摘要:密碼是信息網(wǎng)絡(luò)安全保障的核心技術(shù),是促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展和保障數(shù)據(jù)安全的主要手段。在數(shù)字經(jīng)濟(jì)生態(tài)化背景下,數(shù)字法治建設(shè)需要確立安全與發(fā)展的系統(tǒng)思維。隨著《密碼法》的頒布實(shí)施,國家對其從嚴(yán)格管控逐步轉(zhuǎn)向放管結(jié)合和推廣應(yīng)用;修訂中的《商用密碼管理?xiàng)l例》予以回應(yīng),凸顯促進(jìn)商用密碼應(yīng)用與保障安全相統(tǒng)一的價(jià)值導(dǎo)向。我國應(yīng)建立商用密碼分類分級保護(hù)制度,健全事中、事后監(jiān)管體系,加強(qiáng)安全性評估和國家安全審查,明確相關(guān)主體安全義務(wù)及法律責(zé)任,并促進(jìn)刑行銜接,構(gòu)建商用密碼應(yīng)用安全保障的法律體系。
關(guān)鍵詞:商用密碼;數(shù)字法治;安全監(jiān)管;數(shù)據(jù)安全
我國立法機(jī)關(guān)于2019年10月通過的《密碼法》,規(guī)定商用密碼不屬于國家秘密,并從商用密碼生命周期的各個(gè)方面放寬管制,體現(xiàn)了國家對密碼管理實(shí)行“放管結(jié)合”的改革目標(biāo)和價(jià)值導(dǎo)向。與之相應(yīng),2020年8月《商用密碼管理?xiàng)l例》(簡稱“《條例》”)修訂稿出臺,目前處于向社會征求意見的過程中。《條例》修訂稿對1999年的《條例》進(jìn)行了較大幅度的修改,對商用密碼的管理、認(rèn)證和檢測等方面都進(jìn)行了較為具體的規(guī)定,由以前的嚴(yán)格把控轉(zhuǎn)向“放管并重”。值得關(guān)注的是,我國正在推進(jìn)人民幣數(shù)字化改革,區(qū)塊鏈?zhǔn)侵螖?shù)字貨幣運(yùn)行的核心技術(shù),商用密碼則是保障區(qū)塊鏈穩(wěn)定運(yùn)行的關(guān)鍵,能夠?yàn)榇龠M(jìn)數(shù)字貨幣應(yīng)用和保障安全提供基礎(chǔ)支撐。
然而,目前我國有關(guān)商用密碼應(yīng)用安全保障的法律法規(guī)仍存在不足,缺乏體系性和完整性,不能完全適應(yīng)數(shù)字生態(tài)發(fā)展和安全保障的法律需求。實(shí)踐中,因網(wǎng)絡(luò)數(shù)據(jù)服務(wù)提供商沒有采用密碼保護(hù)而導(dǎo)致數(shù)據(jù)“裸奔”的現(xiàn)象層出不窮,相關(guān)行政違法或刑事犯罪不斷滋生,嚴(yán)重侵害公民個(gè)人的信息數(shù)據(jù)權(quán)利、社會公共利益和國家安全。在數(shù)字經(jīng)濟(jì)時(shí)代,數(shù)據(jù)安全已然成為關(guān)乎國家安全、行業(yè)發(fā)展以及公民切身利益的重要課題。在我國數(shù)字經(jīng)濟(jì)發(fā)展和《密碼法》實(shí)施的背景下,如何基于安全與發(fā)展相融合的系統(tǒng)思維,完善商用密碼應(yīng)用的規(guī)范管理,構(gòu)建商用密碼應(yīng)用安全法律體系,實(shí)現(xiàn)國家政府“放管并重”的改革目標(biāo),是我國數(shù)字法治建設(shè)中必須面對和研究解決的重要問題。本文對此加以探討。
一、商用密碼應(yīng)用安全保障的理念與原則
(一)數(shù)字生態(tài)下發(fā)展與安全的系統(tǒng)思維
隨著云計(jì)算、人工智能、物聯(lián)網(wǎng)以及區(qū)塊鏈新技術(shù)逐漸融入人類的生產(chǎn)生活,數(shù)據(jù)作為關(guān)鍵的生產(chǎn)要素,其價(jià)值不斷凸顯,成為驅(qū)動數(shù)字經(jīng)濟(jì)新形態(tài)的中堅(jiān)力量。融合是數(shù)字經(jīng)濟(jì)的最大特點(diǎn),海量主體參與市場競爭與合作,相關(guān)行業(yè)組織共生共榮,線上線下融合成為常態(tài)。有學(xué)者提出,基于生態(tài)系統(tǒng)科學(xué)理論,可將數(shù)字經(jīng)濟(jì)視為一種具有與自然生態(tài)系統(tǒng)相類似特征的生態(tài)系統(tǒng);其具備多個(gè)亞系統(tǒng)和復(fù)雜要素,在結(jié)構(gòu)與功能方面聯(lián)系緊密,中樞企業(yè)、顧客種群和價(jià)值群落分別扮演著生產(chǎn)者、消費(fèi)者和分解者的角色,各群落間形成了協(xié)同共生、動態(tài)運(yùn)行的生態(tài)系統(tǒng)。a在信息化、數(shù)字化過程中,人、財(cái)、物等生產(chǎn)要素、人們的行為方式和生活方式都在發(fā)生著解組和重建,而跨行業(yè)、跨要素、跨區(qū)域的融合也會帶來相應(yīng)的監(jiān)管風(fēng)險(xiǎn)。
b傳統(tǒng)安全模式已經(jīng)向傳統(tǒng)與非傳統(tǒng)安全交織模式轉(zhuǎn)變,可預(yù)見與難以預(yù)見的各類風(fēng)險(xiǎn)數(shù)量都呈明顯增長的態(tài)勢,安全問題的廣度與復(fù)雜程度前所未有。數(shù)據(jù)不正當(dāng)競爭、數(shù)據(jù)壟斷、平臺侵權(quán)、算法歧視等問題頻發(fā)。圍繞數(shù)據(jù)泄露、數(shù)據(jù)權(quán)屬糾紛、數(shù)據(jù)跨境流動展開的數(shù)據(jù)安全事件層出不窮,成為威脅公民個(gè)人信息安全、阻滯數(shù)據(jù)產(chǎn)業(yè)發(fā)展、引發(fā)國家安全風(fēng)險(xiǎn)的重大問題。發(fā)展和安全可謂數(shù)字經(jīng)濟(jì)的“一體兩翼”。長期以來,我國采用“自上而下”的主導(dǎo)模式來實(shí)現(xiàn)對傳統(tǒng)風(fēng)險(xiǎn)的規(guī)制,將重點(diǎn)放在國家公權(quán)力機(jī)關(guān)上,弱化了企業(yè)等其他主體的參與力度。
無形之中將企業(yè)與國家公權(quán)力機(jī)關(guān)置于對立面,容易出現(xiàn)政府規(guī)制失靈的現(xiàn)象。c對各類技術(shù)的嚴(yán)格管制,不僅會阻礙其進(jìn)步,同時(shí)也會削弱公眾使用各類技術(shù)保護(hù)信息安全的能力。過分強(qiáng)調(diào)技術(shù)的安全性,忽視技術(shù)的發(fā)展以及公民的私權(quán)利,不僅會影響社會秩序、經(jīng)濟(jì)秩序,還可能危及國家安全。目前,有關(guān)商用密碼的配套法律法規(guī)并沒有完全解決安全與發(fā)展這一難題。基于安全與發(fā)展相統(tǒng)一的系統(tǒng)思維,我國應(yīng)當(dāng)積極開展數(shù)字經(jīng)濟(jì)立法,優(yōu)化市場環(huán)境,規(guī)范市場競爭,完善數(shù)字經(jīng)濟(jì)發(fā)展所需的各類規(guī)則體系。通過法律制度供給保障,促進(jìn)實(shí)現(xiàn)數(shù)據(jù)安全與數(shù)據(jù)發(fā)展的融合共進(jìn),支持?jǐn)?shù)字經(jīng)濟(jì)生態(tài)良性發(fā)展。
(二)商用密碼應(yīng)用“放管并重”的原則
近年來,區(qū)塊鏈技術(shù)為數(shù)字經(jīng)濟(jì)發(fā)展帶來了巨大的疊加效應(yīng)和乘數(shù)效應(yīng)。不同于以往的中心化信任體系,區(qū)塊鏈提出了弱中心、多中心信任機(jī)制,在數(shù)據(jù)和價(jià)值驅(qū)動的網(wǎng)絡(luò)時(shí)代和融合業(yè)務(wù)場景中發(fā)揮了巨大的應(yīng)用價(jià)值。從性質(zhì)上看,區(qū)塊鏈就是通過利用密碼技術(shù),將系統(tǒng)內(nèi)的有效交易進(jìn)行編碼的可附加賬本。密碼是人、機(jī)、物之間可信互認(rèn)、安全互通的技術(shù)基礎(chǔ)。通過對信息進(jìn)行重新編碼,在保證信息安全與完整的基礎(chǔ)上,還要保證信息的機(jī)密性。
須指出,自2008年開始涌現(xiàn)的數(shù)字加密貨幣始終是執(zhí)法部門的一大困擾。不僅產(chǎn)生了各類新型犯罪,犯罪分子還會利用數(shù)字加密貨幣進(jìn)行洗錢、恐怖活動等傳統(tǒng)犯罪活動。不斷的技術(shù)創(chuàng)新能夠推動社會進(jìn)步,但技術(shù)創(chuàng)新必須要對社會的有序運(yùn)轉(zhuǎn)負(fù)責(zé),符合技術(shù)倫理的要求。a在我國商用密碼產(chǎn)業(yè)生態(tài)持續(xù)壯大繁榮,相關(guān)從業(yè)單位達(dá)2000家,累計(jì)產(chǎn)值超千億元的背景下,更有必要推動密碼技術(shù)的應(yīng)用與健康發(fā)展。因此,我國制定并實(shí)施《密碼法》,彰顯了國家政府簡政放權(quán)、轉(zhuǎn)變職能、創(chuàng)新監(jiān)管的改革目標(biāo),拓寬了市場準(zhǔn)入的標(biāo)準(zhǔn),減少了行政許可事項(xiàng),注重事中、事后監(jiān)管。
《條例》修訂稿以專章規(guī)定商用密碼的科技創(chuàng)新和應(yīng)用促進(jìn)的制度內(nèi)容,進(jìn)一步貫徹了《密碼法》“放管并重”的立法原則。一方面,《密碼法》對產(chǎn)品的應(yīng)用、銷售、進(jìn)出口等關(guān)鍵問題和重要環(huán)節(jié)作出了具體規(guī)定,通過取消各類行政審批、行政許可來放寬市場準(zhǔn)入,在立法層面上徹底改變了之前對商用密碼嚴(yán)格管控的模式。
b另一方面,《密碼法》對重點(diǎn)事項(xiàng),如涉及國家安全、國計(jì)民生、社會公共利益等領(lǐng)域,規(guī)定了適度的管制措施;對商用密碼應(yīng)用的放開并非是徹底放開,而是將管控重點(diǎn)由之前的“管企業(yè)”轉(zhuǎn)向?yàn)?ldquo;管產(chǎn)品”。《密碼法》中第21條規(guī)定了“非歧視原則”,對商用密碼研、產(chǎn)、銷等相關(guān)的單位(其中包含外資企業(yè))都要平等地對待,標(biāo)志著我國開始放開對商用密碼運(yùn)營主體的限制,倡導(dǎo)外商根據(jù)商業(yè)運(yùn)行的規(guī)則和自由意愿在投資活動中進(jìn)行商用密碼方面的技術(shù)研討與合作。為了與《密碼法》緊密銜接,《條例》修訂稿的立法導(dǎo)向亦從嚴(yán)加管制開始轉(zhuǎn)向“放”與“管”的動態(tài)平衡,更加突出了促進(jìn)商用密碼發(fā)展的立法原意。現(xiàn)行《條例》對商用密碼從最初的科研階段到最后的保密管理階段都作出了嚴(yán)格規(guī)定。然而,如此嚴(yán)格的規(guī)定已經(jīng)無法適應(yīng)密碼技術(shù)和應(yīng)用的需要。
從《條例》修訂前后的內(nèi)容來看,后者增加了“科技創(chuàng)新與標(biāo)準(zhǔn)化”“應(yīng)用與促進(jìn)”等專章,旨在實(shí)現(xiàn)我國商用密碼自主創(chuàng)新,以及鼓勵(lì)成果產(chǎn)業(yè)化。主要體現(xiàn)在:⑴商用密碼進(jìn)出口清單制度。這對涉及商用密碼的企業(yè),尤其是外資企業(yè),無疑是一個(gè)利好消息。具有商用密碼研發(fā)技術(shù)的外商投資企業(yè),可以自由地參與到中國商用密碼的市場中來。在我國境內(nèi)發(fā)展的外商投資企業(yè),使用境外的商用密碼產(chǎn)品、服務(wù)不再需要通過繁瑣的審批備案程序,自行使用即可。大量具有商用密碼技術(shù)、服務(wù)的消費(fèi)品將無需通過密碼認(rèn)證程序即可進(jìn)入我國市場。
與此相應(yīng),《條例》修訂稿對商用密碼的進(jìn)出口作出規(guī)定,被列入《商用密碼進(jìn)口許可清單》和《商用密碼出口管制清單》的商用密碼需要向國務(wù)院商務(wù)主管部門申請領(lǐng)取兩用物項(xiàng)進(jìn)出口許可證,再向海關(guān)交驗(yàn)兩用物項(xiàng)進(jìn)出口許可證,辦理報(bào)關(guān)手續(xù)。實(shí)施進(jìn)出口清單制度,一方面有利于商用密碼技術(shù)的自由應(yīng)用與技術(shù)進(jìn)步,另一方面也在一定程度上阻斷了其他各國借進(jìn)出口商用密碼之便對我國進(jìn)行信息控制或者各類商用密碼公司借由進(jìn)出口商用密碼進(jìn)行違法犯罪活動的可能性。⑵商用密碼檢測認(rèn)證制度。
《密碼法》出臺以后,我國商用密碼的管理制度由之前的“審批制”改為“檢測認(rèn)證制”。只有涉及國家安全、國計(jì)民生、社會公共利益的,需強(qiáng)制檢測,且只有檢測合格的才能銷售或提供;對于其他商用密碼,國家鼓勵(lì)其自愿接受檢測認(rèn)證;對于使用網(wǎng)絡(luò)安全專用產(chǎn)品或關(guān)鍵設(shè)備的商用密碼,都需要獲得專門機(jī)構(gòu)的認(rèn)證,以證明商用密碼有關(guān)的服務(wù)或產(chǎn)品合格。
《條例》修訂稿在《密碼法》的基礎(chǔ)上,進(jìn)一步對檢測、認(rèn)證機(jī)構(gòu)的資質(zhì)要求、申請程序、主管機(jī)構(gòu)以及監(jiān)督管理作出了具體規(guī)定。這種分類管理模式對涉及國家和社會公共安全、國計(jì)民生的商用密碼堅(jiān)持嚴(yán)格完善的管控制度,而對其他商用密碼則在保障其安全使用的基礎(chǔ)上給予了充分的自由空間。⑶科技創(chuàng)新與應(yīng)用促進(jìn)制度。
《條例》修訂稿以專章的形式規(guī)定了一系列商用密碼應(yīng)用與促進(jìn)的內(nèi)容,采取激勵(lì)手段促進(jìn)商用密碼技術(shù)研發(fā)和市場活動的發(fā)展,完善相關(guān)知識產(chǎn)權(quán)保護(hù)體系。另外,《條例》修訂稿規(guī)定建立商用密碼應(yīng)用促進(jìn)的協(xié)調(diào)機(jī)制,加強(qiáng)統(tǒng)籌指導(dǎo)工作;支持各類信息系統(tǒng)使用商用密碼產(chǎn)品、服務(wù)以提升安全性等。
二、商用密碼應(yīng)用安全等級保護(hù)與安全監(jiān)管
《條例》修訂稿規(guī)定了國家安全審查、外商投資安全審查、進(jìn)出口許可與管制等內(nèi)容。值得注意的是,《密碼法》對商用密碼應(yīng)用安全實(shí)行等級化保護(hù),這是對商用密碼應(yīng)用實(shí)施監(jiān)管、評估和審查的前提和基礎(chǔ)。
三、商用密碼應(yīng)用安全保障法律義務(wù)與責(zé)任
(一)商用密碼應(yīng)用安全保障義務(wù)從國外商用密碼立法來看,各國政府無不重視公權(quán)力介入和監(jiān)管,以保障國家信息網(wǎng)絡(luò)安全。同時(shí),商用密碼的應(yīng)用也逐漸得到重視和法律保障。例如,美國政府曾要求在加密產(chǎn)品中加入密鑰恢復(fù)機(jī)制,以便法律執(zhí)行部門在需要時(shí)獲取信息明文,否則該產(chǎn)品就不被允許投入市場使用。
然而,此規(guī)定一經(jīng)發(fā)布就遭到業(yè)界人士以及公民自由團(tuán)體的強(qiáng)烈反對,理由是將密碼托管給執(zhí)法機(jī)構(gòu)的政策會導(dǎo)致公民隱私保護(hù)被削弱,最終美國政府在1999年放棄該政策。2001年施行的《愛國者法案》賦予了司法、情報(bào)部門很大程度的自由,允許其在不經(jīng)批準(zhǔn)的情況下監(jiān)控手機(jī)用戶的通訊信息,甚至是銀行信用記錄、互聯(lián)網(wǎng)通訊記錄。此規(guī)定大大擴(kuò)張了國家公權(quán)力機(jī)關(guān)的權(quán)力范圍,引發(fā)了不少爭議。因此,2015年美國開始施行《自由法案》,全面禁止政府大規(guī)模收集公民個(gè)人信息的行為,并規(guī)定只有在涉及恐怖活動調(diào)查時(shí),且有通訊運(yùn)營商提供數(shù)據(jù)的需要時(shí),司法機(jī)關(guān)才能在取得外國情報(bào)監(jiān)督法庭許可后,向通訊運(yùn)營商索要證據(jù)。在緊急情況下則無需獲取許可,即可直接獲取。a然而,僅依靠公權(quán)力機(jī)關(guān)不足以滿足監(jiān)管的需要。
數(shù)字技術(shù)論文:人工智能時(shí)代會計(jì)類大學(xué)生數(shù)字素養(yǎng)的培育探索
四、結(jié)語
目前,我國數(shù)字法治建設(shè)正在加緊進(jìn)行,除了《商用密碼管理?xiàng)l例》的修訂之外,《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等重要法律也呼之欲出。值得關(guān)注的是,我國法定貨幣數(shù)字化改革加速推進(jìn),《中國人民銀行法》修訂草案正在征求意見過程中。《密碼法》的實(shí)施與《商用密碼管理?xiàng)l例》的修訂,對于規(guī)范和保障區(qū)塊鏈和密碼技術(shù)的融合發(fā)展來說,無疑是重大利好,同時(shí)也為數(shù)字貨幣的發(fā)行提供了法律支撐。
然而,只有采用符合國家密碼管理法律和政策的密碼技術(shù),遵循相關(guān)密碼標(biāo)準(zhǔn)規(guī)范要求,維護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全、技術(shù)安全和應(yīng)用安全,才能為保障數(shù)字經(jīng)濟(jì)生態(tài)系統(tǒng)的良性運(yùn)行提供制度保障。從系統(tǒng)論角度,以數(shù)據(jù)安全為核心,相關(guān)民法、刑法、行政法及行業(yè)規(guī)范之間應(yīng)當(dāng)是銜接協(xié)調(diào)的,不同法律手段共同發(fā)揮作用。司法適用中應(yīng)盡量避免不同法律規(guī)范之間的重復(fù)和沖突,從法秩序統(tǒng)一性角度,將某種違法犯罪行為放置在整個(gè)法律保護(hù)體系之中加以考量,進(jìn)行違法性的層次性判斷,形成刑民關(guān)系、刑行關(guān)系的銜接協(xié)調(diào),形成商用密碼應(yīng)用促進(jìn)和安全保障的法律規(guī)范體系,為我國數(shù)字生態(tài)良性運(yùn)行提供“安全閥”和“協(xié)調(diào)器”,實(shí)現(xiàn)數(shù)字安全與發(fā)展的協(xié)調(diào)統(tǒng)一。
作者:張勇馮明昱
相關(guān)閱讀
