1700033519
设计问题(第二辑) [:1700031689]
1700033520
设计问题(第二辑) 3. 远程ICT政治投票系统设计准则
1700033521
1700033522
在21世纪初期,各国政府还未开始制定电子投票系统标准时,ICT的专家们就已开始开发设计标准,这些标准又继续巩固了大部分的后续标准。例如,美国的互联网政策研究所制定了如下准则,其成员认为这些准则的必要性在于,它们能够确保公众和官方对于远程投票系统的信心:[13]
1700033523
1700033524
1700033525
1700033526
1700033527
1700033528
1700033529
1700033530
身份验证:只有经过授权的选民才能投票。 唯一性:所有选民只能投票一次。 准确性:投票系统应该正确记录投票。 完整性:选票未经检测不能修改。 可验证性:能够验证最终统计中正确计入了投票。 可审核性:应该生成真实可靠的选举记录。 可靠性:即使面对无数的故障,系统应该稳健运转。 针对网络投票而制定的这种早期标准,我建议应该添加以下内容,作为电子投票标准的综合清单:
1700033531
1700033532
1700033533
1700033534
1700033535
1700033536
1700033537
1700033538
匿名:选民必须相信他们的个人决定仍然是私密的。 硬件的可及性:硬件应该方便远程选民使用。 用户可理解性:投票选项应该清晰地呈现于投票者。 数据流量处理:系统必须能够处理短时间内的高需求。 数据保护:数据库拥有者必须遵守数据保护法律。 可追溯性:选举官员可能需要追溯到选票的发起者(如英国法律)。 所有权:分包商不应该最终拥有他们系统收集的数据。 成本效益:公众选举成本应该保持到最低限度。 这份强大的清单所包含的要求可能每项都需要若干文章进行充分的讨论。笔者在这里通过引用一个案例研究来对这些标准做个述评。该案例是笔者在1999年和2008年之间做过的一个电话投票系统研究。这个项目特别有趣的地方可能是该项目最终让项目进程和参与者热情止步的障碍的性质。其中主要的障碍问题是威斯敏斯特官员对真正引入电子投票的投入让人怀疑,他们的投入与他们对安排一系列不间断的公开试验的承诺大相径庭。
1700033539
1700033540
1700033541
1700033542
1700033543
设计问题(第二辑) [:1700031690]
1700033544
设计问题(第二辑) 4. 案例研究:运用部分标识的电话投票系统
1700033545
1700033546
这个项目的灵感来自于20世纪90年代末的电视竞赛节目,节目中运用电话投票来选择获胜的参赛选手,要么直接投票选择,要么陆续淘汰最不受欢迎的选手,直到出现赢家。政治学家斯蒂芬•科尔曼(Stephen Coleman)是这一现象的敏锐观察者,认识到这个明显残酷的战场上,政治代表与选民间的关系具有许多相似之处。[14]除了古代雅典的礼仪排斥和电视的“投票淘汰”选手之间的明显相似之处外,这些溢价电话线路的电话投票为竞赛节目的制作人和呼叫程序运营商产生了巨额的额外收入,这表明电话投票选举技术提供了新奇的回收成本的方式,解决了以上所列的最后一条设计标准,即成本效益。这里的挑战在于重新设计ICT新发展的商业运用,从而服务于更严肃的政治投票目的。
1700033547
1700033548
我们的项目团队开始考虑的是“身份验证”的标准问题,也就是电话系统区分非法选民和合法选民的方法。在许多国家,每个授权的选举人至少有两个由国家分配给他或她的个人识别号码(PINs)。在国家数据库中,这些个人识别号码与其他信息相关联,比如姓名和地址。在英国,这两个个人识别号码是九位的社会保障号码(六位为数字)和一个八位数的选民身份号码(VIN)。存有个人识别号的这两个数据库还包含姓名和地址,如果记录更新同步,两个数据库记录应该一致。数据保护法律不允许这两个国家机关共享信息,除非是刑事起诉案件。因此,他们共享数据—姓名与地址—不应属于任何一个含有这两个个人识别号的数据库。
1700033549
1700033550
姓名和地址这一共同因素浮现出一种设计方案:如图18所示,通过请求国家机关提供他们分配给登记公民的八位或九位的个人识别号中前六位数,我们可以创建第三个数据库。针对每个不全的个人识别号,拥有者提供公民的邮编(但不包括他们的房号或是街道号码)。这种方法满足了“匿名”的标准,因为用来创建授权选民清单的数据只包含了部分个人识别号和邮政编码,而不包含房号或个人姓名。数据库的拥有者们可以通过设定密码“••••”来转发数据,而投票组织者的员工无法读取这些密码。这样,投票组织者就拥有了第三个数据库,即便他们能够读取,他们至多也只知道一个无名个人的生活地区。因此,可以得出的论点是,数据库所有者不会违反数据保护法,因为他们不会和投票组织者共享任何组织者可以从其数据库识别的个人信息。纳入邮政编码能够帮助组织者通过挑选与适当的选区相关的邮政编码,解决“准确性”标准问题。
1700033551
1700033552
1700033553
1700033554
1700033555
图18 数据库关系
1700033556
1700033557
组织者验证身份的投票者数据库包含每位投票者的两个部分个人识别号,每个号都可能至少属于100个个人,相同的邮政编码关联两个号。如果两个个人识别号都与同一个邮政编码相关,那么可以肯定的是,这两个个人识别号属于同一个州登记的个人的可能性就非常高。例如,在英国,同一个居民区的邮政编码通常由15至30户共享,或者平均来说,每40人共享一个邮政编码。[15]大约有4500万英国公民有投票资格。[16]因此,可能的个人总数i,可以用两个六位数个人识别号组合加上125万个英国邮政编码来识别,用方程式表示如下:
1700033558
1700033559
i =(n1)(n2)(V/P) (1)
1700033560
1700033561
其中,n =六位个人识别号的排列总数,V =投票人口的大小数目,P =共享同一邮政编码的个人数目。带入英国授权投票人口数,i的数值就是:
1700033562
1700033563
i =(106)(106)(45×106)/40 = 1.125×1018 (2)
1700033564
1700033565
因为在i中只有4500万人才是真正的授权投票数量V,流氓来电者随机输入两个六位数的个人识别号,而实际上成功输入与同一个邮政编码关联的两个号的概率为:
1700033566
1700033567
概率 =(i:V)=(1.125×1018:4.5×106)= 2.5×1011:1 (3)
1700033568