信息經(jīng)濟(jì)全球化背景下的加密規(guī)則

汪夢(mèng)琪

摘 要：20世紀(jì)90年代以來(lái)，網(wǎng)絡(luò)和電子商務(wù)迅速崛起，加密術(shù)促進(jìn)經(jīng)濟(jì)發(fā)展，但同時(shí)也成了各種侵權(quán)的罪魁禍?zhǔn)祝踔潦请[藏違法文件的安全壁壘。為了協(xié)調(diào)這種利益，在網(wǎng)絡(luò)與電商迅速發(fā)展的這十年里，我國(guó)與其他許多國(guó)家一樣，開(kāi)始思考并試用各種不同的加密條例，并嘗試進(jìn)行國(guó)家調(diào)和。但此后，《商業(yè)密碼管理?xiàng)l例》并未再做調(diào)整，如果加密使用的腳步超越了加密政策調(diào)整的范圍，或者加密政策已經(jīng)不再適用經(jīng)濟(jì)的發(fā)展，那么個(gè)人和企業(yè)將會(huì)被這種加密政策所束縛。根據(jù)對(duì)世界加密管理情況及加密條例的分析，指出這些加密條例可能對(duì)IT企業(yè)以及跨國(guó)公司產(chǎn)生的消極影響，為我國(guó)加密管理提出建議并做實(shí)務(wù)設(shè)計(jì)。

關(guān)鍵詞：加密；加密規(guī)則；加密進(jìn)出口

中圖分類(lèi)號(hào)：D90-054 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1002-2589（2014）27-0110-02

隨著信息技術(shù)類(lèi)產(chǎn)品和服務(wù)逐漸占據(jù)世界貿(mào)易市場(chǎng)的份額增大，企業(yè)們也逐漸將對(duì)外直接投資的方向轉(zhuǎn)向高科技領(lǐng)域。侵犯知識(shí)產(chǎn)權(quán)的案例逐日遞增，信息安全的重要性也逐日呈現(xiàn)。加密的使用是強(qiáng)健信息安全系統(tǒng)的關(guān)鍵。使用加密能夠保護(hù)敏感信息，包括儲(chǔ)存或通信狀態(tài)中的敏感信息，同時(shí)，加密也是所有電子貿(mào)易和電子通訊系統(tǒng)（包含但不限于電子郵件和音頻通訊）的安全使者。有的國(guó)家限制加密產(chǎn)品的進(jìn)口或者出口，有的國(guó)家只限制加密技術(shù)的進(jìn)口，還有的國(guó)家甚至是禁止在其國(guó)家范圍內(nèi)使用加密術(shù)。這些條例給企業(yè)的跨國(guó)經(jīng)營(yíng)帶來(lái)了巨大的困難，尤其是那些禁止使用加密術(shù)的條例迫使企業(yè)不得不妥協(xié)并將其知識(shí)產(chǎn)權(quán)置于危險(xiǎn)之中。在美國(guó)，對(duì)于加密的使用幾乎沒(méi)有限制。但當(dāng)美國(guó)公司進(jìn)行海外經(jīng)營(yíng)時(shí)，使用加密術(shù)仍然要經(jīng)歷美國(guó)國(guó)內(nèi)出口法律條例的重重考驗(yàn)，并且還要受到出口國(guó)加密規(guī)則的各種限制。而在中國(guó)，對(duì)加密的進(jìn)出口及使用都有限制，這給我國(guó)的跨國(guó)貿(mào)易與經(jīng)濟(jì)發(fā)展造成了一定的阻礙。

一、世界加密規(guī)則研究

各國(guó)對(duì)加密術(shù)和加密產(chǎn)品的管制狀態(tài)分為三種：一是對(duì)進(jìn)出口完全不加限制。這樣的國(guó)家很少。二是需要許可證限制其進(jìn)出口和使用。這又可以進(jìn)一步分為：只限制出口，但是對(duì)于國(guó)內(nèi)使用加密術(shù)不加限制，例如美國(guó)，中國(guó)香港等；進(jìn)出口都限制，例如中國(guó)，伊朗。三是完全禁止加密術(shù)的進(jìn)出口和使用，例如伊拉克，白俄羅斯等。對(duì)此，“美國(guó)電子隱私資訊中心”和“全球網(wǎng)絡(luò)自由運(yùn)動(dòng)聯(lián)盟”對(duì)世界各國(guó)的加密進(jìn)出口限制情況做了一個(gè)報(bào)告，該報(bào)告用不同顏色來(lái)表示不同的限制水平，其中綠色代表無(wú)限制，黃色代表進(jìn)口或/和出口需要許可證，即受限制，而紅色則代表完全禁止。該表中紅色的只有蒙古、緬甸、朝鮮、伊拉克等少數(shù)民主權(quán)利保護(hù)不充分的國(guó)家。大多數(shù)國(guó)家為黃色，比如美國(guó)、中國(guó)、法國(guó)、日本等。而完全標(biāo)注為綠色的國(guó)家只有新加坡、加納和沙特阿拉伯。

由此可見(jiàn)，世界上多數(shù)的主要國(guó)家都對(duì)加密進(jìn)行了管理，只是管理的程度不同。加密需要被管理，因?yàn)榧用苁且豁?xiàng)既促進(jìn)商業(yè)，又能用于犯罪“雙向使用”的技術(shù)。美國(guó)在冷戰(zhàn)時(shí)期就被兩大對(duì)立意識(shí)所驅(qū)使率先開(kāi)始了加密的管理，美國(guó)認(rèn)為，加密術(shù)既可以用于高新企業(yè)與國(guó)外市場(chǎng)競(jìng)爭(zhēng)，也能被不法分子利用，甚至威脅國(guó)家安全。而其他國(guó)家也因?yàn)椴煌睦嬖蜷_(kāi)始監(jiān)管加密，例如，檢測(cè)和限制國(guó)內(nèi)語(yǔ)音通訊。這種利益鑄就的監(jiān)管條款給國(guó)際經(jīng)營(yíng)的公司帶來(lái)了不小的麻煩。

為了協(xié)調(diào)由不同進(jìn)出口條例帶來(lái)的沖突，許多國(guó)家間達(dá)成了瓦森納協(xié)定。瓦森納協(xié)定訂立的目的是“為了地區(qū)和國(guó)際安全和穩(wěn)定，提高成員國(guó)間常規(guī)武器、雙向使用物品及技術(shù)轉(zhuǎn)讓的透明度，并對(duì)轉(zhuǎn)讓的常規(guī)武器和雙向使用物品及技術(shù)負(fù)責(zé)……”加密術(shù)被列入了雙向使用物品名單之中。瓦森納協(xié)定規(guī)定對(duì)稱(chēng)加密產(chǎn)品最多只能使用56位密碼，而非對(duì)稱(chēng)加密產(chǎn)品至多使用512位密碼，參與國(guó)之間沒(méi)有出口限制。此外，瓦森納協(xié)定包括一項(xiàng)個(gè)人使用免責(zé)條款，允許在境外旅游時(shí)攜帶他們的加密設(shè)備為他們私人所用。但是，其他加密產(chǎn)品依舊屬于受限制行列。瓦森納協(xié)定設(shè)定了常規(guī)參數(shù)來(lái)控制成員國(guó)的進(jìn)出口；然而，瓦森納協(xié)定對(duì)成員國(guó)不具有約束力，并且其協(xié)定由成員國(guó)政府自由實(shí)現(xiàn)。

二、加密條例的影響

對(duì)加密術(shù)的限制至少對(duì)以下三個(gè)團(tuán)體不利：1）想要在國(guó)際市場(chǎng)中競(jìng)爭(zhēng)的信息技術(shù)與安全公司；2）想要利用加密術(shù)保護(hù)數(shù)據(jù)和通信安全的海外經(jīng)營(yíng)的公司；3）想要保護(hù)其數(shù)據(jù)免受社會(huì)團(tuán)體或政府干涉的限制使用加密術(shù)國(guó)家的團(tuán)體和個(gè)人。

（一）對(duì)IT產(chǎn)業(yè)的影響

各國(guó)不同的加密條例阻礙了信息技術(shù)和安全公司在國(guó)際新市場(chǎng)的擴(kuò)張。因?yàn)?，出口控制不僅要求IT公司遵照本國(guó)法律、要求出口，還要符合不同出口國(guó)的進(jìn)口要求，IT公司必須支付高額的費(fèi)用來(lái)調(diào)整。然后，就幾個(gè)主要市場(chǎng)的加密條例來(lái)說(shuō)（比如中國(guó)），其抑制加密服務(wù)的程度對(duì)信息安全公司是很不利的。

加密條例對(duì)IT公司的影響還體現(xiàn)在對(duì)加密軟件的市場(chǎng)限制。許多信息技術(shù)產(chǎn)品，服務(wù)和交易都建立在強(qiáng)加密術(shù)運(yùn)用的基礎(chǔ)上。例如，電子商務(wù)（例如美國(guó)的Amazon.com），當(dāng)初客戶(hù)每次網(wǎng)上購(gòu)物都要擔(dān)心信用卡信息泄漏，電子商務(wù)就不會(huì)迎來(lái)如今的繁榮興旺；如今這種擔(dān)心卻因?yàn)樾畔鬏斶^(guò)程中缺少?gòu)?qiáng)加密術(shù)的保護(hù)而名副其實(shí)，不得不說(shuō)，國(guó)家限制加密術(shù)的使用，阻礙了IT業(yè)和電子商務(wù)市場(chǎng)的發(fā)展。

（二）對(duì)海外交易活動(dòng)的影響

加密術(shù)的限制進(jìn)口和使用將導(dǎo)致出口的知識(shí)產(chǎn)權(quán)面臨巨大的風(fēng)險(xiǎn)。如果不能使用加密設(shè)備保護(hù)數(shù)據(jù)和通信安全，公司將會(huì)陷入兩難境地：對(duì)條例妥協(xié)不使用加密術(shù)，但會(huì)將其數(shù)據(jù)推向泄露的深淵；或者使用加密，但會(huì)讓自己受到法律的制裁。這在規(guī)定尚不明確和執(zhí)行不一致的國(guó)家，情況將會(huì)更糟，比如在中國(guó)，俄羅斯等；在這種情況下，這種監(jiān)管方面的不確定性將會(huì)導(dǎo)致以犧牲市場(chǎng)新來(lái)者為代價(jià)支持著名的企業(yè)，破壞市場(chǎng)競(jìng)爭(zhēng)，阻止新進(jìn)入者。

三、對(duì)中國(guó)海外經(jīng)營(yíng)公司的建議及實(shí)務(wù)設(shè)計(jì)

（一）遵照中國(guó)出口條例

中國(guó)出口條例具有復(fù)雜性，違反的后果也很?chē)?yán)峻。中國(guó)任何海外經(jīng)營(yíng)的公司，在海外銷(xiāo)售加密術(shù)產(chǎn)品或是將加密術(shù)作為產(chǎn)品出口銷(xiāo)售，除滿(mǎn)足我國(guó)《商用密碼管理?xiàng)l例》之外，都還應(yīng)該由公司成立合規(guī)部進(jìn)行內(nèi)部監(jiān)督管理。監(jiān)督管理的內(nèi)容可以參照美國(guó)商務(wù)部工業(yè)安全局發(fā)布的標(biāo)準(zhǔn)，其主要成分包括：1）“對(duì)遵守所有出口控制法律法規(guī)的重要性做書(shū)面的公司政策聲明”；2）內(nèi)部程序，根據(jù)其適用的監(jiān)管分類(lèi)來(lái)正確分類(lèi)所有產(chǎn)品，并確保將這種分類(lèi)告知其銷(xiāo)售人員；3）審查程序，審查客戶(hù)是否屬于對(duì)禁止/限制國(guó)家的列表，或禁止個(gè)人和實(shí)體的列表（特別指定國(guó)民）；4）監(jiān)督程序，監(jiān)督本國(guó)法人和海外子公司的活動(dòng)，及公司的海外子公司的活動(dòng)；5）在交付產(chǎn)品之前必須逐步完成以上程序，并在每次交付時(shí)都保持記錄下的程序步驟；6）培訓(xùn)并審計(jì)相關(guān)人員；7）對(duì)企業(yè)事務(wù)，包括他國(guó)并購(gòu)進(jìn)行盡職調(diào)查；8）所有違反或涉嫌違反條例的通知和執(zhí)行程序。美國(guó)由于實(shí)行加密產(chǎn)品出口自測(cè)，即使是疏忽大意造成的非法出口也會(huì)面臨嚴(yán)峻的懲罰，所以這些程序相對(duì)其他國(guó)家尤其嚴(yán)謹(jǐn)和規(guī)范，值得本國(guó)學(xué)習(xí)借鑒。

為了確保公司直接面向客戶(hù)的產(chǎn)品和服務(wù)輸出符合本國(guó)出口法律法規(guī)，公司必須采取措施來(lái)防止內(nèi)部系統(tǒng)，尤其是IT系統(tǒng)，避免由于疏忽大意而違反出口法。其中，出口的含義在本國(guó)的《商用密碼管理?xiàng)l例》中并沒(méi)有準(zhǔn)確的定義，借鑒美國(guó)加密出口條例中“出口”一詞的含義得到，出口是指：1）將數(shù)據(jù)或軟件以電子郵件或者其他通過(guò)電腦傳輸至國(guó)外接入點(diǎn)；2）輸出或存儲(chǔ)在如公司內(nèi)網(wǎng)、公用圖書(shū)館網(wǎng)絡(luò)數(shù)據(jù)庫(kù)中的信息被中國(guó)以外的區(qū)域人員訪問(wèn)；3）外國(guó)人對(duì)網(wǎng)絡(luò)數(shù)據(jù)和軟件的訪問(wèn)，包括在國(guó)外的外國(guó)人和居住在中國(guó)的外國(guó)人。因此，簡(jiǎn)單只是從中央服務(wù)器提供軟件安裝在聯(lián)網(wǎng)的個(gè)人電腦中-公司網(wǎng)絡(luò)的標(biāo)準(zhǔn)配置-如果該軟件包含了強(qiáng)大的加密術(shù)，便可以將該公司置于違反出口規(guī)定的境地，因?yàn)樵摴揪W(wǎng)絡(luò)接入了國(guó)外位置的訪問(wèn)?？?tīng)柾扑]“四重合規(guī)計(jì)劃”來(lái)管理這樣的系統(tǒng)：1）識(shí)別網(wǎng)絡(luò)上所有可能受出口管制的數(shù)據(jù)和軟件；2）隔離受出口管制的數(shù)據(jù)和軟件（例如，把他們放在一個(gè)單獨(dú)的網(wǎng)絡(luò)驅(qū)動(dòng)器）；3）限制非本國(guó)人和實(shí)體進(jìn)入那些隔離的區(qū)域；4）“直接向內(nèi)部指定的合規(guī)部管理人員申請(qǐng)獲得受管制的技術(shù)?！?/p>

（二）符合出口國(guó)加密規(guī)則

本國(guó)法尚且難守，國(guó)外法更加難循。許多國(guó)家對(duì)進(jìn)口、出口和使用加密沒(méi)有明確的規(guī)定指導(dǎo)方針，甚至那些有明確指導(dǎo)方針的國(guó)家經(jīng)常還有不一致的執(zhí)行結(jié)果。因此，依據(jù)各個(gè)國(guó)家監(jiān)管環(huán)境的不同、公司對(duì)該國(guó)的需求不同、在該管轄區(qū)缺少加密術(shù)的風(fēng)險(xiǎn)不同來(lái)制定國(guó)別政策非常重要。

若公司決定不在限制加密的國(guó)家使用加密術(shù)，則必須采取其他措施來(lái)保護(hù)其數(shù)據(jù)和知識(shí)產(chǎn)權(quán)不被泄露。其中最重要的注意事項(xiàng)就是要慎重選擇網(wǎng)絡(luò)連通提供商。在公司或個(gè)人可以使用強(qiáng)加密來(lái)保護(hù)網(wǎng)絡(luò)通信時(shí)，網(wǎng)絡(luò)提供商的可信度和可靠性似乎并不影響數(shù)據(jù)的安全性。但例如電子郵件和語(yǔ)音通信等數(shù)據(jù)只能以非加密的方式通過(guò)網(wǎng)絡(luò)，那么，選擇一個(gè)既值得信賴(lài)的，并具有較強(qiáng)的安全系統(tǒng)和適當(dāng)程序的網(wǎng)絡(luò)提供商就至關(guān)重要了。

再則，若公司選擇不使用加密術(shù)，則應(yīng)該在該國(guó)范圍內(nèi)減少可訪問(wèn)數(shù)據(jù)的總量，并降低可訪問(wèn)數(shù)據(jù)敏感程度。所以，筆者建議，公司第一步應(yīng)確定該國(guó)員工訪問(wèn)數(shù)據(jù)的范圍，將該國(guó)員工無(wú)須訪問(wèn)的數(shù)據(jù)轉(zhuǎn)移到安全的位置（如該公司母國(guó)的數(shù)據(jù)中心），不授予該國(guó)員工訪問(wèn)權(quán)限（這樣數(shù)據(jù)就不會(huì)傳輸至不安全的網(wǎng)絡(luò)鏈接）。國(guó)內(nèi)員工有權(quán)訪問(wèn)的數(shù)據(jù)應(yīng)該分為兩類(lèi)：只需要該國(guó)員工訪問(wèn)的數(shù)據(jù)和整個(gè)企業(yè)都需要訪問(wèn)的數(shù)據(jù)。前者應(yīng)該存儲(chǔ)在本地，作為預(yù)置程序或存儲(chǔ)于該國(guó)的企業(yè)實(shí)體，避免數(shù)據(jù)傳播于不安全的通信鏈接。若公司在該國(guó)有多個(gè)國(guó)內(nèi)位置，需要有一些數(shù)據(jù)在辦公室之間共享，請(qǐng)盡可能多地對(duì)數(shù)據(jù)進(jìn)行離線存儲(chǔ)。

如果一個(gè)公司在加密系統(tǒng)受限的國(guó)家使用加密術(shù)，也是變相賦予了政府獲得自己敏感企業(yè)信息的權(quán)限。此外，該國(guó)內(nèi)的用戶(hù)應(yīng)該定期更改密碼，舊的密碼應(yīng)該在密碼更改之后迅速失效，以確保在政府強(qiáng)制訪問(wèn)時(shí)獲得更少的數(shù)據(jù)。

參考文獻(xiàn)：

[1]Aimee Boram Yang.China in Global Trade： Proposed Data Protection Law and Encryption Standard Dispute [M].4 I/S：J.L.&POL'Y FOR INFO，2008.

[2]Nathan Saper.INTERNATIONAL CRYPTOGRAPHY REGULATION AND THE GLOBAL INFORMATION ECONOMY [M].Northwestern Journal of Technology and Intellectual Property， 2013.

[3]原浩.完善我國(guó)密碼進(jìn)出口監(jiān)管法律制度的建議（上）[J].信息網(wǎng)絡(luò)安全，2007（6）.

[4]原浩.完善我國(guó)密碼進(jìn)出口監(jiān)管法律制度的建議（下）[J].信息網(wǎng)絡(luò)安全，2007（6）.