苹果采取的这一技术举措,堪称运用代码实现规制的经典案例,因为它本质上是在用技术手段率先“解决”了一个政客和法律人纠缠不清的问题。开个半认真的玩笑,“代码即法律”,完全可以被用作苹果手机的下一则广告语:既然商业的代码更能“解决”用户数据隐私范围的界定问题,那么让代码享有规制权,难道不可谓合理、合法?
在逻辑上,这种能够为商业势力拓展其潜在规制领域的策略,无疑应被理解为具有进攻属性。但这种策略的微妙之处却又在于,其具体展开路径是以退为进:恰恰是为了规避莱西格意义上的“代码即法律”对事实意义上的规制者提出的公共责任要求,技术企业始终拒绝放弃“不可规制性”论调,并持续不断地投资于增强这一论调的说服力。从因允许用户兜售带有纳粹标识物品吃官司的雅虎, 到前些年被欧洲法院要求保护个体“被遗忘权”的谷歌, 再到太平洋这一头因涉黄而遭严厉制裁的快播 ——可以看到,一面是“代码即法律”被莱西格等人定调为不容置疑的现实,而另一面,技术企业每次出事,都仍要祭出“不可规制”为自身行为辩护,屡战屡败,却依然屡败屡战。这显然就不能解释为后者始终不开窍、没有理解“代码即法律”的原理了。事实上,如果“代码即法律”在规范层面意味着“规制即责任”,那么站在商业的立场上,只要无法实现与政治权威合一,成为真正至高而不受约束的立法者和规制者,那么在其不愿负责的时候,竭力避免被扣上“规制者”的帽子,就是更好的选择。
而苹果公司近年来的加密措施升级,则不仅是试图保留其在事后运用“不可规制性”进行抗辩的能力,而且更是积极主动、先发制人地自缚双手,期望通过制造事前的“不可规制性”,达到一劳永逸的效果。当苹果走出设备加密这一步之后,无论政府认为“代码”是或不是法律,苹果都将能最大限度地从有关用户数据的法律争议中抽身出来。在这个意义上,与其说苹果是为涉及数据保护的法律争议找到了技术解决方案,不如更贴切地说,苹果为自身摆脱法律争议和公共责任,找到了一个基于代码的方案。
这对于商业企业来说当然是理性的策略。但站在社会的立场上考虑,数据加密这样一个原本涉及政府、厂商和公众/消费者三方的棘手问题,由于苹果自我营造的超然地位,被压扁成了政府与公民的二元冲突,而后者未必是解决数据隐私问题的最优结构。就事件后续发展来看,FBI在法院举行听证之前,宣布其通过未具名的“第三方”提供的“技术协助”,实现了对涉案手机的成功解锁,由此放弃了基于法律程序谋求苹果协助的尝试。显然,FBI在启动法律程序之前并非没想到这一招,而其选择诉讼的最大预期收益,则是获得有利的法律先例,从而掌握对代码的控制。放弃诉讼意味着政府承认对法律程序的效率和结果均无把握。但政府能够从第三方买到高效解密方案,这也足以令苹果无法从此事件中全身而退:消费者不难发现,所谓“最高安全标准”,也不过如此!
既然苹果并无法真正关死“后门”,而只是在迫使政府执法时必须频繁动用包括黑客在内的法外资源,那么政企两方围绕加密展开的技术军备竞赛就只有持续下去。尽管技术专家一致强调为政府提供数据“后门”将带来重大安全隐患, 但既然黑客不需要后门也从来都能畅通无阻,那么,给予政府在“一事一议”的基础上保留获得数据的能力,其可能使公众和消费者面临的额外数据安全风险,真的就一定大于因政府拥有更强执法能力而可能产生的边际公共安全收益吗?至少,正如政府一方指出的,过往经验并不能支持这种权衡结论。而如果这场军备竞赛的结果更多体现为政府获取信息成本的提高,而不是公众享有的实际数据安全水平的有意义提高,那么军备竞赛所造成的资源消耗是否真有价值?这些都不是应单纯交由技术企业定夺的权衡。但假如技术企业可以借助自身制造的不可规制性而为法律所无法触及,那么它实际上就以一种相当隐蔽的方式获得了决策权。而“代码即法律”的一层重要规范意义,由此就遭到掏空——但讽刺的是,这难道不是《代码》本身为技术企业给出的提示?