寰球密码简报(第13期)丨美国“加密工作组”发布新版《印度加密政策争议》报告
2021年3月,美国卡内基国际和平基金会和普林斯顿大学联合发起的“加密工作组”(Encryption Working Group)发布新版《印度加密政策争议》报告,对2019年版本的同名报告进行更新。内容上,两份报告既有很强的关联性,但又彼此独立。在详细参阅2021年更新报告之前,需要对2019年的首份报告有所了解。为便利阅读,本简报对两份报告均进行了整理。
2019年5月,美国“加密工作组”发布针对印度加密政策的首份评述报告—《印度加密政策争议》,该份报告记录了过去几十年来印度密码学和技术的发展,这些发展对围绕加密制定法律和政策影响深远。该报告旗帜鲜明地指出,加密——特别是广泛用于个人通信和数字交易的大众市场密码,目前在印度处于非常脆弱的地位。印度的加密政策在“个人隐私、数字基础设施安全和政府对个人数据的访问三者之间如何进行平衡”的方向仍然模糊不清,在政府、企业和政府的数字化进程加速之后,这种平衡只会变得更加难以实现。
该份报告详细概述了印度加密的历史、主要利益相关者和新兴政策法规。更为重要的是,报告指出了印度形成目前加密政策格局的三大动因:即数据的执法访问、新兴数字经济工具的安全性和平台责任。当前,印度国家加密政策的持续缺位,加上数据、加密和数字生态系统立法的交织发展,使这些问题变得更加复杂。针对这一判断,该报告讨论了印度现有的政策选择,并希望进行适度规范。
在此基础上,2021年美国“加密工作组”对报告进行更新,系统回顾了上述三大动因主线在过去一年中的发展和变化。该报告认为,印度加密政策的现状和发展方向变得更加微妙,也更加令人担忧。一些争论和问题已经进入了新的十年,特别是平台的法律责任、用户责任、漏洞治理等问题变得更为复杂。
客观而言,美国“加密工作组”在两份报告中的观点具有相当程度的专业性和客观性。例如,其指出印度现行政策立法中迫切希望提升执法能力的努力可能存在技术的不可实施性。但是,受限于该报告的主旨,美国“加密工作组”并没有对印度的加密政策给出过多的评论或是解决方案,而更类似于“观察者”的客观记录。尽管如此,该报告仍然是极为详实的政策研究文本。
印度在全球加密政策的发展中具有一定的代表性,尽管其在“制度化”层面存在很大的缺失,但政府主导的政策方向历来颇为强势,主张对加密技术实施“强监管”。特别是在孟买爆炸案发生之后,印度通过DOT和电信管理局的相关规则强行推动“密钥托管”策略,使之成为自上世纪90年代“密码战争”结束之后少有的加密政策范例。
事实上,印度加密政策的争议是目前几乎所有国家都共同面临的政策困境:即强加密技术的开放使用能够有效提升信息系统和数据的安全性,但同时也会阻碍执法部门的执法能力,例如孟买爆炸案中所展示的那样。在本质上,加密政策的争议是个人隐私、产业发展和国家安全、社会利益之间的价值博弈。但即便是在单向度的价值取舍中,加密政策也会出现不可调和的内部冲突。例如,针对国家安全,强加密技术的使用会促进国家关键信息基础设施的“稳健性”,但不受监管的强加密技术又会产生极为严重的国家安全威胁(例如2020年披露的美国通过控制瑞士加密公司对120多个国家进行监听的事实)。为此,加密政策是目前在技术监管立法中最为复杂和棘手的问题。
而且,这一问题似乎很难寻求到其中的平衡点。尽管在不同的历史时期内,针对加密政策会出现不同的价值倾向,导致“宽严迥异”的政策范本。但从全球加密政策的整体发展趋势来看,安全、发展和隐私之间的矛盾仍然未能妥善解决。包括美国在内,尽管其在“密码战争”中最终放弃了“密钥托管”的尝试,承认密码技术的国内使用自由。但在2016年和2020年FBI和苹果公司的两次“解密对抗”中,执法便利的诉求仍然是政府希望实现的核心突破。
近年来,随着数字经济的崛起,密码技术的重要意义得到显著提升,进一步复杂化了本已纷乱的价值博弈。毫无疑问,加密政策争议仍然是极富魅力的研究议题,并将长期存在。
美国“加密工作组”的《印度加密政策争议》报告整理如下:
2019年版本
1、概述
在过去的几年,印度的技术政策辩论经历了一场结构性的转变。这通常可归因于技术服务的自然发展及其对商业和福利日益重要的作用。然而,其中有三个最为重要的事件使网络治理成为最为优先的政策重点。
首先,2014年,莫迪政府为印度国家生物识别计划(Aadhaar)设定了一个前所未有的目标,将10多亿印度公民及其敏感个人信息纳入集中的数据库。截至2018年2月,共有11.7亿印度公民参与其中。Aadhaar不仅使数据成为公共基础设施的一部分,而且使加密技术成为保护印度国家安全的关键。
其次,2017年,印度最高法院由九名法官组成的法官组承认隐私权是印度宪法规定的一项基本权利,这项裁决解决了印度60多年来在这一问题上相互矛盾的司法声明。
再次,2018年,电子和信息技术部确定了印度首部数据保护综合立法草案,并很快提交议会审议。这项法案一旦通过,将为科技公司引入新的问责措施,并建立专门机构来监督数据保护的执行。所有这些发展都将印度信息架构的安全置于政策制定的首要位置。然而,作为安全信息生态系统的基本组成部分,加密技术的未来仍然具有不确定性。
印度政府目前在监管网络内容方面的强势姿态主要源于缺乏应对网络犯罪的能力,印度常常无法系统地获取储存在国外的电子证据,这使得加密政策常常成为印度执法部门和美国科技公司对抗的核心。
尽管2000年《信息技术法》赋予印度执法部门截获和解密通信的广泛权力,但这些权力很少被用于收集电子证据。取而代之的是,各执法部门在寻求获取电子通信时,依赖于1973年《刑事诉讼法》第91条等规定的搜索和扣押条款。在引用解密规则的情况下,这些规定在很大程度上是对社会和政治发展的反应,并在印度政府和技术界之间造成了重大摩擦。最突出的例子是印度政府在2007年至2012年间对黑莓展开的行动,这些行动曾迫使该公司允许执法部门访问加密的黑莓信息和黑莓互联网服务电子邮件。这一事件在一定程度上促成了“数据本地化”和司法互助协议框架的改革。
2、印度加密政策的发展
· 早期
印度很早就认识到互联网在电子商务和数字银行方面的潜力,于20世纪90年代末正式开始制定其信息技术政策。值得注意的是,在2000年的《信息技术法》中,印度便规定使用数字签名对在线交易进行认证,该法还支持使用公钥基础设施(PKI)对交易进行加密、签名和认证。然而,在这一时期,PKI和其他复杂的加密工具在印度事实上并不容易获得。印度储备银行(RBI)发布的首份数字银行指南也承认了这一现状,该指南建议将128位的SSL加密作为PKI的替代方案。同样,印度证券交易委员会(SEBI)建议将128位加密作为电子商务的默认设置。
印度存在三个主要矛盾导致无法获得先进的加密产品:一是缺乏技术储备;二是各部门对加密使用普遍进行限制;三是美国等更成熟市场的出口管制。例如,1997年,Gulshan Rai(印度总理办公室国家网络安全协调员)哀叹说,由于其他国家的许可证限制,印度没有密钥长度为56位或更高的加密产品。而印度的科技产业也没有能力开发自己的加密软件。专家推测,出口管制,例如瓦森纳协议,可能是造成国内能力不足的重要原因。
· 出口管制
出口管制同样也引起了印度安全机构的极大关注。美国的出口管制只允许在加密产品密钥长度低于40位的情况下向海外销售,有效地确保了美国国家安全局在需要时可以进行破解。为此,1999年,印度国防研究与发展组织(Defence Research and Development organization)曾经对所有源自美国的网络安全软件发出红色警报。此外,中央警戒委员会也考虑强制印度银行和金融机构只能使用国内开发的软件。然而,这一政策从未被正式制定,印度的加密生态系统仍然开放,不受加密技术跨境转让的限制。
但这种开放性并不意味着担忧的减少,1998年10月,从克什米尔激进组织搜出的装备中包括能够一次加密和解密45个字符的电子键盘和能够传输“加密信息”的调制解调器,这导致印度无法监听巴基斯坦军队的数字加密通信。随后,1999年成立的卡吉尔审查委员会建议印度提升情报机构的加密和解密能力。
· 许可证限制
1999年,印度电信部(DOT)还对其许可证持有人、互联网和电信服务提供商能够在其网络上使用的加密强度进行了限制。DOT对互联网服务提供商许可证制度进行了修订,规定个人、团体和组织在未经事先授权的情况下只能使用40位密钥长度。更高的密钥长度需要获得许可,并向政府提交分为两部分的解密密钥。同一修正案还规定,互联网服务提供商必须(自费)向安全机构提供监测通信的设施。
这些条款到今天都仍然有效,只存在少数例外。值得注意的是,印度在2013年制定了统一的许可证框架来整合互联网和电信服务,密钥长度40位的限制在没有进行任何解释的情况下被取消了。尽管许可证制度继续禁止提供商使用“批量加密”,但该术语本身仍然没有定义,而且该条款很少得到执行。此类限制可能会缓解执法方面的担忧,但也同样可能被其他机构滥用,以进行未经授权的数据访问。
印度的服务提供商目前按照信息技术的国际标准部署全网加密,然而,禁止批量加密导致一些服务提供商经常被迫实施一些倒退或不可执行的条款。例如,2017年,一家名为You Broadband的服务提供商试图阻止客户采用“任何阻止或以任何方式阻碍”提供商访问用户数据的加密系统。
3、印度加密政策的利益相关方
随着加密政策争议的日益扩大化,这一问题将涉及到范围广泛的国家和非国家行为者。在印度政府方面,从各部委到部门监管机构的多个机构可能均会参与进来。负责促进电子政务、创新和印度网络空间整体安全的MEITY将成为所有加密政策决策的纽带。2015年《国家加密政策草案》(现已撤销)和《中介责任法》修正案都是其进行协调审议的产物。
国家网络安全协调员隶属于印度总理办公室,负责维护印度网络领域的国家安全,通常站在政策争议讨论的最前沿。
类似RBI和SEBI这样的机构也参与进加密政策争议中来,但主要是以咨询的方式进行。
通信部下属的电信部负责监督互联网服务提供商的许可条款,并为其网络上使用的加密标准提出建议。
负责执法的内政部保留授权和监督截取和解密信息命令的权力。该部向公众通报有权发布拦截命令的机构,在正常情况下,该部秘书负责批准这些命令。
此外,一些著名的行业协会,如NASSCOM及其数据保护部门,印度数据安全理事会等,通过建立和宣传网络安全和隐私方面的最佳实践、标准和培训计划等也参与到政策争议中。民间社会组织,如互联网自由基金会和软件自由法律中心,在与政府机构的公共外联和公共协商中发挥积极作用。新德里国立法律大学通信治理中心致力于研究该国的数字权利和法规,也是加密辩论、出版和传播有关该主题文献的积极利益相关者。观察家研究基金会和互联网与社会中心等智囊团和研究组织同样开展了原创研究,以帮助缩小印度技术界与决策者之间的差距。
4、法律框架
印度于2008年修订了《信息技术法》,使之与迅速发展的技术保持一致。其中,一个重大的变化是增加了第84A条款,该条款授权政府规定加密的模式和方法,以促进电子政务和电子商务的发展。同时,第69条款授权中央和州政府截获和解密为保护国家安全、维护公共秩序或调查犯罪所必需的任何信息,并要求用户和服务提供者协助执法机构和政府机构获取这些信息。
在通过这些修正案后不久,印度政府制定了2009年《信息技术(截获、监听和解密信息的程序和保障措施)规则》(以下简称《解密规则》)。这些规则阐明了解密的参数和所需的协议。例如,解密协助被定义为“仅当中间人控制解密密钥时,允许在可能的范围内访问信息”,这就免除了端到端加密提供者对其网络上的信息进行解密的责任。
可以说,《解密规则》下最具争议的规定是“解密令”,该令状负责处理解密请求的特殊性,通常由授权拦截通信的十个机构之一发出。《解密规则》第9条规定,解密令可以针对发送给“个人或某类人”或发送自“个人或某类人”的任何信息,也可以涉及“任何主题”。因此,该条规定的广度允许可能针对少数群体和其他弱势群体的非目标(nontargeted)解密请求。
5、主要事件
· 黑莓事件,2007-2012
黑莓事件是第一个值得注意的“加密与国家安全”事件,印度政府要求RIM旗下的黑莓公司允许执法部门访问其加密数据。RIM作为一家设备制造商,原则上是不受许可证制度项下适用于电信公司的加密控制规定的。2007年12月31日,DOT意识到已经无法监控通过黑莓设备发送的通信内容,随后即要求该公司停止在印度的服务。印度政府威胁说,除非该公司使合法拦截印度加密通信成为可能,否则将指示电信运营商切断黑莓服务。当印度政府知悉参与2008年孟买恐怖袭击的恐怖分子使用黑莓设备与在巴基斯坦的同伙联系时,这种要求变得更为强烈。
在该事项上,印度情报机构拒绝了RIM的解决方案——例如降低其256位高级加密标准——因为这可能会妨碍用户隐私。相反,印度政府要求RIM将服务器迁移到印度,并交出加密密钥。经过一场旷日持久的争论,RIM终于在2010年同意在印度部署服务器,并在2012年同意将通过黑莓发送的通信明文提交给印度执法机构。然而,这开创了一个糟糕的先例,即政府可以通过维持反向信道压力和武装运营商来降低通信服务的安全性。这也可能导致黑莓在未来几年的受欢迎程度和市场份额下降。
· 国家加密政策草案,2015
另一个重大事件发生在2015年9月,当时印度政府发布了《国家加密政策草案》,该政策旨在为政府机构、企业和个人用户建立加密、密钥交换和数字签名的协议和算法。与以前的规定(如统一许可证制度)不同,该政策没有直接对部署的加密强度或性质施加任何限制。相反,只要用户在“被要求时”与执法机构合作,就允许不受限制地使用加密技术。为了确保这种合作的有效性,该政策对企业和公民都施加了严格的义务。
该政策要求:
一是加密产品供应商(除了那些提供大规模使用服务,如SSL和传输层安全)向政府注册其产品,并提交用于加密的软件和硬件的副本。
二是服务提供商通过与政府签订协议的方式来使用加密技术。虽然协议的性质没有得到澄清,但这是在印度开展业务的先决条件。
三是服务提供商在收到执法部门的请求后,应当提交加密文本、明文、硬件和用于加密的软件。
四是如果执法部门试图访问这些信息,加密用户应当在其设备上留存90天的加密明文。
毫无意外,这项政策草案遭到了技术专家、民间社团和媒体的强烈反对,导致该草案在发布供公众评论后即被撤回。从该政策的措辞可以清楚地看出,其目标不是保护用户数据,而是确保政府机构能够以快速的方式访问数据。从这个意义上说,该政策更像是一个解密策略而不是一个加密策略。
批评人士认为,该政策的规定既不具有可执行性,在技术上也不可实现。例如,全球在线加密工具具有广泛的可用性,如果印度政府决定禁止未经注册的产品,用户总能在互联网上找到替代品。该政策的模糊性还表明,其可能是试图在广泛使用的产品和服务中安装后门——供应商提交用于加密数据的硬件和软件副本的规定便支持这一判断——但需要注意的是,在端到端加密的情况下,后门几乎没有用处。此外,该政策要求用户存储通信明文,这可能与印度宪法规定的“反对自证其罪”的权利相冲突。
最终,印度政府否决了该政策,称其措辞没有反映政府对此事的“最终态度”。
· 个人数据保护法草案,2018
近年来,印度政府对个人数据采取了保护主义立场,承认隐私权是一项基本权利,需要对私营公司滥用个人数据的行为作出反应。像“剑桥分析丑闻”这样的争议以及Twitter内部的反“保守偏见”指控,使得印度政府越来越担心失去对数据生态系统的战略控制。因此,在印度境内对用户数据进行本地化处理的需求现在已成为热议的话题。
印度2018年《个人数据保护法草案》规定,敏感个人数据必须存储在印度的镜像服务器上,所有与印度公民有关的重要个人数据都必须在国内处理。不过,如果法案获得通过,很可能会对隐私造成不利影响,并提高科技公司的合规成本。如果没有相应的加密政策,执法部门就可以更方便地访问个人数据,而无需任何额外的监督。目前,印度商务部正在审议的《电子商务国家政策框架草案》也同样支持数据本地化,并呼吁MEITY快速跟进《国家加密政策草案》。有评论人士猜测,这意味着印度可能会重新引入2015年的国家加密政策——而不是经过完全修改版本——这无疑是令人担忧的事实。
印度加密政策争议的最新进展主要是由政府内部需求和国家安全优先事项推动的。但除了外国监控的威胁外,印度政府也开始持续关注加密对公共秩序的威胁。典型的如WhatsApp,一个被2亿多印度公民使用的服务,已经成为各方关注的焦点。
据报道,在过去两年中,约有30人被WhatsApp煽动的私刑暴徒(lynch mobs)杀害。这些转发者本身似乎是协调一致的,这些活动使用经过编辑的视频和图像来警告当地的“儿童拐卖者”。这导致整个社区,特别是在农村和欠发达地区对“外来者”产生怀疑,往往导致暴民暴力。
由于未能实施逮捕并确保公共秩序,印度政府选择将责任归咎于WhatsApp的端到端加密。印度政府要求WhatsApp的消息服务允许“跟踪”来帮助执法部门识别消息的原始发送者。WhatsApp目前拒绝了这一要求,转而实施了其他措施,例如为转发的消息添加标签,并限制消息一次只能转发给5个人。鉴于WhatsApp的抵制,加上对2019年4月和5月大选前夕假新闻传播的担忧,印度政府最终对其《中介指南》提出了修正案,该修正案可能会对加密产生重大影响。
· 中介指南修正案
2018年12月24日,MEITY发布了2011年《信息技术(中介指南)规则》修正案,要求根据印度法律定义的中介机构(包括互联网服务提供商以及通信平台)在政府授权机构的命令下追踪其平台上信息发送者。
在通信平台上,服务商需要检查完整的转发链,以追踪究竟是谁编写了原始消息或首次上传了相关媒体文件。对于端到端加密服务,这在技术上是不可行的,因为通信服务提供商没有访问消息内容的权限。虽然MEITY坚持认为,可追溯性要求并不意味着自动破坏加密,但一个由民间社会组织和安全研究人员组成的国际联盟认为,要符合这一要求,一些公司必须降低加密标准,引入后门,或者完全放弃端到端加密。
6、观点
莫迪政府越来越关注技术对安全的影响。国家安全委员会秘书处一直担心,全球科技公司在对外国政府承担“有限责任”的情况下,具有过大的权力。2014年,印度国家安全顾问Ajit Doval强调,对信息系统的控制集中在美国,而对其他国家政府则缺少问责性。此前, RBI和SEBI等监管机构似乎赞成通过更严格的加密标准来加强信息系统的整体安全性——但这一状况似乎正在改变——今年早些时候,RBI是首批授权本地存储金融服务数据的印度机构之一。不久之后,MEITY和商务部也做出了类似的规定。如印度电信监管局等其他监管机构也可能再次涉足数据隐私的争论。
虽然目前尚不清楚这一问题最终将如何解决,但印度政府似乎越来越倾向于建立一个监管框架,让美国科技公司对印度决策者更加负责,并积极回应执法部门的要求,即使这是以通讯安全为代价的。
2021年版本
1、保障数字基础设施安全
2019年,印度电子与信息技术部曾经发布报告概述了“数字印度”的愿景,印度希望发展和扩大数字基础设施的接入,并赋予印度公民以“价值”。该价值的实现取决于信任,安全的数字生态系统,以及明确、有利的政策和指导框架。其中,加密是关键的组成部分。
2015年,印度发布了专门的《国家加密政策》,但相关行业、民间组织和媒体均强烈谴责该政策是“一项解密政策,而不是一项加密政策”,加密政策仍然局限于针对特定行业的指导方针。这直接导致印度政府随后彻底放弃了该政策。
印度储备银行在2021年2月发布了针对数字支付安全控制的指南,要求对数字支付应用程序和流程进行多因素认证、加密、数字证书和其他控制。但并没有为加密引入任何新的或具体的规定,只是简单地说,措施“应是强有力的,采用国际公认的标准,这些标准没有被否决/证明是不安全的/易受攻击的,实施这种控制所涉及的配置是普遍的,符合现存的指示和国家法律。”
印度储备银行发布该指南前,曾发生过几起严重的数据泄露事件:2021年1月,一名网络安全研究人员在暗网发现了一个生物特征和伪装卡号的数据库,这些数据来自支付公司Juspay的一个受损服务器。更早之前,2020年5月,一家以色列互联网安全公司vpnMentor报告称,由于CSC网站上存在一个未受保护的公共容器(bucket),导致使用BHIM(移动支付应用程序)用户的财务信息、Aadhaar卡信息和其他个人信息被泄露。从对用户的影响来看,这两起事件并不严重,但确实引起了人们对数据安全实践不完善的质疑。特别值得关注的是在CSC-BHIM事件中那些无安全措施的公共容器和端点。同样的,在印度石油公司子公司发生的另一起严重数据泄露事件中,影响了估计超过600万的用户。这些经常性的违规行为解释了为什么印度证券交易委员会和印度储备银行等监管机构热衷于加强网络和数据安全,包括采用更强大、标准化的加密和认证措施。
2、网络平台
针对网络平台,印度的加密政策争议主要集中在政府追踪和起诉利用平台从事非法活动的能力方面,例如散播谣言和其他对公共秩序和国家安全造成不利影响的内容。过去一年,这一领域出现了一些政策和法律方面的发展。
· WhatsApp、可追溯性和公共安全
2019年的报告强调了公共安全问题,特别是WhatsApp引发的一系列针对少数族裔的暴民私刑,成为印度政府要求WhatsApp解决其端到端(E2E)加密的焦点。此外,WhatsApp其他非法内容和活动的扩散也日益成为政策和立法行动的关注项。
印度最高法院于2020年10月就一份令状请愿书寻求印度政府的回应,旨在设计一种社交媒体审查机制,以“根除虚假社交媒体信息”,并使溯源和追踪网络犯罪变得更加容易。这不是印度第一次进行这样的尝试,2018年,一些请愿书要求马德拉斯高等法院指导社交媒体网络服务,将用户账户与他们的Aadhaar卡进行关联。
试图限制端到端加密的另一个具体实例是印度议会上院特设委员会在2020年关于色情内容的报告,该报告建议允许限制端到端加密以追踪儿童性虐待内容的制作者和发布者。
· 个人数据保护法和新的中介指南
印度《个人数据保护法》在首次起草一年多后,于2019年12月在印度议会下院正式提交。该法案如果获得通过,将成为跨部门数据处理、存储和保护的首要立法。该法案还将设立一个新的监管机构,即数据保护局(DPA),以确保遵守该法案。
法案第24(1)条要求数据受托人实施必要的安全保障措施,如加密、去识别化方法以及个人数据的完整性保护。
同时,最新的法案还引入了颇具争议的第35条,赋予中央政府豁免任何机构适用该法的权力,这引起了民间社会和业界的强烈反对:例如,2018年起草该法案的委员会主席斯里克里希纳法官称,2019年的新法案“极度危险”,其将把印度变成一个极权国家。
2021年的新版《中介指南》使这些问题更加复杂,该指南规定:
主要提供信息传递性质服务的重要社会媒体中介应根据主管管辖法院发布的司法命令或主管部门根据2009年《信息技术(信息截获、监测和解密程序和保障)规则》第69条发布的命令,识别其计算机信息内容的首个发送者,并以电子形式提供此类信息的副本。
该指南还规定,中介机构应任命一名随时待命的官员,负责与执法机构进行协调,以遵守法律规定。
软件自由法律中心作为一个公益性法律服务组织,明确指出,根据《信息技术法》第69条的规定可以发布追踪命令,但规定并没有“充足的程序安全保障”。同时,该中心还认为,《信息技术法》第69条规定的解密要求和《个人数据保护法》第35条规定的豁免条件也过于宽泛。
总而言之,《个人数据法》要求加强数据保护,包括对数据进行加密,但同时赋予中央政府权力,豁免所有政府机构对个人数据收集、使用和保护采取适当的保障措施。《中介指南》还授予政府机构命令中介机构提供数据以起诉或预防犯罪,这可能削弱和阻碍端到端的加密策略。一位高级官员发表的匿名声明似乎支持了这一假设:“目前,信息内容可能在一个平台上进行创建(如Tik Tok),并在其他社交媒体(如WhatsApp)上进行传播,在端到端加密的情况下,公司往往无法对内容进行控制。针对这一问题,中介指南的规定提供了唯一的解决方法。”
3、变化中的政策空间与选择
目前,解密和追踪请求的规定仍在2009年《信息技术法》第69条和《信息技术(信息截获、监测和解密的程序和保障措施)规则》中存在。然而,只有当中介持有解密密钥时,两者才真正起作用。这一事实使得像WhatsApp这样的端到端加密服务处于灰色地带,印度正试图对其进行控制。
· 端到端加密的替代方案
为了提供平衡的解决方案,一方面解决强加密和隐私的竞争关系,另一方面解决执法访问的需求,2020年12月,NASSCOM和印度数据安全委员会两个行业机构联合发布了《讨论文件:印度加密的未来道路》报告,鼓励对下列关键问题进行进一步讨论和澄清:
一是需要一个总体加密框架,而不是现有的局限于特定部门的框架。这可能涉及到国家加密政策的转变,解决隐私保护组织和网络安全专家提出的问题。
二是替代方案可以采用执法机构访问加密信息的本地密钥托管。该报告提出了一种本地密钥托管策略,即解密密钥存储在设备本身,这意味着,如果中介机构合法拥有该设备,就可以进行解密。这将限制远程解密,是一条协调违法犯罪和政府越权之间界限的途径。
与此同时,MEITY最近试图通过强调可追溯性,而非解密,来解决执法便捷性与数字经济对强大数据安全性需求之间的明显矛盾。一位不愿透露姓名的官员对《经济时报》记者表明:“我们不希望WhatsApp解密任何消息,我们只要求他们追踪恶意消息的来源。在过去,我们看到恶意消息在同一地区被转发,这导致了暴徒私刑案件,这并不需要高深的技术。”两位匿名官员在评论新的中介指南时说,WhatsApp、Signal和Telegram等消息中介可以通过为每条消息分配一个“哈希常量”来帮助跟踪发送者,同时又不破坏加密。但存在的“哈希常量”异常及其实用性仍有待商榷。
· 新发展
印度2020-2021年提出的新政策为加密政策争议增添了更多的元素。非个人数据治理框架专家委员会的报告寻求建立一个单独的非个人数据管理机构,以管理与数据主体无关的所有数据,其中包括匿名数据。根据与技术相关的指导原则,报告提到“同态加密”是防止数据去匿名化的一种手段。
NITI Aayog的数据授权和保护架构(DEPA)框架于2020年8月作为讨论文件发布。DEPA建立在《个人数据保护法》的“同意管理者”(consent manager)的概念之上——一种数据受托人,作为数据主体(用户)和将使用数据的数据受托人之间进行数据流动的中间渠道。
同意管理者不能访问数据,而只是代表数据主体管理访问。DEPA还需要端到端的数据安全,这似乎再次对数据受托人造成了相互冲突的压力,期望他们既安全又能按需提供对政府机构的访问。
这一领域的最新发展是即将更新的国家网络安全战略(NCSS)。NCSS指出,跨境数据访问和平台监管是核心挑战,该战略草案目前正等待批准。该战略在加密问题上的立场,包括是否要求加强标准(包括密钥长度),是否承担端到端加密的风险,或者是否在相关问题上保持沉默,将进一步加深监管者、政府机构、行业和用户之间的断层。或者该战略将提供一些迫切需要的保证,政府愿意考虑解密策略的必要性和相称性原则。
4、结论
在过去的一年中,印度加密政策的现状和发展方向变得更加微妙,也更加令人担忧。一些争论和问题已经进入了新的十年,特别是平台的法律责任与其对用户的责任;以及对可能威胁国家新生数字基础设施信任的漏洞修补。乐观地说,关键立法的演变,如《个人数据保护法》、《国家网络安全战略》和《国家加密政策》等期待已久的振兴战略文件,可能有助于相关问题的解决。行业和政府机构一直在开发新的创造性解决方案,以应对这些挑战,寻求保护隐私和帮助追踪不良行为者。在未来几年,这些争议的观察者应当持续追踪世界上最大的民主国家是否以及如何测试和部署这些隐私保护措施。
注: 美国“加密工作组”由卡内基国际和平基金会和普林斯顿大学联合发起,该工作组由前政府官员、企业代表、隐私和民权倡导者、执法专家和计算机科学家组成,旨在推动针对加密政策进行更具建设性的对话。2018年以来,该工作组开始针对与加密政策有关的一些重要问题进行研究,包括相关技术的设计和加密的使用将如何在未来发展等。美国联邦政府机构也会派出观察员参与该工作组的一些会议讨论,为此,该工作组的某些观点不排除包含一定的官方态度,具有持续关注和研究的价值。
(本期翻译、撰稿:马宁 校对:何治乐)
关于“寰球密码法律政策发展动态简报”
为深入研讨我国密码法相关制度与现实挑战,凝聚国内外密码与网络安全精英,合力推动我国密码产业发展,苏州信息安全法学所密码法研究中心特别编辑“寰球密码法律政策发展动态”简报,供政府、产业及学术同仁参考。以期联合政产学研力量,为我国密码工作在法治轨道上稳步前行提供智力支撑。编委会(筹)、编辑部采取开放组织形式,欢迎各界同仁予以各种方式积极参与和支持,踊跃投稿!
主 编:马民虎
副 主 编:黄道丽 朱莉欣
责任编辑:原浩 赵丽莉 马宁 方婷 何治乐 冯潇洒 谢永红 赵婧琳 郝静雯
联系电话:0512—69562805,17792480296
投稿邮箱:xieyonghong2015@xjtu.edu.cn
往期简报回顾
“苏州信息安全法学所”