简报丨法国2004-575号法令2020年修订版中的密码规则
The following article is from 苏州信息安全法学所 Author 马 宁,何治乐
2020年6月26日,法国更新《2004年数字经济信心法》(2004-575号法令),该法令是法国对欧盟《电子商务指令》(2000/31/EC)的国内法转化版本,最新修订版于2021年2月20日生效。在经历了逾两年的延期后(2000/31/EC的法国国内法转化原计划于2002年实施),这部充满法国对振兴数字经济强烈愿景的法令最终于2004年6月21日正式实施。作为法国总理为促进信息社会发展而提出的“RESO 2007”计划项下的第一个立法步骤,该法令致力于为数字经济的良性发展创造信任环境,并增加数字经济活力。
密码规则是该法令所关注的重要议题之一,其在第三编“数字经济安全”中专章对“密码方法和服务”进行规定。直到今天,该法令中所确立的密码规则仍然是法国进行密码监管的核心依据。从该法令的章节安排便可以看出,法国政府将密码视为数字经济发展的必要支撑。因为密码作为保障信息安全最有效的方法,能够在不安全的通信环境中为“系统代价”和“安全需求”提供有益平衡,实现信息和信息系统的保密性、完整性和可用性。
该法令对密码利用的态度几乎是完全开放的。尽管在经历过上世纪九十年代的“密码战争”之后,“加密应当被作为准则,而非例外”的观念开始成为一项共识,导致各国的密码监管趋势总体放缓。但如2004-575号法令这般结合数字经济场景,刻意放大密码对经济“工具性价值”的立法例还是颇为罕见。在本次更新中,法国政府并未对密码规则部分进行实质性修改,这意味着,保持宽松的密码利用政策环境仍然是法国政府在新一轮数字经济竞争中秉承的基本策略。
长久以来,作为“两用物项”的密码通常较为敏感,其与经济发展之间的关系并没有我们想象中的那么密切,密码的“经济属性”几乎很少被考虑。但正如2020年欧盟主席冯德莱恩的“技术主权”战略和欧盟的《欧洲数据战略》所希望阐明的那样,数字化转型正在塑造数据(信息)驱动的社会进程,而这将为经济发展提供新的动力。我们认为,数字化转型的关键是“资产”向信息系统的迁移,这意味密码的保障功能及其附加的安全意义将能够扩展至几乎所有传统和新兴经济部门,例如我们今天所普遍关注的“交易安全”问题。事实上,2004-575号法令已经在尝试构建这种密码与经济之间的“安全关系”。最典型的是该法令是按照密码方法的功能(认证和完整性控制功能),而非适用领域(军用/民用)进行的监管考虑,这是一种极具创新的密码监管思路,即便在今天看来都极富借鉴价值。
随着密码技术应用的不断普及,可以预见,其中的价值博弈可能会越来越激烈,对统一架构下的密码规则进行构建将变得越来越困难,例如目前“商”“密”之间的安全冲突仍然很难调和。2004-575号法令在数字经济下对密码规则的特殊考虑提供了一种可借鉴的途径,即单一化密码监管诉求,这可以剥离冗余的法益考虑,使立法思路及规则结构更为清晰。当然,这同样需要考虑与统一密码规则衔接问题。
2004-575号法令所确立的密码规则极为简单明晰,当然,这是在数字经济场景下的特殊考虑,可能并不适合统一性质的密码监管立法。但这种“场景化”的立法模式确实规避了复杂的监管结构和法益冲突,反而可能成为一种高效的规范方法。如前所述,2004-575号法令在密码方法使用自由(所有类型的密码,并且不考虑密码强度问题)的总体思路下,按照“功能分类原则”进行监管。2004-575号法令将密码方法分为“专门用于认证或完整性控制功能的密码方法”和“非专门用于认证或完整性控制功能的密码方法”,实施不同的管控策略。
针对“专门用于认证或完整性控制功能的密码方法”,由于其对数字经济安全起到不可替代的保障作用,并与常见的安全场景直接相关,因此完全豁免监管,使用、提供、转移(从欧盟成员国转出或向欧盟成员国转入)、进出口此类密码方法完全自由。这就保证了各方主体可以充分利用密码方法实现“交易安全”,增加数字经济环境下的信任。
针对“非专门用于认证或完整性控制功能的密码方法”,尽管2004-575号法令仍然承认“使用自由”,但在“供应环节”附加了必要限制。我们考虑,这主要是出于传统密码安全的顾虑,且从“数字经济信心”这一核心立法宗旨出发,此类密码方法在当时与数字经济安全并非直接相关。该法令对此类密码方法的“输入”和“输出”同样实行区分管理,监管强度并不一致,简单来说就是“宽进严出”:
1) 向法国输入(例如进口)此类密码方法,需事先向总理申报(注意不要求许可),且应提供密码方法的技术特征以及所用软件的源代码等必要信息。
2) 从法国输出(例如出口)此类密码方法,则需总理批准(此处可视为许可要求)。
这里需要注意的是,对于上述限制,2004-575号法令同样进行了基于国防利益和国家安全的考虑,但这种考虑并非传统意义上的“国家安全例外”(例如对他方合法利益的减损),而是豁免该法令的义务设定。例如,免除申报和许可义务。这是一种很有意思的“逆向思维”,但其中蕴含的逻辑很令人深省,在特定的安全考量中,也许基于义务设定的“限制”本身也会导致不安全。2004-575号法令的这种规定在一定程度上能够增强在国家层面调整密码使用的灵活性。
2004-575号法令关注的另一项关键问题是“密码服务”。由于密码使用本身具有相应的专业性要求,为此在数字经济中,密码服务可能比机构或个人自行使用密码的情况更为普遍。为此,该法令规定,提供密码服务必须向总理申报(注意不是许可)。同时,该法令非常强调密码服务提供者的用户责任,除非能够证明不存在故意或过失,否则密码服务提供者应当对用户在接受服务过程中遭受的损失承担损害赔偿责任,即便双方的合同中存在于此相反的条款,这将在最大程度上保障用户利益,建立公众对数字经济的信心。
此外,2004-575号法令对于违反密码规则的处罚非常严厉,除可能禁止相关密码方法的国内流通外,相关人员还需要承担相应的行政责任和刑事责任。
综上所述,法国2004-575号法令中的密码规则具有诸多“可圈可点”之处。我国《密码法》已经正式实施,开启了密码法治的新时代。在未来我国深化和完善密码监管框架进程中,对如下几点可进行重点关注:
·尝试建立“场景化”的密码监管立法思路;
·将密码功能作为密码分类管理的一种可能性;
·双向定位“国家安全例外”;
·建立“行刑衔接”的处罚规则。
本期简报对法国2004-575号法令中密码规则的核心内容翻译整理如下:
关于“寰球密码法律政策发展动态简报”
为深入研讨我国密码法相关制度与现实挑战,凝聚国内外密码与网络安全精英,合力推动我国密码产业发展,苏州信息安全法学所密码法研究中心特别编辑“寰球密码法律政策发展动态”简报,供政府、产业及学术同仁参考。以期联合政产学研力量,为我国密码工作在法治轨道上稳步前行提供智力支撑。编委会(筹)、编辑部采取开放组织形式,欢迎各界同仁予以各种方式积极参与和支持,踊跃投稿!
主 编:马民虎
副 主 编:黄道丽 朱莉欣
责任编辑:原浩 马宁 方婷 何治乐 冯潇洒 谢永红 赵婧琳 郝静雯
联系电话:0512—69562805,17792480296
投稿邮箱:xieyonghong015@xjtu.edu.cn
往期简报回顾