在我國大力推進(jìn)國民經(jīng)濟(jì)和社會發(fā)展信息化的背景下，信息安全與國民經(jīng)濟(jì)和社會發(fā)展的各個方面都前所未有的緊密相關(guān)，信息安全問題也因此超越了狹隘的技術(shù)層面，發(fā)展成為一個關(guān)系重大的社會問題。

由于信息安全問題的廣泛性和重要性，它已經(jīng)引起了各界的關(guān)注，并出現(xiàn)了一些熱烈的討論。值得注意的是，這些討論表現(xiàn)出明顯的泛政治化傾向；爭論背后也隱含著特定的“政治正確”的假設(shè)。這種局面使討論很難深入下去，也不利于盡快達(dá)成一致意見。更糟糕的是，這還會影響到政府決策的連續(xù)性和一致性。

比如說，在推進(jìn)信息化的過程中，各級政府采用了大量的優(yōu)惠政策，扶持信息技術(shù)研究開發(fā)、信息產(chǎn)業(yè)以及信息技術(shù)業(yè)務(wù)應(yīng)用；但與此同時，國家又從信息安全的角度對信息技術(shù)的業(yè)務(wù)應(yīng)用施加了非常嚴(yán)格的管制。這兩類政策存在嚴(yán)重的沖突，而且都可能誘發(fā)競爭性尋租行為。但由于有關(guān)信息安全的討論是在政治化的氛圍中展開的，這兩類政策之間的矛盾就幾乎無法化解。

本文意在指出，圍繞信息安全的討論泛政治化的根本原因是背后經(jīng)濟(jì)利益的驅(qū)動。要擺脫這種泛政治化困境，必須求助于經(jīng)濟(jì)學(xué)研究工具，并努力將爭論建立在經(jīng)驗(yàn)研究的基礎(chǔ)上。

本文分三部分。第一部分討論利益與信息安全投資的關(guān)系；第二部分討論科斯命題與安全責(zé)任的配置；第三部分討論網(wǎng)絡(luò)效應(yīng)與安全基投資風(fēng)險。

一、利益和信息安全投資

自利是經(jīng)濟(jì)學(xué)的一個根本性假定。這一假定是否可以用來分析信息安全問題呢？答案是肯定的。

世界著名的密碼學(xué)家、英國劍橋大學(xué)教授Ross Anderson(2002)指出，安全工程研究領(lǐng)域在近年出現(xiàn)了一次重要的分化。20世紀(jì)90年代，政府試圖引入密鑰托管并加強(qiáng)對信息安全的管制，這導(dǎo)致研究群體的分化，一部分研究者積極研究數(shù)字權(quán)利管理系統(tǒng)，另外一部分研究者則致力于隱私權(quán)保護(hù)，并往往支持自由源代碼或開放源代碼運(yùn)動。兩個群體并未直接爭論，但其潛在客戶顯然不同。無論哪一個群體，他們是否都高估或過分強(qiáng)調(diào)了信息安全問題呢？信息安全投資真的象信息安全專家所說的那樣存在投資過低的問題嗎？是否存在相反的可能性？他所提的一個問題為討論經(jīng)濟(jì)利益與信息安全之間的關(guān)系提供了一個出發(fā)點(diǎn)。

從政治經(jīng)濟(jì)學(xué)角度看，安全專家有夸大信息安全問題的動因。所以，信息安全投資過度的危險確實(shí)存在的。教授信息安全的研究者希望用存在網(wǎng)絡(luò)攻擊威脅這一理由獲得研究資助，警察則希望用信息安全的名義建立一個計(jì)算機(jī)犯罪管理機(jī)構(gòu)，推銷商為了實(shí)現(xiàn)其安全產(chǎn)品銷售計(jì)劃，也有必要大談信息安全的重要性。

一些彼此矛盾的說法為這種可能提供了印證。安全專家今天說電子郵件截取如此簡單，用戶使用網(wǎng)絡(luò)必須小心信用卡號碼被盜??；明天聯(lián)邦調(diào)查局告訴我們檢查電子郵件太困難了，每個網(wǎng)絡(luò)服務(wù)商都有必要安裝一個特制的盒子來為他們的工作創(chuàng)造條件。Anderson說，如果電子郵件檢查真的比打開普通信箱還要困難，那些加密公司所賣的產(chǎn)品還有什么價值嗎？

Anderson說，他目睹了幾種信息安全潮流的興起與衰退。他的直覺是，廠商不把資金和精力集中在信息安全問題上有其合理性，其信息安全投資大體適度，也許還有些偏高，而不是如專家們說的那樣，投資太低。

Soo Hoo的研究報告（2002）為Anderson的判斷提供了系統(tǒng)的證據(jù)。根據(jù)他的研究，信息安全的投資回報率在20%左右，低于所研究時段內(nèi)的IT投資所要求的30%這一投資回報率。中國的信息安全投資收益率是怎樣的呢？是否存在同樣的投資過度問題呢？不研究這些問題，圍繞信息安全的討論就缺少必要的經(jīng)驗(yàn)基礎(chǔ)。

二、科斯命題與安全責(zé)任配置

除了信息安全投資的總量問題，Soo Hoo（2002）還對安全投資的配置方向進(jìn)行了研究，指出那些更為簡單、廉價的信息安全措施（如屏幕顯示鎖）投資回報高于那些大型項(xiàng)目（如PKI）投資。這顯然是一個需要深入調(diào)查的課題。因?yàn)榘踩顿Y配置不當(dāng)意味著不能有效實(shí)現(xiàn)信息安全這一目標(biāo)。而市場經(jīng)濟(jì)條件下的投資配置是與激勵緊密相關(guān)的；恰當(dāng)?shù)募顏碜郧‘?dāng)?shù)闹贫?。這就與科斯的命題聯(lián)系在一起了。

著名新制度經(jīng)濟(jì)學(xué)家科斯曾經(jīng)提出一個被稱為科斯定理的著名命題，該命題的核心內(nèi)容是，在交易成本為零的條件下，產(chǎn)權(quán)界定與經(jīng)濟(jì)效率無關(guān)，市場機(jī)制總會使資源配置達(dá)到最優(yōu)狀態(tài)；但是，在交易成本為正的條件下，產(chǎn)權(quán)界定就變得至關(guān)重要。比如，如果交易很容易達(dá)成，不管山洞的使用權(quán)是界定給糖果制造商還是倉儲商，市場總是可以把山洞的使用權(quán)轉(zhuǎn)移到利用水平最高的人手里（收益最大）；但如果交易成本很高，那就不能保證這一點(diǎn)了。產(chǎn)權(quán)界定給利用水平最高的人和利用水平較低的人，其經(jīng)濟(jì)結(jié)果是不一樣的（科斯，1996）。法和經(jīng)濟(jì)學(xué)研究者將這種分析應(yīng)用到法律責(zé)任的配置問題，將不可抗力導(dǎo)致的違約責(zé)任分配給能夠最有效地防范和處理意外情況的一方來承擔(dān)（尤倫、庫特，1994）。

對信息安全問題來說，安全責(zé)任的劃分（一種產(chǎn)權(quán)形式）也是至關(guān)重要的。Anderson（1994）曾經(jīng)對英國自動提款機(jī)欺詐案件進(jìn)行了研究，結(jié)論令人驚訝，所有的提款機(jī)加密技術(shù)都足以保證交易安全，而所有的欺詐事件都與人為錯誤有關(guān)；產(chǎn)生安全問題只是因?yàn)殂y行沒有正確地安裝加密系統(tǒng)。

銀行為什么沒有正確利用加密系統(tǒng)呢？答案在于，英國特殊的安全責(zé)任配置。在美國，如果消費(fèi)者與銀行出現(xiàn)爭議，舉證責(zé)任在銀行，也就是說，除非銀行能夠證明消費(fèi)者的錯誤，否則，法律保護(hù)消費(fèi)者的利益。英國的情況則相反，出現(xiàn)爭議時，舉證責(zé)任在消費(fèi)者而不是銀行，除非消費(fèi)者能夠證明銀行的錯誤，否則，法律保護(hù)銀行的利益。兩種不同的責(zé)任界定產(chǎn)生了不同的結(jié)果。美國的銀行積極投資于風(fēng)險管理技術(shù)，在容易產(chǎn)生欺詐的地區(qū)安裝攝像鏡頭，并組織員工進(jìn)行安全操作方面的培訓(xùn)；盡管英國銀行的安全支出高于美國的銀行，但因?yàn)閷@些方面漠不關(guān)心，導(dǎo)致了自動提款機(jī)的不當(dāng)利用，并出現(xiàn)了一個自動提款機(jī)詐騙高峰。

從經(jīng)濟(jì)學(xué)角度看，如果安全責(zé)任的轉(zhuǎn)移機(jī)制不完善，不同的安全責(zé)任配置條件下效率是不同的。在自動提款機(jī)的例子中，最能勝任風(fēng)險管理任務(wù)的顯然是銀行而非消費(fèi)者，因此，將更多的安全責(zé)任配置給銀行是合理的。這一結(jié)果與科斯命題的預(yù)期是一致的。

盡管在分配安全責(zé)任時必須考慮交易成本的影響，但我們不能希望恰當(dāng)?shù)陌踩?zé)任配置必定出現(xiàn)（知識、決策能力等方面的約束）。因此，建立風(fēng)險責(zé)任的轉(zhuǎn)移機(jī)制是必要的。經(jīng)典的經(jīng)濟(jì)學(xué)解決方案是開辦信息安全保險，并開發(fā)相應(yīng)的保險品種。在這種機(jī)制下，保險公司愿意向采用良好安全實(shí)踐的機(jī)構(gòu)提供保險，因此，他們有動力教育客戶如何改進(jìn)其網(wǎng)絡(luò)安全。問題只是，現(xiàn)有的大部分保險公司都缺乏信息安全方面的知識，難以對有關(guān)的風(fēng)險作出判斷。不過，一旦開辦這種業(yè)務(wù)，保險公司會有強(qiáng)大動力去處理這類問題，并有望向客戶提供更好的建議。

范里安指出，解決計(jì)算機(jī)犯罪問題的第一步，就是要分配那些最能夠管理這種風(fēng)險的法律責(zé)任。只有這樣，信息安全保險業(yè)務(wù)才能夠逐步發(fā)展起來（范里安，2000）。

三、網(wǎng)絡(luò)效應(yīng)與安全基投資

安全基指的是網(wǎng)絡(luò)與信息安全的最基礎(chǔ)層次問題，國內(nèi)通常將操作系統(tǒng)軟件與CPU芯片的安全性納入這一范圍的討論。人們傾向于認(rèn)為，沒有本土的操作系統(tǒng)和CPU芯片的技術(shù)能力，信息安全最終無法保證。因此，國內(nèi)扶植和研究開發(fā)操作系統(tǒng)和CPU芯片是必要的。

其實(shí)，操作系統(tǒng)軟件和CPU在國外也是一個爭論多年而沒有解決的問題。在這兩個領(lǐng)域，微軟和英特爾分別占據(jù)市場的支配性地位，并且兩家公司謹(jǐn)慎地使公司之間的聯(lián)盟持續(xù)了20年。人們將其近乎壟斷的地位稱做“Wintel”(Windows和Intel兩個詞連在一起的縮寫)。然而，在國外，人們不是從安全的角度來研究，更多的是對微軟和英特爾在這兩個領(lǐng)域持續(xù)20年的強(qiáng)大聯(lián)盟感到不安，擔(dān)心這會對市場的健康發(fā)展帶來損害。因此，微軟多次受到起訴，認(rèn)為其諸多做法微軟反壟斷法，涉嫌不正當(dāng)競爭。

國內(nèi)信息產(chǎn)業(yè)界的有關(guān)人士對微軟和英特爾在國內(nèi)市場的強(qiáng)大地位也深表不安，并指出這種地位使信息安全問題缺乏根本保證，因此，主張支持操作系統(tǒng)軟件和CPU的自主研發(fā)，并促進(jìn)其產(chǎn)業(yè)化。這種看法有其合理之處，但并沒有嚴(yán)謹(jǐn)?shù)貙Υ龑杉夜具_(dá)到并維持目前市場地位的機(jī)理。

著名經(jīng)濟(jì)學(xué)家夏皮羅和范里安指出，信息經(jīng)濟(jì)的網(wǎng)絡(luò)外部性特征是形成兩家公司目前地位的基本原因。對于具有網(wǎng)絡(luò)效應(yīng)的行業(yè)，如電話、航運(yùn)、傳真，網(wǎng)絡(luò)的價值與用戶的多少密切相關(guān)。有時，人們將這一點(diǎn)稱做梅特卡夫定律（Metcalf‘s Law）。而網(wǎng)絡(luò)經(jīng)濟(jì)受到網(wǎng)絡(luò)外部性的深刻影響。

首先，產(chǎn)品對某一用戶的價值依賴多少用戶使用它；

其次，該技術(shù)的固定成本高昂。第一個軟件或芯片可能耗資數(shù)百萬美元，但制造商隨后的拷貝成本可能非常低廉。在這種情況下，純粹的價格競爭傾向于使企業(yè)收入按照邊際成本定價（對軟件來說，復(fù)制的邊際成本幾乎為零）。因此，廠商傾向于采用非價格手段爭取產(chǎn)品按照產(chǎn)品對用戶的價值定價。

第三，用戶采用替代技術(shù)的轉(zhuǎn)折成本高昂，從而引起鎖定效應(yīng)。即使競爭者的產(chǎn)品非常廉價，但用戶仍然采用占據(jù)優(yōu)勢地位的產(chǎn)品。最終，客戶基礎(chǔ)的現(xiàn)值等于用戶轉(zhuǎn)移的總成本（夏皮羅、范里安，2000）。

在這種情況下，從安全基礎(chǔ)的角度對本土操作系統(tǒng)軟件和CPU的支持必須考慮支持的成本和成功的機(jī)會。

由于網(wǎng)絡(luò)效應(yīng)的存在，微軟和英特爾得以在競爭壓力下維持現(xiàn)有的強(qiáng)大市場地位，尚未產(chǎn)生出對其市場地位形成根本挑戰(zhàn)的公司。在這一背景下，希望能夠通過扶植政策實(shí)現(xiàn)操作系統(tǒng)軟件和CPU的國產(chǎn)化，并解決信息安全的基礎(chǔ)問題，實(shí)在是不容樂觀的。在安全基政策出臺之前，謹(jǐn)慎地對風(fēng)險與機(jī)會進(jìn)行研究評估恐怕是非常必要的。這也正是經(jīng)濟(jì)學(xué)最為擅長的地方。

（作者單位：中國電子信息產(chǎn)業(yè)發(fā)展研究信息化研究中心）

參考文獻(xiàn)：

1.羅納德·科斯《論生產(chǎn)的制度結(jié)構(gòu)》，上海三聯(lián)書店、上海人民出版社，1996年

2.尤倫、庫特《法和經(jīng)濟(jì)學(xué)》，張軍等譯，上海三聯(lián)書店，1994年

3.卡爾·夏皮羅、哈爾·范里安《信息規(guī)則：網(wǎng)絡(luò)經(jīng)濟(jì)的戰(zhàn)略指導(dǎo)》，張帆譯，中國人民大學(xué)出版社，2000年

4.Hal. R. Varian，Managing Online Security Risks， The New Nork Times， June 1，2000.

5.Ross Anderson， Why Cryptography Fail， Communications of the ACM，vol.37(11)， 1994，pp32-40

————，Unsettling Parallels Between Security and the Environment， 2002， http://www.sims.Berkeley.edu/resources/affiliates/workshops/eco.../37.tx

6.Kevin Soo Hoo， How Much is Enough? A Risk Management Approch to Computer Security， 2002， http://cisac.Stanford .edu./docs/soohoo.pdf