计算机技术风险的生成与治理

科学技术的进步与广泛应用，在造福人类的同时也具有出现重大问题的不确定性，孕育着巨大的风险。所谓风险就是指在一定条件下某种现象是否发生，及其是否造成损失和损失程度的不确定性。〔1〕显然，技术风险是潜在的、有可能发生的危险，其发生概率和结果都具有不确定性。〔2〕技术风险的不确定性与技术本身的特性和社会应用程度密切相关，越是重大技术或广泛应用的技术越是存在着社会风险。计算机实现了人类社会的信息革命，但是其漏洞存在信息安全隐患，当计算机广泛应用于工业控制、交通、电力、武器指挥控制等系统之中时，信息风险还暗含了大规模物理毁坏的可能。通过分析计算机漏洞这一具有代表性的问题，有助于认识技术风险的生成原因与社会治理问题。

一、技术风险的种类划分

技术风险是一个客观存在的社会现象，它存在于技术的社会应用过程之中，是技术体、人和社会因素等综合作用形成的产物，依据来源可以将技术风险划分为本体性风险、主体性风险和政治性风险等不同类型。1．本体性技术风险。一项技术产品总是要经过反复摸索、试验、修改和完善，但即便如此也总是存在设计上的不足而存在风险。“风险不是外在于技术的社会特征，而是技术的内在属性之一。”〔3〕美国学者查尔斯•佩罗提出了“正常事故”的概念，即每个技术环节上存在的合理偏差，累加起来就有可能形成技术风险。〔4〕比如汽车、飞机、轮船等技术品都存在失灵的风险，这些风险与操作者没有关系，是技术自身的缺陷所致。漏洞是计算机系统无法避免的缺陷，它所产生的首先是本体性风险。所谓漏洞是计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷，这些缺陷以不同的形式存在于计算机信息系统的各个层次和环节之中。〔5〕一般情况下，漏洞的存在并不影响计算机的运行，但是一些偶然因素比如错误使用、外部袭扰、不兼容等就会导致出现故障甚至是事故，尤其是漏洞的存在为非法利用和恶意攻击保留了“后门”。计算机通常由网络连接在一起，联网计算机的漏洞就成为了某个局域网的漏洞，单个计算机的风险就扩大为了局域网中所有计算机的风险。当计算机作为信息处理装置嵌入到各种控制系统中时，计算机漏洞就成为了整个控制系统的漏洞，其所连接的各种实体设备也就面临着被攻击破坏的风险。“技术复杂化需要在技术中添加更多的技术元素，因此技术的潜在风险也就更难以预测，而且复杂化的技术带来新的危害也不会即时地出现在技术使用者面前。”〔6〕计算机装置已经深入渗透到人们生产生活的各个领域，计算机漏洞则把风险带到了各种技术系统之中，在社会各个领域孕育出风险。工厂中的生产控制系统、城市交通信号系统、铁路调度系统等都需要计算机对信息进行传输处理，进而对实体设备进行控制，倘若计算机漏洞被攻击而导致信息系统瘫痪，就会导致灾难性后果。2．主体性技术风险。技术应用离不开操作者即人，技术风险中很大一部分是主体性风险，主体无意或故意的不当行为产生出大量风险。人的理性具有局限性，人对技术的应用就是有限理性下的感性行为，所以技术应用过程中总是存在技术风险。人们在使用计算机时追求方便快捷，一些能够带来安全收益的防护措施往往被看作多余而被忽略，有的操作明明具有风险性却屡屡发生。例如，即使安装了防火墙、杀毒软件等，使用者却总是疏忽于病毒库和系统程序的更新升级，在疏于防范的同时却又在互联网上随意点击链接，极易受到攻击。正如计算机软件专家所指出的那样，“即使我们穷尽一切办法测试软件，最终所有涉及软件的事故总是产生于不安全的应用请求。”〔7〕很多技术风险是在操作不当中形成的。有的技术风险是故意不当行为造成的。漏洞本质上是一种缺陷，需要人们共同努力加以弥补，但是却有人恶意发掘、囤积、利用漏洞，就生成了新的技术风险。有的发烧友纯粹是出于个人爱好而发掘漏洞，从中获得满足感和成就感;有的黑客或组织则是出于政治或经济目的而发掘漏洞，然后再通过利用漏洞而达成具体的目标。把漏洞发掘出来就已经使潜在风险性浮出水面，倘若用其来实施网络攻击以达到信息窥探、远程控制甚至是物理破坏的目的，就会在互联网上孕育出更大的风险，甚至直接导致重大网络安全事件。事实上，围绕漏洞已经形成了黑色产业链，存在一批发掘、利用漏洞的从业者，这些人的行为导致大量技术风险出现。3．政治性技术风险。在政治需求推动下，一些具有杀伤力、破坏性甚至是毁灭性的技术被研发出来，这些技术本身就具有重大的风险性。比如核武器、生化武器等大规模杀伤性武器的保存、运输、销毁都存在泄露沾染的风险。政治性技术风险应该与军事风险放在一起考量，政治实体在国际社会中要面对其他政治实体的军事威胁，先进的武器装备尤其是大规模杀伤性武器是有效遏制敌人的手段，正是为了应对军事风险才进行武器装备研发，进而形成了政治性技术风险，简言之，政治性技术风险是军事风险的产物。网络空间安全的最高级别是军事安全，为了维护网络军事安全需要建立网络军事力量，计算机技术漏洞被转化成为了作战工具，其风险性也在政治因素推动下而被无限扩大。因政治需求而研发的网络武器需要在政治因素规范下使用，作为达成政治目的的漏洞利用必须得到政府的有效监管。但是，网络空间相较于自然物理空间存在连通性、隐秘性等特点，网络武器安全防护容易出现问题，而且网络战伦理规范尚处于成长期，这就对网络技术安全提出了严峻挑战。2017年5月，一种利用Windows操作系统编号为MS17－010漏洞的勒索病毒开始在互联网上广泛传播，在世界范围内众多Windows操作系统的用户感染病毒。有专家分析认为，这起网络安全事件根源于美国网络武器的外泄，黑客将非法获得的网络武器改造成恶意软件而造成严重破坏。〔8〕勒索病毒暴露出的漏洞风险只是冰山一角，政府机构囤积的系统漏洞及开发的网络武器在网络空间孕育了巨大的潜在风险。

二、技术风险的生成原因

恩斯特•卡普提出“器官投影说”来揭示技术的本质，认为技术无非是人体器官的延伸和补充。技术是人创造出来满足自身需求的制造物，具有明显的属人性特征，人在制造使用技术过程中形成了技术风险，技术风险生成的根源在于人及其社会活动。1．人类认知能力具有局限性。人类认知能力是无限性和有限性的辩证统一，从本质上而言人类认知能力是无限的，只存在尚未认知的事物而不存在不可认知的事物，但是具体而言人的认知能力却是有限的，人只能认识特定条件下的事物。具体的技术体现了人的认知局限性，即便结构完善、功能强大也始终存在不足。“人类理性的限度使得如何科学地评价新科技的可靠性及其对环境的影响方面存在问题，即技术研发无法将它未来的所有境遇都考虑在内———无知总是存在。”〔9〕计算机漏洞就是一种无法避免的技术缺陷，操作系统或应用程序的编写代码动辄就上百万行，人的理性认知能力无法避免出现错误，尤其是当多人协作开发软件时因沟通交流不畅、写作习惯不同、任务理解存在差异等更是增大了错误量，即便是最优秀的设计开发者也无法彻底杜绝错误。人们希望通过软件测试发现漏洞并进行修补，但这种做法并不能根除漏洞，实验室有限的测试场景与无限复杂的社会应用状况根本无法比拟，新技术产品在具体使用中难免会出现与已有技术系统不兼容或者兼容不好的状况，也就会形成技术衔接匹配中的漏洞。所以，“技术的运用总会存在风险，对不超出我们掌控的绝对合乎目的的技术的追求仅仅是一种无法实现的美妙设想。”〔9〕实际上，计算机漏洞的形成是众多因素耦合的结果，是在具体应用运行过程中生成的，人既无法避免也无法预知漏洞的存在。墨菲具有宿命论的说法真实反映了漏洞生成的机理，“凡事可能出岔子，就一定会出岔子。”〔10〕计算机系统构建出的网络空间是一种不同于自然空间的新型人造空间，人们对这个新空间的认知与掌握尚处于初级阶段，围绕新空间开发的技术产品也必然存在缺陷，计算机漏洞的存在反映了人对网络空间认知的局限性。2．资本增值的驱动。技术原本是改变客观世界满足主体需要的工具手段，但是在资本控制下，它就蜕化为了一种获取利益的工具，按照资本逻辑运行成为服务于资本增值的道具。“资本的逻辑是求利的逻辑，技术内在追求利益和利益最大化的特点和资本追求增值本性形成内在的共契，甚至可以说是共谋。”〔11〕当技术完全成为资本的附庸追求价值增值时，它就失去了其服务人与社会的本性，就会完全按照资本的逻辑运行。马克思曾这样批判资本控制下的技术，“技术的胜利，似乎是以道德的败坏为代价换来的。随着人类愈益控制自然，个人却似乎愈益成为别人的奴隶或自身卑劣行为的奴隶。甚至科学的纯洁光辉彷佛也只能在愚昧无知的黑暗背景上闪耀。”〔12〕当完全按照资本逻辑运行时，技术自身所存在的问题就不再是人们所关注的对象，即便是造成技术风险也在所不惜，实际上一些高风险技术恰恰被用来实现高额利润。当漏洞作为商品在“市场”上出售时，就会出现价高者得的局面，漏洞发现就不再是为了修补而是为了非法利用。“在任何事件中，无论是黑市还是灰市都会牵涉相同的动机:将信息出售给最高报价者，这与全球政治偏见和私人目的相一致，而不去考虑是否出售给工业经纪人(灰色组成部分)，或者政府组织者、网络雇佣兵或犯罪组织(黑色组成部分)。”〔13〕事实上，凡是出高价购买漏洞者都是为了将其作为非法侵入他人计算机系统的后门，而这种行为有可能会对互联网上众多计算机产生严重危害。计算机漏洞按照资本逻辑运行以实现价值增值，技术缺陷被转化成为了牟利工具，后果是孕育出了巨大的技术风险。3．政治因素的影响塑造。技术风险在技术应用过程中逐渐形成，是各种社会因素共同影响的结果。卡斯帕森和伦内等提出“风险的社会放大理论”，认为技术风险在社会因素影响下逐渐成长，而吉登斯则认为技术风险本质上就是被制造出来的，诸如经济、政治、文化、宗教等社会因素起到了催化放大的作用。“技术活动所需要的资金和其他资源不是技术共同体自身所能够解决的问题，必须借助于经济场和政治场的力量。从这个意义上说，相关的企业和政府机构才是技术活动的实际支配者。”〔14〕计算机漏洞本身是一个技术问题，但是政治因素的介入将其转化为了军事安全问题，这种转化自然会增加技术风险。例如，美国政府将零日漏洞视为潜在的武器进行限制和监管，甚至专门颁布《漏洞公平裁决政策和程序》(2017)，公开表示可以将部分漏洞加以保留以便用于维护国家安全或采取军事行动。由于政治需要计算机漏洞转作为军事应用，获得并囤积漏洞是为了维持网络空间技术优势，以便对敌对方形成威慑甚至是直接采取攻击行动。在虚拟网络空间中，攻击活动处于主动地位，攻击者可以随时发动攻击而且事后难觅踪迹，防御方则处于被动挨打的地位。依靠漏洞而获取军事优势会强化对漏洞的囤积利用行为，于是众多政府组织纷纷组织力量发掘系统漏洞，甚至是在黑市购买漏洞。计算机漏洞被有针对性地用于研发网络武器，这犹如打开的“潘多拉”魔盒，因为网络武器会对所有存在漏洞的计算机产生攻击效果，众多无辜者也难以幸免。勒索病毒之所以能造成大规模的破坏，与其使用了政府机构开发的“永恒之蓝”漏洞利用武器不无关系。政治因素改变了计算机漏洞的社会价值，使这种技术缺陷具备了军事功能，但这种改变产生了巨大的技术风险。

三、技术风险的伦理规约

技术风险的存在具有必然性，可以说只要有技术应用就会存在技术风险，但是不能因为必然性而放弃对技术风险的治理，应该通过有效措施降低风险的发生概率、减小风险的危害性。治理技术风险关键在于规范人的技术行为，通过制定社会伦理规约治理技术风险。1．树立正确的技术价值理念。技术的价值在于满足人的实践的需要，而实践是具有丰富内涵体现人本质特征的主体性活动，技术应该体现人的本质。技术工具主义以简单的技术—经济思维看待技术，将其看作是实现经济效益、功利目的的途径。“工业理性和技术的蚕食耗尽了日益现代化的社会本质，使得人类的充满生机的关系成为工具理性的。”〔15〕其实技术已经成为人类的依存条件，成为人与社会的不可分割的有机组成部分，应该树立合理发展、和谐共生的价值理念，使技术真正成为人在实践中实现自由发展的条件。计算机系统的发展提升了人类传输处理信息的能力，为人类开辟了新的实践活动空间，对于促进人和社会的发展进步具有重大的意义。要客观公正地认知评价技术风险，对待计算机漏洞不应该形成恐惧心理，也不能视而不见听之任之，更不能反其道而行之利用漏洞谋求私利，要制定合理的规范加以治理。应该秉持合理的乐观主义对待漏洞问题，漏洞风险是计算机技术发展过程中的“自然现象”，应该通过进一步发展技术予以解决。2．规范技术研发伦理。树立安全责任意识。技术风险通常孕育于技术研发过程之中，技术发明者要具有责任意识，研究思考规避未来可能出现的技术风险。计算机系统设计者需要通过自身努力降低风险，如选择科学合理的程序语言与实现路径，减少甚至杜绝系统软件和应用程序编写过程的错误，在产品前进行严格的前期测试和安全检测等。遵守风险告知诚信。研发者应该认真评估技术应用可能带来的各种风险，尤其是诸如间接、潜在和长期的旁人难以发现的技术风险，并把评估结果告诉产品用户或者利益相关者，以达到事先预警的效果。“事先预警可以使人们及时改变自己的所作所为，并且积极采取一些行动以规避某些可能出现的风险。”〔16〕这一规范蕴含着公平正义的伦理价值，各主体之间必须以平等原则为第一规范，如果隐瞒技术风险可能会给部分人带来短期利益，但却可能给他人甚至整个社会造成重大的损失。承担问题补救责任。为计算机漏洞打补丁是一项复杂的工作，不仅技术繁琐而且周期较长，这就需要社会各方主动承担补救责任。“白帽”黑客需要主动承担起网络安全责任，及时挖掘和发现漏洞并将信息予以披露;软件开发商应该承担更多的问题补救责任，政府必须在监督管理软件开发商方面制定出相应的规章制度。3．规范技术应用伦理。收益最大化原则。要遵循收益最大化原则对技术风险进行综合衡量，以便进行合理取舍。“关于风险的决策很少是孤立做出的，而是关于特定技术和行为使用与扩散的更广泛社会选择的组成部分。‘最佳方案’的选择充分考虑了社会价值与多目标之间的取舍。”〔17〕对漏洞的处理方式应该充分考虑收益与风险的问题，如果对漏洞听之任之而不进行弥补，或者利用漏洞进行交易换取微薄利益，难免会付出更大的代价。和平正义原则。爱因斯坦曾呼吁:“关心人的本身应该始终成为一切技术上奋斗的主要目标……用以保证我们科学思想的成果会造福人类，而不致成为祸害。”〔18〕技术行为主体应该弘扬真善美的价值主旋律，自觉担负起技术应用的社会责任。国家政府要建立维护网络空间正义的司法行政机构，自觉抵制网络漏洞的非法交易行为，充分认清网络空间军事化所蕴含的巨大风险。国际合作原则。技术风险是国际社会共同面临的难题，风险治理需要国际合作。网络空间是相互联系的一体化空间，各个主权国家的网络疆域相比于自然空间连接更为紧密，进而言之，系统漏洞将会是所有网络用户的漏洞，漏洞利用武器将会对所有用户产生威胁。国际社会应该成立公平裁决机构，对漏洞利用乃至所有网络军事行动进行裁决与规范，各个国家按照尊重主权、互惠互利等原则构建起网络空间行动准则。

作者:赵阵 单位:国防科技大学文理学院