劉 晗

一、導(dǎo)言

密碼是保護(hù)信息未經(jīng)授權(quán)而無(wú)法獲得的技術(shù)。在信息社會(huì)中，密碼承擔(dān)著雙重使命：一方面，密碼可以用于保護(hù)個(gè)人或者組織的信息在網(wǎng)絡(luò)傳播中不受截取、攻擊、篡改和冒用；另一方面，作為國(guó)家安全體系的組成部分，密碼致力于保護(hù)國(guó)家機(jī)密和國(guó)家安全。在以上雙重意義上，密碼是網(wǎng)絡(luò)信息系統(tǒng)的“保護(hù)鎖”。

正因?yàn)槊艽a的重要作用，隨著我國(guó)互聯(lián)網(wǎng)技術(shù)的快速發(fā)展和普遍應(yīng)用，與密碼相關(guān)的法治建設(shè)也有了重大進(jìn)展。2019年10月26日，十三屆全國(guó)人大常委會(huì)第十四次會(huì)議通過(guò)了《中華人民共和國(guó)密碼法》(以下簡(jiǎn)稱(chēng)“《密碼法》”)，2020年1月1日開(kāi)始正式施行。隨著《密碼法》的通過(guò)，我國(guó)已經(jīng)形成密碼領(lǐng)域的法律體系框架。(1)在法律層面，除了《密碼法》之外，還有《國(guó)家安全法》《保守國(guó)家秘密法》《網(wǎng)絡(luò)安全法》《反恐怖主義法》《電子簽名法》(2004年通過(guò)，2015年第一次修訂，2019年第二次修訂)和《對(duì)外貿(mào)易法》等相關(guān)法律中的相關(guān)條文；行政法規(guī)包括《商用密碼管理?xiàng)l例》(國(guó)務(wù)院令第273號(hào))《技術(shù)進(jìn)出口管理?xiàng)l例》(國(guó)務(wù)院令第732號(hào))和《國(guó)務(wù)院關(guān)于取消一批行政許可事項(xiàng)的決定》(國(guó)發(fā)〔2017〕46號(hào))。部門(mén)規(guī)章層面，包括國(guó)家密碼管理局制定和公布的《商用密碼產(chǎn)品生產(chǎn)管理規(guī)定》(2005年通過(guò)，2017年12月1日修訂)、《商用密碼科研管理規(guī)定》(2005年通過(guò)，2017年12月1日修訂)、《電子認(rèn)證服務(wù)密碼管理辦法》(2005年通過(guò)，2017年12月1日修訂)、《國(guó)家密碼管理局關(guān)于做好商用密碼產(chǎn)品生產(chǎn)單位審批等4項(xiàng)行政許可取消后相關(guān)管理政策銜接工作的通知》(國(guó)密局字〔2017〕336號(hào))、《電子政務(wù)電子認(rèn)證服務(wù)業(yè)務(wù)規(guī)則規(guī)范》(國(guó)密局字〔2018〕572號(hào))等。此外，還有技術(shù)方面的國(guó)家標(biāo)準(zhǔn)，包括但不限于《GM/T0054-2018信息系統(tǒng)密碼應(yīng)用基本要求》《GM/T0044-2016SM9標(biāo)識(shí)密碼算法》《GM/T0045-2016金融數(shù)據(jù)密碼機(jī)技術(shù)規(guī)范》等。

與此同時(shí)，隨著互聯(lián)網(wǎng)遍及社會(huì)生活的各個(gè)方面，也隨著大數(shù)據(jù)、云計(jì)算等技術(shù)的快速發(fā)展，個(gè)人信息保護(hù)也日益成為熱點(diǎn)問(wèn)題，需要法律予以整體性的回應(yīng)。2021年8月，我國(guó)出臺(tái)了《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱(chēng)“《個(gè)人信息保護(hù)法》”)，對(duì)于個(gè)人信息保護(hù)的法律規(guī)則進(jìn)行了全面的規(guī)定。特別地，《個(gè)人信息保護(hù)法》規(guī)定了加密技術(shù)在個(gè)人信息保護(hù)中的作用。(2)該法第51條規(guī)定：“個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類(lèi)以及對(duì)個(gè)人權(quán)益的影響、可能存在的安全風(fēng)險(xiǎn)等，采取下列措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪(fǎng)問(wèn)以及個(gè)人信息泄露、篡改、丟失：……(三)采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施；……?！?/p>

在研究?jī)刹可婕盎ヂ?lián)網(wǎng)信息的重要法律時(shí)，值得追問(wèn)的問(wèn)題是：加密技術(shù)在個(gè)人信息法律保護(hù)的架構(gòu)中居于何種地位？密碼相關(guān)的法律和規(guī)制體系對(duì)于個(gè)人信息保護(hù)法律規(guī)則體系來(lái)說(shuō)究竟意味著什么？在《密碼法》明確賦予個(gè)人使用加密技術(shù)保護(hù)個(gè)人信息的權(quán)利之后，如何調(diào)適公權(quán)力維護(hù)國(guó)家安全、公共安全的需求和個(gè)人權(quán)利之間的平衡結(jié)構(gòu)？對(duì)于這些問(wèn)題，學(xué)界目前的研究尚屬起步階段?！睹艽a法》頒布之前，僅在網(wǎng)絡(luò)安全和信息安全領(lǐng)域有針對(duì)密碼相關(guān)法律或政策的研究出現(xiàn)；(3)參見(jiàn)肖志宏：《我國(guó)密碼法律體系架構(gòu)研究》，載《信息安全研究》2018年第9期，第853-856頁(yè)；馮瀟灑：《國(guó)外加密與執(zhí)法案例分析及其對(duì)我國(guó)密碼立法的啟示》，載《信息安全研究》2018年第3期，第201-210頁(yè)；馬民虎、王新雷：《試論商用密碼管制法之動(dòng)態(tài)國(guó)家利益觀》，載《信息網(wǎng)絡(luò)安全》2009年第3期，第47-49頁(yè)；馬民虎、趙嬋、馮立楊、王新雷：《商用密碼管制：從對(duì)立到包容之趨勢(shì)分析》，載《信息網(wǎng)絡(luò)安全》2009年第2期，第60-62頁(yè)、第69頁(yè)；馬民虎、原浩：《密鑰托管與公民隱私權(quán)的國(guó)外立法》，載《信息網(wǎng)絡(luò)安全》2005年第8期，第62-63頁(yè)；馬民虎、原浩、許蘇嘉：《美歐密碼進(jìn)出口監(jiān)管的“游戲”法則研究》，載《情報(bào)雜志》2005年第1期，第9-11頁(yè)；馬民虎：《美國(guó)密碼出口監(jiān)管政策的“歐盟”現(xiàn)象》，載《信息網(wǎng)絡(luò)安全》2002年第3期，第34-36頁(yè)；馬民虎、杜立欣：《內(nèi)外有別的控制政策——美國(guó)密碼政策演變軌跡》，載《國(guó)際貿(mào)易》2001年第10期，第21-23頁(yè)；馬民虎：《美國(guó)密碼政策的演變軌跡》，載《信息網(wǎng)絡(luò)安全》2001年第8期，第21-23頁(yè)。密碼法出臺(tái)之后，規(guī)制機(jī)構(gòu)、法學(xué)界和法律界在媒體和自媒體上有一些介紹和解讀出現(xiàn)，(4)參見(jiàn)陳亦超：《構(gòu)建國(guó)家安全法律制度體系的重要環(huán)節(jié)——〈中華人民共和國(guó)密碼法〉幾個(gè)問(wèn)題解讀》，載《中國(guó)信息安全》2019年第11期，第56-59頁(yè)；荊繼武：《學(xué)習(xí)〈密碼法〉的體會(huì)與思考》，載《中國(guó)信息安全》2019年第11期，第69-70頁(yè)；張寶山：《密碼法“亮相”：助力密碼工作法治化》，載《中國(guó)人大》2019年第13期，第35-36頁(yè)。篇幅所限，自媒體上的解讀文章恕不一一列舉。但在法學(xué)專(zhuān)業(yè)學(xué)術(shù)刊物中尚付之闕如。

本文基于對(duì)密碼學(xué)基本原理和密碼規(guī)制既有路徑的考察，試圖分析《密碼法》所帶來(lái)的中國(guó)密碼規(guī)制的重大變化，并進(jìn)一步揭示，《密碼法》所涉及的并非只有加密技術(shù)這個(gè)具體領(lǐng)域的規(guī)制問(wèn)題，它還與個(gè)人信息保護(hù)這個(gè)網(wǎng)絡(luò)法的基礎(chǔ)性問(wèn)題相關(guān)，亟需深入的研究和具體的法律建構(gòu)予以應(yīng)對(duì)。

二、代碼即法律：密碼的基本概念與規(guī)制路徑

(一)作為規(guī)制對(duì)象的“密碼”與加密技術(shù)

在密碼學(xué)和《密碼法》的意義上，密碼并非用戶(hù)日常使用的賬號(hào)密碼，如手機(jī)密碼、社交賬號(hào)密碼、銀行卡密碼、在線(xiàn)支付密碼和電子郵箱密碼等。(5)日常生活中人們上網(wǎng)或者登錄電子設(shè)備所使用的各種密碼，在嚴(yán)格意義上只是“口令”。《密碼法》第2條規(guī)定：“本法所稱(chēng)密碼，是指采用特定變換的方法對(duì)信息等進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù)?！彼^“特定變換的方法”，就是采用某種算法，把肉眼可辨的文字或者信息(“明文”)變換成無(wú)法直接辨認(rèn)的符號(hào)或者符號(hào)序列(“密文”)。例如，信息加密系統(tǒng)中常用的SHA256算法可將任何信息轉(zhuǎn)化成為一個(gè)長(zhǎng)度相同，但內(nèi)容獨(dú)一無(wú)二的字符串，并且無(wú)法通過(guò)逆運(yùn)算還原；對(duì)原文的任何細(xì)小改動(dòng)都會(huì)導(dǎo)致數(shù)值改變。(6)該算法廣泛運(yùn)用在數(shù)字簽名領(lǐng)域，成為了電子商務(wù)的技術(shù)支撐之一。例如，“密碼法研究”這個(gè)短語(yǔ)，通過(guò)SHA256算法計(jì)算出來(lái)的數(shù)值是“e3a0690c4df0310dcf52cf3f3f62cbd5525186958615df5122849057e2b3e155”。而“《密碼法》研究”的數(shù)值是“45f274c9af5f95f3d2c31151dbd3f53a531fff64784c6bf3465735b98b80dcd1”。兩者之間雖然只是一個(gè)書(shū)名號(hào)的變化，但數(shù)值卻差別甚大。此種算法即為《密碼法》中所說(shuō)的“密碼”之典型例證。

由是觀之，《密碼法》中所言的“密碼”概念包括密碼學(xué)、密碼技術(shù)和密碼產(chǎn)業(yè)。日常生活中人們所說(shuō)的“密碼”如同鑰匙，用來(lái)打開(kāi)具體的鎖具。而《密碼法》中的“密碼”(Cryptograph)(7)嚴(yán)格說(shuō)起來(lái)，Cryptography更應(yīng)該被稱(chēng)為“密碼術(shù)”。密碼術(shù)(Cryptography)是一門(mén)用密碼(cipher)、代碼(code)和相關(guān)技術(shù)來(lái)偽裝信息的科學(xué)。密碼(cipher)是一種不論任何內(nèi)容都可以加密的方法。代碼(code)則是一種編碼系統(tǒng)，即一套預(yù)先安排好的意義映射系統(tǒng)。而廣義上的密碼學(xué)(Cryptology)是研究密碼術(shù)(Cryptography)和密碼分析(Cryptanalysis，主要是破譯密碼)的學(xué)科。參見(jiàn)[美]Richard Spillman：《經(jīng)典密碼學(xué)與現(xiàn)代密碼學(xué)》，葉阮健、曹英、張長(zhǎng)富譯，清華大學(xué)出版社2005年版，第3頁(yè)。則是指加密解密方面的技術(shù)、服務(wù)和產(chǎn)品，包括密碼學(xué)和密碼學(xué)的實(shí)際應(yīng)用，因而更類(lèi)似于制作各種鎖的技術(shù)和學(xué)問(wèn)、上鎖和開(kāi)鎖服務(wù)，以及各種鎖具和鑰匙。因而《密碼法》所管理的對(duì)象，是加密解密的底層技術(shù)架構(gòu)、應(yīng)用形態(tài)和相關(guān)產(chǎn)業(yè)；并且，《密碼法》明確相關(guān)規(guī)制機(jī)構(gòu)的職責(zé)，及其相應(yīng)的法律關(guān)系。(8)法律并非不保護(hù)個(gè)人日常生活使用的“密碼”，只是不在《密碼法》里直接保護(hù)。如《最高人民法院關(guān)于審理擾亂電信市場(chǎng)管理秩序案件具體應(yīng)用法律若干問(wèn)題的解釋》(法釋〔2000〕12號(hào))第8條規(guī)定：“盜用他人公共信息網(wǎng)絡(luò)上網(wǎng)賬號(hào)、密碼上網(wǎng)，造成他人電信資費(fèi)損失數(shù)額較大的，依照刑法第二百六十四條的規(guī)定，以盜竊罪定罪處罰?！北I號(hào)還可能構(gòu)成侵權(quán)行為，如被盜號(hào)的主體遭受財(cái)產(chǎn)損失，或名譽(yù)損失，可主張民事賠償。

《密碼法》對(duì)于密碼功能的界定反映了密碼學(xué)技術(shù)的基本功能：加密和認(rèn)證。正如《密碼法》第2條所言，“密碼”一方面能給傳遞信息提供“加密保護(hù)”，即將明文信息變成密文信息，防止信息泄露、被人竊取或者篡改；另一方面，密碼也可以提供“安全認(rèn)證”，即保證信息發(fā)送主體真實(shí)可靠，防止欺詐和誤解。

正是因?yàn)槊艽a的加密和認(rèn)證功能，密碼作為人類(lèi)信息傳輸安全的重要技術(shù)保證，幾乎關(guān)涉一切社會(huì)領(lǐng)域——無(wú)論是政治場(chǎng)景、商業(yè)交易還是個(gè)人生活，密碼都可以滿(mǎn)足人們實(shí)際的安全需求和心理上的安全感。(9)See A.Michael Froomkin, The Metaphor Is the Key: Cryptography, the Clipper Chip, and the Constitution, 143 University of Pennsylvania Law Review 709, 718-719 (1995).在信息時(shí)代，人們可以使用經(jīng)過(guò)加密或者帶有加密功能的電子設(shè)備(如智能手機(jī))或者軟件(如操作系統(tǒng)、電子郵件程序)進(jìn)行安全有效的通信，從而保護(hù)自己的私密領(lǐng)域不受外界侵犯，從而維護(hù)其人格尊嚴(yán)和披露信息的選擇自由?？梢?jiàn)，密碼是個(gè)人隱私的有力保護(hù)手段，其在某種意義上甚至比法律制度更為有效。很多時(shí)候，竊密者即便能夠突破法律或者違反法律，也因無(wú)法違反數(shù)學(xué)規(guī)律而導(dǎo)致其不可能竊密成功。值得注意的是，密碼的使用也有其“暗面”：它也可以被犯罪分子、黑社會(huì)、顛覆力量乃至于恐怖主義者利用，用以躲避政府追查和法律制裁。

現(xiàn)代密碼學(xué)基于數(shù)學(xué)算法設(shè)計(jì)出了各種加密技術(shù)。加密過(guò)程依賴(lài)的算法，核心即是通過(guò)某種函數(shù)將信息轉(zhuǎn)化為數(shù)值，從而實(shí)現(xiàn)從明文到密文的轉(zhuǎn)換。(10)See Alfred J.Menezes, Paul C.van Oorschot & Scott A.Vanstone, Handbook of Applied Cryptography, CRC Press, 1996, pp.6-8.為了達(dá)到保密效果，現(xiàn)代密碼學(xué)通常運(yùn)用單向函數(shù)(one-way functions)或者陷門(mén)函數(shù)(trapdoor functions)(11)參見(jiàn)同上注，第8-9頁(yè)。來(lái)保證運(yùn)算的過(guò)程在工程上不可逆：明文經(jīng)過(guò)函數(shù)運(yùn)算得出的密文，無(wú)法通過(guò)同一函數(shù)反向計(jì)算從而得到明文。需要說(shuō)明的是，此類(lèi)函數(shù)算法也并非完全無(wú)懈可擊，而只是要保證試圖竊取信息的一方難以在短時(shí)間內(nèi)暴力破解，也即“算法上不可行”(computationally infeasible)。一種算法是否能夠達(dá)到此種程度，取決于現(xiàn)有的人類(lèi)算力。(12)See Jacob Ziv, In Search of a One-Way Function, in Thomas M.Cover & B.Gopinath eds., Open Problems in Communication and Computation, Springer, 1987, pp.104-105.當(dāng)下被認(rèn)為是安全的加密算法，很可能隨著人類(lèi)算力的增強(qiáng)(例如量子計(jì)算的發(fā)展)而變得可以輕易攻破。

實(shí)踐中，信息網(wǎng)絡(luò)系統(tǒng)特別依賴(lài)于不同于傳統(tǒng)對(duì)稱(chēng)密碼技術(shù)的非對(duì)稱(chēng)加密技術(shù)體系。比如，RSA加密算法可用于數(shù)字簽名和數(shù)字證書(shū)等身份鑒別技術(shù)，保證身份的真實(shí)性和不可否認(rèn)性，防止身份假冒和抵賴(lài)；同時(shí)還可通過(guò)數(shù)據(jù)摘要技術(shù)保證信息完整性，防止篡改。(13)參見(jiàn)左朝勝、馬軍峰、徐曉穎、高建遠(yuǎn)：《鑄造國(guó)家政務(wù)安全的云盾牌》，載搜狐網(wǎng)2018年3月7日，http://www.sohu.com/a/225016419_161623。如果說(shuō)網(wǎng)絡(luò)安全是整個(gè)互聯(lián)網(wǎng)的免疫系統(tǒng)，密碼便是其中的關(guān)鍵基因。

之所以如此，是因?yàn)橄啾容^傳統(tǒng)的通訊方式(如郵政或者電話(huà)系統(tǒng))，互聯(lián)網(wǎng)通信本身在安全和隱私保護(hù)上較為脆弱，其采取的是分布式網(wǎng)絡(luò)和包交換通信方式。(14)See David D.Clark, The Design Philosophy of the DARPA Internet Protocols, 18 Computer Communication Review 106, 106-114 (1988).如若試圖保證互聯(lián)網(wǎng)安全，就必須采用加密技術(shù)。對(duì)社會(huì)生活而言，加密技術(shù)在互聯(lián)網(wǎng)時(shí)代就變得前所未有的重要和關(guān)鍵。

(二)加密技術(shù)規(guī)制的基本形態(tài)：國(guó)際與比較的視角

正是因?yàn)榉菍?duì)稱(chēng)密碼的出現(xiàn)，針對(duì)密碼的法律規(guī)制開(kāi)始成為問(wèn)題。(15)另外一個(gè)重要的因素是美國(guó)聯(lián)邦政府將對(duì)稱(chēng)密碼DES(Data Encryption Standard，一種使用56位密鑰的對(duì)稱(chēng)算法)于1976年確立為聯(lián)邦資料處理標(biāo)準(zhǔn)(FIPS)，隨即公開(kāi)傳播，甚至在國(guó)際社會(huì)廣泛流傳。在非對(duì)稱(chēng)密碼出現(xiàn)之前，密碼技術(shù)基本屬于國(guó)家壟斷技術(shù)，主要用于軍事通信和國(guó)家安全事務(wù)，并無(wú)法律規(guī)制方面的問(wèn)題，而是軍政機(jī)構(gòu)的內(nèi)部管理問(wèn)題，且普遍采取嚴(yán)格管控的態(tài)度。隨著非對(duì)稱(chēng)密碼的出現(xiàn)以及大規(guī)模的商用化和民用化，密碼技術(shù)從軍政機(jī)構(gòu)手中相對(duì)獨(dú)立出來(lái)自行發(fā)展，密碼的規(guī)制、政府的邊界、個(gè)人的自由和產(chǎn)業(yè)的發(fā)展，才成為法律和政策上至關(guān)緊要的問(wèn)題。

從凱撒到美國(guó)國(guó)家安全局，密碼在絕大多數(shù)情況下，都曾是主權(quán)者或現(xiàn)代主權(quán)國(guó)家的專(zhuān)用技術(shù)。非對(duì)稱(chēng)密碼發(fā)明后，隨著大規(guī)模的商業(yè)化應(yīng)用，密碼廣泛成為軍民兩用產(chǎn)品(dual-use good)，特別是伴隨著互聯(lián)網(wǎng)商業(yè)化和社會(huì)化運(yùn)用，密碼技術(shù)開(kāi)始成為重要的商用與個(gè)人使用的技術(shù)。

需要注意的是，在現(xiàn)代密碼學(xué)中，技術(shù)并非完全中立，特別是非對(duì)稱(chēng)密碼算法天然帶有“強(qiáng)化隱私、弱化規(guī)制”的政治立場(chǎng)。由于非對(duì)稱(chēng)密碼系統(tǒng)對(duì)個(gè)人信息和隱私的保密功能越來(lái)越強(qiáng)，私人通信之間開(kāi)始形成一種相對(duì)不受公權(quán)力介入和干涉的自主空間，政府因此開(kāi)始逐漸失去對(duì)密碼技術(shù)的全面壟斷。密碼領(lǐng)域從政府控制領(lǐng)域，轉(zhuǎn)變?yōu)樘幱谡褪袌?chǎng)之間的規(guī)制區(qū)域。而且，發(fā)明非對(duì)稱(chēng)密碼的密碼學(xué)家基本都是信奉自由意志主義者(libertarian)和無(wú)政府主義的“密碼朋克”(Cypherpunk)，(16)密碼朋克郵件組(Cyberpunk Mailing-List)于1992年成立，其早期成員包括后來(lái)大名鼎鼎的人物：BT下載創(chuàng)始人布拉姆·科恩(Bram Cohen)、維基解密創(chuàng)始人阿桑奇(Julian Assange)、萬(wàn)維網(wǎng)WWW的發(fā)明者蒂姆·李(Tim B.Lee)、臉書(shū)的創(chuàng)始人之一帕克(Sean Parker)以及比特幣創(chuàng)始人中本聰。其基本思想是無(wú)政府主義。其中也有少數(shù)法學(xué)家，如邁阿密大學(xué)法學(xué)院A.邁克爾·弗魯姆金(A.Michael Froomkin)教授。其基本思想傾向參見(jiàn)《密碼無(wú)政府主義宣言》(Crypto Anarchist Manifesto)，https://www.activism.net/cypherpunk/crypto-anarchy.html。傾向于抵制規(guī)制、塑造自由空間，使得政府規(guī)制本身更加成為問(wèn)題。更加值得注意的是，非對(duì)稱(chēng)密碼同樣可用于非法活動(dòng)的保密，公權(quán)力機(jī)關(guān)自然也有更強(qiáng)的動(dòng)力規(guī)制密碼。(17)《密碼法》第12條規(guī)定：“任何組織或者個(gè)人不得竊取他人加密保護(hù)的信息或者非法侵入他人的密碼保障系統(tǒng)。任何組織或者個(gè)人不得利用密碼從事危害國(guó)家安全、社會(huì)公共利益、他人合法權(quán)益等違法犯罪活動(dòng)?！?/p>

于是，在政府對(duì)商用密碼的規(guī)制和進(jìn)出口限制問(wèn)題上，產(chǎn)生了公權(quán)力和私領(lǐng)域之間的激烈沖突。在互聯(lián)網(wǎng)商業(yè)化開(kāi)始的20世紀(jì)90年代，美國(guó)曾經(jīng)出現(xiàn)政府和密碼學(xué)界的一場(chǎng)激烈沖突，常被稱(chēng)為“密碼圣戰(zhàn)”(Crypto Wars)。(18)See Eric Rice, The Second Amendment and the Struggle Over Cryptography, 9 Hastings Science and Technology Law Journal 29, 31 (2017).一方堅(jiān)持打擊犯罪，希望在法律和技術(shù)上嚴(yán)格管控密碼軟件的國(guó)內(nèi)使用和國(guó)際貿(mào)易；另一方則堅(jiān)持言論自由和隱私權(quán)，極力反對(duì)政府的規(guī)制。這場(chǎng)戰(zhàn)爭(zhēng)最終以美國(guó)政府退縮而告一段落，由此也型構(gòu)了當(dāng)代美國(guó)密碼的規(guī)制體系。(19)See e.g., Bernstein v.U.S.Dept. of State, 945 F.Supp.1279, 1286 (N.D.Cal.1996).

美國(guó)密碼戰(zhàn)揭示出來(lái)的重要信息是：在數(shù)字經(jīng)濟(jì)和信息時(shí)代，密碼作為軍民兩用技術(shù)，同時(shí)涉及國(guó)家安全和個(gè)人隱私。正因?yàn)槿绱?，?guó)際社會(huì)和各國(guó)法律對(duì)密碼都已經(jīng)采取了規(guī)制措施，其基本原則可以概括為：對(duì)于涉及國(guó)家安全的密碼采取嚴(yán)格管制態(tài)度，而對(duì)于涉及商業(yè)和個(gè)人使用的密碼則放松管控。

首先，國(guó)際社會(huì)已經(jīng)有相關(guān)協(xié)議對(duì)密碼的進(jìn)出口措施予以管理。1996年，33國(guó)共同簽署的《瓦森納協(xié)定》提出，“通過(guò)促進(jìn)常規(guī)武器和雙重用途貨物和技術(shù)轉(zhuǎn)讓的透明度和更大的責(zé)任，為區(qū)域和國(guó)際安全與穩(wěn)定作出貢獻(xiàn)……”。具體而言，《瓦森納協(xié)定》規(guī)定，對(duì)56位密鑰長(zhǎng)度以上的對(duì)稱(chēng)加密產(chǎn)品，以及512位密鑰長(zhǎng)度的非對(duì)稱(chēng)加密產(chǎn)品，簽訂協(xié)議各國(guó)不得設(shè)置出口限制。此外，瓦森納協(xié)議還規(guī)定了個(gè)人使用豁免，即允許個(gè)人出國(guó)旅行時(shí)攜帶密碼設(shè)備供個(gè)人使用。經(jīng)濟(jì)合作與發(fā)展組織(OECD)于1997年也制定了《經(jīng)合組織密碼政策指南》(OECDGuidelinesforCryptographyPolicy)，(20)全稱(chēng)“OECD密碼政策推薦指南”(OECD Recommendation Concerning Guidelines for Cryptography Policy)，參見(jiàn)http://www.oecd.org/sti/ieconomy/guidelinesforcryptographypolicy.htm，2020年2月9日訪(fǎng)問(wèn)。其基本目的是在維護(hù)國(guó)家安全和社會(huì)公共利益的前提下，促進(jìn)密碼的商業(yè)化和社會(huì)化使用。

在國(guó)家層面，美國(guó)密碼法律和政策體系的總體目標(biāo)可以概括為：(一)增強(qiáng)產(chǎn)業(yè)國(guó)際競(jìng)爭(zhēng)力，通過(guò)法律和政策，促進(jìn)美國(guó)高科技產(chǎn)業(yè)的國(guó)際市場(chǎng)占有份額和實(shí)際影響力的提高；(二)維護(hù)國(guó)家安全，限制和打擊罪犯和恐怖分子利用強(qiáng)加密技術(shù)來(lái)開(kāi)展違法活動(dòng)。(21)See Tricia E.Black, Taking Account of the World as It Will Be: The Shifting Course of U.S.Encryption Policy, 53 Federal Communications Law Journal 289, 292 (2001).秉承兩個(gè)目標(biāo)，形成于20世紀(jì)末“密碼圣戰(zhàn)”之后的現(xiàn)行美國(guó)密碼法和密碼規(guī)制體系，總體原則可以概括為：內(nèi)部使用自由和對(duì)外出口管制。(22)See Nathan Saper, International Cryptography Regulation and the Global Information Economy, 11 Northwestern Journal of Technology and Intellectual Property 673, 679-682 (2013).我國(guó)有學(xué)者曾經(jīng)將其概括為“內(nèi)外有別”原則。(23)參見(jiàn)同前注〔3〕，馬民虎、杜立欣文，第21-23頁(yè)。具體而言，美國(guó)法律對(duì)于密碼產(chǎn)品和技術(shù)在國(guó)內(nèi)的研發(fā)、使用和銷(xiāo)售并不加以限制。密碼技術(shù)的研發(fā)和應(yīng)用被當(dāng)成“言論”而受到《美國(guó)憲法》第一修正案的保護(hù)；(24)甚至有美國(guó)學(xué)者認(rèn)為，由于密碼本身是進(jìn)出口法律中的“武器”，因此也可以享受第二修正案“持有武器的權(quán)利”的保護(hù)。參見(jiàn)同前注〔18〕，Eric Rice文。個(gè)人的加密信息在刑事程序中受到第四修正案和第五修正案保護(hù)，(25)參見(jiàn)《美國(guó)憲法》第四修正案規(guī)定，“人民的人身、住宅、文件和財(cái)產(chǎn)不受無(wú)理搜查和扣押的權(quán)利，不得侵犯。除依據(jù)可能成立的理由，以宣誓或代誓宣言保證，并詳細(xì)說(shuō)明搜查地點(diǎn)和扣押的人或物，不得發(fā)出搜查和扣押狀”；第五修正案規(guī)定，“任何人……不得在任何刑事案件中被迫自證其罪……”。即執(zhí)法機(jī)關(guān)不得非法搜查，以及強(qiáng)迫自證其罪。美國(guó)聯(lián)邦法院曾經(jīng)判定，刑事案件的偵查過(guò)程中，個(gè)人密鑰或密碼并無(wú)針對(duì)執(zhí)法機(jī)關(guān)的披露義務(wù)。(26)See In re Grand Jury Subpoena to Sebastien Boucher, No.2:06-mj-91 (D.Vt.Feb.19, 2009).

另一方面，在美國(guó)，密碼產(chǎn)品和技術(shù)的出口歷來(lái)受到法律規(guī)制。(27)美國(guó)密碼技術(shù)和產(chǎn)業(yè)世界領(lǐng)先，因此對(duì)于外國(guó)密碼產(chǎn)品和技術(shù)并不設(shè)置任何進(jìn)口限制。美國(guó)商務(wù)部工業(yè)和安全局(BIS)負(fù)責(zé)執(zhí)行《出口管理?xiàng)l例》(ExportAdministrationRegulations)，其中的管理范圍即包含密碼產(chǎn)品和技術(shù)。該條例設(shè)置的商品管控清單中，第五類(lèi)第二部分“電信和‘信息安全’”一欄規(guī)定，除用于醫(yī)療終端或者知識(shí)產(chǎn)權(quán)保護(hù)目的的密碼產(chǎn)品外，密碼產(chǎn)品必須接受出口管制。(28)See Bureau of Industry and Security, Export Administration Regulations, Commerce Control List, Category 5-Telecommunications and "Information Security" , BIS (Dec.7, 2012), http://www.bis.doc.gov/policiesandregulations/ear/ccl5_pt2.pdf.具體的管制標(biāo)準(zhǔn)主要考量?jī)蓚€(gè)因素：一是密碼軟件的加密屬性，特別是密鑰長(zhǎng)度；(29)參見(jiàn)同上注。二是軟件出口的目標(biāo)客戶(hù)，也即消費(fèi)者的屬性和國(guó)別。(30)參見(jiàn)美國(guó)財(cái)政部網(wǎng)站相關(guān)信息，https://www.treasury.gov/ofac/downloads/sdnlist.pdf，2020年2月9日訪(fǎng)問(wèn)。

歐盟與美國(guó)類(lèi)似，遵循《瓦森納協(xié)定》設(shè)立規(guī)則，也在密碼治理中采取“內(nèi)外有別”的原則。(31)See Setting Up a Community Regime for the Control of Exports of Dual-use Items and Technology, Council Regulation (EC) No 1334/2000, https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX%3A32000R1334.一方面，對(duì)于國(guó)內(nèi)個(gè)人和企業(yè)使用密碼，歐盟法律奉行自由使用原則，甚至比美國(guó)的標(biāo)準(zhǔn)還要更寬松。如同歐盟對(duì)個(gè)人信息和人格權(quán)的保護(hù)高于美國(guó)標(biāo)準(zhǔn)，歐盟也將密碼和密碼學(xué)提高到事關(guān)隱私和人格尊嚴(yán)的層面，進(jìn)行嚴(yán)格保護(hù)。(32)參見(jiàn)同前注〔22〕，Nathan Saper文，第482頁(yè)。

另一方面，出口管制法規(guī)根據(jù)歐盟作為跨國(guó)聯(lián)盟的性質(zhì)，針對(duì)不同國(guó)家采取“差序格局”的做法。首先，歐盟加盟國(guó)內(nèi)部自由流通和使用，歐盟以外國(guó)家進(jìn)行出口管制。其次，對(duì)于歐盟以外的國(guó)家，相對(duì)管控較輕的是美國(guó)、加拿大、日本、新西蘭及未加入歐盟的歐洲國(guó)家(如挪威和瑞士)等國(guó)。對(duì)于出口到這些國(guó)家的密碼產(chǎn)品，需要申請(qǐng)“歐盟一般出口授權(quán)”(CGEA)。最后，對(duì)其他國(guó)家則采取較為嚴(yán)格的管制，需要一事一議地申請(qǐng)對(duì)特定國(guó)家的出口許可。

三、舊瓶新酒：密碼法律體系的基礎(chǔ)框架

(一)從商用密碼的興起到《密碼法》：中國(guó)密碼法律治理體系的發(fā)展

在我國(guó)，密碼也是一種兩用技術(shù)。密碼與國(guó)家安全、民族獨(dú)立和軍事實(shí)力密切相關(guān)：如果說(shuō)互聯(lián)網(wǎng)是涉及國(guó)家主權(quán)和安全的第五疆域，密碼便是一種重要武器。密碼行業(yè)也屬于高科技研發(fā)和應(yīng)用行業(yè)，相關(guān)產(chǎn)業(yè)的國(guó)際影響力對(duì)于國(guó)家乃至于社會(huì)來(lái)說(shuō)也非常重要。數(shù)字經(jīng)濟(jì)的運(yùn)行發(fā)展，數(shù)字生活的正常開(kāi)展，都離不開(kāi)密碼技術(shù)和密碼行業(yè)：無(wú)論是金融、通信、交通、健康、能源，還是公安、稅務(wù)、社保、電子政務(wù)等領(lǐng)域，更不用說(shuō)物聯(lián)網(wǎng)、云計(jì)算和區(qū)塊鏈等新應(yīng)用場(chǎng)景。(33)比如，在金融領(lǐng)域，規(guī)制部門(mén)需要通過(guò)有效的密碼技術(shù)手段，打擊偽造銀行卡、偽造網(wǎng)上交易身份等違法犯罪行為。在稅收領(lǐng)域，增值稅防偽稅控系統(tǒng)也是采用密碼技術(shù)保護(hù)涉稅信息，增值稅發(fā)票上的四個(gè)二維碼，就是密碼技術(shù)的應(yīng)用；二代身份證里面也是使用密碼芯片，防止偽造身份證等違法犯罪行為。而網(wǎng)民上網(wǎng)留下的個(gè)人敏感信息、隱私，乃至商業(yè)秘密，不但需要法律保護(hù)，更需要技術(shù)保護(hù)。參見(jiàn)人民網(wǎng)：《〈中華人民共和國(guó)密碼法〉發(fā)布這六個(gè)問(wèn)題你需要知道》，載國(guó)家互聯(lián)網(wǎng)信息辦公室官方網(wǎng)站2019年10月29日，http://www.cac.gov.cn/2019-10/29/c_1573880702680488.htm。

與世界其他主要國(guó)家類(lèi)似，我國(guó)密碼規(guī)制的發(fā)展，亦經(jīng)歷了從全面管控到軍民兩用分別治理的發(fā)展歷程。長(zhǎng)期以來(lái)，密碼一直是軍事國(guó)防和外交情報(bào)領(lǐng)域的專(zhuān)用技術(shù)，幾乎沒(méi)有民用和商用的空間。20世紀(jì)90年代，隨著市場(chǎng)經(jīng)濟(jì)和信息化的發(fā)展，社會(huì)對(duì)保護(hù)非國(guó)家秘密信息的需求逐漸增大，民用和商用密碼的市場(chǎng)空間也隨之拓展開(kāi)來(lái)。然而，當(dāng)時(shí)我國(guó)的密碼技術(shù)幾乎全部應(yīng)用于軍事和國(guó)家安全系統(tǒng)，甚少民用化和商用化，商業(yè)密碼技術(shù)和產(chǎn)業(yè)處于起步階段。例如，當(dāng)時(shí)各大銀行使用的多是進(jìn)口密碼機(jī)。(34)參見(jiàn)倪?。骸稘饪s的中國(guó)商用密碼產(chǎn)業(yè)發(fā)展史——衛(wèi)士通二十年商密業(yè)務(wù)發(fā)展歷程》，載《信息安全與通信保密》2018年第5期，第118-130頁(yè)。

順應(yīng)社會(huì)發(fā)展趨勢(shì)，中央決策機(jī)關(guān)開(kāi)始推出相關(guān)政策，旨在促進(jìn)商用密碼發(fā)展和管理。1996年7月，中共中央政治局常委會(huì)研究決定，大力發(fā)展商用密碼，加強(qiáng)對(duì)商用密碼的管理。中央辦公廳印發(fā)《關(guān)于發(fā)展商用密碼和加強(qiáng)對(duì)商用密碼管理工作的通知》，確定“統(tǒng)一領(lǐng)導(dǎo)、集中管理、定點(diǎn)研制、專(zhuān)控經(jīng)營(yíng)、滿(mǎn)足使用”的發(fā)展和管理方針；同時(shí)，從體制層面，確立商用密碼管理機(jī)構(gòu)——國(guó)家密碼管理委員會(huì)及其辦公室。1999年10月7日，國(guó)務(wù)院頒布并施行《商用密碼管理?xiàng)l例》，開(kāi)始密碼管理的法治化進(jìn)程。2002年，中央機(jī)構(gòu)編制委員會(huì)批準(zhǔn)國(guó)家密碼管理委員會(huì)辦公室下設(shè)商用密碼管理辦公室，專(zhuān)司商用密碼管理。2003年9月，中央辦公廳、國(guó)務(wù)院辦公廳聯(lián)合印發(fā)《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中發(fā)辦〔2003〕27號(hào))，首次明確密碼在信息安全中的關(guān)鍵作用。(35)參見(jiàn)《國(guó)家密碼管理局商密辦張平武：商用密碼發(fā)展歷程與展望》，載網(wǎng)絡(luò)安全等級(jí)保護(hù)網(wǎng)2018年9月21日，http://www.djbh.net/webdev/web/AcademicianColumnAction.do?p=getYszl&id=8a81825664ceff130165f9c361af0070，2020年2月9日訪(fǎng)問(wèn)。由此，在21世紀(jì)初，中國(guó)初步形成了以《商用密碼管理?xiàng)l例》為核心的商用密碼治理體系。

隨著數(shù)字經(jīng)濟(jì)和網(wǎng)絡(luò)安全的發(fā)展，以《商用密碼管理?xiàng)l例》為核心的舊體系日益變得無(wú)法適應(yīng)新的需求?！渡逃妹艽a管理?xiàng)l例》比較偏重管制，將商用密碼也作為國(guó)家機(jī)密進(jìn)行專(zhuān)控管理，密碼產(chǎn)品的生產(chǎn)、銷(xiāo)售和進(jìn)出口都實(shí)行嚴(yán)格的行政審批制度。(36)參見(jiàn)《商用密碼管理?xiàng)l例》第13條規(guī)定：“進(jìn)口密碼產(chǎn)品以及含有密碼技術(shù)的設(shè)備或者出口商用密碼產(chǎn)品，必須報(bào)經(jīng)國(guó)家密碼管理機(jī)構(gòu)批準(zhǔn)。任何單位或者個(gè)人不得銷(xiāo)售境外的密碼產(chǎn)品?！贝藯l規(guī)定設(shè)置了兩項(xiàng)行政審批：出口許可審批；進(jìn)口審批制度。例如，國(guó)內(nèi)企業(yè)進(jìn)口密碼產(chǎn)品，或在中國(guó)境內(nèi)營(yíng)業(yè)的外資企業(yè)要使用外國(guó)密碼產(chǎn)品，都須向密碼管理部門(mén)申請(qǐng)備案。近年來(lái)，國(guó)家推行“放、管、服”政策，轉(zhuǎn)變政府職能，努力優(yōu)化營(yíng)商環(huán)境。(37)參見(jiàn)《優(yōu)化營(yíng)商環(huán)境條例》(中華人民共和國(guó)國(guó)務(wù)院令第722號(hào))。密碼領(lǐng)域也得進(jìn)行相應(yīng)管理改革，特別是在商用密碼領(lǐng)域，政府要做到減輕規(guī)制、促進(jìn)服務(wù)。

于是，《密碼法》應(yīng)運(yùn)而生，成為了中國(guó)密碼法治的重要?dú)v史節(jié)點(diǎn)。值得注意的是，《密碼法》的制定同時(shí)建立在中國(guó)自主密碼技術(shù)大力發(fā)展的基礎(chǔ)之上。(38)國(guó)外密碼產(chǎn)品和服務(wù)從供應(yīng)鏈角度而言存在風(fēng)險(xiǎn)，國(guó)外密碼算法占據(jù)了世界大部分市場(chǎng)份額(如AES、RSA、SHA256等算法)。從技術(shù)角度而言，在20世紀(jì)90年代美國(guó)進(jìn)行“密碼圣戰(zhàn)”的時(shí)代，中國(guó)現(xiàn)代密碼學(xué)的發(fā)展仍然處于起步階段，基本停留在對(duì)稱(chēng)密碼技術(shù)。新世紀(jì)以來(lái)，隨著“國(guó)密算法”的推出，我國(guó)的密碼技術(shù)已經(jīng)取得了重大進(jìn)展。

(二)《密碼法》基于密碼兩用性質(zhì)的分類(lèi)管理

任何法律的具體規(guī)則都服務(wù)于總體的立法目標(biāo)?！睹艽a法》的總體思想是區(qū)分密碼的雙重性質(zhì)，分別加以管理：加密技術(shù)事關(guān)國(guó)家安全，必須接受黨和國(guó)家統(tǒng)一領(lǐng)導(dǎo)；加密技術(shù)同時(shí)關(guān)乎公司和個(gè)人的信息安全的，需要加以適度規(guī)制，以保護(hù)社會(huì)公共利益和個(gè)人合法權(quán)益。具體而言，涉及國(guó)家安全和社會(huì)公益的加密和解密技術(shù)，實(shí)行進(jìn)口許可、出口管制。

遵循密碼同時(shí)具有軍用和民用的雙重特點(diǎn)，《密碼法》首先對(duì)于密碼采取分類(lèi)管理，把各種密碼技術(shù)和產(chǎn)品分成三大類(lèi)：核心密碼、普通密碼和商用密碼。(39)參見(jiàn)《密碼法》第6條。核心密碼和普通密碼保護(hù)國(guó)家秘密信息：核心密碼涉及國(guó)家機(jī)密，關(guān)乎國(guó)家安全(40)例如，一些新興的加密通訊軟件已經(jīng)被視為威脅國(guó)家安全的工具。參見(jiàn)同前注〔4〕，陳亦超文，第56頁(yè)。和國(guó)防利益，對(duì)應(yīng)的最高密級(jí)是絕密級(jí)；普通密碼是政府部門(mén)使用，對(duì)應(yīng)最高密級(jí)為機(jī)密級(jí)。由于核心密碼和普通密碼與國(guó)家安全緊密聯(lián)系，《密碼法》采取嚴(yán)格統(tǒng)一管理的總體原則，(41)參見(jiàn)《密碼法》第3-5條。具體制度由國(guó)家密碼管理局(42)《密碼法》第42條規(guī)定管理密碼的核心機(jī)構(gòu)：國(guó)家密碼管理局。根據(jù)2018年3月國(guó)務(wù)院發(fā)布的《國(guó)務(wù)院關(guān)于部委管理的國(guó)家局設(shè)置的通知》(國(guó)發(fā)〔2018〕7號(hào))，國(guó)家密碼管理局與中央密碼工作領(lǐng)導(dǎo)小組辦公室一個(gè)機(jī)構(gòu)兩塊牌子，列入中共中央直屬機(jī)關(guān)的下屬機(jī)構(gòu)序列。和中央軍事委員會(huì)(43)參見(jiàn)《密碼法》第43條。制定?！睹艽a法》有關(guān)核心密碼和普通密碼的規(guī)則體系建構(gòu)，改變了此前依靠政策進(jìn)行管理的局面，大大推進(jìn)了該領(lǐng)域的法治化進(jìn)程。

值得說(shuō)明的是，密碼本身和國(guó)家秘密并非一回事情。密碼本身乃是一整套用于加密解密信息的計(jì)算機(jī)代碼，而國(guó)家秘密則是需要加密解密的信息內(nèi)容本身，且是涉及國(guó)家安全和核心利益的一類(lèi)機(jī)密信息。商業(yè)密碼則是用于企業(yè)、組織和個(gè)人，涉及非國(guó)家秘密的信息。《密碼法》規(guī)定，在不涉及國(guó)家安全和公共利益的密碼應(yīng)用中，放松規(guī)制，鼓勵(lì)和促進(jìn)技術(shù)研發(fā)、學(xué)術(shù)交流和產(chǎn)業(yè)發(fā)展，并著力推進(jìn)標(biāo)準(zhǔn)化和國(guó)際化。之前《商用密碼管理?xiàng)l例》則規(guī)定：“商用密碼技術(shù)屬于國(guó)家秘密。國(guó)家對(duì)商用密碼產(chǎn)品的科研、生產(chǎn)、銷(xiāo)售和使用實(shí)行專(zhuān)控管理?！?44)《商用密碼管理?xiàng)l例》第3條。從《商用密碼管理?xiàng)l例》對(duì)商業(yè)密碼的屬性劃分，到《密碼法》的分類(lèi)管理，反映的是法律體系對(duì)于密碼(學(xué))的認(rèn)知突變?？傮w來(lái)看，《密碼法》對(duì)于商業(yè)密碼規(guī)制的核心在于放開(kāi)主體區(qū)分，轉(zhuǎn)而采用行為區(qū)分：不再通過(guò)設(shè)置主體的進(jìn)入門(mén)檻來(lái)規(guī)制，而是鼓勵(lì)進(jìn)入該領(lǐng)域之后，對(duì)進(jìn)入之后的行為進(jìn)行規(guī)制，體現(xiàn)出從事前審批到事中事后規(guī)制的轉(zhuǎn)變，甚至在密碼技術(shù)的開(kāi)發(fā)使用方面呈現(xiàn)某種“促進(jìn)法”的特征。

從技術(shù)角度來(lái)講，分類(lèi)管理避免了之前不加區(qū)分的統(tǒng)一監(jiān)控政策可能會(huì)造成的不便。具體而言，我國(guó)自主開(kāi)發(fā)的國(guó)密算法安全程度很高，但使用成本也很高，如國(guó)密算法不兼容主流瀏覽器和操作系統(tǒng)。根據(jù)《密碼法》的新規(guī)定，商用密碼可以根據(jù)使用場(chǎng)景劃分安全等級(jí)，對(duì)使用國(guó)密算法還是國(guó)際算法具有選擇空間。換言之，在商用密碼的選擇問(wèn)題上，法律擯棄強(qiáng)制原則，采取“助推”(nudge)(45)Richard H.Thaler & Cass R.Sunstein, Nudge: Improving Decisions about Health, Wealth, and Happiness, Yale University Press, 2008.模式，鼓勵(lì)商業(yè)組織自愿選擇國(guó)家標(biāo)準(zhǔn)算法。(46)例如，在非對(duì)稱(chēng)密碼算法中，鼓勵(lì)使用國(guó)家標(biāo)準(zhǔn)SM2，但也允許使用國(guó)際通行的RSA算法，只是要求必須具有相當(dāng)強(qiáng)度，如2048位密鑰，甚至更高。

進(jìn)出口管理中的“大眾消費(fèi)類(lèi)密碼產(chǎn)品”例外條款同樣體現(xiàn)了《密碼法》區(qū)分雙重用途、適度規(guī)制商用密碼的傾向。進(jìn)出口管理是各國(guó)密碼規(guī)制的重要制度之一?！睹艽a法》不再對(duì)商業(yè)密碼進(jìn)出口管制進(jìn)行主體區(qū)分，而只進(jìn)行類(lèi)型區(qū)分：對(duì)涉及國(guó)家安全、社會(huì)公共利益且具有加密保護(hù)功能的，實(shí)行進(jìn)口許可，出口管制；不涉及國(guó)家安全和公共利益的“大眾消費(fèi)類(lèi)密碼產(chǎn)品”則不實(shí)行進(jìn)口許可和出口管制。普通人使用或接觸到的密碼產(chǎn)品(如手機(jī)操作系統(tǒng)里的加密技術(shù)和功能和U盤(pán)和移動(dòng)硬盤(pán)中的加密技術(shù))不受進(jìn)出口許可和管制的限制。帶有加密功能的大眾消費(fèi)品不再需要冗長(zhǎng)繁雜的審批手續(xù)，產(chǎn)品在中國(guó)上市速度可以加快。

四、法律前沿：加密技術(shù)、規(guī)制與個(gè)人信息保護(hù)

《密碼法》確立的新規(guī)制體系不但對(duì)商業(yè)主體來(lái)說(shuō)非常重要，對(duì)個(gè)人用戶(hù)來(lái)說(shuō)也很重要。因此，《密碼法》的實(shí)施必將推動(dòng)密碼治理格局乃至于公權(quán)力/私權(quán)利關(guān)系的結(jié)構(gòu)性轉(zhuǎn)變。隨著《密碼法》的實(shí)施和網(wǎng)絡(luò)用戶(hù)加密意識(shí)的提高，加密技術(shù)的廣泛運(yùn)用趨勢(shì)已經(jīng)不可逆轉(zhuǎn)，政府權(quán)力與個(gè)人信息權(quán)利之間的沖突將達(dá)到前所未有的程度，亟需相關(guān)法律予以應(yīng)對(duì)。

(一)密碼使用、加密技術(shù)規(guī)制與個(gè)人信息保護(hù)

1.《密碼法》與密碼使用權(quán)

密碼不但涉及國(guó)家安全和經(jīng)濟(jì)發(fā)展，也涉及通信自由、通信秘密和信息隱私等公民權(quán)利。隨著《密碼法》的出臺(tái)和個(gè)人信息加密意識(shí)提高，公民通過(guò)使用加密技術(shù)和軟件防止通信泄密的傾向勢(shì)必會(huì)變得越來(lái)越強(qiáng)。而且，隨著網(wǎng)絡(luò)空間與物理空間不斷融合，對(duì)密碼的使用需求已經(jīng)擴(kuò)及到每一個(gè)互聯(lián)網(wǎng)用戶(hù)。用戶(hù)可以使用密碼技術(shù)、產(chǎn)品和服務(wù)進(jìn)行網(wǎng)絡(luò)購(gòu)物、登錄在線(xiàn)銀行；密碼可以保護(hù)靜態(tài)數(shù)據(jù)(如手機(jī)和個(gè)人電腦硬盤(pán)中存儲(chǔ)的數(shù)據(jù))、動(dòng)態(tài)數(shù)據(jù)(網(wǎng)銀交易、網(wǎng)頁(yè)瀏覽和電子商務(wù)等通過(guò)互聯(lián)網(wǎng)或局域網(wǎng)傳輸?shù)臄?shù)據(jù))和平臺(tái)數(shù)據(jù)(為保護(hù)用戶(hù)隱私，平臺(tái)與用戶(hù)之間的通信使用端到端的公鑰/私鑰系統(tǒng)加密，因而平臺(tái)不能訪(fǎng)問(wèn)用戶(hù)信息，除非用戶(hù)明確同意)。

毫無(wú)疑問(wèn)，法律賦予公民和法人密碼使用權(quán)，將極大改變目前大數(shù)據(jù)時(shí)代信息儲(chǔ)存和傳輸過(guò)程中大面積不受加密保護(hù)的狀況。(47)參見(jiàn)滑明飛：《1400萬(wàn)快遞用戶(hù)隱私裸奔：如何為大數(shù)據(jù)加密？》，載搜狐網(wǎng)2014年8月18日，http://news.sohu.com/20140818/n403520015.shtml。目前，很多數(shù)據(jù)都是以明文傳輸和儲(chǔ)存在網(wǎng)絡(luò)系統(tǒng)和大數(shù)據(jù)系統(tǒng)中。特別是在云計(jì)算環(huán)境下，用戶(hù)數(shù)據(jù)保存在云端，而保存在云端的數(shù)據(jù)副本常常未經(jīng)過(guò)加密存儲(chǔ)。攻擊者可以在無(wú)需攻破用戶(hù)個(gè)人口令的情況下，從大數(shù)據(jù)系統(tǒng)中獲取數(shù)據(jù)副本，甚至開(kāi)展違法犯罪活動(dòng)。數(shù)據(jù)泄露多發(fā)的現(xiàn)象，很大程度上即源于此。如若加強(qiáng)原始數(shù)據(jù)在傳輸和存儲(chǔ)中的隱私保護(hù)，甚至保證大型公共系統(tǒng)不受攻擊，加密技術(shù)的運(yùn)用必不可少。

在此大背景下，個(gè)人對(duì)于密碼的使用權(quán)呼之欲出?！睹艽a法》第8條第2款規(guī)定：“公民、法人和其他組織可以依法使用商用密碼保護(hù)網(wǎng)絡(luò)與信息安全?！痹摋l規(guī)定為個(gè)人使用密碼的權(quán)利提供了法律權(quán)源。根據(jù)國(guó)家密碼管理局的相關(guān)解讀：“公民、法人和其他組織可以依法使用商用密碼，既是《密碼法》賦予公民、法人和其他組織自主選擇使用商用密碼的權(quán)利，也是鼓勵(lì)公民、法人和其他組織依法使用商用密碼保護(hù)網(wǎng)絡(luò)與信息安全?！?48)國(guó)家密碼管理局：《密碼政策問(wèn)答(二十二)》，載國(guó)家密碼管理局官方網(wǎng)站，http://www.oscca.gov.cn/sca/xxgk/2020-01/28/content_1060626.shtml。

2.加密技術(shù)與個(gè)人信息保護(hù)

不言而喻，密碼使用權(quán)也與個(gè)人信息權(quán)密切相關(guān)。正如我國(guó)著名密碼學(xué)家王小云教授所言：“密碼技術(shù)是……信息保護(hù)的重要手段?！?49)王小云：《密碼技術(shù)是數(shù)據(jù)治理和信息保護(hù)重要手段》，載正義網(wǎng)，http://news.jcrb.com/jxsw/201811/t20181109_1924340.html。由于密碼和加密技術(shù)會(huì)起到促進(jìn)數(shù)字經(jīng)濟(jì)和個(gè)人生活等方面的作用，密碼使用權(quán)利和個(gè)人信息權(quán)利的保護(hù)問(wèn)題將變得更加重要。2018年7月，中央辦公廳、國(guó)務(wù)院辦公廳發(fā)布的《金融和重要領(lǐng)域密碼應(yīng)用與創(chuàng)新發(fā)展工作規(guī)劃(2018-2022)》(廳字〔2018〕36號(hào))特別指出：“在互聯(lián)網(wǎng)應(yīng)用、云服務(wù)和智能終端中，加強(qiáng)密碼對(duì)公民個(gè)人信息和數(shù)字資產(chǎn)的保護(hù)?！?021年出臺(tái)的《個(gè)人信息保護(hù)法》將加密技術(shù)與個(gè)人信息的法律保護(hù)機(jī)制相銜接，在具體的法律保護(hù)機(jī)制(如知情同意等規(guī)則)之外，著重規(guī)定個(gè)人信息處理者使用加密技術(shù)的制度，為個(gè)人信息的保護(hù)提供了一條技術(shù)支撐的路徑。(50)參見(jiàn)《個(gè)人信息保護(hù)法》第51條。從比較法角度來(lái)看，這也是較為通行的做法。2018年出臺(tái)的歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR)第32條規(guī)定，數(shù)據(jù)“控制者和處理者”在處理個(gè)人數(shù)據(jù)時(shí)，應(yīng)采取“適當(dāng)技術(shù)與組織措施，以便保證和風(fēng)險(xiǎn)相稱(chēng)的安全水平”，其中第一項(xiàng)即是“個(gè)人數(shù)據(jù)的匿名化和加密”。歐盟《一般數(shù)據(jù)保護(hù)條例》，丁曉東譯，https://www.sohu.com/a/232773245_455313。其說(shuō)明條款(Recitals)第83條進(jìn)一步規(guī)定：“為了維護(hù)安全和防止違反本規(guī)定的處理，控制者或處理者應(yīng)評(píng)估處理中固有的風(fēng)險(xiǎn)，并采取措施來(lái)降低這些風(fēng)險(xiǎn)，如加密。這些措施應(yīng)確保適當(dāng)程度的安全，包括保密……”General Data Protection Regulation, Recital 83, https://gdpr-info.eu/recitals/no-83/。譯文為筆者翻譯。歐盟的做法雖然并未規(guī)定數(shù)據(jù)控制者和處理者的違法責(zé)任，但也為其處理數(shù)據(jù)中使用加密技術(shù)提供了明確的方向。加拿大《個(gè)人信息保護(hù)和電子文件法》(PIPEDA，2000)則規(guī)定：“消費(fèi)者的個(gè)人信息必須由與個(gè)人信息的敏感性相適應(yīng)的安全措施保障，包括使用密碼(passwords)和加密(encryption)等技術(shù)措施。”如若商業(yè)組織違反此條款，則需承擔(dān)最高10萬(wàn)加元的懲罰。Personal Information Protection and Electronic Documents Act, S.C.2000, C.5, https://laws-lois.justice.gc.ca/ENG/ACTS/P-8.6/page-4.html#h-417174. 相比較而言，美國(guó)《加利福尼亞州消費(fèi)者隱私法》(CCPA)在保護(hù)個(gè)人隱私的規(guī)定中，雖然在運(yùn)營(yíng)商的安全保障義務(wù)中沒(méi)有明確提及加密義務(wù)，但在相應(yīng)的訴訟規(guī)則中隱含了加密問(wèn)題。該法第1798.150(1)中規(guī)定：“任何消費(fèi)者如其……未加密或未經(jīng)處理的個(gè)人信息，由于企業(yè)違反義務(wù)而未實(shí)施和維護(hù)合理安全程序以及采取與信息性質(zhì)相符的做法來(lái)保護(hù)個(gè)人信息，從而遭受了未經(jīng)授權(quán)的訪(fǎng)問(wèn)和泄露、盜竊或披露”，則消費(fèi)者可因3項(xiàng)原因提起民事訴訟，其中包括提起每個(gè)消費(fèi)者100美元到750美元之間的賠償請(qǐng)求。換言之，如果企業(yè)采用了對(duì)于消費(fèi)者個(gè)人信息的加密處理，則至少可以就此提出抗辯，免除賠償。See California Consumer Privacy Act of 2018, 1798.150，中文譯文參見(jiàn)《美國(guó)〈2018年加州消費(fèi)者隱私法案〉》，吳沈括等譯，載“安全內(nèi)參”2018年7月10日，https://www.secrss.com/articles/3836。

作為中國(guó)個(gè)人信息保護(hù)領(lǐng)域的基礎(chǔ)性法律，《個(gè)人信息保護(hù)法》中對(duì)于個(gè)人信息處理者的加密義務(wù)居于重要地位。具體而言，該法要求個(gè)人信息處理者必須采取密碼技術(shù)和去標(biāo)識(shí)化等安全技術(shù)措施來(lái)保護(hù)個(gè)人信息在數(shù)據(jù)靜態(tài)存儲(chǔ)和動(dòng)態(tài)傳輸中的安全和權(quán)利。對(duì)于個(gè)人信息處理者而言，運(yùn)用加密技術(shù)也是安全性較高而成本較低的一種合規(guī)舉措。此外，相關(guān)技術(shù)標(biāo)準(zhǔn)也做了類(lèi)似的要求。《信息安全技術(shù)個(gè)人信息安全規(guī)范》(GB/T 35273-2020)6.3條規(guī)定，傳輸和存儲(chǔ)個(gè)人敏感信息時(shí)，應(yīng)采用加密等安全措施。

加密技術(shù)不僅體現(xiàn)在《個(gè)人信息保護(hù)法》第51條中規(guī)定的“加密”義務(wù)中，也體現(xiàn)在該條規(guī)定的“去標(biāo)識(shí)化”義務(wù)中。原因在于，作為一種信息技術(shù)，去標(biāo)識(shí)化大量使用了各種加密技術(shù)。例如，《信息安全技術(shù)個(gè)人信息安全規(guī)范》(2020)3.15條規(guī)定，去標(biāo)識(shí)化的方式有假名、加密和哈希函數(shù)等技術(shù)手段；《信息安全技術(shù)—個(gè)人信息去標(biāo)識(shí)化指南》(GB/T 37964-2019)中列舉的常用去標(biāo)識(shí)化技術(shù)也包含密碼技術(shù)。

3.加密技術(shù)及其規(guī)制對(duì)個(gè)人信息保護(hù)的挑戰(zhàn)

然而，在加密技術(shù)助力個(gè)人信息保護(hù)的同時(shí)，它也給個(gè)人信息保護(hù)及其法律規(guī)則帶來(lái)了新的挑戰(zhàn)，甚至對(duì)于互聯(lián)網(wǎng)信息和代碼規(guī)制提出了新的問(wèn)題。

究其實(shí)質(zhì)，個(gè)人信息保護(hù)需要放在數(shù)字經(jīng)濟(jì)的大格局下進(jìn)行定位，因此存在與促進(jìn)數(shù)據(jù)流通、跨境流動(dòng)和開(kāi)發(fā)利用等問(wèn)題的潛在張力?！秱€(gè)人信息保護(hù)法》雖然并未處理此問(wèn)題，但這種張力及其平衡在《數(shù)據(jù)安全法》以及一系列數(shù)據(jù)政策當(dāng)中明確地體現(xiàn)出來(lái)。《個(gè)人信息保護(hù)法》及其相關(guān)規(guī)則體系確立了以授權(quán)同意和去標(biāo)識(shí)化為核心的規(guī)則體系，在保護(hù)用戶(hù)權(quán)利的同時(shí)，自然對(duì)于數(shù)據(jù)流通和開(kāi)發(fā)利用產(chǎn)生了一定的抑制效應(yīng)。反之，一旦數(shù)據(jù)流通之后，其他主體若可以通過(guò)解密技術(shù)反推，從而還原原始數(shù)據(jù)，突破個(gè)人信息去標(biāo)識(shí)化和匿名化的限制，就會(huì)使得個(gè)人信息權(quán)利重新受到巨大威脅。

目前，互聯(lián)網(wǎng)產(chǎn)業(yè)界通過(guò)數(shù)據(jù)標(biāo)識(shí)加密技術(shù)、關(guān)聯(lián)技術(shù)和有效授權(quán)技術(shù)，嘗試確保個(gè)人敏感信息不可識(shí)別和僅在授權(quán)范圍內(nèi)使用，為個(gè)人信息保護(hù)提供了技術(shù)保障。加密技術(shù)的使用不僅有助于個(gè)人信息保護(hù)，也有助于企業(yè)和技術(shù)社群在進(jìn)行數(shù)據(jù)流通和開(kāi)發(fā)利用過(guò)程中設(shè)計(jì)合規(guī)方案。尤其是2020年以來(lái)，部分是為了平衡個(gè)人信息保護(hù)和數(shù)據(jù)流通利用之間的關(guān)系，以密碼技術(shù)為重要支撐的“隱私計(jì)算”技術(shù)方興未艾，并在數(shù)字經(jīng)濟(jì)中得到應(yīng)用。融合了密碼學(xué)和其他計(jì)算機(jī)科學(xué)的隱私計(jì)算可用于加強(qiáng)數(shù)據(jù)流通過(guò)程中對(duì)個(gè)人標(biāo)識(shí)信息的加密保護(hù)，從而促進(jìn)數(shù)據(jù)流通價(jià)值和個(gè)人信息保護(hù)之間的動(dòng)態(tài)平衡。(51)參見(jiàn)隱私計(jì)算聯(lián)盟、中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所：《隱私計(jì)算白皮書(shū)》，2021年7月，第2頁(yè)。具體而言，該技術(shù)通過(guò)對(duì)于個(gè)人信息的加密，可以實(shí)現(xiàn)在原始數(shù)據(jù)留存本地的基礎(chǔ)上，通過(guò)技術(shù)化手段只輸出切片、標(biāo)簽化、脫密后的梯度和參數(shù)等信息滿(mǎn)足去標(biāo)識(shí)化的要求，使得其他數(shù)據(jù)處理者不能夠復(fù)原數(shù)據(jù)中包含的個(gè)人可識(shí)別信息，從而實(shí)現(xiàn)數(shù)據(jù)流動(dòng)和他者的聯(lián)合開(kāi)發(fā)。而且，一旦滿(mǎn)足了去標(biāo)識(shí)化的要求，個(gè)人信息處理者及其他數(shù)據(jù)使用者也可以免除使用數(shù)據(jù)進(jìn)行分析過(guò)程中征求用戶(hù)二次甚至多次授權(quán)的麻煩，從而能夠一定程度上符合《個(gè)人信息保護(hù)法》的合規(guī)要求。(52)參見(jiàn)同上注，第33頁(yè)。

然而，以隱私計(jì)算為代表的新興數(shù)據(jù)處理技術(shù)卻面臨著法律評(píng)價(jià)上的不確定性。畢竟，此種技術(shù)仍然屬于《個(gè)人信息保護(hù)法》中的去標(biāo)識(shí)化技術(shù)，而非匿名化技術(shù)。它可以降低個(gè)人信息的敏感程度，但并非使得個(gè)人信息在傳輸和流通之后完全不可識(shí)別，因此仍然需要在個(gè)案中判斷該技術(shù)能否能夠幫助個(gè)人信息處理者達(dá)成合規(guī)義務(wù)。(53)參見(jiàn)蘇州信息安全法學(xué)所：《密碼技術(shù)在〈個(gè)人信息保護(hù)法〉中的基石地位和實(shí)現(xiàn)》，載安全內(nèi)參網(wǎng)2021年8月27日，https://www.secrss.com/articles/33841。而對(duì)此問(wèn)題的判斷，不但取決于《個(gè)人信息保護(hù)法》的相關(guān)實(shí)施細(xì)則和相關(guān)技術(shù)標(biāo)準(zhǔn)，也取決于《密碼法》背景下的加密技術(shù)發(fā)展(例如當(dāng)前認(rèn)為足以去標(biāo)識(shí)化、無(wú)法識(shí)別個(gè)人身份和屬性信息的技術(shù)，是否可能隨著技術(shù)的迭代，變得可以識(shí)別，再如加密過(guò)程中的密鑰被獲取或密碼系統(tǒng)被破解的難度是否隨著技術(shù)的發(fā)展而降低)，甚至取決于《密碼法》所建構(gòu)的規(guī)制體系下的具體規(guī)制措施和個(gè)案處理。因此，網(wǎng)絡(luò)運(yùn)營(yíng)商作為個(gè)人信息處理者和加密技術(shù)使用者，也要不斷根據(jù)算法和個(gè)人信息保護(hù)的場(chǎng)景，對(duì)于其所使用的加密技術(shù)進(jìn)行安全認(rèn)證，從而符合《密碼法》等法律建構(gòu)的加密技術(shù)規(guī)制規(guī)則體系。

更有甚者，技術(shù)的發(fā)展及其應(yīng)用也會(huì)不斷挑戰(zhàn)《個(gè)人信息保護(hù)法》體系中預(yù)設(shè)的去標(biāo)識(shí)化和匿名化的二分法。(54)《個(gè)人信息保護(hù)法》第4條規(guī)定：“個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！卑凑赵摲ㄒ?guī)定，去標(biāo)識(shí)化的信息在經(jīng)過(guò)額外信息輔助的情況下(如獲取對(duì)于個(gè)人信息數(shù)據(jù)進(jìn)行加密的密鑰)，仍然可以復(fù)原為個(gè)人信息。去標(biāo)識(shí)化僅是增加了識(shí)別自然人身份和屬性信息的難度，而非排除了其可能性。匿名化則意味著個(gè)人信息數(shù)據(jù)無(wú)法復(fù)原。加密解密技術(shù)的發(fā)展完全可能產(chǎn)生一種現(xiàn)象，即原先無(wú)法復(fù)原的數(shù)據(jù)可以通過(guò)新的技術(shù)予以復(fù)原，從而影響《個(gè)人信息保護(hù)法》的適用范圍——該法第4條規(guī)定，匿名化信息不屬于該法保護(hù)的個(gè)人信息。此時(shí)，是否應(yīng)該在《密碼法》之下的加密規(guī)制體系中限制此類(lèi)代碼的開(kāi)發(fā)和技術(shù)的使用，就變成極為關(guān)鍵的問(wèn)題。就此，法律需要在個(gè)案當(dāng)中判斷一項(xiàng)加密技術(shù)是否滿(mǎn)足了匿名化的要求，從而免除《個(gè)人信息保護(hù)法》設(shè)定的義務(wù)，還是僅僅起到了去標(biāo)識(shí)化的作用，以及作用有多大，從而確定個(gè)人信息處理者已經(jīng)履行了該義務(wù)。個(gè)人信息保護(hù)法領(lǐng)域的學(xué)者和實(shí)務(wù)人士因而必須直面密碼技術(shù)的更新迭代，并且關(guān)注密碼規(guī)制的發(fā)展?fàn)顩r。

(二)執(zhí)法需求與個(gè)人信息的平衡機(jī)制：法律與技術(shù)的交叉路徑

1．密碼的社會(huì)化使用與執(zhí)法需求的張力

必須注意的是，加密技術(shù)的普遍社會(huì)化使用是一把雙刃劍。加密技術(shù)的個(gè)人使用普遍化將會(huì)打破公權(quán)力和隱私之間的既有平衡狀態(tài)。隨著《密碼法》的推行，公眾對(duì)密碼技術(shù)的認(rèn)識(shí)和運(yùn)用加密技術(shù)保護(hù)個(gè)人信息和隱私的程度提高，會(huì)造成執(zhí)法和司法機(jī)關(guān)獲取數(shù)據(jù)的技術(shù)困難。究其實(shí)質(zhì)，互聯(lián)網(wǎng)從其底層架構(gòu)而言，“易攻難守”。(55)左亦魯：《國(guó)家安全視域下的網(wǎng)絡(luò)安全——從攻守平衡的角度切入》，載《華東政法大學(xué)學(xué)報(bào)》2018年第1期，第155頁(yè)。加密技術(shù)在信息網(wǎng)絡(luò)各個(gè)環(huán)節(jié)的普遍使用，會(huì)使互聯(lián)網(wǎng)的攻守態(tài)勢(shì)趨于平衡。然而，新的平衡將會(huì)帶來(lái)執(zhí)法與隱私之間新的不平衡。加密技術(shù)的廣泛使用，不但意味著個(gè)人信息隱私得到更強(qiáng)保護(hù)，也意味著公權(quán)力機(jī)關(guān)獲取數(shù)據(jù)的難度相應(yīng)增大。這個(gè)難題已經(jīng)超出了傳統(tǒng)的政府維護(hù)安全的權(quán)力和個(gè)人的隱私權(quán)利之間的沖突框架，(56)See Cass R.Sunstein, Beyond Cheneyism and Snowdenism, 83 The University of Chicago Law Review 271, 272-273 (2015).也構(gòu)成了公共安全和個(gè)人信息安全之間的沖突。(57)See Bruce Schneier, The Value of Encryption, Schneier On Security (Apr.2016), https://www.schneier.com/essays/archivcs/2016/04/the_value_of_encrypt.html (hereinafter Schneier Il); Olivia Gonzalez, Cracks in the Armor: Legal Approaches to Encryption, 2019 Journal of Law, Technology & Policy 2, 9-10 (2019).此外，更需注意的是，個(gè)人信息安全也不僅牽涉?zhèn)€人隱私，同時(shí)也關(guān)涉社會(huì)利用網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行發(fā)展的整體利益(例如數(shù)字經(jīng)濟(jì)和數(shù)字治理)。

公權(quán)力與隱私之間的沖突典型地體現(xiàn)在執(zhí)法機(jī)關(guān)為打擊犯罪而獲取數(shù)據(jù)的過(guò)程之中。在大量數(shù)據(jù)未加密的情況下，張力尚不明顯。然而，一旦加密普及開(kāi)來(lái)，執(zhí)法機(jī)關(guān)將會(huì)面臨重大障礙。畢竟，越來(lái)越多的數(shù)據(jù)將會(huì)以密文形式傳輸和存儲(chǔ)，有效防止截獲、泄露和篡改。(58)參見(jiàn)《專(zhuān)家解讀〈密碼法〉，數(shù)據(jù)加密保護(hù)將是我國(guó)網(wǎng)絡(luò)安全工作的重點(diǎn)》，載和訊網(wǎng)，https://shandong.hexun.com/2019-10-28/199026576.html，2020年2月9日訪(fǎng)問(wèn)。第三方(無(wú)論是攻擊者還是執(zhí)法者)獲取數(shù)據(jù)的難度會(huì)不斷加大。從國(guó)外經(jīng)驗(yàn)來(lái)看，執(zhí)法機(jī)關(guān)可能采取的措施分為兩大類(lèi)，一是尋找密鑰進(jìn)入系統(tǒng)獲取數(shù)據(jù)，二是在不獲取密鑰的情況下直接獲取數(shù)據(jù)。(59)See Orin S.Kerr & Bruce Schneier, Encryption Workarounds, 106 Georgetown Law Journal 989, 989-1020 (2018).前者則進(jìn)一步區(qū)分為找到“密碼”(口令)、暴力破解和通過(guò)偵查、審訊嫌疑人獲取“密碼”；后者則包括利用加密系統(tǒng)漏洞予以破解、在設(shè)備使用時(shí)獲取明文數(shù)據(jù)和獲取數(shù)據(jù)在運(yùn)營(yíng)商上的備份。(60)參見(jiàn)同上注。無(wú)論何種方法從數(shù)學(xué)原理來(lái)說(shuō)都只是概率性的，無(wú)法提供一通百通的方法，也沒(méi)法決定優(yōu)劣之分，因?yàn)閷?duì)于方法的選擇取決于執(zhí)法機(jī)關(guān)的技術(shù)認(rèn)知程度、技術(shù)使用能力高低和資源配置程度。(61)參見(jiàn)同上注。在極端情況下，執(zhí)法機(jī)關(guān)面臨著數(shù)學(xué)法則的制約。(62)See John Villasenor, No, the Laws of Australia Don' t Override the Laws of Mathematics, Brookings Institution (July 17, 2017), https://www.brookings.edu/blog/techtank/2017/07/17/no-the-laws-of-australia-dont-override-the-laws-of-mathematics.例如，在網(wǎng)絡(luò)服務(wù)提供商并未保留用戶(hù)私鑰的情況下，在端對(duì)端加密通信中，執(zhí)法機(jī)關(guān)需要借助極強(qiáng)的算力資源方才能夠?qū)崿F(xiàn)其目標(biāo)。(63)參見(jiàn)同上注。甚至在某些情況下，執(zhí)法機(jī)關(guān)的解密效果與加密技術(shù)的規(guī)制密切相關(guān)，特別是法律對(duì)于個(gè)人使用商用密碼的強(qiáng)度(特別是密鑰長(zhǎng)度)的規(guī)定。(64)See Peter Swire & Kenesa Ahmad, Encryption and Globalization, 13 Columbia Science & Technology Law Review 416, 441-444 (2012). 印度最近的“密碼圣戰(zhàn)”可以提供參考。隨著2008年孟買(mǎi)大爆炸的發(fā)生，印度政府加強(qiáng)了信息安全措施，特別是出臺(tái)法律規(guī)定商業(yè)和個(gè)人使用的加密技術(shù)中秘鑰長(zhǎng)度不得超過(guò)40比特。這雖然有利于政府打擊犯罪，但不利于維護(hù)個(gè)人信息和隱私，將會(huì)產(chǎn)生個(gè)人網(wǎng)絡(luò)安全的黑洞。

以2016年Applev.FBI案為例。蘋(píng)果公司被FBI依法要求協(xié)助破解圣貝納迪諾襲擊者賽義德·法魯克(Syed Farook)使用的iPhone 5c手機(jī)。法魯克已死，使得執(zhí)法機(jī)關(guān)強(qiáng)迫其提供密鑰的策略無(wú)法進(jìn)行。政府知道，法魯克的手機(jī)啟用了自動(dòng)刪除功能以阻止暴力破解，盲猜“密碼”就變得更難。政府轉(zhuǎn)而試圖獲取明文數(shù)據(jù)的備份副本，并獲得了手機(jī)內(nèi)容在云端(iCloud)上的備份，但云端存儲(chǔ)的只是6個(gè)星期之間的較早版本，而FBI希望獲得最新的副本。FBI獲得法院許可，要求蘋(píng)果公司協(xié)助，禁用云端副本的自動(dòng)刪除功能，以便快速猜測(cè)破解密碼，實(shí)際上就是讓蘋(píng)果公司“開(kāi)后門(mén)”。蘋(píng)果公司反對(duì)，認(rèn)為這會(huì)侵犯用戶(hù)隱私，喪失其他用戶(hù)信任。(65)例如，蘋(píng)果公司CEO庫(kù)克公開(kāi)表示，這將會(huì)“攻擊它自己的用戶(hù)，破壞幾十年來(lái)保護(hù)它的用戶(hù)(包括數(shù)千萬(wàn)美國(guó)公民)免受……黑客和網(wǎng)絡(luò)罪犯攻擊的安全保障措施。……具有諷刺意味的是，同樣一批工程師，把加密程序植入iPhone保護(hù)我們的用戶(hù)，又被責(zé)令削弱那些保護(hù)，使我們的用戶(hù)更不安全”。Tim Cook, A Message to Our Customers, Apple (Feb.16, 2016), http://www.apple.com/customer-letter/.其他互聯(lián)網(wǎng)公司(如亞馬遜、微軟、臉書(shū)、谷歌等)也聯(lián)名提交了“法院之友”意見(jiàn)書(shū)，明確反對(duì)此項(xiàng)舉措。See Amicus Briefs in Support of Apple, Apple: Newsroom (Mar.2, 2016), https://www.apple.com/newsroom/2016/03/03Amicus-Briefs-in-Support-of-Apple/.FBI最終另辟蹊徑，在訴訟判決之前，通過(guò)匿名的第三方協(xié)助破解了密碼。

上述案件體現(xiàn)出來(lái)的是在執(zhí)法機(jī)關(guān)獲取數(shù)據(jù)的場(chǎng)景中典型的問(wèn)題所在，即一方面，犯罪嫌疑人是否有法律上的自解密義務(wù)；另一方面，互聯(lián)網(wǎng)運(yùn)營(yíng)者、設(shè)備制造商乃至于加密算法開(kāi)發(fā)者的協(xié)助解密義務(wù)問(wèn)題。

2．可能的解決方案：自解密義務(wù)與協(xié)助解密義務(wù)的范圍與限度

為了應(yīng)對(duì)執(zhí)法困局，技術(shù)與法律相結(jié)合的方案在世界范圍內(nèi)已經(jīng)有所發(fā)展，其中有兩種方案值得加以探討。一是在個(gè)人使用的加密算法中要求算法開(kāi)發(fā)者設(shè)立“后門(mén)”。例如，澳大利亞曾經(jīng)出臺(tái)反加密法，允許政府強(qiáng)迫科技公司為產(chǎn)品設(shè)置后門(mén)。(66)參見(jiàn)《澳大利亞新頒布反加密法引起軒然大波》，載白帽匯安全研究院，https://nosec.org/home/detail/2043.html，2020年2月9日訪(fǎng)問(wèn)。具體而言，此種開(kāi)發(fā)“后門(mén)”的法律義務(wù)設(shè)定，如果加密系統(tǒng)中不設(shè)置執(zhí)法部門(mén)可以獲得明文的技術(shù)機(jī)制，該加密系統(tǒng)不得推廣使用。但是，此舉風(fēng)險(xiǎn)很大，仍需慎重。首先，從技術(shù)角度而言，開(kāi)“后門(mén)”是雙刃劍，具有較大的潛在風(fēng)險(xiǎn)。本國(guó)執(zhí)法可以從“后門(mén)”進(jìn)入系統(tǒng)，外國(guó)政府、黑客甚至恐怖主義者也可以從“后門(mén)”進(jìn)入。這反倒會(huì)導(dǎo)致網(wǎng)絡(luò)信息安全赤字。其次，從經(jīng)濟(jì)角度而言，開(kāi)“后門(mén)”將會(huì)威脅個(gè)人信息和隱私保護(hù)，減少本土加密產(chǎn)品和網(wǎng)絡(luò)安全產(chǎn)品的國(guó)際市場(chǎng)需求，也不利于一國(guó)密碼標(biāo)準(zhǔn)的國(guó)際化，甚至可能因?yàn)檫`反外國(guó)隱私法而面臨訴訟、合規(guī)乃至公共關(guān)系的風(fēng)險(xiǎn)，有損產(chǎn)業(yè)的國(guó)際競(jìng)爭(zhēng)力。(67)See Kaveh Waddell, How Much Is Encryption Worth to the Economy?, The Atlantic (Nov.9, 2015), https://www.theatlantic.com/politicstarchive/2015/11/how-much-is-encryption- worth-to-the-economy/458466 ("The tech industry, however, argues that consumers want better security and privacy and that a weaker encryption standard would be a huge economic hit to U.S.companies, because consumers would shift to apps and services with strong encryption made overseas.").尤其是考慮到未來(lái)物聯(lián)網(wǎng)和區(qū)塊鏈的發(fā)展都要依靠密碼標(biāo)準(zhǔn)，此舉更得慎重。(68)參見(jiàn)《〈密碼法〉元年到來(lái) 王小云院士鄭州專(zhuān)題演講密碼應(yīng)用與區(qū)塊鏈》，載大河網(wǎng)，https://news.dahe.cn/2020/01-19/581135.html。最后，不言而喻，“后門(mén)”制度本身也會(huì)產(chǎn)生輿論爭(zhēng)議。(69)美國(guó)國(guó)安局曾經(jīng)被揭露在密碼技術(shù)中植入后門(mén)；荷蘭政府則在2016年表示不會(huì)強(qiáng)迫密碼公司留后門(mén)。參見(jiàn)同前注〔55〕，左亦魯文，第155頁(yè)。

另一種做法是設(shè)立國(guó)家密鑰托管系統(tǒng)。(70)技術(shù)界人士已經(jīng)有此提議。參見(jiàn)鏈證經(jīng)濟(jì)：《高承實(shí)博士：密鑰托管是區(qū)塊鏈項(xiàng)目落地的必要妥協(xié)》，載簡(jiǎn)書(shū)網(wǎng)2018年11月29日，https://www.jianshu.com/p/d0494b951b81。其初衷是，公權(quán)力機(jī)關(guān)出于維護(hù)國(guó)家安全和公共安全的義務(wù)，須有某種數(shù)據(jù)恢復(fù)的權(quán)力，其中包含獲取加密數(shù)據(jù)的權(quán)力，特別是通過(guò)預(yù)設(shè)數(shù)據(jù)恢復(fù)密鑰，獲取相應(yīng)數(shù)據(jù)，來(lái)打擊犯罪和危害國(guó)家安全的行為。此種備用密鑰系統(tǒng)也對(duì)個(gè)人用戶(hù)的密碼使用權(quán)利有所幫助，它可以協(xié)助用戶(hù)在丟失私鑰之后解決問(wèn)題。例如，20世紀(jì)90年代，為了緩解安全和隱私之間的沖突，克林頓政府曾經(jīng)試圖建立美國(guó)的國(guó)家密鑰托管系統(tǒng)，希望在保證個(gè)人信息隱私的同時(shí)，為打擊犯罪和恐怖主義等行為提供技術(shù)手段。此舉并非將網(wǎng)絡(luò)用戶(hù)的“口令”進(jìn)行統(tǒng)一管理，而只是從算法層面管理密鑰生成的算法機(jī)制，以便必要時(shí)公權(quán)力機(jī)關(guān)可獲取具體“口令”。然而，密鑰托管系統(tǒng)遭到了法律界和產(chǎn)業(yè)界的集體反對(duì)，最終無(wú)法推行。

在《密碼法》和《個(gè)人信息保護(hù)法》出臺(tái)之前，我國(guó)法律中并未規(guī)定對(duì)于犯罪嫌疑人的自解密義務(wù)。在司法實(shí)踐中，不配合解密行為常常比照刑法中的妨害公務(wù)罪或《治安管理處罰法》中拒絕、阻礙國(guó)家工作人員依法執(zhí)行職務(wù)的行為。(71)參見(jiàn)馬民虎、果園、馬寧：《自解密義務(wù)的法律困惑及其本土適用》，載《蘇州大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》2016年第1期，第89-94頁(yè)。在兩部法律出臺(tái)之后，特別是其中對(duì)于使用加密技術(shù)保護(hù)個(gè)人隱私和個(gè)人信息的權(quán)利進(jìn)行強(qiáng)調(diào)之后，以往的做法顯得不甚妥當(dāng)，因此需要在法律層面就自解密義務(wù)和協(xié)助解密義務(wù)進(jìn)行更為明確的制度設(shè)計(jì)。

就目前的法律而言，針對(duì)涉及國(guó)家安全案件中的解密義務(wù)問(wèn)題，已經(jīng)有了較為明確的規(guī)定。如《反恐怖主義法》(2018年修正)第18條明確規(guī)定：“電信業(yè)務(wù)經(jīng)營(yíng)者、互聯(lián)網(wǎng)服務(wù)提供者應(yīng)當(dāng)為公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)依法進(jìn)行防范、調(diào)查恐怖活動(dòng)提供技術(shù)接口和解密等技術(shù)支持和協(xié)助。”因此，在涉及恐怖主義的案件中，電信業(yè)務(wù)經(jīng)營(yíng)者和互聯(lián)網(wǎng)服務(wù)提供者具有協(xié)助解密義務(wù)。而2015年《國(guó)家安全法》第77條第1款第5項(xiàng)規(guī)定公民和組織有義務(wù)“向國(guó)家安全機(jī)關(guān)、公安機(jī)關(guān)和有關(guān)軍事機(jī)關(guān)提供必要的支持和協(xié)助”。在涉及使用加密技術(shù)的案件場(chǎng)景中，該條款可以解釋為在國(guó)家安全案件中，公民和組織有自解密和協(xié)助解密的義務(wù)。相較而言，2016年通過(guò)的《網(wǎng)絡(luò)安全法》第28條規(guī)定：“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)為公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)依法維護(hù)國(guó)家安全和偵查犯罪的活動(dòng)提供技術(shù)支持和協(xié)助?！痹摋l款似也可以作類(lèi)似解釋。

如果說(shuō)在涉及國(guó)家安全的案件中，解密義務(wù)存在與否的問(wèn)題較為明確，那么在普通刑事案件的偵查中，相關(guān)法律的規(guī)定并不明確。上文提及的《網(wǎng)絡(luò)安全法》第28條的規(guī)定雖然為網(wǎng)絡(luò)運(yùn)營(yíng)者設(shè)置了“提供技術(shù)支持和協(xié)助”的義務(wù)，但該義務(wù)是否包含解密義務(wù)，其義務(wù)的強(qiáng)弱程度如何，法律并未明言?？梢钥隙ǖ氖牵摋l款并未為公民個(gè)人設(shè)置自解密義務(wù)；而且，由于自解密義務(wù)涉及公民在憲法上的通信自由和通信秘密權(quán)，同時(shí)也與不得強(qiáng)迫自證其罪的刑事訴訟法原則存在潛在的沖突，因而可以相對(duì)確定的是，法律目前并無(wú)此種要求。(72)參見(jiàn)《刑事訴訟法》(2018年修正)第52條規(guī)定：“審判人員、檢察人員、偵查人員必須依照法定程序，收集能夠證實(shí)犯罪嫌疑人、被告人有罪或者無(wú)罪、犯罪情節(jié)輕重的各種證據(jù)。嚴(yán)禁刑訊逼供和以威脅、引誘、欺騙以及其他非法方法收集證據(jù)，不得強(qiáng)迫任何人證實(shí)自己有罪?！北疚慕ㄗh，未來(lái)的制度設(shè)計(jì)中維持現(xiàn)狀、不設(shè)定自解密義務(wù)是較為妥當(dāng)?shù)拇胧?。在此基礎(chǔ)上，本文認(rèn)同有論者提出的方案，即司法機(jī)關(guān)可以要求犯罪嫌疑人采取自愿合作的方式來(lái)予以嘗試，并在犯罪嫌疑人拒絕配合的情況下，允許法院采信這一事實(shí)，(73)參見(jiàn)同前注〔71〕，馬民虎、果園、馬寧文，第93頁(yè)。從而維護(hù)打擊犯罪與保護(hù)公民基本權(quán)利(包括但不限于個(gè)人隱私/信息權(quán)利和不自證其罪的權(quán)利)之間的平衡。

難點(diǎn)在于網(wǎng)絡(luò)運(yùn)營(yíng)者的協(xié)助解密義務(wù)，這有待于更為細(xì)化的制度進(jìn)行澄清。在此之前，我們?nèi)匀豢梢詮姆稍砗蛯?shí)踐現(xiàn)狀的層面進(jìn)行初步探討。在原理層面，在處理個(gè)人和組織的自解密義務(wù)和協(xié)助解密義務(wù)問(wèn)題時(shí)，毫無(wú)疑問(wèn)應(yīng)當(dāng)遵循比例原則，一方面賦予執(zhí)法機(jī)關(guān)在特定場(chǎng)景中獲取加密數(shù)據(jù)的相關(guān)權(quán)力，另一方面從法律上施加程序規(guī)范和實(shí)體限制，以此平衡政府權(quán)力和公民權(quán)利之間的界限。(74)See Cynthia Lee, Reasonableness with Teeth: The Future of Fourth Amendment Reasonableness Analysis, 81 Mississippi Law Journal 1133 (2012).實(shí)踐層面，“在向網(wǎng)絡(luò)服務(wù)提供者要求執(zhí)法協(xié)助的啟動(dòng)點(diǎn)上，司法機(jī)關(guān)有啟動(dòng)過(guò)于頻繁、啟動(dòng)閾值過(guò)低的問(wèn)題”。(75)崔聰聰、李欲曉、韓松：《〈網(wǎng)絡(luò)安全法(草案二次審議稿)〉第27條修改建議——以網(wǎng)絡(luò)服務(wù)提供者協(xié)助解密義務(wù)為中心》，載《中國(guó)工程科學(xué)》2016年第6期，第36頁(yè)。針對(duì)于此，本文建議應(yīng)對(duì)于司法機(jī)關(guān)要求網(wǎng)絡(luò)運(yùn)營(yíng)者解密的行為采取如下限制。

一是最低限度原則。按照《個(gè)人信息保護(hù)法》第34條的要求，國(guó)家機(jī)關(guān)在履行法定職責(zé)時(shí)，應(yīng)當(dāng)在必需范圍和限度內(nèi)處理個(gè)人信息。(76)《個(gè)人信息保護(hù)法》第34條規(guī)定：“國(guó)家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息，應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進(jìn)行，不得超出履行法定職責(zé)所必需的范圍和限度?！边@一點(diǎn)也應(yīng)解釋適用于司法機(jī)關(guān)通過(guò)解密而獲取個(gè)人信息和數(shù)據(jù)的情況。例如，司法機(jī)關(guān)在原則上只能要求相關(guān)主體解密犯罪嫌疑人本人的信息和數(shù)據(jù)，只有在確為必要的條件下，司法機(jī)關(guān)才可以要求網(wǎng)絡(luò)運(yùn)營(yíng)者解密與犯罪嫌疑人具有密切關(guān)系的人員的相關(guān)信息。再如，需要明確網(wǎng)絡(luò)運(yùn)營(yíng)者的協(xié)助解密義務(wù)在不同案件類(lèi)型中的相應(yīng)程度，如只針對(duì)涉及重大罪名的刑事案件設(shè)置完全的協(xié)助義務(wù)，而針對(duì)一般刑事案件，則需要注意公共利益和個(gè)人隱私的平衡。(77)參見(jiàn)王志剛、楊敏：《論網(wǎng)絡(luò)服務(wù)提供者的偵查協(xié)助義務(wù)》，載《重慶郵電大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》2019年第4期，第25-33頁(yè)。

二是權(quán)利保障機(jī)制?！秱€(gè)人信息保護(hù)法》的宗旨就是確立以知情同意為核心的個(gè)人信息權(quán)利保護(hù)體系，并且特別規(guī)定了國(guó)家機(jī)關(guān)在履行職責(zé)時(shí)處理個(gè)人信息過(guò)程中對(duì)于權(quán)利主體的告知義務(wù)。(78)參見(jiàn)《個(gè)人信息保護(hù)法》第35條：“國(guó)家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息，應(yīng)當(dāng)依照本法規(guī)定履行告知義務(wù)；有本法第十八條第一款規(guī)定的情形，或者告知將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)的除外?！贝嗽瓌t也應(yīng)適用于協(xié)助解密的場(chǎng)景中。具體而言，當(dāng)司法機(jī)關(guān)在法定范圍內(nèi)依照最低限度原則成功獲得網(wǎng)絡(luò)運(yùn)營(yíng)商協(xié)助解密當(dāng)事人的信息之后，當(dāng)事人有知情權(quán)(如公安機(jī)關(guān)必須告知)和刑事程序性權(quán)利(如當(dāng)事人有權(quán)申請(qǐng)排除非法證據(jù))。

三是安全保障義務(wù)。按照《密碼法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》和《個(gè)人信息保護(hù)法》等法律的相關(guān)規(guī)定，司法機(jī)關(guān)和網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)在解密過(guò)程中獲取的國(guó)家秘密、商業(yè)秘密和個(gè)人信息應(yīng)當(dāng)盡到保密義務(wù)，尤其不得用于與案件偵破無(wú)關(guān)的用途。

五、結(jié)語(yǔ)

《密碼法》實(shí)施之后，密碼治理相關(guān)的法律體制將會(huì)迎來(lái)全面發(fā)展，同時(shí)也會(huì)與個(gè)人信息保護(hù)相關(guān)的法律規(guī)則發(fā)生密切聯(lián)動(dòng)。加密技術(shù)的廣泛使用究竟會(huì)給法律帶來(lái)什么機(jī)遇和挑戰(zhàn)，既取決于技術(shù)創(chuàng)新(例如量子計(jì)算機(jī)的出現(xiàn))，也取決于法律變革(特別是第三方協(xié)助義務(wù)的法律范圍)。對(duì)密碼治理采取技術(shù)與法律結(jié)合的研究進(jìn)路，或許同時(shí)具有一定方法論意義?；ヂ?lián)網(wǎng)時(shí)代，“代碼就是法律”。(79)[美]勞倫斯·萊斯格：《代碼：塑造網(wǎng)絡(luò)空間的法律》，李旭譯，中信出版社2004年版，第6頁(yè)。而在“所有東西都是計(jì)算機(jī)”“萬(wàn)物皆數(shù)”的大數(shù)據(jù)時(shí)代，密碼是從技術(shù)底層保護(hù)網(wǎng)絡(luò)安全和個(gè)人信息的重要代碼。密碼治理的法律問(wèn)題，已經(jīng)超越了密碼產(chǎn)品的研發(fā)、銷(xiāo)售、使用和進(jìn)出口等具體問(wèn)題，觸及到了法律制度的根本，即權(quán)力和權(quán)利的基礎(chǔ)關(guān)系和根本邊界。結(jié)合技術(shù)與法律兩個(gè)不同的面向，洞悉信息社會(huì)治理的深度結(jié)構(gòu)和底層邏輯，是應(yīng)對(duì)未來(lái)密碼規(guī)制體系和個(gè)人信息保護(hù)制度的基本思維。