信息安全中的政治經濟學問題

在我國大力推進國民經濟和社會發展信息化的背景下，信息安全與國民經濟和社會發展的各個方面都前所未有的緊密相關，信息安全問題也因此超越了狹隘的技術層面，發展成為一個關系重大的社會問題。

由于信息安全問題的廣泛性和重要性，它已經引起了各界的關注，并出現了一些熱烈的討論。值得注意的是，這些討論表現出明顯的泛政治化傾向；爭論背后也隱含著特定的“政治正確”的假設。這種局面使討論很難深入下去，也不利于盡快達成一致意見。更糟糕的是，這還會影響到政府決策的連續性和一致性。

比如說，在推進信息化的過程中，各級政府采用了大量的優惠政策，扶持信息技術研究開發、信息產業以及信息技術業務應用；但與此同時，國家又從信息安全的角度對信息技術的業務應用施加了非常嚴格的管制。這兩類政策存在嚴重的沖突，而且都可能誘發競爭性尋租行為。但由于有關信息安全的討論是在政治化的氛圍中展開的，這兩類政策之間的矛盾就幾乎無法化解。

本文意在指出，圍繞信息安全的討論泛政治化的根本原因是背后經濟利益的驅動。要擺脫這種泛政治化困境，必須求助于經濟學研究工具，并努力將爭論建立在經驗研究的基礎上。

本文分三部分。第一部分討論利益與信息安全投資的關系；第二部分討論科斯命題與安全責任的配置；第三部分討論網絡效應與安全基投資風險。

一、利益和信息安全投資

自利是經濟學的一個根本性假定。這一假定是否可以用來分析信息安全問題呢？答案是肯定的。

世界著名的密碼學家、英國劍橋大學教授Ross Anderson(2002)指出，安全工程研究領域在近年出現了一次重要的分化。20世紀90年代，政府試圖引入密鑰托管并加強對信息安全的管制，這導致研究群體的分化，一部分研究者積極研究數字權利管理系統，另外一部分研究者則致力于隱私權保護，并往往支持自由源代碼或開放源代碼運動。兩個群體并未直接爭論，但其潛在客戶顯然不同。無論哪一個群體，他們是否都高估或過分強調了信息安全問題呢？信息安全投資真的象信息安全專家所說的那樣存在投資過低的問題嗎？是否存在相反的可能性？他所提的一個問題為討論經濟利益與信息安全之間的關系提供了一個出發點。

從政治經濟學角度看，安全專家有夸大信息安全問題的動因。所以，信息安全投資過度的危險確實存在的。教授信息安全的研究者希望用存在網絡攻擊威脅這一理由獲得研究資助，警察則希望用信息安全的名義建立一個計算機犯罪管理機構，推銷商為了實現其安全產品銷售計劃，也有必要大談信息安全的重要性。

一些彼此矛盾的說法為這種可能提供了印證。安全專家今天說電子郵件截取如此簡單，用戶使用網絡必須小心信用卡號碼被盜取；明天聯邦調查局告訴我們檢查電子郵件太困難了，每個網絡服務商都有必要安裝一個特制的盒子來為他們的工作創造條件。Anderson說，如果電子郵件檢查真的比打開普通信箱還要困難，那些加密公司所賣的產品還有什么價值嗎？

Anderson說，他目睹了幾種信息安全潮流的興起與衰退。他的直覺是，廠商不把資金和精力集中在信息安全問題上有其合理性，其信息安全投資大體適度，也許還有些偏高，而不是如專家們說的那樣，投資太低。

Soo Hoo的研究報告（2002）為Anderson的判斷提供了系統的證據。根據他的研究，信息安全的投資回報率在20%左右，低于所研究時段內的IT投資所要求的30%這一投資回報率。中國的信息安全投資收益率是怎樣的呢？是否存在同樣的投資過度問題呢？不研究這些問題，圍繞信息安全的討論就缺少必要的經驗基礎。

二、科斯命題與安全責任配置

除了信息安全投資的總量問題，Soo Hoo（2002）還對安全投資的配置方向進行了研究，指出那些更為簡單、廉價的信息安全措施（如屏幕顯示鎖）投資回報高于那些大型項目（如PKI）投資。這顯然是一個需要深入調查的課題。因為安全投資配置不當意味著不能有效實現信息安全這一目標。而市場經濟條件下的投資配置是與激勵緊密相關的；恰當的激勵來自恰當的制度。這就與科斯的命題聯系在一起了。

著名新制度經濟學家科斯曾經提出一個被稱為科斯定理的著名命題，該命題的核心內容是，在交易成本為零的條件下，產權界定與經濟效率無關，市場機制總會使資源配置達到最優狀態；但是，在交易成本為正的條件下，產權界定就變得至關重要。比如，如果交易很容易達成，不管山洞的使用權是界定給糖果制造商還是倉儲商，市場總是可以把山洞的使用權轉移到利用水平最高的人手里（收益最大）；但如果交易成本很高，那就不能保證這一點了。產權界定給利用水平最高的人和利用水平較低的人，其經濟結果是不一樣的（科斯，1996）。法和經濟學研究者將這種分析應用到法律責任的配置問題，將不可抗力導致的違約責任分配給能夠最有效地防范和處理意外情況的一方來承擔（尤倫、庫特，1994）。

對信息安全問題來說，安全責任的劃分（一種產權形式）也是至關重要的。Anderson（1994）曾經對英國自動提款機欺詐案件進行了研究，結論令人驚訝，所有的提款機加密技術都足以保證交易安全，而所有的欺詐事件都與人為錯誤有關；產生安全問題只是因為銀行沒有正確地安裝加密系統。

銀行為什么沒有正確利用加密系統呢？答案在于，英國特殊的安全責任配置。在美國，如果消費者與銀行出現爭議，舉證責任在銀行，也就是說，除非銀行能夠證明消費者的錯誤，否則，法律保護消費者的利益。英國的情況則相反，出現爭議時，舉證責任在消費者而不是銀行，除非消費者能夠證明銀行的錯誤，否則，法律保護銀行的利益。兩種不同的責任界定產生了不同的結果。美國的銀行積極投資于風險管理技術，在容易產生欺詐的地區安裝攝像鏡頭，并組織員工進行安全操作方面的培訓；盡管英國銀行的安全支出高于美國的銀行，但因為對這些方面漠不關心，導致了自動提款機的不當利用，并出現了一個自動提款機詐騙高峰。

從經濟學角度看，如果安全責任的轉移機制不完善，不同的安全責任配置條件下效率是不同的。在自動提款機的例子中，最能勝任風險管理任務的顯然是銀行而非消費者，因此，將更多的安全責任配置給銀行是合理的。這一結果與科斯命題的預期是一致的。

盡管在分配安全責任時必須考慮交易成本的影響，但我們不能希望恰當的安全責任配置必定出現（知識、決策能力等方面的約束）。因此，建立風險責任的轉移機制是必要的。經典的經濟學解決方案是開辦信息安全保險，并開發相應的保險品種。在這種機制下，保險公司愿意向采用良好安全實踐的機構提供保險，因此，他們有動力教育客戶如何改進其網絡安全。問題只是，現有的大部分保險公司都缺乏信息安全方面的知識，難以對有關的風險作出判斷。不過，一旦開辦這種業務，保險公司會有強大動力去處理這類問題，并有望向客戶提供更好的建議。

范里安指出，解決計算機犯罪問題的第一步，就是要分配那些最能夠管理這種風險的法律責任。只有這樣，信息安全保險業務才能夠逐步發展起來（范里安，2000）。

三、網絡效應與安全基投資

安全基指的是網絡與信息安全的最基礎層次問題，國內通常將操作系統軟件與CPU芯片的安全性納入這一范圍的討論。人們傾向于認為，沒有本土的操作系統和CPU芯片的技術能力，信息安全最終無法保證。因此，國內扶植和研究開發操作系統和CPU芯片是必要的。

其實，操作系統軟件和CPU在國外也是一個爭論多年而沒有解決的問題。在這兩個領域，微軟和英特爾分別占據市場的支配性地位，并且兩家公司謹慎地使公司之間的聯盟持續了20年。人們將其近乎壟斷的地位稱做“Wintel”(Windows和Intel兩個詞連在一起的縮寫)。然而，在國外，人們不是從安全的角度來研究，更多的是對微軟和英特爾在這兩個領域持續20年的強大聯盟感到不安，擔心這會對市場的健康發展帶來損害。因此，微軟多次受到起訴，認為其諸多做法微軟反壟斷法，涉嫌不正當競爭。

國內信息產業界的有關人士對微軟和英特爾在國內市場的強大地位也深表不安，并指出這種地位使信息安全問題缺乏根本保證，因此，主張支持操作系統軟件和CPU的自主研發，并促進其產業化。這種看法有其合理之處，但并沒有嚴謹地對待對兩家公司達到并維持目前市場地位的機理。

著名經濟學家夏皮羅和范里安指出，信息經濟的網絡外部性特征是形成兩家公司目前地位的基本原因。對于具有網絡效應的行業，如電話、航運、傳真，網絡的價值與用戶的多少密切相關。有時，人們將這一點稱做梅特卡夫定律（Metcalf‘s Law）。而網絡經濟受到網絡外部性的深刻影響。

首先，產品對某一用戶的價值依賴多少用戶使用它；

其次，該技術的固定成本高昂。第一個軟件或芯片可能耗資數百萬美元，但制造商隨后的拷貝成本可能非常低廉。在這種情況下，純粹的價格競爭傾向于使企業收入按照邊際成本定價（對軟件來說，復制的邊際成本幾乎為零）。因此，廠商傾向于采用非價格手段爭取產品按照產品對用戶的價值定價。

第三，用戶采用替代技術的轉折成本高昂，從而引起鎖定效應。即使競爭者的產品非常廉價，但用戶仍然采用占據優勢地位的產品。最終，客戶基礎的現值等于用戶轉移的總成本（夏皮羅、范里安，2000）。

在這種情況下，從安全基礎的角度對本土操作系統軟件和CPU的支持必須考慮支持的成本和成功的機會。

由于網絡效應的存在，微軟和英特爾得以在競爭壓力下維持現有的強大市場地位，尚未產生出對其市場地位形成根本挑戰的公司。在這一背景下，希望能夠通過扶植政策實現操作系統軟件和CPU的國產化，并解決信息安全的基礎問題，實在是不容樂觀的。在安全基政策出臺之前，謹慎地對風險與機會進行研究評估恐怕是非常必要的。這也正是經濟學最為擅長的地方。

（作者單位：中國電子信息產業發展研究信息化研究中心）

參考文獻：

1.羅納德·科斯《論生產的制度結構》，上海三聯書店、上海人民出版社，1996年

2.尤倫、庫特《法和經濟學》，張軍等譯，上海三聯書店，1994年

3.卡爾·夏皮羅、哈爾·范里安《信息規則：網絡經濟的戰略指導》，張帆譯，中國人民大學出版社，2000年

4.Hal. R. Varian，Managing Online Security Risks， The New Nork Times， June 1，2000.

5.Ross Anderson， Why Cryptography Fail， Communications of the ACM，vol.37(11)， 1994，pp32-40

————，Unsettling Parallels Between Security and the Environment， 2002， http://www.sims.Berkeley.edu/resources/affiliates/workshops/eco.../37.tx

6.Kevin Soo Hoo， How Much is Enough? A Risk Management Approch to Computer Security， 2002， http://cisac.Stanford .edu./docs/soohoo.pdf