胡佛《中国加密政策和国际影响》报告评述

2018-04-02郝静雯

信息安全研究 2018年3期

方婷郝静雯,2

1(西安交通大学法学院西安 710049) 2 (信息安全研究中心(西安交通大学) 西安 710049) (909118356@qq.com)

毫无疑问，密码领域是数字时代最难制定政策的领域，不止是中国，世界各国都面临这一严峻的问题.制定出兼顾各方利益并使其最大化的政策已经成为目前各国政策制定者的首要关切点.基于此，美国长期以来对包括中国在内的世界各国的加密政策进行收集和分析，以期获得一定的参考.胡佛科研团队于2016年3月发表了题为《中国加密政策和国际影响》的研究报告，其中对中国近年来的加密政策进行了细致的梳理、总结与分析.

1 报告的主要内容

密码政策涉及国内外政府、国家安全、企业和用户等多方的利益，并且具有时间长、变化快的特点，因此完成本报告不仅需要长期的观察和收集，还需要从各个角度进行考量和分析，实属不易.

1) 中国的加密政策容易受到美国和其他国家加密政策的影响

报告中首先提到美国FBI与苹果公司之间的争论是否影响到中国的加密政策[1].其次报告中列举了奥巴马政府对中国早期《反恐法》有关加密政策的批判[2]，以及中方发言人傅莹女士援引国际惯例为中国政策进行辩护的事例[3]，以此来证实中美两国有关加密的政策是相互影响的.

2) 加密的产业政策

1999年，中国政府颁布了《商用密码管理条例》(中华人民共和国国务院第273号令)，开始对密码进行监管.这些规定禁止外国的密码产品，认为所有的商用密码标准都是国家机密，并且要求商用密码产品只能由政府相关部门，即国家密码管理局和国家商用密码管理办公室指定的单位生产和销售.《条例》还要求加密系统的强度不能超过国家监管机构设定的水平[4].但是这个规定一经公开就因为其管辖内容过于宽泛而受到利益相关方的指责与抨击，随后中国政府通过官方渠道澄清，对外国密码的禁令只针对那些“核心功能”是加密的产品，而不是应用加密的商业信息和通信技术(ICT)产品.同时还宣布，不会对含有加密技术的外国加密产品和设备进行密钥托管[5].

为了增强中国科技公司的竞争力，2003年12月，中国政府宣布WLAN身份验证和隐私基础设施加密技术(即WAPI)将成为在中国销售的任何无线产品的强制性标准.中国对“国家安全问题”禁止使用802.11 WiFi，但该政策也旨在减少对外国专利持有者的支付，并支持国内生产商[6].这项政策将迫使英特尔和其他外国公司与11家获准开发WAPI产品的中国供应商合作，尽管它不允许外国合作伙伴了解无线技术规范的细节.在布什政府的一封信函暗示将在世界贸易组织(WTO)提起诉讼后，中国政府同意在征求国内外企业的意见之后修改这一标准.

2007年，国家密码管理局与公安部、国家保密局、国务院信息化工作办公室等部门联合发布了《信息安全等级保护管理办法》(以下简称《管理办法》)，也就是等级保护计划(MLPS)[7].其中要求，在中国销售的信息系统(包括加密技术)如果对国家安全或国内稳定构成较大风险，则应使用某些本土技术.《管理办法》将信息系统分为5个等级，同时对信息安全等级保护的密码实行分类分级管理.但是外国企业和政府声称，MLPS用来保护大部分中国经济使其免受国际竞争的冲击.因此在2012年美中贸易联合委员会的一次会议上，中国表示将要开始修订MLPS，但到2015年还没有作出任何改变.

中国新成立的国家互联网信息办公室宣布，要将中国打造为“网络强国”[8].为了实现这一目标，中国推出了一系列旨在使技术“安全可控”的措施，减少对外国信息技术产品和服务的依赖.但是这些措施引起了美国和全球信息通信技术行业的密切关注，因为它们似乎是1999年商用IT产品加密措施的扩展.外商对此表示抗议，2015年4月，中国宣布暂停实施银行业监管规定.

3) 加密与国内稳定

作为管理公民社会和互联网的一部分，中国屏蔽了大多数加密信息应用程序.2014年7月，两款韩国即时通讯应用Kakapo Talk和Line被域名系统(DNS)篡改，基于中国用户的HTTP请求过滤被打乱.同月，中国加强了对国内信息应用和社交媒体的限制.在注册新账号之前，需要使用消息传递服务来验证用户的真实姓名.公共账户也被禁止发布或分享未经批准的“政治新闻”.

几名中国维权律师于2015年7月被拘留，有媒体报道称他们正在使用加密的短信应用电报.2015年11月，政府关闭了新疆居民即中国的穆斯林地区的移动服务，因为他们使用了规避软件.使用虚拟专用网络(vpn)或访问WhatsApp和Telegram的用户被告知要向当地派出所报告他们的移动电话信息.

4) 塑造中国政策

在过去的10年里，安全和技术方面的担忧限制了外国对国内辩论的影响，但并没有完全隔绝中国的政策制定者.在一些情况下，直接的外国压力缓和了中国的政策，包括《反恐法》和WAPI.

2016年8月，46家国际企业代表致信中国国务院总理李克强，敦促中国修改《网络安全法(草案)》.签署方认为，信息通信技术产品的安全审查会削弱安全性，并可能构成贸易方面的技术性贸易壁垒.为了缓解国外的担忧，英特尔、思科、微软、IBM和其他公司都被要求加入国家互联网信息办公室的一个咨询委员会，以影响法律的变化.当外国公司和政府的利益与中国消费者的利益重叠时，中国的政策也会发生变化.

然而，过去10年来，外国公司和政府让中国的影响力发生了巨大的变化.2008年经济大衰退，欧美增长放缓，削弱了西方在中国的经济和政治影响力.此外，也不能保证在中国的加密问题上不会有外国技术公司的倒戈.尽管美国公司在面对来自美国政府的压力时保持了统一战线，但中国市场对当前以及未来收入增长的重要性可能会使一些公司妥协.

5) 中国企业

中国的加密政策受到国内政治、安全问题、技术民族主义战略、外国企业和政府的影响，同时也受到新兴的“走出去”战略的影响.从理论上讲，由于这些公司在全球市场上占有更大的份额，它们将面临与美国公司一样的压力，向客户保证他们在某种程度上独立于情报和执法机构.但是，与许多经济和政治领域一样，中美技术公司之间的利益交汇也是有限度的.中国技术公司至少在20年的时间里站在国有经济之外，并且越来越依赖政府对未来增长的支持.他们可能越来越依赖国家而不愿意挑战它.而且，中国似乎愿意为了政治目的而牺牲经济利益.

6) 结论

3个不确定性可能会重塑北京的加密政策：①很少有人知道中国用户对加密的态度，以及他们是否认为这对网络安全或个人隐私很重要；②就像在美国、法国和德国发生的那样，在中国境内成功的恐怖袭击可能会导致对加密需求的增加，加快对科技公司的政治压力；③中国经济创新的性质有很大的不确定性.尽管北京最近的技术政策具有很强的重商主义倾向，但国内仍存在一场争论，即是否更开放、更具包容性的方式更适合实现成为科技强国的目标.然而，这些都不是现在的主流声音.对“安全可控”技术的推动，以及对国内稳定威胁的高度敏感性，进一步缩小了科技公司和外国管理机构可能迁往北京的可能性.中国在过去改变技术政策时，面对国际压力大、行业反对统一时也是这样做的.但这些逆转通常只是暂时的，一个政策被另一个政策取代，旨在实现类似的一组成果.鉴于中国历史上的技术民族主义和安全问题，外国对中国加密政策的影响表现为一直是并且将会继续进行限制.

2 关于该报告的几点思考

全球化趋势加速且不可逆转，中国的改革发展政策也在不断向纵深发展，这决定了中国的加密政策从起草、出台到应用，不仅要考虑本国国情和国内民众的需要，同时也要考虑国际关系和国际压力.由于密码本身具有的特殊性，即其不仅会影响个人、企业的安全，同时也会对国家安全和国际关系产生深远的影响. 不同利益主体之间的冲突与对抗不仅反映了加密政策的复杂性，同时也揭示出，对于加密政策的制定，我们不能搞“一刀切”，必须全方位考虑，多层次解决.综上，笔者认为加密政策的制定应当重点从以下几方面加以考虑.

首先，从国内因素来看，需要考虑以下3个方面的因素：

1) 倾听各方的诉求、综合各方因素是制定密码政策的必要环节.

不同利益主体的需要是不同的，个体用户追求的是信息的隐私性与保密性，企业群体则更为看中企业声誉和市场占有率.从国家角度看，国家追求的则是国家安全、社会稳定.密码政策的制定者不能只考虑其中一方利益主体的诉求而忽略其他主体的需要，否则轻则引起政策失灵，重则引起社会混乱与暴动.参考目前美国和英国等其他国家的加密政策，我们目前一定要权衡考虑好加密政策的近期和长远影响，尽量减少出现各种问题的可能性.

2) 制定加密政策必须有合理的限度.加密政策需要以必要、合理、合法为限度.

既不能制定过于宽松的政策以至于没有办法发挥作用，也不能一味地制定太过严格的加密政策从而忽略可能出现的问题.加密政策的制定必须限定在法律制度的框架之内，同时也必须遵守法定程序.任何以公共利益为噱头而收集个人信息的行为都是不可取的.此外，有效、独立且公正的监督机制和补救机制也必须同时建立.做好事前防御和事中监督有利于降低危险发生的概率，而事后的应急和补救措施也有利于在第一时间内将伤害和影响降到最低，有利于政策的长远发展.

3) 加密政策的制定应当立足中国国情.

制定加密政策之前对国际形势进行考察是必要的，参考外国的政策也是必不可少的.但是我们不能舍本逐末，一味地考虑国外形势，而忽略本国国情.同时在对国外进行借鉴时要避免过度化的倾向，不能对极个别国家进行过度关注，一定要综合考量.归根结底，政策制定最终还要回到本国的适用问题上，不从本国的实际情况出发制定的政策只能是“橘生淮北”，最终面临被淘汰的命运.

其次，从国际环境来看同样也要考虑3方面的因素：

1) 应当在国家环境下树立总体国家安全观

过去狭隘的国家安全观已经不能适应全球化浪潮下国家安全的需求.2014年，习总书记提出总体国家安全观，明确指出国家安全不仅包括传统安全，还包括科技安全、信息安全、资源安全等.若仅以执法便利为由而对密码进行限制，在信息技术高度发达的背景下将会对国家安全产生重大冲击.

2) 应当兼顾国内外产业发展的需求

经济全球化下各国的经济交流是不可避免并且是十分必要的.考虑到本国产业的持续发展以及外国产业和供应商的呼吁和诉求，我们不能搞一边倒，丝毫不考虑国际产业的利益，这可能会引起不必要的冲突和麻烦.

3) 主动承担国际责任

全球经济一体化大背景下，生产的全球化促使全球网络安全在总体上呈现出类似“木桶效应”的特征，全球网络安全的坚固性和保障能力取决于网络安全最为薄弱的国家.采取过于严格的密码管控无疑会降低该国的网络安全保障能力，而且会不断向外界扩散.不仅一个国家的经济会产生很强的全球效应，密码政策也会有如此的效果.为了提升全球网络安全，提升本国网络安全，各国都应当承担各自的国家责任.

3 结论

有关加密政策的争论由来已久，针对这一争论不仅近期没有办法彻底解决，从长远来看其也始终是一个复杂的难题.但随着技术的变革，情况已经改变，观念的革新与进步，相信我们也会有新的思路和方法来解决这一问题.

中国加密政策的演变与发展，一方面与国家和社会的稳定发展、我国人民群众的需求密切关联，另一方面，也受到国际社会各方面的影响.

随着网络社会的普及和发展，网络空间的发展与治理已经日益成为国家安全治理的重要组成部分.而在治理的过程中，加密问题作为涉及个人隐私、社会稳定和国家治理的重要组成部分，必须得到社会各方的高度重视.然而，经济全球化下市场的准入性以及网络空间的无边界性会使得本就复杂的加密问题变得更为复杂多变，且牵一发而动全身.因此制定合理的加密政策不仅是维护国内稳定的需要，更是维持中国国际地位和增强国际影响力的需要.

笔者看来，制定合理的加密政策一方面要切实了解国内的根本需要和广大人民的切身利益，合理划分国家利益与公民权利的分界，制定自由和民主的政策，避免引起群众的不安全感和不信任感，避免造成与人民群众的隔阂与误解.同时也要适当考虑国际社会和组织的关切，避免引起不必要的纷争.但是，出于对国家机密和社会的长期稳定发展的需要，也不能对一切都听之任之，照搬照抄国外的加密政策，一定要平衡处理好国家利益与公民利益、国内稳定与国家发展之间的关系.

[1]David P. Why Apple’s Fight with the FBI could have reverberations in China[J]. Los Angeles Times, 2016, 2(19): 10-12

[2]Reuters. Exclusive: Full Text of Reuters Interview with Obama[OL]. (2015-03-02) [2018-02-15]. http:www.reuters.comarticleus-usa-obama-transcript-idUSKBN0LY 2J820150302

[3]Reuters. China Says Tech Firms Have Nothing to Fear from Anti-Terror Law[OL]. (2015-03-04) [2018-02-15]. http:www.reuters.comarticleus-china-parliament-cyber security-idUSKBN0M00IU20150304

[4]国务院.关于商用密码管理的第273号指令[S]. 北京: 国家商用密码管理办公室, 1999

[5]Bert-Jalap K. People’s republic of China[J]. Crypto Law Survey, 2013, 2: 1-2

[6]Ezell D, Atkinson M. The Middle Kingdom Galapagos Island Syndrome[J]. Information Technology & Innovation Foundation, 2014, 12: 9-10

[7]四部委.信息安全等级保护管理办法[S]. 北京: 四部委, 2007

[8]新华社. 习近平主席成立中央网络安全和信息化领导小组[OL]. (2014-02-27) [2018-02-15]. http:politics.people.com.cnn20140227c70731-24486583.html