一、制定背景及过程
1997年3月,经合组织发布了《密码政策指南》(Guidelines for Cryptography Policy),并根据信息、计算机和通信政策委员会(现称数字经济政策委员会)的提议,经合组织理事会于1997年3月27日通过了《关于密码政策指南的建议》(The Recommendation concerning Guidelines for Cryptography Policy)。虽然经合组织上述有关密码的建议和指南已制定近25年之久,但由于其灵活性与协调性等经受住了实践检验,对于目前全球密码政策的制定与协调仍具有重要的参考和借鉴价值。
《建议》首先强调了密码政策的必要性,并指出在20世纪90年代,经合组织成员国承诺制定和实施与密码学有关的政策和法律。考虑到政策上的差异可能会对国家和全球数字网络的发展造成障碍,并阻碍国际贸易的发展,经合组织成员认识到有必要采取一种国际协调的方法,以保障网络与信息基础设施的安全。
经合组织还描述了其制定该建议的过程:1996年初,经合组织发起了一个关于密码政策的项目,在信息、计算机和通信政策委员会(现称数字经济政策委员会)的主持下成立了一个密码政策指南特设专家组,这一特设专家组由时任澳大利亚司法部长的Norman reabburn先生担任主席,负责起草密码政策准则,以确定在制定国家和国际层面的密码政策时应综合考虑的问题。特设专家组有一年的任务期限来完成此项任务,其于1996年12月完成了此项工作。之后,《密码政策指南》于1997年3月27日被经合组织理事会采纳为建议。
二、实施情况及要求
在采纳关于《密码政策指南》的建议时,经合组织理事会指示数字经济政策委员会(CDEP)至少每五年对该指南实施一次审查,以改善与密码政策相关问题的国际合作。因此,在2002年的第一次审查中,经合组织分发了一份调查问卷,以征询是否需要对《密码政策指南》进行修改或内容增减。经合组织在2007年、2012年和2017年的审查中重复使用了类似的问卷,但是到目前为止实施的所有审查都得出一个总体结论,即现有的《密码政策指南》足以解决拟订密码政策的问题和达到预期目的,因此没有必要对其进行修订。
建议各成员国:(1)建立新的或修订现有的政策、方法、措施、做法和程序,以反映和考虑本建议附件中所载的《密码政策指南》中有关加密政策的原则;(2)在国家和国际层面就《密码政策指南》的实施进行咨询、协调与合作;(3)根据国际密码政策领域实际可行解决方案的需要采取行动,将《密码政策指南》作为就国际密码政策相关具体问题达成协议的基础;(4)在公共和私营部门传播该指南,以提高对与加密有关的问题和政策的认识;(5)消除或避免在加密政策的名义下对国际贸易和信息通信网络的发展设置不合理的障碍;(6)明确说明并公开政府对使用密码技术实施的任何国家管制;(7)至少每五年对《密码政策指南》实施一次审查,以期在与密码政策有关的问题上加强国际合作。
三、《密码政策指南》的内容及作用
《关于密码政策指南的建议》的附件所载的《密码政策指南》构成其不可分割的组成部分,其内容广泛,并突出反映了各国在密码政策制定方面所达成的普遍共识。总体而言,经合组织制定《密码政策指南》的目标在于:(1)促进密码的使用;(2)增进对在信息和通信基础设施、网络、系统及其他方面使用密码的信心;(3)帮助在国家及国际信息和通信基础设施、网络和系统中保障数据安全、保护隐私;(4)在不危害公共安全、执法和国家安全的前提下促进密码在上述领域的使用;(5)增进兼容性密码政策和立法的意识,增进在国家和国际信息和通信网络中使用可互操作的、便捷的、可移动的密码措施的意识;(6)帮助公私部门的政策制定者开发和实施具有一致性的国内和国际密码有效使用的政策、措施、方法、实践和程序;(7)促进公私部门之间在开发和实施国内和国际密码政策、措施、方法、实践和程序的合作;(8)通过促进使用符合成本效益、可互操作的、便捷的且可移动的加密系统,便利国际贸易;(9)促进政府、企业、研究机构之间的国际合作,促进标准制定组织在密码措施使用方面实现协同。
《密码政策指南》主要针对政府,但作为政策建议,经合组织希望其能够被公私部门广泛阅研。虽然《密码政策指南》对其成员国不具有强制约束力,但其提出的密码法律政策制定和完善过程中需要考虑并可实现各方利益平衡的八项基本原则,对各国国内密码法律政策的建设和完善发挥了重要的指导意义和参考价值,这八项基本原则包括:
(1)可信密码方法原则(Trust in Cryptographic Methods):应当信任加密方法,以便在适用信息和通信系统时实现保密性。
(2)密码方法选择原则(Choice of Cryptographic Methods):根据可适用的法律,用户应当享有选择任何加密方法的权利。
(3)市场驱动的密码方法开发原则(Market Driven Development of Cryptographic Methods):加密方法的开发需要满足个人、企业和政府的需求与职责。加密方法的开发和提供应当在开放和竞争的环境下由市场所决定。政府应当鼓励企业和研发团体开发加密方法,并与企业和研发团体进行合作。
(4)密码方法标准原则(Standards for Cryptographic Methods):加密方法的技术标准、准则和协议应当在国家和国际层面制定并颁布,也就是说,应当由国际公认的标准制定机构、政府、企业和其他有关专家共享信息并协同制定和颁布可互用的加密方法的技术标准、准则和协议。
(5)保护隐私和个人数据原则(Protection of Privacy and Personal Data):涵盖通信秘密和个人数据保护的隐私基本权利,应当在国家密码政策以及加密方法的实施和使用中得到尊重。
(6)合法访问原则(Lawful Access):国家密码政策可以允许合法访问加密数据的明文或加密密钥。这些政策必须最大程度地尊重指南中的其他原则。考虑到为合法访问提供加密方法的政策,政府应当认真权衡各种利益,包括公共安全、执法和国家安全及其被滥用的风险,任何配套基础设施的额外费用,以及技术故障的可能性和其他成本。
(7)责任原则(Liability):提供加密服务,持有或访问加密密钥的个人和实体的责任,应当通过合同、国内立法或国际协定予以明确。滥用自己密钥的用户所承担的责任也应予以明确。密钥持有者根据合法访问的规定提供加密数据的加密密钥或明文,不应当被追究法律责任。获得合法访问权限的一方,滥用其已获得的加密密钥或明文的,应当承担责任。
(8)国际合作原则(International Co-operation):各国政府应当通力合作,协调加密政策。作为努力的一部分,政府应当删除或避免以密码政策为名建立不正当的贸易障碍。跨越国界的合法访问可以通过双边和多边合作及协议来实现。任何政府都不应仅仅基于密码政策而妨碍通过其管辖范围的加密数据的自由流动。
针对上述八项基本原则而言,虽然每一项原则仅解决一项重要的政策关注点,但是各个原则是相互依存的,其不应当与其他原则割裂适用,而应当作为一个整体加以适用,以平衡各方主体之间的利益关系。
四、《密码政策的背景和问题报告》对特殊问题的阐述
《关于密码政策指南的建议》的附件还包括经合组织秘书处编写的《密码政策的背景和问题报告》(Report on Background and Issues of Cryptography Policy),以解释《密码政策指南》制定的背景以及密码政策辩论中涉及的基本问题。其中重点指出,密码政策制定需要考虑的特殊问题包括:第一,如何建立用户对使用加密技术保障电子交易和电子支付安全的信任和信心。第二,如何保障用户选择不同的加密方法,以满足其不同的数据和系统安全保障需求,例如各国有关出口管制、密钥管理系统的规定,或对某些类型数据的最低保护级别的要求可能会对用户可选择的加密方法的种类产生影响。第三,在如何落实市场驱动发展层面,产业界应根据市场需求开发产品和确定标准。政府在引导企业履行其保护公共安全和隐私的责任方面不应对密码技术的使用施加过重的负担。第四,在如何落实标准化方面,政府和业界应共同努力,促使加密技术在有效保障信息和通信系统、网络和基础设施的安全方面发挥积极作用,这就要求加密方法在全球层面具有互操作性、可移动性和便捷性。有效标准制定过程的一般描述是行业主导的、自愿的、基于共识的、国际性的。第五,针对合法访问而言,其构成密码政策制定过程中最具争议的一个主要方面,也是最可能导致不同国家密码政策之间存在冲突的领域,而长久以来各国的执法与司法实践也在反复印证这一观点。
通过《密码政策指南》以及相关建议,经合组织确定了基本的密码应用通用准则。可以看出,经合组织确定的密码原则较为灵活,其旨在通过一个灵活的框架来促进全球密码政策的合作协调。事实上,由于上述原则的含糊和多重解释,各国可以选择“隐私导向型”或“执法驱动型”的密码政策,但最终仍然需要各国综合考虑信息安全、隐私、执法、国家安全等因素,寻求利益平衡机制。
(本期作者:方婷,赵婧琳)
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。