在当今的数字化环境中,物理世界和虚拟世界之间的边界日益模糊,人们的日常活动也越来越多地向网络空间迁移,这使得与加密有关的法律问题得到了更多的关注。近年来,欧美及亚洲的许多国家和地区正在加速出台和完善与密码有关的法律法规,与此同时,多数南美国家在密码法治领域的发展则较为缓慢。然而,不少高度依赖加密技术的行业和领域都在南美有不可忽视的市场发展潜力,例如,因经济和政治环境的影响,南美对于加密货币交易的市场需求就高于世界上大多数其他地区。这样的现状让南美国家也逐渐意识到本国密码法治发展的重要性和迫切性。来自巴西南里奥格兰德联邦大学的Oscar V. Cardoso于2022年发表了一篇名为《密码学与法律:巴西案例》(CRYPTOGRAPHY AND LAW:THE CASE OF BRAZIL)的文章,主要分析了巴西在密码法治发展方面的现状。本期简报对该文的主要内容进行了提炼和编译,以飨读者。

一、概念简介

想要正确和安全地应用密码学,就离不开对其的监管,法律需要通过定义与密码有关的合法与违法行为,来界定和限制对密码学的使用。作者在本章节主要阐述了在巴西法律背景下的密码学、密码编制学和密码分析学的概念。

(一)密码学的概念

密码学本质上是对隐藏、存储、传输和揭示信息内容的方法进行研究,并可同时被用于确保信息的真实性和不可抵赖性等。因此,无论信息的机密性如何,只要在处理信息的同时又希望保证信息的安全,就需要应用密码学及相关的一系列技术。密码学包含了加密和解密两个方面的基本原理、定义和技术,因此,密码学实际上由密码编制学和密码分析学共同组成。

(二)密码编制学的概念

加密算法用以将明文转换为密文,由信息的发送者使用,解密算法用以将密文转换回明文,由信息的接收者使用。而针对加密算法的研究即是密码编制学。

密码编制学可以大致被分为两类,一类是基于有关加密技术的研究,另一种是基于加密所使用的密钥的研究。古典密码学中的加密主要基于置换密码、代换密码和隐写术等方式,而今天的加密技术和新的密钥设计正在进一步加强对信息的保护。

(三)密码分析学的概念

密码分析的主要目的是发现和读取被加密或隐藏的信息,由三个阶段构成:

1.识别:检查是否存在隐藏消息以及应用于此的代码或系统;

2.破解:测试代码或以其他方式尝试识别消息的隐藏内容;

3.配置:完整识别隐藏内容并输出。

二、巴西密码领域法律规定

基于对法律更新迭代与技术发展之间平衡的考量,本章节重点分析巴西与密码有关的主要法律法规。

(一)数字签名

巴西第一部涉及密码技术应用规范的法令出现在一项临时政策中(临时政策是巴西的一种用于在特定情况下迅速应对紧急情况或填补法律空白的特殊法律工具),即Medida Provisoria(MP)no. 2.200-2/2001(以下简称“MP 2.200-2/2001”)。该法令确立了巴西的公钥基础设施(ICP-Brasil)由用于数字识别的数字证书的分级信任验证链组成,而ICP-Brasil的主要功能是保证电子文件的真实性、完整性和法律层面的有效性,从而确保电子交易的安全。

根据MP 2.200-2/2001的规定,数字证书使用非对称加密技术来确保数字签名的完整性、有效性和不可抵赖性。每个数字证书都可以由经认可的证书颁发机构颁发,且持有人需要创建一对公钥和私钥作为其加密的密钥。持有私钥的人可对文档进行数字签名,而任何持有公钥的人则都可以访问该文档。

(二)互联网隐私保护

虽然《巴西互联网法》(Act no. 12.965/2014)中并未明确提到密码学,但这部法案通过确保在线用户的权利支持了对密码学和密码技术的使用,其中包括了个人隐私、个人生活的不可侵犯性、在线通信传输的不可侵犯性和保密性以及已存储私人通信纪录的不可侵犯性和保密性。

以网站为例,网站上的安全套接字层(SSL)和传输层安全性协议(TLS)的数字证书中包含了在服务器和浏览器之间创建加密链接的安全协议,以此证明页面的真实性,保护传输的数据和信息的机密性。而通过与超文本传输协议(HTTP)的集成,这种技术的使用范围已经扩大到成为整个网站的安全保障。安全超文本传输协议(HTTPS)就是应用SSL或TLS作为HTTP应用层子层而产生的集成协议,这使得用户在与网络上其他应用程序产生的通信能得到更好的加密保护。《巴西互联网法》第 13 条第IV款就规定了,在用于保管、存储和其他数据处理活动的记录管理解决方案中,加密是用于保证互联网上数据不可侵犯的技术之一。

(三)个人数据保护

巴西的《通用个人数据保护法》(LGPD)中并不包含任何与密码直接有关的规定,但其中仍有部分条款可适用于加密,或与密码有所关联。

首先,密码可以与匿名数据(第5条第III款)和匿名化(第5条第IX款)有关的概念相结合。作为一种处理个人数据的方式,匿名化使得个人数据无法再与特定的数据主体直接联系起来,也正因如此,LGPD只对匿名数据和匿名化进行了定义,并没有进行其他更进一步的具体规定,换言之,被匿名化的数据在当前将不受LGPD的约束和影响。而加密作为可以被用于匿名化个人数据的技术之一,这意味着它也是一件能够让特定的数据和相关处理流程脱离LGPD约束的工具。

其次,LGPD第七章的第46条中规定,数据处理者应采取相应措施,保护个人数据免受未经授权的访问以及意外和非法的破坏、丢失、更改、传输或任何其他形式的不当及非法处理。这里的“采取相应措施”即包含了使用密码技术。

此外,LGPD在第48条第3款中规定,数据控制方应当向国家主管部门和个人数据主体报告可能产生重大风险或损害的安全事件,且在判断事件严重性时候,数据控制方应评估已有证据,并证明其采取了适当的技术措施,以使得其掌握的个人数据在其服务范围和技术限制内不会被未经授权的第三方访问。这相当于确定了密码技术应用的合法化。

(四)加密货币

作为商业交易的媒介,货币的主要功能有三:价值计量、支付手段、经济储备。数字货币是特定的货币所采用的数字形式,因此,其仍然是属于国家发行的货币,只是以虚拟形式存在。而加密资产则是一种基于密码学的资产,主要依赖于分布式存储技术,加密货币正是加密资产的一种。由于其基于去中心化系统,因此不受国家或中央银行的监管。

巴西对加密货币的监管目前仍处于起步阶段,多数法规主要有关于数字货币或电子货币。例如在第12.865/2013号法案中,就对电子货币进行了定义,并规定巴西支付系统(SPB)可授权支付机构将实物货币兑换成电子货币(或将电子货币兑换成实物货币),以便管理电子货币的使用。

巴西证券交易委员会(CVM)在其2018年的一份通函中提到了关于受CVM第555/2014号指令监管的投资基金投资加密货币的可能性。基于巴西当前的情况,CVM得出结论,认为加密货币不是金融资产,因此也不能被基金收购。然而CVM在同年发布的第11/2018号通函中又解释道,CVM第555/2014号指令并未阻止巴西的投资基金通过收购投资于虚拟货币的基金股份、衍生品和其他资产间接投资于加密货币,而只是要求这些投资基金需要在位于授权此类投资的国家展开工作。

巴西联邦税务局(RFB)第1.888/2019号规范指令中规定了提供有关使用加密资产(包括加密货币)开展业务信息的义务。换言之,RFB通过规范个人和法人实体申报加密资产的义务,间接承认了使用这些资产进行业务的合法性。

三、总结

作为保护数据的重要手段,无论是在数据存储还是传输的过程中应用加密技术,都可以规避许多潜在的威胁,因此,相关法律的制定是具有其必要性的,法律监管对于为加密技术提供法律层面的确定性至关重要。虽然巴西目前的法律体系中尚未对密码学及密码使用领域的监管进行明确规定,但在当前的立法进程中,相关法律的制定已被认为是确保信息安全的重要手段。

如今,随着密码技术应用的增多,对相关法律的需求也日益凸显。以加密货币为例,因其不受国家或者中央银行的监管,且仅以虚拟形式存在,监管难度比国家发行的货币更高。当前,加密货币在全球范围内得到越来越广泛的使用,背后也存在越来越多潜在的非法使用和交易,各国都应采取行动,以安全合法的方式规范其使用。

目前,巴西的加密货币交易市场实际已经具有一定的体量。虽然巴西正在尝试通过加强立法,来填补针对巴西境内的加密货币或其他数字货币交易行为的法律缺口,但总体上,这一领域的法律仍有待完善。而根据巴西宪法的合法性原则,法律未明确禁止的行为即是被允许的,这将导致相关的非法行为在法律得到完善之前难以被很好地控制。

诸如此类与密码有关的领域在发展的同时也正在产生一系列问题和风险,而法律法规的欠缺则让这些问题和风险更难以被妥善地解决。想要改变这一现状,离不开相关法律的完善。

最后,值得注意的是,在文章作者撰写该文时,巴西的第4401/2021号法案刚刚进入巴西国民议会的审议阶段。该法案已于2023年6月20日正式生效,其中对虚拟资产交易及虚拟资产服务进行了相应的规定,并确定了中央银行为监管机构,有权对市场运营主体进行授权。这无疑是巴西在有关加密货币的立法上迈出的重要一步,也可能为巴西未来的密码法治发展找到符合本国特色的切入点。

(审核:朱莉欣 马宁)

声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。