你的密码安全吗？——安全使用密码技术的法律规定

作者简介

原浩，律师、CISSP（2007-2010）。毕业于西安交通大学。先后承办或主办建设银行、交通银行、优利中国 （Unisys）、征途网络、英特尔、微软、日月新等金融、科技类企业内控或境内外合规等专项法律事务。 为中华全国律师协会网络与高新技术法律专业委员会研讨员、中国信息安全法律大会专家委员会副秘书长委员，江苏省信息网络安全协会法律专家。 合译有《软件安全开发生命周期》（微软），参编或著有《中国律师业务报告（2015）》（电子商务部分）、《网络安全法适用指南》《互联网内容安全管理》《中国网络安全法治研究：合规卷》等，部分论文发表或入选于《信息网络与高新技术法律前沿》《涉外案例精选》等。

内容简介

一、密码危机与密码法需要考虑的那些事 随着计算机和各种智能设备的存储、处理能力增强和成本降低，通过加密等复杂计算方式保护数据的做法得到普及，而对个人信息和隐私保护意识的提升，也使公众迫切需要通过加密等方式获得安全感。有研究发现，2019年互联网（Internet）中有87%的信息使用了不同的加密方式以防止第三方访问和获取。 通过选择可用的加密保护方式，企业和个人可以有效地保护商业秘密、个人隐私等敏感数据。例如，企业通过具有加密功能的存储设备（加密硬盘、移动设备）对存储的数据进行加密，只有经过身份验证的人员才能访问该信息，即使设备失窃，也可以部分消除数据泄露的忧虑。再如，目前包括购物、邮箱，甚至车票订购等在内的众多在线服务已经开始对平台上的通信进行加密。例如，在访问网络地址时，我们会发现早期默认的http开头已经悄然升级到了https，这个“s”即表示增加了传输层加密协议SSL，其中内容仅会话参与者可用。对于智能终端，比如手机设备中的即时通信工具（或者称之为“社交软件”），实现端到端加密（E2EE）已经成为应用程序（APP）开发者推崇的“噱头”。 加密技术的广泛应用虽然提高了个人和企业保护各类非公开信息的安全性，但同时也给执法机构维护社会公共安全乃至国家安全带来挑战。例如，2017年，众所周知的勒索软件“Wannacry”通过加密用户计算机的特定类型数据，威胁用户在指定时间内支付比特币“赎回”数据，众多个人用户和公共服务深受其害。再如，无法登录或访问某些设备或应用，执法机构难以提取犯罪嫌疑人智能手机上的数据。甚至在20世纪90年代，美国发生了围绕密码进出口的所谓“第一次密码战争”。 密码技术如此关键，早在1997年，发达国家“俱乐部”——经合组织（OECD）就发布了《密码政策指南的建议》（Recommendation Concerning Guidelines for Cryptography Policy）。该建议认为，密码技术对于全球信息通信网络技术和电子商务的发展都至关重要，应当尊重国家密码政策、立法的执行，并应当通过密码应用保护各方基本权利，包括通信安全和个人数据保护，应考虑在“促进密码使用的同时不会危害公共安全、执法和国家安全”。建议的指南部分明确了各国在国家和国际层面确立密码政策应当遵循的八项基本原则，包括依法有权使用密码技术、市场驱动密码发展、隐私和个人数据保护、法访问等。因此，密码技术和应用牵涉到包括国家、公众、企业和个人在内的各种主体的权利义务，《密码法》正是为安排和协调这些不同，甚至相互冲突的利益与诉求而生的。 《密码法》的立法定位并未局限于既有的密码技术、产品，而是通过对密码活动主体、密码服务的弹性扩充实现对前沿密码问题的规范和调整。面对未来，密码问题大概如下： （1）基于云计算的服务，端到端加密的使用范围不断扩大，不仅可以保护传输中的数据，即时通讯工具的端到端信息加密，或者邮件的端到端内容加密，还可以确保存储在云端的数据得到保护，在此情况下任何第三方［甚至云服务提供商（CSP）］都无法访问。在这种情况下，法律所面临的主要问题是，社交软 件开发者、云服务提供商不持有密钥（key），是否还具有相应的解密能力，是否还应当向执法机构履行协助解密的义务。 1，该选题为目前我国第一本密码法律与科技生活结合普法作品。具有很强的市场引导性。2，所有网民每天都需要用到密码，本书恰好能解惑大家心中关于密码安全的各种问题。3，简明适用、通俗易懂，实用性强，并且能广泛应用所有商业生活领域，是本书最具竞争力之处。