密码作为一种典型的军民两用物项,既可用于身份认证、数据完整性保障等多种服务,也可能被不当用于军事目的甚至非法目的。例如,犯罪分子利用密码加密关键数据以隐藏犯罪证据,从而妨碍司法调查。因此,世界各国普遍致力于建立国家主导的密码管理制度,以遏制密码的非法使用。另一方面,民间团体和企业基于发展密码产业发展、个人隐私保护的需求,与国家的密码控制权产生了复杂的矛盾。2021年2月,韩国高丽大学信息保护系硕士金东勋与权宪永教授、洪锡熙教授在《韩国信息安全与密码学研究所学报》上共同发表了题为《国家密码政策研究:关于密码访问权问题》的论文,围绕密码访问权展开探讨,分析不同国家密码政策的制度特点与争议,并提出韩国密码政策发展的改进建议。本期简报结合该论文内容,整理相关研究观点,以供参考。
一、全球密码政策综述
(一)密码政策的发展历程
早期,密码主要用于军事领域,旨在保护战争中关键信息的机密性。20 世纪 80 年代前,能够使用密码的基础系统集中于军队和主要政府部门,密码相关政策和法令由国家严格管控,接触或开发密码的人员极少。
随着计算机技术的进步,民间对信息安全的需求不断增长。1980 年代,数据加密标准(DES)成为民间可使用的标准密码,Diffie - Hellman 等提出公钥概念,学术界对密码的研究愈发活跃,密码相关政策也逐渐向民间转移。1990年代后期,民间对密码的研究、开发和使用更加积极,对放宽密码管制的呼声日益高涨。
(二)典型国家密码政策分析
在全球主要国家中,密码政策呈现出不同的发展路径与管控模式,反映了各国在安全、隐私与产业发展之间的权衡选择。美国在20世纪90年代推出了“Clipper计划”,规定只有安装特定芯片的设备才能使用或出口密码,且对密钥长度进行限制,同时要求密钥托管。该政策因侵犯隐私等问题遭到批评。1998年,美国修改密码政策,允许国内自由使用密码,放宽相关产品进出口限制,并推进国家层面的密码访问。目前,美国虽保留部分法律强制条款,但实际放松了部分密码出口管控,通过国家安全局(NSA)进行有限的密码解密。
法国则从长期的国家主导型政策逐步过渡至相对开放的模式。法国曾长期保持国家主导的密码政策,对密码设备的使用和出口进行严格管控,限制密码长度。随着互联网发展,其逐渐放宽政策管控,废除密钥托管制度,扩大密钥长度限制。同时,通过立法明确国家在犯罪调查中的解密权,并设立技术支持中心,国家保留部分密码控制权。
论文对中国密码政策也有提及,主要聚焦1999年版《商用密码管理条例》,介绍该条例对中国国内密码产品生产、销售及国外密码使用实行严格审批制度,体现出国家对密码资源的集中管理。需要注意的是,我国已于2023年对该条例进行了重大修订,对此在结语部分进行了综合考虑。
(三)OECD密码政策指南
OECD(经济合作与发展组织)作为政府间机构,虽其规定对成员国无强制约束力,但在成员国制定密码政策时具有重要参考价值。OECD于1997年发布《密码政策指南》,主要内容是放宽原有的密码管制,将密码的开发和使用领域向民间自由化倾斜。同时,为防止密码被个人滥用,该《指南》也包含了国家干预的相关条款。虽然这些条款部分存在相互冲突的情况,但由于《指南》并非具有无条件强制力,而是建议各国根据自身情况适当采纳,所以各国可以根据本国的政治经济状况进行选择性适用。因此,即使在 OECD 成员国中,由于政治经济发展情况的不同,法律强制部分的适用也存在差异。
OECD强调,国家在密码领域既不能过度干预,阻碍技术进步和国际贸易,也不能完全放任密码被滥用导致危害公共利益。以OECD指南为契机,市场主导的密码出口等活动变得活跃,密码的研究和经济价值也随之增加。
二、韩国密码政策现状与争议问题分析
(一)密码政策体系的建设现状
韩国拥有先进的信息化基础设施,但在密码政策领域长期缺乏统一、系统的立法和战略。1999年,韩国曾推动制定《密码使用促进法》,但因密钥强制解密的争议长期未能得到有效解决,此后在隐私保护与人权顾虑的影响下,相关立法进展缓慢。目前,密码管理主要依赖于零散法规与技术性指引,缺乏整体制度设计。
现行法律体系中,《军事刑法》和《安保业务规定》对军方密码管理有明确规定,但总体偏重安全控制,缺乏鼓励密码使用和创新的制度安排。《国家信息化基本法》虽赋予政府推动密码普及的职责,但实际执行资源有限,仅限于技术支持层面。《电子文档及电子交易基本法》虽提出国家对加密信息的访问权,但未规定具体解密方式,导致执行上缺乏可操作性。此外,各类密码使用指南多数不具有法律约束力,面对密码滥用和合规问题的应对手段有限。
总体而言,韩国在密码管理上尚未形成协调统一的政策体系,制度碎片化问题突出,与美国鼓励自由使用密码但缺乏有力国家管控的情况较为相似。
(二)密码访问权的争议焦点
随着密码技术广泛应用于民间通信、交易与数据存储等领域,国家安全与个人隐私之间的矛盾日益激烈。国家机构要求在特定情形下拥有访问密钥的权限,以打击犯罪和保障社会安全;而企业与公民则担忧国家权限被滥用,破坏隐私与信息安全。
民间密码开发者反对政府设置“后门”,认为这将损害密码系统的完整性与用户信任。在韩国,由于隐私权保护优先级较高,国家在密码访问上的权限受到严格限制,实务中对涉密设备的解密常陷入瓶颈,尤其是在重大刑事案件中,对智能手机等设备加密数据的获取面临极大困难。
尽管韩国宪法保障通信秘密,但也允许在国家安全或公共利益面前作出合理限制。在司法授权框架下,密码可被视作通讯形式之一,依法成为搜查对象。OECD 《指南》亦承认国家在符合法律程序前提下,可拥有一定形式的密钥访问权限,如密钥托管与密钥恢复机制。
韩国在未来密码政策制定中,需要实现尊重隐私与维护公共安全的平衡,建立明确、合法的访问程序,并可参考美国等国在监听与解密方面的法律经验,探索在合法授权下执行密钥恢复的可行路径。
三、完善韩国密码政策的建议方向
韩国现行密码政策在缺乏系统立法的背景下推进,管理制度碎片化、权责不清,难以满足国家安全与密码产业发展的双重需求。为此,论文提出从法律制度建设、机构设立和不当使用防控三个方面加以完善。
(一)在法律层面明确密码的地位
当前,密码在韩国相关立法中的界定不清,使得执法机关在办理涉密案件时存在操作障碍。为保障侦查权的正当行使,有必要将密码明确为电子数据的一部分,使其在符合法律程序的前提下成为扣押与搜查对象。同时,可借鉴法国经验,将强制密码密钥恢复限定在解决重大犯罪的范围内,并通过授权认证的第三方民间机构进行操作,从而降低国家直接持有密钥可能带来的滥用风险。
(二)设立国家级密码解密机构
在“N号房事件”等案例中,密码解密耗时过长,已对执法效率造成影响。作为面临安全威胁较高的国家,韩国应建立专门机构,集中开展高强度密码的技术研究和解密工作,尤其是对国家安全和高级别机要密码的托管和访问,以提升对加密数据的应对能力。同时,对一般用途密码可鼓励民间自由开发,并建立自愿的密钥恢复机制,兼顾安全与创新。
(三)加强对密码不当使用的法律约束
当前仅《军事刑法》对军用密码滥用设有限制,缺乏对民间领域违法使用密码的系统性规制。考虑到恐怖活动及严重犯罪日益可能借助密码技术隐藏犯罪证据,有必要在相关法规中设立专章,对以非法目的制作、传播或使用密码行为予以处罚。此外,对执行国家密码访问权限的人员行为加以约束,也有助于避免滥权风险,增强制度可信度。
四、结语
全球范围内,密码技术及其应用已经从最初单纯的军事防护工具,演变为关乎国家安全、个人自由、产业发展的多维度战略资源。如何在尊重个体权利的基础上,确保国家能在必要时介入以保障社会公共安全,是密码政策制定中的重要命题。
当前,韩国在密码管理领域虽具备技术基础,但立法滞后、体制分散等问题仍未得到有效解决。近年来,韩国在数据保护层面已取得一定进展,例如2023年修订的《个人信息保护法》强化了对数据加密标准的规定,但在国家强制解密权限、密钥托管等关键问题上尚未有重大调整。
本期简报在引用韩国相关政策时仍以论文原内容为主,考虑到时效性,未来变化需持续关注。
需要特别指出的是,该论文所引用的我国密码管理政策为1999年版《商用密码管理条例》,我国已于2023年对该条例进行了全面修订。新版更加注重安全与发展之间的平衡,明确国家对商用密码使用、研发、认证等环节的全生命周期管理,加强了对市场应用、产业发展的规范与支持。因此,前文对我国密码政策的部分结论与现状存在一定偏差,应予以审慎参考。
(祝媛,审核:原浩 朱莉欣 方婷)
*文章所涉观点内容谨代表作者本人
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
