美国密码法律制度概览

密码（cryptography）作为实现信息安全的有效方法，在整个数据生命周期中发挥着不可替代的保障作用，长期以来被广泛用于政府机构、外交部门、军队和情报机构的活动中。随着20世纪70年代现代密码学的出现，密码技术正被越来越多的用户所使用。在当今的信息社会中，密码技术已经成为国家重要的战略资源，是保障国家网络与信息安全的重要支柱，直接关系到国家的政治安全、经济安全和军事安全，因此许多国家都通过立法建立了专门的密码管理制度。

作为密码技术研发和应用最为成熟的国家之一，美国的密码政策和立法一直具有积极的示范效应。根据美国密码法律制度的基本结构，本文主要从密码出口管制、民用密码管理和政府密码管理三个方面对其进行介绍和分析。

一、美国密码出口管制法律制度

密码出口管制的主体可以分为密码技术和加密产品两个部分。密码技术（encryption）通常包含五个要素：（1）加密功能；（2）解密功能；（3）密钥；（4）纯文本；（5）密文。¹加密技术也称为密码编译，指的是将明文转换为密文的技术。解密技术也称为密码分析，指的是将密文转换为明文的技术。密钥是指用来完成加密、解密、完整性验证等密码学应用的秘密信息，在对称加密中，用于加密和解密消息的密钥是相同的。在非对称加密中，用于加密和解密消息的密钥是不同的。密码技术归根到底是一种技术上的形态与路径。密码产品指的是使用密码技术对于内容信息进行加密保护或者安全认证的产品，比如金融数据加密机、数字电话加密机以及电子支付密码器系统等。密码产品更多指的是含有密码技术的产品，密码技术是密码产品中的核心附属部分。

（一）美国密码出口管制法律制度的演变

1.20世纪90年代前：严格管制

美国早期的密码技术产品出口受到十分严格的限制，密码被视为一种具有武器性质的军民两用产品，被列入控制武器出口的清单，实行极为严格的管控措施。美国政府试图通过这种方式避免先进的密码技术被外国势力获取，以保证其对外情报工作的开展。

1992年以前，几乎所有密码技术产品的出口都由美国国务院（U.S. State Department）通过《美国国家武器审查条例》（International Traffic In Arms Regulations，简称ITAR）规定²，该条例是美国出于美苏冷战的考虑而制定的。在1992年至1996年12月期间，对密码技术出口的管辖权由美国国务院和美国商务部共享。自1996年12月以来，大多数密码技术的出口受到美国商务部的监管。

20世纪90年代前，美国密码技术出口受到《国际武器贸易条例》（ITAR）和《出口管制法》（后来经过多次修改）的规制，密码技术主要被应用于军事、外交和情报工作。ITAR的法律效力来源是军火出口管制法（Arms Export Control Act，简称AECA），主要规制“国防物品”和“军火”的出口（对除美国或加拿大以外的任何地方）。直到1996年12月，美国政府认为所有密码技术，甚至是仅用于商业的密码技术以及未分类的密码技术，都是国防物品或军火。当然其中也有一些例外情况，例如对一些弱加密的技术产品由商务部下的出口管理局（BXA）进行管辖。但在总体上，国务院基于其自己的政策决定和美国国家安全局（NSA）的建议，出于国家安全的原因直接管制密码技术的出口。一般来说，州政府管辖下的密码产品很难或不可能出口，而商务部管辖下的产品尽管有一些限制却可以出口。

总体上，在1996年以前，美国密码出口管制由ITAR具体执行，目的是维护国家安全和外交以及军事有关的利益，对密码技术或者产品进行严格控制。在此期间，密码技术在性质上是属于军需品而被列入军用物品清单，作为军需物品的密码出口需要得到单独许可，且该许可必须得到国防部（DOD）和国家安全局（NSA）的批准。并且根据ITAR规定，出口密码技术和密码产品的长度、强度以及一些特殊加密功能都受到限制。

2.1996年以后：逐步放松管制

对密码技术的限制阻碍了美国企业在密码技术方面的发展，不仅包括生产加密产品的企业，也包括以密码技术为生产工具的企业（如经营业务为网络浏览器或电子邮件的企业）。对于许多企业来说，生产两种版本的产品是低效或不切实际的。在这一背景下，越来越多的企业呼吁放松密码出口管制。

1996年2月，ITAR规则得到了修改，允许个人在国外使用密码产品，从而允许在飞机上携带有密码软件的笔记本电脑。这种“临时出口”不需要许可证，只需要使用者采取正常的预防措施以确保密码产品的安全（例如将产品作为随身行李携带，外出时将产品锁在酒店房间或保险箱中）。但是，使用者不得复制、展示、销售和再出口密码产品，也不得转让密码产品的所有权或控制权，并且每次携带密码产品出境都必须在五年内保存记录。

1996年5月，美国国家研究委员会发布了一项密码学政策研究报告，建议放松出口管制。应该允许出口56位对称加密的加密产品（如DES），但前提是密码技术或产品必须支持密钥托管或者密钥恢复的功能，即当美国认为出口的密码产品或者技术威胁到美国利益时，美国政府能够取得密钥破解密码；并且如果用户同意向美国政府提供解码信息，则应该允许出口超过56位的加密产品。

1996年11月，克林顿政府发布行政命令规定“除应军事申请专门设计、开发、配置、修改、修改的密码技术产品以外，其他所有的密码技术产品应从国务院管辖转移到商务部管辖”。³

1996年12月，美国商务部基于白宫的行政命令颁布了两项条例，一项指导实施关键密码托管的临时最终规则⁴，以及一项涵盖更广泛事项的临时规则。⁵临时规定对美国政府管制密码技术产品出口的制度进行了修改，允许准许所有56 位及以下密码技术产品在经过审查期后进行出口（恐怖国家除外）。此前，56位密码产品只被允许出口到金融机构和美国公司的外国子公司。

此后，尽管在“911事件”后美国密码出口管制的放松步伐明显减缓，但在整体上不再坚持严格限制的立场，而是通过制度改革进行合理控制，即放松与控制并重。

（二）当前美国密码出口管制法律制度的构成

1996年美国将作为两用品的密码的管理权由国务院转移到商务部，当前美国密码出口管制机构是设立于商务部下的工业与安全局（BIS），密码出口管制适用的法律是《出口管理条例》（Export Administration Regulation，EAR），以源代码或目标代码共享、运输、传输或转让，几乎所有两用加密软件都要遵守《出口管理条例》。并且多边出口管制的《瓦森纳协议》也要转换成EAR在国内适用。《出口管理条例》根据接收方、终端使用以及出口目的国的不同，可能要求获取出口许可，除非例外或者豁免情形，但是如果涉及被禁运的国家，则一律不得出口。

当前美国密码出口管制法律制度主要由技术审查、出口授权（主要包括许可证和许可例外）以及报告义务三个部分组成，其中技术审查是为了确定密码技术产品的可控性，出口授权是为了确定出口商的资质，明确责任主体，在密码产品出口之后，出口商还需要向BIS和国家安全局提交年度报告，即出口商的报告义务。技术审查、出口授权和年度报告共同实现密码出口的风险控制。

1.技术审查

美国的密码出口建立在可控的前提下。技术审查是许可证发放的预先步骤，主要是以进出口规则的具体规定为依据，由监管机构据此进行审查。技术审查涉及密码技术和产品的构成和具体形式（包括密码的类型、位数、是否包括源码等），以及密码技术产品的进口国。由于密码的标准化，技术审查是包括美国在内的西方国家实现出口密码可控性的首要步骤。1996年以后，美国出于占领国际可控密码市场的考虑而逐步放松出口技术审查，但即使是技术审查除外规定，美国也将出口密码控制在可恢复的范围之内。

美国商务部2000年对技术审查要求包括：（1）允许任意密钥长度的密码在技术审查后向任何非政府最终用户出口（排除恐怖主义国家）；（2）任意密码长度的密码零售，例如不要求实质支持以有形方式零售出口的密码产品，或为个人消费者使用特殊设计的密码产品，在经过技术审查后允许向任何非恐怖主义国家接受者出口；（3）无限制的密码源码（类似于“开放源码”软件）和可公开获取的商业源码（类似于社区源码“Community Source Code”）允许不经技术审查向任何最终用户出口，同时需要向 BXA 提供源码副本或链接。所有其他源码在技术审查后向非政府最终用户出口。但不得故意向恐怖主义国家出口源码，尽管密码源码可能通过互联网络方式下载，且出口商无法彻底检查下载是否位于恐怖主义国家；（4）允许任何密码无需技术审查向美国公司的国外分支机构（再）出口。

2010年，美国商务部进一步简化了密码出口审查要求⁶，对于国家安全威胁较小的密码产品和技术取消技术审查等待30天的要求，而可以直接授权出口，再出口时仅向BIS提交电子注册即可；同时，大宗贸易密码产品也参照执行上述规定，只有少数类别的许可例外和大宗贸易密码产品还需要30天的审查期限，但涉及国家安全、反恐以及禁运和制裁的除外。

2.出口授权

密码出口许可证是在技术审查基础上，对符合标准的密码技术和产品或符合标准的厂商予以资质认可的证明或批件。《出口管理条例》及其附件《商业管制清单》（Commerce Control List，CCL）、《目的国管控清单》（Commerce Country Chart，CCC），及《被拒绝清单》（Denied Persons List，DPL）、《未经核实清单》（Unverified List，UVL）、《实体清单》（Entity List，EL）和《军事最终用户清单》等清单，构成了美国管制军民两用产品的出口、转出口以及转让的主要规则制度。

《出口管理条例》主要规制强两用密码技术产品，在《商业管制清单》第五章第二部分中包括5A002（密码硬件）和5D002（密码软件），以及大众可通过零售（或类似的销售渠道）获得的5A992（密码硬件）或5D992（密码软件），清单在此对受管制的密码技术产品进行了详细的列举，包括采用密钥长度超过56位的对称算法、采用基于超过512位整数因式分解的非对称算法等，并且将仅限于身份验证和数字签名的密码、使用固定数据压缩或编码技术的软件、设计用于保护库、设计属性或相关数据以设计半导体器件或集成电路的加密/解密代码排除在管制清单之外。

在美国出口管制法下，需根据商业管制清单中的出口管制编码（Export Control Classification Number，即ECCN编码），结合目的国管控清单对出口物项进行管控，首先将密码技术产品的ECCN编码与最终目的地管控清单上列明的管控理由进行匹配后，确定该密码技术产品的出口地是否需要受到管控，如匹配结果为需要管控，则需在该密码技术产品的ECCN编码中查询是否有符合“加密商品、软件和技术（Encryption Commodities, Software and Technology，简称ENC）”许可例外的情况，在满足适用ENC许可例外的条件下，可直接通过ENC许可例外进行出口。《出口管控条例》对包含加密功能的软件和商品的出口、再出口和转让实施管制，包括几乎所有在美国生产、开发或托管的软件以及许多非美国的软件和硬件产品。在大多数情况下，美国公司通过ENC许可例外出口、再出口或转让加密软件或商品，而无需获得BIS的授权。如不适用ENC许可例外，在没有其他可适用的许可例外的情况下，需按照规范流程申办出口许可证。

《出口管理条例》下的公共可用软件不受出口管制。但在通过互联网或电子方式公开强两用密码软件之前，公布者必须向美国政府提供强两用密码的副本或一次性通知代码的互联网位置（URL）。通知必须在软件公开之前完成，如果在向美国境外传输或转移软件后才发出通知，会被视为违反出口管制法。即公布者必须向出口管制官员（Export Control Officer，简称ECO）发电子邮件，内容是《出口管理条例》控制的强密码软件的互联网位置或URL，只有在收到ECO的电子邮件确认后，公布者才能将代码上传到公开的网站上。

《出口管理条例》除了管制密码技术产品的出口以外，还涉及对强两用加密软件和硬件方面的活动的限制。即未经美国政府批准，禁止美国公司或个人向外国人提供技术援助，包括技术指导、技能培训、工作知识、咨询服务等可能帮助强两用加密软件或硬件海外开发或制造的活动。⁷

3.报告义务

报告义务是指出口商对国外用户使用密码进行记录并提交本国相关机构进行监管。针对《商业管制清单》第五章第二部分中规定的5A002（密码硬件）和5D002（密码软件）、5A992（密码硬件）和5D992（密码软件）的密码产品，美国公司需要向BIS和国家安全局提交年度自分类报告，列明上一年度出口或再出口的所有密码产品。对于一些更先进或更敏感的密码产品，例如网络基础设施项目，非公开加密源代码，定制、非标准或开放接口加密，量子加密，网络渗透工具，网络漏洞/数字取证项目，超宽带和扩频项目，以及密码分析项目等，出口商需要提交半年期的销售报告。

2021年3月29日，美国商务部工业和安全局对《出口管控条例》及附件《商业控制清单》中涉及密码出口的相关内容进行了修订，降低或取消了部分密码技术产品出口、再出口和转让的报告和通知义务。如取消了对大部分大众市场密码技术和产品进行出口、再出口和转让的年度自分类报告义务，取消了对开放加密源代码进行通知的要求等，减轻了本国出口商的监管负担。此次修订也是对2019年12月瓦森纳协议成员国全体会议对《两用物项和技术出口管控清单》修订决议的落实。

二、美国民用密码管理的法律规定

随着加密技术在通信领域的广泛适用，执法机构所面临的一个无法回避的问题是：通信安全性的提升必然导致执法活动受限。美国较早地认识到加密技术与执法之间的矛盾，1993年白宫曾提出了《密钥托管倡议》，提出采用基于加密芯片的密钥托管机制，即在公民的通信安全保障中，执法部门有权依据法庭授权令状在托管机构获取所需的托管芯片的密钥，从而破解其所需的加密信息。但由于这一倡议在权力监管、个人隐私、国家安全等方面存在诸多隐患，美国政府最终在1999年放弃了密钥托管的尝试。

但执法机构没有放弃限制密码技术利用的努力，特别是在密码技术利用越来越普及的今天，执法机构的解密能力越来越有限，导致执法活动受到极为严峻的现实挑战，加密与执法之间的矛盾变得愈发不可调和，也使得加密和执法需求成为国家密码管理制度中最为核心和最具争议的法律问题。⁸

（一）美国民用密码管理的背景

2022年12月7日，苹果公司公布了三项数据安全改进措施，包括iMessage 联系人密钥验证、Apple ID 安全密钥和 iCloud 高级数据保护，旨在保护消费者数据并抵御黑客攻击。在这三项改进中，iCloud 备份中扩展端到端加密引起了执法部门的关注。长期以来，苹果公司一直在其设备上提供强大的加密保护，但这些设备保护措施遭到了美国执法部门特别是是美国联邦调查局（FBI）的强烈批评。早在2014年9月，苹果公司宣布其新的操作系统iOS 8将默认对存储在iphone上的大部分数据进行加密，如iMessages、照片、日历和应用程序。⁹而在此之前，在苹果公司已经开始对苹果服务器和用户之间发送的iMessage和iCloud数据进行加密。苹果公司声称，在新的技术方案下其不能对此类数据进行解密，因此难以再遵守政府对设备数据的要求。此后不久，谷歌公司也宣布了类似的政策。同样在2014年11月，facebook即时通讯系统whatspp也宣布将在其服务上提供端到端加密。

2015 年圣贝纳迪诺恐怖分子袭击事件发生后，FBI没收了一部犯罪嫌疑人使用的iphone手机，并通过法院要求苹果公司对其上的加密数据提供解密帮助，但苹果公司以违宪为由拒绝执行。此后苹果公司与美国联邦调查局（FBI）之间的诉讼和公开辩论曾持续了数月。对于美国执法部门来说，在支持用户通过加密技术保护其私人通信和敏感数据的同时，其更加担心犯罪分子和恐怖分子利用密码技术和产品，阻止执法部门进行合理搜查，从而构成对公共安全的严重威胁，执法部门称这种现象为“致黑”（going dark）。¹⁰联邦调查局局长詹姆斯·科米表示，政府无意禁止加密技术，而是希望硅谷公司提供一种技术方式来获取数据的内容，实现对设备的法律权威访问。但许多科技界，包括美国科技巨头苹果、谷歌和Facebook，以及密码学家则认为，在继续保护网络威胁的同时保护用户数据在技术上是不可行的。¹¹

（二）美国宪法第五修正案和涉及强制解密的判例法

1.美国宪法第五修正案反对自证其罪的权利

政府要访问存储在智能手机上的数据，一种方法是强制用户根据有效的法律程序提供其密码或解密设备中所包含的数据。但其中存在的问题是，第五修正案中反对自证其罪的规定是否会禁止这种要求。一般来说，独立于政府要求创建的文件（例如存储在相机上的照片）无法受到第五修正案的保护，因为这些文件并不是政府“强制”创建的。但解锁该设备的行为却可能具有证明作用（例如它可能证明嫌疑人可以使用该设备），这可能会触发第五修正案。

根据美国宪法第五修正案的有关规定，“任何人……不得在任何刑事案件中被迫成为对自己不利的证人。”¹²这种反对自证其罪的权利保护被告免于提供对自己不利的犯罪证据，也使被告人无需冒着作伪证的风险对政府官员撒谎，或者冒着藐视法庭的风险保持沉默。反对自证其罪的意义是，国家必须在没有被告帮助的情况下证明其案件。那么，除非州政府能拿出足够的证据证明他有罪，保持沉默的被告将会赢得该案。在美国司法审判中，主张第五修正案规定的反对自证其罪的权利需要满足三个条件，即被告的陈述a.必须是政府强迫的；b.必须是有罪的；c.必须构成“证明”（testimonial）。主张自证其罪的前两个要素——强制性和有罪性很少受到质疑，但在大多数情况下，一个给定的陈述是否应该被视为“证明”则存在疑问。¹³

2.最高法院的判例

美国最高法院尚未对强制个人披露密码或解密数据的问题给出解决办法，但已经就如何裁决这个此类案件提供了一些思考。例如在被告人将犯罪文件保存在一个保险箱中的情况下，存在通过密码和钥匙两种途径打开保险箱，有人认为这与当前个人设备的解密问题存在相似之处。在1988年Doe v. United States案中，史蒂文斯大法官指出，虽然嫌疑人“在某些情况下可以被强制交出一个装有有罪文件的保险箱的钥匙”，但他不能“被迫通过言语或行为透露密码”。这一观点认为，要求被告人交出密码是在要求他“用自己的头脑帮助控方给自己定罪”，这是宪法第五修正案所禁止的，而仅仅交出钥匙则不会。但该案件中的大部分法官认为，密码作为被告人思想中的内容不构成第五修正案规定的证词。

3.巡回上诉法院的判例

除了最高法院之外，2012年第11巡回上诉法院也处理过有关强制解密问题的案件。在该案中，政府获得了搜查犯罪嫌疑人酒店房间和电子设备的搜查令，但由于联邦调查局无法访问其中一个硬盘中的某些内容，大陪审团要求被告人出示硬盘的内容，被告人认为这一要求将违反第五修正案中不得自证其罪的规定。因此巡回法院需要认定被告人提供其硬盘数据的行为是否属于第五修正案中的对自己罪行的证明。法院指出，该问题最终指向政府是否能够以“合理的特殊性“表明，在其试图强迫提供行为时已经对加密文件有了解，从而使任何证明成为”既定的结论“。法院的结论是，没有任何证据表明政府知道犯罪证据是否存在于硬盘上，因此加密文件不是一个“既定的结论”，被告人可以主张第五修正案规定的权利。

4.联邦法院和州法院的判例

随着政府机构越来越多地遇到加密数据的问题，下级联邦法院和一些州法院也遇到了类似的案件。和第十一巡回上诉法院审理的案件一样，这些案件在很大程度上取决于政府对加密文件的了解程度。例如在2007年的In re Boucher案中，边境巡逻人员阻止了试图穿越加拿大边境进入美国的 Boucher和其父亲。其中一名警察在汽车后座上发现了一台笔记本电脑，并且不需要输入密码，就可以访问笔记本电脑上的大约4万个文件，而其中一些文件可能包含色情图片。随后，移民与海关执法局通过进一步调查发现了数千张色情图片，其中有一份标签是儿童色情但无法打开的文件，但由于笔记本电脑后来断电，且电脑上安装了加密程序，所以无法再次访问。为了获取这些数据，政府要求被告人提供“所有与缴获的硬盘有关的文件，无论是电子形式还是纸质形式”。被告人认为该要求违反了其根据宪法第五修正案享有的反对自证其罪的权利。政府承认要求被告人提供密码属于自证其罪，因此其试图强制被告人在电脑上输入密码。但法院认为，要求被告人输入密码隐含着这样一种事实：“通过输入密码， Boucher将会表明他知道密码，并能控制硬盘上的文件。”但法院也指出，政府不需要知道文件的具体内容，必须能够“合理证明其知道被加密文件的存在和位置”。因为政府已经查看了硬盘上的一些文件，并确定文件中可能包含儿童色情内容，因此提供密码对政府掌握的信息总数没有影响或者影响很小，进而否定被告人根据第五修正案主张权利。

除了联邦法院，有一些州法院也裁决了在加密数据中反对自证其罪的权利的范围。例如在Commonwealth v. Baust案中，弗吉尼亚州第二巡回法院讨论了政府是否可以强制个人提供其智能手机的密码。弗吉尼亚法院认为，提供密码就像提供一组证据，所以可以认为是证明。但法院同时认为，要求被告输入指纹不被视为是自证其罪，因为这“不要求证人泄露其思考过程的任何信息”。

（三）强制协助和《全令状法案》

除了要求智能手机用户提供其密码或解密内容外，政府还可以请求设备制造商帮助其访问被锁定的设备。较为典型的例子是2015年在加州圣贝纳迪诺的恐怖事件中，联邦政府通过《全令状法案》（the All Writs Act）来寻求这种帮助。在该案中，加州中央地区的地方法官谢莉·皮姆命令苹果公司向联邦调查局提供三种形式的技术援助：（1）关闭密码输入错误的自动删除功能，即允许政府输入超过10次密码，而不会在第10次错误尝试后删除数据；（2）可以自动输入密码组合，而不是必须手动输入；（3）使用编程系统解密不会出现延迟。可以看出，法院并没有要求或强迫苹果公司在所有iphone上为政府机构提供解密的便利，只是要求其针对有问题的iPhone编写并安装特别的软件，由此可以实现无限制的密码尝试而不会删除设备中的数据。

作为《1789年司法法案》（Judiciary Act of 1789）的一部分，《全令状法案》第a条规定，“在法律允许的范围内，最高法院和所有由议会建立的法庭，可以发布必要或者合适的强制命令，以协助施加管辖权。”该条款经常被援引要求科技企业协助执法部门解锁数据。最高法院指出，“《全令状法案》是法律中未规定的令状的法律权力来源。”换言之，该法案具有填补法律空白的功能，可以用来“执行和防止法院的命令受挫”。根据美国当前的判例法，要适用《全令状法案》要求苹果公司违背其意愿帮助政府访问该设备上的数据，法院首先要考察该要求是否会给苹果公司带来“不合理的负担”，还要考虑以及它是否符合立法者（国会）的目的。

在圣贝纳迪诺案中，对于该命令是否会给苹果公司构成不合理的负担的问题，联邦调查局认为苹果公司具有破解密码的能力，因此不构成不合理的负担；但苹果公司认为“不合理负担”不仅包括公司在这款手机上编写和安装新软件的负担，还包括对苹果公司整体业务的负担。苹果公司承认其拥有解锁该设备的技术能力，但同时认为保护客户隐私和安全的目的使其有足够理由拒绝执行法院的命令。而对于该命令是否符合国会的目的，联邦调查局认为除非国会在这个问题上颁布立法，否则国会的沉默并不足以限制法院要求苹果公司帮助政府访问有关设备信息的权力。苹果公司则认为不仅应该关注已制定的法律，还应该关注国会是否考虑但最终拒绝采纳类似的监管政策。

圣贝纳迪诺案最终以联邦调查局通过其他科技公司从外部破解密码、撤回诉讼而告终，没有得出最终结论。但在2014年纽约州的一个类似的案件中，法院否认了苹果公司帮助解锁手机密码的义务。该案中美国缉毒局扣押了被告人的移动设备并向法院申请令状要求苹果公司帮助解锁，但法官詹姆斯·奥伦斯汀认为《全令状法案》在该案中不能扩张适用，拒绝了政府要求苹果公司协助破解的请求。奥伦斯汀法官在判决中指出，要适用《全令状法案》，政府必须证明其申请的强制令满足三个条件：（1）签发强制令的法院具有管辖权；（2）强制令的签发“必要且适当”；（3）强制令符合法律的惯例和原则，但其认为该案政府的请求不满足上述第三个条件，没有遵循法律的惯例和原则。《全令状法案》作为一部具有两百多年历史的法律，并未授权当前的法院强迫苹果公司向联邦政府妥协，在没有国会明显授意的情况下，根据之前国会在许多技术与信息安全问题中的表态，可以推断出国会不同意政府积极干涉信息安全的态度的趋势。既然没有强制性规定要求苹果公司为政府提供手机解锁的协助，那么就意味着禁止强制执行这样的义务。¹⁴

三、美国政府密码管理制度

美国的密码法制度还涉及对政府机构使用密码的管理。美国国家标准与技术研究院（NIST）于2016年发布了《联邦政府使用密码标准指南：指令，法律和政策》（Guideline for Using Cryptographic Standards in the Federal Government：Directives, Mandates and Policies，SP800-175A），该指南规定了美国政府机构何时以及如何通过密码保护敏感但受控非机密信息（CUI），具有基础性的指导意义。这些规定虽然主要针对政府机构，但其他组织也可以参考适用。

指南认为，是否采用密码保护取决于所要保护信息的所有者，这一过程通常基于彻底的风险分析，以确定需要进行密码保护的信息的敏感性以及在传输和存储期间保护该信息所需使用的安全控制。因此指南主要通过风险评估确定需要保护的信息并提供相应的指导，在内容上包括对相关法律、行政指令、标准和准则的摘要和讨论。

（一）法律规定

指南首先梳理了相关的法律，这些法律没有直接对政府机构的密码使用作出具体规定，而是涉及到NIST制定或参与的密码标准的法律授权。

《联邦信息安全管理法案》（Federal Information Security Management Act of 2002，简称FISMA）第3543段规定，总统行政办公室（EOP）应协调和推进由NIST以及负责管理或控制国家安全系统的机构（包括国家安全局）所制定标准和指导方针，以最大限度地确保这些标准和方针补充现有的国家安全政策。该法案第302条要求商务部根据NIST制定的标准和指导方针制定联邦信息系统的安全标准，并规定这些标准具有强制性和约束力，只有总统才能对其进行修改或撤销。该法案第303条规定了NIST具有为信息系统制定相关标准、指导方针、信息安全政策、程序、实践以及信息安全事件检测和处理方案等技术帮助的职责，对已经制定的标准，NIST还应当进行定期评估和修订。

2009年颁布的《健康信息技术促进经济和临床健康法案》（Health Information Technology for Economic and Clinical Health Act，简称HITECH）规定使用NIST标准对健康信息进行加密以解决与健康信息电子传输相关的隐私和安全问题，这些规定加强了1996年《健康保险可携带性和责任法案》（ Health Insurance Portability and Accountability Act，HIPAA）中民事和刑事执行条款。该法案要求对受保护健康信息（PHI）的安全违规行为进行报告，但如果相关数据通过加密方法无法识别，则不必履行报告义务。

《联邦信息系统现代化法案》（Federal Information Systems Modernization Act of 2014）将2002年《联邦信息安全管理法案》中规定的管理和预算办公室（OMB）的部分职责转移到国土安全部。该法案第3553段要求国土安全部协调NIST的标准和指南的制定，与首席信息官理事会和NIST主任进行协商以协调政府机构在信息安全政策和做法方面的努力，以及制定和监督包括NIST标准在内的安全政策、标准和指导方针的执行。

2014年颁布的《网络安全增强法案》（Cybersecurity Enhancement Act of 2014）将NIST制定安全标准的职责扩展到对私营部门的直接支持。这一扩展具有重要意义，其特别授权NIST为美国联邦政府以外的组织提供网络安全支持，并定期与相关私营部门包括关键基础设施所有者和运营商、部门协调委员会、信息共享和分析中心和其他相关行业组织进行协调，整合行业专业知识，提高安全能力。

（二）行政指令

总统行政办公室发布的行政指令也涉及对NIST开发或参与开发的密码标准和指南的规定。第7号国土安全总统令（Homeland Security Presidential Directive 7，HSPD-7）要求商务部与国土安全部、私营部门进行合作研究，为联邦政府制定政策，以确定和优先保护美国的关键基础设施和关键资源免受恐怖袭击，提高网络安全和关键基础设施安全水平。第12号国土安全总统令则要求商务部与国防部、司法部、国土安全部等部门协商制定针对联邦雇员和承包商的身份识别标准的安全政策，并由商务部负责对该标准的定期审查和更新。

《电子签名规定》（Electronic Signature Provisions）允许与联邦政府机构合作或交易的个人或实体在可行的情况下以电子方式提交信息和保存记录，且电子记录及其相关的电子签名不得仅仅因为它们是电子形式而被剥夺其法律效力、有效性或可执行性；

《联邦政府信息资源管理A-130号通告》（OMB Circular A-130）规定，经过风险评估如有需要，政府机构应当在联邦信息的存储和运输中对其进行加密，除非存在多层级的（包括网络、系统、应用程序和数据）物理和逻辑保护，在存储和运输中加密信息有助于保护信息的机密性和完整性，使其不太容易受到未经授权的披露或修改。各政府机构必须对 FIPS Publication 199中规定的中高影响力的联邦信息进行加密，除非加密在技术上不可行或者会明显影响其执行任务、职责的能力。在加密技术不可行的情况下，如系统老化时，政府机构必须尽早升级或替换系统或系统组件，以便能够实施此类保护技术。选择在不使用加密技术的情况下操作信息系统的官员必须仔细评估其行为的风险，其必须与高级隐私官（Senior Agency Official for Privacy，SAOP）协商并获得首席信息官（Chief Information Officer，CIO）的书面批准。并且只有经过“联邦信息处理标准”（Federal Information Processing Standard，FIPS）验证的密码技术才能被批准用于该通告下的联邦信息系统。

OMB Circular A-130还对联邦政府使用数字签名的事项进行了规定。数字签名可以通过提供身份验证和抗抵赖功能（non-repudiation capabilities）减轻各种安全漏洞，从而确保联邦信息的完整性，数字签名还可以帮助政府机构简化任务或业务流程，支持在线业务的办理。基于该技术的优势，OMB希望各政府机构根据联邦公钥基础设施政策以及NIST标准和指导方针使用数字签名技术。其中，政府雇员和承包商必须使用个人身份验证（PIV）凭证，而对于不属于PIV适用范围的个人，联邦机构在使用数字签名时应利用已批准的联邦PKI凭证。

（三）组织政策

NIST要求每个联邦机构都应当有针对其收集或使用的信息的政策，包括信息管理政策和信息安全政策，使用密码技术的机构还应该制定有密钥管理政策。

1.信息管理政策

联邦机构的信息管理政策是指该机构收集和使用信息的范围及管理方式。联邦机构的管理层制定信息管理政策时应遵循信息管理最佳实践的行业标准、相关的法律法规，并考虑该机构收集和使用信息所要达到的目的。

信息管理政策通常应明确管理人员的角色及工作职责，并对履行信息管理职责的人员进行所需的授权。政策应明确敏感信息的范围及保护措施，应规定需要被保护的信息类别以防止未经授权的披露、修改或销毁。这些规定构成信息安全政策的基础，并进一步决定了为不同类别敏感信息所提供的相应机密性、完整性、可用性、源身份验证保护的等级。¹⁵

2.信息安全政策

联邦机构的信息安全政策是为了通过更详细地说明哪些信息应被保护而免于受到可能的威胁影响，以及如何实现信息保护，从而支持并落实信息管理政策的相关规定。信息安全政策规定了以纸质和电子形式进行敏感信息收集、保护、分发的归责。制定信息安全政策的考量因素，包括但不限于信息管理政策规定，联邦机构信息安全面临的潜在威胁，以及未经授权的信息披露、修改、销毁或丢失所涉及的风险。信息安全政策的主要内容包括分配给不同类别信息的敏感性级别（例如，低、中、高）和用于信息保护的高级规则（SP800-130，设计加密密钥管理系统的框架）。

3.密钥管理政策

负责管理敏感信息保护加密系统的联邦机构应基于机构的政策声明进行密钥管理。密钥管理政策应包括适用于加密密钥材料的生成、分发、核酸、存储、使用、恢复和销毁的授权、保护和约束性的规定，以及对将适用的加密服务（例如消息认证、数字签名和加密）的相关规定。密钥管理系统用于保护联邦机构敏感信息的加密密钥，联邦机构可运行自己的密钥管理系统，也可购买密钥管理服务。

（四）风险管理程序

《联邦信息系统风险管理框架应用指南：安全生命周期方法》（Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Lifecycle Approach，SP800-37），提供了将风险管理框架应用于联邦信息系统的指导方针，包括进行安全分类活动、安全控制选择与实施、安全控制评估、信息系统授权和安全控制监控。

指南首先要求确保信息系统相关的安全风险管理与联邦机构的使命和业务目标，以及高层制定的总体风险战略相一致，确保信息安全需求（包括必要的安全控制）融入联邦机构的体系结构建设和系统开发生命周期过程中。同时支持具备一致性、公开性、持续性的安全授权决策过程（通过持续监控），促进安全和风险管理相关信息的透明性和互惠性，并通过实施适当的风险缓解战略提升联邦政府内信息与信息系统的安全性。

在处理加密功能时，将风险管理框架应用于信息系统所涉及的任务应关注：（1）相较于安全控制的实施，应更注重信息和信息系统的分类以及安全控制的选择；（2）注重安全控制的有效性评估；（3）注重信息系统的授权；（4）注重安全控制的持续性监控以及信息系统的安全状态。

信息和信息系统分类的相关要求包括：（1）将信息系统进行分类，并将安全分类结果写入FIPS199、SP800-30、SP800-39、SP800-59、SP800-60、和CNSS 1253号指令等文件中所述的安全计划；（2）描述信息系统（包括系统边界），并在安全计划中记录描述；（3）向适当的联邦机构项目或管理办公室注册该信息系统。

安全控制的选择应包括以下步骤：（1）根据FIPS199、FIPS200、SP800-30、SP800-53和CNSS 1253号指令，识别由机构提供的、作为机构信息系统公共控制的安全控制措施，并将其记录在安全计划（或同等效力的文件）中；（2）选择信息系统的安全控制，并将其写入FIPS199、FIPS200、SP800-30、SP800-53和CNSS 1253号指令等文件中所描述的安全计划；（3）针对SP800-30、SP800-39、SP800-53、SP800-53A、SP800-137、和CNSS 1253号指令等文件中所述的安全控制有效性、信息系统及其运行环境中的任何潜在或实际变更，制定相应策略；（4）根据SP800-30、SP800-53和CNSS 1253号指令等文件，审查并批准安全计划。

四、总结

在数字时代，密码技术应用的广度和深度显著扩展，密码不再仅是技术对抗的手段，也逐渐成为一项重要产业，既关系到国家安全，也影响到公民信息保护、技术供给和经济增长，密码法律制度的制定需要综合考虑多个方面。美国的密码出口管制法律从严苛到放松与控制并重很大程度上得益于产业发展的需要，同时其国内的密码立法也受到密码对抗的国际影响，密码法在这种转变和应对的过程中始终发挥着重要的保障作用。一方面，美国的密码法律制度呈现出分散立法的特点，包含在出口管制、隐私保护、信息网络安全等多个领域的法律规定中，比较完整和详细，能够和既有的法律规定相衔接；另一方面，由于密码技术日新月异，相关的标准也处于变动之中，因此美国的密码法有较为明显的分工，法律与政策并行，前者规定基本制度和负责的主管机构，后者提供具体且定期更新的技术标准和实践指南，具有稳定性和前沿性，具有重要的研究价值。

参考文献

[1] Thompson Richard M. II & Jaikaran Chris, Encryption: Selected Legal Issues,March 3, 2016.

[2] 22 C.ER. §§ 120-130, as amended by 58 Fed. Reg. 39,280 (1995).

[3] Executive Order 13026 of Nov. 15, 1996, 61 Federal Register 58,767 (Nov. 19,1996).

[4] 61 Federal Register 241, Dec. 13, 1996. These regulations provide, inter alia,that one normally must be a U.S. citizen in order to become a key recovery agent.

[5] "Encryption Items Transferred From the U.S. Munitions List to the Commerce Control List", 61 Federal Register 68572, Dec. 30, 1996.

[6] Encryption Export Controls: Revision of License Exception ENC and Mass Market Eligibility, Submission Procedures, Reporting Requirements, License Application Requirements, and Addition of Note 4 to Category 5, Part 2.

[7] Stanford University,Export Controls: Research and Encryption,https://doresearch.stanford.edu/topics/export-controls-research-and-encryption.

[8] 冯潇洒，《国外加密与执法案例分析及其对我国密码立法的启示》，载《信息安全研究》2018年第3期。

[9] Craig Timberg, Apple Will No Longer Unlock Most iPhones, iPads for Police, Even with Search Warrants, WASH. POST (Sept. 18, 2014), available at https://www.washingtonpost.com/business/technologynology/2014/09/17/ 2612af58-3ed2-11e4-b03f-de718edeb92f_story.html.

[10] Going Dark: Lawful Electronic Surveillance in the Face of New Technologies before the Subcomm. on Crime, Terrorism, and Homeland Security of the House Committee on the Judiciary, 112th Cong. (Feb. 17, 2011).

[11] Ellen Nakashima, Tech Giants Don’t Want Obama to Give Police Access to Encrypted Phone Data, WASH. POST.(May 19, 2015), available at https://www.washingtonpost.com/world/national-security/tech-giants-urge-obama-toresist-backdoors-into-encrypted-communications/2015/05/18/11781b4a-fd69-11e4-833c-a2de05b6b2a4_story.html.

[12] U.S. CONST. amend V.

[13] Doe v. United States, 487 U.S. 201, 208 n.6 (1988) (noting that “‘compelled testimony’ need not itself be incriminating if it would lead to the discovery of incriminating evidence”).

[14] 高一飞，吴刚，《手机解锁搜查中强制企业协助行为的法律调整》，载《河北法学》2018年第11期。

[15] SP 800-130, A Framework for Designing Cryptographic Key Management Systems.

赵赫栋 | 清华大学智能法治研究院实习生

选题、指导 | 刘云

编辑 | 刘懿阳

声明：本文来自清华大学智能法治研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。