《个人信息的加密维度:《密码法》实施后的密码应用与规制路径.docx》由会员分享,可在线阅读,更多相关《个人信息的加密维度:《密码法》实施后的密码应用与规制路径.docx(12页珍藏版)》请在第一文库网上搜索。
1、个人信息的加密维度:密码法实施后的密码应用与规制路径一、导言密码是保护信息未经授权而无法获得的技术。在信息社会中,密码承担着双重使命:一方面,密码可以用于保护个人或者组织的信息在网络传播中不受截取、攻击、篡改和冒用;另一方面,作为国家安全体系的组成部分,密码致力于保护国家机密和国家安全。在以上双重意义上,密码是网络信息系统的“保护锁”。正因为密码的重要作用,随着我国互联网技术的快速发展和普遍应用,与密码相关的法治建设也有了重大进展。2019年10月26日,十三届全国人大常委会笫十四次会议通过了中华人民共和国密码法(以下简称“密码法),2023年1月I日开始正式施行。阅着密码法的通过,我国已经形
2、成密码领域的法律体系框架。(1)在法律层面,除了密码法之外,还有国家安全法保守国家秘密法网络安全法反恐怖主义法电子签名法(2004年通过,2015年第-次修订,2019年第二次修订)和对外贸易法等相关法律中的相关条文:行政法规包括商用密码管理条例(国务院令第273号)技术进出口管理条例(国务院令第732号)和国务院关于取消一批行政许可事项的决定(国发(2017)46号)。部门规章层面,包括国家密码管理局制定和公布的商用密码产品生产管理规定(2005年通过,2017年12月1日修订)、商用密码科研管理规定(2005年通过,2017年12月1日修订)、电子认证服务密码管理办法3(2005年通过,2
3、017年12月1日修订)、国家密码管理局关于做好商用密码产品生产单位审批等4项行政许可取消后相关管理政策衔接工作的通知(国密局字(2017)336号)、电子政务电子认证服务业务规则规范(国密局字(2018)572号)等。此外,还有技术方面的国家标准,包括但不限于GM/T0054-2018信息系统密码应用基本要求CGM0044-2016SM9标识密码算法6GM/T0045-2016金融数据密码机技术规范等。与此同时,随着互联网遍及社会生活的各个方面,也随着大数据、云计算等技术的快速发展,个人信息保护也日益成为热点问题,需要法律予以整体性的回应。2023年8月,我国出台了中华人民共和国个人信息保护
4、法(以下简称“个人信息保护法),对于个人信息保护的法律规则进行了全面的规定。特别地,个人信息保护法规定了加密技术在个人信息保护中的作用。(2)该法第51条规定:“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影晌、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、熊饮、丢失:(三)采取相应的加密、去标识化等安全技术措施;。”在研究两部涉及互联网信息的重要法律时,值得追问的问题是:加密技术在个人信息法律保护的架构中居于何种地位?密码相关的法律和规制体系对于个人信息保护法律规则体系来说究竟意味着
5、什么?在G密码法明确赋予个人使用加密技术保护个人信息的权利之后,如何调适公权力维护国家安全、公共安全的需求和个人权利之间的平衡结构?对于这些问题,学界目前的研究尚属起步阶段。密码法颁布之前,仅在网络安全和信息安全领域有针对密码相关法律或政策的研究出现;(3)参见肖志宏:G我国密码法律体系柒构研究,载信息安全研究2018年第9期,第853-856页;冯潇洒:国外加卷与执法案例分析及其对我国密码立法的启示,载信息安全研究2018年第3期,第201-210页;马民虎、王新雷:试论商用密码管制法之动态国家利益观,栽信息网络安全2009年第3期,第4749页;马民虎、赵婵、冯立杨、王新雷:商用密码管制:
6、从对立到包容之趋势分析,载信息网络安全2009年第2期,第60-62页、第69页;马民虎、原浩:密钥托管与公民隐私权的国外立法,栽信息网络安全2005年第8期,第6263页;马民虎、原浩、许苏嘉:美欧密码进出口监管的.游戏“法则研究,载情报杂志2005年第1期,第9-11页;马民虎:美国密码出口监管政策的“欧盟现象,载信息网络安全2002年第3期,第34-36页;马民虎、杜立欣:内外有别的控制政策一美国密码政策演变轨迹,载国际贸易2001年第10期,第2123页;马民虎:美国密码政策的演变轨迹,载信息网络安全2001年第8期,第21-23页。密码法出台之后,规制机构、法学界和法律界在媒体和自媒
7、体上有一些介绍和解读出现,(4)参见陈亦超:构建国家安全法律制度体系的重要环节中华人民共和国密码法几个问题解读,我中国信息安全2019年第11期,第5659克;荆继武:学习密码法的体会与思考,载中国信息安全2019年第11期,第69-70页;张宝山:密码法“亮相”:助力密码工作法治化,载中国人大2019年第13期,第3536页。篇幅所限,自媒体上的解读文章恕不一一列举。但在法学专业学术刊物中尚付之阙如。本文基于对密码学基本原理和密码规制既有路径的考察,试图分析密码法所带来的中国密码规制的重大变化,并进一步揭示,密码法所涉及的并非只有加密技术这个具体领域的规制问题,它还与个人信息保护这个网络法的
8、基础性问题相关,亟需深入的研究和具体的法律建构予以应对。二、代码即法律:密码的基本概念与规制路径(一)作为规制对象的“密码”与加密技术在密码学和密码法的意义上,卷码并非用户日常使用的账号密码,如手机密码、社交版号密码、银行卡密码、在线支付密码和电子邮箱密码等。(5)日常生活中人们上网或者登录电子设备所使用的各种密码,在严格意义上只是口令”。密码法第2条规定:本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。1所谓“特定变换的方法,就是采用某种算法,把肉眼可辨的文字或者信息(明文)变换成无法直接辨认的符号或者符号序列(密文)。例如,信息加的系统中常用的SHA2
9、56算法可将任何信息转化成为一个长度相同,但内容独一无二的字符串,并且无法通过逆运算还原;对原文的任何细小改动都会导致数值改变。(6)该算法广泛运用在数字签名领域,成为了电子商务的技术支撑之一。例如,“密码法研究这个短语,通过SHA256算法计算出来的数值是4*e3a0690c4df031Odcf52cf3f3f62cbd5525186958615df5122849057e2b3e155,而“密码法研究”的数值是4445f274c9af5f95f3d2c31151dbd3f53a531fff64784c6bf3465735b98b80dcd,。两者之间蜃然只是一个书名号的变化,但数值却差别甚大
10、。此种算法即为密码法中所说的“密码”之典型例证。由是观之,密码法中所言的“密码”概念包括密码学、密码技术和密码产业。日常生活中人们所说的密码如同钥匙,用来打开具体的锁具。而密码法中的“密码”(Cryptograph)。)严格说起来,CryPtOgraPhy更应该被称为密码术工密碣术(CryPtOgraPhy)是一门用密码(CiPhe。、代码(Code)和相关技术来伪装信息的科学。密码(CiPher)是一种不论任何内容都可以加密的方法。代码(8de)则是一种编码系统,即一套预先安排好的意义映射系统。而广义上的密码学(CryptoIogy)是研究密码术(Cryptography)和密码分析(Cry
11、ptana1ysis,主要是破译密码)的学科。参见美JRiChardSpi11man:经典密码学与现代密码学,叶阮健、营英、张长富译,清华大学出版社2005年版,第3页。则是指加密解密方面的技术、服务和产品,包括密码学和密码学的实际应用,因而更类似于制作各种锁的技术和学问、上锁和开锁服务,以及各种锁具和钥匙。因而密码法所管理的对象,是加密解密的底层技术架构、应用形态和相关产业;并且,密码法明确相关规制机构的职责,及其相应的法律关系。(8)法律并非不保护个人日常生活使用的“密码,只是不在密码法里直接保护。如最高人民法院关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解稀(法释(2000)1
12、2号)第8条规定:“盗用他人公共信息网络上网账号、密码上网,造成他人电信资费携失数额较大的,依照刑法第二百六十四条的规定,以盗窃罪定罪处罚。盗号还可能构成侵权行为,如被盗号的主体遭受财产损失,或名誉损失,可主张民事赔偿。密码法对于密码功能的界定反映了密码学技术的基本功能:加密和认证。正如密码法第2条所言,密码”一方面能给传递信息提供“加密保护,即将明文信息变成密文信息,防止信息泄露、被人窃取或者篡改;另一方面,密码也可以提供“安全认证,即保证信息发送主体真实可靠,防止欺诈和误解。正是因为密码的加密和认证功能,密码作为人类信息传输安全的重要技术保证,几乎关涉一切社会领域一无论是政治场景、商业交易
13、还是个人生活,密码都可以满足人们实际的安全需求和心理上的安全感。(9)SeA.Michae1Froomkin1TheMetaphorIstheKey:Cryptography,theC1ipperChip,andtheConstitution.143UniversityofPennsy1vania1awReview709,718-719(1995).在信息时代,人们可以使用经过加密或者带有加密功能的电子设备(如智能手机)或者软件(如操作系统、电子邮件程序)进行安全有效的通信,从而保护自己的私密领域不受外界侵犯,从而维护其人格尊严和披露信息的选择自由。可见,卷码是个人隐私的有力保护手段,其在某种
14、意义上甚至比法律制度更为有效。很多时候,穿密者即便能够突破法律或者违反法律,也因无法违反数学规律而导致其不可能窃密成功。值得注意的是,密码的使用也有其暗面:它也可以被犯罪分子、黑社会、瓶覆力量乃至于恐怖主义者利用,国以躲避政府追查和法律制裁。现代密码学基于数学算法设计出了各种加密技术。加密过程依赖的算法,核心即是通过某种函数将信息转化为数值,从而实现从明文到密文的转换。(10)SeeA1fredJ.Menezes,Pau1C.vanOorschot&ScottA-Vanstone1HandbookofApp1iedCryptography,CRCPress,1996,pp.6-8.为了达到保密
15、效果,现代密码学通常运用单向函数(one-wayfunctions)或者陷门函数(trapdoorfunctions)(11)参见同上注,第8-9页。来保证运算的过程在工程上不可逆:明文经过函数运算得出的密文,无法通过同一函数反向计算从而得到明文。畲要说明的是,此类函数算法也并非完全无懈可击,而只是要保证试图窃取信息的一方难以在短时间内暴力破解,也即“算法上不可行”(8mputationa11yinfeasib1e)。一种算法是否能够达到此种程度,取决于现有的人类算力。(12)SeeJasbZiv,InSearchofaOne-WayFunction,inThomasM.Cover&B-Gopinatheds.,OpenProb1emsinCommunicationandComputation,Springer,1987,pp.104-105.当下被认为是安全的加密算法,很可能随着人类算力的增强(例如量子计算的发展)而变得可以轻易攻破。实践中,信息网络系统特别依赖于不同于传统对称密码技术的非对称加密技术体系。比如,RSA加密算法可用于数字签名和数字证书等身份筌别技术,保证身份的真实性和不可否认性,防止身份假冒和抵赖;同时还可通过数据摘要技术保证信息完整性,防止篡改。(13)参见左朝胜、马军峰、徐晓茅页、高建远:铸造国家政务安全的云盾牌,载搜狐网2018年3月7日,httpJW