汪夢琪

摘 要：20世紀90年代以來，網(wǎng)絡和電子商務迅速崛起，加密術促進經(jīng)濟發(fā)展，但同時也成了各種侵權的罪魁禍首，甚至是隱藏違法文件的安全壁壘。為了協(xié)調這種利益，在網(wǎng)絡與電商迅速發(fā)展的這十年里，我國與其他許多國家一樣，開始思考并試用各種不同的加密條例，并嘗試進行國家調和。但此后，《商業(yè)密碼管理條例》并未再做調整，如果加密使用的腳步超越了加密政策調整的范圍，或者加密政策已經(jīng)不再適用經(jīng)濟的發(fā)展，那么個人和企業(yè)將會被這種加密政策所束縛。根據(jù)對世界加密管理情況及加密條例的分析，指出這些加密條例可能對IT企業(yè)以及跨國公司產生的消極影響，為我國加密管理提出建議并做實務設計。

關鍵詞：加密；加密規(guī)則；加密進出口

中圖分類號：D90-054 文獻標志碼：A 文章編號：1002-2589（2014）27-0110-02

隨著信息技術類產品和服務逐漸占據(jù)世界貿易市場的份額增大，企業(yè)們也逐漸將對外直接投資的方向轉向高科技領域。侵犯知識產權的案例逐日遞增，信息安全的重要性也逐日呈現(xiàn)。加密的使用是強健信息安全系統(tǒng)的關鍵。使用加密能夠保護敏感信息，包括儲存或通信狀態(tài)中的敏感信息，同時，加密也是所有電子貿易和電子通訊系統(tǒng)（包含但不限于電子郵件和音頻通訊）的安全使者。有的國家限制加密產品的進口或者出口，有的國家只限制加密技術的進口，還有的國家甚至是禁止在其國家范圍內使用加密術。這些條例給企業(yè)的跨國經(jīng)營帶來了巨大的困難，尤其是那些禁止使用加密術的條例迫使企業(yè)不得不妥協(xié)并將其知識產權置于危險之中。在美國，對于加密的使用幾乎沒有限制。但當美國公司進行海外經(jīng)營時，使用加密術仍然要經(jīng)歷美國國內出口法律條例的重重考驗，并且還要受到出口國加密規(guī)則的各種限制。而在中國，對加密的進出口及使用都有限制，這給我國的跨國貿易與經(jīng)濟發(fā)展造成了一定的阻礙。

一、世界加密規(guī)則研究

各國對加密術和加密產品的管制狀態(tài)分為三種：一是對進出口完全不加限制。這樣的國家很少。二是需要許可證限制其進出口和使用。這又可以進一步分為：只限制出口，但是對于國內使用加密術不加限制，例如美國，中國香港等；進出口都限制，例如中國，伊朗。三是完全禁止加密術的進出口和使用，例如伊拉克，白俄羅斯等。對此，“美國電子隱私資訊中心”和“全球網(wǎng)絡自由運動聯(lián)盟”對世界各國的加密進出口限制情況做了一個報告，該報告用不同顏色來表示不同的限制水平，其中綠色代表無限制，黃色代表進口或/和出口需要許可證，即受限制，而紅色則代表完全禁止。該表中紅色的只有蒙古、緬甸、朝鮮、伊拉克等少數(shù)民主權利保護不充分的國家。大多數(shù)國家為黃色，比如美國、中國、法國、日本等。而完全標注為綠色的國家只有新加坡、加納和沙特阿拉伯。

由此可見，世界上多數(shù)的主要國家都對加密進行了管理，只是管理的程度不同。加密需要被管理，因為加密是一項既促進商業(yè)，又能用于犯罪“雙向使用”的技術。美國在冷戰(zhàn)時期就被兩大對立意識所驅使率先開始了加密的管理，美國認為，加密術既可以用于高新企業(yè)與國外市場競爭，也能被不法分子利用，甚至威脅國家安全。而其他國家也因為不同的利益原因開始監(jiān)管加密，例如，檢測和限制國內語音通訊。這種利益鑄就的監(jiān)管條款給國際經(jīng)營的公司帶來了不小的麻煩。

為了協(xié)調由不同進出口條例帶來的沖突，許多國家間達成了瓦森納協(xié)定。瓦森納協(xié)定訂立的目的是“為了地區(qū)和國際安全和穩(wěn)定，提高成員國間常規(guī)武器、雙向使用物品及技術轉讓的透明度，并對轉讓的常規(guī)武器和雙向使用物品及技術負責……”加密術被列入了雙向使用物品名單之中。瓦森納協(xié)定規(guī)定對稱加密產品最多只能使用56位密碼，而非對稱加密產品至多使用512位密碼，參與國之間沒有出口限制。此外，瓦森納協(xié)定包括一項個人使用免責條款，允許在境外旅游時攜帶他們的加密設備為他們私人所用。但是，其他加密產品依舊屬于受限制行列。瓦森納協(xié)定設定了常規(guī)參數(shù)來控制成員國的進出口；然而，瓦森納協(xié)定對成員國不具有約束力，并且其協(xié)定由成員國政府自由實現(xiàn)。

二、加密條例的影響

對加密術的限制至少對以下三個團體不利：1）想要在國際市場中競爭的信息技術與安全公司；2）想要利用加密術保護數(shù)據(jù)和通信安全的海外經(jīng)營的公司；3）想要保護其數(shù)據(jù)免受社會團體或政府干涉的限制使用加密術國家的團體和個人。

（一）對IT產業(yè)的影響

各國不同的加密條例阻礙了信息技術和安全公司在國際新市場的擴張。因為，出口控制不僅要求IT公司遵照本國法律、要求出口，還要符合不同出口國的進口要求，IT公司必須支付高額的費用來調整。然后，就幾個主要市場的加密條例來說（比如中國），其抑制加密服務的程度對信息安全公司是很不利的。

加密條例對IT公司的影響還體現(xiàn)在對加密軟件的市場限制。許多信息技術產品，服務和交易都建立在強加密術運用的基礎上。例如，電子商務（例如美國的Amazon.com），當初客戶每次網(wǎng)上購物都要擔心信用卡信息泄漏，電子商務就不會迎來如今的繁榮興旺；如今這種擔心卻因為信息傳輸過程中缺少強加密術的保護而名副其實，不得不說，國家限制加密術的使用，阻礙了IT業(yè)和電子商務市場的發(fā)展。

（二）對海外交易活動的影響

加密術的限制進口和使用將導致出口的知識產權面臨巨大的風險。如果不能使用加密設備保護數(shù)據(jù)和通信安全，公司將會陷入兩難境地：對條例妥協(xié)不使用加密術，但會將其數(shù)據(jù)推向泄露的深淵；或者使用加密，但會讓自己受到法律的制裁。這在規(guī)定尚不明確和執(zhí)行不一致的國家，情況將會更糟，比如在中國，俄羅斯等；在這種情況下，這種監(jiān)管方面的不確定性將會導致以犧牲市場新來者為代價支持著名的企業(yè)，破壞市場競爭，阻止新進入者。

三、對中國海外經(jīng)營公司的建議及實務設計

（一）遵照中國出口條例

中國出口條例具有復雜性，違反的后果也很嚴峻。中國任何海外經(jīng)營的公司，在海外銷售加密術產品或是將加密術作為產品出口銷售，除滿足我國《商用密碼管理條例》之外，都還應該由公司成立合規(guī)部進行內部監(jiān)督管理。監(jiān)督管理的內容可以參照美國商務部工業(yè)安全局發(fā)布的標準，其主要成分包括：1）“對遵守所有出口控制法律法規(guī)的重要性做書面的公司政策聲明”；2）內部程序，根據(jù)其適用的監(jiān)管分類來正確分類所有產品，并確保將這種分類告知其銷售人員；3）審查程序，審查客戶是否屬于對禁止/限制國家的列表，或禁止個人和實體的列表（特別指定國民）；4）監(jiān)督程序，監(jiān)督本國法人和海外子公司的活動，及公司的海外子公司的活動；5）在交付產品之前必須逐步完成以上程序，并在每次交付時都保持記錄下的程序步驟；6）培訓并審計相關人員；7）對企業(yè)事務，包括他國并購進行盡職調查；8）所有違反或涉嫌違反條例的通知和執(zhí)行程序。美國由于實行加密產品出口自測，即使是疏忽大意造成的非法出口也會面臨嚴峻的懲罰，所以這些程序相對其他國家尤其嚴謹和規(guī)范，值得本國學習借鑒。

為了確保公司直接面向客戶的產品和服務輸出符合本國出口法律法規(guī)，公司必須采取措施來防止內部系統(tǒng)，尤其是IT系統(tǒng)，避免由于疏忽大意而違反出口法。其中，出口的含義在本國的《商用密碼管理條例》中并沒有準確的定義，借鑒美國加密出口條例中“出口”一詞的含義得到，出口是指：1）將數(shù)據(jù)或軟件以電子郵件或者其他通過電腦傳輸至國外接入點；2）輸出或存儲在如公司內網(wǎng)、公用圖書館網(wǎng)絡數(shù)據(jù)庫中的信息被中國以外的區(qū)域人員訪問；3）外國人對網(wǎng)絡數(shù)據(jù)和軟件的訪問，包括在國外的外國人和居住在中國的外國人。因此，簡單只是從中央服務器提供軟件安裝在聯(lián)網(wǎng)的個人電腦中-公司網(wǎng)絡的標準配置-如果該軟件包含了強大的加密術，便可以將該公司置于違反出口規(guī)定的境地，因為該公司網(wǎng)絡接入了國外位置的訪問?？聽柾扑]“四重合規(guī)計劃”來管理這樣的系統(tǒng)：1）識別網(wǎng)絡上所有可能受出口管制的數(shù)據(jù)和軟件；2）隔離受出口管制的數(shù)據(jù)和軟件（例如，把他們放在一個單獨的網(wǎng)絡驅動器）；3）限制非本國人和實體進入那些隔離的區(qū)域；4）“直接向內部指定的合規(guī)部管理人員申請獲得受管制的技術。”

（二）符合出口國加密規(guī)則

本國法尚且難守，國外法更加難循。許多國家對進口、出口和使用加密沒有明確的規(guī)定指導方針，甚至那些有明確指導方針的國家經(jīng)常還有不一致的執(zhí)行結果。因此，依據(jù)各個國家監(jiān)管環(huán)境的不同、公司對該國的需求不同、在該管轄區(qū)缺少加密術的風險不同來制定國別政策非常重要。

若公司決定不在限制加密的國家使用加密術，則必須采取其他措施來保護其數(shù)據(jù)和知識產權不被泄露。其中最重要的注意事項就是要慎重選擇網(wǎng)絡連通提供商。在公司或個人可以使用強加密來保護網(wǎng)絡通信時，網(wǎng)絡提供商的可信度和可靠性似乎并不影響數(shù)據(jù)的安全性。但例如電子郵件和語音通信等數(shù)據(jù)只能以非加密的方式通過網(wǎng)絡，那么，選擇一個既值得信賴的，并具有較強的安全系統(tǒng)和適當程序的網(wǎng)絡提供商就至關重要了。

再則，若公司選擇不使用加密術，則應該在該國范圍內減少可訪問數(shù)據(jù)的總量，并降低可訪問數(shù)據(jù)敏感程度。所以，筆者建議，公司第一步應確定該國員工訪問數(shù)據(jù)的范圍，將該國員工無須訪問的數(shù)據(jù)轉移到安全的位置（如該公司母國的數(shù)據(jù)中心），不授予該國員工訪問權限（這樣數(shù)據(jù)就不會傳輸至不安全的網(wǎng)絡鏈接）。國內員工有權訪問的數(shù)據(jù)應該分為兩類：只需要該國員工訪問的數(shù)據(jù)和整個企業(yè)都需要訪問的數(shù)據(jù)。前者應該存儲在本地，作為預置程序或存儲于該國的企業(yè)實體，避免數(shù)據(jù)傳播于不安全的通信鏈接。若公司在該國有多個國內位置，需要有一些數(shù)據(jù)在辦公室之間共享，請盡可能多地對數(shù)據(jù)進行離線存儲。

如果一個公司在加密系統(tǒng)受限的國家使用加密術，也是變相賦予了政府獲得自己敏感企業(yè)信息的權限。此外，該國內的用戶應該定期更改密碼，舊的密碼應該在密碼更改之后迅速失效，以確保在政府強制訪問時獲得更少的數(shù)據(jù)。

參考文獻：

[1]Aimee Boram Yang.China in Global Trade： Proposed Data Protection Law and Encryption Standard Dispute [M].4 I/S：J.L.&POL'Y FOR INFO，2008.

[2]Nathan Saper.INTERNATIONAL CRYPTOGRAPHY REGULATION AND THE GLOBAL INFORMATION ECONOMY [M].Northwestern Journal of Technology and Intellectual Property， 2013.

[3]原浩.完善我國密碼進出口監(jiān)管法律制度的建議（上）[J].信息網(wǎng)絡安全，2007（6）.

[4]原浩.完善我國密碼進出口監(jiān)管法律制度的建議（下）[J].信息網(wǎng)絡安全，2007（6）.