要:鉴于出口管制加密产品制度下“两用物项”概念在制度实践适用的差异性,本期组织翻译了 “VERONICA VELLA”于2017年发表于《Strategic Trade Review》的《Understanding of Dual-Use?: The Case of Cryptography》一文。

论文基于“密码学”视角,对美国和欧盟两用物项不同制度实践模式和各国所采用的不同解释,对两用物项概念进行了比较研究。研究认为密码学是安全行业中最复杂的领域之一。关于加密产品出口管制的问题越来越多。基于信息技术和服务的国际贸易不断增长、公司对高科技领域的需求日益增加、以及个人和敏感个人信息的集中存储等因素,人们对数据以及网络信息传输的安全提出了更重的要求。其中密码学起到了至关重要的作用。

密码学被定义为“体现数据转换的原则、手段和方法的学科,目的是隐藏数据的信息内容,防止其未被发现的修改或防止其未经授权的使用。加密仅限于使用一个或多个‘加密参数’或‘相关的密钥管理’。”

与此同时,因为美国和欧盟在控制密码学方面的措施比较多,也拥有比较先进和比较多的加密法律。论文因此将美国和欧盟作为全球加密法规调查的起点,展开对“军用两用”概念的实践模式和不同解释的分析。论文分析认为:

一、两用物项的概念并不统一

论文通过涉及两用物项的法律文件和政治性文件的分析表明:在国际上并没有统一的概念。目前对这一概念所包含的内容也各不相同,比如包含:与军事能力相关、与核扩散相联系、与涵盖大规模毁灭性武器(WMD)相关,欧洲议会规定的两用物项物品甚至还包括:可能危机人类安全的物品。

所涉及的文书中对“两用物项”概念的共同点的定义已经逐渐被模糊化,有些国家甚至被两用物项物品清单所代替。即使在两用物项清单相似的国家,其所实施的进出口管制制度也有很大的区别。

二、美国对两用物项的定义和出口监管

美国作为全球加密技术的领导者之一,对国际贸易和加密政策都有很大的影响力。其对加密研究的影响力也远远跨越了国界。

2.1美国对两用物项概念规定的演变

2.1.1《出口管理条例》(EAR)中的定义

美国最初是通过美国的商务部工业局和安全局(BIS)依据《出口管理条例》(EAR)对两用物项物品贸易进行监管。《出口管理条例》(EAR)将“两用物项物品”定义为“民事应用以及用与恐怖主义和军事或大规模毁灭性武器(WMD)相关的应用。”这种定义表现出了美国对“两用物项物品”的理解不再是局限于传统的军事用途和民事用途,还增加了恐怖主义的一面。

2.1.2《美国联邦法规》第15卷第738条规定了管制清单

《美国联邦法规》第15卷第738条指出:出口管制商品的商业管制清单(CCL)涵盖了从核材料到航天器十几个类别。在每个类别中,出口管制的实物和出口管制的数字产品(即信息:软件和技术)都受到管制。

2.1.3美国扩充了两用物项定义的内涵

尽管美国是《瓦森纳协定》(WA)的成员,美国对加密产品的定义与《瓦森纳协定》(WA)相同。但是美国在事实层面,将加密控制的范围进行了扩大。其中包括对使用第三方加密功能的产品的监管和用于激活“休眠”加密功能的激活码的监管。

为了维护国家安全、保持外国情报收集能力的特权,加上对恐怖主义的关注越来越多,美国一直是最强烈主张限制加密技术使用权和出口权的国家之一。最初,加密产品受《国际武器贸易条例》(ITAR)的管制。考虑到《国际武器贸易条例》(ITAR)提供的“商品管辖权”程序是否将特定物品视为受管制物品,需要取决于是否属于美国弹药清单。如果该产品属于美国弹药清单,则需要取得国务院根据具体情况决定授予弹药许可证之后才能出口。直到丹尼尔·伯恩斯坦质疑该许可程序有可能违反宪法之后,才将加密产品输出转移到《出口管理条例》(EAR),该《出口管理条例》(EAR)实质上复制了受到干扰的《国际武器贸易条例》(ITAR)对加密技术的控制。

也就是说美国自《出口管理条例》(EAR)对两用物项物品下过定义后,经过《美国联邦法规》、《瓦森纳协定》(WA)和《国际武器贸易条例》(ITAR)都对这一概念做了补充,但是最终仍再使用原来的定义。

2.2在监管的基础上逐渐自由化

美国出口政策的自由化始于 1998 年,当时克林顿政府宣布了一项改革严格出口制度的新政策。但是,在改革过程中,美国还提议了对加密使用进行国内控制,这将使执法人员在必要时能够合法地获取加密密钥。

2.2.1密钥托管和密钥恢复系统出现反对意见

美国一直大力倡导所谓的“密钥托管和密钥恢复系统”,该系统涉及第三方对私钥的访问或以纯文本方式访问数据的能力。这些系统授权第三方(如政府机构)或可信的第三方(通常与政府有合作)存储加密密钥,并在政府提出请求时将数据提供给政府机构。美国强烈要求国际社会也采用这个系统。但是,这样做引起了国际隐私权倡导者、安全专家和公民自由组织的强烈反响。该系统的反对者坚持认为,这样做不仅侵犯会隐私权,此外,这种系统无法监管只使用其他加密方法规避监管的罪犯。此外,必须指出的是,在美国并没有专门保护个人信息隐私权的法律,而是由零散的宪法、成文法和自行制定的行业法规来保护。

2.2.2《出口管理条例》(EAR例外

欧盟出口法规的变更引发了美国出口管制的自由化,即对向欧盟出口的加密产品实行许可的例外。但仍然继续对支持恐怖主义的国家实行出口限制。2011年1月,对《出口管理条例》(EAR)进行了较小的修改。向大众市场公开提供的加密代码和公开可用的加密对象代码(其中相应的代码属于TSU公司检测到的异常许可)都不受《出口管理条例》(EAR)的约束。

根据《出口管理条例》(EAR),出口商必须考虑两个重要因素。首先,因为《出口管理条例》(EAR)的第五类第十部分规定,对于对称系统,密钥长度为56位或更少的加密系统或者对于非对称系统,密钥长度为512位或更少的加密系统,才可以不受限制地出口。由于担心加密秘钥中使用较长密钥的强加密系统,将面临出境限制,要考虑出口软件的属性。此外,对“大众市场”加密产品有一项豁免——根据这项豁免条款:如果一种加密产品普遍是供给公众、家庭或个人使用,而没有供应商的持续提供(例如个人电子邮件安全计划),那么其出口不受限制。对产品的最后一项重要豁免是“用于辅助用户,提供给个人使用或某行业使用的产品时……。”例如,允许用户携带包含加密功能的笔记本电脑和移动电话旅行。其次,出口商还必须考虑将软件销售给谁,进而考虑包括客户所在位置的特定属性,这可能会带来某些问题。

尽管美国出口管制制度基于其在多边出口管制制度下的承诺,但美国也对广泛的两用物项物品保持单边管制,主要是出于反恐原因。

三、欧盟对两用物项的定义和出口监管

3.1欧盟对两用物项的定义

欧洲理事会条例(EC)的第428/2009号条例第十条第一款(又称为“欧盟两用物项条例”)将两用物项定义为“可同时用于民用和军事目的的项目,包括软件和技术,并且应包括所有可用于两者的非爆炸性商品,并以任何方式协助制造核武器或其他核爆炸装置。”因为该定义首先包括军事和非军事目的(与《瓦森纳协定》(WA)、澳大利亚组(AG)、导弹技术控制制度(MTCR)定义相同),然后还包括核和非核目的(核供应国集团(NSG)定义),最后还包括核恐怖主义,此定义累积了对该术语的“目的性”的理解。

但是,尤其是在 2010 年阿拉伯之春开始之后,并考虑到非洲大陆和中东地区的严重动荡,欧盟对两用物项贸易的关注已扩展到对出口管制范围内是否侵犯人权的问题。在突尼斯和埃及的起义期间,欧洲公司提供的信息和通信技术在帮助和协助政府侵犯言论自由、新闻自由和信息获取的权利等方面发挥了作用之后。欧洲议会成员和委员会成员呼吁“将人权作为出口管制的一个新层面来考虑”,建议将人权确立为管制和可能拒绝出口的一个理由。

3.2欧盟扩充了两用物项定义的内涵

欧盟委员会最近对第428/2009号理事会条例进行修订的提案引入了防止与某些网络监视技术相关的侵犯人权的问题。该提案在第二条中增加了两用物项的定义“能够用于严重违反人权或违反国际人道主义法的网络监视技术,或者能够对国际安全或国际网络及其成员国的基本安全利益构成威胁的物品。”

就密码学而言,欧盟成员国的承诺是统一的,即使他们之间没有正式的加密规则框架对加密策略进行协调。就算每个成员国都可能有关于加密产品的进口、供应、使用或出口的额外规定,成员国关于加密产品的出口管制法也要受到欧洲法律的统一规定。

3.3欧盟在加密产品管制方面与美国的有所差异

与美国类似,欧盟对加密产品控制的范围也有所扩张。但与美国不同的是,欧盟还包含用于激活“休眠”加密功能的激活码。但是,根据欧盟成员国关于军事物品的国家条例,专门为军事用途设计或改装的加密产品受到出口管制。

对于欧盟在这个问题上的整体做法,英国是一个例外。英国根据欧盟一般出口授权(GEA)从英国出口时,对某些密码产品的出口有特定要求。这些要求包括提供“个人拥有的详细信息,或可以合理预期的其他信息。”此类信息应在首次出口后30天内通过电子邮件提交给英国出口管制组织。

四、是否需要新定义?

论文提出了对两用物项概念的共识。在这方面,人们可能会想,采用新的全球定义是否会是实现这一目标的基本条件。但是,这又引出了另一个问题:如果出口管制制度准则为国家出口管制制定标准,成员国是否会统一执行?如本文所示,成员国并不会统一执行。除此之外,对两用物项物品的包罗万象的条款或不同的看法(例如在密码学领域)表明,这不仅仅是一个标准的问题。通过相同的推理可以得出新的结论:制定新的两用物项概念毫无意义。因为各国之间不同的解释、调查和执法结构、对于边缘案件、客户终端的考量以及对情报的把握都会导致不同的出口管制政策,所以不可能形成全球统一的两用物项的出口管制制度和实施方案。

一方面,采用新的定义远远不能解决目前薄弱的国际出口管制制度。另一方面,提出一个一致的定义,纳入对这一概念的不同理解并反映其经历的演变,可能是有效和有益的。任何新的定义提案都应明确涉及以下内容:哪些“项目”将受到控制;哪些具有目的性,以及哪些范围/安全性。

此外,鉴于具有两用物项特征的物品增多(也是由于民用和国防技术及工业基础之间的界限越来越模糊),以及不是主要用于军事目的的两用物项的物品增多(例如:监视技术、加密),关于民用和军用之间的传统二分法仍然存在问题。

最后,鉴于有关两用物项的商业若干国际文书的范围不同(见附件一),新定义中应包括的一个有价值的范围可能是“和平与非和平”,以便理解每项文书的目的。然而,由于“和平与非和平”的概念起源于“战争与和平”的国际概念,这种总括定义方法并没有考虑到从国家安全利益到人类安全利益的转变。因此,考虑到:(1)两用物项的概念似乎已经从国家对安全的关注转移到也考虑了人类安全(例如,欧盟对两用物项的理解与侵犯人权有关);(2)考虑到重要领域的两用物项物品用途的研究;(3)以及强调密码学可能会影响人权中的隐私权(涉及政治安全),该定义可能指威胁人类安全的物品,用于包括政治安全在内的总括概念。这些建议旨在为该方向的进一步研究开辟道路。

五、结论

对已有涉及两用物项概念的法律和政治约束力的文书比较研究显示,两用物项缺乏一个统一的定义。

最重要的发现之一是,两用物项的概念已从国家的核扩散问题演变为非国家的核扩散问题,从而从国家安全利益转向人类安全利益。在这方面,美国和欧盟的做法是经验做依据。一方面,美国主要出于反恐原因,对广泛的两用物品实行单方面管制,这是欧盟所没有的。另一方面,欧盟通过《欧盟两用物项条例》的第三条和欧盟内部的管制改革,保持着持续性的监管,显示出对两用物项政策的人权态度。尽管欧盟和美国遵守相同的多边出口管制制度有很多的共同点(即将两用物项定义为既有民用又有军事用途),但在实施时它们采用了不同的方法。

所有出口管制制度的共同点都是由两用物项物品清单组成。然而,这些国际文书之间缺乏一致性。当然,这并不意味着清单不是实现通用和客观指导的最实用的方法。

除了列表和系统的协调之外,对两用物项的重新概念化也可能是有用的。随着技术和解释的不断变化,或许需要一个现代的、一致的定义以协调各方对概念的不同理解,并反映其经历的演变。(赵丽莉,秦现招)

附表:

声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。