美國密碼技術(shù)的出口管制法律制度研究

仲利波 趙婧琳

(西安交通大學法學院 西安 710049) (1034029947@qq.com)

密碼技術(shù)應用涉及通信、軟件、數(shù)據(jù)存儲、數(shù)據(jù)傳送、虛擬專用網(wǎng)、訪問控制以及金融交易等多領(lǐng)域，其對國家網(wǎng)絡(luò)安全的支撐作用也日益明顯，各國政府按照政策法律對密碼技術(shù)的出口管制是必然的選擇.出口管制也是國家意志的體現(xiàn)，出口管制原因、出口管制方式以及出口管制效果的控制受到政府的高度重視，這是因為出口管制牽扯眾多因素，出口管制過于寬松可能會給國家安全帶來現(xiàn)實威脅，出口管制過于嚴苛可能會導致國家出口份額的下降進而影響到整體經(jīng)濟表現(xiàn).此外還有國際關(guān)系等方面的因素都是出口管制政策法規(guī)制定者所要綜合考慮的.

密碼出口管制的主體包括2部分：密碼技術(shù)和加密產(chǎn)品.密碼技術(shù)一般包括加密和解密技術(shù)，加密技術(shù)也稱為密碼編譯，指的是將明文轉(zhuǎn)換為密文的技術(shù).解密技術(shù)也稱為密碼分析，指的是將密文轉(zhuǎn)換為明文的技術(shù).密碼技術(shù)歸根到底是一種技術(shù)上的形態(tài)與路徑.密碼產(chǎn)品指的是使用密碼技術(shù)對于內(nèi)容信息進行加密保護或者安全認證的產(chǎn)品，比如金融數(shù)據(jù)加密機、數(shù)字電話加密機以及電子支付密碼器系統(tǒng)等.密碼產(chǎn)品更多指的是含有密碼技術(shù)的產(chǎn)品，密碼技術(shù)是密碼產(chǎn)品中的核心附屬部分.

各國密碼管制一般采用馬民虎教授所歸納的“內(nèi)外有別”的方式進行，密碼在國內(nèi)的控制主要是出于維護社會公共秩序的考慮.在國內(nèi)的密碼管制中，主要矛盾是“國家安全”與“個人隱私”的價值之爭，“個人隱私”被視為加密政策的障礙[1].各國在密碼出口方面的控制遇到的問題和國內(nèi)的密碼管制有較大差異，這是因為各國對密碼出口管制的調(diào)整與技術(shù)進步、經(jīng)濟發(fā)展以及國家安全等利益密切相關(guān)，各國密碼出口管制的利益權(quán)衡所呈現(xiàn)的是動態(tài)發(fā)展，這相較于密碼的國內(nèi)管制，密碼出口的管制研究更為復雜.

著名比較法學家茨威格特和克茨指出：“任何一種科學都不能夠僅僅依靠在本國國境內(nèi)產(chǎn)生的知識”[2].美國密碼出口管制法律制度較為完善，有專門的密碼出口管制法律規(guī)定，而且從20世紀90年代初期，美國密碼出口管制制度進行多次調(diào)整，在不斷修訂的過程中逐步趨向于完善.此外，美國在密碼立法上具有典型的代表性，不管從巴統(tǒng)時期還是之后的“瓦森納協(xié)議”，美國是處于核心領(lǐng)導地位的國家，美國的立法價值取向基本代表著大多數(shù)西方國家的意志，其他諸如英國、德國等國家更多執(zhí)行的是跟隨戰(zhàn)略.從美國早期密碼出口管制立法、克林頓時期密碼出口管制立法、小布什時期密碼出口管制立法以及奧巴馬時期的密碼出口管制立法的梳理與分析能夠得出美國密碼出口管制的立法進程，也能逐步探尋出美國密碼出口管制法律制度修改的深層次原因.為推動我國密碼出口管制法律制度的完善，有必要將我國的密碼出口管制法律制度與美國相關(guān)制度進行比較，借鑒可用的經(jīng)驗.

1 我國密碼出口管制的現(xiàn)狀及問題

密碼出口管制包括國際層面和國家層面，其中國際層面較為簡單，通過建立多邊密碼出口管制機構(gòu)、達成多邊密碼出口管制協(xié)議以及列取清單是通常的方式，無論是巴統(tǒng)還是“瓦森納協(xié)議”都是通過這幾種方式開展多邊密碼出口管制的.但是限于法律本身的特點，國際法的國內(nèi)法有效執(zhí)行需要經(jīng)過各國的轉(zhuǎn)化.換言之，密碼出口管制雖然包含2個層面，但是執(zhí)行上都是在國家層面所完成的.隨著密碼標準化的發(fā)展，監(jiān)管難度有所降低，依出口管制法規(guī)對密碼技術(shù)和密碼產(chǎn)品進行審查的作法也被各國廣泛采用，所以技術(shù)審查是各國密碼出口管制的重要方式之一.目前技術(shù)審查有放松的趨勢，在此階段對于密碼技術(shù)和密碼產(chǎn)品的出口地審查也是重要方面；出口許可證的頒發(fā)是密碼出口管制的重要方式，這也是技術(shù)審查的后置程序，通過審查后頒發(fā)許可證是對于密碼出口的國家認可；此外，一般還要求密碼技術(shù)和密碼產(chǎn)品的使用者在規(guī)定時間內(nèi)提交報告，這是各國對于密碼技術(shù)和密碼產(chǎn)品后續(xù)控制的手段之一.

我國密碼出口實行管制方式較為多樣，北京市國家密碼管理局網(wǎng)站發(fā)布的《出口商用密碼產(chǎn)品應當遵循的原則》列出以下幾條：第一，我國商用密碼產(chǎn)品實行出口許可證制度，未經(jīng)過許可，任何單位或者個人是不得出口商用密碼產(chǎn)品的；第二，研制生產(chǎn)出口商用密碼產(chǎn)品應當由商用密碼產(chǎn)品生產(chǎn)定點單位承擔，銷售應當由商用密碼產(chǎn)品銷售許可單位承擔；第三，商用密碼產(chǎn)品生產(chǎn)定點單位研制出口商用密碼產(chǎn)品，應當?shù)疆數(shù)厥　⒆灾螀^(qū)、直轄市密碼管制機構(gòu)進行備案；第四，出口商用密碼產(chǎn)品研制完成后須通過國家密碼管理局組織的安全性審查后方可出口，以確保出口產(chǎn)品不影響國內(nèi)現(xiàn)用商用密碼安全；第五，出口單位辦理《密碼保密設(shè)備出口許可證》應當事先向國家密碼管理局提出申請，按照規(guī)定程序辦理.

從上述規(guī)定可以看出，首先，我國執(zhí)行的是許可證制度，未經(jīng)過許可，任何單位和個人不得出口相關(guān)產(chǎn)品；其次，我國密碼出口產(chǎn)品的研制單位和生產(chǎn)單位要進行備案，最后，我國密碼出口商用密碼產(chǎn)品須通過安全性審查后方可出口.也就是說，我國密碼出口管制目前至少有許可證制度、備案制度和安全審查制度在同時運行.

但是，我國目前還缺乏有關(guān)密碼的基礎(chǔ)性法律法規(guī)，密碼出口管制所主要依據(jù)的是國務(wù)院頒布的《商用密碼管制條例》以及國家密碼管理局發(fā)布的配套管理辦法.從立法上來看，我國密碼出口管制政策法規(guī)存在以下幾點問題：

第一，我國不鼓勵私人和企業(yè)開發(fā)加密技術(shù)及制作加密產(chǎn)品，所有國內(nèi)研究、開發(fā)、銷售密碼技術(shù)和產(chǎn)品的企業(yè)都需要受到嚴格的進出口管制.“管”的成分遠遠高于“理”，還處于美國早期對于密碼出口管制的水平，這嚴重阻礙技術(shù)創(chuàng)新以及產(chǎn)業(yè)發(fā)展，對出口也造成重大影響.總體缺乏對于密碼出口管制戰(zhàn)略規(guī)劃和理性分析.

第二，密碼出口監(jiān)管部門利益糾纏，跨部門執(zhí)法不能常態(tài)化合作執(zhí)法，導致國家密碼管理局處境相對被動，難以協(xié)調(diào)國家安全、社會安全以及個人等方面利益.

第三，我國目前密碼出口管制政策法規(guī)對于國家安全、產(chǎn)業(yè)發(fā)展、技術(shù)創(chuàng)新等利益平衡上是混亂的，其立法觀念落后于時代的發(fā)展，唯“國家安全”為重的立法思想嵌入到具體法律制度的設(shè)計中，此問題是我國密碼出口管制立法的根本問題之所在.美國屬于密碼先進國，我國屬于密碼落后國，有關(guān)密碼出口管制的法律不能照搬照抄，必須在詳實論證美國密碼出口管制法律制度演變因素，但是在對美國密碼出口管制法律制度的演變因素進行仔細分析后還是可以為我國相關(guān)立法所借鑒的，至少在理論上是可行的，其將會為我國的立法修法提供直接參考，將會改變我國目前密碼出口管制嚴重滯后的行政式監(jiān)管思維.總體來說，在密碼出口管制方面，我國缺乏明確的、體系化的規(guī)定，難以實現(xiàn)對密碼技術(shù)和密碼產(chǎn)品出口的有效管制，沒有處理好“安全”與“發(fā)展”的關(guān)系，事實上，發(fā)展是安全的基礎(chǔ)，要既重視發(fā)展問題又重視安全問題.目前對于我國密碼出口管制的尺度也缺乏科學地考量，因此亟需制定和調(diào)整密碼出口管制法律制度.

2 美國密碼出口管制的法律制度演變過程

美國密碼出口管制機構(gòu)是設(shè)立在商務(wù)部的工業(yè)與安全局(BIS)，密碼出口管制適用的法律是《出口管制條例》(Export Administration Regulation, EAR)，其中多邊出口管制的《瓦森納協(xié)議》也要轉(zhuǎn)換成EAR在國內(nèi)適用.EAR中根據(jù)接收方、終端使用以及出口目的國的不同，可能要求獲取出口許可，除非例外或者豁免情形，但是如果涉及被禁運的國家是一律不得出口的.

美國密碼出口管制共經(jīng)歷4個階段，分別是美國早期的密碼出口管制、克林頓時期密碼出口管制、小布什時期密碼出口管制立法以及奧巴馬時期密碼出口管制.美國目前有關(guān)密碼技術(shù)和產(chǎn)品的政策法規(guī)的規(guī)定是經(jīng)歷幾十年變遷的結(jié)果，美國密碼出口管制主要方式有技術(shù)審查制度、許可證制度、售后報告制度等.

2.1 20世紀90年代前：嚴格的管制制度

美國的兩用品和軍品管制由2套法律體系所構(gòu)成.1949年，美國頒發(fā)《出口管制法》*本法延續(xù)至今，在1969年修改為《出口管制法》(Export Administration Act, EAA)，后于1979年、1985年、1988年進行3次修改，1984年，美國商務(wù)部頒布《出口管制條例》(Export Administration Regulation)作為EAA實施細則.(ECA)，本法經(jīng)過多次修改并頒布配套實施條例，長期以來其對“兩用品”出口進行直接管制；1976年，美國頒布的《武器出口管制法》(AECA)是負責軍品管制的主要法律，國務(wù)院主要通過《國際武器貿(mào)易條例》(ITAR)規(guī)定執(zhí)行軍品管制.

美國早期的密碼技術(shù)屬于軍用品范疇，其具體政策的制定歸屬于美國國家安全局(NSA)[3].此時期密碼技術(shù)主要被應用于軍事、外交和情報工作.直到1996年，美國密碼出口管制仍然是由ITAR所具體執(zhí)*密碼是屬于兩用品范疇的，在EAA中也有關(guān)密碼技術(shù)的相關(guān)規(guī)定，但是ITRA通過將密碼技術(shù)列入軍用物品清單從而限制了密碼技術(shù)的出口，密碼技術(shù)的管制也就只能按照ITAR的相關(guān)規(guī)定執(zhí)行.，ITAR的目的是為維護國家安全和外交以及軍事有關(guān)的利益，其對密碼技術(shù)或者產(chǎn)品進行嚴格控制.在此期間，由ITAR所管制的密碼在性質(zhì)上是屬于軍需品而被列入軍用物品清單，作為軍需物品的密碼出口需要得到單獨許可，且該許可必須由國防部(DOD)和國家安全局(NSA)進行批準.

根據(jù)ITAR的規(guī)定，對出口的密碼技術(shù)和密碼產(chǎn)品有極其嚴格的限制，超過40位的密鑰長度的加密物項是不允許的.此外，還必須限制加密產(chǎn)品的一些加密功能，諸如密碼保護(encryption protection)、訪問控制(access control)、身份識別(authentication)、固定算法(fixed algorithms)以及金融行業(yè)的特殊加密功能(money-and banking-specific encryption functions)都是需要限制的.對于比較強的加密產(chǎn)品的出口，當時也主要對被用于美國企業(yè)的國外分支機構(gòu)所使用的產(chǎn)品頒發(fā)許可證[4].

此外，美國出口管制還受到多邊協(xié)調(diào)機構(gòu)巴黎統(tǒng)籌委員會(COCOM)的影響.巴黎統(tǒng)籌委員會成立于二戰(zhàn)后，是美蘇爭霸的產(chǎn)物，其目的是對蘇聯(lián)集團國家進行出口管制以抑制其發(fā)展，密碼屬于嚴格出口控制的物項，直至1991年管制才有所放松，直至1994年3月巴黎統(tǒng)籌委員會解散為止[3].美國是巴黎統(tǒng)籌委員會的主導國家，巴黎統(tǒng)籌委員會對于美國的密碼出口管制的作用不可忽視.

在此階段，美國密碼技術(shù)和產(chǎn)品是作為軍需物資，其出口管制是相當嚴格的，不管從密碼的密鑰長度還是密碼產(chǎn)品和技術(shù)的使用范圍以及國外適用場所都是有較為嚴格的限制，而且還需要經(jīng)過國防部和國家安全局的批準.

2.2 克林頓時期：逐步放松的管制制度

克林頓執(zhí)政初期，美國對密碼出口的管制還是相當嚴格的，密碼技術(shù)作為軍用品的管制甚至擴展到個人使用的密碼產(chǎn)品.但隨后的幾年中，美國密碼出口管制一直處于放松的狀態(tài).

在克林頓執(zhí)政初期，密碼出口管制開始出現(xiàn)放松跡象[5]，具體表現(xiàn)在1995年放松密碼出口管制的討論以及1996年2月關(guān)于密碼技術(shù)個人使用的豁免等方面.1996年是密碼出口放松管制的轉(zhuǎn)折點，一方面，美國開始允許56位高強度密碼出口，但前提是密碼技術(shù)或產(chǎn)品必須支持密鑰托管或者密鑰恢復的功能，也就是說，當美國認為出口的密碼產(chǎn)品或者技術(shù)威脅到美國利益時，美國政府能夠取得密鑰破解密碼；另一方面，美國密碼出口管制所必須遵循的法律由國務(wù)院的ITAR變成商務(wù)部的EAR，相應的職責也由國務(wù)院轉(zhuǎn)移至商務(wù)部的出口管制部門.

在1998年，密碼出口管制放松得到較大程度提高，美國政府此時已放棄強制密鑰托管，這勢必將刺激產(chǎn)業(yè)發(fā)展，不僅56位對稱加密只需要經(jīng)過一次審查后即可出口，非對稱加密的1024位密鑰也被允許出口，同時，對網(wǎng)絡(luò)發(fā)布加密技術(shù)也附條件加以放松.此階段一直延續(xù)至2000年，美國在2000年自由化的影響之下，美國密碼出口管制的放松程度化很高，任何密鑰長度滿足技術(shù)審查和出口報告等要求后都有可能出口，無限制加密源代碼和公開商業(yè)源代碼可以出口至任何終端用戶.

此階段表明美國政府對于密碼的態(tài)度有了根本上的轉(zhuǎn)變，由國家安全、情報獲取等國家意志和利益至上的絕對安全的追求變?yōu)閷Ξa(chǎn)業(yè)發(fā)展和出口的扶持上.美國對密碼出口管制已經(jīng)很大程度上實現(xiàn)自由化，美國在密碼出口管制的產(chǎn)品目錄范圍、出口監(jiān)管程序以及密碼出口的使用等方面還存在著管制，并沒有徹底地放開密碼出口管制.

2.3 小布什時期：放松減緩的管制制度

小布什執(zhí)政時期美國密碼出口管制放松步伐明顯減緩.整個執(zhí)政時期密碼出口管制只是進行了程序上的簡化，其實在911事件之后，這也是一種必然性的選擇.

2002年6月6日，美國商務(wù)部發(fā)布了修改EAR的最新自由化規(guī)則.具體內(nèi)容如下：第一，超過64位的大宗貿(mào)易加密產(chǎn)品只需要經(jīng)過30天的BIS審查后可以出口；第二，大宗貿(mào)易密碼產(chǎn)品出口目的地是歐盟及其他8國在審查要求被登記后可以馬上出口；第三，公開源代碼在通知后可以被出口到大多數(shù)目的地；第四，向美國公司或子公司出口供內(nèi)部使用、短程無線(short-range wireless)加密和有限加密使用的加密產(chǎn)品不需要審查或者通知.

2004年12月，商務(wù)部確立了更加簡便的出口程序,主要內(nèi)容如下：第一，大多數(shù)加密物項統(tǒng)一審查期限為30天；第二，大宗貿(mào)易密碼產(chǎn)品的“許可豁免國”范圍擴大；第三，網(wǎng)上公開的加密軟件在網(wǎng)址相同的情況下可以不通知進行修改；第四，測試軟件以及授權(quán)產(chǎn)品等程序被簡化.

2001年9月11日，美國發(fā)生多起劫機自殺攻擊方式的恐怖主義襲擊事件，造成美國紐約世界貿(mào)易中心等建筑物遭受被劫持的飛機撞擊而坍塌，美國在此次恐怖襲擊中損失慘重.美國整體網(wǎng)絡(luò)安全政策出現(xiàn)逆轉(zhuǎn)，由以前“放松”為主轉(zhuǎn)變?yōu)椤翱刂啤睘橹鞯男畔踩撸苑纯譃橹鞯膰野踩羁逃绊懼绹畔踩烧叩闹贫ǎ稅蹏叻ò浮?USA Patriot Act)即在此背景下制定.此階段的密碼出口管制制度只是在2002年6月和2004年12月進行了2次EAR修改.在2002年作出修改的是64位以上的大宗貿(mào)易產(chǎn)品出口技術(shù)審查得以簡化等，在2004年12月，商務(wù)部又確立了更加簡便的出口程序.

除此之外，此階段在密碼出口管制方面沒有比較重要的立法活動，密碼出口管制整體步伐減緩.但是美國本質(zhì)上是加強對密碼控制的，沒有在密碼出口管制立法上具體體現(xiàn)，因為這會大幅度削弱美國的密碼技術(shù)和產(chǎn)品的出口競爭力，密碼出口管制將會給跨國企業(yè)帶來巨大影響，而他們又不能違反規(guī)定否則將會遭遇更大損失，所以制定合適的出口管制政策是必要的.雖然美國密碼出口管制較之前有很大進步，從表面上看，在權(quán)衡各大利益之間還需要進一步跟進，其實由于國家安全主導性在此階段逐步增強，密碼出口管制法律制度的其他演變原因受到壓縮或者“隱性化”處理.

2.4 奧巴馬時期：放松與控制并重的管制制度

美國密碼出口管制此階段呈現(xiàn)出放開與控制并重的局面：一方面，美國繼續(xù)放松密碼出口管制以促進經(jīng)濟發(fā)展；另一方面，美國收緊關(guān)鍵密碼的出口管制以維護網(wǎng)絡(luò)空間安全.近年來美國網(wǎng)絡(luò)空間安全受到政府的極大重視，認為美國將要奪取第五空間新的制高點，網(wǎng)絡(luò)安全物項將會適用新的條件，而密碼技術(shù)和產(chǎn)品是重要的網(wǎng)絡(luò)安全物項，這勢必會間接對密碼技術(shù)和產(chǎn)品出口造成更加嚴格的管制.事實上，密碼技術(shù)和產(chǎn)品在此階段將會受到新的限制，密碼出口管制放開與控制在此階段處于膠著狀態(tài).

奧巴馬執(zhí)政以來對于出口管制改革報以極大的熱情，密碼出口管制重新被提上議事議程，2011年和2014年都有重要的EAR修正案通過.美國出口管制體系由于過于嚴格、不夠嚴謹、繁瑣、陳舊、效率低下等原因一直被出口商、非擴散倡導者、盟友以及其他利益相關(guān)者所批判.2008年美國發(fā)生近年來損失最為慘重的金融危機，美國經(jīng)濟處于低迷狀態(tài)，就業(yè)形勢不容樂觀.此種背景下，為了刺激經(jīng)濟和產(chǎn)業(yè)發(fā)展以及增加出口量，奧巴馬選擇了刺激出口計劃，而出口管制改革是其中的重要舉措，密碼產(chǎn)品和技術(shù)是出口管制改革的一項重要內(nèi)容.

2010年4月,當時的國防部長羅伯特·蓋茨提出基本的具體改革路線: 第一，美國將對軍品清單和商業(yè)管制清單合二為一，從而減少部門間的產(chǎn)品管轄爭端；第二，設(shè)立單一的許可證簽發(fā)機構(gòu)以精簡程序；第三，為了加強執(zhí)法設(shè)立單一的出口管制執(zhí)法機構(gòu)；第四，為解決目前多個信息庫并存造成的重復、抵觸和成本問題開發(fā)統(tǒng)一的信息技術(shù)系統(tǒng).具體改革分為3個階段：第1階段主要繼續(xù)做好已經(jīng)啟動的工作；第2階段開始具體實施清單的重構(gòu)、整理與合并工作；第3階段完成清單統(tǒng)一，實現(xiàn)機構(gòu)統(tǒng)一和系統(tǒng)更新，并相應建立起統(tǒng)一的電子信息系統(tǒng).從上述改革進程來看，國防部長蓋茨公布的包括建立統(tǒng)一的管制清單等在內(nèi)的出口管制改革措施，有關(guān)密碼出口管制的改革是重要的內(nèi)容，也將會對密碼產(chǎn)品和技術(shù)出口管制系統(tǒng)造成重大影響.

2010年6月25日，商務(wù)部BIS發(fā)布臨時規(guī)定，本規(guī)定修改了許可例外、大宗市場資格、提交程序、報告要求、許可程序要求以及放寬EAR特定加密物項等.具體而言：對于國家安全威脅較小的密碼產(chǎn)品和技術(shù)取消技術(shù)審查等待30天的要求而直接授權(quán)出口，再出口時向BIS提交電子注冊即可，此外需要提交年度自我分類報告.大宗貿(mào)易產(chǎn)品也執(zhí)行上述規(guī)定，只有少數(shù)類別的許可例外和大宗貿(mào)易產(chǎn)品還需要30天.本規(guī)則也簡化了出口和再出口許多類型加密產(chǎn)品的許可要求，涉及國家安全、反恐以及禁運和制裁的除外；本規(guī)則還取消了要求文件單獨加密的要求；也將2009年《瓦森納協(xié)議》的全會決議內(nèi)容增加到本規(guī)則.在2010年7月27日，BIS發(fā)布了規(guī)則的修正版，澄清了加密注冊要求的寬限期問題.

2011年1月7日，美國通過一項重要的EAR修正案，公開的大宗貿(mào)易加密代碼軟件長度超過64位的對稱密鑰以及公開的加密代碼在代碼公開時是屬于許可證例外的，不再受EAR的管制.此外，還對EAR進行其他小的具體修改.

2011年7月，對在目標代碼中公開可獲取的大眾市場加密軟件以及其他特殊公開課獲取的加密軟件相關(guān)規(guī)定進行修改.從EAR中刪除特定的大宗市場和ECCN5D002中的目標代碼.同時，公開獲取源代碼依然受制于EAR，僅TSU(technology and software-unrestricted)是需要許可通知的.

3 美國密碼出口管制法律制度演變的啟示

如上所述，目前我國整個密碼出口管制存在很多問題，但筆者認為其中最主要的問題是所制定的政策法規(guī)中利益權(quán)衡處于缺失狀態(tài).目前的密碼出口管制政策法規(guī)對于國家安全、產(chǎn)業(yè)發(fā)展、出口競爭力、技術(shù)創(chuàng)新等利益很難做到系統(tǒng)性統(tǒng)籌安排.

3.1 確立總體國家安全觀

確保國家安全是密碼出口管制的歸宿，密碼進行出口管制基本要求是做到不侵犯國家安全，因為安全與秩序是網(wǎng)絡(luò)空間治理的基本需求[6]，這同樣適用于密碼出口管制，密碼出口管制就是確保國家安全的重要手段.

密碼出口對國家安全所造成的威脅主要體現(xiàn)在2個方面：第一，密碼相關(guān)技術(shù)能夠確保重要信息的安全，將所有的密碼技術(shù)不加以限制都出口到國際市場，將使得我國重要信息的安全缺乏保障，因為密碼分析技術(shù)先進的國家將會很容易破解相關(guān)密碼技術(shù)，這會對國家安全造成重要現(xiàn)實威脅，當然并不是限制出口就一定安全，但是不加以管制勢必將會增加威脅的可能；第二，密碼技術(shù)還是屬于“兩用物項”，在我國目前密碼技術(shù)發(fā)展階段下，若對商用密碼技術(shù)和軍用密碼技術(shù)不加以區(qū)分，民用密碼技術(shù)的出口可能會對軍用密碼技術(shù)造成串聯(lián)性威脅.雖然美國密碼出口管制清單正在民用和軍用進行統(tǒng)一處理，但是筆者認為基于兩國密碼技術(shù)的差異性以及美國密碼出口管制主要目的是為出口方便考慮等因素.我國目前還是存在著此風險，信息安全風險需要進行管制，密碼出口管制就是這種風險管制的一種方式.

基于以上原因，在密碼出口管制立法過程中，還是要充分考慮國家安全的因素，這是密碼出口管制的最低要求.

密碼出口管制法律制度必須從法律上確保國家安全不受侵犯，但是持有何種國家安全觀念是至關(guān)重要的.傳統(tǒng)意義上國家安全指的是主權(quán)安全、領(lǐng)土安全、政治和軍事安全，但隨著經(jīng)濟全球化的發(fā)展，經(jīng)濟安全、科技安全、文化安全以及信息安全等對國家安全內(nèi)涵的拓展已經(jīng)得到各國的認可.從各國立法角度上來看，網(wǎng)絡(luò)安全方面立法也是更多地確立總體國家安全觀，為追求絕對的傳統(tǒng)意義上的國家安全而犧牲經(jīng)濟、科技等方面的利益的觀念已時過境遷.美國密碼出口管制法律制度的演變過程中，國家安全一直是底線，但是20世紀90年代以來的演變過程更多的是由于增強出口能力以及促進科技發(fā)展等方面為依托，即使911事件后，國家安全被美國立法置于首位所要關(guān)注的價值選擇時，也在密碼出口管制程序等方面逐步放松.

我國密碼出口管制立法也不能過于強調(diào)國家安全的因素，不能追求絕對的安全觀，這是很難做到也是將會付出很大代價的，應該將總體國家安全觀引入密碼出口管制立法中.筆者認為按照我國網(wǎng)絡(luò)安全立法經(jīng)驗，密碼出口管制忽視國家安全因素可能性很小，更有可能是國家安全將過于被強調(diào)而限制其他立法價值的追求，傳統(tǒng)的立法觀念必須在密碼出口管制立法中進行相應的轉(zhuǎn)變.所以，國家安全是很重要的，但是在密碼出口管制立法中只要能守得住底線就可以，確立總體國家安全觀也是密碼出口管制立法的基本要義.

3.2 增強密碼出口競爭力

出口是經(jīng)濟發(fā)展的三駕馬車之一，密碼出口管制立法要增強出口競爭力，促進出口發(fā)展是密碼出口管制立法的根本動力，從對密碼技術(shù)和產(chǎn)品“管”的角度轉(zhuǎn)化到“理”，從絕對的國家安全立法觀轉(zhuǎn)變?yōu)榭傮w國家安全觀下對經(jīng)濟發(fā)展的規(guī)劃，從單一部門利益主導立法發(fā)展到跨部門綜合利益統(tǒng)籌的立法觀.逐步將我國密碼出口管制立法重點放在確保國家安全前提下的增加出口競爭力從而促進經(jīng)濟發(fā)展的綜合規(guī)劃上.

美國密碼出口管制立法進程顯示，從20世紀90年代開始美國將增加出口經(jīng)濟發(fā)展作為修改EAR的主要原因之一，技術(shù)審查、許可證以及售后報告等制度只是為了在保障國家安全的前提下增強出口競爭力、促進經(jīng)濟發(fā)展.在911事件之后，美國將國家安全作為重中之重，但是仍然沒有對密碼技術(shù)和產(chǎn)品的出口加以嚴格控制，美國政府轉(zhuǎn)向通過監(jiān)控項目來實現(xiàn)國家安全，這一思路的轉(zhuǎn)變值得深入性探討，但至少說明，美國政府的密碼出口管制對于增強經(jīng)濟發(fā)展的重視程度.國家安全和出口競爭力的價值平衡是美國密碼出口管制立法以后主要要解決的問題之一，或者說，美國密碼出口管制立法進程主要是圍繞著此主要矛盾展開的.這個立法理念也是很先進的，而且除了美國也是許多國家所采用的，比如，英國在2011年的《網(wǎng)絡(luò)安全戰(zhàn)略》中也是采取5點主要措施去解決促進網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的問題，協(xié)調(diào)重點關(guān)注保護網(wǎng)絡(luò)安全的同時推動經(jīng)濟的發(fā)展.

我國密碼出口管制立法也是不能忽視兩者之間的平衡，至少應該做到將切實提高出口競爭力、促進經(jīng)濟發(fā)展貫徹到立法之中，即使不能實現(xiàn)預期的效果，也可以通過長期的數(shù)據(jù)搜集以及立法效果評估逐步進行調(diào)整.密碼出口管制對經(jīng)濟發(fā)展具有重要作用是毋容置疑的，但是前提條件是密碼技術(shù)和產(chǎn)品一定具有自主知識產(chǎn)權(quán)，這對于密碼管制的可操作性至關(guān)重要，否則無法實現(xiàn)密碼出口的可控性.我國目前在網(wǎng)絡(luò)安全立法方面也開始逐步關(guān)注產(chǎn)業(yè)與經(jīng)濟發(fā)展等內(nèi)容，《網(wǎng)絡(luò)安全法(草案)》明確指出“安全與發(fā)展”并重，這個思路是很大的轉(zhuǎn)變，從只追求絕對的安全到以安全來保護經(jīng)濟的發(fā)展再到以安全立法來促進經(jīng)濟發(fā)展的思路上的轉(zhuǎn)變，在“安全與發(fā)展”的價值權(quán)衡中，本次立法的價值選擇是值得肯定的.但是，從立法指導思想到落實具體條款再到對實際效果的研判，還需要很長一段時間逐步探索出適合我國國情的法律制度.

3.3 提高密碼技術(shù)研發(fā)水平

促進密碼技術(shù)發(fā)展是確保國家安全和增強出口競爭力的保障，密碼技術(shù)中密碼解析技術(shù)的發(fā)展是保護國家安全的重要措施，密碼技術(shù)中的編譯技術(shù)是出口競爭力的基本要求.促進密碼技術(shù)發(fā)展從長久來看是實現(xiàn)其他立法價值的基石，沒有密碼技術(shù)的進步對于密碼出口是很難實現(xiàn)放松監(jiān)管的，也只能靠嚴管來達到國家安全的目的，談不上在密碼出口管制立法上的價值選擇.

美國密碼出口管制法律制度的演變過程證實先進的密碼技術(shù)是出口管制立法的重要支撐因素.美國目前的密碼技術(shù)尤其是密碼解析能力是國際領(lǐng)先的，為提升解密能力美國確立專門的網(wǎng)絡(luò)監(jiān)控項目，正如斯諾登所說的對于美國來說互聯(lián)網(wǎng)沒有秘密.可以想象，當美國擁有能夠打開任何密碼能力的技術(shù)，也就沒有必要嚴格限制密碼出口管制.美國目前擁有的密碼破解群集、PKF9.7等密碼分析技術(shù)處于全球領(lǐng)先地位，這為密碼出口的持續(xù)性放松管制提供了根本性保障.同樣，技術(shù)領(lǐng)先的加密技術(shù)也是美國密碼出口管制法律制度演變的重要原因，美國國內(nèi)密碼難以被破解也是美國放松密碼出口管制的原因之一，但是相較于密碼解析水平其影響較弱.

目前，我國密碼解析能力相比密碼編譯能力是落后的，而且，我國密碼管制部門還持有將密碼作為“秘密”保護的落后思維，不經(jīng)歷實戰(zhàn)檢驗的密碼看上去是安全的，但卻是威脅安全的重大隱患，是“掩耳盜鈴”式的密碼保護觀念，難以解決根本性的問題.我國應該從立法層面鼓勵密碼科研的發(fā)展，培養(yǎng)密碼技術(shù)人才，實現(xiàn)我國密碼技術(shù)上的全面進步，逐步將我國密碼技術(shù)，特別是密碼分析技術(shù)發(fā)展到國際領(lǐng)先的位置.促進密碼技術(shù)的發(fā)展不是立法核心價值，難以將確保國家安全以及增強出口競爭力相提并論，從長期來看，在密碼出口管制立法中不充分考慮將很難實現(xiàn)前兩者.

所以，促進密碼技術(shù)發(fā)展是保障，密碼管制部門更應該想辦法在密碼出口管制立法中真正落實相關(guān)促進措施.密碼管制機構(gòu)應該不斷健全管制機制，切實提高密碼科學管制[7]，如此才能更好地促進科學技術(shù)的發(fā)展.此外，高新技術(shù)產(chǎn)品的出口管制程度對國內(nèi)創(chuàng)新以及技術(shù)進步是有影響的，一般來說，適度寬松的管制宏觀上有利于國內(nèi)高新技術(shù)產(chǎn)業(yè)的發(fā)展，過于嚴格的管制將會造成減少技術(shù)上的創(chuàng)新速度[8]，最終會造成減緩國內(nèi)高新技術(shù)產(chǎn)業(yè)發(fā)展的后果，密碼出口管制要尋找到最佳強度才能促進高新技術(shù)產(chǎn)業(yè)的發(fā)展[9].

3.4 促進建立國際密碼出口管制規(guī)則

國際合作與交流是維護網(wǎng)絡(luò)空間安全的重要內(nèi)容，密碼作為網(wǎng)絡(luò)安全的重要組成部分，密碼出口管制也應該重視國際社會合作實現(xiàn)共贏.事實上網(wǎng)絡(luò)空間共同規(guī)則體系的建設(shè)已成為國際社會的共識，這樣有助于各國間減少規(guī)則差異所造成的制度性摩擦.密碼出口管制在多國達成共識的情況下，一是能減少不信任所造成的損失；二是能夠不斷完善我國的密碼出口管制法律制度，從外部引入完善機制.事實上，美國密碼出口管制法律制度的演變部分原因是因為“瓦森納協(xié)議”等多邊組織影響的結(jié)果，表面上是修改了EAR使得美國利益受損，美國在“瓦森納協(xié)議”中起到重要的決策性影響，從根本上講美國是從這些國際條約中獲得利益的.這種“瓦森納協(xié)議”式的共同規(guī)則的建立也能在以后多邊貿(mào)易中獲得實質(zhì)性的優(yōu)惠，減少國家間在密碼進出口方面的摩擦.

我國的密碼出口管制法律制度還處于缺失狀態(tài)，很難指望依靠一部法律就能解決所有問題，密碼管制部門更應該在實踐中發(fā)現(xiàn)問題，積極同其他國家進行密碼出口管制方面的交流與合作，以促進國際社會建立密碼出口管制方面的共同規(guī)則，減少因為密碼出口管制所受到的貿(mào)易制約，這樣也更加符合我國的國情，從而逐步完善密碼出口管制相關(guān)立法.在總體安全觀指導下保障國家安全、增強出口競爭力，以實現(xiàn)經(jīng)濟發(fā)展.但是在密碼出口管制方面，促進國際社會建立共同規(guī)則會起到事半功倍的效果，雖然我國也要遵循相應的共同規(guī)則，有可能還會修改國內(nèi)的相關(guān)政策法規(guī)，但是在共同規(guī)則中受益也是相當明顯的，美國就是典型的案例.

綜上，筆者認為我國密碼出口管制立法應該注重國家安全、出口競爭力以及密碼技術(shù)發(fā)展三者之間的價值平衡，密碼出口管制不能按照絕對安全觀來指導，應該確立總體的國家安全觀的同時注重增強出口競爭力以及提高密碼技術(shù)研發(fā)，還需要在實踐中注重國際合作與交流，至于制定密碼出口管制時其他立法價值的選擇可以參考，但是不應該重點強調(diào)，否則相關(guān)政策法規(guī)的制定難度將增加.在立法價值選擇中不應該忽視國情，完全按照國外立法進行法律移植，這樣將會和社會現(xiàn)實嚴重脫節(jié)，比如，美國不對進口加以限制，但是我們國家現(xiàn)階段很難實現(xiàn)，這是由于密碼技術(shù)等方面所決定的.

[1]馬民虎, 杜立欣. 內(nèi)外有別的控制政策——美國密碼政策演變軌跡[J]. 國際貿(mào)易, 2001 (10): 21-23

[2]Zweigert K, Kotz H. 比較法總論[M]. 潘漢典, 等譯. 北京: 法律出版社, 2003

[3]彭爽, 曾國安. 美國出口管制政策的演變與啟示[J]. 全球視野, 2014 (1): 185-188

[4]馬民虎, 原浩, 許蘇嘉. 美歐密碼進出口管制的“游戲”法則研究[J]. 情報雜志, 2001 (1): 9-11

[5]馬民虎, 趙禪, 馮立楊, 等. 商用密碼管制:從對立到包容之趨勢分析[J]. 信息網(wǎng)絡(luò)安全, 2009 (2): 60-69

[6]誠凌. 途徑、需求與趨勢趨同的網(wǎng)絡(luò)“全球夢”——世界網(wǎng)絡(luò)空間發(fā)展的美好愿景[J]. 中國信息安全, 2015 (12): 60-63

[7]黃平. 捍衛(wèi)信息安全 共謀商用密碼管制工作新作為[J]. 中國信息安全, 2015 (5): 82-83

[8]張群卉. 出口管制對一國技術(shù)領(lǐng)先優(yōu)勢的影響[J]. 科技進步與對策, 2011 (11): 103-106

[9]張群卉. 高新技術(shù)產(chǎn)品出口管制對一國產(chǎn)品創(chuàng)新的影響[J]. 技術(shù)經(jīng)濟, 2012, 31(5): 49-54

仲利波

碩士，主要研究方向為信息安全法.

1034029947@qq.com

趙婧琳

碩士研究生，主要研究方向為信息安全法律研究.

759180165@qq.com