法院挑战电子投票实践

在法院挑战电子投票系统：一次实践经验报告

摘要

在法院挑战电子投票系统：一次实践经验报告
理查德·希尔(&)
希尔与合伙人公司，瑞士日内瓦 rhill@hill‐a.ch
摘要。瑞士的政治体系是分散化的，这包括投票运作。多个州已实施了 基于互联网的电子投票系统。直到最近日内瓦所使用的系统是一个简单 的互联网投票系统，该系统假设选民的个人电脑未被攻破。即便在当时， 这种做法也被认为是有风险的，各方曾考虑过多种应对措施。最终实际 实施的措施是限制可通过互联网投票的选民比例。目前，专家们已达成 共识，认为此类系统不安全，应加以改进，特别是通过实施验证机制来 改进。为了推动系统的改进，作者在法院对日内瓦系统的使用提出了挑 战，主张其不符合有关投票权的宪法原则和州法律。经过漫长而复杂的 法律程序后，瑞士联邦法庭（最高法院）裁定，由于投诉未能指明系统 弱点在特定投票中已被实际利用，因此无法就案情实质进行审理。这一 裁决与其他司法管辖区的决定不同，凸显了将科学论据引入法院系统所 面临的困难。
关键词：电子投票 Internet投票 Court对电子投票的挑战

1 引言与背景

瑞士是一个联邦制国家：其下级行政单位称为州和市镇。尽管瑞士的大多数法 律是联邦法律并在全国范围内适用，但许多行政事务（如税收和投票）并非如 此。基本的投票原则在联邦宪法和联邦政治权利法中规定。较低层级的措施包 含在联邦政治权利条例中。联邦条款在全国范围内适用。但是，在这些原则规 定的范围内，各州可自由按照自己认为最佳的方式组织和管理选举。[1]中对此 复杂情况进行了详细说明。

电子投票自21世纪初以来逐步以受控方式（即对其使用加以限制）引入。
自2003年起，互联网投票已用于联邦投票。[2]中提供了全面概述。互联网投票 者的比例限制在州选民的30%和联邦选民的10%。26个州中约有一半使用互联 网投票系统，且其中大多数尚未接近授权上限[1]。在日内瓦，大约20%拥有
使用互联网投票可能性的选民确实使用了该方式，但互联网投票的引入并未提高参与率
[3]。互联网投票的引入得益于通信投票在瑞士的广泛使用，且互联网投票被视 为通信投票的自然延伸[1, 4]。

日内瓦州于2003年开始在市镇级试验中使用互联网投票，并在 2004[1]将 其用于联邦投票。在开发初期，计算机专家指出了互联网投票相关风险，并建 议采取措施，例如开发一种专用操作系统，通过光盘分发并由选民上传至其个 人电脑用于投票。但这些措施因过于复杂而被拒绝，人们认为它们会 discouraging互联网投票系统的使用[4]。出于类似原因，涉及编码投票的方 案[5]也未被实施。

所实施的系统基本上是通信投票程序的电子版本。该系统并非完全电子化： 选民仍需使用与通信投票相同的纸质材料。用于防止选民多次投票的身份识别 码包含在通信投票材料中。日内瓦不允许代理投票。为了防止（或至少阻止） 代理投票，选民必须签署用于通信投票的身份识别卡：此卡片须寄送给选举管 理机构，但当然与实际选票分开，以确保投票匿名性。在互联网投票的情况下， 选民必须提供其出生日期和原籍市镇（每位瑞士公民均关联一个或多个原籍市 镇）。在家庭中，家庭成员通常知晓其他家庭成员的出生日期和原籍市镇。

当选民访问作者所质疑的日内瓦互联网投票系统时，系统会向选民的个人 电脑下载Java小程序（该系统已被修改并持续演进）。在用户个人电脑与政府 服务器之间的通信中采用了多种复杂的加密措施。详见[6]。但2011年使用的系 统并未包含任何可验证性条款（关于该技术的讨论参见[7–9]），也未预见到 采取任何特殊措施来检查用户个人电脑是否已被恶意软件入侵[5, 7, 10]。

2013年6月，一名计算机工程师证明，相对容易地可在选民个人电脑中植入恶 意软件，从而在投票被加密并发送至政府服务器之前篡改其投票内容，而选民 对此篡改却毫无察觉[11]。

日内瓦州法律并未限制互联网投票者比例，但这对大多数投票并无实际影 响，因为州级投票是与联邦投票同时进行的，因此适用联邦限制。也就是说， 当某次投票涉及联邦和州级事务时，适用联邦规则，且互联网投票者比例受到 限制。

然而，如果投票仅涉及州级事务，则这些限制不一定适用。联邦投票的日 程由政府预先确定，通常每年举行四次投票，每次投票包含若干个独立的问题 （通常是针对宪法修正案或联邦法律的赞成或反对投票）。

2011年5月没有联邦问题。日内瓦州政府决定允许100%的日内瓦选民通过 互联网投票对州级议题进行投票。2011年11月也发生了同样的情况。

本文的目的是介绍在法庭上挑战日内瓦系统的结果。文中对多个国家关于 电子投票的判例法以及相关法律进行了比较分析，详见[13]。我们将看到，瑞 士法院采取的方法与其他国家的法院不同。

2 上诉人所做的事情

本文作者针对在2011年5月和9月的投票中向所有选民使用日内瓦系统一事，提 起了法院诉讼挑战（在瑞士称为上诉）。他请求法院裁定日内瓦系统不符合州 法律和联邦宪法。

原因是无法确保发送到州服务器的投票准确反映了选民的选择，家庭成员 可以在其他家庭成员不知情的情况下代为投票，且投票保密性无法得到保障。

这些上诉仅针对向100%日内瓦选民提供互联网投票机会的投票，因为如下 所述，只有当上诉人能够证明违规行为可能影响结果时，上诉才可能成功。对 于仅向30%选民提供互联网投票系统的联邦投票而言，违规行为极不可能影响 联邦投票结果。因此，针对联邦投票中使用互联网投票系统提起的上诉成功可 能性较小。

正如我们将看到的，该上诉未获成功，这影响了本文。

3 上诉人这样做的原因

上诉的动机是为了推动对日内瓦系统的改进，特别是可验证性的实施。作者认 为，日内瓦政府（部署了被质疑的互联网投票系统）和日内瓦议会（通过了允 许向所有选民提供该被质疑系统的法律）并不了解或没有认识到，计算机科学 家早已达成共识，即电子投票是有风险的，而相对简单的日内瓦系统是不 adequate的，并且可以建立适当的系统。

4 上诉人的背景

这些案件中的上诉人并非律师，且未委托或咨询律师处理这些案件。申诉人拥 有麻省理工学院和哈佛大学的数学与统计学学位，但其主要职业经历为程序员、 信息系统经理和电信经理。

5 法律程序

日内瓦州的投票法律挑战必须向州法院提出。州法院的裁决可上诉至联邦法庭， 即瑞士最高法院。

在州一级提起上诉的截止日期相当短，仅为6天。提起联邦上诉的截止日期 为30天。在州一级，法院将先审查上诉的可受理性，再审议实体论点；法院将 同时考虑州法律和联邦法律，特别是联邦宪法的条款。

在联邦层面，法院将审查联邦上诉的可受理性，以及州级上诉的可受理性 （但仅审查州级关于可受理性决定是否武断）。就案情实质而言，法院将自由 审查州法和联邦法律的适用，但会依据州法院所认定的事实，除非上诉人能够 证明州法院认定事实的方式是武断的。

正如我们将在下文看到的，这些技术性法律程序细节对案件具有重要意义。

5.1 可受理性

为了使上诉被受理，必须在截止日期内由有权提出上诉的人（在本案中为任何 选民）提交，并且必须遵守关于上诉格式、所用语言、提交副本数量等形式规 则。

在联邦层面不存在可受理性问题（即使日内瓦州政府确实试图质疑联邦上 诉的可受理性）。然而，在州级层面却存在重大的可受理性问题。一方面，这 可能看起来令人惊讶：法院为何要试图避免审理案件的案情实质？另一方面， 这也情有可原：法院对于评估主要属于技术性争议[13]的问题感到不适。

5.2 案情实质

适用于实体问题的法律。根据联邦法律（《瑞士宪法》第34条以及联邦法庭由此产 生的判例法），投票结果
必须忠实地反映选民的意图，投票必须保密（某些不适用于当前案件的例外情 况除外），且一人只能投票一次。申诉人无需证明违规行为实际上影响了投票 结果：只需证明违规行为可能影响结果即可[14]。

根据州法律（《政治权利行使法》第60条），选民必须使用足够安全的设 备，政府发布安全规则，并且如果政府认为安全性不足，可以暂停电子投票系 统的使用。在此背景下，“安全”不仅指电子投票系统中所使用的信息技术的 安全性，还包括电子投票系统所有其他方面的可靠性和安全性，包括人工操作。

实质性论点。上诉人声称，日内瓦系统不符合法律规定，因为选民使用的个人 电脑容易受到恶意软件的攻击，这种恶意软件可以在选民不知情的情况下更改 投票（例如，浏览器中间人攻击）；存在中间人攻击的可能性；州服务器也可 能被攻破；无法检测到大规模舞弊；无法保证投票保密性；以及家庭成员可能 轻易且无被发现风险地冒充其他家庭成员进行投票（在养老院中也存在此类风 险）。

此外，上诉人声称日内瓦州政府未制定州法律所要求的安全要求，且政府 应在发布这些安全要求之前暂停使用互联网投票。

该上诉针对的是日内瓦实施和使用的特定系统（软件）以及安全方面的详 细规定缺失问题，而非针对电子投票原则，也非针对授权互联网投票的日内瓦 宪法或州法律的条款。事实上，针对这些条款本身的上诉将因时效已过而被驳 回：对宪法或州法律条款的明确挑战必须在其公布后30天内提出。另一方面， 这些条款可以在针对特定投票的上诉过程中被隐含地挑战。上诉人试图这样做， 但正如我们下文将看到的，该上诉未被接受，因为上诉人无法提供证据证明在 特定投票中具体漏洞已被利用。

上诉包括以下 figures。图 1 显示了恶意软件如何被引入，从而更改选民输 入的内容，并将伪造的投票发送到州服务器。图 fi2 显示了如果选民的个人电 脑被攻破（例如通过替换其X.509证书），则可能发生中间人攻击。图 3 显示 了2011年5月投票中五个问题的互联网投票结果与邮寄投票结果的对比。可以看 出，互联网投票结果与邮寄投票结果存在系统性差异，而这种情况通常不会发 生[15]。并且问题5的差异具有统计显著性，实际上影响了该问题的投票结果。

上诉指出，一名计算机工程师实际上已经展示了插入恶意软件以修改投票内容 是多么容易，而选民却无法察觉[11]。并且强调了联邦政府2013年报告中提出的要 求，即不应允许超过30%的选民使用现有系统，并应推进新系统的开发
以及可验证系统[2]的实施。上诉人认为，对允许使用日内瓦互联网投票系统的 选民比例施加的30%联邦限制也应适用于州级投票。

州法院的判决对上述所有论点提供了很好的总结[16]。

6 实际程序

申诉人提起了六项独立的法律行动。其中四项，他针对州级决定向联邦法庭提起上诉。这六项独立的法律行动是：

1. 针对2011年5月投票所采用的投票方式提出的投诉。该投诉因提交时间过晚而被错误地认定为不可受理。未向联邦法庭提起上诉。此项行动的总费用为500瑞士法郎。

2. 针对2011年5月投票结果。由于州法院认为该申诉实际上针对的是投票方式，而非投票结果，因此在州一级被认定为超过时效，从而不可受理[17]。申诉人向联邦法庭提起上诉：该上诉被驳回[18]。此处需指出，就州级程序法而言（在此案中为提交州级申诉的截止日期），联邦法庭仅在认定州级决定武断的情况下才会推翻该决定。联邦法庭的判决并未明确处理州级申诉和联邦上诉中均提出的事实，即邮寄投票与互联网投票的结果之间存在异常差异，见上文图3。因此，申诉人提出复审请求，理由是联邦法庭忽略了一个重要事实。联邦法庭驳回了此项请求[19]。本次诉讼在州级的费用为500瑞士法郎，联邦层级每一阶段的费用为1000瑞士法郎，因此总费用为2500瑞士法郎。

3. 针对日内瓦州政府拒绝通过信函要求暂停电子投票的决定。州法院认为，该事项不存在可上诉的决定：仅以信函形式拒绝请求并不构成正式决定。因此未向联邦法庭提出上诉。此项行动的总费用为500瑞士法郎。

4. 针对2011年11月27日投票所采用的投票方式。州法院认为该上诉不可受理，理由是上诉人的论点抽象、笼统，针对的是电子投票原则，而非日内瓦系统[16]。
   在上诉过程中，联邦法庭撤销了该判决，并将案件发回州法院重新裁决，理由是州法院提出的论点涉及案情实质，而非上诉的可受理性[20]。根据有关截止期限的程序规则，该上诉是在投票结果公布前提交的。一旦结果公布，显然互联网投票系统的缺陷不可能影响最终结果（使用互联网投票系统的选民比例太小，不足以影响投票结果）。因此，上诉人撤回了宣布投票无效的请求，但仍坚持要求认定该投票方式非法。虽然撤回宣布投票无效的请求可能导致案件被视为无实际意义，但联邦法庭裁定该案并非如此，因为本案涉及一项应由法院审查的原则性问题[20]。由于上诉人胜诉，本案未产生费用。

5. 以州法院法官在上述判决中已对案情实质作出评判（认为相关论点属于抽象、笼统且针对电子投票原则而非日内瓦系统）为由，申请该批州法官回避。该项请求先后被州法院和联邦法庭[21]驳回。州级费用为350瑞士法郎，联邦级费用为2000瑞士法郎，总费用为2350瑞士法郎。

6. 关于2011年11月27日的第二次州法院判决，该案此前已被联邦法庭裁定为可受理。州法院驳回了上诉，理由是相关论点属于抽象、普遍性质，针对的是电子投票原则而非日内瓦系统[22]。在上诉中，联邦法庭表示同意[23]。由于该判决终结了整个程序，下文将对此进行更详细的讨论。州级诉讼费用为1500瑞士法郎，联邦级费用为1000瑞士法郎，总计2500瑞士法郎。

7 联邦法院的理由

本质上，联邦法庭[23]认为，只有在特定投票过程中实际利用了漏洞的情况下，才能提出上诉。仅仅存在漏洞且该漏洞可能以无法被发现的方式被利用是不够的，即使上诉针对的是投票所采用的程序而非投票结果也是如此。根据该法庭的观点，此类论点应在政治层面予以解决。因此，在实践中，人们无法就电子投票系统的特性向法院提起诉讼。该法庭在作出此项裁决时，使其自身立场区别于其他司法管辖区的判例法。

应当指出，法庭驳回了（基于上述理由）有关日内瓦系统的以下主张：
1. 选民可以使用电子系统多次投票，且这种方式无法被察觉。这并非由于计算机化系统本身所致：
2. 漏洞在于电子投票时用于识别选民的方法。
3. 病毒或其他恶意软件可能已更改了投票结果。
4. 投票保密性无法得到保障，因为恶意软件可能破坏保密性。
5. 州级法规与州法律不一致，因为它们未包含关于选民计算机安全所要求的详细程度的规定。
6. 由于联邦法律不允许为所有选民使用诸如日内瓦系统之类的系统，而上诉人所阐述的理由正是这一点，因此在州级投票中向所有选民提供此类系统违反了联邦宪法。

关于其他司法管辖区的判例法，上诉人提出的类似主张已在奥地利、德国和印度的法院得到案情实质上的评估[13]。在这些案件中，法院裁定所涉电子系统不符合法律规定，未经修改不得使用。德国的判决尤其广泛，一些评论者认为该判决实质上禁止了电子投票[26]。

在爱沙尼亚审理的一起案件值得一提，因为它造成了一种进退两难的局面（即由于相互矛盾的规则而无法摆脱的处境）[24]。当时，爱沙尼亚正在使用一种互联网投票方案，该方案与上述日内瓦系统具有主要相似特征：它假设选民的个人电脑未被篡改。一名计算机专家故意在其自己的个人电脑上植入病毒，以篡改其投票，并随后向法院提起诉讼，以其个人电脑发生的情况作为证据。
法院驳回了此案，认为该情况类似于用户故意投出无效选票的情形。然而，如果该计算机专家在未经其他选民同意的情况下篡改了其他选民的个人电脑，则将构成刑事犯罪。因此，实际上，该计算机专家无法通过合法途径向法院提供证据，来证明通过篡改选民个人电脑从而干扰互联网投票系统是多么容易[27]。

正如德里扎·毛雷尔和巴雷特所指出的，[28]，无法证明被篡改并不等于没有被篡改。我们将在下一节更详细地讨论这一点。

8 下一步骤

一方面，联邦法庭的判决可能看似令人意外，因为法庭在首先裁定上诉人提出的属于应由法院评估的原则性问题后，随后又裁定相关事项最好留给政治体系处理。另一方面，该判决必须结合瑞士关于电子投票系统的联邦规则的发展来看待。在该案通过法院审理期间，联邦委员会大幅收紧了对电子投票的要求，规定如果允许超过30%的选民使用电子投票系统，则必须采用可验证系统[25]。
尽管这项联邦法律的修改并不直接阻止在仅限州级的投票中使用不可验证的系统，实际上导致了各州实施可验证系统。因此，尽管上述法院案件被法院驳回，它们可能仍影响了瑞士电子投票系统的实际实施[28, 29]。

然而，有人可能会认为瑞士的情况并不令人满意，因为无法对州政府实施联邦电子投票系统规则的行为申请司法审查。诚然，这些系统需接受联邦政府的审查和批准，但这并不等同于由公正且独立的司法机关进行审查和批准。

事实上，一群联邦议员已提议修改联邦法律，要求法院必须对上述论点进行案情实质审查[30]。也就是说，法院将评估电子投票系统的特定实施是否符合适用的联邦和州法律及法规，而无需考虑上诉人能否证明在特定投票过程中具体漏洞被利用。

此外，可以合理地得出结论：议会需要对实际实施的系统的安全承担更大的责任，并应更深入地参与各种权衡，例如可验证性与保密性、可用性与编码投票或专用操作系统、低成本与专用硬件之间的权衡。所有这些议题都需要进一步开展大量的跨学科讨论，因为它们涉及法律、技术和社会问题[28]。