2021年10月30日，国家主席习近平同志在出席二十国集团领导人峰会时明确指出，中国高度重视数字经济发展的国际合作，已经决定申请加入《数字经济伙伴关系协定》（Digital Economy Partnership Agreement，DEPA）。2021年11月1日，商务部部长王文涛代表中方正式向DEPA保存方新西兰提出加入DEPA的申请。

DEPA由新加坡、智利和新西兰三国于2020年6月12日通过在线方式签署，旨在强化三国之间数字贸易合作关系，并同步建立便利数字经济发展的相关规范。尽管DEPA体量规模较小，但却是全球首个专门关注数字经济国际合作的协定规则，普遍被认为代表了全球数字经济发展的新方向。与《全面与进步跨太平洋伙伴关系协定》（The Comprehensive and Progressive Agreement for Trans-Pacific Partnership，CPTPP）类似，DEPA同样关注到数字经济发展中的密码技术利用问题。

鉴于密码技术对于构建“可信”数字经济环境具有愈发不可替代的重要作用，DEPA对采用密码技术并用于商业目的的ICT产品秉承了“密码自由”的基本态度，其主要关注了“技术性贸易壁垒”这一核心议题，但未涉及到CPTPP所涵盖的密码进出口管理、电子认证和电子签名、政府采购和知识产权等内容，规制领域相对单一而聚焦。

简而言之，DEPA对于含密码产品的基线要求就是，禁止对“密码准入”（包括制造、销售、分销、进口或使用）附加不利条件，例如强制性的技术转让或特定算法要求。其中需要注意的是，DEPA的这一基线要求同样渗透了“分类管理”的思想，对于商用类产品和政务类产品的宽严度并不一致，出于安全考虑，政务产品能够豁免该禁止性规定，保留了各缔约国自主决定的方式，体现出对“国家安全例外”的尊重。同时，DEPA还规定了明确的“协助执法解密义务”，允许服务提供商根据法律程序向缔约国执法机构提供明文通信。

从内容上来看，DEPA几乎完全复刻了CPTPP在附件8-B中的密码管理要求，尽管这与二者缔约国的高度重合性有关，但作为独立的多边国际协定，这也反映出未来密码管理的国际政策可能会更加趋于一致。

我国目前均已明确申请加入DEPA和CPTPP，这意味着我国国内的密码管理规则需要与其相适应。客观而言，作为密码管理的基本法，我国2019年《密码法》彻底改变了早期密码管理规定中过于严苛的专控管理框架，在兼顾“安全”和“发展”的前提下，最大程度地融入国际密码政策的共识性内容。例如，鼓励商用密码从业单位自愿接受商用密码检测认证，而非强制性的；规定大众消费类产品所采用的商用密码不实行进出口管制；明确行政机关及其工作人员不得利用行政手段强制转让商用密码技术等。这些规定与DEPA和CPTPP保持一致，为我国顺利加入两协定铺平了道路。

DEPA对于密码技术利用的规定主要集中在“模块三：数字产品的处理及相关问题”一节中，本简报对其相关内容整理如下：

第3.4条：使用密码的信息和通信技术产品

1.本条适用于使用密码的信息及通信技术（ICT）产品（本条的“产品”指货物，不包括金融工具）。

2.就本条而言：

密码（cryptography），指数据转换的原理、方式或方法，以隐藏信息内容，防止其在不被发现的情况下被修改或防止在未经授权的情况下被使用；且限于使用一个或多个秘密参数（如加密变量）或相关密钥管理进行的信息转换。

加密（encryption），指将数据（明文）转化为不使用密码算法重新转换就无法轻易被理解的形式（密文）。

密码算法（cryptographic algorithm /cipher），指一种将密钥和明文混合起来制造密文的数字程序或公式。

密钥（cryptographic key），指与密码算法一同使用的参数，并能决定密码算法的运行效果，即知悉密钥的实体可以复制或逆转其运行，不知悉密钥的实体则不能。

3.对于使用密码并设计用于商业目的的产品，缔约方不得强制实施或维持技术法规或合格评定程序，作为制造、销售、分销、进口或使用该产品的条件，要求该产品的制造商或供应商：

（a）向该缔约方或缔约方领土内主体转移或使其可获取由制造商或供应商专有的、与该产品中所含密码相关的特定技术、生产流程或其他信息（诸如一项非公开密钥或其他秘密参数、算法说明或其他设计细节）；

（b）与其领土内的主体合伙；或

（c）使用或集成特定的密码算法或密码，

但是，该产品是由或为了该缔约方政府制造、销售、分销、进口或使用的情况除外。

4.第3款不适用于：

（a）缔约方采取或维持，接入由政府（包括中央银行）拥有或控制的网络的规定；或

（b）根据与金融机构或市场相关的监督、调查或检查职权所采取的措施。

5.为更明确起见，本条不应解释为防止一方执法当局要求服务供应商使用其控制的加密技术，根据该方的法律程序提供未加密的通信。

本期作者：何治乐 马 宁

为深入研讨我国密码法相关制度与现实挑战，凝聚国内外密码与网络安全精英，合力推动我国密码产业发展，苏州信息安全法学所密码法研究中心特别编辑“寰球密码法律政策发展动态”简报，供政府、产业及学术同仁参考。以期联合政产学研力量，为我国密码工作在法治轨道上稳步前行提供智力支撑。编委会、编辑部采取开放组织形式，欢迎各界同仁予以各种方式积极参与和支持，踊跃投稿！

主     编：马民虎          

副 主 编：黄道丽 朱莉欣

责任编辑：原浩 赵丽莉 马宁 方婷 何治乐 冯潇洒 谢永红 赵婧琳 郝静雯

联系电话：0512—69562805，13771998064（同微信）

投稿邮箱：xieyonghong2015@xjtu.edu.cn

      2021年5月25日，寰球密码法律政策发展动态编委会在苏州正式成立。编委会为创新学术团体，设立主任一名，委员若干名，每届任期两年。目前，编委会正式聘任委员共24名，分别来自科研机构、高等院校和大型互联网企业等。编委会的职责定位于联合政产学研力量，发挥学术优势，提升我国密码产业发展，为国家密码管理部门提供战略性立法建议和决策咨询，为密码产业、行业安全发展提供合规指引。当下，编委会的常态化工作之一是编撰“寰球密码法律政策发展动态”简报（周刊），供政府、产业及学术同仁参考。 

往期简报回顾

• 第1期丨欧盟通过《加密保障安全和加密的安全问题决议》及各方反响
• 第2期丨加密：在隐私、安全和合法数据访问之间寻求平衡
• 第3期丨法国2004-575号法令2020年修订版中的密码规则
• 第4期丨SolarWinds攻击事件后美国国会议员致信NSA“质询”加密后门问题
• 第5期丨2020年度美国NSA网络安全的密码工作评述
• 第6期丨美国联邦公钥基础设施指南
• 第7期丨美CRS报告聚焦区块链应用实践、局限性和监管考量
• 第8期丨加密货币犯罪与反洗钱报告（上）
• 第9期丨加密货币犯罪与反洗钱报告（中）
• 第10期丨加密货币犯罪与反洗钱报告（下）
• 第11期丨全面推进密码法治建设 不断加强网络安全保护
• 第12期丨美CRS聚焦加密常识—就大众关心问题发布专题报告
• 第13期丨美国“加密工作组”发布新版《印度加密政策争议》报告
• 第14期丨欧盟“保障数字绿色证书合理使用”提议及其评价
• 第15期丨美国BIS调整密码出口管控规则 减轻密码物项报告和通知义务
• 第16期丨香港SFC确立加密货币交易监管标准
• 第17期丨全面推进密码法治建设 筑牢网络空间密码防线
• 第18期丨商用密码认证规则及实践
• 第19期丨苏州新闻广播-红色密语专题节目“密码与网络安全”
• 第20期丨NIST发布《向后量子密码迁移》简报
• 第21期丨英国推出密码使用新安全标准（SS-007）
• 第22期丨美NSA发布解密文件—探讨美70年代后期公众密码学的争议问题
• 第23期丨英国发布2020年度网络安全报告——让英国成为最安全的在线生活和工作场所
• 第24期丨NIST SP800-175A：美国联邦政府使用密码相关法律指引概述
• 第25期丨对限制进口高于256位加密的加密软件相关问题的分析
• 第26期丨密码技术在《个人信息保护法》中的基石地位和实现
• 第27期丨后斯诺登时代的NIST密码标准和指南制定流程
• 第28期丨英国发布《国防和安全产业战略》：强调加密在保障国防和安全产业方面的重要角色
• 第29期 丨《全面与进步跨太平洋伙伴关系协定》（CPTPP） 密码管理规定
• 第30期 | 美国联邦政府的“密码机制”：SP800-175B概述
• 第31期 | CDC与BBA发布马萨诸塞州服务区块链技术立法者指引