摘" 要：数字经济时代，密码技术作为保障信息安全的核心技术，其重要性日益凸显。而密码技术的广泛运用也可能影响国家安全和公共利益。因此，密码技术的运用和规制一直寻求私权保护与执法需求、市场驱动与政府干预、贸易自由与国家规制之间的平衡。近年来，CPTPP和DEPA等高标准国际经贸协定相继纳入使用密码技术的ICT产品规则，一方面要求减少对使用密码技术的ICT产品不合理的贸易限制，强化数字知识产权保护；另一方面也尊重国家对密码技术的规制权，包括金融机构和市场例外、执法机关例外等限制性规则。中国在积极推进加入CPTPP和DEPA的过程中，应积极对接密码技术产品规则，大力发展商用密码技术，加强与CPTPP和DEPA成员国在密码技术和网络安全领域的合作与信息共享，并进一步完善密码技术管理的政策法规。

关键词：密码技术；国际经贸协定；出口管制；CPTPP；DEPA

中图分类号：D 913" " 文献标志码：A" " 文章编号：2096-9783（2025）01⁃0103⁃10

密码技术通常是指保护信息未经授权而无法获得的技术1。随着数字技术的迅猛发展，5G、云计算、大数据、物联网、区块链、人工智能等产业会产生大量数据，如何保障这些数据的安全需要依靠密码技术。密码技术已经成为网络空间安全的核心技术和基础支撑，通过加密保护与安全认证，能在不安全的环境下对通信和存储的数据进行保护，以防止未经授权的访问、篡改、伪造、抵赖等行为[1]。但是，密码技术是一把双刃剑，既可以用于合法的数据保护，也可以被用来从事违法犯罪活动，还可能同时影响国家安全、公共安全、法律执行、商业交往、消费者保护或个人隐私等多方利益[2]。

促进密码技术的创新发展，不仅是发展本国数字经济的需要，也是参与国际密码技术市场竞争的要求。随着数字技术和数字经济的快速发展，美日欧等发达国家率先开始推行数字知识产权保护，明确源代码和算法的保护要求，并在其随后缔结的区域经贸协定中不断扩大保护范围，将商用密码技术也纳入保护范围。中国正在加速制度型开放进程，积极对接CPTPP、DEPA等高标准国际经贸规则。因此，中国应增强本国密码技术的国际竞争力，进一步参与密码技术相关国际规则的制定。

一、密码技术产品开放与限制的博弈和价值平衡

密码技术相关法律和政策体现了国家、社会和公众的多重利益，因而不可避免会出现利益的冲突和价值的相悖。政府承担着广泛的职责，其中与密码技术的使用直接相关的职责包括：隐私保护和促进信息及通信系统安全；通过促进商业来鼓励经济繁荣；维护公共安全；以及支持法律执行和保护国家安全。国家在规制密码技术时，需要平衡国家、社会、公民之间的利益，国家之间关于密码技术的国际规则需要寻求促进贸易自由化和国家规制自主权之间的平衡。

（一）私权保护和执法需求之间的平衡

对于公民个人而言，密码技术的主要功能之一就是保障公民的隐私权，而公民的隐私保护并不是绝对的。例如，在1995年1月17日，欧盟理事会发布了《关于合法拦截电子通信的决议》2，如果网络运营/服务商对通信信息进行编码、压缩或加密，执法机关有权要求网络运营/服务商提供被监控的通信明文。又如，2018年12月，澳大利亚通过《电信与其他立法修正（协助与获取）法》，对情报机构和执法机关获取指定的通讯提供者的加密通讯信息与数据进行广泛的立法授权，强化第三方的执法协助义务[3]。在商业领域，企业可以通过密码技术来保护其商业秘密和客户信息，防止竞争对手的窃取和滥用。例如，通过区块链技术，企业可以将商业秘密写入区块链，区块链会通过哈希算法对其加密[4]。商业秘密的保护同样也不是绝对的。通过密码技术保护的商业秘密也可能在司法机关、执法部门和国家安全部门的合法要求下，提供加密商业秘密的访问权。

各国密码管理规则在制定过程中，都会在私权保护和执法需求之间寻求平衡。从预防犯罪和国家安全考虑，必须赋予执法部门较强的解密能力和监听加密信息的权力，以降低密码被用于网络犯罪和危害国家安全的风险[5]。从私权保护考虑，任何形式的密码注册、密钥托管、密钥恢复都会造成更多的隐私和商业秘密泄露风险，并最终降低整体的网络安全性。因此，使用加密技术的信息原则上不得强制解密。为了防止行政机关滥用执法权而阻碍公民和企业合理使用密码技术，各国政府对执法部门的密钥托管、密钥恢复进行限制，并制定了严格的审批和执行程序。政策制定者经常面临在公共安全措施和个人公民自由之间寻求最佳平衡的挑战。此外，在特定的行业，政府应考虑行业的独特需求、风险和发展要求来确定适当的密码管理规则。例如，金融行业、医疗行业和电信行业等，通常对密码技术的使用存在特殊规定。

（二）市场驱动和政府干预之间的平衡

密码技术和数字经济市场是相互促进的关系，密码技术为数字经济提供了安全保障，数字经济下对安全性和隐私保护的需求推动了密码技术的创新和市场的繁荣。近年来，信息与通信技术领域应对恶意攻击和信息泄露变得愈发重要。密码技术成为数字经济时代企业获得客户信任感的核心竞争优势，各行业必须确保其数据及其他关键资产的安全。

为了促进市场驱动的密码技术开发，密码技术的开发和提供应当在开放和竞争的环境下由市场所决定。许多技术的发展经验表明，依赖用户选择和市场力量通常是推动新技术广泛应用的最快和最有效的方式。但是，出于国家安全和公共安全的考虑，完全放任市场自由竞争的密码管理政策也是不合适的。对于密码技术的管理，若属于难以通过市场机制或者事中、事后监管方式进行有效管理的事项，政府就需要实施行政许可或其他管制措施，坚守安全底线。

对于不影响国家安全和公共安全的密码技术，其发展应当以市场为导向。相关的法律和政策应遵循技术中立原则，这具体体现在两个方面：其一，密码主管机关与标准化组织在确定密码算法标准时应当遵循技术中立原则；其二，企业和消费者可以根据需要自由选择密码技术产品。消费者的市场选择，能够促进密码技术优胜劣汰，激励技术创新和进步，实现密码技术和国家发展利益的良性互动。因此，政府对密码技术市场的干预应根据具体情况进行谨慎调整。

（三）贸易自由和国家规制之间的平衡

随着信息技术和服务的国际贸易不断增长以及企业对高科技领域的需求日益增加，密码技术可以保障数据传输过程中的机密性、完整性和真实性，从而促进数字贸易的顺利进行。例如，跨境就医结算服务领域对数据安全和隐私保护的要求较高。因此，跨境就医结算服务平台就需要采用数据加密技术，防止未经授权的访问和泄露[6]。又如，在现有的跨境金融交易中，通过区块链特有的区块数据结构和密码机制，交易信息难以被篡改且可追溯，能保证信息链的真实性和完整性。国际经贸协定通过制定统一的密码技术规则，可以避免各国之间因标准不一致而引发的贸易壁垒，促进全球密码技术产品市场的互联互通。

同时，密码技术在保护国家机密信息、预防网络犯罪和恐怖主义方面起着关键作用[7]。为保护本国的信息主权，防止密码技术市场被外国企业垄断，确保进入国内市场的密码技术产品符合本国的法规和标准，国家可能会对密码技术的进口、出口、销售和使用实施管控，以确保其不被滥用。

国家若采取过于严格的密码技术规制措施，会限制密码技术的国际交流与合作，降低企业参与密码技术创新和竞争的积极性，进而阻碍本国数字贸易发展，影响本国整体网络安全。但是，太过宽松的密码技术规制可能会带来各种安全隐患。各国在国际经贸协定的谈判过程中，寻求促进贸易自由和国家规制之间平衡，在保障网络安全的同时促进全球贸易的健康发展。因此，国际经贸协定中密码技术产品规则既有促进贸易自由的保护性规则，也有维护安全稳定的限制性规则。

二、密码技术产品国际规制的历史演变和最新发展

长期以来，美欧等发达国家密码技术的出口管制政策，影响了国际社会对密码技术社会化利用的态度。冷战时期，密码技术作为国家重要战略资源，受到极为严格的出口管控。20世纪90年代以来，随着冷战的结束，国际环境发生了深刻变化，长期以来以主权和安全为主的国家利益观念发生了根本变化，更加强调国家综合实力和整体利益，强调国家发展和保障公民人权。密码技术的发展所引发的社会变革，要求国家在维护安全利益的同时，兼顾技术创新进步，保护个人隐私与自由，并促进经济社会的全面发展。为了实现密码技术管理的国际合作和协调一致，各国通过多边机制对密码技术产品进行国际规制。总体而言，密码技术产品的国际规制呈现从严格管控到逐步放松的趋势。近年来，国际经贸协定纳入密码技术产品的相关条款，体现各国在密码技术贸易自由和国家规制二者之间寻求平衡。

（一）多边性密码技术产品出口管制安排

二战之后，为了共同实施针对社会主义国家的多边出口管制，美国同一些西欧国家组成了“多边出口管制统筹委员会”（Coordinating Committee for Multilateral Export Controls， COCOM），由于总部设在巴黎，又被简称为“巴统”。“巴统”负责编制和增减多边禁运清单，规定受禁运的国别和地区，确定禁运的审批程序等。“巴统”成员国出口清单内货物时，需要向“巴统”提出申请，经过其同意之后才能签发出口许可证，并且发货后还要随时被核查。出于国家主权和安全的考虑，密码技术受到严格的出口管控。“巴统”除禁止成员国将密码技术出口到与恐怖组织保持密切联系的国家，成员国若要将密码技术出口到其他国家也须获得其授权许可。1991年，“巴统”决定放开面向大众市场加密软件（Mass-market Encryption Software）的出口，对于公众可以通过柜台销售等获得且无法轻易改变加密功能的加密软件，成员国可以向所有国家出口[8]。

1994年，“巴统”解散。美国等31个国家于1996年签订了规制两用物项和技术出口的多边机制——《瓦森纳常规武器和两用货物及技术出口管制安排》（The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Good and Technologies）（以下简称《瓦森纳安排》）。由于密码技术产品被认为具有民用和军用双重功能，因此，它们受到《瓦森纳安排》两用物项控制清单下的出口限制。《瓦森纳安排》通过指定受出口管制控制的物品清单，为国家政策制定了一个框架，成员国根据该清单自行决定是否将其纳入国家出口管制政策，所有与个别出口许可证有关的决定仍由各签署国负责[9]。《瓦森纳安排》包括两份控制清单，其中一份是两用物项和技术清单，清单分为10个类别，第5类第2部分涵盖了信息安全，包括加密产品。加密产品清单项目中包括“使用对称或非对称算法的加密系统、设备、组件和软件，其中对称算法的密钥长度超过56位，或非对称算法的密钥长度超过512位”[10]。

（二）OECD推动密码技术贸易自由与国际协调合作

信息和通信网络具有全球性，而各国实施不兼容的密码技术政策将无法满足个人、商业和政府的需求，对经济合作和发展构成一定的障碍。为了实现国家、社会、公民之间三者利益的平衡，经合组织 （Organization for Economic Cooperation and Development，OECD）号召其成员国解除对密码技术的控制，发展基于市场和用户驱动的密码技术产品和服务。OECD在1997年3月发布了《关于密码技术政策的建议性指南》3，该指南旨在促进密码技术的使用，以增强对数字技术及其使用方式的信心，并帮助确保全球网络的数据安全和隐私，同时不对公共安全、执法和国家安全构成不当威胁。该指南列出了关于密码政策的八项原则，其中就包括国际合作原则，即各国政府应在制定密码政策时进行合作和协调，消除或避免以密码政策的名义制造不合理的贸易障碍[11]。国际合作原则并非旨在凌驾于国家安全或执法政策之上，而是强调各国不应以密码政策为借口来排除或歧视外国产品[12]。OECD的目的是呼吁成员国在因其密码政策造成贸易障碍时，应提供合理的理由。

尽管《关于密码技术政策的建议性指南》并不构成具有约束力的国际法，但它具有很强的影响力，并为成员国制定政策提供了明确的原则。2024年，OECD的数据安全工作组认为，《关于密码技术政策的建议性指南》目前仍然足以解决其制定时所针对的问题，并实现其制定目的，因此现阶段无须对其进行修订。这是OECD专门讨论该指南的最后一份报告，未来关于该指南的审查将和OECD其他数字安全建议一起进行4。

（三）密码技术条款在国际经贸协定中的常态化趋势

密码技术为大多数现代信息和通信技术（ICT）产品和服务提供了基础，是保护跨境数据流动的核心技术。国家若支持密码技术在跨境数据流动上发挥重要作用，将有利于数字贸易的发展，而歧视性和限制性政策则可能使数字贸易和大规模的ICT产品贸易面临风险[13]。 在现有的国际经贸协定中，密码技术与ICT产品相结合，受到国际贸易规则的规制。尽管WTO协定中没有关于密码技术的具体条款，但《技术性贸易壁垒协定》（Agreement on Technical Barriers to Trade， TBT）和《与贸易有关的知识产权协定》（Agreement on Trade-Related Aspects of Intellectual Property Rights， TRIPs）可适用于使用密码技术的信息和通信技术（ICT）产品[14]。使用密码技术的ICT产品也是WTO电子商务谈判的重要议题，但各国在这个条款适用范围上存在分歧，且短时间内无法达成共识。在对主席案文的最后一次技术性讨论中，会议决定，关于使用密码技术的ICT产品的条款今后将不再是主席案文的一部分5。

近年来，国际经贸协定中逐渐将使用密码技术的ICT产品的条款纳入其中，并呈现常态化趋势。这些规则区别于以往OECD《关于密码技术政策的建议性指南》的“软法”性规则，是成员国之间经过谈判而达成的对其具有法律约束力的规则。密码技术条款可能出现在经贸协定中的数字贸易、电子商务、技术性贸易壁垒、商业信任、知识产权保护等章节。例如，《全面与进步跨太平洋伙伴关系协定》（Comprehensive and Progressive Agreement for Trans-Pacific Partnership， CPTPP）在第8章“技术性贸易壁垒”的附件8-B “信息及通信技术产品”的A节规定了使用密码技术的ICT产品。又如，《数字经济伙伴关系协定》（Digital Economy Partnership Agreement，DEPA）在模块三“数字产品待遇和相关问题”第4条专门规定了使用密码技术的ICT产品规则。除此之外，《美加墨协定》（USMCA）、《日本—英国经济伙伴关系协定》（JUKDPA）、《英国—新加坡数字经济协定》（UKSDEA）、《韩国—新加坡数字伙伴关系协定》（KSDPA）、《欧盟—新加坡数字伙伴关系协定》（EUSDPA）、《英国—乌克兰数字贸易协定》（UKUADTA）均对使用密码技术的ICT产品有所规定。

三、国际经贸协定中密码技术产品的保护性和限制性规则

在国际经贸协定中，使用密码技术的ICT产品规则通常包括强制提供密码算法等保护性规则和不得阻止执法机关依程序执法等限制性规则。在对密码管理进行国际协调和合作的前提下，这些协定既有助于减少使用密码技术的ICT产品在跨境贸易中的不确定性和复杂性，又为各国制定符合本国安全利益的密码管理规则留下灵活的适应空间。

（一）使用密码技术的ICT产品的保护性规则

使用密码技术的ICT产品保护性规则通常涵盖市场准入和知识产权保护，并且这些规则一般不适用于争端解决机制。但是，DEPA通过的议定书将这些规则纳入争端解决机制的范围，强化了使用密码技术的ICT产品规则的约束性，为各成员国之间的规则得到公平和有效的执行提供了保障。

1.使用密码技术的ICT产品的市场准入

政府为在确保国家安全、公共安全和市场公平的同时，促进技术标准化和保护消费者利益，可能会为密码技术产品实施设立技术法规或合格评定程序。但是，对于设计用于商业应用的产品，如果政府强制实施特定技术标准或评定程序，可能会限制企业自由选择和使用适合其业务需求的密码技术，增加企业在不同国家之间的研发成本和合规成本，不利于鼓励企业在密码技术方面的创新和商业化运用。特别是对于中小型科技企业来说，强制的技术法规和合格评定程序可能导致企业进入新市场时面临复杂的审批和认证程序，成为市场准入障碍。因此，CPTPP和DEPA都规定了“对于使用密码技术并设计用于商业应用的一产品，任何缔约方不得强制实施或设立一技术法规或合格评定程序，作为制造、出售、分销、进口或使用该产品的条件而要求该产品的制造商或供应商使用或集成一特定密码算法或密码”。

2. 使用密码技术的ICT产品的知识产权保护

知识产权保护有利于促进国际贸易发展和吸引高质量投资，因而高标准国际经贸协定普遍重视数字知识产权保护。但是，各国对密码技术进行了不同程度的限制，有的国家要求将“后门”建立在密码系统中以允许政府访问，有的国家要求将获得密钥作为向外国技术开放国内市场的先决条件，甚至不能加密[15]。缔约方要求转让或提供密钥、算法或要求在密码技术方面进行强制性合作，将对企业带来知识产权泄露风险。CPTPP和DEPA关于禁止强制转让密码相关专有技术信息的规定旨在保护企业的知识产权和商业机密。密码技术通常涉及大量专利和高度敏感的商业机密，强制转让这些信息会侵犯制造商或供应商的知识产权，削弱其市场竞争力，并可能造成严重的经济损失。另外，密码技术的安全性依赖于其设计细节和密钥的保密性，强制披露这些信息可能会使技术易于被攻击者利用，从而削弱其保护数据和系统的能力。密码技术通过保护企业的特定技术、生产工序或其他信息，维护企业的竞争优势，激励持续创新，促进国际市场的健康发展。

CPTPP和DEPA均规定缔约方不得要求密码技术制造商或者供应商与缔约方领土内的人合伙，这可能会严重影响密码技术的知识产权保护。首先，合伙要求可能导致敏感技术和生产工序的信息泄露，从而增加知识产权被侵权的风险。其次，合伙关系分散了对知识产权的控制权，可能使其在管理和保护上面临挑战。合同和法律条款也可能无法完全防止知识产权的滥用，尤其在知识产权保护法律不健全的区域。此外，合伙方可能成为潜在竞争对手，这可能会削弱原制造商或供应商的市场地位，并降低其知识产权的商业价值。合伙要求还可能导致企业减少在该市场的研发投入和技术创新，影响行业的整体技术进步。

3.使用密码技术的ICT产品纳入争端解决机制

DEPA在生效文本中规定争端解决不适用于使用密码技术的ICT产品6，主要是出于国家安全和技术敏感性的考虑。密码技术涉及高度复杂和敏感的信息，其应用对国家安全至关重要。因此，国际争端解决机制可能难以有效处理此类问题，且在争端过程中可能导致商业机密和知识产权的泄露。通过将使用密码技术的ICT产品排除在争端解决之外，DEPA保留了各国在处理密码技术相关问题上的自主权和灵活性，确保其能够有效管理和控制相关风险。

为了强化核心规则的约束性，DEPA联合委员会于2023年5月24日通过了《DEPA议定书》，议定书第8条规定“附件14-A［第14模块（争端解决）的范围］以及附件I（关于本协定的谅解）7应停止实施”。这表明争端解决机制可以适用于使用密码技术的ICT产品规则。这一规定强化了缔约方遵守协定义务的纪律约束，增强了规则的透明性和一致性，有助于确保各国企业在密码技术领域享有公平竞争的环境。在争端解决机制下，如果某成员国基于密码技术限制ICT产品的进口或使用，该国必须证明此限制旨在保护国家安全或其他合法公共利益，并且该措施必须是实现合法目标所必需的，与所对应的风险成比例。这样有助于在满足安全需求和其他合法利益的同时，最大限度地减少对密码技术贸易的不必要障碍。至于成员国如何为限制措施进行合理解释，可以借鉴WTO争端解决机制等以往案例和解释理由。

（二）使用密码技术的ICT产品的限制性规则

在CPTPP和DEPA等国际经贸协定中，使用密码技术的ICT产品受到一系列限制性规则的约束，包括将ICT产品限定为货物、政府用途例外、符合缔约方政府所有或控制的网络要求，以及金融机构或市场例外和执法机关例外等规定。

1.ICT产品限定为货物

CPTPP和DEPA都规定了“就本节而言，‘产品’是指货物，不包括金融工具”。金融服务中使用的密码技术通常比其他 ICT 产品面临更多的安全和风险管理要求，将金融工具纳入 ICT 产品规则可能会导致与金融监管机构的职责和法规重叠或混淆。因此，CPTPP和DEPA都排除了金融工具的适用。但是，在国际贸易中，货物和服务是两个不同的概念，分别受到不同的规则和监管框架的约束。将ICT产品限定为“货物”，这表明缔约方将ICT相关服务排除在外，只限定为使用密码技术的ICT硬件或软件。

2.政府用途例外

CPTPP和DEPA规定缔约方不得要求制造商或供应商使用或集成一特定密码算法或密码，但该产品是由或为该缔约方的政府制造、出售、分销、进口或使用的情况除外。政府用途例外主要考虑国家安全因素。政府需要对使用密码技术的ICT产品进行严格控制，以防止敏感信息的泄露，确保国家机密和重要基础设施的安全。例如，对于美国政府应用的密码学基本组件，国家安全局维护着一套被称为Suite B标准的规范，该标准规定了必须使用哪些基本组件来保护美国政府的敏感数据[16]。此外，为政府制造、出售、分销、进口或使用的ICT产品还要考虑合规性和标准化。政府通过制定和实施自身的密码标准和合格评定程序，确保所有政府使用的ICT产品达到统一的安全标准，促进安全管理和维护。

3.缔约方政府所有或控制的网络要求

CPTPP和DEPA规定，缔约方采用或维持的与接入由该缔约方政府所有或控制的网络相关的要求，包括中央银行的要求，不适用于使用密码技术的ICT产品的市场准入和知识产权保护的相关规定。政府和中央银行的网络可能涉及敏感信息和关键基础设施，需有权制定和维持特定密码技术要求，政府和金融机构需要具备高度安全性的解决方案，以防安全漏洞和网络攻击。这种规定尊重了各缔约方在敏感领域风险评估和安全标准的差异性，允许其根据国家利益和政策需求管理并保护受控网络和系统。

4.金融机构或市场例外

按照CPTPP和DEPA规定，缔约方根据与金融机构或市场有关的监督、调查或检查权力所采取的措施可以不适用于使用密码技术的ICT产品保护性规则。这种例外性规定是基于金融机构和市场在密码技术使用上的特殊需求和重要性。金融系统的安全和稳定对于国家经济至关重要，金融机构处理大量敏感信息，包括个人数据和交易数据，监管机构需要确保这些信息的安全，因此它必须对使用的密码技术进行监督和审查。此外，金融机构需要遵守严格的合规性要求和风险管理标准，监管机构可能需要对加密技术进行检查以确保其符合相关法规和风险管理标准。金融市场和机构需要确保不同系统之间的互操作性，这可能需要进行特定的技术审查或认证，以确保安全有效的系统通信。金融服务与数字技术结合日益紧密，虽然美国等国在高标准经贸规则中强调数字知识产权保护，但又对金融工具与市场监管保持高度戒备心理，实施严密管控[17]。

5.执法机关例外

密码技术在推广运用和政府规制中，寻求私权保护与执法需求之间的平衡。在加密技术的使用过程中，许多国家强调执法机关的例外性规定，这并非对贸易自由的忽视，而是对国家安全、公共安全和法治原则的维护。执法机关要求服务提供者使用由其控制的密码技术，主要用于打击犯罪和维护社会秩序。这种权力的行使通常需要严格的法律程序和司法授权，以平衡隐私保护与公共安全。有些国家政府实施了强制性密钥托管机制[18]，要求个人或组织存放加密密钥。这些密钥对端到端加密消息服务的认证通道所提供的机密性水平设定了限制。在这种系统下，执法机构可以通过访问由可信第三方保存的次级副本来检索特定数据。这种规定虽然更加方便执法机构获得相关数据，但也存在安全隐患和权力滥用风险。因此，服务提供者、可信第三方和执法机构之间应有明确的分工和责任，确保数据访问的透明性和合法性。

四、中国对接国际密码技术产品规则的应对策略

中国对接国际密码技术产品规则，不仅要关注技术发展与市场准入等具体操作层面，更应深入剖析其背后的政策法规、国际合作与人才培养等支撑体系。中国应大力发展商用密码技术，并积极对接CPTPP和DEPA等高标准国际经贸规则。这些举措需以完善的政策法规体系作为保障，确保技术发展的合法性与合规性；在促进密码技术产品贸易自由的同时，维护国家安全和公共利益。

（一）大力发展商用密码技术

按照中国密码分类管理制度，密码分为核心密码、普通密码和商用密码。核心密码、普通密码用于保护国家秘密信息，属于国家秘密。商用密码用于保护不属于国家秘密的信息。国际经贸协定中密码技术产品规则，通常规范的也是商用密码技术。因此，为了对接国际密码技术产品规则，中国应大力发展商用密码技术。

1.推动密码技术的研发投入与自主创新

中国应推动密码技术创新与应用，加大对密码技术的研发投入，强化政策引导和资金支持。特别是加强密码技术基础理论和算法等薄弱环节的投入力度，支持高校、科研机构和企业开展前沿技术研究和应用示范，推动密码技术的自主创新和产业升级。例如，中国在《“十三五”国家信息化规划》中强调，加快推进信息安全产业的发展，增强密码技术的自主创新能力。在这一政策指导下，许多企业加大了对密码技术的研发投入，推出了一系列具有自主知识产权的商用密码产品。此外，为了推动商用密码技术的应用，中国还应致力于构建完善的产业生态和市场推广体系。

2.加强密码技术的人才培养

密码技术和网络安全领域的发展离不开高素质人才和技术创新。中国应加大对相关人才的培养力度，通过高校、科研机构和企业的合作，建立完善的学科体系和人才培养体系。例如，政府和企业可以通过设立奖学金和培训项目，鼓励和支持更多学生和技术人员投身于密码技术领域。此外，还可以借鉴国际先进经验，引进高端技术和人才，提升整体技术水平和竞争力。

3.推动企业参与国际合作与竞争

为推动商用密码技术的快速发展，在国际市场中获得更大的影响力和话语权，政府应鼓励国内企业积极参与国际市场的竞争与合作。企业应把握机遇，积极开展与相关企业的国际合作，以此提升技术水平。特别是华为、中兴等领先企业，应在国际通信和网络安全项目中积极展示和推广自主研发的密码技术产品，以体现中国在密码技术领域的创新实力，并赢得国际市场的认可。同时，通过并购、投资等方式，企业应积极拓展海外市场，增强自身的国际竞争力。

（二）积极对接CPTPP和DEPA等高标准国际经贸规则

CPTPP和DEPA反映了未来全球高水准数字经贸协定走势，中国应以申请加入CPTPP和DEPA为契机，加速推进中国数字贸易制度型开放。

1.深入分析CPTPP和DEPA的密码技术规则

中国需对CPTPP与DEPA中的密码技术规则进行全方位、深层次的剖析，特别聚焦于其对国内密码产品市场准入条件、知识产权保护机制及技术标准规范等方面的潜在影响。通过实施模拟分析与压力测试，科学评估这些国际规则可能引发的市场变动、产业结构调整及经济效应，以此为基础，制定出行之有效的应对策略，确保中国能在遵循高标准国际经贸规则的同时，维护自身密码产业的发展利益。

2.提升密码技术标准与国际接轨

中国应致力于密码技术标准的国际化，这不仅有助于减少技术壁垒，还能增强中国ICT产品在国际市场的竞争力。中国需积极参与国际标准化组织（如ISO、IEC、ITU等）8的相关工作，促进中国的技术标准获得国际认可。国内企业也应加大对国际密码技术标准的研究和应用，提升自身技术水平。企业可以通过参加国际展会和行业会议，展示和推广中国的商用密码产品，扩大市场影响力。

3.加强与CPTPP和DEPA成员国的合作

在密码技术和网络安全领域，中国应积极加强与CPTPP和DEPA成员国的合作与信息共享。这不仅有助于提升自身的技术水平，还能增强在国际规则制定中的话语权。通过参与国际密码技术和网络安全会议、研讨会等多种形式的国际交流活动，可以了解最新的国际动态和技术趋势。同时，与成员国开展联合研究和项目合作，互通有无，共同应对全球网络安全挑战。在信息共享方面，可以建立多边或双边的信息交流机制，及时共享网络威胁情报和应对经验，提高整体网络安全防护水平。

（三）完善密码技术管理的政策法规

密码技术的创新和运用需要密码技术管理的政策法规提供法治保障，同时中国对接高标准国际经贸协定，也应确保国内规定符合国际义务。

1.修订完善国内密码技术相关法律法规

中国可能面临国内密码技术相关法律法规的调整问题。除了继续修订和完善《中华人民共和国密码法》（以下简称《密码法》）等相关法律法规，中国还应加强与知识产权法、反不正当竞争法等法律的衔接，形成完整、系统的密码技术法律体系。例如，DEPA要求消除使用密码技术的ICT产品不合理的市场准入限制要求，中国应进一步厘清《密码法》与现有网络安全法规的交叉重叠关系，缩小政策执行过程中的相机行事空间。又如，中国加入DEPA后，其他缔约方可能会对《商用密码进口许可清单》的合理性和《商用密码进出口许可程序》的透明度提出质疑，中国有必要对此进行更加明细的规定[19]。此外，CPTPP和DEPA关于使用密码技术的ICT产品规则都有执法例外规定，但我国网络安全法对制造商和供应商的协助解密义务的规定并不明确，这有待于更为细化的制度进行澄清[20]。

2.制定具有灵活性和适应性的密码技术政策

在制定密码技术政策的过程中，灵活性和适应性是至关重要的考量因素。鉴于技术的快速发展和不断演变的威胁环境，政策法规必须能够迅速适应新的形势。为此，政府应构建一套动态的法规调整机制，确保密码技术管理政策能够紧跟技术发展的步伐，并根据实际需求进行及时更新。同时，地方政府和行业组织也应发挥积极作用，结合本地的实际情况和行业特点，制定并实施更具针对性和可操作性的管理措施，从而确保密码技术政策的有效性和实用性，为密码技术的健康发展提供有力保障。

3.强化网络安全和风险管理能力

强化网络安全和风险管理能力，在完善密码技术管理政策法规的过程中，监管审查和风险评估是关键环节。政府需积极建立健全的监管审查机制，确保该机制能够定期对密码技术的应用及管理进行严格的检查与评估，从而验证其是否满足安全性与合规性的高标准要求。一旦发现潜在问题或漏洞，政府应迅速响应，采取有效措施予以解决。此外，构建一套全面的风险评估体系也是必不可少的，它能帮助我们对新技术和新应用的安全性进行深入的预评估。特别是对于量子密码技术等前沿科技领域，我们更应进行深入的研究与风险分析，以确保这些技术在未来应用中既能保持高度的安全性，又能展现出可靠的稳定性。

五、结语

密码技术既有其保护信息安全、确保数据机密性的重要用途，又可能会因其不当使用或滥用而产生负面影响。因此，在密码技术的应用与发展中，我们永远在寻求安全与便利、保护与利用之间的平衡之道。在国内层面，政府必须对密码技术实施必要的监管，但也不能扼杀创新或侵犯隐私权。实现这种平衡需要来自不同领域专家的广泛展开讨论，包括政策制定者、执法机构、网络安全专业人士和学术界的参与，在政策制定过程中促进透明度、包容性和技术专长，在利益相关者之间建立互信。未来，多方参与可以帮助制定有效和可持续的法律，既能保障国家安全和公共利益，又能保护隐私和促进密码技术市场的发展。在国际层面，为了促进数字经济的健康发展，各国需要加强在密码技术领域的合作与交流，共同制定国际标准和规范，推动密码技术的创新与应用。‌中国也应积极推动并参与密码技术的国际规则制定，这不仅有利于更快适应全球信息化快速发展的趋势，而且还是提升国家网络安全能力和参与全球网络治理的重要途径。

参考文献：

[1] 黄道丽，马宁，原浩. 美国密码政策立法的历史回顾与影响分析[J].中国信息全，2020（6）：83.

[2] BAKER S A， HURST P R. The limits of trust： cryptography， governments， and electronic commerce[M]. Boston： Kluwer Law Intl， 1998.

[3] 周汉华. 国家安全法律义务的性质辨析——基于中澳两国法律的比较[J]. 中外法学，2019（4）：883.

[4] 张怀印. 区块链技术与数字环境下的商业秘密保护[J]. 电子知识产权，2019（3）：76.

[5] 江智茹，冯立杨. 电子商务领域的密码法律理念与价值思考[J]. 政法学刊，2011（1）：36.

[6] 王玉. 区块链赋能数字普惠金融高质量发展的现实思考[J]. 长白学刊，2022（5）：113⁃122.

[7] 皮勇. 网络恐怖活动犯罪及其整体法律对策[J]. 环球法律评论，2013（1）：10⁃11.

[8] LIU H W." Inside the black box： political economy of the Trans-Pacific Partnership's encryption clause[J]." Journal of World Trade， 2017， 51（2）： 318.

[9] ANDREWS S. Who holds the key？ A comparative study of US and European encryption policies[J/OL]. The Journal of Information， Law and Technology， 2000， 2.http：//www2.warwick.ac.UK/fac/soc/law/elj/jilt/2002_2/andrews/.

[10] The Wassenaar Arrangement Secretariatlatest：List of Dual-Use Goods and Technologies and Munitions List [EB/OL]. （2023-12-01）[2024-01-14]. https：//www.wassenaar.org/app/uploads/2023/12/List-of-Dual-Use-Goods-and-Technologies-Munitions-List-2023⁃1.pdf.

[11] 马民虎. 商用密码管制：从对立到包容之趋势分析[J]. 信息网络安全，2009（2）：61.

[12] BAKER S A. Decoding OECD guidelines for cryptography policy[J]. The International Lawyer， 1997，31（3）： 755.

[13] APEC Policy Support Unit. Fostering an Enabling Policy and Regulatory Environment in APEC for Data-Utilizing Businesses[EB/OL].（2021-10-05）[2024-01-14]. https：//www.apec.org/docs/default-source/publications/2019/7/fostering-an-enabling-policy-and-regulatory- environment-in-apec-for-data-utilizing-businesses/219_ psu_fostering-an-enabling-policy-and-regulatory-environ⁃ment-in-apec.pdf？sfvrsn=6a714dc_1.

[14] NEMOTO T， GONZÁLEZ J L. Digital trade inventory： rules， standards and principles[J]. OECD Trade Police Paper， 2021（7）： 251.

[15] 周念利，陈寰琦.基于《美加墨协定》分析数字贸易规则“美式模板”的深化及扩展[J].国际贸易问题，2019（9）：6.

[16] HAMLIN A， SCHER N， SHEN E， et al." Cryptography for big data security in Fei Hu. Big data： storage， sharing， and security[M]. Florida：CRC Press， 2016： 241-288.

[17] 周念利，吴希贤. 美式数字贸易规则的发展演进研究——基于《美日数字贸易协定》的视角[J]. 亚太经济， 2020（1）：48.

[18] 胡江宁. 论信息安全与创新政策的平衡——以美国对加密技术的立法管制为视角[J].科技与法律，2013（3）：16.

[19] 娄卫阳. 中国对接DEPA数字产品规则的挑战和应对策略[J].上海法学研究，2022，8（2）：68.

[20] 刘晗. 个人信息的加密维度：《密码法》实施后的密码应用与规制路径[J]. 清华法学，2022，16（3）：110.

New Developments in the Protection Rules for Cryptographic Products

in International Trade Agreements and China's Responses

Zhao Dan

（ Shenzhen Academy of Social Sciences， Guangdong Shenzhen 518000， China）

Abstract： In the digital economy era， cryptography serves as a fundamental technology for ensuring information security and is increasingly crucial. However， the widespread adoption of cryptography can also have implications for national security and public interests. As a result， the utilization and regulation of cryptography have consistently aimed to strike a balance between safeguarding private rights and meeting enforcement needs， accommodating market-driven forces while considering government intervention， as well as promoting trade freedom alongside national regulation. In recent years， high-quality international trade agreements such as CPTPP and DEPA have integrated regulations for ICT products utilizing cryptography， necessitating the reduction of unjustifiable trade restrictions on such products and fortifying the safeguarding of digital intellectual property. Simultaneously， these international trade agreements also uphold national cryptographic regulations， encompassing restrictive provisions such as exemptions for financial institutions， market exceptions， and allowances for law enforcement agencies. China is actively seeking membership in CPTPP and DEPA， and should also actively adhere to the regulations for cryptography products. In order to achieve this goal， China should vigorously promote commercial cryptography， enhance cooperation and information sharing with member countries of CPTPP and DEPA in the fields of cryptography and cybersecurity， and further refine policies and regulations for the management of cryptography.

Keywords： cryptography; international trade agreements; export control; CPTPP; DEPA

基金项目：2024年深圳市社会科学院专项科研课题“前海蛇口自由贸易试验片区对接国际高标准经贸规则路径研究”（2024AB009）；深圳哲学社会科学规划课题“深圳对接国际高标准经贸规则先行先试策略与具体路径研究”（SZ2024D017）

作者简介：赵" 丹（1988—），女，黑龙江鹤岗人，副研究员，法学博士，研究方向：国际法，竞争法。

1 密码技术是一个很庞大的体系，涉及数学、计算机科学、电子与通讯等诸多学科，不同学科对密码技术的概念理解有所不同。例如，在密码学领域，密码技术是研究数据加密、解密及变换的科学。在法学领域，按照中国国家密码管理局发布的关于密码政策的问答，密码技术是指采用特定变换的方法对信息等进行加密保护、安全认证的技术，包括密码编码、实现、协议、安全防护、分析破译，以及密钥产生、分发、传送、使用、销毁等技术。本文主要按照中国国家密码管理局采用的密码技术概念。

2 Council Resolution of 17 January1995 on the lawful interception of telecommunications， Official Journal C 329， 04/11/1996.

3 OECD， Recommendation of the Council concerning Guidelines for Cryptography Policy， OECD/LEGAL/0289.

4 OECD Working Party on Digital Security， Conclusion of the Fifth Review of the 1997 Recommendation concerning Guidelines on Cryptography Policy， DSTI/DPC/DS（2024）1/FINAL.

5 WTO， E-commerce negotiators finalize \"technical discussions\" and outline next steps， 25 April 2024.

6 DEPA第14模块“争端解决”的附件14-A中规定了第14模块的范围，第 14 模块（争端解决），包括附件 14-B（调停机制）和附件 14-C（仲裁机制），不得适用于：数字产品非歧视性待遇、使用密码技术的信息和通信技术产品、通过电子方式跨境传输信息以及（计算设施的位置）。

7 DEPA附件I—关于本协定的谅解规定，为进一步明确，特记录缔约方谅解，即下列条款不在本协定缔约方之间创设任何权利或义务，其中包括使用密码技术的ICT产品。

8 目前国际上最具影响力的三大国际标准组织：国际标准化组织（International Organization for Standardization，简称ISO）、国际电工委员会（International Electrotechnical Commission，简称IEC）、国际电信联盟（International Telecommunication Union，简称ITU）。ISO和IEC是非政府、非营利性的国际标准组织，ITU是以联合国机构身份存在的国际标准组织。