APP下载

美国密码技术的出口管制法律制度研究

2018-04-02仲利波赵婧琳

信息安全研究 2018年3期
关键词:管制密码加密

仲利波 赵婧琳

(西安交通大学法学院 西安 710049) (1034029947@qq.com)

密码技术应用涉及通信、软件、数据存储、数据传送、虚拟专用网、访问控制以及金融交易等多领域,其对国家网络安全的支撑作用也日益明显,各国政府按照政策法律对密码技术的出口管制是必然的选择.出口管制也是国家意志的体现,出口管制原因、出口管制方式以及出口管制效果的控制受到政府的高度重视,这是因为出口管制牵扯众多因素,出口管制过于宽松可能会给国家安全带来现实威胁,出口管制过于严苛可能会导致国家出口份额的下降进而影响到整体经济表现.此外还有国际关系等方面的因素都是出口管制政策法规制定者所要综合考虑的.

密码出口管制的主体包括2部分:密码技术和加密产品.密码技术一般包括加密和解密技术,加密技术也称为密码编译,指的是将明文转换为密文的技术.解密技术也称为密码分析,指的是将密文转换为明文的技术.密码技术归根到底是一种技术上的形态与路径.密码产品指的是使用密码技术对于内容信息进行加密保护或者安全认证的产品,比如金融数据加密机、数字电话加密机以及电子支付密码器系统等.密码产品更多指的是含有密码技术的产品,密码技术是密码产品中的核心附属部分.

各国密码管制一般采用马民虎教授所归纳的“内外有别”的方式进行,密码在国内的控制主要是出于维护社会公共秩序的考虑.在国内的密码管制中,主要矛盾是“国家安全”与“个人隐私”的价值之争,“个人隐私”被视为加密政策的障碍[1].各国在密码出口方面的控制遇到的问题和国内的密码管制有较大差异,这是因为各国对密码出口管制的调整与技术进步、经济发展以及国家安全等利益密切相关,各国密码出口管制的利益权衡所呈现的是动态发展,这相较于密码的国内管制,密码出口的管制研究更为复杂.

著名比较法学家茨威格特和克茨指出:“任何一种科学都不能够仅仅依靠在本国国境内产生的知识”[2].美国密码出口管制法律制度较为完善,有专门的密码出口管制法律规定,而且从20世纪90年代初期,美国密码出口管制制度进行多次调整,在不断修订的过程中逐步趋向于完善.此外,美国在密码立法上具有典型的代表性,不管从巴统时期还是之后的“瓦森纳协议”,美国是处于核心领导地位的国家,美国的立法价值取向基本代表着大多数西方国家的意志,其他诸如英国、德国等国家更多执行的是跟随战略.从美国早期密码出口管制立法、克林顿时期密码出口管制立法、小布什时期密码出口管制立法以及奥巴马时期的密码出口管制立法的梳理与分析能够得出美国密码出口管制的立法进程,也能逐步探寻出美国密码出口管制法律制度修改的深层次原因.为推动我国密码出口管制法律制度的完善,有必要将我国的密码出口管制法律制度与美国相关制度进行比较,借鉴可用的经验.

1 我国密码出口管制的现状及问题

密码出口管制包括国际层面和国家层面,其中国际层面较为简单,通过建立多边密码出口管制机构、达成多边密码出口管制协议以及列取清单是通常的方式,无论是巴统还是“瓦森纳协议”都是通过这几种方式开展多边密码出口管制的.但是限于法律本身的特点,国际法的国内法有效执行需要经过各国的转化.换言之,密码出口管制虽然包含2个层面,但是执行上都是在国家层面所完成的.随着密码标准化的发展,监管难度有所降低,依出口管制法规对密码技术和密码产品进行审查的作法也被各国广泛采用,所以技术审查是各国密码出口管制的重要方式之一.目前技术审查有放松的趋势,在此阶段对于密码技术和密码产品的出口地审查也是重要方面;出口许可证的颁发是密码出口管制的重要方式,这也是技术审查的后置程序,通过审查后颁发许可证是对于密码出口的国家认可;此外,一般还要求密码技术和密码产品的使用者在规定时间内提交报告,这是各国对于密码技术和密码产品后续控制的手段之一.

我国密码出口实行管制方式较为多样,北京市国家密码管理局网站发布的《出口商用密码产品应当遵循的原则》列出以下几条:第一,我国商用密码产品实行出口许可证制度,未经过许可,任何单位或者个人是不得出口商用密码产品的;第二,研制生产出口商用密码产品应当由商用密码产品生产定点单位承担,销售应当由商用密码产品销售许可单位承担;第三,商用密码产品生产定点单位研制出口商用密码产品,应当到当地省、自治区、直辖市密码管制机构进行备案;第四,出口商用密码产品研制完成后须通过国家密码管理局组织的安全性审查后方可出口,以确保出口产品不影响国内现用商用密码安全;第五,出口单位办理《密码保密设备出口许可证》应当事先向国家密码管理局提出申请,按照规定程序办理.

从上述规定可以看出,首先,我国执行的是许可证制度,未经过许可,任何单位和个人不得出口相关产品;其次,我国密码出口产品的研制单位和生产单位要进行备案,最后,我国密码出口商用密码产品须通过安全性审查后方可出口.也就是说,我国密码出口管制目前至少有许可证制度、备案制度和安全审查制度在同时运行.

但是,我国目前还缺乏有关密码的基础性法律法规,密码出口管制所主要依据的是国务院颁布的《商用密码管制条例》以及国家密码管理局发布的配套管理办法.从立法上来看,我国密码出口管制政策法规存在以下几点问题:

第一,我国不鼓励私人和企业开发加密技术及制作加密产品,所有国内研究、开发、销售密码技术和产品的企业都需要受到严格的进出口管制.“管”的成分远远高于“理”,还处于美国早期对于密码出口管制的水平,这严重阻碍技术创新以及产业发展,对出口也造成重大影响.总体缺乏对于密码出口管制战略规划和理性分析.

第二,密码出口监管部门利益纠缠,跨部门执法不能常态化合作执法,导致国家密码管理局处境相对被动,难以协调国家安全、社会安全以及个人等方面利益.

第三,我国目前密码出口管制政策法规对于国家安全、产业发展、技术创新等利益平衡上是混乱的,其立法观念落后于时代的发展,唯“国家安全”为重的立法思想嵌入到具体法律制度的设计中,此问题是我国密码出口管制立法的根本问题之所在.美国属于密码先进国,我国属于密码落后国,有关密码出口管制的法律不能照搬照抄,必须在详实论证美国密码出口管制法律制度演变因素,但是在对美国密码出口管制法律制度的演变因素进行仔细分析后还是可以为我国相关立法所借鉴的,至少在理论上是可行的,其将会为我国的立法修法提供直接参考,将会改变我国目前密码出口管制严重滞后的行政式监管思维.总体来说,在密码出口管制方面,我国缺乏明确的、体系化的规定,难以实现对密码技术和密码产品出口的有效管制,没有处理好“安全”与“发展”的关系,事实上,发展是安全的基础,要既重视发展问题又重视安全问题.目前对于我国密码出口管制的尺度也缺乏科学地考量,因此亟需制定和调整密码出口管制法律制度.

2 美国密码出口管制的法律制度演变过程

美国密码出口管制机构是设立在商务部的工业与安全局(BIS),密码出口管制适用的法律是《出口管制条例》(Export Administration Regulation, EAR),其中多边出口管制的《瓦森纳协议》也要转换成EAR在国内适用.EAR中根据接收方、终端使用以及出口目的国的不同,可能要求获取出口许可,除非例外或者豁免情形,但是如果涉及被禁运的国家是一律不得出口的.

美国密码出口管制共经历4个阶段,分别是美国早期的密码出口管制、克林顿时期密码出口管制、小布什时期密码出口管制立法以及奥巴马时期密码出口管制.美国目前有关密码技术和产品的政策法规的规定是经历几十年变迁的结果,美国密码出口管制主要方式有技术审查制度、许可证制度、售后报告制度等.

2.1 20世纪90年代前:严格的管制制度

美国的两用品和军品管制由2套法律体系所构成.1949年,美国颁发《出口管制法》*本法延续至今,在1969年修改为《出口管制法》(Export Administration Act, EAA),后于1979年、1985年、1988年进行3次修改,1984年,美国商务部颁布《出口管制条例》(Export Administration Regulation)作为EAA实施细则.(ECA),本法经过多次修改并颁布配套实施条例,长期以来其对“两用品”出口进行直接管制;1976年,美国颁布的《武器出口管制法》(AECA)是负责军品管制的主要法律,国务院主要通过《国际武器贸易条例》(ITAR)规定执行军品管制.

美国早期的密码技术属于军用品范畴,其具体政策的制定归属于美国国家安全局(NSA)[3].此时期密码技术主要被应用于军事、外交和情报工作.直到1996年,美国密码出口管制仍然是由ITAR所具体执*密码是属于两用品范畴的,在EAA中也有关密码技术的相关规定,但是ITRA通过将密码技术列入军用物品清单从而限制了密码技术的出口,密码技术的管制也就只能按照ITAR的相关规定执行.,ITAR的目的是为维护国家安全和外交以及军事有关的利益,其对密码技术或者产品进行严格控制.在此期间,由ITAR所管制的密码在性质上是属于军需品而被列入军用物品清单,作为军需物品的密码出口需要得到单独许可,且该许可必须由国防部(DOD)和国家安全局(NSA)进行批准.

根据ITAR的规定,对出口的密码技术和密码产品有极其严格的限制,超过40位的密钥长度的加密物项是不允许的.此外,还必须限制加密产品的一些加密功能,诸如密码保护(encryption protection)、访问控制(access control)、身份识别(authentication)、固定算法(fixed algorithms)以及金融行业的特殊加密功能(money-and banking-specific encryption functions)都是需要限制的.对于比较强的加密产品的出口,当时也主要对被用于美国企业的国外分支机构所使用的产品颁发许可证[4].

此外,美国出口管制还受到多边协调机构巴黎统筹委员会(COCOM)的影响.巴黎统筹委员会成立于二战后,是美苏争霸的产物,其目的是对苏联集团国家进行出口管制以抑制其发展,密码属于严格出口控制的物项,直至1991年管制才有所放松,直至1994年3月巴黎统筹委员会解散为止[3].美国是巴黎统筹委员会的主导国家,巴黎统筹委员会对于美国的密码出口管制的作用不可忽视.

在此阶段,美国密码技术和产品是作为军需物资,其出口管制是相当严格的,不管从密码的密钥长度还是密码产品和技术的使用范围以及国外适用场所都是有较为严格的限制,而且还需要经过国防部和国家安全局的批准.

2.2 克林顿时期:逐步放松的管制制度

克林顿执政初期,美国对密码出口的管制还是相当严格的,密码技术作为军用品的管制甚至扩展到个人使用的密码产品.但随后的几年中,美国密码出口管制一直处于放松的状态.

在克林顿执政初期,密码出口管制开始出现放松迹象[5],具体表现在1995年放松密码出口管制的讨论以及1996年2月关于密码技术个人使用的豁免等方面.1996年是密码出口放松管制的转折点,一方面,美国开始允许56位高强度密码出口,但前提是密码技术或产品必须支持密钥托管或者密钥恢复的功能,也就是说,当美国认为出口的密码产品或者技术威胁到美国利益时,美国政府能够取得密钥破解密码;另一方面,美国密码出口管制所必须遵循的法律由国务院的ITAR变成商务部的EAR,相应的职责也由国务院转移至商务部的出口管制部门.

在1998年,密码出口管制放松得到较大程度提高,美国政府此时已放弃强制密钥托管,这势必将刺激产业发展,不仅56位对称加密只需要经过一次审查后即可出口,非对称加密的1024位密钥也被允许出口,同时,对网络发布加密技术也附条件加以放松.此阶段一直延续至2000年,美国在2000年自由化的影响之下,美国密码出口管制的放松程度化很高,任何密钥长度满足技术审查和出口报告等要求后都有可能出口,无限制加密源代码和公开商业源代码可以出口至任何终端用户.

此阶段表明美国政府对于密码的态度有了根本上的转变,由国家安全、情报获取等国家意志和利益至上的绝对安全的追求变为对产业发展和出口的扶持上.美国对密码出口管制已经很大程度上实现自由化,美国在密码出口管制的产品目录范围、出口监管程序以及密码出口的使用等方面还存在着管制,并没有彻底地放开密码出口管制.

2.3 小布什时期:放松减缓的管制制度

小布什执政时期美国密码出口管制放松步伐明显减缓.整个执政时期密码出口管制只是进行了程序上的简化,其实在911事件之后,这也是一种必然性的选择.

2002年6月6日,美国商务部发布了修改EAR的最新自由化规则.具体内容如下:第一,超过64位的大宗贸易加密产品只需要经过30天的BIS审查后可以出口;第二,大宗贸易密码产品出口目的地是欧盟及其他8国在审查要求被登记后可以马上出口;第三,公开源代码在通知后可以被出口到大多数目的地;第四,向美国公司或子公司出口供内部使用、短程无线(short-range wireless)加密和有限加密使用的加密产品不需要审查或者通知.

2004年12月,商务部确立了更加简便的出口程序,主要内容如下:第一,大多数加密物项统一审查期限为30天;第二,大宗贸易密码产品的“许可豁免国”范围扩大;第三,网上公开的加密软件在网址相同的情况下可以不通知进行修改;第四,测试软件以及授权产品等程序被简化.

2001年9月11日,美国发生多起劫机自杀攻击方式的恐怖主义袭击事件,造成美国纽约世界贸易中心等建筑物遭受被劫持的飞机撞击而坍塌,美国在此次恐怖袭击中损失惨重.美国整体网络安全政策出现逆转,由以前“放松”为主转变为“控制”为主的信息安全政策,以反恐为主的国家安全深刻影响着美国信息安全法律政策的制定,《爱国者法案》(USA Patriot Act)即在此背景下制定.此阶段的密码出口管制制度只是在2002年6月和2004年12月进行了2次EAR修改.在2002年作出修改的是64位以上的大宗贸易产品出口技术审查得以简化等,在2004年12月,商务部又确立了更加简便的出口程序.

除此之外,此阶段在密码出口管制方面没有比较重要的立法活动,密码出口管制整体步伐减缓.但是美国本质上是加强对密码控制的,没有在密码出口管制立法上具体体现,因为这会大幅度削弱美国的密码技术和产品的出口竞争力,密码出口管制将会给跨国企业带来巨大影响,而他们又不能违反规定否则将会遭遇更大损失,所以制定合适的出口管制政策是必要的.虽然美国密码出口管制较之前有很大进步,从表面上看,在权衡各大利益之间还需要进一步跟进,其实由于国家安全主导性在此阶段逐步增强,密码出口管制法律制度的其他演变原因受到压缩或者“隐性化”处理.

2.4 奥巴马时期:放松与控制并重的管制制度

美国密码出口管制此阶段呈现出放开与控制并重的局面:一方面,美国继续放松密码出口管制以促进经济发展;另一方面,美国收紧关键密码的出口管制以维护网络空间安全.近年来美国网络空间安全受到政府的极大重视,认为美国将要夺取第五空间新的制高点,网络安全物项将会适用新的条件,而密码技术和产品是重要的网络安全物项,这势必会间接对密码技术和产品出口造成更加严格的管制.事实上,密码技术和产品在此阶段将会受到新的限制,密码出口管制放开与控制在此阶段处于胶着状态.

奥巴马执政以来对于出口管制改革报以极大的热情,密码出口管制重新被提上议事议程,2011年和2014年都有重要的EAR修正案通过.美国出口管制体系由于过于严格、不够严谨、繁琐、陈旧、效率低下等原因一直被出口商、非扩散倡导者、盟友以及其他利益相关者所批判.2008年美国发生近年来损失最为惨重的金融危机,美国经济处于低迷状态,就业形势不容乐观.此种背景下,为了刺激经济和产业发展以及增加出口量,奥巴马选择了刺激出口计划,而出口管制改革是其中的重要举措,密码产品和技术是出口管制改革的一项重要内容.

2010年4月,当时的国防部长罗伯特·盖茨提出基本的具体改革路线: 第一,美国将对军品清单和商业管制清单合二为一,从而减少部门间的产品管辖争端;第二,设立单一的许可证签发机构以精简程序;第三,为了加强执法设立单一的出口管制执法机构;第四,为解决目前多个信息库并存造成的重复、抵触和成本问题开发统一的信息技术系统.具体改革分为3个阶段:第1阶段主要继续做好已经启动的工作;第2阶段开始具体实施清单的重构、整理与合并工作;第3阶段完成清单统一,实现机构统一和系统更新,并相应建立起统一的电子信息系统.从上述改革进程来看,国防部长盖茨公布的包括建立统一的管制清单等在内的出口管制改革措施,有关密码出口管制的改革是重要的内容,也将会对密码产品和技术出口管制系统造成重大影响.

2010年6月25日,商务部BIS发布临时规定,本规定修改了许可例外、大宗市场资格、提交程序、报告要求、许可程序要求以及放宽EAR特定加密物项等.具体而言:对于国家安全威胁较小的密码产品和技术取消技术审查等待30天的要求而直接授权出口,再出口时向BIS提交电子注册即可,此外需要提交年度自我分类报告.大宗贸易产品也执行上述规定,只有少数类别的许可例外和大宗贸易产品还需要30天.本规则也简化了出口和再出口许多类型加密产品的许可要求,涉及国家安全、反恐以及禁运和制裁的除外;本规则还取消了要求文件单独加密的要求;也将2009年《瓦森纳协议》的全会决议内容增加到本规则.在2010年7月27日,BIS发布了规则的修正版,澄清了加密注册要求的宽限期问题.

2011年1月7日,美国通过一项重要的EAR修正案,公开的大宗贸易加密代码软件长度超过64位的对称密钥以及公开的加密代码在代码公开时是属于许可证例外的,不再受EAR的管制.此外,还对EAR进行其他小的具体修改.

2011年7月,对在目标代码中公开可获取的大众市场加密软件以及其他特殊公开课获取的加密软件相关规定进行修改.从EAR中删除特定的大宗市场和ECCN5D002中的目标代码.同时,公开获取源代码依然受制于EAR,仅TSU(technology and software-unrestricted)是需要许可通知的.

3 美国密码出口管制法律制度演变的启示

如上所述,目前我国整个密码出口管制存在很多问题,但笔者认为其中最主要的问题是所制定的政策法规中利益权衡处于缺失状态.目前的密码出口管制政策法规对于国家安全、产业发展、出口竞争力、技术创新等利益很难做到系统性统筹安排.

3.1 确立总体国家安全观

确保国家安全是密码出口管制的归宿,密码进行出口管制基本要求是做到不侵犯国家安全,因为安全与秩序是网络空间治理的基本需求[6],这同样适用于密码出口管制,密码出口管制就是确保国家安全的重要手段.

密码出口对国家安全所造成的威胁主要体现在2个方面:第一,密码相关技术能够确保重要信息的安全,将所有的密码技术不加以限制都出口到国际市场,将使得我国重要信息的安全缺乏保障,因为密码分析技术先进的国家将会很容易破解相关密码技术,这会对国家安全造成重要现实威胁,当然并不是限制出口就一定安全,但是不加以管制势必将会增加威胁的可能;第二,密码技术还是属于“两用物项”,在我国目前密码技术发展阶段下,若对商用密码技术和军用密码技术不加以区分,民用密码技术的出口可能会对军用密码技术造成串联性威胁.虽然美国密码出口管制清单正在民用和军用进行统一处理,但是笔者认为基于两国密码技术的差异性以及美国密码出口管制主要目的是为出口方便考虑等因素.我国目前还是存在着此风险,信息安全风险需要进行管制,密码出口管制就是这种风险管制的一种方式.

基于以上原因,在密码出口管制立法过程中,还是要充分考虑国家安全的因素,这是密码出口管制的最低要求.

密码出口管制法律制度必须从法律上确保国家安全不受侵犯,但是持有何种国家安全观念是至关重要的.传统意义上国家安全指的是主权安全、领土安全、政治和军事安全,但随着经济全球化的发展,经济安全、科技安全、文化安全以及信息安全等对国家安全内涵的拓展已经得到各国的认可.从各国立法角度上来看,网络安全方面立法也是更多地确立总体国家安全观,为追求绝对的传统意义上的国家安全而牺牲经济、科技等方面的利益的观念已时过境迁.美国密码出口管制法律制度的演变过程中,国家安全一直是底线,但是20世纪90年代以来的演变过程更多的是由于增强出口能力以及促进科技发展等方面为依托,即使911事件后,国家安全被美国立法置于首位所要关注的价值选择时,也在密码出口管制程序等方面逐步放松.

我国密码出口管制立法也不能过于强调国家安全的因素,不能追求绝对的安全观,这是很难做到也是将会付出很大代价的,应该将总体国家安全观引入密码出口管制立法中.笔者认为按照我国网络安全立法经验,密码出口管制忽视国家安全因素可能性很小,更有可能是国家安全将过于被强调而限制其他立法价值的追求,传统的立法观念必须在密码出口管制立法中进行相应的转变.所以,国家安全是很重要的,但是在密码出口管制立法中只要能守得住底线就可以,确立总体国家安全观也是密码出口管制立法的基本要义.

3.2 增强密码出口竞争力

出口是经济发展的三驾马车之一,密码出口管制立法要增强出口竞争力,促进出口发展是密码出口管制立法的根本动力,从对密码技术和产品“管”的角度转化到“理”,从绝对的国家安全立法观转变为总体国家安全观下对经济发展的规划,从单一部门利益主导立法发展到跨部门综合利益统筹的立法观.逐步将我国密码出口管制立法重点放在确保国家安全前提下的增加出口竞争力从而促进经济发展的综合规划上.

美国密码出口管制立法进程显示,从20世纪90年代开始美国将增加出口经济发展作为修改EAR的主要原因之一,技术审查、许可证以及售后报告等制度只是为了在保障国家安全的前提下增强出口竞争力、促进经济发展.在911事件之后,美国将国家安全作为重中之重,但是仍然没有对密码技术和产品的出口加以严格控制,美国政府转向通过监控项目来实现国家安全,这一思路的转变值得深入性探讨,但至少说明,美国政府的密码出口管制对于增强经济发展的重视程度.国家安全和出口竞争力的价值平衡是美国密码出口管制立法以后主要要解决的问题之一,或者说,美国密码出口管制立法进程主要是围绕着此主要矛盾展开的.这个立法理念也是很先进的,而且除了美国也是许多国家所采用的,比如,英国在2011年的《网络安全战略》中也是采取5点主要措施去解决促进网络安全产业发展的问题,协调重点关注保护网络安全的同时推动经济的发展.

我国密码出口管制立法也是不能忽视两者之间的平衡,至少应该做到将切实提高出口竞争力、促进经济发展贯彻到立法之中,即使不能实现预期的效果,也可以通过长期的数据搜集以及立法效果评估逐步进行调整.密码出口管制对经济发展具有重要作用是毋容置疑的,但是前提条件是密码技术和产品一定具有自主知识产权,这对于密码管制的可操作性至关重要,否则无法实现密码出口的可控性.我国目前在网络安全立法方面也开始逐步关注产业与经济发展等内容,《网络安全法(草案)》明确指出“安全与发展”并重,这个思路是很大的转变,从只追求绝对的安全到以安全来保护经济的发展再到以安全立法来促进经济发展的思路上的转变,在“安全与发展”的价值权衡中,本次立法的价值选择是值得肯定的.但是,从立法指导思想到落实具体条款再到对实际效果的研判,还需要很长一段时间逐步探索出适合我国国情的法律制度.

3.3 提高密码技术研发水平

促进密码技术发展是确保国家安全和增强出口竞争力的保障,密码技术中密码解析技术的发展是保护国家安全的重要措施,密码技术中的编译技术是出口竞争力的基本要求.促进密码技术发展从长久来看是实现其他立法价值的基石,没有密码技术的进步对于密码出口是很难实现放松监管的,也只能靠严管来达到国家安全的目的,谈不上在密码出口管制立法上的价值选择.

美国密码出口管制法律制度的演变过程证实先进的密码技术是出口管制立法的重要支撑因素.美国目前的密码技术尤其是密码解析能力是国际领先的,为提升解密能力美国确立专门的网络监控项目,正如斯诺登所说的对于美国来说互联网没有秘密.可以想象,当美国拥有能够打开任何密码能力的技术,也就没有必要严格限制密码出口管制.美国目前拥有的密码破解群集、PKF9.7等密码分析技术处于全球领先地位,这为密码出口的持续性放松管制提供了根本性保障.同样,技术领先的加密技术也是美国密码出口管制法律制度演变的重要原因,美国国内密码难以被破解也是美国放松密码出口管制的原因之一,但是相较于密码解析水平其影响较弱.

目前,我国密码解析能力相比密码编译能力是落后的,而且,我国密码管制部门还持有将密码作为“秘密”保护的落后思维,不经历实战检验的密码看上去是安全的,但却是威胁安全的重大隐患,是“掩耳盗铃”式的密码保护观念,难以解决根本性的问题.我国应该从立法层面鼓励密码科研的发展,培养密码技术人才,实现我国密码技术上的全面进步,逐步将我国密码技术,特别是密码分析技术发展到国际领先的位置.促进密码技术的发展不是立法核心价值,难以将确保国家安全以及增强出口竞争力相提并论,从长期来看,在密码出口管制立法中不充分考虑将很难实现前两者.

所以,促进密码技术发展是保障,密码管制部门更应该想办法在密码出口管制立法中真正落实相关促进措施.密码管制机构应该不断健全管制机制,切实提高密码科学管制[7],如此才能更好地促进科学技术的发展.此外,高新技术产品的出口管制程度对国内创新以及技术进步是有影响的,一般来说,适度宽松的管制宏观上有利于国内高新技术产业的发展,过于严格的管制将会造成减少技术上的创新速度[8],最终会造成减缓国内高新技术产业发展的后果,密码出口管制要寻找到最佳强度才能促进高新技术产业的发展[9].

3.4 促进建立国际密码出口管制规则

国际合作与交流是维护网络空间安全的重要内容,密码作为网络安全的重要组成部分,密码出口管制也应该重视国际社会合作实现共赢.事实上网络空间共同规则体系的建设已成为国际社会的共识,这样有助于各国间减少规则差异所造成的制度性摩擦.密码出口管制在多国达成共识的情况下,一是能减少不信任所造成的损失;二是能够不断完善我国的密码出口管制法律制度,从外部引入完善机制.事实上,美国密码出口管制法律制度的演变部分原因是因为“瓦森纳协议”等多边组织影响的结果,表面上是修改了EAR使得美国利益受损,美国在“瓦森纳协议”中起到重要的决策性影响,从根本上讲美国是从这些国际条约中获得利益的.这种“瓦森纳协议”式的共同规则的建立也能在以后多边贸易中获得实质性的优惠,减少国家间在密码进出口方面的摩擦.

我国的密码出口管制法律制度还处于缺失状态,很难指望依靠一部法律就能解决所有问题,密码管制部门更应该在实践中发现问题,积极同其他国家进行密码出口管制方面的交流与合作,以促进国际社会建立密码出口管制方面的共同规则,减少因为密码出口管制所受到的贸易制约,这样也更加符合我国的国情,从而逐步完善密码出口管制相关立法.在总体安全观指导下保障国家安全、增强出口竞争力,以实现经济发展.但是在密码出口管制方面,促进国际社会建立共同规则会起到事半功倍的效果,虽然我国也要遵循相应的共同规则,有可能还会修改国内的相关政策法规,但是在共同规则中受益也是相当明显的,美国就是典型的案例.

综上,笔者认为我国密码出口管制立法应该注重国家安全、出口竞争力以及密码技术发展三者之间的价值平衡,密码出口管制不能按照绝对安全观来指导,应该确立总体的国家安全观的同时注重增强出口竞争力以及提高密码技术研发,还需要在实践中注重国际合作与交流,至于制定密码出口管制时其他立法价值的选择可以参考,但是不应该重点强调,否则相关政策法规的制定难度将增加.在立法价值选择中不应该忽视国情,完全按照国外立法进行法律移植,这样将会和社会现实严重脱节,比如,美国不对进口加以限制,但是我们国家现阶段很难实现,这是由于密码技术等方面所决定的.

[1]马民虎, 杜立欣. 内外有别的控制政策——美国密码政策演变轨迹[J]. 国际贸易, 2001 (10): 21-23

[2]Zweigert K, Kotz H. 比较法总论[M]. 潘汉典, 等译. 北京: 法律出版社, 2003

[3]彭爽, 曾国安. 美国出口管制政策的演变与启示[J]. 全球视野, 2014 (1): 185-188

[4]马民虎, 原浩, 许苏嘉. 美欧密码进出口管制的“游戏”法则研究[J]. 情报杂志, 2001 (1): 9-11

[5]马民虎, 赵禅, 冯立杨, 等. 商用密码管制:从对立到包容之趋势分析[J]. 信息网络安全, 2009 (2): 60-69

[6]诚凌. 途径、需求与趋势趋同的网络“全球梦”——世界网络空间发展的美好愿景[J]. 中国信息安全, 2015 (12): 60-63

[7]黄平. 捍卫信息安全 共谋商用密码管制工作新作为[J]. 中国信息安全, 2015 (5): 82-83

[8]张群卉. 出口管制对一国技术领先优势的影响[J]. 科技进步与对策, 2011 (11): 103-106

[9]张群卉. 高新技术产品出口管制对一国产品创新的影响[J]. 技术经济, 2012, 31(5): 49-54

仲利波

硕士,主要研究方向为信息安全法.

1034029947@qq.com

赵婧琳

硕士研究生,主要研究方向为信息安全法律研究.

759180165@qq.com

猜你喜欢

管制密码加密
密码里的爱
一种新型离散忆阻混沌系统及其图像加密应用
一种基于熵的混沌加密小波变换水印算法
密码抗倭立奇功
管制硅谷的呼声越来越大
基于STAMP的航空管制空中危险目标识别方法研究
加密与解密
密码藏在何处
夺命密码
药价管制:多元利益目标的冲突与协调