美国密码法律制度概览 2023.docx

《美国密码法律制度概览 2023.docx》由会员分享，可在线阅读，更多相关《美国密码法律制度概览 2023.docx（12页珍藏版）》请在第一文库网上搜索。

1、美国密码法律制度概览密码(cryptography)作为实现信息安全的有效方法，在整个数据生命周期中发挥着不可替代的保障作用，长期以来被广泛用于政府机构、外交部门、军队和情报机构的活动中。随着20世纪70年代现代密码学的出现，密码技术正被越来越多的用户所使用。在当今的信息社会中，密码技术已经成为国家重要的战略资源，是保障国家网络与信息安全的重要支柱，直接关系到国家的政治安全、经济安全和军事安全，因此许多国家都通过立法建立了专门的密码管理制度。作为密码技术研发和应用最为成熟的国家之一，美国的密码政策和立法一直具有积极的示范效应。根据美国密码法律制度的基本结构，本文主要从密码出口管制、民用密码管理

2、和政府密码管理三个方面对其进行介绍和分析。一、美国密码出口管制法律制度密码出口管制的主体可以分为密码技术和加密产品两个部分。密码技术(encryption)通常包含五个要素：(1)加密功能；(2)解密功能；(3)密钥；(4)纯文本；(5)密文。1加密技术也称为密码编译，指的是将明文转换为密文的技术。解密技术也称为密码分析，指的是将密文转换为明文的技术。密钥是指用来完成加密、解密、完整性验证等密码学应用的秘密信息，在对称加密中，用于加密和解密消息的密钥是相同的。在非对称加密中，用于加密和解密消息的密钥是不同的。密码技术归根到底是一种技术上的形态与路径。密码产品指的是使用密码技术对于内容信息进行加

3、密保护或者安全认证的产品，比如金融数据加密机、数字电话加密机以及电子支付密码器系统等。密码产品更多指的是含有密码技术的产品，密码技术是密码产品中的核心附属部分。(一)美国密码出口管制法律制度的演变120世纪90年代前:严格管制美国早期的密码技术产品出口受到十分严格的限制，密码被视为一种具有武器性质的军民两用产品，被列入控制武器出口的清单，实行极为严格的管控措施。美国政府试图通过这种方式避免先进的密码技术被外国势力获取，以保证其对外情报工作的开展。1992年以前，几乎所有密码技术产品的出口都由美国国务院(U.S.StateDepartment)通过美国国家武器审查条例(Internationa1

4、TrafficInArmsRegu1ations,简称ITAR)规定2,该条例是美国出于美苏冷战的考虑而制定的。在1992年至1996年12月期间，对密码技术出口的管辖权由美国国务院和美国商务部共享。自1996年12月以来，大多数密码技术的出口受到美国商务部的监管。20世纪90年代前，美国密码技术出口受到国际武器贸易条例(ITAR)和出口管制法(后来经过多次修改)的规制，密码技术主要被应用于军事、外交和情报工作。ITAR的法律效力来源是军火出口管制法(ArmSExportContro1Act,简称AECA),主要规制“国防物品”和“军火”的出口(对除美国或加拿大以外的任何地方)。直到1996年

5、12月，美国政府认为所有密码技术，甚至是仅用于商业的密码技术以及未分类的密码技术，都是国防物品或军火。当然其中也有一些例外情况，例如对一些弱加密的技术产品由商务部下的出口管理局（BXA）进行管辖。但在总体上，国务院基于其自己的政策决定和美国国家安全局（NSA）的建议，出于国家安全的原因直接管制密码技术的出口。一般来说，州政府管辖下的密码产品很难或不可能出口，而商务部管辖下的产品尽管有一些限制却可以出口。总体上，在1996年以前，美国密码出口管制由ITAR具体执行，目的是维护国家安全和外交以及军事有关的利益，对密码技术或者产品进行严格控制。在此期间，密码技术在性质上是属于军需品而被列入军用物品清

6、单，作为军需物品的密码出口需要得到单独许可，且该许可必须得到国防部（DOD）和国家安全局（NSA）的批准。并且根据ITAR规定，出口密码技术和密码产品的长度、强度以及一些特殊加密功能都受到限制。2 .1996年以后：逐步放松管制对密码技术的限制阻碍了美国企业在密码技术方面的发展，不仅包括生产加密产品的企业，也包括以密码技术为生产工具的企业（如经营业务为网络浏览器或电子邮件的企业）。对于许多企业来说，生产两种版本的产品是低效或不切实际的。在这一背景下，越来越多的企业呼吁放松密码出口管制。1996年2月，ITAR规则得到了修改，允许个人在国外使用密码产品，从而允许在飞机上携带有密码软件的笔记本电脑

7、。这种“临时出口”不需要许可证，只需要使用者采取正常的预防措施以确保密码产品的安全（例如将产品作为随身行李携带，外出时将产品锁在酒店房间或保险箱中）。但是，使用者不得复制、展示、销售和再出口密码产品，也不得转让密码产品的所有权或控制权，并且每次携带密码产品出境都必须在五年内保存记录。1996年5月，美国国家研究委员会发布了一项密码学政策研究报告，建议放松出口管制。应该允许出口56位对称加密的加密产品（如DES）,但前提是密码技术或产品必须支持密钥托管或者密钥恢复的功能，即当美国认为出口的密码产品或者技术威胁到美国利益时，美国政府能够取得密钥破解密码；并且如果用户同意向美国政府提供解码信息，则应

8、该允许出口超过56位的加密产品。1996年11月，克林顿政府发布行政命令规定“除应军事申请专门设计、开发、配置、修改、修改的密码技术产品以外，其他所有的密码技术产品应从国务院管辖转移到商务部管辖”。31996年12月，美国商务部基于白宫的行政命令颁布了两项条例，一项指导实施关键密码托管的临时最终规则4,以及一项涵盖更广泛事项的临时规则。5临时规定对美国政府管制密码技术产品出口的制度进行了修改，允许准许所有56位及以下密码技术产品在经过审查期后进行出口（恐怖国家除外）。此前，56位密码产品只被允许出口到金融机构和美国公司的外国子公司。此后，尽管在“911事件”后美国密码出口管制的放松步伐明显减缓

9、，但在整体上不再坚持严格限制的立场，而是通过制度改革进行合理控制，即放松与控制并重。（二）当前美国密码出口管制法律制度的构成1996年美国将作为两用品的密码的管理权由国务院转移到商务部，当前美国密码出口管制机构是设立于商务部下的工业与安全局（BIS）,密码出口管制适用的法律是出口管理条例（EXPOrtAdministrationRegu1ation,EAR）,以源代码或目标代码共享、运输、传输或转让，几乎所有两用加密软件都要遵守出口管理条例。并且多边出口管制的瓦森纳协议也要转换成EAR在国内适用。出口管理条例根据接收方、终端使用以及出口目的国的不同，可能要求获取出口许可，除非例外或者豁免情形，

10、但是如果涉及被禁运的国家，则一律不得出口。当前美国密码出口管制法律制度主要由技术审查、出口授权（主要包括许可证和许可例外）以及报告义务三个部分组成，其中技术审查是为了确定密码技术产品的可控性，出口授权是为了确定出口商的资质，明确责任主体，在密码产品出口之后，出口商还需要向BIS和国家安全局提交年度报告，即出口商的报告义务。技术审查、出口授权和年度报告共同实现密码出口的风险控制。1技术审查美国的密码出口建立在可控的前提下。技术审查是许可证发放的预先步骤，主要是以进出口规则的具体规定为依据，由监管机构据此进行审查。技术审查涉及密码技术和产品的构成和具体形式（包括密码的类型、位数、是否包括源码等）,

11、以及密码技术产品的进口国。由于密码的标准化，技术审查是包括美国在内的西方国家实现出口密码可控性的首要步骤。1996年以后，美国出于占领国际可控密码市场的考虑而逐步放松出口技术审查，但即使是技术审查除外规定，美国也将出口密码控制在可恢复的范围之内。美国商务部2000年对技术审查要求包括：（1）允许任意密钥长度的密码在技术审查后向任何非政府最终用户出口（排除恐怖主义国家）；（2）任意密码长度的密码零售，例如不要求实质支持以有形方式零售出口的密码产品，或为个人消费者使用特殊设计的密码产品，在经过技术审查后允许向任何非恐怖主义国家接受者出口；（3）无限制的密码源码（类似于“开放源码”软件）和可公开获取

12、的商业源码（类似于社区源码“CommunitySourceCode）允许不经技术审查向任何最终用户出口，同时需要向BXA提供源码副本或链接。所有其他源码在技术审查后向非政府最终用户出口。但不得故意向恐怖主义国家出口源码，尽管密码源码可能通过互联网络方式下载，且出口商无法彻底检查下载是否位于恐怖主义国家；（4）允许任何密码无需技术审查向美国公司的国外分支机构（再）出口。2010年，美国商务部进一步简化了密码出口审查要求6,对于国家安全威胁较小的密码产品和技术取消技术审查等待30天的要求，而可以直接授权出口，再出口时仅向BIS提交电子注册即可；同时，大宗贸易密码产品也参照执行上述规定，只有少数类别

13、的许可例外和大宗贸易密码产品还需要30天的审查期限，但涉及国家安全、反恐以及禁运和制裁的除外。3 .出口授权密码出口许可证是在技术审查基础上，对符合标准的密码技术和产品或符合标准的厂商予以资质认可的证明或批件。出口管理条例及其附件商业管制清单（CommerCeContro11ist,CCD、目的国管控清单（CommerCeCountryChart,CCO,及被拒绝清单（DeniedPersons1ist,DPD、未经核实清单（Unverified1ist,UVD、实体清单（Entity1ist,E1）和军事最终用户清单等清单，构成了美国管制军民两用产品的出口、转出口以及转让的主要规则制度。出口

14、管理条例主要规制强两用密码技术产品，在商业管制清单第五章第二部分中包括5A002（密码硬件）和5D002（密码软件），以及大众可通过零售（或类似的销售渠道）获得的5A992（密码硬件）或5D992（密码软件），清单在此对受管制的密码技术产品进行了详细的列举，包括采用密钥长度超过56位的对称算法、采用基于超过512位整数因式分解的非对称算法等，并且将仅限于身份验证和数字签名的密码、使用固定数据压缩或编码技术的软件、设计用于保护库、设计属性或相关数据以设计半导体器件或集成电路的加密/解密代码排除在管制清单之外。在美国出口管制法下，需根据商业管制清单中的出口管制编码（EXPortContro1C1a

15、ssificationNumber,即ECCN编码），结合目的国管控清单对出口物项进行管控，首先将密码技术产品的ECCN编码与最终目的地管控清单上列明的管控理由进行匹配后，确定该密码技术产品的出口地是否需要受到管控，如匹配结果为需要管控，则需在该密码技术产品的EeCN编码中查询是否有符合“加密商品、软件和技术（EnCryPtionCommodities,SoftwareandTechno1ogy,简称ENC）”许可例外的情况，在满足适用ENC许可例外的条件下，可直接通过ENC许可例外进行出口。出口管控条例对包含加密功能的软件和商品的出口、再出口和转让实施管制，包括几乎所有在美国生产、开发或托管

16、的软件以及许多非美国的软件和硬件产品。在大多数情况下，美国公司通过ENC许可例外出口、再出口或转让加密软件或商品,而无需获得BIS的授权。如不适用ENC许可例外，在没有其他可适用的许可例外的情况下，需按照规范流程申办出口许可证。出口管理条例下的公共可用软件不受出口管制。但在通过互联网或电子方式公开强两用密码软件之前，公布者必须向美国政府提供强两用密码的副本或一次性通知代码的互联网位置（UR1）。通知必须在软件公开之前完成，如果在向美国境外传输或转移软件后才发出通知，会被视为违反出口管制法。即公布者必须向出口管制官员（EXPOrtContro1Officer,简称ECO）发电子邮件，内容是出口管理条例控制的强密码软件的互联网位置或UR1,只有在收到ECO的电子邮件确认后，公布者才能将代码上传到公开的网站上。出口管理条例除了管制密码技术产品的出口以外，还涉及对强两用加密软件和硬件方面的活动的