二、代码即法律:密码的基本概念与规制路径 三、旧瓶新酒:密码法律体系的基础框架 四、法律前沿:加密技术、规制与个人信息保护 密码是保护信息未经授权而无法获得的技术。在信息社会中,密码承担着双重使命:一方面,密码可以用于保护个人或者组织的信息在网络传播中不受截取、攻击、篡改和冒用;另一方面,作为国家安全体系的组成部分,密码致力于保护国家机密和国家安全。在以上双重意义上,密码是网络信息系统的“保护锁”。 正因为密码的重要作用,随着我国互联网技术的快速发展和普遍应用,与密码相关的法治建设也有了重大进展。2019年10月26日,十三届全国人大常委会第十四次会议通过了《中华人民共和国密码法》(以下简称“《密码法》”),2020年1月1日开始正式施行。随着《密码法》的通过,我国已经形成密码领域的法律体系框架。① 与此同时,随着互联网遍及社会生活的各个方面,也随着大数据、云计算等技术的快速发展,个人信息保护也日益成为热点问题,需要法律予以整体性的回应。2021年8月,我国出台了《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”),对于个人信息保护的法律规则进行了全面的规定。特别地,《个人信息保护法》规定了加密技术在个人信息保护中的作用。② 在研究两部涉及互联网信息的重要法律时,值得追问的问题是:加密技术在个人信息法律保护的架构中居于何种地位?密码相关的法律和规制体系对于个人信息保护法律规则体系来说究竟意味着什么?在《密码法》明确赋予个人使用加密技术保护个人信息的权利之后,如何调适公权力维护国家安全、公共安全的需求和个人权利之间的平衡结构?对于这些问题,学界目前的研究尚属起步阶段。《密码法》颁布之前,仅在网络安全和信息安全领域有针对密码相关法律或政策的研究出现;③密码法出台之后,规制机构、法学界和法律界在媒体和自媒体上有一些介绍和解读出现,④但在法学专业学术刊物中尚付之阙如。 本文基于对密码学基本原理和密码规制既有路径的考察,试图分析《密码法》所带来的中国密码规制的重大变化,并进一步揭示,《密码法》所涉及的并非只有加密技术这个具体领域的规制问题,它还与个人信息保护这个网络法的基础性问题相关,亟需深入的研究和具体的法律建构予以应对。 二、代码即法律:密码的基本概念与规制路径 (一)作为规制对象的“密码”与加密技术 在密码学和《密码法》的意义上,密码并非用户日常使用的账号密码,如手机密码、社交账号密码、银行卡密码、在线支付密码和电子邮箱密码等。⑤《密码法》第2条规定:“本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。”所谓“特定变换的方法”,就是采用某种算法,把肉眼可辨的文字或者信息(“明文”)变换成无法直接辨认的符号或者符号序列(“密文”)。例如,信息加密系统中常用的SHA256算法可将任何信息转化成为一个长度相同,但内容独一无二的字符串,并且无法通过逆运算还原;对原文的任何细小改动都会导致数值改变。⑥此种算法即为《密码法》中所说的“密码”之典型例证。 由是观之,《密码法》中所言的“密码”概念包括密码学、密码技术和密码产业。日常生活中人们所说的“密码”如同钥匙,用来打开具体的锁具。而《密码法》中的“密码”(Cryptograph)⑦则是指加密解密方面的技术、服务和产品,包括密码学和密码学的实际应用,因而更类似于制作各种锁的技术和学问、上锁和开锁服务,以及各种锁具和钥匙。因而《密码法》所管理的对象,是加密解密的底层技术架构、应用形态和相关产业;并且,《密码法》明确相关规制机构的职责,及其相应的法律关系。⑧ 《密码法》对于密码功能的界定反映了密码学技术的基本功能:加密和认证。正如《密码法》第2条所言,“密码”一方面能给传递信息提供“加密保护”,即将明文信息变成密文信息,防止信息泄露、被人窃取或者篡改;另一方面,密码也可以提供“安全认证”,即保证信息发送主体真实可靠,防止欺诈和误解。 正是因为密码的加密和认证功能,密码作为人类信息传输安全的重要技术保证,几乎关涉一切社会领域——无论是政治场景、商业交易还是个人生活,密码都可以满足人们实际的安全需求和心理上的安全感。⑨在信息时代,人们可以使用经过加密或者带有加密功能的电子设备(如智能手机)或者软件(如操作系统、电子邮件程序)进行安全有效的通信,从而保护自己的私密领域不受外界侵犯,从而维护其人格尊严和披露信息的选择自由。可见,密码是个人隐私的有力保护手段,其在某种意义上甚至比法律制度更为有效。很多时候,窃密者即便能够突破法律或者违反法律,也因无法违反数学规律而导致其不可能窃密成功。值得注意的是,密码的使用也有其“暗面”:它也可以被犯罪分子、黑社会、颠覆力量乃至于恐怖主义者利用,用以躲避政府追查和法律制裁。 现代密码学基于数学算法设计出了各种加密技术。加密过程依赖的算法,核心即是通过某种函数将信息转化为数值,从而实现从明文到密文的转换。⑩为了达到保密效果,现代密码学通常运用单向函数(one-way functions)或者陷门函数(trapdoor functions)(11)来保证运算的过程在工程上不可逆:明文经过函数运算得出的密文,无法通过同一函数反向计算从而得到明文。需要说明的是,此类函数算法也并非完全无懈可击,而只是要保证试图窃取信息的一方难以在短时间内暴力破解,也即“算法上不可行”(computationally infeasible)。一种算法是否能够达到此种程度,取决于现有的人类算力。(12)当下被认为是安全的加密算法,很可能随着人类算力的增强(例如量子计算的发展)而变得可以轻易攻破。
