摘要:  password技巧的成長和利用牽涉國度平安和小我信息權力，也關系到新一輪信息化扶植的底層技巧架構。跟著《password法》正式實行，我國曾經構成了新的加密技巧規制框架，將會增進password在日常收集行動中的應用。這在經由過程加密技巧維護小我信息的同時，也給小我信息維護的法令機制提出了挑釁。一方面，在password廣泛應用之后，password技巧及其規制的成長將會影響到小我信息維護中法令對于往標識化和匿名化的判定；另一方面，在用戶戰爭臺更多應用加密技巧維護小我信息后，公權利機關為實行法定職責而獲取加密信息的需求將會與小我觸及信息的基礎權力發生更年夜的張力，因此需求在新的語境下厘清小我自解密任務和收集運營商協助解密任務的詳細水平。

要害詞:  password法 信息平安 小我信息 維護規制

一、導言

password是維護信息未經受權而無法取得的技巧。在信息社會中，password承當著雙重任務：一方面，password可以用于維護小我或許組織的信息在收集傳佈中不受截取、進犯、改動和冒用；另一方面，作為國度平安系統的構成部門，password努力于維護國度秘密和國度平安。在以上雙重意義上，password是收集信息體系的“維護鎖”。

正由於password的主要感化，跟著我國internet技巧的疾速成長和廣泛利用，與password相干的法治扶植也有了嚴重停頓。2019年10月26日，十三屆全國人年夜常委會第十四次會議經由過程了《中華國民共和國password法》（以下簡稱“《password法》”），2020年1月1日開端正式實施。跟著《password法》的經由過程，我國曾經構成password範疇的法令系統框架。[1]

與此同時，跟著internet廣泛社會生涯的各個方面，也跟著年夜數據、云盤算等技巧的疾速成長，小我信息維護也日益成為熱門題目，需求法令予以全體性的回應。2021年8月，我國出臺了《中華國民共和國小我信息維護法》（以下簡稱“《小我信息維護法》”），對于小我信息維護的法令規定停止了周全的規則。特殊地，《小我信息維護法》規則了加密技巧在小我信息維護中的感化。[2]

在研討兩部觸及internet信息的主要法令時，值得詰問的題目是：加密技巧在小我信息法令維護的架構中居于何種位置？password相干的法令和規制系統對于小我信息維護法令規定系統來說畢竟意味著什么？在《pa包養網 ssword法》明白付與小我應用加密技巧維護小我信息的權力之后，若何調適公權利保護國度平安、公共平安的需乞降小我權力之間的均衡構造？對于這些題目，學界今朝的研討尚屬起步階段。《password法》公佈之前，僅在收集平安和信息平安範疇有針對password相干法令或政策的研討呈現；[3]password法出臺之后，規制機構、法學界和法令界在媒體和自媒體上有一些先容息爭讀呈現，[4]但在法學專門研究學術刊物中尚付之闕如。

本文基于對password學基礎道理和password規制既有途徑的考核，試圖剖析《password法》所帶來的中國password規制的嚴重變更，并進一個步驟提醒，《password法》所觸及的并非只要加密技巧這個詳細範疇的規制題目，它還與小我信息維護這個收集法的基本性題目相干，亟需深刻的研討和詳細的法令建構予以應對。

二、代碼即法令：password的基礎概念與規制途徑

（一）作為規制對象的“password”與加密技巧

在password學和《password法》的意義上，password并非用戶日常應用的賬號password，如手秘密碼、社交賬號password、銀行卡password、在線付出password和電子郵箱password等。[5]《password法》第2條規則：“本法所稱password，是指采用特定變換的方式對信息等停止加密維護、平安認證的技巧、產物和辦事。”所謂“特定變換的方式”，就是采用某種算法，把肉眼可辨的文字或許信息（“明文”）變換成無法直接識別的符號或許符號序列（“密文”）。例如，信息加密體系中常用的SHA256算法可將任何信息轉化成為一個長度雷同，但內在的事務唯一無二的字符串，并且無法經由過程逆運算復原；對原文的任何渺小修改城市招致數值轉變。[6]此種算法即為《password法》中所說的“password”之典範例證。

由是不雅之，《password法》中所言的“password”概念包含password學、password技巧和password財產。日常生涯中人們所說的“password”好像鑰匙，用來翻開詳細的鎖具包養 。而《password法》中的“password”（Cryptograph）[7]則是指加密解密方面的技巧、辦事和產物，包含password學和password學的現實利用，因此更相似于制作各類鎖的技巧和學問、上鎖和開鎖辦事，以及各類鎖具和鑰匙。因此《password法》所治理的對象，是加密解密的底層技巧架構、利用形狀和相干財產；并且，《password法》明白相干規制機構的職責，及其響應的法令關系。[8]

《password法》對于password效能的界定反應了password學技巧的基礎效能：加密和認證。正如《password法》第2條所言，“password”一方面能給傳遞信息供給“加密維護”，行將明文信息釀成密文信息，避免信息泄露、被人竊取或許改動；另一方面，password也可以供給“平安認證”，即包管信息發送主體真正的靠得住，避免訛詐和曲解。

恰是由於password的加密和認證效能，password作為人類信息傳輸平安的主要技巧包管，簡直牽涉一切社會範疇——無論是政治場景、貿易買賣仍是小我生涯，password都可以知足人們現實的平安需乞降心思上的平安感。[9]在信息時期，人們可以應用顛末加密包養網或許帶有加密效能的電子裝備（如智妙手機）或許包養網 軟件（如操縱包養網 體系、電子郵件法式）停止平安有用的通訊，從而維護本身的私密範疇不受外界侵略，從而保護其人格莊嚴和表露信息的選擇不受拘束。可見，password是小我隱私的無力維護手腕，其在某種意義上甚至比法令軌制更為有用。良多時辰，保密者即使可以或許衝破法令或許違背法令，也因無法違背數學紀律而招致其不成能保密勝利。值得留意的是，password的應用也有其“暗面”：它也可以被犯法分子、黑社會、推翻氣力甚至于可怕主義者應用，用以迴避當局清查和法令制裁。

古代password學基于數學算法design出了各類加密技巧。加密經過歷程依靠的算法，焦點便是經由過程某種函數將信息轉化為數值，從而完成從明文到密文的轉換。[10]為了到達保密後果，古代password學凡是應用單向函數（one-way functions）或許陷門函數（trapdoor functions）[11]來包管運算的經過歷程在工程上不成逆：明文顛末函數運算得出的密文，無法經由過程統一函數反向盤算從而獲得明文。需求闡明的是，此類函數算法也并非完整無懈可擊，而只是要包管試圖竊守信息的一方難以在短時光內暴力破解，也即“算法上不成行”（computationally infeasible）。一種算法能否可以或許到達此種水平，取決于現有的人類算力。[12]當下被以為是平安的加密算法，很能夠跟著人類算力的加強（例如量子盤算的成長）而變得可以等閒攻破。

實行中，信息收集體系特殊依靠于分歧于傳統對稱password技巧的非對稱加密技巧系統。好比，RSA加密算法可用于數字簽名和數字證書等成分辨別技巧，包管成分的真正的性和不成否定性，避免成分冒充和狡賴；同時還可經由過程數據摘要技巧包管信息完全性，避免改動。[13]假如說收集平安是全部internet的免疫體系，password即是此中的要害基因。

之所以這般，是由於比擬較傳統的通信方法（如郵政或許德律風體系），internet通訊自己在平安和隱私維護上較為懦弱，其采取的是分布式收集和包交流通訊方法。[14]如若試圖包管internet平安，就必需采用加密技巧。對社會生涯而言，加密技巧在internet時期就變得史無前例的主要和要害。

（二）加密技巧規制的基礎形狀：國際與比擬的視角

恰是由於非對稱password的呈現，針對password的法令規制開端成為題目。[15]在非對稱password呈現之前，password技巧基礎屬于國度壟斷技巧，重要用于軍事通訊和國度平安事務，并無法令規制方面的題目，而是軍政機構的外部治理題目，且廣泛采取嚴厲管控的立場。跟著非對稱password的呈現以及年夜範圍的商用化和平易近用化，password技巧參軍政機構手中絕對自力出來自行成長，password的規制、當局的鴻溝、小我的不受拘束和財產的成長，才成為法令和政策上至關緊要的題目。

從凱撒到美國國度平安局，password在盡年夜大都情形下，都曾是主權者或古代主權國度的公用技巧。非對稱password發現后，跟著年夜範圍的貿易化利用，password普遍成為軍平易近兩用產物（dualuse good），特殊是隨同著internet貿易化和社會化應用，password技巧開端成為主要的商用與小我應用的技巧。

需求留意的是，在古代password學中，技巧并非完整中立，特殊長短對稱password算法自然帶有“強化隱私、弱化規制”的政治態度。由于非對稱password體系對小我信息和隱私的保密效能越來越強，私家通訊之間開端構成一種絕對不受公權利參與和干預的自立空間，當局是以開端逐步掉往對p包養 assword技巧的周全壟斷。password範疇從當局把持範疇，改變為處于當局和市場之間的規制區域。並且，發現非對稱password的password學家基礎都是信仰不受拘束意志主義者（libertarian）和無當局主義的“password朋克”（Cypherpunk），[16]偏向于抵抗規制、塑造不受拘束空間，使得當局規制自己加倍成為題目。加倍值得留意的是，非對稱password異樣可用于不符合法令運動的保密，公權利機關天然也有更強的動力規制password。[17]

于是，在當局對商用password的規制和進出口限制題目上，發生了公權利和私範疇之間的劇烈沖突。在internet貿易化開端的20世紀90年月，美國已經呈現當局和password學界的一場劇烈沖突，常被稱為“password圣戰”（Crypto Wars）。[18]一方保持衝擊犯法，盼望在法令和技巧上嚴厲管控password軟件的國際應用和國際商業；另一方則保持談吐不受拘束和隱私權，死力否決當局的規制。這場戰鬥終極以美國當局畏縮而告一段落，由此也型構了今世美國password的規制系統。[19]

美國password戰提醒出來的主要信息是：在數字經濟和信息時期，password作為軍平易近兩用技巧，同時觸及國度平安和小我隱私。正由於這般，國際社會和列國法令對password都曾經采取了規制辦法，其基礎準繩可以歸納綜合為：對于觸及國度平安的password采取嚴厲管束立場，而對于觸及貿易和小我應用的password則放松管控。

起首，國際社會曾經有相干協定對password的進出口辦法予以治理。1996年，33國配合簽訂的《瓦森納協議》提出，“經由過程增進慣例兵器和雙重用處貨色和技巧讓渡的通明度和更年夜的義務，為區域和國際平安與穩固作出進獻……”。詳細而言，《瓦森納協議》規則，對56位密鑰長度以上的對稱加密產物，以及512位密鑰長度的非對稱加密產物，簽署協定列國不得設置出口限制。此外，瓦森納協定還規則了小我應用寬免，即答應小我出國觀光時攜帶password裝備供小我應用。經濟一起配合與成長組織（OECD）于1997年也制訂了《經合組織password政策指南》（OECD Guidelines for Cryptography Policy），[20]其基礎目標是在保護國度平安和社會公共好處的條件下，增進password的貿易化和社會化應用。

在國度層面，美國password法令和政策系統的總體目的可以歸納綜合為：（一）加強財產國際競爭力，經由過程法令和政策，增進美國高科技財產的國際市場占有份額和現實影響力的進步；（二）保護國度平安，限制和衝擊罪犯和可怕分子應用強加密技巧來展開守法運動。[21]秉承兩個目的，構成于20世紀末“password圣戰”之后的現行美國password法和password規制系統，總體準繩可以歸納綜合為：外部應用不受拘束和對外出口管束。[22]我國有學者已經將其歸納綜合為“表裡有別”準繩。[23]詳細而言，美法律王法公法律對于password產物和技巧在國際的研發、應用和發賣并不加以限制。password技巧的研發和利用被當成“談吐”而遭到《美國憲法》第一修改案的維護；[24]小我的加密信息在刑事法式中遭到第四修改案和第五修改案維護，[25]即法律機關不得不符合法令搜尋，以及逼迫自證其罪。美國聯邦法院已經鑒定，刑事案件的偵察經過歷程中，小我密鑰或password并無針對法律機關的表露任務。[26]

另一方面，在美國，password產物和技巧的出口歷來遭到法令規制。[27]美國商務部產業和平安局（BIS）擔任履行《出口治理條例》（Export Administration Regulations），此中的治理范圍即包括password產物和技巧。該條例設置的商品管控清單中，第五類第二部門“電信和‘信息平安’”一欄規則，除用于醫療終端或許常識產權維護目標的password產物外，password產物必需接收出口管束。[28]詳細的管束尺度重要考量兩個原因：一是password軟件的加密屬性，特殊是密鑰長度；[29]二是軟件出口的目的客戶，也即花費者的屬性和國別。[30]

歐盟與美國相似，遵守《瓦森納協議》包養建立規定，也在password管理中采取“表裡有別”的準繩。[31]一方面，對于國際小我和企業應用password，歐盟法令奉行不受拘束應用準繩，甚至比美國的尺度還要更寬松。好像歐盟對小我信息和人格權的維護高于美國尺度，歐盟也將password和password學進步到事關隱私和人格莊嚴的層面，停止嚴厲維護。[32]

另一方面，出口管束律例依據歐盟作為跨國同盟的性質，針對分歧國度采取“差序格式”的做法。起首，歐盟加入同盟國際部不受拘束暢通和應用，歐盟以本國家停止出口管束。其次，對于歐盟以外的國度，絕對管控較輕的是美國、加拿年夜、japan(日本)、新西蘭及未參加歐盟的歐洲國度（如挪威和瑞士）等國。對于出口到這些國度的password產物，需求請求“歐盟普通出口傳權”（CGEA）。最后，對其他國度則采取較為嚴厲的管束，需求一事一議地請求對特定國度的出口允許。

三、舊瓶新酒：password法令系統的基本框架

（一）從商用password的鼓起到《password法》：中國password法令管理系統的成長

在我國，password也是一種兩用技巧。password與國度平安、平易近族自力和軍現實力親密相干：假如說internet是觸及國度主權和平安的第五邊境，password即是一種主要兵器。password行業也屬于高科技研發和利用行業，相干財產的國際影響力對于國度甚至于社會來說也很是主要。數字經濟的運轉成長，數字生涯的正常展開，都離不開password技巧和password行業：無論是金融、通訊、路況、安康、動力，仍是公安、稅務、社保、電子政務等範疇，更不消說物聯網、云盤算和區塊鏈等新利用場景。[33]

與世界其他重要國度相似，我國password規制的成長，亦經過的事況了從周全管控到軍平易近兩用分辨管理的成長過程。持久以來，password一向是軍事國防和交際諜報範疇的公用技巧，簡直沒有平易近用和商用的空間。20世紀90年月，跟著市場經濟和信息化的成長，社會對維護非國度機密信息的需求逐步增年夜，平易近用和商用password的市場空間也隨之拓睜開來。但是，那時我國的password技巧簡直所有的利用于軍事和國度平安體系，甚少平易近用化和商用化，貿易password技巧和財產處于起步階段。例如，那時各年夜銀行應用的多是入口password機。[34]

適應社會成長趨向，中心決議計劃機關開端發布相干政策，旨在增進商用password成長和治理。1996年7月，中共中心政治局常委會研討決議，鼎力成長商用password，加大力度對商用password的治理。中心辦公廳印發《關于成長商用password和加大力度對商用password治理任務的告訴》，斷定“同一引導、集中治理、定點研制、專控運營、知足應用”的成長和治理方針；同時，從體系體例層面，確立商用password治理機構——國度password治理委員會及其辦公室。1包養網 999年10月7日，國務院公佈并實施《商用password治理條例》，開端password治理的法治化過程。2002年，中心機構編制委員會批準國度password治理委員會辦公室下設商用password治理辦公室，專司商用password治理。2003年9月，中心辦公廳、國務院辦公廳結合印發《關于加大力度信息平安保證任務的看法》（中發辦〔2003〕27號），初次明白password在信息平安中的要害感化。[35]由此，在21世紀初，中國初步構成了以《商用password治理條例》為焦點的商用password管包養 理系統。

跟著數字經濟和收集平安的成長，以《商用password治理條例》為焦點的舊系統日益變得無法順應新的需求。《商用password治理條例》比擬著重管束，將商用password也作為國度秘密停止專控治理，password產物的生孩子、發賣和進出口都履行嚴厲的行政審批軌制。[36]例如，國際企業入口password產物，或在中國境內營業的外資企業要應用本國password產物，都須向password治理部分請求存案。近年來，國度奉行“放、管、服”政策，改變當局本能機能，盡包養 力優化營商周遭的狀況。[37]password範疇也得停止響應治理改造，特殊是在商用password範疇，當局要做到加重規制、增進辦事。

于是，《password法》應運而生，成為了中國password法治的主要汗青節點。值得留意的是，《password法》的制訂同時樹立在中國自立password技巧鼎力成長的基本之上。[38]從技巧角度而言，在20世紀90年月美國停止“password圣戰”的時期，中國古代password學的成長依然處于起步階段，基礎逗留在對稱password技巧。新世紀以來，跟著“國密算法”的發布，我國的password技巧曾經獲得了嚴重停頓。

（二）《password法》基于password兩用性質的分類治理

任何法令的詳細規定都辦事于總體的立法目的。《password法》的總體思惟是區分password的雙重性質，分辨加以治理：加密技巧事關國度平安，必需接收黨包養網 和國度同一引導；加密技巧同時關乎公司和小我的信息平安的，需求加以過度規制，以維護社會公共好處和小我符合法規權益。詳細而言，觸及國度平安和社會公益的加密息爭密技巧，履行入口允許、出口管束。

遵守password同時具有軍用和平易近用的雙重特色，《password法》起首對于password采取分類治理，把各類password技巧和產物分紅三年夜類：焦點password、通俗password和商用password。[39]焦點password和通俗password維護國度機密信息：焦點password觸及國度秘密，關乎國度平安[40]和國防好處，對應的最高密級是盡密級；通俗password是當局部分應用，對應最高密級為秘密級。由于焦點password和通俗password與國度平安慎密聯絡接觸，《password法》采取嚴厲同一治理的總體準繩，[41]詳細軌制由國度password治理局[42]和中心軍事委員會[43]制訂。《password法》有關焦點password和通俗password的規定系統建構，轉變了此前依附政策停止治理的局勢，年夜年夜推動了該範疇的雖然有心理準備，但她知道，如果嫁給了這樣一個錯誤的家庭，她的生活會遇到很多困難和困難，甚至會為難和難堪，但她從法治化過程。

值得闡明的是，password自己和國度機密并非一回工作。password自己乃是一整套用于加密解密信息的盤算機代碼，而國度機密則是需求加密解密的信息內在的事務自己，且是觸及國度平安和焦點好處的一類秘密信息。貿易password則是用于企業、組織和小我，觸及非國度機密的信息。《password法》規則，在不觸及國度平安和公共好處的password利用中，放松規制，激勵和增進技巧研發、學術交通和財產成長，并出力推動尺度化和國際化。之前《商用password治理條例》則規則：“商用password技巧屬于國度機密。國度對商用password產物的科研、生孩子、發賣和應用履行專控治理。”[44]從《商用password治理條例》對貿易password的屬性劃分，到《password法》的分類治理，反應的是法令系統對于password（學）的認知漸變。總體來看，《password法》對于貿易password規制的焦點在于鋪開主體區分，轉而采用行動區分：不再經由過程設置主體的進進門檻來規制，而是激勵進進該範疇之后，對進進之后的行動停止規制，表現出從事前審批到事中事后規制的改變，甚至在password技巧的開闢應用方面浮現某種“增進法”的特征。

從技巧角度來講，分類治理防止了之前不加區分的同一監控政策能夠會形成的未便。詳細而言，我國自立開闢的國密算法平安水平很高，但應用本錢也很高，如國密算法不兼容主流閱讀器和操縱體系。依據《password法》的新規則，商用password可以依據應用場景劃分平安品級，對應用國密算法仍是國際算法具有選擇空間。換言之，在商用password的選擇題目上，法令拋棄強迫準繩，采取“助推”（nudge）[45]形式，激勵貿易組織自愿選擇國度尺度算法。[46]

進出口治理中的“民眾花費類password產物”破例條目異樣表現了《password法》區分雙重用處、過度規制商用password的偏向。進出口治理是列國password規制的主要軌制之一。《password法》不再對貿易password進出口管束停止主體區分，而只停止類型區分：對觸及國度平安、社會公共好處且具有加密維護效能的，履行入口允許，出口管束；不觸及國度平安和公共好處的“民眾花費類password產物”則不履行入口允許和出口管束。通俗人應用或接觸到的password產物（如手機操縱體系里的加密技巧和效能和U盤和變動位置硬盤中的加密技巧）不受進出口允許和管束的限制。帶有加密效能的民眾花費品不再需求冗長複雜的審批手續，產物在中國上市速率可以加速。

四、法令前沿：加密技巧、規制與小我信息維護

《password法》確立的新規制系統不單對貿易主體來說很是主要，對小我用戶來說也很主要。是以，《password法》的實行必將推進password管理格式甚至于公權利/私權力關系的構造性改變。跟著《password法》的實行和收集用戶加深情識的進步，加密技巧的普遍應用趨向曾經不成逆轉，當局權利與小我信息權力之間的沖突將到達史無前例的水平，亟需相干法令予以應對。

（一）password應用、加密技巧規制與小我信息維護

1.《password法》與password應用權

password不單觸及國度平安和經濟成長，也觸及通訊不受拘束、通訊機密和信息隱私等國民權力。跟著《password法》的出臺和小我信息加深情識進步，國民經由過程應用加密技巧和軟件避免通訊泄密的偏向勢必會變得越來越強。並且，跟著收集空間與物理空間不竭融會，對password的應用需求曾經擴及到每一個internet用戶。用戶可以應用password技巧、產物和辦事停止收集購物、登錄在線銀行；password可以維護靜態數據（如手機和小我電腦硬盤中存儲的數據）、靜態數據（網銀買賣、網頁閱讀和電子商務等經由過程internet或局域網傳輸的數據）戰爭臺數據（為維護用戶隱私，平臺與用戶之間的通訊應用端到真個公鑰/私鑰體系加密，因此平臺不克不及拜訪用戶信息，除非用戶明白批准）。

毫無疑問，法令付與國民和法人password應用權，將極年夜轉變今朝年夜數據時期信息貯存和傳輸經過歷程中年夜面積不受加密維護的狀態。[47]今朝，良多數據都是以明文傳輸和貯存在收集體系和年夜數據體系中。特殊是在云盤算周遭的狀況下，用戶數據保留在云端，而保留在云真個數據正本經常未顛末加密存儲。進犯者可以在無需攻破用戶小我口令的情形下，從年夜數據體系中獲取數據正本，甚至展開守法犯法運動。數據泄露多發的景象，很年夜水平上即源于此。如若加大力度原始數據在傳輸和存儲中的隱私維護，甚至包管年夜型公共體系不受進犯，加密技巧的應用必不成少。

在此年夜佈景下，小我對于password的應用權呼之欲出。《password法》第8條第2款規則：“國民、法人和其他組織可以依法應用商用password維護收集與信息平安。”該條規則為小我應用password的權力供給了法令權源。依據國度password治理局的相干解讀：“國民、法人和其他組織可以依法應用商用password，既是《password法》付與國民、法人和其他組織自立選擇應用商用password的權力，也是激勵國民、法人和其他組織依法應用商用password維護收集與信息平安。”[48]

2.加密技巧與小我信息維護

不問可知，password應用權也與小我信息權親密相干。正如我國有名password學家王小云傳授所言：“password技巧是……信息維護的主要手腕。”[49]由于password和加密技巧會起到增進數字經濟和小我生涯等方面的感化，password應用權力和小我信息權力的維護題目將變得加倍主要。2018年7月，中心辦公廳、國務院辦公廳發布的《金融和主要範疇password利用與立異成長任務計劃（2018-2022）》（廳字〔2018〕36號）特殊指出：“在internet利用、云辦事和智能終端中，加大力度password對國民小我信息和數字資產的維護。”2021年出臺的《小我信息維護法》將加密技巧與小我信息的法令維護機制相連接，在詳細的法令維護機制（如知情批准等規定）之外，側重規則小我信息處置者應用加密技巧的軌制，為小我信息的維護供給了一條技巧支持的途徑。[50]

作為中國小我信息維護範疇的基本性法令，《小我信息維護法》中對于小我信息處置者的加密任務居于主要位置。詳細而言，該法請求小我信息處置者必需采取password技巧和往標識化等平安技巧辦法來維護小我信息在數據靜態存儲和靜態傳輸中的平安和權力。對于小我信息處置者而言，應用加密技巧也是平安性較高而本錢較低包養網 的一種合規舉動。此外，相干技巧尺度也做了相似的請求。《信息平安技巧小我信息平安規范》（GB/T 35273-2020）6.3條規則，傳輸和存儲小我敏感信息時，應采用加密等平安辦法。

加密技巧不只表現在《小我信息維護法》第51條中規則的“加密”任務中，也表現在該條規則的“往標識化”任務中。緣由在于，作為一種信息技巧，往標識化大批應用了各類加密技巧。例如，《信息平安技巧小我信息平安規范》（2020）3.15條規則，往標識化的方法有化名、加密和哈希函數等技巧手腕；《信息平安技巧—小我信息往標識化指南》（GB/T 37964-2019）中羅列的常用往標識化技巧也包括password技巧。

3.加密技巧及其規制對小我信息維護的挑釁

但是，在加密技巧助力小我信息維護的同時，它也給小我信息維護及其法令規定帶來了新的挑釁，甚至對于internet信息和代碼規制提出了新的題目。

究實在質，小我信息維護需求放在數字經濟的年夜格式下停止定位，是以存在與增進數據暢通、跨境活動和開闢應用等題目的潛伏張力。《小我信息維護法》固然并未處置此題目，但這種張力及其均衡在《數據平安法》以及一系列數據政策傍邊明白地表現出來。《小我信息維護法》及其相干規定系統確立了以受權批准和往標識化為焦點的規定系統，在維護用戶權力的同時，天然對于數據暢通和開闢應用發生了必定的克制效應。反之，一旦數據暢通之后，其他主體若可以經由過程解密技巧反推，從而復原原始數據，衝破小我信息往標識化和匿名化的限制，就會使得小我信息權力從頭遭到宏大要挾。

今朝，internet財產界經由過程數據標識加密技巧、聯繫關係技巧和有用受權技巧，測驗考試確保小我敏感信息不成辨認和僅在受權范圍內應用，為小我信息維護供給了技巧保證。加密技巧的應用不只有助于小我信息維護，也有助于企業和技巧社群在停止數據暢通和開闢應用經過歷程中design合規計劃。尤其是2020年以來，部門是為了均衡小我信息維護和數據暢通應用之間的關系，以password技巧為主要支持的“隱私盤算”技巧方興日盛，并在數字經濟中獲得利用。融會了password學和其他盤算機迷信的隱私盤算可用于加大力度數據暢通經過歷程中對小我標識信息的加密維護，從而增進數據暢通價值和小我信息維護之間的靜態均衡。[51]詳細而言，該技巧經由過程對于小我信息的加密，可以完成在原始數據保存當地的基本上，經由過程技巧化手腕只輸入切片、標簽化、脫密后的梯度和參數等信息知足往標識化的請求，使得其他數據處置者不克不及夠回復復興數據中包括的小我可辨認信息，從而完成數據活動和他者的結合開闢。並且，一旦知足了往標識化的請求，小我信息處置者及其他數據應用者也可以免去應用數據停止剖析經過歷程中征求用戶二次甚至少次受權的費事，從而可以或許必定水平上合適《小我信息維護法》的合規請求。[52]

但是，以隱私盤算為代表的新興數據處置技巧卻面對著法令評價上的不斷定性。究竟，此種技巧依然屬于《小我信息維護法》中的往標識化技巧，而非匿名化技巧。它可以下降小我信息的敏感水平，但并非使得小我信息在傳輸和暢通之后完整不成辨認，是以依然需求在個案中判定該技巧可否可以或許輔助小我信息處置者告竣合規任務。[53]而對此題目的判定，不單取決于《小我信息維護法》的相干實行細則和相干技巧尺度，也取決于《password法》佈景下的加密技巧成長（例如以後以為足以往標識化、無法辨認小我成分和屬性信息的技巧，能否能夠跟著技巧的迭代，變得可以辨認，再如加密經過歷程中的密鑰被獲取或password體系被破解的難度能否跟著技巧的成長而下降），甚至取決于《password法》所建構的規制系統下的詳細規制辦法和個案處置。是以，收集運營商作為小我信息處置者和加密技巧應用者，也要不竭依據算法和小我信息維護的場景，對于其所應用的加密技裴毅不由的轉頭看了一眼轎子，然後笑著搖了搖頭。巧停止平安認證，從而合適《password法》等法令建構的加密技巧規制規定系統。

更有甚者，技巧的成長及其利用也會不竭挑釁《小我信息維護法》系統中預設的往標識化和匿名化的二分法。[54]依照該律例定，往標識化的信息在顛末額定信息幫助的情形下（如獲取對于小我信息數據停止加密的密鑰），依然可以回復復興為小我信息。往標識化僅是增添了辨認天然人成分和屬性信息的難度，而非消除了其能夠性。匿名化則意味著小我信息數據無法回復復興。加密解密技巧的成長完整能夠發生一種景象，即本來無法回復復興的數據可以經由過程新的技巧予以回復復興，從而影響《小我信息維護法》的實用范圍——該法第4條規則，匿名化信息不屬于該法維護的小我信息。此時，能否應當在《password法》之下的加密規制系統中限制此類代碼的開闢和技巧的應用，就釀成極為要害的題目。就此，法令需求在個案傍邊判定一項加密技巧能否知足了匿名化的請求，從而免去《小我信息維護法》設定的任務，仍是僅僅起到了往標識化的感化，以及感化有多年夜，從而斷定小我信息處置者曾經實行了該任務。小我信息維護法範疇的學者和實務人士因此必需直面password技巧的更換新的資料迭代，并且追蹤關心password規制的成長狀態。

（二）法律需求與小我信息的均衡機制：法令與技巧的穿插途徑

1.password的社會化應用與法律需求的張力

必需留意的是，加密技巧的廣泛社會化應用是一把雙刃劍。加密技巧的小我應用廣泛化將會打破公權利和隱私之間的既有均衡狀況。跟著《password法》的奉行，大眾對password技巧的熟悉和應用加密技巧維護小我信息和隱私的水平進步，會形成法律和司法機關獲取數據的技巧艱苦。究實在質，internet從其底層架構而言，“易攻難守”。[55]加密技巧在信息收集各個環節的廣泛應用，會使internet的攻守態勢趨于均衡。但是，新的均衡將會帶來法律與隱私之間新的不服衡。加密技巧的普遍應用，不單意味著小我信息隱私獲得更強維護，也意味著公權利機關獲取數據的難度響應增年夜。這個困難曾經超越了傳統的當局保護平安的權利和小我的隱私權力之間的沖突框架，[56]也組成了公共平安和小我信息平安之間的沖突。[57]此外，更需留意的是，小我信息平安也不只牽扯小我隱私，同時也牽涉社會應用收集信息體系停止成長的全體好處（例如數字經濟和數字管理）。

公權利與隱私之間的沖突典範地表現在法律機關為衝擊犯法而獲取數據的經過歷程之中。在大批數據未加密的情形下，張力尚不顯明。但是，一旦加密普及開來，法律機關將會見臨嚴重妨礙。究竟，越來越多的數據將會以密文情勢傳輸和存儲，有用避免截獲、泄露和改動。[58]第三方（無論是進犯者仍是法律者）獲取數據的難度會不竭加年夜。從國外經歷來看，法律機關能夠采取的辦法分為兩年夜類，一是尋覓密鑰進進體系獲取數據，二是在不獲取密鑰的情形下直接獲取數據。[59]前者則進一個步驟區分為找到“password”（口令）、暴力破解和經由過程偵察、審判嫌疑人獲取“password”；后者則包含應用加密體系破綻予以破解、在裝備應用時獲取明文數據和獲取數據在運營商上的備份。[60]無論何種方式從數學道理來說都只是概任性的，無法供給一通百通的方式，也沒法決議好壞之分，由於對于方式的選擇取決于法律機關的技巧認知水平、技巧應用才能高下和資本設置裝備擺設水平。[61]在極端情形下，法律機關面對著數學法例的制約。[62]例如，在收集辦事供給商并未保存用戶私鑰的情形下，在端對端加密通訊中，法律機關需求借助極強的算力資本剛剛可以或許完成其目的。[63]甚至在某些情形下，法律機關的解密後果與加密技巧的規制親密相干，特殊是法令對于小我應用商用password的強度（特殊是密鑰長度）的規則。[64]

以2016年Apple v. FBI案為例。蘋果公司被FBI依法請求協助破解圣貝納迪諾襲擊者賽義德·法魯克（Syed Farook）應用的iPhone 5c手機。法魯克已逝世，使得法律機關逼迫其供給密鑰的戰略無法停止。當局了解，法魯克的手機啟用了主動刪除效能以禁止暴力破解，盲猜“password”就變得更難。當局轉而試圖獲取明文數據的備份正本，并取得了手機內在的事務在云端（iCloud）上的備份，但云端存儲包養網 的只是6個禮拜之間的較早版本，而FBI盼望取得最新的正本。 FBI取得法院允許，請求蘋果公司協助，禁用云端正本的主動刪除效能，以便疾速猜想破解password，現實上就是讓蘋果公司“開后門”。蘋果公司否決，以為這會侵略用戶隱私，損失其他用戶信賴。[65]FBI終極另辟門路，在訴訟判決之前，經由過程匿名的第三方協助破解了password。

上述案件表現出來的是在法律機關獲取數據的場景中典範的題目地點，即一方面，犯法嫌疑人能否有法令上的自解密任務；另一方面，internet運營者、裝備制造商甚至于加密算法開闢者的協助解密任務題目。

2.能夠的處理計劃：自解密任務與協助解密任務的范圍與限制

為了應對法律困局，技巧與法令相聯合的計劃活著界范圍內曾經有所成長，此中有兩種計劃值得加以切磋。一是在小我應用的加密算法中請求算法開闢者建立“后門”。例如，澳年夜利亞已經出臺反加密法，答應當局逼迫科技公司為產物設置后門。[66]詳細而言，此種開闢“后門”的法令任務設定，假如加密體系中不設置法律部分可以取得明文的技巧機制，該加密體系不得推行應用。可是，此舉風險很年夜，仍需穩重。起首，從技巧角度而言，開“后門”是雙刃劍，具有較年夜的潛伏風險。本國法律可以從“后門”進進體系，本國當局、黑客甚至可怕主義者也可以從“后門”進進。這反倒會招致收集信息平安赤字。其次，從經濟角度而言，開“后門”將會要挾小我信息和隱私維護，削減外鄉加密產物和收集平安產物的國際市場需求，也晦氣于一國password尺度的國際化，甚至能夠由於違背本國隱私法而面對訴訟、合規甚至公共關系的風險，有損財產的國際競爭力。[67]尤其是斟酌到將來物聯網和區塊鏈的成長都要依附password尺度，此舉更得穩重。[68]最后，不問可知，“后門”軌制自己也會發生言論爭議。[69]

另一種做法是建立國度密鑰托管體系。[70]其初志是，公權利機關出于保護國度平安和公共平安的任務，須有某種數據恢復的權利，此中包括獲取加密數據的權利，特殊是經由過程預設數據恢復密鑰，獲取響應數據，來衝擊犯法和迫害國度平安的行動。此種備用密鑰體系也對小我用戶的password應用權力有所輔助，它可以協助用戶在喪失私鑰之后處理題目。例如，20世紀90年月，為了緩解平安和隱私之間的沖突，克林頓當局已經試圖樹立美國的國度密鑰托管體系，盼望在包管小我信息隱私的同時，為衝擊犯法和可怕主義等行動供給技巧手腕。此舉并非將收集用戶的“口令”停止同一治理，而只是從算法層面治理密鑰天生的算法機制，以便需要時公權利機關可獲取詳細“口令”。但是，密鑰托管體系遭到了法令界和財產界的所有人全體否決，終極無法奉行。

在《password法》和《小我信息維護法》出臺之前，我法律王法公法律中并未規則對于犯法嫌疑人的自解密任務。在司法實行中，不共同解密行動經常對比刑法中的妨礙公事罪或《治安治理處分法》中謝絕、障礙國度任務職員依法履行職務的行動。[71]在兩部法令出臺之后，特殊是此中對于應用加密技巧維護小我隱私和小我信息的權力停止誇大之后，以往的做法顯得不甚妥善，是以需求在法令層面就自解密任務和協助解密任務停止更為明白的軌制design。

就今朝的法令而言，針對觸及國度平安案件中的解密任務題目，曾經有了較為明白的規則。如《反可怕主義法》（2018年修改）第18條明白規則：“電信營業運營者、internet辦事供給者應該為公安機關、國度平安機關依法停止防范、查詢拜訪可怕運動供給技巧接口息爭密等技巧支撐和協助。”是以，在觸及可怕主義的案件中，電信營業運營者和internet辦事供給者具有協助解密任務。而2015年《國度平安法》第77條第1款第5項規則國民和組織有任務“向國度平安機關、公安機關和有關軍事機關供給需要的支撐和協助”。在觸及應用加密技巧的案件場景中，該條目可以說明為在國度平安案件中，國民和組織有自解密和協助解密的任務。相較而言，2016年經由過程的《收集平安法》第28條規則：“收集運營者應該為公安機關、國度平安機關依法保護國度平安和偵察犯法的運動供給技巧支撐和協助。”該條目似也可以作相似說明。

假如包養 說在觸及國度平安的案件中，解密任務存在與否的題目較為明白，那么在通俗刑事案件的偵察中，相干法令的規則并不明白。上文說起的《收集平安法》第28條的規則固然為收集運營者設置了“供給技巧支撐和協助”的任務，但該任務能否包括解密任務，其任務的強弱水平若何，法令并未明言。可以確定的是，該條目并未為國民小我設置自解密任務；並且，由于自解密任務觸及國民在憲法上的通訊不受拘束和通訊機密權，同時也與不得逼迫自證其罪的刑事訴訟法準繩存在潛伏的沖突，因此可以絕對斷定的是，法令今朝并無此種請求。[72]本文提出，將來的軌制design中保持近況、不設定自解密任務是較為妥善的辦法。在此基本上，本文認同有論者提出的計劃，即司法機關可以請求犯法嫌疑人采取自愿一起配合的方法來予以包養網 測驗考試，并在犯法嫌疑人謝絕共同的情形下，答應法院采信這一現實，[73]從而保護衝擊犯法與維護國民基礎權力（包含但不限于小我隱私/信息權力和不自證其罪的權力）之間的均衡。

難點在于收集運營者的協助解密任務，這有待于更為細化的軌制停止廓清。在此之前，我們依然可以從法令道理和實行近況的層面停包養 止初步切磋。在道理層面，在處置小我和組織的自解密任務和協助解密任務題目時，毫無疑問應該遵守比例準繩，一方面付與法律機關在特定場景中獲取加密數據的相干權利，另一方面從法令上施加法式規范和實體限制，以此均衡當局權利和國民權力之間的界線。[74]實行層面，“在向收集辦事供給者請求法律協助的啟動點上，司法機關有啟動過于頻仍、啟動閾值過低的題目”。[75]針對于此，本文提出應對于司法機關請求收集運營者解密的行動采取如上限制。

一是最低限制準繩。依照《小我信息維護法》第34條的請求，國度機關在實行法定職責時，應該在必須范圍和限制內處置小我信息。[76]這一點也應說明實用于司法機關經由過程解密而獲取小我信息和數據的情形。例如，司法機關在準繩上只能請求相干主體解密犯法嫌疑人自己的信息和數據，只要在確為需要的前提下，司法機關才可以請求收集運營者解密與犯法嫌疑人具有親密關系的職員的相干信息。再如，需求明白收集運營者的協助解密任務在分歧案件類型中的響應水平，如只針對觸及嚴重罪名的刑事案件設置完整的協助任務，而針對普通刑事案件，則需求留意公共好處和小我隱私的均衡。[77]

二是權力保證機制。《小我信息維護法》的主旨就是確立以知情批准為焦點的小包養網 我信息權力維護系統，并且特殊規則了國度機關在實行職責時處置小我信息經過歷程中對于權力主體的告訴任務。[78]此準繩也應實用于協助解密的場景中。詳細而言，當司法機關在法定范圍內按照最低限制準繩勝利取得包養 收集運營商協助解密當事人的信息之后，當事人有知情權（如公安機關必需告訴）和刑事法式性權力（如當事人有權請求消除不符合法令證據）。

三是平安保證任務。依照《password法》《數據平安法》《收集平安法》和《小我信息維護法》等法令的相干規則，司法機關和收集運營者對在解密經過歷程中獲取的國度機密、貿易機密和小我信息應該盡到保密任務，尤其不得用于與案件偵破有關的用處。

五、結語

《password法》實行之后，password管理相干的法令體系體例將會迎來周全成長，同時也會與小我信息維護相干的法令規定產生親密聯動。加密技巧的普遍應用畢竟會給法令帶來什么機會和挑釁，既取決于技巧立異（例如量子盤算機的呈現），也取決于法令變更（特殊是第三方協助任務的法令范圍）。對password管理采取技巧與法令聯合的研討退路，或許同時具有必定方式論意義。internet時期，“代碼就是法令”。[79]而在“一切工具都是盤算機”“萬物皆數”的年夜數據時期，password是從技巧底層維護收集平安和小我信息的主要代碼。password管理的法令題目，曾經超出了password產物的研發、發賣、應用和進出口等詳細題目，觸及到了法令軌制的最基礎，即權利和權力的基本關系和最基礎鴻溝。聯合技巧與法令兩個分歧的面向，洞悉信息社會管理的深度構造和底層邏輯，是應對將來password規制系統和小我信息維護軌制的基礎思想。

注釋:

[1]在法令層面，除了《password法》之外，還有《國度平安法》《守舊國度機密法》《收集平安法》《反可怕主義法》《電子簽名法》（2004年經由過程，2015年第一次修訂，2019年第二次修訂）和《對外商業法》等相干法令中的相干條則；行政律例包含《商用password治理條例》（國務院令第273號）《技巧進出口治理條例》（國務院令第732號）和《國務院關于撤消一批行政允許事項的決議》（國發〔2017〕46號）。部包養網 分規章層面，包含國度password治理局制訂和公布的《商用password產物生孩子治理規則》（2005年經由過程，2017年12月1日修訂）、《商用password科研治理規則》（2005年經由過程，2017年12月1日修訂）、《電子認證辦事password治理措施》（2005年經由過程，2017年12月1日修訂）、《國度password治理局關于做好商用password產物生孩子單元審批等4項行政允許撤消后相干治理政策連接任務的告訴》（國密局字〔2017〕336號）、《電子政務電子認證辦事營業規定規范》（國密局字〔2018〕572號）等。此外，還有技巧方面的國度尺度，包含但不限于《GM/T0054-2018信息體系password利用基礎請求》《 GM/T0044-2016SM9標識password算法》《 GM/T0045-2016金融數據password機技巧規范》等。

[2]該法第51條規則：“小我信息處置者應該依據小我信息的處置目標、處置方法、小我信息的品種以及對小我權益的影響、能夠存在的平安風險等，采取下列辦法確保小我信息處置運動合適法令、行政律例的規則，并避免未經受權的拜訪以及小我信息泄露、改動、喪失：……（三）采取響應的加密、往標識化等平安技巧辦法；……。”

[3]拜見肖志宏：《我國password法令系統架構研討》，載《信息平安研討》2018年第9期，第853-856頁；馮瀟灑：《國外加密與法律案例剖析及其對我國password立法的啟發》，載《信息平安研討》2018年第3期，第201-210頁；馬平易近虎、王新雷：《試論商用password管束法之靜態國度好處不雅》，載《信息收集平安》2009年第3期，第47-49頁；馬平易近虎、趙嬋、馮立楊、王新雷：《商用password管束：從對峙到包涵之趨向剖析》，載《信息收集平安》2009年第2期，第60-62頁、第69頁；馬平易近虎、原浩：《密鑰托管與國民隱私權的國外立法》，載《信息收集平安》2005年第8期，第62-63頁；馬平易近虎、原浩、許蘇嘉：《美歐password進出口監管的“游戲”法例研討》，載《諜報雜志》2005年第1期，第9-11頁；馬平易近虎：《美國password出口監管政策的“歐盟”景象》，載《信息收集平安》2002年第3期，第34-36頁；馬平易近虎、杜立欣：《表裡有此外把持政策——美國password政策演化軌跡》，載《國際商業》2001年第10期，第21-23頁；馬平易近虎：《美國password政策的演化軌跡》，載《信息收集平安》2001年第8期，第21-23頁。

[4]拜見陳亦超：《構開國家平安法令軌制系統的主要環節——〈中華國民共和國password法〉幾個題目解讀》，載《中國信息平安》2019年第11期，第56-59頁；荊繼武：《進修〈password法〉的領會與思慮》，載《中國信息平安》2019年第11期，第69-70頁；張寶山：《password法“表態”：助力password任務法治化》，載《中國人年夜》2019年第13期，第35-36頁。篇幅所限，自媒體上的解讀文章恕紛歧一羅列。

[5]日常生涯中人們上彀或許登錄電子裝備所應用的各類password，在嚴厲意義上只是“口令”。

[6]該算法普遍應用在數字簽名範疇，成為了電子商務的技巧支持之一。例如，“password法研討”這個短語，經由過程SHA256算法盤算出來的數值是“e3a0690c4df0310dcf52cf3f3f62cbd5525186958615df5122849057e2b3e155”。而“《password法》研討”的數值是“45f274c9af5f95f3d2c31151dbd3f53a531fff64784c6bf3465735b98b80dcd1”。兩者之間固然只是一個書名號的變更，但數值卻差異甚年夜。

[7]嚴厲說起來，Cryptography更應當被稱為“password術”。password術（Cryptography ）是一門用password（cipher）、代碼（code）和相干技巧來假裝信息的迷信。password（cipher）是一種非論任何內在的事務都可以加密的方式。代碼（code）則是一種編碼體系，即一套事後設定好的意義映射體系。而狹義上的password學（Cryptology）是研討password術（Cryptography）和password剖析（Cryptanalysis，重要是破譯password）的學科。拜見[美]Richard Spillman: 《經典password學與古代password學》，葉阮健、曹英、張長富譯，清華年夜學出書社2005年版，第3頁。

[8]法令并非不維護小我日常生涯應用的“password”，只是不在《password法》里直接維護。如《最高國民法院關于審理搗亂電信市場治理次序案件詳細利用法令若干題目的說明》（法釋〔2000〕12號）第8條規則：“盜用別人公共信息收集上彀賬號、password上彀，形成別人電信資費喪失數額較年夜的，按照刑法第二百六十四條的規則，以偷盜罪科罪處分。”盜號還能夠組成侵權行動，如被盜號的主體遭遇財富喪失，或聲譽喪失，可主意平易近事賠還償付。

[9]See A. Michael Froomkin, The Metaphor Is the Key: Cryptography, the Clipper Chip, and the Constitution, 143University of Pennsylvania Law Review 709,718-719(1995).

[10]See Alfred J. Menezes, Paul C. van Oorschot & Scott A. Vanstone, Handbook of Applied Cryptography, CRC Press, 1996, pp.6-8.

[11]拜見同上注，第8-9頁。

[12]See Jacob Ziv, In Search of a One-Way Function, in Thomas M. Cover & B. Gopinath eds.， Open Problems in Communication and Computation, Springer, 1987， pp.104-105.

[13]拜見左朝勝、馬軍峰、徐曉穎、高建遠：《鍛造國度政務平安的云盾牌》，載搜狐網2018年3月7日，http://www.sohu.com/a/225016419_161623｡

[14]See David D. Clark, The Design Philosophy of the DARPA Internet Pro包養 tocols, 18 Computer Communication Review 106,106-114(1988).

[15]別的一個主要的原因是美國聯邦當局將對稱passwordDES （Data Encryption Standard，一種應用56位密鑰的對稱算法）于1976年確立為聯邦材料處置尺度（FIPS），隨即公然傳佈，甚至在國際社會普遍傳播。

[16]password朋克郵件組（Cyberpunk Mailing-List）于1992年景立，其晚期成員包含后來赫赫有名的人物：BT下載開創人布拉姆·科恩（Bram Cohen）、維基解密開創人阿桑奇（Julian Assange）、萬維網WWW的發現者蒂姆·李（Tim B. Lee）、臉書的開創人之一帕克（Sean Parker）以及比特幣開創人中本聰。其基礎思惟是無當局主義。此中也有多數法學家，如邁阿密年夜學法學院A.邁克爾·弗魯姆金（A. Michael Froomkin）傳授。其基礎思惟偏向拜見《password無當局主義宣言》（Crypto Anarchist Manifesto）， https://www.activism.net/cypherpunk/crypto – anarchy.html。

[17]《password法》第12條規則：“任何組織或許小我不得竊取別人加密維護的信息或許不符合法令侵進別人的password保證體系。任何組織或許小我不得應用password從事迫害國度平安、社會公共好處、別人符合法規權益等守法犯法運動。”

[18]See Eric Rice, The Second Amendment and the Struggle Over Cryptography, 9 Hastings Science and Technology Law Journal包養網 29,31(2017).

[19]See e.g., Bernstein v. U. S. Dept.of State, 945 F. Supp.1279,1286(N. D. Cal.1996).

[20]全稱“OECDpassword政策推舉指南”（OECD Recommendation Concerning Guidelines for Cryptography Policy），拜見http://www.oecd.org/sti/ieconomy/guidelinesforcryptographypolicy.htm, 2020年2月9日拜訪。

[21]See Tricia E. Black, Taking Account of the World as It Will Be: The Shifting Course of U. S. Encryption Policy, 53 Federal Communications Law Journal 289,292(2001).

[22]See Nathan Saper, International Cryptography Regulation and the Global Information Economy, 11 Northwestern Journal of Technology and Intellectual Property 673,679-682(2013).

[23]拜見同前注[3]，馬平易近虎、杜立欣文，第21-23頁。

[24]甚至有美國粹者以為，由于password自己是進出口法令中的“兵器”，是以也可以享用第二修改案“持有兵器的權力”的維護。拜見同前注[18]， Eric Rice文。

[25]拜見《美國憲法》第四修改案規則，“國民的人身、室第、文件和財富不受在理搜尋和拘留收禁的權力，不得侵略。除根據能夠成立的來由，以宣誓或代誓宣言包管，并具體闡明搜尋地址和拘留收禁的人或物，不得收回搜尋和拘留收禁狀”；第五修改案規則，“任何人……不得在任何刑事案件中自願自證其罪……”。

[26]See In re Grand Jury Subpoena to Sebastien Boucher, No.2：06-mj-91(D. Vt. Feb.19,2009).

[27]美國password技巧和財產世界搶先，是以對于本國password產物和技巧并不設置任何入口限制。

[28]See Bureau of Industry and Security, Export Administration Regulations, Commerce Control List, Category 5-Telecommunications and ＂ Information Security＂, BIS (Dec.7,2012), http://www.bis.doc.gov/policiesandregulations/ear/ccl5_pt2. pdf.

[29]拜見同上注。

[30]拜見美國財務部網站相干信息，https://www.treasury.gov/ofac/downloads/sdnlist.pdf, 2020年2月9日拜訪。

[31]See Setting Up a Community Regime for the Control of Exports of Dual-use Items and Technology, Council Regulation (EC) No 1334/2000, https://eur –包養 lex.europa.eu/legal – content/E包養網 N/ALL/? uri = CELEX%3A32000R1334.

[32]拜見同前注[22]， Nathan Saper文，第482頁。

[33]好比，在金融範疇，規制部分需求經由過程有用的password技巧手腕，衝擊捏造銀行卡、捏造網上買賣成分等守法犯法行動。在稅收範疇，增值稅防偽稅控體系也是采用password技巧維護涉稅信息，增值稅發票上的四個二維碼，就是password技巧的利用；二代成分證里面也是應用password芯片，避免捏造成分證等守法犯法行動。而網平易近上彀留下的小我敏感信息、隱私，甚至貿易機密，不單需求法令維護，更需求技巧維護。拜見國民網：《〈中華國民共和國password法〉發布這六個題目你需求了解》，載國度internet信息辦公室官方網站2019年10月29日，http://www.cac.gov.cn/2019-10/29/c_1573880702680488. htm。

[34]拜見倪俊：《稀釋的中國商用password財產成長史——衛士通二十年商密營業成長過程》，載《信息平安與通訊保密》2018年第5期，第118-130頁。

[35]拜見《國度password治理局商密辦張平武：商用password成長過程與瞻包養網 望》，載收集平安品級維護網2包養 018年9月21日，http://www.djbh.net/webdev/web/Acad包養網 emicianColumnA包養 ction.do？ p = getYszl&id =8a81825664ceff130165f9 c361af0070，2020年2月9日拜訪。

[36]拜見《商用password治理條例》第13條規則：“入口password產物以及含有password技巧的裝備或許出口商用password產物，必需報經國度password治理機構批準。任何單元或許小我不得發賣境外的password產物遺憾和仇恨吐露了出來。 .。”此條規則設置了兩項行政審批：出口允許審批；入口審批軌制。

[37]拜見《優化營商周遭的狀況條例》（中華國民共和國國務院令第722號）。

[38]國外password產物和辦事從供給鏈角度而言存在風險，國外password算法占據了世界年夜部門市場份額（如AES、 RSA、 SHA256等算法）。

[39]拜見《password法》第6條。

[40]例如，一些新興的加密通信軟件曾經被視為要挾國度平安的東西。拜見同前注[4]，陳亦超文，第56頁。

[41]拜見《password法》第3-5條。

[42]《password法》第42條規則治理password的焦點機構：國度password治理局。依據2018年3月國務院發布的《國務院關于部委治理的國度局設置的告訴》（國發〔2018〕7號），國度password治理局與中心password任務引導小組辦公室一個機構兩塊牌子，列進中共中心直屬機關的部屬機構序列。

[43]拜見《password法》第43條。

[44]《商用password治理條例》第3條。

[45]Richard H. Thaler & Cass R. Sunstein, Nudge: Improving Decisions about Health, Wealth, and Happiness, Yale University Press, 2008.

[46]例如，在非對稱password算法中，激勵應用國度尺度SM2，但也答應應用國際通行的RSA算法，只是請求必需具有相當強度，如2048位密鑰，甚至更高。

[47]拜見滑明飛：《1400萬快遞用戶隱私裸奔：若何為年夜數據加密？》，載搜狐網2014年8月18日，http://news.sohu.com/20140818/n403520015. shtml。

[48]國度password治理局：《password政策問答（二十二）》，載國度password治理局官方網站，http://www.oscca.gov.cn/sca/xxgk/2020-01/28/content_1060626.包養 shtml。

[49]王小云：《password技巧是數據管理和信息維護主要手腕》，載公理網，http://news.jcrb.com/jxsw/201811/t20181109_1924340. html。

[50]拜見《小我信息維護法》第51條。從比擬法角度來看，這也是較為通行的做法。2018年出臺的歐盟《普通數據維護條例》（GDPR）第32條規則，數據“把持者和處置者”在處置小我數據時，應采取“恰當技巧與組織辦法，以便包管和風險相當的平安程度”，此中第一項便是“小我數據的匿名化和加密”。歐盟《普通數據維護條例》，丁曉東譯，https://www.sohu.com/a/232773245_455313。其闡明條目（Recitals）第83條進一個步驟規則：“為了保護平安和避免違背本規則的處置，把持者或處置者應評價處置中固有的風險，并采取辦法來下降這些風險，如加密。這些辦法應確保恰當水平的平安，包含保密……” General Data Protection Regulation, Recital 83， https://gdpr – info.eu/recitals/no -83/。譯文為筆者翻譯。歐盟的做法固然并未規則數據把持者和處置者的守法義務，但也為其處置數據中應用加密技巧供給了明白的標的目的。加包養 拿年夜《小我信息維護和電子文件法》（PIPEDA, 2000）則規則：“花費者的小我信息必需由與小我信息的敏理性相順應的平安辦法保證，包含應用password（passwords）和加密（encryption）等技巧辦法。”如若貿易組織違背此條目，則需承當最高10萬加元的處分。 Personal Information Protection and Electronic Documents Act, S. C.2000， C.5， https://laws – lois.justice.gc.ca/ENG/ACTS/P -8.6/page -4. html#h -417174.比擬較而言，美國《加利福尼亞州花費者隱私法》（CCPA）在維護小我隱私的規則中，固然在運營商的平安保證任務中沒有明白說起加密任務，但在響應的訴訟規定中隱含了加密題目。該法第1798.150（1）中規則：“任何花費者如其……未加密或未經處置的小我信息，由于企業違背任務而未實行和保護公道平安法式以及采取與信息性質相符的做法來維護小我信息，從而遭遇了未經受權的拜訪和泄露、偷盜或表露”，則花費者可因3項緣由提起平易近事訴訟，此中包含提起每個花費者100美元到750美元之間的賠還償付懇求。換言之，假如企業采用了對于花費者小我信息的加密處置，則至多可以就此提出抗辯，免去賠還償付。 See California Consumer Privacy Act of 2018，1798.150，中文譯文拜見《美國〈2018年加州花費者隱私法案〉》，吳沈括等譯，載“平安內參”2018年7月10日，https://www.secrss.com/articles/3836。

[51]拜見隱私盤算同盟、中國信息通訊研討院云盤算與年夜數據研討所：《隱私盤算白皮書》，2021年7月，第2頁。

[52]拜見同上注，第33頁。

[53]拜見姑蘇信息平安法學所：《password技巧在〈小我信息維護法〉中的基石位置和完成》，載平安內參網2021年8月27日，https://www.secrss.com/articles/33841。

[54]《小我包養 信息維護法》第4條規則：“小我信息是以電子或許其他方法記載的與已辨認或許可辨認的天然人有關的各類信息，不包含匿名化處置后的信息。”

[55]左亦魯：《國度平安視域下的收集平安——從攻守均衡的角度切進》，載《華東政法年夜學學報》2018年第1期，第155頁。

[56]See Cass R. Sunstein, Beyond Cheneyism and Snowdenism, 83 The University of Chicago Law Review 271,272-273(2015).

[57]See Bruce Schneier, The Value of Encryption, Schneier On Security (Apr.2016), https://www.schneier.com/essays/archivcs/2016/04/the_ value _ of _ encrypt.html (hereinafter Schneier Il ); Olivia Gonzalez, Cracks in the Armor: Legal Approaches to Encryption, 2019 Journal of Law, Technology & Policy 2,9-10(2019).

[58]拜見《專家解讀〈password法〉，數據加密維護將是我國收集平安任務的重點》，載和訊網，https://shandong.hexun.com/2019-10-28/199026576. html, 2020年2月9日拜訪｡

[59]See Orin S. Kerr & Bruce Schneier, Encryption Workarounds, 106 Georgetown Law Journal 989,989-1020(2018).

[60]拜見同上注。

[61]拜見同上注。

[62]See John Villasenor, No, the Laws of Australia Don＇ t Override the Laws of Mathematics, Brookings Institution(July 17,2017), https://www.brookings.edu/blog/techtank/2017/07/17/no – the – laws – of – australia – dont – override – the – laws – of – mathematics.

[63]拜見同上注。

[64]See Peter Swire & Kenesa Ahmad, Encryption and Globalization, 13 Columbia Science & Technology Law Review416,441-444(2012).印度比來的“password圣戰”可以供給參考。跟著2008年孟買年夜爆炸的產生，印度當局加大力度了信息平安辦法，特殊是出臺法令規則貿易和小我應用的加密技巧中秘鑰長度不得跨越40比特。這固然有利于當局衝擊犯法，但晦氣于保護小我信息和隱私，將會發生小我收集平安的黑洞。

[65]例如，蘋果公司CEO庫克公然表現，這將會“進犯它本身的用戶，損壞幾十年來維護它的用戶（包含數萬萬美國國民）免受……黑客和收集罪犯進犯的平安保證辦法。……具有譏諷意味的是，異樣一批工程師，把加密法式植進iPhone維護我們的用戶，又被責令減弱那些維護，使我們的用戶更不平安”。 Tim Cook, A Message to Our Customers, Apple (Feb.16,2016), http://www.apple.com/customer – letter/.其他inter包養網 net公司（如亞馬遜、微軟、臉書、谷歌等）也聯名提交了“法院之友”看法書，明白否決此項舉動。 See Amicus Briefs in Support of Apple, Apple: Newsroom （Mar.2，2016）， https://www.apple.com/newsroom/2016/03/03Amicus – Briefs – in – Support – of – Apple/.

[66]拜見《澳年夜利亞新公佈反加密法惹起軒然年夜波》，載白帽匯平安研討院，https://nosec.”只會讓事情變得更糟。”彩修說道。她沒有落入圈套，也沒有看別人的眼光，只是盡職盡責，說什麼就說什麼。org/home/detail/2043. html, 2020年2月9日拜訪。

[67]See Kaveh Waddell, How Much Is Encryption Worth to the Economy ?, The Atlantic (Nov.9,2015),https://www.theatlantic.com/politicstarchive/2015/11/how – much – is – encryption – worth – to – the – economy/458466(＂ The tech industry, however, argues that consumers want better security and privacy and that a weaker encryption standard would be a huge economic hit to U. S. companies, because consumers would shift to apps and services with strong encryption made overseas.＂).

[68]拜見《〈password法〉元年到來王小云院士鄭州專題演講password利用與區塊鏈》，載年夜河網，https://news.dahe.cn/2020/01-19/581135. html。

[69]美國國安局已經被揭穿在password技巧中植進后門；荷蘭當局則在2016年表現不會逼迫password公司留后門。拜見同前注[55]，左亦魯文，第155頁。

[70]技巧界人士曾經有此提議。拜見鏈證經濟：《高承實博士：密鑰托管是區塊鏈項目落地的需要讓步》，載簡書網2018年11月29日，https://www.jianshu.com/p/d0494b951b81。

[71]拜見馬平易近虎、果園、馬寧：《自解密任務的法令迷惑及其外鄉實用》，載《姑蘇年夜學學報（哲學社會迷信版）》2016年第1期，第89-94頁。

[72]拜見《刑事訴訟法》（2018年修改）第52條規則：“審訊職員、查察職員、偵察職員必需按照法定法式，搜集可以或許證明犯法嫌疑人、原告人有罪或許無罪、犯法情節輕重的各類證據。嚴禁刑訊逼供和以要挾、勾引、詐騙以及其他不符合法令方式搜集證據，不得逼迫任何物證實本身有罪。”

[73]拜見同前注[71]，馬平易近虎、果園、馬寧文，第93頁。

[74]See Cynthia Lee, Reasonableness with Teeth: The Future of Fourth Amendment Reasonableness Analysis, 81Mississippi Law Journal 1133(2012).

[75]崔聰聰、李欲曉、韓松：《〈收集平安法（草案二次審議稿）〉第27條修正提出——以收集辦事供給者協助解密任務為中間》，載《中國工程迷信》2016年第6期，第36頁。

[76]《小我信息維護法》第34條規則：“國度機關為實行法定職責處置小我信息，應該按照法令、行政律例規則的權限、法式停止，不得超越實行法定職責所必須的范圍和限制。”

[77]拜見王志剛、楊敏：《論收集辦事供給者的偵察協助任務》，載《重慶郵電年夜學學報（社會迷信版）》2019年第4期，第25-33頁。

[78]拜見《小我信息維護法》第35條：“國度機關為實行法定職責處置小我信息，應該按照本律例定實行告訴任務；有本法第十八條第一款規則的情況，或許告訴將妨害國度機關實行法定職責的除外。”

[79][美]勞倫斯·萊斯格：《代碼：塑造收集空間的法令》，李旭譯，中信出書社2004年版，第6頁。

作者簡介：劉晗，法學博士，清華年夜學法學院副傳授。

文章起源：《清華法學》2022年第3期。