美国密码政策立法的历史回顾与影响分析

作为密码技术研发和应用最为先进和成熟的国家，美国密码政策立法一直具有积极的示范效应，甚至在相当长的历史时期内深切影响着国际社会对密码技术社会化利用的整体态度。纵观美国密码政策立法的发展过程，其中既包含具有创新性的实践，也存在极富警示性的弯路，其经历了由“严控”到“放松”，再到“宽严相济”的变迁过程。2019年是中国密码法治元年，《密码法》的顺利通过并颁布填补了我国密码管理领域长期以来的基础立法空白，全面提升了密码工作科学化、规范化、法治化水平，标志着我国密码事业进入到新的发展阶段，密码各项法律制度的顶层设计和整体规划必然紧随其后。在这一重要的历史节点，客观分析美国密码出口管制和国内管理政策立法的演变历程，“取其精华、去其糟粕”，无疑将对我国网络空间密码法治发展进程有所裨益。

一、美国密码出口管制政策立法的发展历程

美国密码出口活动需受到两套法律规范体系的调整，一是根据《国际武器贸易条例》（ITAR）及其配套的“军用物品管控清单”（USML）实施军品管控；二是根据《出口管理条例》（EAR）及其配套的“商业管控清单”（CCL）实施商品管控。早期的密码被美国视为纯粹的军用品，对密码的出口控制极为严格，除需要满足技术审查、出口许可和售后报告的具体要求外，受限的密码技术及其产品范围同样极为广泛，甚至通过互联网实施的在线出口、再出口和密码知识的传播活动也成为接受出口控制的对象。在当时，这种近乎严苛的密码出口控制政策主要出于国家安全的考虑，旨在防止先进密码技术外流并被敌对势力利用。

但这种无限泛化的密码限制政策严重阻碍了密码技术的科研和应用，并引发了针对该密码政策“违宪问题”的广泛争议。在Bernstein v. US Department of Justice一案中，伊利诺斯州立大学Bernstein副教授开发的Snuffle软件试图通过纸质期刊和网络发布，但政府要求其按照ITAR的规定注册为“军火商”并取得出口许可证。Bernstein认为政府禁令违反了《美国宪法》第一修正案。但被告司法部认为，如果Bernstein的软件通过计算机语言（源代码）表达，则不受《美国宪法》第一修正案的保护。1996年4月15日，法官Patel 驳回了司法部的观点，明确计算机源代码属于受《美国宪法》第一修正案保护的言论表达，并援引了1971年五角大楼文件案认为，ITAR的规定属于预先设定的言论限制，因为该法案要求Bernstein在发表其言论之前申请并获得许可证属于事先审查机制。1997年8月25日，法官Patel再次重申该案中政府基于EAR做出的规定同样违宪。法院判决的直接结果是Bernstein可以通常的方式自由教授密码课程，在网络上传和讨论课程材料。尽管法院支持了Bernstein的观点，但该案持续长达4年之久，期间很多的密码技术发展均受到影响。

在Bernstein v. US Department of Justice一案之后，美国学界和产业界关于“密码自由”的呼声不断高涨。在同一时期，信息技术的快速发展产生了密码“民用化”的客观需求，其对于经济增长的贡献率逐年增长，加之以《瓦森纳协议》为基础的全球密码出口规则体系逐渐形成，自由贸易成为不可忽视的发展趋势。当时支持密码自由化的主流观点认为，密码不应当为政府所垄断，公民和组织同样有权利使用密码技术保护信息和隐私安全。与此同时，美国当时过于严厉的密码出口控制政策确实对本国的密码产业发展构成了障碍。例如，无论是限制强加密技术的出口，还是强制要求使用密钥托管机制，都意味着美国的密码产品和服务与那些不设置出口限制的国家相比缺乏足够的竞争力。

为此，为了适应全球自由贸易的整体趋势，美国开始对密码出口政策进行调整，逐步放宽控制力度。1996年，美国将作为两用物项的密码管理权从国务院转移到商务部，极大便利了密码出口活动，缩短了密码出口证的签发时限。1998年，美国政府发布放松密码出口控制的公告，规定除了恐怖主义国家（古巴、伊朗、伊拉克、利比亚、朝鲜、苏丹、叙利亚），所有56位的加密产品在经过一次性审查后可以出口。

此外，美国还通过对EAR进行多次修订，以适应放松密码出口控制的要求。2000年，美国对EAR做出修订，规定任意密钥长度的密码技术在审查后可出口至恐怖国家外的非政府终端用户，政府用户则需根据许可协议执行；任何密钥长度的零售密码技术在审查后可出口至非恐怖主义国家的任何接收者；任何密码未经审查可出口至美国企业的外国子公司；向非美国实体出口特定的上述64位密码产品要求售后报告。至此，美国政府事实上已经取消了对密码产品强度和类别的限制，具备了密码自由出口的基础，其主要通过技术审查、许可协议和售后报告等制度设计实现对密码出口的控制。2002年，美国再次对EAR进行修订，放宽了大宗贸易密码产品、公开源代码和美国公司内部使用的密码产品的出口审查要求。

2010年，美国进一步通过商务部临时规定简化了密码出口审查要求，对于国家安全威胁较小的密码产品和技术取消技术审查等待30天的要求，而可以直接授权出口，再出口时仅向BIS提交电子注册即可；同时，大宗贸易密码产品也参照执行上述规定，只有少数类别的许可例外和大宗贸易密码产品还需要30天的审查期限，但涉及国家安全、反恐以及禁运和制裁的除外。

在区域密码政策方面，2018年11月，美国、墨西哥、加拿大三国正式签订《美国、墨西哥、加拿大协议》（USMCA）。该协议以1994年1月1日生效的北美自由贸易协议（North American Free Trade Agreement，NAFTA）为基础，涵盖范围广泛。USMCA在区域内采取比较宽松的密码进出口政策，要求缔约方不得对“面向公众使用或销售，并且不是专门为政府用途而设计或改造的密码产品”进出口设置限制，除非另有规定。而在这三国之外，USMCA通过第32章第10条（“毒丸条款”）对缔约国与“非市场经济国家”谈判自由贸易协议事宜规定了通知、审查乃至终止协议、替换条款等要求和限制。

二、美国密码国内管理政策立法的演进历程

自Phil Zimmermann在互联网上成功分发加密软件PGP开始，美国政府开始清醒地意识到密码“民用化”的必然趋势，并担忧这可能导致密码技术成为恐怖分子和其他犯罪分子的工具，阻碍执法活动。但早期政府垄断密码使用的格局已然打破，单纯禁止或限制密码国内使用的策略已经不可行。为此，美国政府于1993年开始尝试引入密钥托管制度来解决密码民用与执法便利之间的冲突问题。

美国政府的密钥托管政策以Clipper芯片的推广为基础，其核心理念是在所有通信设备中安装Clipper芯片，每一个芯片被指定一个加密密钥，该加密密钥被分成两份分别托管给相互独立的托管机构，执法机构可以在获得法庭令状的条件下获取该托管密钥，访问通信数据。由此可见，密钥托管政策事实上向以执法机构为代表的政府部门提供了通信数据访问的后门机制，其似乎建立了一种更为弹性的密码政策框架来应对密码民用产生的执法障碍：一方面，政府可以放松对密码技术的研发、生产、销售、使用和出口等方面的限制，允许使用密码技术保护通信安全，满足产业发展和用户隐私保护的要求；另一方面，密钥托管也能在特定情况下满足执法需求。在国内实施密钥托管政策的同时，美国政府也在全球范围内积极尝试推广该政策，一方面强迫瓦森纳和OECD在1996年将密钥托管作为强制的国际标准，另一方面游说各国政府采用密钥托管制度。

但在美国政府发布密钥托管政策之初，便遭受到各界的质疑。产业界普遍认为，一旦托管的密钥披露给执法机构，所有被这些密钥加密的通信都将可能受到影响，其安全性将会受到极大削弱。但犯罪分子却可以使用非托管的加密产品规避这一规定，密钥托管能够起到的实际效果非常有限。而更为广泛的公众则认为密钥托管本身就是不能够被接受的，因为这将对个人隐私构成巨大威胁。此后，尽管美国政府依旧尝试了多种密钥托管的可行方案——例如美国政府在1996年5月发布的《全球信息基础设施：加强隐私、商务、安全和公共安全》草案中建立的以密钥托管机制为基础的密钥管理基础设施（KMI）——但最终均未能得以实施。

1999年8月，美国颁布《网络电子安全法》（CESA），规定执法部门可以访问托管于可信第三方的密钥，但是不再强制要求通信服务提供商使用采取了密钥恢复机制或密钥托管机制的密码技术。同时为了保障个人的合法权益，当事人的密钥依据法律程序为执法部门使用时，执法部门应通知当事人，并在使用该密钥后，对密钥相关信息加以销毁。这也标志着美国政府的密钥托管政策彻底失败。同样的，美国政府在全球范围内推行密钥托管制度的努力也未能如愿，1996年6月，OECD讨论了各国政府采取密钥托管倡议的可能性，仅有少数国家表示支持。1997年3月，OECD发布了密码指南，该指南没有包含强制性的密钥托管要求，而是选择尊重用户的自主选择。

在密钥托管制度失败后，美国政府转而开始寻求“密码使用限制”之外的政策解决方案，通过扩大执法机构的权限，来达到绕过密码技术访问通信数据的目的。例如，2001年9·11事件发生的45天后，布什总统即签署了《爱国者法》，旨在加强调查机构的权力，预防类似的攻击。《爱国者法》对很多现行的立法进行了修订，以授权政府访问存储的电子邮件和其他电子通信，这使得监听活动变得更为有效。此外，2018年美国颁布的《云法》更将执法机构的数据获取能力扩展到美国境外。

但密钥托管制度的失败也起到了积极作用，美国政府充分认识到密码技术对于信息安全不可替代的保障作用，及其对产业发展的助推效果，开始尊重并承认密码合法使用的基本政策思路。例如在1999年《金融服务现代化法》中，规定各金融机构对于用户的非公开个人信息可以在静态或传输过程中通过各种加密解决方案加以保护。2002年的《萨班斯法案》规定了旨在保护密码安全的密钥管理要求，以确保密钥不被更改和未经授权的披露。2018年USMCA明确要求，通过适用包括密码技术在内的适当安全技术措施，保护在公共电信网络和服务中的最终用户隐私和个人数据。

此外，美国更加注重在政府层面的密码技术使用和推广工作，增加了强制使用密码技术的规定和加解密能力。以2015年《网络安全信息共享法》(CISA)为代表，要求政府重要数据应当通过加密（或等同措施）予以保护。2017年10月，美国国土安全部发布了新的《约束性操作指令》，强制要求各联邦机构实施增强电子邮件加密功能的STARTTLS项目，以抵抗中间人攻击；要求各联邦机构实施发送方政策框架（SPF）和域密钥识别邮件（DKIM），使联邦机构更便利地防范未经授权的电子邮件；要求各联邦机构使用“基于域的消息认证、报告和一致性”协议（DMARC），在邮件服务器端防范未经授权的电子邮件，并帮助联邦机构寻找未经授权的电子邮件来源。此外，美国通过由国防部主导的“密码现代化计划”逐步提升密码设备的可靠性。根据该计划，美国将在10-15年之内升级国防部的密码库存，升级130万美国现用的加密设备，其中73%的加密设备将被更换。所有依赖密码技术提供保密性、完整性和认证服务的指挥控制、通信、计算机、情报、监视、侦察、信息技术和武器系统都将纳入CC之中，这导致NSA、军事部门、国防机构、联合参谋部、联邦政府机构和产业界将在CC框架之下形成更为紧密的联合实体。

三、美国密码政策立法调整的影响因素

从国际维度来考量，美国密码出口管制政策立法的调整和OECD的密码方针不无关系。1997年3月27日，OECD发布了关于密码政策的建议性方针（Recommendation of the Council Concerning Guidelines on Cryptography Policy），其中提出，国家密码政策还需兼顾隐私权，例如通信秘密和个人数据保护。同时，OECD倡导成员国取消对密码技术的严格管控，以市场和用户为基础发展密码产品与服务。此外，方针提出，成员国还要综合衡量其国内外密码政策的基本问题，还提出密码政策的八项原则。基于上述原则，密码产品的发展应当以市场为导向（原则3）；密码政策应当尊重个人隐私权（原则5）；密码政策应当明确提供密码产品或服务者的责任（原则7）；应当加强各国之间在发展密码政策方面的国际合作（原则8）。基于这些规定，OECD成员国逐步改变各自密码政策，于是国际密码政策整体显示出松动的趋势。每五年对该方针进行一次评审是惯例，然而时至今日，这些原则依然有效。

西方国家以《瓦森纳协议》为基础，把密码技术纳入严格出口控制范围，美国也是如此。之所以这样做，是这些国家认为该项举措可以最大程度保护国家安全和外交通信的秘密。从《瓦森纳协议》来看，33国集团对军民两用物资适用统一的岀口控制。其中，军民两用物资包括设备、材料、软件和技术。由此可以看出，密码必然属于军民两用的、受严格出口控制的范畴。虽然《瓦森纳协议》中的条款不具有强制性，但其对成员国密码政策的影响依然不容小觑。

从国内维度来考量，美国密码国内管理政策法律的调整首先是美国为了将其国家利益全球化的产物。密码技术已经成为网络空间安全的核心技术和基础支撑，通过加密保护与安全认证，能在不安全的环境下对通信和存储的数据进行保护，以防止未经授权的访问、篡改、伪造、抵赖等行为。近年来，随着信息通信技术应用场景的不断丰富，以国家、社会和个人利益为侵害对象的诸多信息安全威胁体现出明显的“非对称性”，密码技术不可替代的安全保障功能开始获得各方的普遍认可和重视。在此背景下，加密应当成为一种准则，而非例外。

美国也察觉到密码功能的这种转化，为了取得国际社会信息霸主的地位，美国必须对密码政策进行改变，放松密码出口和国内使用的控制力度，可以给予信息产业更充足的活力和更强劲的发展动力。这种密码输出的政策转变，也将进一步便利美国的全球计划。此外，美国密码政策立法的调整，也是美国公民隐私保护权益争取的结果。通信自由和保护个人隐私权是美国宪法所确立的一项基本内容，而这一结果在密码技术领域仍未完全固定。例如，在2018年之后仍有持续的立法提案要求明确公民的普遍加密权。前述案例反映了多重利益冲突并调整的过程，但更应当意识到，美国政府在密码政策方面所作的松动调整背后，有着坚实的密码技术支持。如果美国政府没有掌握破译可出口密码技术的能力，绝对不会放松対此类密码产品出口控制。

四、小结

就美国而言，从上世纪90年代的“密码战争”开始，受多种因素影响，围绕国家安全、执法便利、产业发展和隐私保护的冲突，其密码政策立法经历了由“严控”向“放松”过渡的变迁并不失弹性，其调整过程中坚持内外有别，不同国家和地区有别，政府和非政府使用有别，“可控”和“不可控”有别，辅以强大的密码技术为支撑，最终确保国家整体利益。特别应当引起重视的是，尽管密码本身定性为防御性的安全保障技术，但通过破坏他国的密码保护实现本国的“绝对”安全，通过加密实施主动防御乃至网络攻击，已经随着其密码技术能力的提升不断放大。

新一轮科技革命和产业革命背景下，密码科技应用的深度和广度不断延展。密码正以前所未有的广泛影响力，深度融入大国安全博弈。各国均力图在密码核心技术领域取得竞争优势和优先地位，密码政策立法的保障作用愈加明显。总的来说，密码政策立法所面临的国家安全、执法便利、产业发展和隐私保护这四大价值取向不会发生根本性改变，这也决定了在未来相当长的一段时期内，一国密码政策立法的制定、调整和落地将继续围绕这四点不断寻求平衡。同时，一国密码政策立法又深受他国决策和整体国际环境的影响和制约。在对内密码战争、对外密码对抗的国际影响下，如何实现法律对技术的求解，将成为各国立法者的持续难题。

作者简介

黄道丽 博士，公安部第三研究所副研究员

马 宁 博士，西北政法大学讲师

原 浩 江苏竹辉律师事务所合伙人

本文发表于《中国信息安全》2020年第6期，转载已获作者授权

声明：本文来自公安三所网络安全法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。