对于加密一事，在保持稳定现状和促进创新发展两个选项中，美国立法机构一直站在保守的立场。

本文的核心观点是：美国国会在加密立法上的停滞不前，其实是带有选择性的“以退为进”。

通过对发生在90年代初三个经典案例的回顾，配之以法律条文的具体规定，基本可以证明，美国对加密立法进程的拖延，看似是一种“不作为”，其实是为了与更为宏观的目标相契合，包括（但不限于）：出口管制政策、情报机构权力、网络空间战略、数字时代竞争力，等等。

FBI和苹果之间的是非，如果总是纠缠在“保护公民隐私和保障安全哪个更重要”这一点，不仅新意了无、大概率无解，也会将注意力沉入毫无建设性的纷繁漩涡。

就目前境况，也别寄希望于法院给出答案。加州和纽约的法官已经选择了各自的立场，一个站在科技巨头这边，另一个和配枪牛仔（FBI）在一起。

问题的最终解决，指向了国会立法。此一观点，也是苹果公司和FBI在国会众议院司法委员会举行的听证会上所达成的唯一的、仅有的共识——“国会当尽速通过加密立法，方可定纷止争”。

提及加密立法，美国国会并不陌生，甚至非常熟悉。立法的需求，其实早在2010年就端倪凸显。

2011年2月，众议院司法委员会就加密立法举行了第一次专场听证会。若以目前的时间节点往回看，这是国会就“加密”举行连轴听证会的起点。

在此后的2011年至2015年期间，参议院司法委员会、参议院情报委员会，以及众议院司法委员会就加密举行的听证会从未间断，可以说，加密立法是美国第112届至目前第114届国会期间，始终贯穿的大热点。

加密技术所依托的密码学，最早可追溯至公元前1900年的古埃及，目前学界认为的两个分支：密码编码学（Cryptography）和密码分析学（Cryptanalysis），分别通过编码以隐藏数据内容和通过对密文解码以获取数据内容，一矛一盾，共存共生了几千年。

加密技术最初主要运用在军事、情报、外交等领域，而随着通信技术的发展和新业务的出现，逐步有了一个“军转民”的过程，此间，亦是公民隐私权逐步觉醒的过程。因此，法律条文中的“通信秘密”（Correspondence Secret），指代的不仅仅是国家公权力机关的秘密（State Secret），也包括公民之间的通信隐私(Privacy)。

近现代以来，加密技术在信息安全、对外贸易、犯罪侦查等诸多领域中扮演着特殊角色，与之相关的法律规则堪称该国信息安全、执法部门权力运用（权力保持）、密码产品出口、全球通信市场的竞争力的“注脚”。

对于加密技术和产品的研发、扩散、出口，美国一直都是施行最严格管控的国家。

目前，美国可适用到加密技术和产品的法律主要是：《国际军火交易条例》（ITAR，The International Traffic in Arms Regulations）及其配套的国防部“军用物品管制清单”（USML，The United States Munitions List），《出口管理条例》（EAR， Export Administration Regulation）及配套的商务部 “商业管制清单”（CCL, the Commerce Control List）。两部法律配合各自清单（ITAR+USML, EAR+CCL），基本上限定了加密技术产品的产、学、研直至出口的整个生命周期。

此外，1998年出台的《数字千禧年版权法案》（DMCA, Digital Millennium Copyright Act），从知识产权的角度对加密技术进行了限定，规定加密和解密技术的故意散布传播属于犯罪行为，将受到刑事惩处。

以下三个经典案例，辅证美国对加密的基本态度。

案例一，90年代初，加密技术产品在法律上属于“军用品”，受“ITAR+USML”的严格控制。

1991年，Philip Zimmermann出于保护电子邮件内容安全的目的，研发出邮件加密软件PGP（Pretty Good Privacy,PGP是迄今为止世界上最广泛应用的邮件加密软件，20多年后，斯诺登与记者联系的时候，使用的加密手段就是PGP）。

为了普惠公众，Zimmermann将PGP上传到互联网供人们免费下载使用。但，依据《国际军火交易条例》和“军用物品管制清单”，Zimmermann发明的这款PGP加密软件属于军事用品，其适用应当被控制在非常有限的范围之内。随即，美国政府对他展开了长达三年的刑事调查。

案例二，公开发表的文章中如果包含加密技术成果，依法被定性成“出口”行为，需向商务部申请“出口许可证”。

1992年，加州大学伯克利分校的研究生Daniel Bernstein，想在学校的学术杂志上发表论文。论文中，包含了他自己的加密技术成果“Snuffle”。根据《出口管理条例》，他的发表行为被界定为“出口”，应当向商务部提交出口申请许可，获批后才可发表。Bernstein于是按照法律规定的程序递交了出口许可证申请，之后等待3年无果。

1995年，Bernstein将美国政府和《出口管理条例》一并告上法庭，该案直至1999年才宣判，法院判决认为出版含有加密技术成果的行为属于言论自由，但是否应当遵循《出口管理条例》以及出版行为是否应当向商务部申请出口许可证，法院做了回避。

案例三，美国高校如果要开授非基础性加密技术的教学内容，需遵守《出口管理条例》中“视同出口”（Deemed Export）之管制规定，外籍学生要走进课堂，需申请“出口许可证”。

1996年，美国Case Western Reserve大学的教授Peter D. Junger向美国俄亥俄州北部地区法院递交诉状，起诉美国政府。起因是，他所开设的课程中包含了计算机加密原理，编著的教材中也包括了具体加密技术的源代码等，依《出口管理条例》被定为“视同出口”，该课程不得招收非美国籍学生，此外，教材也只能以纸质方式印刷，不能上网。

1998年，地区法院作出判决，Junger教授败诉。迄今为止，在美国高校中，但凡课程中包含了非基础性的加密技术，老师是无法决定课堂学生是谁的。

美国对加密技术的法律控制，已经严重影响到美国产学研和企业的切实利益。商学两界都对加密法律诟病连连。 

1996年至今，国会源源不断收到加密技术的法律提案，其中，不乏有数件提案经过激烈讨论，走到了投票的最后一步，但最终，出于种种原因，无一例外全部功篑。以下试举两例：

其二，《1997计算机安全提升法案》（提案）。

提案的主要内容是，对内，非联邦政府部门的计算机系统，可不适用国家技术与标准研究院（NIST）的加密标准；对外，加密产品的出口以市场为导向，而不是以政策管制为导向。该提案在参议院投票未通过。

其他类似法律提案还包括，《1995反电子诈欺法案》、《1996加密通讯隐私法案》、《1999促进可信在线交易鼓励商业与贸易法案》、《公共网络安全法案》等等。总体上，这些法案都围绕着要求政府放松加密管制为主线，即，国内放开产学研、公开发表和技术标准，国外放松出口管制。内容上看，虽然都站在加密技术创新和产品扩大市场、提高国际市场竞争力的角度，但由于不符合美国更为宏观的战略目标，最终都不了了之。

在国会立法“屡战屡败”的情况下，美国政府出于贸易利益的考虑，分别在克林顿政府和奥巴马政府时期，对加密产品出口制度进行了三次微调。

1996年，克林顿政府发布第13026号行政令，将一部分加密技术产品从美国国防部管制的“美国军火管制清单”移入美国商务部管制的“商业管制清单”，部分加密产品由禁止出口开始转而适用商务部《出口管理条例》（EAR， Export Administration Regulation），需要履行申请许可证、出版审查的种种限制规定。

2010年，商务部对加密产品出口控制清单予以修改，允许一些过时的加密产品不再适用出口分类审查。

2011年，商务部从EAR清单中又删除了一部分能够从公开途径（公开市场）获得的加密软件物品。

现实条件的滞碍难通，导致美国加密立法所处的阶段，犹如漫长的冰河世纪。作为立法机构的国会，此时采取冬眠术，的确是最好的选择。

立法层面，囿于军事和国防利益的考虑，国会并没有太多可以施展的空间。如前所述，加密技术和产品目前主要受到两部法律两个清单（国防部ITAR和USML清单，商务部EAR和CCL清单的同时管制，虽然“EAR+CCL”比“ITAR+USML”要宽松的多，但核心加密技术和产品的管制依然以国防部ITAR和USML清单为主。囿于国防安全和军事战略方面的考虑，加之军方始终对于加密立法不支持、不反对、不表态，国会很难通过单纯的立法技术对现状予以改变。

对外贸易层面，加密技术和产品属于国际法中的“军民两用技术和物品”，目前在世界范围内，美国的主导地位稳如泰山，维持现状就很好，并没有驱动因素去制定一套新规则。目前的国际协定《瓦森纳协定》（Wassennar Arrangement）有美、日、英、俄等40多个签约国，尽管Wassennar为各国自愿签署，加密技术和产品的出口由各国自主决定，但背后主要受美国安排和牵制，美国是超级主导国。此外，美国的国内法也一直带有“霸道”的治外因素，比如，商务部EAR和CCL清单，甚至可以决定到出口国的出口目的地（前不久发生的“中兴事件”就是这种法律“治外”因素的最好注脚。一般而言，A国产品出口到B国，这一阶段受到A国法律控制，但B国再将产品出口到C国， A国法律就管不到了，但美国不是这样，美国的EAR和CCL清单要管到“再出口”这一阶段，不仅管B国，还要管C国，此为“治外”）。

安全形势层面，目前，恐怖主义袭击日趋嚣张的当下，加密技术的“双刃剑”效果愈加凸显，这种大背景下，加密立法更不可能松动。虽然加密产品可以保护数据信息，但，恐怖分子也会利用加密技术来躲避情报执法机构的追踪，2015年11月发生在法国巴黎暴恐袭击，ISIS恐怖分子就是利用索尼虚拟VR，通过加密手段在恐怖袭击现场实现了相互之间的意思传递。基于此，硅谷高科技公司所生产的高强度加密产品，被FBI、CIA等情报执法机构所警惕，认为会损害国家安全，也是情理之中的逻辑。更进一步，若全球反恐形势持续不乐观，可以料定，美国的管控基调会一直持续。

考虑到上述主要因素，结合目前美国面临的国内国际局势，基本可以认为，苹果案所引发的加密立法问题虽然紧迫，却只是“镁光灯”照耀之下的紧迫，事实上，并没有可期待性。

CAICT观点 | 我国国家关键基础设施信息安全保护立法建议

CAICT观点∣马志刚：保护我国网络个人信息的意见和建议