密码法第28条第2款分析：何为大众消费类产品采用的商用密码

《密码法》第28条2款规定，大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。据此，在商用密码进出口负面清单管理基础上，进一步设定了除外情形。对“大众消费类”产品的准确理解是适用该条款的基本前提，对此我们综合了密码法立法过程的理论探讨和境内外对类似产品的监管实践，尝试对此进行解读，供技术圈人士参酌指正。

密码法立法中对大众消费类产品采用的商用密码情形进行排除，不仅是清单管理制度中监管必要性问题的兜底，即是否需要对大众消费类产品采用的商用密码进行进出口监管（“监管意愿”，包括主动放弃或被动无力），也是对监管机构是否具有管理和控制（《出口管制法》（草案）的用语是“管制”，本文简称“管控”似在程度上较为温和）能力（“监管能力”）的检验。

1、除外情形设定的基本考量

任何的除外情形或排除适用，莫不是从基于本国密码技术和产业基础之上，对包括监管意愿和监管能力在内的多方因素进行评价的结果。从各国对商用密码监管的历史演进看，对具有管控能力的商用密码，则立法和政策上倾向于放松进口（也包括出口）；对不具有管控能力（但认为有监管必要性）的商用密码，会实施较为严格的限制进口；而对于不具有管控能力，无法实现有效监管且并无强烈监管意愿的商用密码，则会在执法实践中适当放松进口。这是“第一次密码战争”给到美国密码监管的经验教训，并在2000年后的立法和政策中逐步得到各国的认识和适应。

最为典型当如早期的PGP例子。1991年开始因为PGP将军事领域的加密技术引入民用领域，一时间导致NSA的计算能力无法解密。由于PGP无密钥恢复（non-key recovery）并可以通过网络下载，引发了对其是否应当取得军用（munitions）出口许可证，否则应视为非法出口加密软件的争议。这里就存在一个较为短期的不具有管控能力、无法实现有效监管的“监管真空”。监管机构彼时的作法是通过引入诉讼将这一问题置于“可控”状态。1998年网联公司（1997年购买了PGP，期间有一系列复杂的并购操作，一直可以更新到2019年博通收购赛门铁克（Symantec）并更名为NortonLifeLock，这经历都可以写本书……）称瑞士某公司基于Philip Zimmerman在书中的描述（含源码）自行开发邮件加密软件系统。由于该书已经正常出版和出口（基于美国宪法第一修正案的出版自由），瑞士公司开发新版PGP软件无需网联公司的技术支持，使得PGP软件的出口最终成为事实。虽然表面上看是因为无法有效监管的被动无力，但随着2013年以后斯诺登事件披露的Speigel项目涉及监听PGP加密信息——可对使用PGP加密的邮件进行监听和解密分析，以及PGP与其他加密协议关系和脆弱性的进一步发掘，我们可知对PGP的监听和解密已经使得管控出口没有实际必要。不是被动无力，而是不影响监管能力前提下的主动放弃。

2、大众消费类产品所采用的商用密码除外情形

首先应当明确，《密码法》规定的“大众消费”可能不能完全等同于美国《出口管理条例》EAR中CCL规定密码中的大众市场（mass market）物项（这里的区别有点类似于欧盟GDPR与美国加州CCPA的意味）。按照之前CCL规定，通过电子、电话、邮件、柜台等方式可由公众获取的零售软件、无需供应商提供安装支持的软件、不超过64为密钥长度的对称密码产品无需申请出口许可（尽管公开信息显示美国对于进口较少实施监管，但也有非标密码一说；为简化，本文假定我国对进出口均实行适当程度的监管）。大众市场的概念略大于大众消费的概念。

综合美国、欧盟、澳大利亚、以色列等国家、地区的监管实践，以及结合《密码法》第28条上下文理解，特别是不再区分境内外的进出口行为主体（但现行指南仍有区别），大众消费类产品所采用的商用密码可能笼统概括为包括以下类别，但由于仍然受限于密码技术、产品的特性（例如安全认证对加密保护的依赖程度、通过密钥长度调控加密强度），以及负面清单的定期不定期更新机制等等影响，不能直接和完全套用到《密码法》：

（1）从网络下载用于数据安全和电子签名的条件下的个人使用，但可能禁止向其他个人转让、许可——“消费”的本意在于自用；（2）基于《电子签名法》《电子商务法》的安全认证使用商用密码用于电子签名业务；（3）基于2013年现行有效目录使用的标准蓝牙技术规范（不包括2016年以后蓝牙版本，例如蓝牙5.0版本定位、速率和距离都有较大提升，因此是否排除适用仍有待澄清）；（4）IEEE 802.11（Wi-Fi）族系等认可标准的密码技术或产品；（5）用于知识产权保护的加密技术措施。此外尽管大部分的开源密码不受进口许可和出口管制，但一般我们不放在大众消费类进行讨论。

由上可知，如果参照上述类别，则对大众消费类产品所采用的商用密码不实行进口许可和出口管制制度的除外情形可能并没有想象中大的发挥空间，但如严格限定除外情形，则会对清单管理的细化规范与动态调整提出了更高的技术和维护要求。因此我们认为如果仅从用途出发，两者间的“灰色”地带仍有较大不确定性，这将在客观上对进出口行为人和使用者增加了合规成本和挑战。当然本文仅是抛砖引玉的一家之言，与《网络安全法》一样，《密码法》的合规之道仍然有章可循，而准确理解法律条文是需要准备的第一步。

作者：江苏竹辉律师事务所 原浩律师

声明：本文来自西交大苏州信息安全法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。