人民日报头版头条：重要之年看开年 [2022-05-13]

臣尝究其然矣，此皆私得之小报。

参见杜强强：自由权的受益权功能之省思——以住宅自由的功能为例，《北方法学》2013年第4期，第28页。该条确认了公民的住宅自由，同时规定住宅自由不受非法侵犯。

在上述三种设定权中最基础的是措施创设权，该权力创造了作为法律后果的处罚措施，不过并不一定同时设定了该法律后果所针对的具体违法行为。[17]（美）罗斯科·庞德：《法理学》（第三卷），廖德宇译，法律出版社2007年版，第14页。若按照重要性从大到小排列，应依次为宪法上的利益、法规范上的利益、法规范外的利益。法规范完全可以规定剥夺相对人实然上拥有的利益，以此作为惩罚。这使得《行政处罚法》中关于处罚措施设定权的限制性规定遭受冲击。

参见沈岿：论行政法上的效能原则，《清华法学》2019年第4期，第18页。[12]这些利益均可以被公权力机关所剥夺，作为对违法行为的惩罚，但利益的重要性程度有所差异。普通人使用或接触到的密码产品（如手机操作系统里的加密技术和功能和U盘和移动硬盘中的加密技术）不受进出口许可和管制的限制。

[14]如若试图保证互联网安全，就必须采用加密技术。目前，互联网产业界通过数据标识加密技术、关联技术和有效授权技术，尝试确保个人敏感信息不可识别和仅在授权范围内使用，为个人信息保护提供了技术保障。毕竟，此种技术仍然属于《个人信息保护法》中的去标识化技术，而非匿名化技术。[78]此原则也应适用于协助解密的场景中。

可见，密码是个人隐私的有力保护手段，其在某种意义上甚至比法律制度更为有效。[54]按照该法规定，去标识化的信息在经过额外信息辅助的情况下（如获取对于个人信息数据进行加密的密钥），仍然可以复原为个人信息。

后者则包括利用加密系统漏洞予以破解、在设备使用时获取明文数据和获取数据在运营商上的备份。[42]《密码法》第42条规定管理密码的核心机构：国家密码管理局。密码可以保护静态数据（如手机和个人电脑硬盘中存储的数据）、动态数据（网银交易、网页浏览和电子商务等通过互联网或局域网传输的数据）和平台数据（为保护用户隐私，平台与用户之间的通信使用端到端的公钥/私钥系统加密，因而平台不能访问用户信息，除非用户明确同意）。因此，《密码法》的实施必将推动密码治理格局乃至于公权力/私权利关系的结构性转变。

[30] 欧盟与美国类似，遵循《瓦森纳协定》设立规则，也在密码治理中采取内外有别的原则。[65]FBI最终另辟蹊径，在诉讼判决之前，通过匿名的第三方协助破解了密码。究其实质，个人信息保护需要放在数字经济的大格局下进行定位，因此存在与促进数据流通、跨境流动和开发利用等问题的潜在张力。（二）执法需求与个人信息的平衡机制：法律与技术的交叉路径 1.密码的社会化使用与执法需求的张力 必须注意的是，加密技术的普遍社会化使用是一把双刃剑。

二、代码即法律：密码的基本概念与规制路径 （一）作为规制对象的密码与加密技术 在密码学和《密码法》的意义上，密码并非用户日常使用的账号密码，如手机密码、社交账号密码、银行卡密码、在线支付密码和电子邮箱密码等。[18]一方坚持打击犯罪，希望在法律和技术上严格管控密码软件的国内使用和国际贸易。

关键词:  密码法 信息安全 个人信息 保护规制 一、导言 密码是保护信息未经授权而无法获得的技术。[50]参见《个人信息保护法》第51条。

并且，《密码法》明确相关规制机构的职责，及其相应的法律关系。[3]密码法出台之后，规制机构、法学界和法律界在媒体和自媒体上有一些介绍和解读出现，[4]但在法学专业学术刊物中尚付之阙如。[60]无论何种方法从数学原理来说都只是概率性的，无法提供一通百通的方法，也没法决定优劣之分，因为对于方法的选择取决于执法机关的技术认知程度、技术使用能力高低和资源配置程度。随着《密码法》的通过，我国已经形成密码领域的法律体系框架。[65]例如，苹果公司CEO库克公开表示，这将会攻击它自己的用户，破坏几十年来保护它的用户（包括数千万美国公民）免受……黑客和网络罪犯攻击的安全保障措施。日常生活中人们所说的密码如同钥匙，用来打开具体的锁具。

在原理层面，在处理个人和组织的自解密义务和协助解密义务问题时，毫无疑问应当遵循比例原则，一方面赋予执法机关在特定场景中获取加密数据的相关权力，另一方面从法律上施加程序规范和实体限制，以此平衡政府权力和公民权利之间的界限。而且，由于自解密义务涉及公民在宪法上的通信自由和通信秘密权，同时也与不得强迫自证其罪的刑事诉讼法原则存在潜在的冲突，因而可以相对确定的是，法律目前并无此种要求。

FBI获得法院许可，要求苹果公司协助，禁用云端副本的自动删除功能，以便快速猜测破解密码，实际上就是让苹果公司开后门。密码术（Cryptography ）是一门用密码（cipher）、代码（code）和相关技术来伪装信息的科学。

[59]前者则进一步区分为找到密码（口令）、暴力破解和通过侦查、审讯嫌疑人获取密码。去标识化仅是增加了识别自然人身份和属性信息的难度，而非排除了其可能性。

对于出口到这些国家的密码产品，需要申请欧盟一般出口授权（CGEA）。加密技术的广泛使用究竟会给法律带来什么机遇和挑战，既取决于技术创新（例如量子计算机的出现），也取决于法律变革（特别是第三方协助义务的法律范围）。密码治理的法律问题，已经超越了密码产品的研发、销售、使用和进出口等具体问题，触及到了法律制度的根本，即权力和权利的基础关系和根本边界。根据2018年3月国务院发布的《国务院关于部委管理的国家局设置的通知》（国发〔2018〕7号），国家密码管理局与中央密码工作领导小组办公室一个机构两块牌子，列入中共中央直属机关的下属机构序列。

对原文的任何细小改动都会导致数值改变。这在通过加密技术保护个人信息的同时，也给个人信息保护的法律机制提出了挑战。

而2015年《国家安全法》第77条第1款第5项规定公民和组织有义务向国家安全机关、公安机关和有关军事机关提供必要的支持和协助。如果说在涉及国家安全的案件中，解密义务存在与否的问题较为明确，那么在普通刑事案件的侦查中，相关法律的规定并不明确。

正因为如此，国际社会和各国法律对密码都已经采取了规制措施，其基本原则可以概括为：对于涉及国家安全的密码采取严格管制态度，而对于涉及商业和个人使用的密码则放松管控。而网民上网留下的个人敏感信息、隐私，乃至商业秘密，不但需要法律保护，更需要技术保护。

所谓特定变换的方法，就是采用某种算法，把肉眼可辨的文字或者信息（明文）变换成无法直接辨认的符号或者符号序列（密文）。反之，一旦数据流通之后，其他主体若可以通过解密技术反推，从而还原原始数据，突破个人信息去标识化和匿名化的限制，就会使得个人信息权利重新受到巨大威胁。二代身份证里面也是使用密码芯片，防止伪造身份证等违法犯罪行为。马民虎、杜立欣：《内外有别的控制政策——美国密码政策演变轨迹》，载《国际贸易》2001年第10期，第21-23页。

随着《密码法》的实施和网络用户加密意识的提高，加密技术的广泛运用趋势已经不可逆转，政府权力与个人信息权利之间的冲突将达到前所未有的程度，亟需相关法律予以应对。[52] 然而，以隐私计算为代表的新兴数据处理技术却面临着法律评价上的不确定性。

[55]左亦鲁：《国家安全视域下的网络安全——从攻守平衡的角度切入》，载《华东政法大学学报》2018年第1期，第155页。但是，此举风险很大，仍需慎重。

在国家层面，美国密码法律和政策体系的总体目标可以概括为：（一）增强产业国际竞争力，通过法律和政策，促进美国高科技产业的国际市场占有份额和实际影响力的提高。法鲁克已死，使得执法机关强迫其提供密钥的策略无法进行。