加密法则:一个新兴的法律框架

编者按:

本期我们组织翻译了Michael Anthony C. Dizon和Peter John Upson 于2021年11月发表在《Computer Law & Security Review》上的文章《加密法则:一个新兴的法律框架》,以期为读者提供研究与探讨加密法律规范体系的全新思路和视角。

文章围绕新兴的加密法律框架展开研究,其中回顾了构成这一法律框架的不同类型的法律,包括出口管制法律、网络犯罪相关的实体法律、刑事诉讼法、人权法和网络安全法律。文章根据法律所针对的三类规范对象或目标的差异(即加密技术、加密的相关主体、加密数据和通信),对这些法律进行分类分析,并从国际法和国内法两个层面进行了具体分析和探讨。文章认为,了解加密技术的法律框架对于确定目前如何规范这一技术以及如何改进这些规范而言至关重要。总而言之,加密法律框架是识别和研判加密法律和政策的现状及未来发展趋势的关键。

 

注:为便于排版,下文脚注均已略去。

 


 

加密法则:一个新兴的法律框架》

Michael Anthony C. Dizon, Peter John Upson

 

1 默示和隐含的加密法  

在当今的信息社会中,加密技术至关重要,其是人们在日常生活中使用的一系列通用信息和通信技术的基础。加密技术对于保护数据和通信的安全性和真实性,以及在一个数字化和互联的世界中保护人们的隐私而言至关重要。如果不使用加密技术,人们将无法在网络环境中安全且秘密地创建、存储、传输和处理信息。尽管加密技术不可或缺,但其仍然是一项极具争议的技术。这是因为它是一种既可用于合法也可用于非法手段和目的的双重用途技术。虽然加密可以保护安全和隐私,但其也会妨碍执法。例如,警方在搜集犯罪嫌疑人的证据时可能会遇到困难,因为犯罪嫌疑人利用加密技术使其数据和通讯无法被第三方理解、接触或使用。这种加密困境在经常被引用的“苹果诉联邦调查局”一案中得到了完美的体现。在该案中,美国联邦执法机构要求法院下达命令,强迫苹果公司创建一个移动操作系统的改进版本,以获取枪杀人质的犯罪嫌疑人的加密iphone访问权限。自从上世纪90年代所谓的密码战争以来,这个问题一直是一个老生常谈的话题,但这个问题却让争论双方都感到困惑。根据当前的事件和讨论,有关密码最紧迫、看似无法解决的法律和政策问题在于:加密是否可以或应当被规范? 人们普遍认为,除了关于两用货物和技术的出口管制法律之外,密码技术在全世界大多数法律中基本上属于一种不受管制的技术。虽然确实只有少数几个国际公约和国家法律对加密问题进行了直接阐述,但本文认为,已经存在一个适用于且规范加密的国际和国家法律体系。无论出于何种意图和目的,这些现有的法律和政策表明并体现了一个隐性的法律框架,其实际上可以控制加密技术的开发、访问和使用。认识到这一现有的加密法律框架的存在,对于了解这一技术目前如何受到规制以及今后如何能够更好地对其进行规制而言至关重要。在不了解法律的规定和对这项技术施加影响的情况下,制定新的加密法律法规是不明智的。 本文的主要目的是明确构成这一新兴的加密法律框架的法律。加密法律主要涉及网络犯罪、人权和网络安全。特别是以《网络犯罪公约》、国际和国家人权法及信息安全法为中心的法律框架。《网络犯罪公约》与加密的关系是可以理解的,因为其是一个具有影响力且具有权威性的国际法律制度,适用于涉及计算机、数据和系统的犯罪。由于加密的目的是保护数据和通讯的安全(即其机密性、完整性和真实性),因此国际和国家有关网络犯罪的法律和程序与加密规范的适用性也是很容易理解的。此外,人权法和网络安全法律是加密法律框架中一个同样重要的组成部分,因为其具体规定了制约或平衡网络犯罪法律所规定的权力和程序,以及对具体权利的保护。 为了避免研究范围过于宽泛,且同时提供实质性的深度分析,本文着重介绍了五眼情报联盟成员国的相关法律和欧洲法律。五眼情报联盟国家(澳大利亚、加拿大、新西兰、英国及美国)是一个合适的选择,因为他们最近就加密规范发表了一份国际联合声明,并引发了全球讨论。此外,五眼情报联盟国家及欧洲国家经常在科技进步、社会文化改革、政治辩论,以及相应的立法发展方面,围绕科技、安全及隐私的融合等议题展开讨论。《网络犯罪公约》、《欧盟通用数据保护条例》(GDPR)、法规和判例法的发展涉及数字环境下的搜索和监听,作为典型的例证,其对全球和各国国内的技术法律和政策产生了广泛而深远的影响。 本文对加密技术法律框架的阐述分为以下四个部分。第2部分简要阐明了加密规范的三个主要对象或目标,即加密技术、加密的相关主体以及加密数据的不同状态和类型,这是文章整体的分析框架。第3部分和第4部分研究了构成加密法律框架的主要法律类型,并解释了这些法律类型具体适用于上述三个规范对象或目标中的哪一个。第3部分侧重于实体性和程序性刑法和网络犯罪法,包括出口管制法律、网络犯罪法律和刑事诉讼法律。第4部分研究了适用于加密的国际人权法和网络安全法律。对于第3部分和第4部分讨论的每一类法律,都参考和分析了国际法和国内法的典型案例。第5部分总结反思了加密法律及政策的现状和未来可能的发展方向,以及新兴的加密法律框架可能发挥的关键作用。

 

2  加密规范的三个主要对象或目标:技术、主体和加密数据

在研究构成加密法律框架的法律之前,有必要首先厘清加密的含义,参与加密的开发、访问和使用的相关主体,以及加密的各种数据。加密本身存在多种元素和维度,其受到特定法律法规的规范。

(1)关于定义。加密技术是一种将信息或数据转换成密码或代码的技术,目的是保证数据的机密性、完整性和真实性。 (2)关于加密的相关主体。加密存在三个主要的参与者:开发者、用户和监管者。开发者包括密码网络和计算机科学家、程序员和工程师,他们在各种产品和服务中实现或使用加密。加密的第二个主体是用户。最后一个涉及加密的主体是通过立法和执法来控制和规范加密的监管者。 (3)加密可以应用于不同状态和类型的数据。数据包括三种基本状态:静态的数据、动态的数据和使用中的数据。静态的数据是指存储在物理或虚拟空间而不被访问、处理或使用的数据,这是一种数据“在某种存储设备上,并不通过协议等在网络上移动”的状态。当数据通过媒介、信道、网络或其他通信方式传输或发送时,数据就发生了移动,此时即为动态的数据。最后,使用中的数据,是指数据当前正在被访问、处理、使用或通过某种形式的计算或操作。数据的三种状态通常也被称为存储数据(静态数据)、通讯数据(动态数据)和处理数据(使用中的数据)。 此外,还存在其他各种类型的数据,这些数据与法律中定义或涉及的加密相关。例如,内容数据是指“通讯的内容,即通讯的意义或目的,或通讯所传达的信息或资讯(流量数据除外)”。流量数据(包括元数据)是指“与通讯有关的任何计算机数据,由构成通讯链一部分的计算机系统产生,显示通讯的来源、目的地、路线、时间、日期、大小、持续时间或基本服务”。用户信息被定义为“服务提供商以计算机数据或任何其他形式持有的与其服务的用户有关的信息,但流量数据或内容数据除外”。与加密有关的最后一种关键类型的数据是访问信息,其被描述为包括“代码、密码和加密密钥,以及任何能够访问计算机系统或任何其他数据存储设备的相关信息”。本文以下内容所讨论的不同加密法则值得注意,因为其特别关注并处理这三个规范对象或目标中的一个或多个:加密技术、加密的相关主体以及加密数据和通信。

 

3  实体性和程序性刑事法律和网络犯罪法律  

3.1 出口管制法律

构成加密法律框架的第一类法律是与常规武器和两用货物及技术有关的出口管制法律。出口管制法律对于前述三个规范对象或目标的规制主要集中于对加密技术的出口管制。作为少数几个规范明确且具体涉及加密技术的法律之一,此类法律揭示了加密技术的军事和间谍活动的起源和背景。规范加密技术输出的国际法律制度是《瓦森纳协议》(Wassenaar Arrangement)。《瓦森纳协议》的设立是为了“促进区域和国际安全与稳定,提高常规武器和两用货物及技术转让的透明度和责任”。其通过许可程序控制两类货物的出口以实现前述目标。第一类是常规武器(称为“军需品清单”),如火器、武器和装甲车辆;第二类是“两用货物和技术”,指可用于军事和民用目的的产品,如激光、导航设备和加密技术。《瓦森纳协议》的成员国基本是在协议确立的管控清单框架下通过国内立法制定和调整本国的管控项目。在英国,《2008年出口管制法案》编纂了两用物品和技术清单,其符合欧盟《关于两用物品的第428/2009号条例》的规定。对美国而言,加密的出口受其《出口管理法规》(Export Administration Regulations, EAR)限制。在新西兰,2018年《海关和货物税法》适用,受管制物品清单公布在新西兰战略物品清单上。

……

总括而言,就加密规范的三个对象或目标(即技术、主体和数据)而言,出口管制规则主要是规范加密技术的出口。《瓦森纳协议》并未禁止或规范加密技术的开发、生产、使用,甚至进口。作为科技法规,《瓦森纳协议》有一个明确的范围。由于《瓦森纳协议》提供了多项豁免,普通用户在日常生活中使用的大部分加密和加密技术将不受出口管制规则的规制。对于加密的各方主体而言,加密技术的开发人员会受到此类规则的影响,但仅限于加密技术的出口。用户不会受到直接影响,因为其不涉及加密技术的开发和出口。最后,此类规则也不影响对加密数据的访问和使用。

3.2 实体性网络犯罪法律

实体性网络犯罪法律属于第二类适用于加密的法律。对于前述三个规范对象或目标而言,此类法律涉及加密的技术和相关主体。然而,与特别关注加密技术出口的出口管制法律不同,实体性网络犯罪法律的规制范围更加广泛,其旨在规范加密技术的开发、生产和使用。

实践中,加密技术可以用来实施犯罪或隐匿犯罪活动。由于加密的主要目的是保护数据的机密性、完整性和真实性,因此,开发、拥有和使用加密技术应被视为合法。只有当加密技术主要是为了实施非法行为而设计或使用时,才构成滥用设备罪。《网络犯罪公约》的起草人支持这一观点,并做出解释“该装置必须具有用于实施犯罪的具体(即直接)意图”。因此,除非加密技术主要或专门为实施网络犯罪而设计或推广,否则人们一般可以自由开发、拥有和使用这种技术。举例来说,开发或使用加密即时通讯程序(例如信号)并不违法,因为其是为了确保普通用户的安全和私密通讯而设计的。然而,加密电话和通信服务,例如主要设计并故意出售给犯罪分子用于实施犯罪的网络服务,应当属于滥用设备罪的规制范围。

针对加密规范的三个对象或目标而言,滥用设备罪的实体性规范是少数直接且广泛规范加密技术的法律条款之一。虽然也存在处理非法获得的访问信息(例如被盗的密码和访问代码)的法律条款,但其并不关注加密数据本身。针对加密的各方主体而言,如果加密技术的开发者和使用者生产、分发、提供或拥有主要或特定用于实施犯罪的加密技术,其可能要承担刑事责任。针对监管机构而言,其可能构成滥用设备罪,且加密技术的开发者和使用者都有义务检举非法开发和使用加密技术的主体。

3.3 刑事诉讼法律

构成加密法律框架重要组成部分的法律还包括刑事诉讼法律,其主要体现在《网络犯罪公约》和各国的国内程序法中,执法人员可行使的与加密密切相关的三项主要权力及程序为:(1)搜查和扣押;(2)监听;(3)出示令状。这些执法权力对加密具有重大影响和作用,因为这些程序性权力可以用来获得对加密数据和通信的合法访问。因此,刑事诉讼法律影响了加密规范的所有三个对象或目标。首先,此类法律对加密技术的开发、获取和使用产生了重大影响。其次,对于加密的各方主体而言,监管机构可以对加密的开发者和用户施加这些程序性权力。最后,这些程序性权力的主要对象是加密数据和通信本身。

《网络犯罪公约》规定了关于打击网络犯罪的刑事诉讼和调查规则,并指出签署和批准加入《网络犯罪公约》的国家必须将上述规则纳入本国法律。在英国,现行法律已经涵盖了《网络犯罪公约》所要求的一些程序性权力,例如1984年《警察和刑事证据法》(Police and Criminal Evidence Act)、1990年《计算机滥用法》(Computer Misuse Act)、2002年《恐怖主义法》(Terrorism Act)和2002年《犯罪所得法》(Proceeds of Crime Act)等。为了履行国家根据《网络犯罪公约》承担的义务,必须制定相关立法以建立新的程序性权力,这些权力在2016年《调查权力法》(Investigatory Powers Act 2016, IPA)和2018年《调查权力(技术能力)条例》中有所规定。相较而言,澳大利亚和加拿大都制定了新的立法,修订了所有相关的现行立法,并根据一项综合法律设立了新的程序性权力。例如,2014 年《保护加拿大人免受网络犯罪法》(Protecting Canadians from Online Crime Act 2014)和澳大利亚2012年颁布的《网络犯罪立法修正案》(Cybercrime Legislation Amendment Act 2012)。在新西兰,1961年《犯罪法》(Crimes Act 1961)中包括关于网络犯罪的实体性规范条款,2012年《搜查和监听法》(Search and Surveillance Act 2012)则规定了程序规则。

作为程序法的刑事诉讼法律主要包括三个方面的内容:

(1)包括合理提供必要信息的搜查和扣押。搜查和扣押存储的计算机数据的权力适用于加密技术、加密的各方主体和加密数据这三个加密规范的对象或目标。加密数据(连同存储这些数据的计算机、系统和电子设备)可以通过物理或电子方式搜查、扣押、检查或复制。但问题在于,能够访问和理解加密数据的内容完全是另一回事。由于加密保护数据的保密性、完整性和真实性(包括防止未经授权的接收),因此加密可能会妨碍执法人员接收被搜查和扣押的计算机及其存储的数据。

(2)包括技术协助要求的监听。执法机构在加密方面可以使用的第二项主要权力和程序是监听。与搜查和扣押一样,监听也适用于加密规范的所有三个对象或目标。在加密技术和加密数据方面,搜查和扣押的重点是获取存储的数据(静态数据),而监听的重点则是拦截和收集通讯数据(动态数据)。

(3)包括提供用户信息的令状。令状是执法人员获得存储的数据(静态数据)的另一种程序性权力和措施,其会影响加密的各方主体和数据。《网络犯罪公约》第18条授权执法当局命令“某人提交其拥有或控制的存储于计算机系统或计算机数据存储介质中的特定计算机数据”或“服务提供者提交其拥有或控制的与此类服务有关的用户信息”。

 

4  人权法和网络安全法律  

前述讨论的刑事诉讼法律构成了加密法律框架的主要部分。然而,这些执法权力的一个组成部分和伴随而来的问题在于考虑和保护人的权利。实体法和执法权力旨在控制或规制加密规范的三个对象或目标,而人权法和网络安全法律则更关注对加密技术、加密的各方主体和数据的法律保护及保障。

 

4.1 人权法

人权法的范畴,特别是涉及个人或公民权利的人权法,是加密法则的重要组成部分。涉及加密的主要人权包括:(1)不受不合理搜查和扣押的权利;(2)隐私权;(3)反对自证其罪的权利;(4)言论自由。人权特别注重保护参与加密的个人或各方主体,及其加密数据和通信,以及其开发和使用的加密技术。

具体而言,(1)不受不合理的搜查和扣押,包括监听。不受不合理搜查和扣押的权利是权衡赋予执法人员的刑事权力和程序权力的一个重要方面,其与加密涉及的各方主体及其通信和数据相关,被认为是“保护财产、个人自由、隐私和尊严等价值观的混合体”的“广泛而普遍的权利”。

(2)隐私权。隐私权同样保护加密的各方主体和数据。虽然在实践中难以形成一个明确且普遍适用的隐私定义,但可以通过描述隐私的范围、要素和特征等以实现保护的目的。例如,隐私与个人自主、尊严和平等的人权目标密切相关。

(3)反对自证其罪的权利。反对自证其罪的权利或特权(包括被告享有的沉默权和其他权利)是与加密有关的重要人权。对于加密规范的三个对象或目标而言,这一权利重点适用于加密的各方主体和数据。沉默权是反对自证其罪的权利的联合权利,自证其罪的权利和其他“沉默豁免权”旨在“确保供述的可靠性”,“保护人们免受国家滥用权力的危害”,以及“承认个人固有的隐私权、自主权和尊严 ”。

(4)言论自由,包括交流和编写代码的权利。与上述三项人权不同,言论自由权通常与执法事项无关,也不直接受到执法事项的影响。然而,这种自由对于保护加密技术、加密的各方主体和数据而言至关重要。因为言论自由既是一项积极的权利,也是一项消极的权利。因此,言论自由包括不言论的权利。这一消极权利在刑事或司法程序中特别重要,因为它可以以不作为的形式主张“言论自由包括不表达意见或信息的权利”,即以这种方式行使言论自由权,其效果类似于赋予嫌疑人或被告人的传统沉默豁免权(例如,前述反对自证其罪的权利、沉默权或不被强迫作证或认罪的权利)。值得注意的是,言论自由更普遍地表达为一种积极的权利。关于加密,这项权利的行使可以采取两种形式:以代码进行通讯的权利和编写代码的权利。此外,言论自由权保护编写代码的行为以及代码本身。因此,这项权利为加密技术,特别是加密算法和软件提供了保护。在软件中体现或实现的加密是一种表达形式。无论是源代码还是机器代码,计算机程序都被视为文学作品并获得版权保护。

 

4.2 信息安全和数据保护法律

与人权法相同,网络安全法律(包括信息安全和数据保护法律)是与适用于加密的实体性和程序性刑事和网络犯罪法律相对应的另一类法律。人权法主要涉及人的因素(加密方面),但网络安全法律则更侧重于技术方面,特别是涉及加密的技术和数据的安全,因为此类法律要求或建议使用加密技术,以确保对个人数据的合法处理(数据保护),以及数据的保密性、完整性和真实性(信息安全)。

(1)数据保护

数据保护法律与隐私权密切相关,但前者在加密方面的范围更窄,技术性更强。数据保护可以被视为与特定类型的隐私有关,即信息隐私。这是因为,虽然隐私权涉及所有九种类型,但数据保护主要是确保自然人的个人数据得到合法处理。例如,可以提出隐私权问题,质疑作为刑事调查一部分进行的搜查或监听的合法性。相较而言,根据数据保护法律提供的许多法律保护受到一般性豁免的制约,允许执法当局获得和使用个人数据。例如,2020年新西兰《隐私法》(Privacy Act 2020)允许基于执法目的不遵守一些信息隐私原则(例如,“避免损害任何公共部门/机构的法律维护,包括影响对犯罪的预防、侦查、调查、起诉和惩罚”)。同样,欧盟GDPR规定,“主管当局为了预防、调查、侦查或起诉刑事犯罪或执行刑事处罚,包括防范和预防对公共安全的威胁而处理个人数据”不属于GDPR的规制范围。

(2)特定行业的网络安全法规

许多行业特定的法规和行业规范对信息安全和加密技术的使用做出了具体规定。这些规定与加密的三个规范对象或目标相关,但主要涉及加密技术以及开发者和提供者如何实施和利用加密技术来促进和保护信息安全。例如在医疗卫生领域,美国1996年颁布的《健康保险携带和责任法》(Health Insurance Portability and Accountability Act of 1996, HIPAA)即为典型例证。虽然 HIPAA安全规则并没有严格规定使用加密技术,但其承认这一技术的重要性并广泛推荐其应用。HIPAA安全规则规定,“受保护实体或业务伙伴必须... [ i ]建立加密和解密电子保护健康信息的机制”和“[ i ]建立机制,在认为适当时加密受保护的电子健康信息”。

(3)政府信息安全标准

值得注意的是,各国政府已经意识到加密对于信息安全以及保护其计算机系统和网络的重要性。在美国,美国国家标准与技术研究院(NIST)与美国商务部共同发布了加密模块的安全要求标准,作为其联邦信息处理标准的一部分。NIST的职责之一是“制定包括最低要求的标准和指南,以便为所有机构的运营和资产提供充分的信息安全保障”,但不包括国家安全系统。该标准适用于“所有使用基于密码学的安全系统来保护计算机和电信系统(包括语音系统)中敏感信息的联邦机构”,并且“规定了在安全系统中使用的密码模块的安全要求”。同时,该标准的涵盖范围十分广泛,因为“基于加密技术的安全系统可用于各种计算机和电信应用(例如,数据存储、访问控制和个人识别、网络通信、无线电、传真和视频),以及各种环境(例如,集中式计算机设施、办公室环境和恶劣环境)”。虽然该标准不是强制性的,但该标准“可供私营和商业机构”采用或使用。

综上所述,本部分所讨论的人权法和网络安全法律,对加密所涉及的技术、加密的各方主体和加密数据这三个规范对象或目标都具有重大影响。首先,信息安全法关系到加密技术本身的开发、应用和使用。根据这些法律,必须在特定情况下实施加密,并符合最低标准或规定的技术标准或规范。政府机构作为系统管理员或数据控制者必须同样使用加密技术以保障网络安全。其次,人权法和网络安全法律还保护各种状态和类型的数据,特别是静态数据和动态数据,这些法律规定了保护数据的权利和义务。最后,这些法律以不同的方式对加密的各方主体产生影响。一是对于用户而言,其获取和使用加密的权利受到特定的人权和自由的特别保护,例如反对自证其罪的权利和言论自由。二是对于开发者而言,其有义务通过在产品和服务中使用加密技术来保护用户的数据。三是监管机构也深受这些法律的影响。一方面,这些法律规定了对其执法权力的控制和限制。另一方面,监管机构还需要使用加密技术,以确保其管辖范围内的人们的信息安全和数据保护。监管机构自身也认识到了依赖和使用加密的必要性。但是在这一点上,值得特别评论的是监管机构与加密之间的关系。显然,监管机构和政府已充分意识到加密对于网络安全、数据保护和隐私的重要性。但具有讽刺意味的是,监管机构正是那些通过存在争议和问题的立法和政策提案(如强制性后门、强制密钥托管和加密中的幽灵协议)来坚决削弱或损害加密安全性的人。这种拟议的加密法律可能会遭到反对,因为其与加密的法律和法律框架不协调或不兼容。

 

5  加密法的现在和未来  

关于加密的法律困境或辩论通常围绕加密是否可以或应该受到管制的问题展开。本文通过论述表明,这一问题没有实际意义,因为加密已经成为现有法律法规的主题,因此研究重点就在于探讨加密是如何被法律控制和规范的问题。正如前文所讨论的,以下几类法律目前适用于加密:出口管制法律、实体性网络犯罪法律、刑事诉讼法律、人权法和网络安全法律(包括信息安全和数据保护法律)。这些法律共同构成了一个新兴的法律框架,在国际和国内两个层面规范加密技术的开发、访问和使用,其对包括加密技术、加密的各方主体、加密数据和通信在内的加密规范的三个对象或目标也有不同程度的影响。为了更好地了解现行的法律规则是什么,如何改进这些规则,以及未来加密规则的发展方向,明确这一法律框架是必要的。

加密的法律框架可以作为标准或指南,用以批判性地分析和评估任何拟议的加密法律法规的合法性、可接受性和可行性。例如,政府关于强制使用加密后门的建议,将与加密的法律框架相抵触。第一,虽然监控权和合法的访问规定赋予了监管机构拦截和收集通讯的权力。但是只有网络服务提供者有责任使其网络具备拦截功能,且网络服务提供者和通讯服务提供者协助执法义务的履行只涉及拦截通讯的行为,而不涉及通讯内容。这是因为,除非网络运营商和通信提供商本身提供了加密手段,否则其没有特定的法律义务来解密被拦截的加密通信。第二,关于人权法和网络安全法律,网络运营商和服务提供商的用户享有言论自由,且没有任何法律禁止用户使用代码进行交流或使用难以理解的语言。第三,政府授权的后门也有可能侵犯个人的隐私权和不受不合理搜查和扣押的权利。第四,后门会危害个人数据的安全,也会违反数据保护法律规定的法律原则。由此可见,加密的法律框架是解密并确定加密法律和政策的现状及未来方向的关键。

本期作者:方婷,赵婧琳

posted @ 2022-03-11 16:17  沃通WoTrus  阅读(252)  评论(0编辑  收藏  举报