查看原文
其他

简报 | 欧盟通过《加密保障安全和加密的安全问题决议》及各方反响

赵婧琳 郝静雯 苏州信息安全法学所 2022-07-03

前  言

“加密与执法”的冲突与协调是各国密码管理法律制度中最具争议也是最为核心的问题之一。近年来,随着全球网络安全态势的深刻变化,越来越多的服务提供商将密码技术作为产品、服务的“默认”设置,以提升自身或用户安全保障水平,广泛推动和促成了密码技术的商业使用。这种市场化的加密需求与执法机构之间的冲突变得越来越激烈,尤其是新冠疫情肆虐以来,网络犯罪激增,更是加剧了上述冲突。

2020年11月,在奥地利和法国发生伊斯兰恐怖袭击之后,欧盟提议禁止在WhatsApp和Signal等现有应用上使用端到端加密功能,同时提出,立法者、学术界、产业界之间需要采取协调的方法,以提出一个服务于各方的替代方案,从而禁止在数据传输的每个阶段都对其进行完全加密但又有效的安全解决方案。2020年12月,欧盟正式通过相关决议。


决议概要


2020年12月14日,欧盟理事会通过一项名为《通过加密保障安全和加密的安全问题》(Council Resolution on Encryption Security through encryption and security despite encryption)的决议。

基于加密对保障安全通信的重要意义,欧盟表示将会继续支持强加密的开发和利用,以便更好的保障公民和社会的基本权利。但是加密技术越来越多地应用于公共和私人生活领域的同时,也给执法当局和司法部门带来挑战。一方面,犯罪分子利用加密技术,使其犯罪活动更难被发掘;另一方面,随着“数字生活”和网络空间的快速发展,执法当局和司法部门也越来越依赖电子数据的获取,以有效打击恐怖主义、有组织犯罪、儿童性虐待以及其他一系列网络犯罪。虽然加密是数字化和保护基本权利的信心之锚,应该得到促进和发展。在一些情况下,尽管获取这些数据是合法的,但加密使得为了获取电子证据而对通信内容的分析变得极具挑战性或实际上不可能。独立于当下的技术环境,必须通过合法访问来维护安全和刑事司法领域的主管部门的权力,以执行法律规定和授权的任务。某种意义上,加密在保障安全的同时,也给安全带来了挑战。

因此欧盟倡导在加密和执法之间取得一种平衡,既能够让加密继续发挥保护隐私的重要作用,同时执法当局和司法部门也能够以合法和有针对性的方式获取相关数据,打击犯罪。为取得上述平衡,欧盟建议与产业界和学术界联手,加快强加密技术的发展,同时确定执法当局和司法部门获取加密数据的必要条件和合理方式。此外,欧盟还考虑建立一个统一的监管框架,使执法当局和司法部门能够有效地执行其业务任务,同时保护隐私、基本权利和通信安全。


学术界回应


2020年12月22日,来自27个国家和地区的452位学者实名发表公开信对欧盟上述决议进行回应。信件在肯定加密对保障安全通信的重要意义的同时,指出任何为了所谓合法目的试图削弱加密通信安全的行为都是荒谬的,将会破坏社会的基本权利,加密与执法之间的平衡今天不存在,未来也大概率不可能存在。

欧盟作为坚定的数据和网络信息安全保护者,应当继续发挥密码对保障安全通信的重要作用。由于密码的公开性,犯罪分子利用密码技术隐瞒犯罪是无法避免的,但由此允许执法访问加密信息和合法拦截是不合理的。法治国家权力不被滥用至关重要,在数字社会也同样如此。为追踪网络犯罪而允许数据拦截将会导致权力滥用,因为数字监视比现实监视更不可控、更易被滥用,因此应当研究以更科学合理的方法获取电子证据。

尽管加密给执法工作带来严峻挑战,但负责任的加密始终是一个欺骗性概念,加密和执法之间不存在所谓的平衡。为了支持政策制定者的工作,这封信的目的是为执法机构在今后的执法活动中提供研究支持。这封信建议决策者今后在做出任何决策前都应当就需求确认、技术解决方案和初步评估,在法律、道德、技术和实践方面进行充分和开放的讨论。


产业界回应


2021年1月29日,针对欧盟上述决议,欧盟加密服务提供商ProtonMail、Threema、Tresorit和Tutanota敦促欧盟决策者重新考虑实施加密后门的计划。他们各自发表声明警告说,欧盟公民的权利正受到这些反加密提议的威胁。

为企业提供端到端加密云存储的Tresorit称,“虽然决议中没有明确规定,但人们普遍认为,该提案旨在允许执法部门通过后门访问加密信息。然而,该决议却造成了一个根本性的误解:加密是绝对的,数据要么加密要么不加密;用户要么有隐私,要么没有隐私。”

加密电子邮件服务ProtonMail的首席执行官Andy Yen评论道:“简单地说,这项决议与之前的提案没有什么不同,之前的提案引起了关注隐私的公司、公民、专家和欧洲议会议员的广泛反对。这次的不同之处在于,理事会采取了更为微妙的做法,明确避免使用“禁令”或“后门”等字眼。重要的是,现在要采取措施,防止这些提议走得太远,从而保持欧洲人的隐私权完好无损。”

免费加密电子邮件服务商Tutanota的首席执行官兼创始人Arne Möhle警告说,这对欧盟公民有影响。“通过最新加密后门尝试,政客们希望有一种更简单的方法来防止恐怖袭击等犯罪,但他们却忽略了加密可以保护我们免受其他犯罪的侵害:端到端加密保护我们的数据和通信免受黑客、(外国)政府和恐怖分子等窃听者的攻击。通过要求加密后门,政客们并没有要求我们在安全和隐私之间做出选择。他们要求我们不要选择安全措施。”

安全消息应用程序Threema的首席执行官兼创始人Martin Blatter警告称,这将对欧洲企业产生影响。“年轻的欧洲公司现在站在这场技术和数据保护革命的最前沿。经验表明,任何削弱这些成就的东西都可能而且将被第三方和罪犯滥用,从而危及我们所有人的安全。有了大量不可控制的开源替代方案,如果用户知道某项服务遭到破坏,他们不会继续使用这些应用程序。迫使欧洲供应商绕开或故意削弱端到端加密,将摧毁欧洲IT初创企业的经济,甚至无法提供一点额外的安全性。”


资料来源


1. 欧盟决议原文:

https://www.consilium.europa.eu/en/press/press-releases/2020/12/14/encryption-council-adopts-resolution-on-security-through-encryption-and-security-despite-encryption/


2. 专家公开信原文:

https://sites.google.com/view/scientists4crypto/


3. 企业声明原文:

https://www.securityweek.com/encrypted-services-providers-concerned-about-eu-proposal-encryption-backdoors


关于“寰球密码法律政策发展动态简报”

为深入研讨我国密码法相关制度与现实挑战,凝聚国内外密码与网络安全精英,合力推动我国密码产业发展,苏州信息安全法学所密码法研究中心特别编辑“寰球密码法律政策发展动态”简报,供政府、产业及学术同仁参考。以期联合政产学研力量,为我国密码工作在法治轨道上稳步前行提供智力支撑。编委会(筹)、编辑部采取开放组织形式,欢迎各界同仁予以各种方式积极参与和支持,踊跃投稿!


主     编:马民虎          

  编:黄道丽 朱莉欣

责任编辑:原浩 马宁 方婷 何治乐 冯潇洒 谢永红 赵婧琳 郝静雯

联系电话:0512—69562805,17792480296

投稿邮箱:xieyonghong2015@xjtu.edu.cn



更多资讯 欢迎关注
“苏州信息安全法学所”



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存