刘晗:个人信息的加密维度——《密码法》实施后的密码应用与规制路径

选择字号:   本文共阅读 98 次 更新时间:2022-08-02 16:49:55

进入专题: 密码法   信息安全   个人信息   保护规制  

刘晗  

   摘要:  密码技术的发展和应用关涉国家安全和个人信息权利,也关系到新一轮信息化建设的底层技术架构。随着《密码法》正式实施,我国已经形成了新的加密技术规制框架,将会促进密码在日常网络行为中的使用。这在通过加密技术保护个人信息的同时,也给个人信息保护的法律机制提出了挑战。一方面,在密码普遍使用之后,密码技术及其规制的发展将会影响到个人信息保护中法律对于去标识化和匿名化的判断;另一方面,在用户和平台更多使用加密技术保护个人信息后,公权力机关为履行法定职责而获取加密信息的需求将会与个人涉及信息的基本权利产生更大的张力,因而需要在新的语境下厘清个人自解密义务和网络运营商协助解密义务的具体程度。

   关键词:  密码法 信息安全 个人信息 保护规制

  

   一、导言

  

   密码是保护信息未经授权而无法获得的技术。在信息社会中,密码承担着双重使命:一方面,密码可以用于保护个人或者组织的信息在网络传播中不受截取、攻击、篡改和冒用;另一方面,作为国家安全体系的组成部分,密码致力于保护国家机密和国家安全。在以上双重意义上,密码是网络信息系统的“保护锁”。

  

   正因为密码的重要作用,随着我国互联网技术的快速发展和普遍应用,与密码相关的法治建设也有了重大进展。2019年10月26日,十三届全国人大常委会第十四次会议通过了《中华人民共和国密码法》(以下简称“《密码法》”),2020年1月1日开始正式施行。随着《密码法》的通过,我国已经形成密码领域的法律体系框架。[1]

  

   与此同时,随着互联网遍及社会生活的各个方面,也随着大数据、云计算等技术的快速发展,个人信息保护也日益成为热点问题,需要法律予以整体性的回应。2021年8月,我国出台了《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”),对于个人信息保护的法律规则进行了全面的规定。特别地,《个人信息保护法》规定了加密技术在个人信息保护中的作用。[2]

  

   在研究两部涉及互联网信息的重要法律时,值得追问的问题是:加密技术在个人信息法律保护的架构中居于何种地位?密码相关的法律和规制体系对于个人信息保护法律规则体系来说究竟意味着什么?在《密码法》明确赋予个人使用加密技术保护个人信息的权利之后,如何调适公权力维护国家安全、公共安全的需求和个人权利之间的平衡结构?对于这些问题,学界目前的研究尚属起步阶段。《密码法》颁布之前,仅在网络安全和信息安全领域有针对密码相关法律或政策的研究出现;[3]密码法出台之后,规制机构、法学界和法律界在媒体和自媒体上有一些介绍和解读出现,[4]但在法学专业学术刊物中尚付之阙如。

  

   本文基于对密码学基本原理和密码规制既有路径的考察,试图分析《密码法》所带来的中国密码规制的重大变化,并进一步揭示,《密码法》所涉及的并非只有加密技术这个具体领域的规制问题,它还与个人信息保护这个网络法的基础性问题相关,亟需深入的研究和具体的法律建构予以应对。

  

   二、代码即法律:密码的基本概念与规制路径

  

   (一)作为规制对象的“密码”与加密技术

  

   在密码学和《密码法》的意义上,密码并非用户日常使用的账号密码,如手机密码、社交账号密码、银行卡密码、在线支付密码和电子邮箱密码等。[5]《密码法》第2条规定:“本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。”所谓“特定变换的方法”,就是采用某种算法,把肉眼可辨的文字或者信息(“明文”)变换成无法直接辨认的符号或者符号序列(“密文”)。例如,信息加密系统中常用的SHA256算法可将任何信息转化成为一个长度相同,但内容独一无二的字符串,并且无法通过逆运算还原;对原文的任何细小改动都会导致数值改变。[6]此种算法即为《密码法》中所说的“密码”之典型例证。

  

   由是观之,《密码法》中所言的“密码”概念包括密码学、密码技术和密码产业。日常生活中人们所说的“密码”如同钥匙,用来打开具体的锁具。而《密码法》中的“密码”(Cryptograph)[7]则是指加密解密方面的技术、服务和产品,包括密码学和密码学的实际应用,因而更类似于制作各种锁的技术和学问、上锁和开锁服务,以及各种锁具和钥匙。因而《密码法》所管理的对象,是加密解密的底层技术架构、应用形态和相关产业;并且,《密码法》明确相关规制机构的职责,及其相应的法律关系。[8]

  

   《密码法》对于密码功能的界定反映了密码学技术的基本功能:加密和认证。正如《密码法》第2条所言,“密码”一方面能给传递信息提供“加密保护”,即将明文信息变成密文信息,防止信息泄露、被人窃取或者篡改;另一方面,密码也可以提供“安全认证”,即保证信息发送主体真实可靠,防止欺诈和误解。

  

   正是因为密码的加密和认证功能,密码作为人类信息传输安全的重要技术保证,几乎关涉一切社会领域——无论是政治场景、商业交易还是个人生活,密码都可以满足人们实际的安全需求和心理上的安全感。[9]在信息时代,人们可以使用经过加密或者带有加密功能的电子设备(如智能手机)或者软件(如操作系统、电子邮件程序)进行安全有效的通信,从而保护自己的私密领域不受外界侵犯,从而维护其人格尊严和披露信息的选择自由。可见,密码是个人隐私的有力保护手段,其在某种意义上甚至比法律制度更为有效。很多时候,窃密者即便能够突破法律或者违反法律,也因无法违反数学规律而导致其不可能窃密成功。值得注意的是,密码的使用也有其“暗面”:它也可以被犯罪分子、黑社会、颠覆力量乃至于恐怖主义者利用,用以躲避政府追查和法律制裁。

  

   现代密码学基于数学算法设计出了各种加密技术。加密过程依赖的算法,核心即是通过某种函数将信息转化为数值,从而实现从明文到密文的转换。[10]为了达到保密效果,现代密码学通常运用单向函数(one-way functions)或者陷门函数(trapdoor functions)[11]来保证运算的过程在工程上不可逆:明文经过函数运算得出的密文,无法通过同一函数反向计算从而得到明文。需要说明的是,此类函数算法也并非完全无懈可击,而只是要保证试图窃取信息的一方难以在短时间内暴力破解,也即“算法上不可行”(computationally infeasible)。一种算法是否能够达到此种程度,取决于现有的人类算力。[12]当下被认为是安全的加密算法,很可能随着人类算力的增强(例如量子计算的发展)而变得可以轻易攻破。

  

   实践中,信息网络系统特别依赖于不同于传统对称密码技术的非对称加密技术体系。比如,RSA加密算法可用于数字签名和数字证书等身份鉴别技术,保证身份的真实性和不可否认性,防止身份假冒和抵赖;同时还可通过数据摘要技术保证信息完整性,防止篡改。[13]如果说网络安全是整个互联网的免疫系统,密码便是其中的关键基因。

  

   之所以如此,是因为相比较传统的通讯方式(如邮政或者电话系统),互联网通信本身在安全和隐私保护上较为脆弱,其采取的是分布式网络和包交换通信方式。[14]如若试图保证互联网安全,就必须采用加密技术。对社会生活而言,加密技术在互联网时代就变得前所未有的重要和关键。

  

   (二)加密技术规制的基本形态:国际与比较的视角

  

   正是因为非对称密码的出现,针对密码的法律规制开始成为问题。[15]在非对称密码出现之前,密码技术基本属于国家垄断技术,主要用于军事通信和国家安全事务,并无法律规制方面的问题,而是军政机构的内部管理问题,且普遍采取严格管控的态度。随着非对称密码的出现以及大规模的商用化和民用化,密码技术从军政机构手中相对独立出来自行发展,密码的规制、政府的边界、个人的自由和产业的发展,才成为法律和政策上至关紧要的问题。

  

   从凯撒到美国国家安全局,密码在绝大多数情况下,都曾是主权者或现代主权国家的专用技术。非对称密码发明后,随着大规模的商业化应用,密码广泛成为军民两用产品(dualuse good),特别是伴随着互联网商业化和社会化运用,密码技术开始成为重要的商用与个人使用的技术。

  

   需要注意的是,在现代密码学中,技术并非完全中立,特别是非对称密码算法天然带有“强化隐私、弱化规制”的政治立场。由于非对称密码系统对个人信息和隐私的保密功能越来越强,私人通信之间开始形成一种相对不受公权力介入和干涉的自主空间,政府因此开始逐渐失去对密码技术的全面垄断。密码领域从政府控制领域,转变为处于政府和市场之间的规制区域。而且,发明非对称密码的密码学家基本都是信奉自由意志主义者(libertarian)和无政府主义的“密码朋克”(Cypherpunk),[16]倾向于抵制规制、塑造自由空间,使得政府规制本身更加成为问题。更加值得注意的是,非对称密码同样可用于非法活动的保密,公权力机关自然也有更强的动力规制密码。[17]

  

   于是,在政府对商用密码的规制和进出口限制问题上,产生了公权力和私领域之间的激烈冲突。在互联网商业化开始的20世纪90年代,美国曾经出现政府和密码学界的一场激烈冲突,常被称为“密码圣战”(Crypto Wars)。[18]一方坚持打击犯罪,希望在法律和技术上严格管控密码软件的国内使用和国际贸易;另一方则坚持言论自由和隐私权,极力反对政府的规制。这场战争最终以美国政府退缩而告一段落,由此也型构了当代美国密码的规制体系。[19]

  

   美国密码战揭示出来的重要信息是:在数字经济和信息时代,密码作为军民两用技术,同时涉及国家安全和个人隐私。正因为如此,国际社会和各国法律对密码都已经采取了规制措施,其基本原则可以概括为:对于涉及国家安全的密码采取严格管制态度,而对于涉及商业和个人使用的密码则放松管控。

  

首先,国际社会已经有相关协议对密码的进出口措施予以管理。1996年,33国共同签署的《瓦森纳协定》提出,“通过促进常规武器和双重用途货物和技术转让的透明度和更大的责任,为区域和国际安全与稳定作出贡献……”。具体而言,《瓦森纳协定》规定,对56位密钥长度以上的对称加密产品,以及512位密钥长度的非对称加密产品,签订协议各国不得设置出口限制。此外,瓦森纳协议还规定了个人使用豁免,即允许个人出国旅行时携带密码设备供个人使用。经济合作与发展组织(OECD)于1997年也制定了《经合组织密码政策指南》(OECD Guidelines for Cryptography Policy),[20]其基本目的是在维护国家安全和社会公共利益的前提下,促进密码的商业化和社会化使用。(点击此处阅读下一页)

    进入专题: 密码法   信息安全   个人信息   保护规制  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 宪法学与行政法学
本文链接:http://www.aisixiang.com/data/135686.html

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统