汪夢琪

摘 要：20世紀(jì)90年代以來，網(wǎng)絡(luò)和電子商務(wù)迅速崛起，加密術(shù)促進(jìn)經(jīng)濟(jì)發(fā)展，但同時也成了各種侵權(quán)的罪魁禍?zhǔn)?，甚至是隱藏違法文件的安全壁壘。為了協(xié)調(diào)這種利益，在網(wǎng)絡(luò)與電商迅速發(fā)展的這十年里，我國與其他許多國家一樣，開始思考并試用各種不同的加密條例，并嘗試進(jìn)行國家調(diào)和。但此后，《商業(yè)密碼管理條例》并未再做調(diào)整，如果加密使用的腳步超越了加密政策調(diào)整的范圍，或者加密政策已經(jīng)不再適用經(jīng)濟(jì)的發(fā)展，那么個人和企業(yè)將會被這種加密政策所束縛。根據(jù)對世界加密管理情況及加密條例的分析，指出這些加密條例可能對IT企業(yè)以及跨國公司產(chǎn)生的消極影響，為我國加密管理提出建議并做實務(wù)設(shè)計。

關(guān)鍵詞：加密；加密規(guī)則；加密進(jìn)出口

中圖分類號：D90-054 文獻(xiàn)標(biāo)志碼：A 文章編號：1002-2589（2014）27-0110-02

隨著信息技術(shù)類產(chǎn)品和服務(wù)逐漸占據(jù)世界貿(mào)易市場的份額增大，企業(yè)們也逐漸將對外直接投資的方向轉(zhuǎn)向高科技領(lǐng)域。侵犯知識產(chǎn)權(quán)的案例逐日遞增，信息安全的重要性也逐日呈現(xiàn)。加密的使用是強(qiáng)健信息安全系統(tǒng)的關(guān)鍵。使用加密能夠保護(hù)敏感信息，包括儲存或通信狀態(tài)中的敏感信息，同時，加密也是所有電子貿(mào)易和電子通訊系統(tǒng)（包含但不限于電子郵件和音頻通訊）的安全使者。有的國家限制加密產(chǎn)品的進(jìn)口或者出口，有的國家只限制加密技術(shù)的進(jìn)口，還有的國家甚至是禁止在其國家范圍內(nèi)使用加密術(shù)。這些條例給企業(yè)的跨國經(jīng)營帶來了巨大的困難，尤其是那些禁止使用加密術(shù)的條例迫使企業(yè)不得不妥協(xié)并將其知識產(chǎn)權(quán)置于危險之中。在美國，對于加密的使用幾乎沒有限制。但當(dāng)美國公司進(jìn)行海外經(jīng)營時，使用加密術(shù)仍然要經(jīng)歷美國國內(nèi)出口法律條例的重重考驗，并且還要受到出口國加密規(guī)則的各種限制。而在中國，對加密的進(jìn)出口及使用都有限制，這給我國的跨國貿(mào)易與經(jīng)濟(jì)發(fā)展造成了一定的阻礙。

一、世界加密規(guī)則研究

各國對加密術(shù)和加密產(chǎn)品的管制狀態(tài)分為三種：一是對進(jìn)出口完全不加限制。這樣的國家很少。二是需要許可證限制其進(jìn)出口和使用。這又可以進(jìn)一步分為：只限制出口，但是對于國內(nèi)使用加密術(shù)不加限制，例如美國，中國香港等；進(jìn)出口都限制，例如中國，伊朗。三是完全禁止加密術(shù)的進(jìn)出口和使用，例如伊拉克，白俄羅斯等。對此，“美國電子隱私資訊中心”和“全球網(wǎng)絡(luò)自由運動聯(lián)盟”對世界各國的加密進(jìn)出口限制情況做了一個報告，該報告用不同顏色來表示不同的限制水平，其中綠色代表無限制，黃色代表進(jìn)口或/和出口需要許可證，即受限制，而紅色則代表完全禁止。該表中紅色的只有蒙古、緬甸、朝鮮、伊拉克等少數(shù)民主權(quán)利保護(hù)不充分的國家。大多數(shù)國家為黃色，比如美國、中國、法國、日本等。而完全標(biāo)注為綠色的國家只有新加坡、加納和沙特阿拉伯。

由此可見，世界上多數(shù)的主要國家都對加密進(jìn)行了管理，只是管理的程度不同。加密需要被管理，因為加密是一項既促進(jìn)商業(yè)，又能用于犯罪“雙向使用”的技術(shù)。美國在冷戰(zhàn)時期就被兩大對立意識所驅(qū)使率先開始了加密的管理，美國認(rèn)為，加密術(shù)既可以用于高新企業(yè)與國外市場競爭，也能被不法分子利用，甚至威脅國家安全。而其他國家也因為不同的利益原因開始監(jiān)管加密，例如，檢測和限制國內(nèi)語音通訊。這種利益鑄就的監(jiān)管條款給國際經(jīng)營的公司帶來了不小的麻煩。

為了協(xié)調(diào)由不同進(jìn)出口條例帶來的沖突，許多國家間達(dá)成了瓦森納協(xié)定。瓦森納協(xié)定訂立的目的是“為了地區(qū)和國際安全和穩(wěn)定，提高成員國間常規(guī)武器、雙向使用物品及技術(shù)轉(zhuǎn)讓的透明度，并對轉(zhuǎn)讓的常規(guī)武器和雙向使用物品及技術(shù)負(fù)責(zé)……”加密術(shù)被列入了雙向使用物品名單之中。瓦森納協(xié)定規(guī)定對稱加密產(chǎn)品最多只能使用56位密碼，而非對稱加密產(chǎn)品至多使用512位密碼，參與國之間沒有出口限制。此外，瓦森納協(xié)定包括一項個人使用免責(zé)條款，允許在境外旅游時攜帶他們的加密設(shè)備為他們私人所用。但是，其他加密產(chǎn)品依舊屬于受限制行列。瓦森納協(xié)定設(shè)定了常規(guī)參數(shù)來控制成員國的進(jìn)出口；然而，瓦森納協(xié)定對成員國不具有約束力，并且其協(xié)定由成員國政府自由實現(xiàn)。

二、加密條例的影響

對加密術(shù)的限制至少對以下三個團(tuán)體不利：1）想要在國際市場中競爭的信息技術(shù)與安全公司；2）想要利用加密術(shù)保護(hù)數(shù)據(jù)和通信安全的海外經(jīng)營的公司；3）想要保護(hù)其數(shù)據(jù)免受社會團(tuán)體或政府干涉的限制使用加密術(shù)國家的團(tuán)體和個人。

（一）對IT產(chǎn)業(yè)的影響

各國不同的加密條例阻礙了信息技術(shù)和安全公司在國際新市場的擴(kuò)張。因為，出口控制不僅要求IT公司遵照本國法律、要求出口，還要符合不同出口國的進(jìn)口要求，IT公司必須支付高額的費用來調(diào)整。然后，就幾個主要市場的加密條例來說（比如中國），其抑制加密服務(wù)的程度對信息安全公司是很不利的。

加密條例對IT公司的影響還體現(xiàn)在對加密軟件的市場限制。許多信息技術(shù)產(chǎn)品，服務(wù)和交易都建立在強(qiáng)加密術(shù)運用的基礎(chǔ)上。例如，電子商務(wù)（例如美國的Amazon.com），當(dāng)初客戶每次網(wǎng)上購物都要擔(dān)心信用卡信息泄漏，電子商務(wù)就不會迎來如今的繁榮興旺；如今這種擔(dān)心卻因為信息傳輸過程中缺少強(qiáng)加密術(shù)的保護(hù)而名副其實，不得不說，國家限制加密術(shù)的使用，阻礙了IT業(yè)和電子商務(wù)市場的發(fā)展。

（二）對海外交易活動的影響

加密術(shù)的限制進(jìn)口和使用將導(dǎo)致出口的知識產(chǎn)權(quán)面臨巨大的風(fēng)險。如果不能使用加密設(shè)備保護(hù)數(shù)據(jù)和通信安全，公司將會陷入兩難境地：對條例妥協(xié)不使用加密術(shù)，但會將其數(shù)據(jù)推向泄露的深淵；或者使用加密，但會讓自己受到法律的制裁。這在規(guī)定尚不明確和執(zhí)行不一致的國家，情況將會更糟，比如在中國，俄羅斯等；在這種情況下，這種監(jiān)管方面的不確定性將會導(dǎo)致以犧牲市場新來者為代價支持著名的企業(yè)，破壞市場競爭，阻止新進(jìn)入者。

三、對中國海外經(jīng)營公司的建議及實務(wù)設(shè)計

（一）遵照中國出口條例

中國出口條例具有復(fù)雜性，違反的后果也很嚴(yán)峻。中國任何海外經(jīng)營的公司，在海外銷售加密術(shù)產(chǎn)品或是將加密術(shù)作為產(chǎn)品出口銷售，除滿足我國《商用密碼管理條例》之外，都還應(yīng)該由公司成立合規(guī)部進(jìn)行內(nèi)部監(jiān)督管理。監(jiān)督管理的內(nèi)容可以參照美國商務(wù)部工業(yè)安全局發(fā)布的標(biāo)準(zhǔn)，其主要成分包括：1）“對遵守所有出口控制法律法規(guī)的重要性做書面的公司政策聲明”；2）內(nèi)部程序，根據(jù)其適用的監(jiān)管分類來正確分類所有產(chǎn)品，并確保將這種分類告知其銷售人員；3）審查程序，審查客戶是否屬于對禁止/限制國家的列表，或禁止個人和實體的列表（特別指定國民）；4）監(jiān)督程序，監(jiān)督本國法人和海外子公司的活動，及公司的海外子公司的活動；5）在交付產(chǎn)品之前必須逐步完成以上程序，并在每次交付時都保持記錄下的程序步驟；6）培訓(xùn)并審計相關(guān)人員；7）對企業(yè)事務(wù)，包括他國并購進(jìn)行盡職調(diào)查；8）所有違反或涉嫌違反條例的通知和執(zhí)行程序。美國由于實行加密產(chǎn)品出口自測，即使是疏忽大意造成的非法出口也會面臨嚴(yán)峻的懲罰，所以這些程序相對其他國家尤其嚴(yán)謹(jǐn)和規(guī)范，值得本國學(xué)習(xí)借鑒。

為了確保公司直接面向客戶的產(chǎn)品和服務(wù)輸出符合本國出口法律法規(guī)，公司必須采取措施來防止內(nèi)部系統(tǒng)，尤其是IT系統(tǒng)，避免由于疏忽大意而違反出口法。其中，出口的含義在本國的《商用密碼管理條例》中并沒有準(zhǔn)確的定義，借鑒美國加密出口條例中“出口”一詞的含義得到，出口是指：1）將數(shù)據(jù)或軟件以電子郵件或者其他通過電腦傳輸至國外接入點；2）輸出或存儲在如公司內(nèi)網(wǎng)、公用圖書館網(wǎng)絡(luò)數(shù)據(jù)庫中的信息被中國以外的區(qū)域人員訪問；3）外國人對網(wǎng)絡(luò)數(shù)據(jù)和軟件的訪問，包括在國外的外國人和居住在中國的外國人。因此，簡單只是從中央服務(wù)器提供軟件安裝在聯(lián)網(wǎng)的個人電腦中-公司網(wǎng)絡(luò)的標(biāo)準(zhǔn)配置-如果該軟件包含了強(qiáng)大的加密術(shù)，便可以將該公司置于違反出口規(guī)定的境地，因為該公司網(wǎng)絡(luò)接入了國外位置的訪問?？聽柾扑]“四重合規(guī)計劃”來管理這樣的系統(tǒng)：1）識別網(wǎng)絡(luò)上所有可能受出口管制的數(shù)據(jù)和軟件；2）隔離受出口管制的數(shù)據(jù)和軟件（例如，把他們放在一個單獨的網(wǎng)絡(luò)驅(qū)動器）；3）限制非本國人和實體進(jìn)入那些隔離的區(qū)域；4）“直接向內(nèi)部指定的合規(guī)部管理人員申請獲得受管制的技術(shù)?！?/p>

（二）符合出口國加密規(guī)則

本國法尚且難守，國外法更加難循。許多國家對進(jìn)口、出口和使用加密沒有明確的規(guī)定指導(dǎo)方針，甚至那些有明確指導(dǎo)方針的國家經(jīng)常還有不一致的執(zhí)行結(jié)果。因此，依據(jù)各個國家監(jiān)管環(huán)境的不同、公司對該國的需求不同、在該管轄區(qū)缺少加密術(shù)的風(fēng)險不同來制定國別政策非常重要。

若公司決定不在限制加密的國家使用加密術(shù)，則必須采取其他措施來保護(hù)其數(shù)據(jù)和知識產(chǎn)權(quán)不被泄露。其中最重要的注意事項就是要慎重選擇網(wǎng)絡(luò)連通提供商。在公司或個人可以使用強(qiáng)加密來保護(hù)網(wǎng)絡(luò)通信時，網(wǎng)絡(luò)提供商的可信度和可靠性似乎并不影響數(shù)據(jù)的安全性。但例如電子郵件和語音通信等數(shù)據(jù)只能以非加密的方式通過網(wǎng)絡(luò)，那么，選擇一個既值得信賴的，并具有較強(qiáng)的安全系統(tǒng)和適當(dāng)程序的網(wǎng)絡(luò)提供商就至關(guān)重要了。

再則，若公司選擇不使用加密術(shù)，則應(yīng)該在該國范圍內(nèi)減少可訪問數(shù)據(jù)的總量，并降低可訪問數(shù)據(jù)敏感程度。所以，筆者建議，公司第一步應(yīng)確定該國員工訪問數(shù)據(jù)的范圍，將該國員工無須訪問的數(shù)據(jù)轉(zhuǎn)移到安全的位置（如該公司母國的數(shù)據(jù)中心），不授予該國員工訪問權(quán)限（這樣數(shù)據(jù)就不會傳輸至不安全的網(wǎng)絡(luò)鏈接）。國內(nèi)員工有權(quán)訪問的數(shù)據(jù)應(yīng)該分為兩類：只需要該國員工訪問的數(shù)據(jù)和整個企業(yè)都需要訪問的數(shù)據(jù)。前者應(yīng)該存儲在本地，作為預(yù)置程序或存儲于該國的企業(yè)實體，避免數(shù)據(jù)傳播于不安全的通信鏈接。若公司在該國有多個國內(nèi)位置，需要有一些數(shù)據(jù)在辦公室之間共享，請盡可能多地對數(shù)據(jù)進(jìn)行離線存儲。

如果一個公司在加密系統(tǒng)受限的國家使用加密術(shù)，也是變相賦予了政府獲得自己敏感企業(yè)信息的權(quán)限。此外，該國內(nèi)的用戶應(yīng)該定期更改密碼，舊的密碼應(yīng)該在密碼更改之后迅速失效，以確保在政府強(qiáng)制訪問時獲得更少的數(shù)據(jù)。

參考文獻(xiàn)：

[1]Aimee Boram Yang.China in Global Trade： Proposed Data Protection Law and Encryption Standard Dispute [M].4 I/S：J.L.&POL'Y FOR INFO，2008.

[2]Nathan Saper.INTERNATIONAL CRYPTOGRAPHY REGULATION AND THE GLOBAL INFORMATION ECONOMY [M].Northwestern Journal of Technology and Intellectual Property， 2013.

[3]原浩.完善我國密碼進(jìn)出口監(jiān)管法律制度的建議（上）[J].信息網(wǎng)絡(luò)安全，2007（6）.

[4]原浩.完善我國密碼進(jìn)出口監(jiān)管法律制度的建議（下）[J].信息網(wǎng)絡(luò)安全，2007（6）.