寰球密码简报（第12期）丨美CRS聚焦加密常识—就大众关心问题发布专题报告

2016年9月28日，美国国会研究服务处（Congressional Research Service, CRS）发布一项报告《加密：常见问题解答》（Encryption: Frequently Asked Questions），其中明确了加密相关的技术概念与加密使用，并围绕加密与执法的辩论展开了政策讨论。本报告指出，围绕加密与执法的辩论可简化为两种具有争议的观点： 

一种观点是支持构建尽可能强大的密码系统，许多科技公司、行业协会、安全专家和公民自由与人权组织都支持此种观点；

另一种观点是支持在必要时经过司法当局批准有权访问密码系统，美国联邦、州和地方执法机构都持此种观点。

报告评述

针对加密辩论的政策回应还需综合考量隐私保护、国家安全、产业发展、科技利用、供应链全球化等多方面的影响因素。

一方面，针对建立特殊的访问机制，例如后门、提供解密明文等。首先应当考虑有关“动态数据”与“静态数据”所涉及的不同问题。针对静态数据而言，其存储在用户设备还是云中？如果需要建立特殊的访问机制，这种例外访问将仅适用于企业自己的产品，还是要求企业也应当阻止不符合要求的第三方应用程序。例如，对于Apple仅需提供iOS设备及其iMessage服务的访问权限，还是必须禁止Telegram或Signal等第三方安全消息应用程序的使用？同时，例外访问程序需要政府对设备进行物理访问还是同样允许远程访问？

其次，应综合考量隐私与安全问题。合法利用漏洞能否替代合法访问？合法访问要求是否能够兼顾安全与隐私？消费者需求是否将驱动公司进行加密？实践中，美国针对如何实现合法访问要求，提出三种方式：一是技术创新。例如美国之前旨在构建的密钥托管系统以及强制性生物特征加密，因为生物特征属于物证，其不受美国宪法第五修正案（不得强迫自证其罪）的保护，因此可以兼顾用户安全与执法调查目的，但仍不能解决端到端加密问题。二是允许用户选择。例如设置“紧急访问模式”，这将使公司能够在设备死机或丧失工作能力时解锁设备或解密通信。消费者首次使用设备或服务时，服务商将提示消费者确定是否使用“紧急访问模式”还是使用端点或端到端加密。三是产业激励措施。例如政府建立的公私合作模式，由产业专家和政府合作解决密码、技术和执法访问等相关问题，加强密码研发与投入。

另一方面，针对建立强制披露制度的政策回应，旨在减少安全漏洞，减少企业、消费者、执法机关的经济负担，减轻执法监控的滥用，实现个人信息安全与国家安全之间的价值权衡。对此，2018年，澳大利亚颁布《2018年电信和其它立法修订案（协助和访问）》，旨在强制本地和国际技术服务提供商与执法部门以及情报部门合作调查犯罪活动和恐怖分子活动，法案规定执法部门和情报部门可提出三种请求：技术协助请求（TAR），提出请求的框架，包括为自愿协助的企业提供补偿；技术协助通知（TAN），强制企业在能够提供协助的情况下提供协助，例如解密通信内容；以及技术能力通知（TCN），强制企业在预期会收到TAN或TAR的情况下开发新的解密技术能力。

       本期简报对报告中加密技术的概念、使用，加密政策的应对与权衡等内容进行了翻译整理。主要内容如下：

为深入研讨我国密码法相关制度与现实挑战，凝聚国内外密码与网络安全精英，合力推动我国密码产业发展，苏州信息安全法学所密码法研究中心特别编辑“寰球密码法律政策发展动态”简报，供政府、产业及学术同仁参考。以期联合政产学研力量，为我国密码工作在法治轨道上稳步前行提供智力支撑。编委会（筹）、编辑部采取开放组织形式，欢迎各界同仁予以各种方式积极参与和支持，踊跃投稿！

主     编：马民虎          

副 主 编：黄道丽 朱莉欣

责任编辑：原浩 赵丽莉 马宁 方婷 何治乐 冯潇洒 谢永红 赵婧琳 郝静雯

联系电话：0512—69562805，17792480296

投稿邮箱：xieyonghong2015@xjtu.edu.cn

往期简报回顾

• 第1期丨欧盟通过《加密保障安全和加密的安全问题决议》及各方反响

• 第2期丨加密：在隐私、安全和合法数据访问之间寻求平衡

• 第3期丨法国2004-575号法令2020年修订版中的密码规则

• 第4期丨SolarWinds攻击事件后美国国会议员致信NSA“质询”加密后门问题

• 第5期丨2020年度美国NSA网络安全的密码工作评述

• 第6期丨美国联邦公钥基础设施指南

• 第7期丨美CRS报告聚焦区块链应用实践、局限性和监管考量

• 第8期丨加密货币犯罪与反洗钱报告（上）

• 第9期丨加密货币犯罪与反洗钱报告（中）

• 第10期丨加密货币犯罪与反洗钱报告（下）

• 第11期丨全面推进密码法治建设 不断加强网络安全保护