本书从法律、科技与民众生活的角度,采用通俗易懂,问题明确实务操作性强的内容撰写方式解读密码,从社交软件到在线交易、从智能终端到智慧城市的无处不在。这种深度渗透中看到:其正在成为包括中国近十亿网民在内的信息技术和网络空间活动的“基本配置”,对密码产品、服务的技术关注和需求已经超越了从普及到专业的所有方面。由此,对《密码法》这部规范密码活动的技术法律的普适性解读,也不应停留在用条文解读条文,用规定证明规定的解释层次,必须和网民日益高涨的技术能力和法律意识相匹配,让其合理正确理解和适用密码技术对生活带来的改变和影响,以及更好提高民众网络安全意识,维护健康的网络平台。
一、密码危机与密码法需要考虑的那些事
随着计算机和各种智能设备的存储、处理能力增强和成本降低,通过加密等复杂计算方式保护数据的做法得到普及,而对个人信息和隐私保护意识的提升,也使公众迫切需要通过加密等方式获得安全感。有研究发现,2019年互联网(Internet)中有87%的信息使用了不同的加密方式以防止第三方访问和获取。
通过选择可用的加密保护方式,企业和个人可以有效地保护商业秘密、个人隐私等敏感数据。例如,企业通过具有加密功能的存储设备(加密硬盘、移动设备)对存储的数据进行加密,只有经过身份验证的人员才能访问该信息,即使设备失窃,也可以部分消除数据泄露的忧虑。再如,目前包括购物、邮箱,甚至车票订购等在内的众多在线服务已经开始对平台上的通信进行加密。例如,在访问网络地址时,我们会发现早期默认的http开头已经悄然升级到了https,这个“s”即表示增加了传输层加密协议SSL,其中内容仅会话参与者可用。对于智能终端,比如手机设备中的即时通信工具(或者称之为“社交软件”),实现端到端加密(E2EE)已经成为应用程序(APP)开发者推崇的“噱头”。
加密技术的广泛应用虽然提高了个人和企业保护各类非公开信息的安全性,但同时也给执法机构维护社会公共安全乃至国家安全带来挑战。例如,2017年,众所周知的勒索软件“Wannacry”通过加密用户计算机的特定类型数据,威胁用户在指定时间内支付比特币“赎回”数据,众多个人用户和公共服务深受其害。再如,无法登录或访问某些设备或应用,执法机构难以提取犯罪嫌疑人智能手机上的数据。甚至在20世纪90年代,美国发生了围绕密码进出口的所谓“第一次密码战争”。
密码技术如此关键,早在1997年,发达国家“俱乐部”——经合组织(OECD)就发布了《密码政策指南的建议》(Recommendation Concerning Guidelines for Cryptography Policy)。该建议认为,密码技术对于全球信息通信网络技术和电子商务的发展都至关重要,应当尊重国家密码政策、立法的执行,并应当通过密码应用保护各方基本权利,包括通信安全和个人数据保护,应考虑在“促进密码使用的同时不会危害公共安全、执法和国家安全”。建议的指南部分明确了各国在国家和国际层面确立密码政策应当遵循的八项基本原则,包括依法有权使用密码技术、市场驱动密码发展、隐私和个人数据保护、法访问等。因此,密码技术和应用牵涉到包括国家、公众、企业和个人在内的各种主体的权利义务,《密码法》正是为安排和协调这些不同,甚至相互冲突的利益与诉求而生的。
《密码法》的立法定位并未局限于既有的密码技术、产品,而是通过对密码活动主体、密码服务的弹性扩充实现对前沿密码问题的规范和调整。面对未来,密码问题大概如下:
(1)基于云计算的服务,端到端加密的使用范围不断扩大,不仅可以保护传输中的数据,即时通讯工具的端到端信息加密,或者邮件的端到端内容加密,还可以确保存储在云端的数据得到保护,在此情况下任何第三方[甚至云服务提供商(CSP)]都无法访问。在这种情况下,法律所面临的主要问题是,社交软
件开发者、云服务提供商不持有密钥(key),是否还具有相应的解密能力,是否还应当向执法机构履行协助解密的义务。
第一章 密码与密码的法律监管 001
一、密码危机与密码法需要考虑的那些事 002
二、密码的技术和法律定义:哪些是密码,哪些不算 007
三、密码的法律监管机构 018
四、密码的法律分类 022
......
第二章 密码保护国家秘密 049
一、 涉及国家秘密保护的核心密码、普通密码及其基础性作用 050
二、密码工作机构对密码的保密管理 054
三、密码管理部门对密码工作机构的监督检查 058
......
第三章 商用密码 069
一、商用密码和商用密码市场 070
二、商用密码标准 075
三、商用密码检测认证的一般规定 087
四、强制检测认证 097
......
第四章 密码违法行为的行政和刑事法律责任 149
一、 窃取他人保密信息或侵入他人密码系统的法律后果 150
二、非法使用核心密码、普通密码的法律责任 156
三、与密码检测认证有关的法律责任 159
四、与“密评”相关的法律责任 162
......
第五章 密码法的配套与升级 173
一、《密码法》配套制度和密码管理规章 174
二、修订的《商用密码管理条例》 178
三、下一代密码法展望 180
中国用了20年实现从《商用密码管理条例》到《密码法》的迈进,其间杂陈自不必言。作为一部以技术性、协调性为鲜明特色的专门法律,《密码法》值得信息与网络技术,以及数据法律领域的从业人员和关注者潜心专研和创新转化。这本读物以《密码法》体系为线索,展示现代密码技术与监管的全貌,并附之以适当的境外佐证与偶然闪现的辛辣点评,是难得一见的兼具科普与普法的有益尝试。