國際經貿協定中密碼技術產品保護規則新發展及中國因應

摘" 要：數字經濟時代，密碼技術作為保障信息安全的核心技術，其重要性日益凸顯。而密碼技術的廣泛運用也可能影響國家安全和公共利益。因此，密碼技術的運用和規制一直尋求私權保護與執法需求、市場驅動與政府干預、貿易自由與國家規制之間的平衡。近年來，CPTPP和DEPA等高標準國際經貿協定相繼納入使用密碼技術的ICT產品規則，一方面要求減少對使用密碼技術的ICT產品不合理的貿易限制，強化數字知識產權保護；另一方面也尊重國家對密碼技術的規制權，包括金融機構和市場例外、執法機關例外等限制性規則。中國在積極推進加入CPTPP和DEPA的過程中，應積極對接密碼技術產品規則，大力發展商用密碼技術，加強與CPTPP和DEPA成員國在密碼技術和網絡安全領域的合作與信息共享，并進一步完善密碼技術管理的政策法規。

關鍵詞：密碼技術；國際經貿協定；出口管制；CPTPP；DEPA

中圖分類號：D 913" " 文獻標志碼：A" " 文章編號：2096-9783（2025）01?0103?10

密碼技術通常是指保護信息未經授權而無法獲得的技術1。隨著數字技術的迅猛發展，5G、云計算、大數據、物聯網、區塊鏈、人工智能等產業會產生大量數據，如何保障這些數據的安全需要依靠密碼技術。密碼技術已經成為網絡空間安全的核心技術和基礎支撐，通過加密保護與安全認證，能在不安全的環境下對通信和存儲的數據進行保護，以防止未經授權的訪問、篡改、偽造、抵賴等行為[1]。但是，密碼技術是一把雙刃劍，既可以用于合法的數據保護，也可以被用來從事違法犯罪活動，還可能同時影響國家安全、公共安全、法律執行、商業交往、消費者保護或個人隱私等多方利益[2]。

促進密碼技術的創新發展，不僅是發展本國數字經濟的需要，也是參與國際密碼技術市場競爭的要求。隨著數字技術和數字經濟的快速發展，美日歐等發達國家率先開始推行數字知識產權保護，明確源代碼和算法的保護要求，并在其隨后締結的區域經貿協定中不斷擴大保護范圍，將商用密碼技術也納入保護范圍。中國正在加速制度型開放進程，積極對接CPTPP、DEPA等高標準國際經貿規則。因此，中國應增強本國密碼技術的國際競爭力，進一步參與密碼技術相關國際規則的制定。

一、密碼技術產品開放與限制的博弈和價值平衡

密碼技術相關法律和政策體現了國家、社會和公眾的多重利益，因而不可避免會出現利益的沖突和價值的相悖。政府承擔著廣泛的職責，其中與密碼技術的使用直接相關的職責包括：隱私保護和促進信息及通信系統安全；通過促進商業來鼓勵經濟繁榮；維護公共安全；以及支持法律執行和保護國家安全。國家在規制密碼技術時，需要平衡國家、社會、公民之間的利益，國家之間關于密碼技術的國際規則需要尋求促進貿易自由化和國家規制自主權之間的平衡。

（一）私權保護和執法需求之間的平衡

對于公民個人而言，密碼技術的主要功能之一就是保障公民的隱私權，而公民的隱私保護并不是絕對的。例如，在1995年1月17日，歐盟理事會發布了《關于合法攔截電子通信的決議》2，如果網絡運營/服務商對通信信息進行編碼、壓縮或加密，執法機關有權要求網絡運營/服務商提供被監控的通信明文。又如，2018年12月，澳大利亞通過《電信與其他立法修正（協助與獲取）法》，對情報機構和執法機關獲取指定的通訊提供者的加密通訊信息與數據進行廣泛的立法授權，強化第三方的執法協助義務[3]。在商業領域，企業可以通過密碼技術來保護其商業秘密和客戶信息，防止競爭對手的竊取和濫用。例如，通過區塊鏈技術，企業可以將商業秘密寫入區塊鏈，區塊鏈會通過哈希算法對其加密[4]。商業秘密的保護同樣也不是絕對的。通過密碼技術保護的商業秘密也可能在司法機關、執法部門和國家安全部門的合法要求下，提供加密商業秘密的訪問權。

各國密碼管理規則在制定過程中，都會在私權保護和執法需求之間尋求平衡。從預防犯罪和國家安全考慮，必須賦予執法部門較強的解密能力和監聽加密信息的權力，以降低密碼被用于網絡犯罪和危害國家安全的風險[5]。從私權保護考慮，任何形式的密碼注冊、密鑰托管、密鑰恢復都會造成更多的隱私和商業秘密泄露風險，并最終降低整體的網絡安全性。因此，使用加密技術的信息原則上不得強制解密。為了防止行政機關濫用執法權而阻礙公民和企業合理使用密碼技術，各國政府對執法部門的密鑰托管、密鑰恢復進行限制，并制定了嚴格的審批和執行程序。政策制定者經常面臨在公共安全措施和個人公民自由之間尋求最佳平衡的挑戰。此外，在特定的行業，政府應考慮行業的獨特需求、風險和發展要求來確定適當的密碼管理規則。例如，金融行業、醫療行業和電信行業等，通常對密碼技術的使用存在特殊規定。

（二）市場驅動和政府干預之間的平衡

密碼技術和數字經濟市場是相互促進的關系，密碼技術為數字經濟提供了安全保障，數字經濟下對安全性和隱私保護的需求推動了密碼技術的創新和市場的繁榮。近年來，信息與通信技術領域應對惡意攻擊和信息泄露變得愈發重要。密碼技術成為數字經濟時代企業獲得客戶信任感的核心競爭優勢，各行業必須確保其數據及其他關鍵資產的安全。

為了促進市場驅動的密碼技術開發，密碼技術的開發和提供應當在開放和競爭的環境下由市場所決定。許多技術的發展經驗表明，依賴用戶選擇和市場力量通常是推動新技術廣泛應用的最快和最有效的方式。但是，出于國家安全和公共安全的考慮，完全放任市場自由競爭的密碼管理政策也是不合適的。對于密碼技術的管理，若屬于難以通過市場機制或者事中、事后監管方式進行有效管理的事項，政府就需要實施行政許可或其他管制措施，堅守安全底線。

對于不影響國家安全和公共安全的密碼技術，其發展應當以市場為導向。相關的法律和政策應遵循技術中立原則，這具體體現在兩個方面：其一，密碼主管機關與標準化組織在確定密碼算法標準時應當遵循技術中立原則；其二，企業和消費者可以根據需要自由選擇密碼技術產品。消費者的市場選擇，能夠促進密碼技術優勝劣汰，激勵技術創新和進步，實現密碼技術和國家發展利益的良性互動。因此，政府對密碼技術市場的干預應根據具體情況進行謹慎調整。

（三）貿易自由和國家規制之間的平衡

隨著信息技術和服務的國際貿易不斷增長以及企業對高科技領域的需求日益增加，密碼技術可以保障數據傳輸過程中的機密性、完整性和真實性，從而促進數字貿易的順利進行。例如，跨境就醫結算服務領域對數據安全和隱私保護的要求較高。因此，跨境就醫結算服務平臺就需要采用數據加密技術，防止未經授權的訪問和泄露[6]。又如，在現有的跨境金融交易中，通過區塊鏈特有的區塊數據結構和密碼機制，交易信息難以被篡改且可追溯，能保證信息鏈的真實性和完整性。國際經貿協定通過制定統一的密碼技術規則，可以避免各國之間因標準不一致而引發的貿易壁壘，促進全球密碼技術產品市場的互聯互通。

同時，密碼技術在保護國家機密信息、預防網絡犯罪和恐怖主義方面起著關鍵作用[7]。為保護本國的信息主權，防止密碼技術市場被外國企業壟斷，確保進入國內市場的密碼技術產品符合本國的法規和標準，國家可能會對密碼技術的進口、出口、銷售和使用實施管控，以確保其不被濫用。

國家若采取過于嚴格的密碼技術規制措施，會限制密碼技術的國際交流與合作，降低企業參與密碼技術創新和競爭的積極性，進而阻礙本國數字貿易發展，影響本國整體網絡安全。但是，太過寬松的密碼技術規制可能會帶來各種安全隱患。各國在國際經貿協定的談判過程中，尋求促進貿易自由和國家規制之間平衡，在保障網絡安全的同時促進全球貿易的健康發展。因此，國際經貿協定中密碼技術產品規則既有促進貿易自由的保護性規則，也有維護安全穩定的限制性規則。

二、密碼技術產品國際規制的歷史演變和最新發展

長期以來，美歐等發達國家密碼技術的出口管制政策，影響了國際社會對密碼技術社會化利用的態度。冷戰時期，密碼技術作為國家重要戰略資源，受到極為嚴格的出口管控。20世紀90年代以來，隨著冷戰的結束，國際環境發生了深刻變化，長期以來以主權和安全為主的國家利益觀念發生了根本變化，更加強調國家綜合實力和整體利益，強調國家發展和保障公民人權。密碼技術的發展所引發的社會變革，要求國家在維護安全利益的同時，兼顧技術創新進步，保護個人隱私與自由，并促進經濟社會的全面發展。為了實現密碼技術管理的國際合作和協調一致，各國通過多邊機制對密碼技術產品進行國際規制。總體而言，密碼技術產品的國際規制呈現從嚴格管控到逐步放松的趨勢。近年來，國際經貿協定納入密碼技術產品的相關條款，體現各國在密碼技術貿易自由和國家規制二者之間尋求平衡。

（一）多邊性密碼技術產品出口管制安排

二戰之后，為了共同實施針對社會主義國家的多邊出口管制，美國同一些西歐國家組成了“多邊出口管制統籌委員會”（Coordinating Committee for Multilateral Export Controls， COCOM），由于總部設在巴黎，又被簡稱為“巴統”。“巴統”負責編制和增減多邊禁運清單，規定受禁運的國別和地區，確定禁運的審批程序等。“巴統”成員國出口清單內貨物時，需要向“巴統”提出申請，經過其同意之后才能簽發出口許可證，并且發貨后還要隨時被核查。出于國家主權和安全的考慮，密碼技術受到嚴格的出口管控。“巴統”除禁止成員國將密碼技術出口到與恐怖組織保持密切聯系的國家，成員國若要將密碼技術出口到其他國家也須獲得其授權許可。1991年，“巴統”決定放開面向大眾市場加密軟件（Mass-market Encryption Software）的出口，對于公眾可以通過柜臺銷售等獲得且無法輕易改變加密功能的加密軟件，成員國可以向所有國家出口[8]。

1994年，“巴統”解散。美國等31個國家于1996年簽訂了規制兩用物項和技術出口的多邊機制——《瓦森納常規武器和兩用貨物及技術出口管制安排》（The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Good and Technologies）（以下簡稱《瓦森納安排》）。由于密碼技術產品被認為具有民用和軍用雙重功能，因此，它們受到《瓦森納安排》兩用物項控制清單下的出口限制。《瓦森納安排》通過指定受出口管制控制的物品清單，為國家政策制定了一個框架，成員國根據該清單自行決定是否將其納入國家出口管制政策，所有與個別出口許可證有關的決定仍由各簽署國負責[9]。《瓦森納安排》包括兩份控制清單，其中一份是兩用物項和技術清單，清單分為10個類別，第5類第2部分涵蓋了信息安全，包括加密產品。加密產品清單項目中包括“使用對稱或非對稱算法的加密系統、設備、組件和軟件，其中對稱算法的密鑰長度超過56位，或非對稱算法的密鑰長度超過512位”[10]。

（二）OECD推動密碼技術貿易自由與國際協調合作

信息和通信網絡具有全球性，而各國實施不兼容的密碼技術政策將無法滿足個人、商業和政府的需求，對經濟合作和發展構成一定的障礙。為了實現國家、社會、公民之間三者利益的平衡，經合組織 （Organization for Economic Cooperation and Development，OECD）號召其成員國解除對密碼技術的控制，發展基于市場和用戶驅動的密碼技術產品和服務。OECD在1997年3月發布了《關于密碼技術政策的建議性指南》3，該指南旨在促進密碼技術的使用，以增強對數字技術及其使用方式的信心，并幫助確保全球網絡的數據安全和隱私，同時不對公共安全、執法和國家安全構成不當威脅。該指南列出了關于密碼政策的八項原則，其中就包括國際合作原則，即各國政府應在制定密碼政策時進行合作和協調，消除或避免以密碼政策的名義制造不合理的貿易障礙[11]。國際合作原則并非旨在凌駕于國家安全或執法政策之上，而是強調各國不應以密碼政策為借口來排除或歧視外國產品[12]。OECD的目的是呼吁成員國在因其密碼政策造成貿易障礙時，應提供合理的理由。

盡管《關于密碼技術政策的建議性指南》并不構成具有約束力的國際法，但它具有很強的影響力，并為成員國制定政策提供了明確的原則。2024年，OECD的數據安全工作組認為，《關于密碼技術政策的建議性指南》目前仍然足以解決其制定時所針對的問題，并實現其制定目的，因此現階段無須對其進行修訂。這是OECD專門討論該指南的最后一份報告，未來關于該指南的審查將和OECD其他數字安全建議一起進行4。

（三）密碼技術條款在國際經貿協定中的常態化趨勢

密碼技術為大多數現代信息和通信技術（ICT）產品和服務提供了基礎，是保護跨境數據流動的核心技術。國家若支持密碼技術在跨境數據流動上發揮重要作用，將有利于數字貿易的發展，而歧視性和限制性政策則可能使數字貿易和大規模的ICT產品貿易面臨風險[13]。 在現有的國際經貿協定中，密碼技術與ICT產品相結合，受到國際貿易規則的規制。盡管WTO協定中沒有關于密碼技術的具體條款，但《技術性貿易壁壘協定》（Agreement on Technical Barriers to Trade， TBT）和《與貿易有關的知識產權協定》（Agreement on Trade-Related Aspects of Intellectual Property Rights， TRIPs）可適用于使用密碼技術的信息和通信技術（ICT）產品[14]。使用密碼技術的ICT產品也是WTO電子商務談判的重要議題，但各國在這個條款適用范圍上存在分歧，且短時間內無法達成共識。在對主席案文的最后一次技術性討論中，會議決定，關于使用密碼技術的ICT產品的條款今后將不再是主席案文的一部分5。

近年來，國際經貿協定中逐漸將使用密碼技術的ICT產品的條款納入其中，并呈現常態化趨勢。這些規則區別于以往OECD《關于密碼技術政策的建議性指南》的“軟法”性規則，是成員國之間經過談判而達成的對其具有法律約束力的規則。密碼技術條款可能出現在經貿協定中的數字貿易、電子商務、技術性貿易壁壘、商業信任、知識產權保護等章節。例如，《全面與進步跨太平洋伙伴關系協定》（Comprehensive and Progressive Agreement for Trans-Pacific Partnership， CPTPP）在第8章“技術性貿易壁壘”的附件8-B “信息及通信技術產品”的A節規定了使用密碼技術的ICT產品。又如，《數字經濟伙伴關系協定》（Digital Economy Partnership Agreement，DEPA）在模塊三“數字產品待遇和相關問題”第4條專門規定了使用密碼技術的ICT產品規則。除此之外，《美加墨協定》（USMCA）、《日本—英國經濟伙伴關系協定》（JUKDPA）、《英國—新加坡數字經濟協定》（UKSDEA）、《韓國—新加坡數字伙伴關系協定》（KSDPA）、《歐盟—新加坡數字伙伴關系協定》（EUSDPA）、《英國—烏克蘭數字貿易協定》（UKUADTA）均對使用密碼技術的ICT產品有所規定。

三、國際經貿協定中密碼技術產品的保護性和限制性規則

在國際經貿協定中，使用密碼技術的ICT產品規則通常包括強制提供密碼算法等保護性規則和不得阻止執法機關依程序執法等限制性規則。在對密碼管理進行國際協調和合作的前提下，這些協定既有助于減少使用密碼技術的ICT產品在跨境貿易中的不確定性和復雜性，又為各國制定符合本國安全利益的密碼管理規則留下靈活的適應空間。

（一）使用密碼技術的ICT產品的保護性規則

使用密碼技術的ICT產品保護性規則通常涵蓋市場準入和知識產權保護，并且這些規則一般不適用于爭端解決機制。但是，DEPA通過的議定書將這些規則納入爭端解決機制的范圍，強化了使用密碼技術的ICT產品規則的約束性，為各成員國之間的規則得到公平和有效的執行提供了保障。

1.使用密碼技術的ICT產品的市場準入

政府為在確保國家安全、公共安全和市場公平的同時，促進技術標準化和保護消費者利益，可能會為密碼技術產品實施設立技術法規或合格評定程序。但是，對于設計用于商業應用的產品，如果政府強制實施特定技術標準或評定程序，可能會限制企業自由選擇和使用適合其業務需求的密碼技術，增加企業在不同國家之間的研發成本和合規成本，不利于鼓勵企業在密碼技術方面的創新和商業化運用。特別是對于中小型科技企業來說，強制的技術法規和合格評定程序可能導致企業進入新市場時面臨復雜的審批和認證程序，成為市場準入障礙。因此，CPTPP和DEPA都規定了“對于使用密碼技術并設計用于商業應用的一產品，任何締約方不得強制實施或設立一技術法規或合格評定程序，作為制造、出售、分銷、進口或使用該產品的條件而要求該產品的制造商或供應商使用或集成一特定密碼算法或密碼”。

2. 使用密碼技術的ICT產品的知識產權保護

知識產權保護有利于促進國際貿易發展和吸引高質量投資，因而高標準國際經貿協定普遍重視數字知識產權保護。但是，各國對密碼技術進行了不同程度的限制，有的國家要求將“后門”建立在密碼系統中以允許政府訪問，有的國家要求將獲得密鑰作為向外國技術開放國內市場的先決條件，甚至不能加密[15]。締約方要求轉讓或提供密鑰、算法或要求在密碼技術方面進行強制性合作，將對企業帶來知識產權泄露風險。CPTPP和DEPA關于禁止強制轉讓密碼相關專有技術信息的規定旨在保護企業的知識產權和商業機密。密碼技術通常涉及大量專利和高度敏感的商業機密，強制轉讓這些信息會侵犯制造商或供應商的知識產權，削弱其市場競爭力，并可能造成嚴重的經濟損失。另外，密碼技術的安全性依賴于其設計細節和密鑰的保密性，強制披露這些信息可能會使技術易于被攻擊者利用，從而削弱其保護數據和系統的能力。密碼技術通過保護企業的特定技術、生產工序或其他信息，維護企業的競爭優勢，激勵持續創新，促進國際市場的健康發展。

CPTPP和DEPA均規定締約方不得要求密碼技術制造商或者供應商與締約方領土內的人合伙，這可能會嚴重影響密碼技術的知識產權保護。首先，合伙要求可能導致敏感技術和生產工序的信息泄露，從而增加知識產權被侵權的風險。其次，合伙關系分散了對知識產權的控制權，可能使其在管理和保護上面臨挑戰。合同和法律條款也可能無法完全防止知識產權的濫用，尤其在知識產權保護法律不健全的區域。此外，合伙方可能成為潛在競爭對手，這可能會削弱原制造商或供應商的市場地位，并降低其知識產權的商業價值。合伙要求還可能導致企業減少在該市場的研發投入和技術創新，影響行業的整體技術進步。

3.使用密碼技術的ICT產品納入爭端解決機制

DEPA在生效文本中規定爭端解決不適用于使用密碼技術的ICT產品6，主要是出于國家安全和技術敏感性的考慮。密碼技術涉及高度復雜和敏感的信息，其應用對國家安全至關重要。因此，國際爭端解決機制可能難以有效處理此類問題，且在爭端過程中可能導致商業機密和知識產權的泄露。通過將使用密碼技術的ICT產品排除在爭端解決之外，DEPA保留了各國在處理密碼技術相關問題上的自主權和靈活性，確保其能夠有效管理和控制相關風險。

為了強化核心規則的約束性，DEPA聯合委員會于2023年5月24日通過了《DEPA議定書》，議定書第8條規定“附件14-A［第14模塊（爭端解決）的范圍］以及附件I（關于本協定的諒解）7應停止實施”。這表明爭端解決機制可以適用于使用密碼技術的ICT產品規則。這一規定強化了締約方遵守協定義務的紀律約束，增強了規則的透明性和一致性，有助于確保各國企業在密碼技術領域享有公平競爭的環境。在爭端解決機制下，如果某成員國基于密碼技術限制ICT產品的進口或使用，該國必須證明此限制旨在保護國家安全或其他合法公共利益，并且該措施必須是實現合法目標所必需的，與所對應的風險成比例。這樣有助于在滿足安全需求和其他合法利益的同時，最大限度地減少對密碼技術貿易的不必要障礙。至于成員國如何為限制措施進行合理解釋，可以借鑒WTO爭端解決機制等以往案例和解釋理由。

（二）使用密碼技術的ICT產品的限制性規則

在CPTPP和DEPA等國際經貿協定中，使用密碼技術的ICT產品受到一系列限制性規則的約束，包括將ICT產品限定為貨物、政府用途例外、符合締約方政府所有或控制的網絡要求，以及金融機構或市場例外和執法機關例外等規定。

1.ICT產品限定為貨物

CPTPP和DEPA都規定了“就本節而言，‘產品’是指貨物，不包括金融工具”。金融服務中使用的密碼技術通常比其他 ICT 產品面臨更多的安全和風險管理要求，將金融工具納入 ICT 產品規則可能會導致與金融監管機構的職責和法規重疊或混淆。因此，CPTPP和DEPA都排除了金融工具的適用。但是，在國際貿易中，貨物和服務是兩個不同的概念，分別受到不同的規則和監管框架的約束。將ICT產品限定為“貨物”，這表明締約方將ICT相關服務排除在外，只限定為使用密碼技術的ICT硬件或軟件。

2.政府用途例外

CPTPP和DEPA規定締約方不得要求制造商或供應商使用或集成一特定密碼算法或密碼，但該產品是由或為該締約方的政府制造、出售、分銷、進口或使用的情況除外。政府用途例外主要考慮國家安全因素。政府需要對使用密碼技術的ICT產品進行嚴格控制，以防止敏感信息的泄露，確保國家機密和重要基礎設施的安全。例如，對于美國政府應用的密碼學基本組件，國家安全局維護著一套被稱為Suite B標準的規范，該標準規定了必須使用哪些基本組件來保護美國政府的敏感數據[16]。此外，為政府制造、出售、分銷、進口或使用的ICT產品還要考慮合規性和標準化。政府通過制定和實施自身的密碼標準和合格評定程序，確保所有政府使用的ICT產品達到統一的安全標準，促進安全管理和維護。

3.締約方政府所有或控制的網絡要求

CPTPP和DEPA規定，締約方采用或維持的與接入由該締約方政府所有或控制的網絡相關的要求，包括中央銀行的要求，不適用于使用密碼技術的ICT產品的市場準入和知識產權保護的相關規定。政府和中央銀行的網絡可能涉及敏感信息和關鍵基礎設施，需有權制定和維持特定密碼技術要求，政府和金融機構需要具備高度安全性的解決方案，以防安全漏洞和網絡攻擊。這種規定尊重了各締約方在敏感領域風險評估和安全標準的差異性，允許其根據國家利益和政策需求管理并保護受控網絡和系統。

4.金融機構或市場例外

按照CPTPP和DEPA規定，締約方根據與金融機構或市場有關的監督、調查或檢查權力所采取的措施可以不適用于使用密碼技術的ICT產品保護性規則。這種例外性規定是基于金融機構和市場在密碼技術使用上的特殊需求和重要性。金融系統的安全和穩定對于國家經濟至關重要，金融機構處理大量敏感信息，包括個人數據和交易數據，監管機構需要確保這些信息的安全，因此它必須對使用的密碼技術進行監督和審查。此外，金融機構需要遵守嚴格的合規性要求和風險管理標準，監管機構可能需要對加密技術進行檢查以確保其符合相關法規和風險管理標準。金融市場和機構需要確保不同系統之間的互操作性，這可能需要進行特定的技術審查或認證，以確保安全有效的系統通信。金融服務與數字技術結合日益緊密，雖然美國等國在高標準經貿規則中強調數字知識產權保護，但又對金融工具與市場監管保持高度戒備心理，實施嚴密管控[17]。

5.執法機關例外

密碼技術在推廣運用和政府規制中，尋求私權保護與執法需求之間的平衡。在加密技術的使用過程中，許多國家強調執法機關的例外性規定，這并非對貿易自由的忽視，而是對國家安全、公共安全和法治原則的維護。執法機關要求服務提供者使用由其控制的密碼技術，主要用于打擊犯罪和維護社會秩序。這種權力的行使通常需要嚴格的法律程序和司法授權，以平衡隱私保護與公共安全。有些國家政府實施了強制性密鑰托管機制[18]，要求個人或組織存放加密密鑰。這些密鑰對端到端加密消息服務的認證通道所提供的機密性水平設定了限制。在這種系統下，執法機構可以通過訪問由可信第三方保存的次級副本來檢索特定數據。這種規定雖然更加方便執法機構獲得相關數據，但也存在安全隱患和權力濫用風險。因此，服務提供者、可信第三方和執法機構之間應有明確的分工和責任，確保數據訪問的透明性和合法性。

四、中國對接國際密碼技術產品規則的應對策略

中國對接國際密碼技術產品規則，不僅要關注技術發展與市場準入等具體操作層面，更應深入剖析其背后的政策法規、國際合作與人才培養等支撐體系。中國應大力發展商用密碼技術，并積極對接CPTPP和DEPA等高標準國際經貿規則。這些舉措需以完善的政策法規體系作為保障，確保技術發展的合法性與合規性；在促進密碼技術產品貿易自由的同時，維護國家安全和公共利益。

（一）大力發展商用密碼技術

按照中國密碼分類管理制度，密碼分為核心密碼、普通密碼和商用密碼。核心密碼、普通密碼用于保護國家秘密信息，屬于國家秘密。商用密碼用于保護不屬于國家秘密的信息。國際經貿協定中密碼技術產品規則，通常規范的也是商用密碼技術。因此，為了對接國際密碼技術產品規則，中國應大力發展商用密碼技術。

1.推動密碼技術的研發投入與自主創新

中國應推動密碼技術創新與應用，加大對密碼技術的研發投入，強化政策引導和資金支持。特別是加強密碼技術基礎理論和算法等薄弱環節的投入力度，支持高校、科研機構和企業開展前沿技術研究和應用示范，推動密碼技術的自主創新和產業升級。例如，中國在《“十三五”國家信息化規劃》中強調，加快推進信息安全產業的發展，增強密碼技術的自主創新能力。在這一政策指導下，許多企業加大了對密碼技術的研發投入，推出了一系列具有自主知識產權的商用密碼產品。此外，為了推動商用密碼技術的應用，中國還應致力于構建完善的產業生態和市場推廣體系。

2.加強密碼技術的人才培養

密碼技術和網絡安全領域的發展離不開高素質人才和技術創新。中國應加大對相關人才的培養力度，通過高校、科研機構和企業的合作，建立完善的學科體系和人才培養體系。例如，政府和企業可以通過設立獎學金和培訓項目，鼓勵和支持更多學生和技術人員投身于密碼技術領域。此外，還可以借鑒國際先進經驗，引進高端技術和人才，提升整體技術水平和競爭力。

3.推動企業參與國際合作與競爭

為推動商用密碼技術的快速發展，在國際市場中獲得更大的影響力和話語權，政府應鼓勵國內企業積極參與國際市場的競爭與合作。企業應把握機遇，積極開展與相關企業的國際合作，以此提升技術水平。特別是華為、中興等領先企業，應在國際通信和網絡安全項目中積極展示和推廣自主研發的密碼技術產品，以體現中國在密碼技術領域的創新實力，并贏得國際市場的認可。同時，通過并購、投資等方式，企業應積極拓展海外市場，增強自身的國際競爭力。

（二）積極對接CPTPP和DEPA等高標準國際經貿規則

CPTPP和DEPA反映了未來全球高水準數字經貿協定走勢，中國應以申請加入CPTPP和DEPA為契機，加速推進中國數字貿易制度型開放。

1.深入分析CPTPP和DEPA的密碼技術規則

中國需對CPTPP與DEPA中的密碼技術規則進行全方位、深層次的剖析，特別聚焦于其對國內密碼產品市場準入條件、知識產權保護機制及技術標準規范等方面的潛在影響。通過實施模擬分析與壓力測試，科學評估這些國際規則可能引發的市場變動、產業結構調整及經濟效應，以此為基礎，制定出行之有效的應對策略，確保中國能在遵循高標準國際經貿規則的同時，維護自身密碼產業的發展利益。

2.提升密碼技術標準與國際接軌

中國應致力于密碼技術標準的國際化，這不僅有助于減少技術壁壘，還能增強中國ICT產品在國際市場的競爭力。中國需積極參與國際標準化組織（如ISO、IEC、ITU等）8的相關工作，促進中國的技術標準獲得國際認可。國內企業也應加大對國際密碼技術標準的研究和應用，提升自身技術水平。企業可以通過參加國際展會和行業會議，展示和推廣中國的商用密碼產品，擴大市場影響力。

3.加強與CPTPP和DEPA成員國的合作

在密碼技術和網絡安全領域，中國應積極加強與CPTPP和DEPA成員國的合作與信息共享。這不僅有助于提升自身的技術水平，還能增強在國際規則制定中的話語權。通過參與國際密碼技術和網絡安全會議、研討會等多種形式的國際交流活動，可以了解最新的國際動態和技術趨勢。同時，與成員國開展聯合研究和項目合作，互通有無，共同應對全球網絡安全挑戰。在信息共享方面，可以建立多邊或雙邊的信息交流機制，及時共享網絡威脅情報和應對經驗，提高整體網絡安全防護水平。

（三）完善密碼技術管理的政策法規

密碼技術的創新和運用需要密碼技術管理的政策法規提供法治保障，同時中國對接高標準國際經貿協定，也應確保國內規定符合國際義務。

1.修訂完善國內密碼技術相關法律法規

中國可能面臨國內密碼技術相關法律法規的調整問題。除了繼續修訂和完善《中華人民共和國密碼法》（以下簡稱《密碼法》）等相關法律法規，中國還應加強與知識產權法、反不正當競爭法等法律的銜接，形成完整、系統的密碼技術法律體系。例如，DEPA要求消除使用密碼技術的ICT產品不合理的市場準入限制要求，中國應進一步厘清《密碼法》與現有網絡安全法規的交叉重疊關系，縮小政策執行過程中的相機行事空間。又如，中國加入DEPA后，其他締約方可能會對《商用密碼進口許可清單》的合理性和《商用密碼進出口許可程序》的透明度提出質疑，中國有必要對此進行更加明細的規定[19]。此外，CPTPP和DEPA關于使用密碼技術的ICT產品規則都有執法例外規定，但我國網絡安全法對制造商和供應商的協助解密義務的規定并不明確，這有待于更為細化的制度進行澄清[20]。

2.制定具有靈活性和適應性的密碼技術政策

在制定密碼技術政策的過程中，靈活性和適應性是至關重要的考量因素。鑒于技術的快速發展和不斷演變的威脅環境，政策法規必須能夠迅速適應新的形勢。為此，政府應構建一套動態的法規調整機制，確保密碼技術管理政策能夠緊跟技術發展的步伐，并根據實際需求進行及時更新。同時，地方政府和行業組織也應發揮積極作用，結合本地的實際情況和行業特點，制定并實施更具針對性和可操作性的管理措施，從而確保密碼技術政策的有效性和實用性，為密碼技術的健康發展提供有力保障。

3.強化網絡安全和風險管理能力

強化網絡安全和風險管理能力，在完善密碼技術管理政策法規的過程中，監管審查和風險評估是關鍵環節。政府需積極建立健全的監管審查機制，確保該機制能夠定期對密碼技術的應用及管理進行嚴格的檢查與評估，從而驗證其是否滿足安全性與合規性的高標準要求。一旦發現潛在問題或漏洞，政府應迅速響應，采取有效措施予以解決。此外，構建一套全面的風險評估體系也是必不可少的，它能幫助我們對新技術和新應用的安全性進行深入的預評估。特別是對于量子密碼技術等前沿科技領域，我們更應進行深入的研究與風險分析，以確保這些技術在未來應用中既能保持高度的安全性，又能展現出可靠的穩定性。

五、結語

密碼技術既有其保護信息安全、確保數據機密性的重要用途，又可能會因其不當使用或濫用而產生負面影響。因此，在密碼技術的應用與發展中，我們永遠在尋求安全與便利、保護與利用之間的平衡之道。在國內層面，政府必須對密碼技術實施必要的監管，但也不能扼殺創新或侵犯隱私權。實現這種平衡需要來自不同領域專家的廣泛展開討論，包括政策制定者、執法機構、網絡安全專業人士和學術界的參與，在政策制定過程中促進透明度、包容性和技術專長，在利益相關者之間建立互信。未來，多方參與可以幫助制定有效和可持續的法律，既能保障國家安全和公共利益，又能保護隱私和促進密碼技術市場的發展。在國際層面，為了促進數字經濟的健康發展，各國需要加強在密碼技術領域的合作與交流，共同制定國際標準和規范，推動密碼技術的創新與應用。?中國也應積極推動并參與密碼技術的國際規則制定，這不僅有利于更快適應全球信息化快速發展的趨勢，而且還是提升國家網絡安全能力和參與全球網絡治理的重要途徑。

參考文獻：

[1] 黃道麗，馬寧，原浩. 美國密碼政策立法的歷史回顧與影響分析[J].中國信息全，2020（6）：83.

[2] BAKER S A， HURST P R. The limits of trust： cryptography， governments， and electronic commerce[M]. Boston： Kluwer Law Intl， 1998.

[3] 周漢華. 國家安全法律義務的性質辨析——基于中澳兩國法律的比較[J]. 中外法學，2019（4）：883.

[4] 張懷印. 區塊鏈技術與數字環境下的商業秘密保護[J]. 電子知識產權，2019（3）：76.

[5] 江智茹，馮立楊. 電子商務領域的密碼法律理念與價值思考[J]. 政法學刊，2011（1）：36.

[6] 王玉. 區塊鏈賦能數字普惠金融高質量發展的現實思考[J]. 長白學刊，2022（5）：113?122.

[7] 皮勇. 網絡恐怖活動犯罪及其整體法律對策[J]. 環球法律評論，2013（1）：10?11.

[8] LIU H W." Inside the black box： political economy of the Trans-Pacific Partnership's encryption clause[J]." Journal of World Trade， 2017， 51（2）： 318.

[9] ANDREWS S. Who holds the key？ A comparative study of US and European encryption policies[J/OL]. The Journal of Information， Law and Technology， 2000， 2.http：//www2.warwick.ac.UK/fac/soc/law/elj/jilt/2002_2/andrews/.

[10] The Wassenaar Arrangement Secretariatlatest：List of Dual-Use Goods and Technologies and Munitions List [EB/OL]. （2023-12-01）[2024-01-14]. https：//www.wassenaar.org/app/uploads/2023/12/List-of-Dual-Use-Goods-and-Technologies-Munitions-List-2023?1.pdf.

[11] 馬民虎. 商用密碼管制：從對立到包容之趨勢分析[J]. 信息網絡安全，2009（2）：61.

[12] BAKER S A. Decoding OECD guidelines for cryptography policy[J]. The International Lawyer， 1997，31（3）： 755.

[13] APEC Policy Support Unit. Fostering an Enabling Policy and Regulatory Environment in APEC for Data-Utilizing Businesses[EB/OL].（2021-10-05）[2024-01-14]. https：//www.apec.org/docs/default-source/publications/2019/7/fostering-an-enabling-policy-and-regulatory- environment-in-apec-for-data-utilizing-businesses/219_ psu_fostering-an-enabling-policy-and-regulatory-environ?ment-in-apec.pdf？sfvrsn=6a714dc_1.

[14] NEMOTO T， GONZáLEZ J L. Digital trade inventory： rules， standards and principles[J]. OECD Trade Police Paper， 2021（7）： 251.

[15] 周念利，陳寰琦.基于《美加墨協定》分析數字貿易規則“美式模板”的深化及擴展[J].國際貿易問題，2019（9）：6.

[16] HAMLIN A， SCHER N， SHEN E， et al." Cryptography for big data security in Fei Hu. Big data： storage， sharing， and security[M]. Florida：CRC Press， 2016： 241-288.

[17] 周念利，吳希賢. 美式數字貿易規則的發展演進研究——基于《美日數字貿易協定》的視角[J]. 亞太經濟， 2020（1）：48.

[18] 胡江寧. 論信息安全與創新政策的平衡——以美國對加密技術的立法管制為視角[J].科技與法律，2013（3）：16.

[19] 婁衛陽. 中國對接DEPA數字產品規則的挑戰和應對策略[J].上海法學研究，2022，8（2）：68.

[20] 劉晗. 個人信息的加密維度：《密碼法》實施后的密碼應用與規制路徑[J]. 清華法學，2022，16（3）：110.

New Developments in the Protection Rules for Cryptographic Products

in International Trade Agreements and China's Responses

Zhao Dan

（ Shenzhen Academy of Social Sciences， Guangdong Shenzhen 518000， China）

Abstract： In the digital economy era， cryptography serves as a fundamental technology for ensuring information security and is increasingly crucial. However， the widespread adoption of cryptography can also have implications for national security and public interests. As a result， the utilization and regulation of cryptography have consistently aimed to strike a balance between safeguarding private rights and meeting enforcement needs， accommodating market-driven forces while considering government intervention， as well as promoting trade freedom alongside national regulation. In recent years， high-quality international trade agreements such as CPTPP and DEPA have integrated regulations for ICT products utilizing cryptography， necessitating the reduction of unjustifiable trade restrictions on such products and fortifying the safeguarding of digital intellectual property. Simultaneously， these international trade agreements also uphold national cryptographic regulations， encompassing restrictive provisions such as exemptions for financial institutions， market exceptions， and allowances for law enforcement agencies. China is actively seeking membership in CPTPP and DEPA， and should also actively adhere to the regulations for cryptography products. In order to achieve this goal， China should vigorously promote commercial cryptography， enhance cooperation and information sharing with member countries of CPTPP and DEPA in the fields of cryptography and cybersecurity， and further refine policies and regulations for the management of cryptography.

Keywords： cryptography; international trade agreements; export control; CPTPP; DEPA

基金項目：2024年深圳市社會科學院專項科研課題“前海蛇口自由貿易試驗片區對接國際高標準經貿規則路徑研究”（2024AB009）；深圳哲學社會科學規劃課題“深圳對接國際高標準經貿規則先行先試策略與具體路徑研究”（SZ2024D017）

作者簡介：趙" 丹（1988—），女，黑龍江鶴崗人，副研究員，法學博士，研究方向：國際法，競爭法。

1 密碼技術是一個很龐大的體系，涉及數學、計算機科學、電子與通訊等諸多學科，不同學科對密碼技術的概念理解有所不同。例如，在密碼學領域，密碼技術是研究數據加密、解密及變換的科學。在法學領域，按照中國國家密碼管理局發布的關于密碼政策的問答，密碼技術是指采用特定變換的方法對信息等進行加密保護、安全認證的技術，包括密碼編碼、實現、協議、安全防護、分析破譯，以及密鑰產生、分發、傳送、使用、銷毀等技術。本文主要按照中國國家密碼管理局采用的密碼技術概念。

2 Council Resolution of 17 January1995 on the lawful interception of telecommunications， Official Journal C 329， 04/11/1996.

3 OECD， Recommendation of the Council concerning Guidelines for Cryptography Policy， OECD/LEGAL/0289.

4 OECD Working Party on Digital Security， Conclusion of the Fifth Review of the 1997 Recommendation concerning Guidelines on Cryptography Policy， DSTI/DPC/DS（2024）1/FINAL.

5 WTO， E-commerce negotiators finalize \"technical discussions\" and outline next steps， 25 April 2024.

6 DEPA第14模塊“爭端解決”的附件14-A中規定了第14模塊的范圍，第 14 模塊（爭端解決），包括附件 14-B（調停機制）和附件 14-C（仲裁機制），不得適用于：數字產品非歧視性待遇、使用密碼技術的信息和通信技術產品、通過電子方式跨境傳輸信息以及（計算設施的位置）。

7 DEPA附件I—關于本協定的諒解規定，為進一步明確，特記錄締約方諒解，即下列條款不在本協定締約方之間創設任何權利或義務，其中包括使用密碼技術的ICT產品。

8 目前國際上最具影響力的三大國際標準組織：國際標準化組織（International Organization for Standardization，簡稱ISO）、國際電工委員會（International Electrotechnical Commission，簡稱IEC）、國際電信聯盟（International Telecommunication Union，簡稱ITU）。ISO和IEC是非政府、非營利性的國際標準組織，ITU是以聯合國機構身份存在的國際標準組織。