互动科普

电子投票机可以让选举比以前更加精确，但是只有当某些问题——机器和选举过程中的问题——得到矫正之后才行。

投票似乎是一种很简单的行为——投下选票，然后统计。但是，复杂性会产生，因为投票者必须注册，而且选票必须被秘密地记录，安全地转移并且准确地统计。我们不经常投票，因此对其程序不太熟悉。两名候选人之间的一项竞选比较容易。六项竞选，其中每项都有多名候选人，以及投票措施——这样的选举就很困难。这种复杂的过程对于我们的民主十分关键，因此其问题也像核电站出现工程故障一样值得关注。

在选举过程的每一阶段都有可能出现选票遗漏。在声名狼藉的2000年美国总统大选中，在谁应当投票以及如何统计选票的问题上，戏剧性地出现了一些非常低级的系统性缺陷。大约有200至600万张——超过1.5亿选民总数的2%的选票没有被统计，或者根本就被阻止投票。考虑到由谁入主世界上权力至高无上的白宫竟然要取决于佛罗里达的537张选票，这一数字可谓大得吓人。

三个方面的简单问题造成了这些选票的遗漏。首先，最主要的问题来自注册数据库错误，它阻止了150至300万选民投票；由于计算机算法设计不合理，佛罗里达的选民单上有80 000个名字被上剥夺了投票权。其次，由于设备故障，另外有150至200万张选票没有被统计，这主要来自选票设计问题。例如，棕榈滩县（Palm Beach County）的“蝶式选票”（butterfly ballot）使得许多人投票支持非计划内的候选人，而造成另一骇人听闻的后果：19 235位选民（占总选民数的4%）选择了多名总统候选人。还有诸如投票孔阻塞等设备问题，致使该州另有682张“酒窝票”（Dimpled ballots）没有被统计。最后，根据美国统计署提供的数据，大约有100万注册选民报告称，像排长队这样出现在投票场所的问题阻止了他们投下选票。

因此，在2000年总统大选中，由于注册问题和投票场所的麻烦所造成的选票数遗漏占据了遗漏总数的三分之二。剩下的三分之一与技术有关，主要是显著的选票设计问题和机械故障。2000年大选之后，全国各地的各级官方（包括联邦和地方官员）争相舍弃旧的投票方式，例如杠杆机（lever machine）和穿孔卡片，而支持更新的方法。许多人转而使用电子投票机。尽管这些电子机器具有许多优点，我们必须确保这些新系统能够简化选举过程，减少错误并且消除舞弊。

一些国家在引入电子系统上取得巨大成功。巴西从1990年代中期就开始尝试使用电子投票机，并且自从2000年以来，包含1.06亿选民的巨大选民库仅使用一种类型的投票机。作为安全措施的一部分，多家不同的组织分别负责投票设备开发的不同方面。而且，该国谨慎地分阶段引入这些机器——1996年有4万选民（其中有7%不能通过电子方式记录投票）、而在1998年则有15万选民（2%的失败率）使用电子投票机。在这些试验基础上的改进，使得失败率在2000年降低到大约只有0.2%。

投票技术

投票系统随技术发展而进步的历史由来已久。在古希腊、古埃及和古罗马，人们用一种的废弃陶片来记录候选人的得分。后来，手工统计的纸张选票代替了陶片，现在仍然有1.3%的美国选民使用这种投票方式。另一种现代技术是杠杆机、穿孔卡片以及读出标记选票（mark-sense ballots）（每名候选人的名字旁边是一个空心椭圆或其他形状图形，如果涂上该标记则表示选中该候选人，并且用一台扫描仪来自动统计选票）。第64~65页的表中概述了各种投票方式的优点和不足，并且提出改进方法。关于非电子式系统的更详细讨论，可参看www.sciam.com/ontheweb。

电子投票机的出现大约有135年了——爱迪生在1869年就申请了一项专利。在1970年代，选举过程开始尝试电子投票机，此时的电子投票机已经可以简洁地直接显示投票结果并将它记录到计算机文件中。起先，许多人采用混合媒质机器，用纸条来显示选举而用按钮来记录选票。工作人员必须仔细将纸条与按钮和指示灯对齐。市面上仍然有采用这种纸条覆盖的电子投票机。更现代化的直接记录电子（direct record electronic，简称DRE）投票机将选票和反馈信息显示在电子显示屏上，而且可以结合音频功能。

这类机器具有许多优点：可以防止选民选择过多的候选人（叫做重复圈选），而且在选民没有选择任何候选人（圈选未完成）时会给出警告。例如，当乔治亚州在2002年改为使用DREs时，废票率（全部重复圈选和圈选未完成的总和）从2000年总统大选中全国最高的3.2%下降到2002年的0.9%。这种所谓的无选票投票方式，使得机器能够消除在处理和统计选票期间的篡改物理选票行为（追溯到1892年的杠杆机也具有许多这种特性）。

但是，DRE投票设备在美国的诞生并非一帆风顺。投票机行业条块分割，众多公司各自开发不同的产品而且没有一个成熟的制订行业范围标准的实体组织。什么是好投票机，仍然必须由诸如关于投票设备标准的IEEE Project 1583这样的不同组织和团体来讨论决定。投票机公司被指控通过贿赂来影响设备的测试后购买，这类事情并不罕见。

由于问题比较复杂，全国各地方管辖区域在测试和使用投票设备上具有不同的规则和方法。有些州县（例如洛杉矶）比较有经验，因此他们委托投票机公司按照其自己的规格生产投票机。许多其他的市政当局对投票知之甚少，因此雇用投票公司来管理选举并报告结果。

投票地点活动进一步增加了安全危机和潜在故障的可能性。记得有一次我走进佛罗里达州Broward县的中心选举仓库（投票机保存在那里，且与选区选票计数器组合在一起），当时打算在2002年12月用它对选票进行重新计数。为保持通风，该仓库的装车月台向外打开。用来统计选票的控制中心是一间很小的计算机房，房间的门略微打开，而且对进入和离开的人不做记录。

除了外界因素，DRE设备本身也存在一些技术缺陷，从而减缓它们被广泛采用的进程。选民发现其显示屏容易混淆或者难以使用。设置DREs中的软件故障和困难也提出了一些问题。在2002年Broward县的选票重新计数中，我获准对一台由电子系统和服务公司（Electronic Systemsand Services，简称ESS）提供的机器进行测试，该公司是美国一家主要的选举机制造商。由于“进入下一项竞选选票”和“已投下选票”两个按钮距离太近，这台ESS机器产生过多的“圈选未完成”。而音频选票的设计极其不合理，使得保存已投选票需要45分钟。

在由Sequoia公司制造的机器上，人们按某党施政纲领选择了支持某党的全部被提名者投票方式，当但开始选择该党的总统候选人时，却不知道投票机正在取消他们选定总统候选人选择。在新墨西哥州一个使用Sequoia机器的县，记录在册的“圈选未完成”率高达10%。

对新式投票机内部进行检查，仍然发现存在许多物理安全缺陷。例如，有些机器配有一台终生电子计数器，用来读机器产生的每一张选票。但是该计数器通过一根电缆与机器其他部分相连，腐败的选举工作人员无须破坏绝缘就可以通过断开连接来撤消投票。

投票机的源代码由不同的公司开发，与大多数商业软件一样，属于商业机密。选举机生产公司允许买主在保密条件下向专家展示源代码。遗憾的是，负责选举的地方官员可能不知怎样才能找到合格的专家。而且当找到这样的专家时，是否要求投票公司听从其意见？例如，1997年爱荷华州在考虑使用一台由全球选举系统公司（Global Election Systems，该公司后来被Diebold公司收购）制造的投票机。爱荷华大学的计算机科学家Douglas W. Jones指出其中存在安全性问题，因此该州改变主意购买了Sequoia的机器。2003年2月，Diebold公司将其软件安装在不安全的服务器上，而DRE的批评者则将Diebold的代码公布在因特网上以便所有人都能看到。Jones在六年前发现的问题仍然没有得到修复。任何能够以物理方式接触这种机器并且具备一定计算机知识的人，都可以充当黑客进入该机器并且制造出任何想要的投票结果。

最佳计算机安全性的获得，依赖于完善的加密方式和精心设计的协议。但系统是否存在安全问题需要进行测试。DRE机器并没有接受必要的经常性测试。今天的投票机的安全性完全取决于选举工作人员以及他们所执行的程序。

实际上由于现在所有的选票计数无论采用哪种投票方式，都是以某种电子形式加以存储和传送的，因此所有的投票系统都可能存在计算机作弊。DRE机器的出现，使得这种潜在的作弊行为从选民试图投下选票那一刻起就无法制止。虽然早有更改投票方式的计划，但是，如果该计划要求大管辖区域在同一种类型机器上使用一种软件，那么一次计算机攻击产生危害的面积将更大。但采用单一系统，可以使得大管辖区域更加有组织地改进投票结果，只是必须严格加以控制。

前面提到的乔治亚州废票率成功减少，就是一个很好的例子。在Kenisaw州立大学对DREs所进行的彻底测试中发现了许多问题，并且在机器正式投入使用之前予以了解决，这种对机器的严格测试和谨慎引入，是该州取得成功的关键。

电子作弊

我们如何才能发现由劣质软件所导致危险，并且在它们危害选举之前加以阻止或更正呢？阅读源代码可以揭示其质量问题和使用的安全措施，并且可以暴露软件缺陷。但是，只有让软件在所有可能遇到的情形下运行，才是唯一完全可靠的测试软件的方法。

1983年，Ken Thompson在接受美国计算机学会（Association for Computing Machinery，简称ACM）颁发的图灵奖时，做了题为“对深信不疑的信任的反思”的演讲。他在其中指出“复活节蛋”——对于程序阅读者不可见的代码段一这类危险存在的可能性。在一台选举机上，这种代码直到选举当天才会起作用，它会改变投票记录的方式。这种代码可以通过很多方式装载到选举机上：它或者通过选举软件本身、或者通过组合该软件的工具软件（编译器、连接器或装入程序），或者借助该软件运行要依赖的工具软件（数据库、操作系统调度程序、内存管理和图形用户界面控制器等）。

因此必须执行测试，以便捕捉仅仅在选举当天才出现的“复活节蛋”。许多电子投票机带有时钟，可以将时间调到选举那一天以执行测试。但是，这些时钟可能被负责选举的官员操纵而再运行一次选举，并且产生伪造的投票结果，因此，一台更安全的投票机将不允许其时钟被人为设置到工作状态。这种机器必须在选举当天测试“复活节蛋”作弊。2003年11月在选举当天，加利福尼亚州从每种电子投票系统中各任选一台，并且仔细实施并行选举以显示这些机器在记录选票时完全准确。测试证明，这些投票机能够正确地工作。

为避免投票日那天出现作弊，必须尽一切可能创建不包含恶意代码的投票机。计算机科学研究团体对如何得到可证实的安全软件问题一直争论不休。为了让计算机具有足够的可靠性以便用于诸如金融事务等其他目的，计算机安全专家已经设计出许多种方法。金融软件每天转帐几十亿美元的资金，因此必须经过广泛测试并且能够有效阻挡联合攻击。同样的安全技术可以应用于投票机。有些研究者认为，“开放源码”（公开程序源码以便任何人都可以检查）和加密技术等安全措施可以帮助预防“复活节蛋”，但不能完全杜绝。

为保护投票免遭破坏，一直要求有多方代理互相监督以避免错误和蓄意作弊。未来的最佳方案包括互相检查、并且建立内部审核以验证投票过程每一步的计算机代理商。麻省理工学院的电子投票机安全构架（Secure Architecture for Voting Electronically，简称SAVE）就是探索这种方法的一个示范研究项目。SAVE通过让多个程序执行相同任务来工作，而且同时使用这样的一些不同方法：每个程序将分别被攻击以便破坏最终投票结果。当太多模块出现不一致时，系统就会发出违规信号。

审核追踪

有些批评者坚持认为，抵抗这种攻击的最佳方法是通过提供一种公开的、容易阅读的纸质选票。这一得到广泛推广的方案就是选民校验纸质选票（voter—verified paper ballot，简称VVPN），由当时还在布林·莫尔学院的Rebeca Mercuri提出。这种投票机会打印出一张收据，这样选民在投票之后至少可以确认纸条上记录着他的意图。该收据保留在清晰的屏幕上，并且会存储在机器中，因此在检查时没有人能够篡改它。如果对电子统计结果产生争议，可以使用打印收据进行重新计数。（让选民保留收据复件不是好办法，因为这些收据会鼓励收买选票。）

尽管乍看来VVPB似乎非常吸引人，但是进一步检查会暴露其中的严重缺陷。首先，对选民而言它太复杂。美国的选举经常包括多项竞选。在填写完选票之后再在张独立的纸条上核对确认所有的选择，这并不是一件轻松的事。经验表明，即使选民发现打印结果上显示他们在某一项竞选的选择上出现错误，他们也很少愿意重新更正它。在投下选票的瞬间，任何转移选民注意力的事件都会减少此人成功投票的可能性。每个多余的按钮、每个多余的步骤、每个多余的决定，都是产生错误投票的来源。

对负责选举的官员而言，该方案也比较复杂。如果一位选民声称出现作弊，官员应当怎么办？选民声称她投了Jane的票，但是DRE屏幕和收据都显示她投了John一票。他们是否应当关闭该投票站？另外，官员没有合法权利查看选民的投票。

VVPB仅仅解决了一小部分作弊问题。如果电脑黑客篡改了打印软件，纸质记录本身就可以成为选举作弊计划的一部分。在选举之后，可以通过各种惯用手法来操纵纸质记录。

另一种更好的方法是，让人们通过录音反馈来核实他们的选择。与纸质收据相比，录制在磁带或CD上的音频记录更具公正性，难以伪造或破坏。目前的大多数电子投票机可以被设置为：当选民在看可视界面的同时，机器会播放他的选择。录音带可以由计算机解读，人们也可以听。由于纸质错读是当前各种统计机器的一个主要缺陷，录音带可以比纸质收据更容易核实。声音反馈比纸质收据更可取的另一点理由是，很难做到不留痕迹地更改或清除声音记录（回想水门事件录音带的18分钟）。而且，与成千上万张纸条相比，盒式磁带或CD更容易保存和运输。

帮助选民核实选票的其他提议还包括：当选民在投票亭中时，录制DRE的视频图像并且在选票被中心统计数据库接受时显示选票。这些技术的优点是它比较被动——不需要选民采取额外的行动。

下面介绍如何使用一种合理设计的音频记录来协助投票。假设你正在一台计算机上投票。你喜欢中立派人士Abby Roosevelt。您通过按触摸屏按钮来提交选择。该姓名以高亮度显示，而且一侧的投票按钮被另一侧的未投票按钮代替。屏幕上表示此项竞选的标记显示：已经完成选择。您戴在头上的耳机会告诉你：您已经选择“Ben Jefferson”(而且这些词已记录到备份磁带中)。

等一等!“Ben Jeferson”？您意识到您刚才一定是不小心按错了按钮。您站在屏幕前面，而且看见一个显著的“取消投票”按钮。您按下它。“支持Ben Jeferson当选总统的投票被取消，”计算机将声音传送到您耳中，同时记录到磁带中。屏幕回到投票前的状态，而且这一次你更加小心地按下按钮，结果是“投票支持中立派Abby Roosevelt当选为总统。”您可以继续投票参议院竞选。

刚才描述的特性是通过一种人们最容易理解的方式来给出反馈。人们比较容易注意到标签移动、标记变化，以及对比度和结构变化。没有这些反馈，我们要准确地完成操作会比较困难。当用户执行该动作时，音频校验会适时地出现。执行知觉任务（看见画面运动和听见声音）要比认知行为（阅读纸质收据并且记住打算投票支持的所有候选人）更容易。磁带或CD可以作为您投票选择的一份永久、独立的副本。

随着当前投票机中选票的改进，所有这些特性都是可以实现的。对于视觉或听觉有障碍的人们，则需要一些额外的工作来帮助他们核实其投票记录。

有些研究人员在考虑DRE的替代方式：以因特网投票的形式或者使用诸如电话等常用的设备进行投票。自从2002年5月以来，英国已经试验了大量打算用来提高投票数量的系统。这些方法包括：邮寄可阅读的纸张选票（给缺席投票者）；使用一种标准电话和电话的键区；在手机上使用即时短信工具；以及使用在英国家庭中很常见的交互式电视。例如在斯温顿区（Swindon Borough），在一次试验中有超过10万位选民使用因特网和电话投票。一个10位数的个人身份号码（PIN）手工递交到选民家中。该PIN与选民事先发送的一个密码（通过该密码来授权选举）一道使用。这种方法还没有查出或报道有舞弊行为。但是，该行动仅仅将投票率提高了3个百分点（从28%上升到31%）。

相反，给缺席投票者邮寄选票的方法使投票率增加了15个百分点——但是存在一个不利条件：据报道，在曼彻斯特和布拉德福出现了大规模的收买选票。

应当做什么

理想的投票机得到普遍采用的情况不会在近期内出现。但是，完全独立于所使用的特定投票机，可以通过很多做法以确保公正地收集和准确地统计美国的选票。我们应当在以下方面采取强硬措施:

1.我们应当简化注册系统。造成2000年大选选票遗漏最大的原因在于，注册数据库错误阻止了人们投票。注册数据库应当接受全面检查，以确保能够包括所有想要注册的合格选民。我们应当制定国家标准并开发相应技术，以确保人们能够可靠地注册同时不会存多处地点注册和投票。

2.负责选举的当地官员应当理解设备操作，并且在设备交付时以及每次选举前都对设备进行彻底的测试。至于DRE，应当在选举当天使用伪选区加以测试。

3.负责选举的当地官员应当教会工作人员使用简单的程序来运行设备或其他过程。仔细建立选票制作、记分、收集和统计等程序，以避免错误和舞弊。许多选举官员由于不注意而采取了破坏投票准确性、安全性和公正性的行为，例如，关闭用来检查超额选票和监视并“更正”投票的选区扫描机。

4.投票过程的每一步都应当抵制作弊。选票的收集、统计和存储都应当有相应的文档记录下谁接触了什么，并且要有明确的程序说明每一步应当如何处理素材。应当有多名工作人员监视所有的关键过程。

5.投票过程的每一项任务都应当明确而容易理解、具有有益的反馈，并且可以接受验证。在设计投票机和选票时，应当考虑人们的知觉、认知、运动和社会能力。在向负责选举的各投资方展示以接受最终批准之前，选票设计应当接受可用性和可统计性测试。选民应知道如何做出选择，并且海量选票当容易统计。

6.政府应当投资于研究开发和和测试安全的投票技术，包括DREs和通过因特网投。从长远角度来看，一拥而上采取当前的投票机并不是使用经费的最好方法。

7.应当为所有的投票工作人员以及负责投票的公司(在向这些公司投资，或者接受公司或者其主管捐赠的设备时)设置并加强道德标准。

无论采用什么样的基本技术，只有当达到这些要求时，我们才能够拥有安全而准确的投票系统。

柯江华/译

王芷/校