美国众议院

科学委员会

技术小组委员会

关于

关键基础设施保护委员会报告

1997年11月6日

小拉塞尔·b·史蒂文森声明

CyberCash公司总法律顾问

主席女士，小组委员会成员，感谢你们今天下午有机会出席会议。我的名字是Russell Stevenson，我是CyberCash，Inc.的总法律顾问。CyberCash，Inc.是一家相对较小的公司，提供技术和服务，以实现互联网上的安全金融交易。

电子商务虽然仍处于起步阶段，但已呈指数级增长。它有潜力为提高经济效率、提高商品和服务的质量、为消费者和企业带来巨大的利益做出重大贡献。然而，要实现这一巨大潜力，互联网必须是一个稳定和安全的环境，让消费者和企业有信心。

我在听证会上的角色不是技术人员。在计算机网络安全方面我没有专长。然而，我在制定公共政策方面确实有一些经验。我也知道公共政策的实施会如何影响企业，尤其是小型企业。最后，网络现金涉及金融服务业务，计算机和网络安全是特别重要的。

这一背景使我今天下午想提出三点。首先，这一领域的公共政策应该将集体行动限制在基础设施中可能出现经济学家所说的市场失灵的那些方面，即个体行为者的聚集行为导致了次优系统。其次，至关重要的是，政府保护电子基础设施的努力不能带来无意的后果，抑制其增长或扼杀创新，而正是创新推动了电子基础设施迄今的非凡成功。第三，加密是网络安全的基石之一;没有什么比考虑不周的加密公共政策更能威胁电子商务的安全了。

市场失灵

不言而喻，有强大的私人动机致力于互联网的安全。所有利用互联网的企业都希望自己的数据及其客户的数据得到保护，免遭盗窃或破坏。同样，他们希望互联网本身是一种安全、高效和稳定的数据通信方式。

在理想情况下，该基础设施的所有用户的联合操作将产生最优的安全性。然而，我们并不生活在一个完美的世界。对于计算机网络来说，这有两个截然不同的方面。首先，个人并不总是以完美的知识或完美的奉献来追求自己的利益。计算机安全的最大弱点不是技术失败的结果，而是简单的人类愚蠢的结果。企业可能无法实现现成的技术保护，如防火墙，以抵御来自外部的攻击。他们可能无法实施足够的控制系统，以防止粗心或不诚实的员工从内部损害他们的系统。大多数被广泛宣传的电脑入侵案件都是这种失败的结果。

然而，第二个潜在的故障区域是网络本身的故障，这是由于其设计或操作中的缺陷造成的。在过去几年中，我们在另一种网络形式——国家电网中看到了此类故障的例子，该电网经历了几次大面积停电。我几乎不是网络系统方面的专家，即使在专家中，这个问题似乎也是一个有争议的问题，但至少可以想象，如果不太可能的话，互联网可能存在这类漏洞。

那么，在这些问题上，政府应该扮演什么样的角色呢?乐动冠军毫无疑问，互联网的安全与稳定已经是一个相当大的公共利益问题，而且随着互联网的重要性越来越大，这一点只会更加突出。但我们也知道，政府在某些方面比其他方面做得更好。在解决互联网安全问题时，政府应该注意将其行动限制在一些领域，在这些领域中，由于某些市场失灵的条件，政府显然可以比私营部门的行动产生更好的结果。

关于我所描述的第一种故障类型� 简单的人为缺陷导致的故障� 政府�中国的作用应该受到严格限制。正如委员会所建议的那样，似宜赞助计算机安全方面的研究，协助私营部门制定基准和编纂最佳做法，并促进传播有关计算机安全的信息。我对委员会有些保留意见�s建议这项研究工作由国家安全局部分领导。虽然国家安全局无疑是这一领域相当专业的知识库，但它也有其他任务，可能与促进互联网的发展和安全不完全一致。委员会提到的另一个机构——国家标准与技术研究所可能是一个更好的地方，可以在那里开展主要工作。

监管在确保私营实体遵循可靠的安全措施方面也有一席之地。政府当然应该使用其对银行和其他金融机构的监管权力，以确保它们的安全和健全不受不充分的计算机安全措施的威胁。但是政府应该把它在这一领域的监管权力限制在它已经承诺保护其安全与健全的那一小部分机构。对于其他类型的业务，监管并不合适，也没有必要，因为简单的自我保护应足以激励他们采取和维持适当的保安措施。

至于系统整体设计或运行中的第二类缺陷，任何单一参与者都无力纠正，政府或许可以发挥更积极的作用。这个角色可能是什么，取决于缺陷的性质和补救它的必要步骤。我确信欧盟委员会的报告更详细地阐述了这个问题;我同样肯定，这是一个需要大量研究的问题，包括政府和企业之间的合作。

同样重要的是要记住，电子网络正在以革命性的速度发展。他们提出乐动冠军的安全与稳定问题不是一成不变的;它们不可能一次解决就被遗忘。这些问题需要定期重乐动冠军新评估。

意外后果定律所有对政府政策的制定和实施持深思熟虑态度的观察者都知道意外后果的铁律。根据这项法律，政策的任何重大变化，无论其意图如何良好，都肯定会产生意料之外的不利后果。它们通常意义重大，有时甚至超过了新政策的有益后果。国会在制定有关电子基础设施的政策时应牢记这一原则。

当政府处理快速变化的技术时，这个问题只会被放大。法律以国会的速度运行。互联网以光速移动。这就产生了一个巨大的风险，即旨在保护基础设施的监管最终会在最好的情况下减缓其发展步伐，在最坏的情况下，扼杀有益的创新，而这些创新可能最终会使监管变得不必要。

较小的公司尤其容易受到监管意外后果的影响，因为它们很少有资源聘请律师和游说者来保护自己，以免在华盛顿的大象倒下时被压垮。这在电子商务领域尤为不幸，因为小型公司一直是创业动力和快速创新的主要来源，正是这些动力和创新造就了今天的互联网。

加密

在计算机网络安全所依赖的所有技术中，加密可能是最重要的。没有它，敏感的通讯很容易被恐怖分子、小偷、工业间谍、偷窥者和仅仅是好奇的人截获。在强大的加密技术下，互联网用户可以互相交流，而不必担心他们的信息会被预期接收者以外的任何人阅读。

美国的加密政策既令人困惑又充满争议，这一点在这个小组委员会的成员中肯定是肯定的。在这个问题上的一些争议可能是不可避免的，因为有几个合法的，但相互冲突的利益攸关。不幸的是，争论中的一些参与者要么故意不知道，要么故意拒绝承认加密在电子基础设施安全中的重要性。非常具有讽刺意味的是，强烈主张限制加密的执法利益集团，似乎没有意识到这些限制会导致犯罪和恐怖主义的增加。

加密是一项复杂的技术。使用it作为安全工具的系统同样复杂，并且发展迅速。对加密使用的监管限制，或强制使用某些设计参数，将不可避免地削弱电子网络的安全性。也许，作为一个国家，我们愿意牺牲基础设施安全来换取其他价值。然而，在我们达成协议之前，了解我们所付出的代价是很重要的。

结论

总之，在考虑对委员会的建议采取何种行动时，国会应将政府的作用限制在：（1）旨在使私人行为者能够更有效地保护其利益的研究和教育；（2）政府的作用查明并解决整个电子基础设施中私营部门无法有效解决的弱点。在这样做的过程中，国会应该缓慢地采取监管措施，并敏锐地意识到意外后果的法律。最后，国会应特别注意加密对安全的重要性，不要在为执法机构提供调查恐怖分子和罪犯的工具时考虑不周，让电子基础设施受到恐怖分子和罪犯的攻击。

Russell B.Stevenson，Jr.是CyberCash，Inc.的总法律顾问和秘书。在来到该公司之前，他在华盛顿特区从事私法实践，专注于公司法和证券法。

从1971年到1981年，他是乔治华盛顿大学(George Washington University)全日制法学院的成员，在那里他教授公司、证券监管、国际商业交易和国际经济发展。在此期间，他还在康奈尔大学法学院和巴黎第二大学(索邦大学)担任访问教员。从1981年到1984年，他担任证券交易委员会的副总法律顾问。

史蒂文森先生是两本公司法书籍的作者，并撰写了大量有关证券法和公司法的文章。他还经常就这些和相关主题进行演讲。他一直活跃于美国律师协会、哥伦比亚特区律师协会、国际法协会和各种社区组织的商法部门。

他于1964年以优异的成绩毕业于康奈尔大学(Cornell University)，获得BME学位，并于1969年以优异的成绩获得哈佛法学院(Harvard Law School)的法学博士学位。他是哥伦比亚特区和美国最高法院律师协会的成员。

美国众议院

科学委员会

技术小组委员会

关于

关键基础设施保护委员会报告

1997年11月6日

小拉塞尔·b·史蒂文森声明

CyberCash公司总法律顾问

联邦政府资助声明

CyberCash，Inc.自1994年10月成立以来，从未通过赠款或合同直接（或据其所知，间接）接受联邦政府的资金。