[41]参见《密码法》第3-5条。

[65]例如，苹果公司CEO库克公开表示，这将会攻击它自己的用户，破坏几十年来保护它的用户（包括数千万美国公民）免受……黑客和网络罪犯攻击的安全保障措施。日常生活中人们所说的密码如同钥匙，用来打开具体的锁具。

在原理层面，在处理个人和组织的自解密义务和协助解密义务问题时，毫无疑问应当遵循比例原则，一方面赋予执法机关在特定场景中获取加密数据的相关权力，另一方面从法律上施加程序规范和实体限制，以此平衡政府权力和公民权利之间的界限。而且，由于自解密义务涉及公民在宪法上的通信自由和通信秘密权，同时也与不得强迫自证其罪的刑事诉讼法原则存在潜在的冲突，因而可以相对确定的是，法律目前并无此种要求。FBI获得法院许可，要求苹果公司协助，禁用云端副本的自动删除功能，以便快速猜测破解密码，实际上就是让苹果公司开后门。密码术（Cryptography ）是一门用密码（cipher）、代码（code）和相关技术来伪装信息的科学。[59]前者则进一步区分为找到密码（口令）、暴力破解和通过侦查、审讯嫌疑人获取密码。

去标识化仅是增加了识别自然人身份和属性信息的难度，而非排除了其可能性。对于出口到这些国家的密码产品，需要申请欧盟一般出口授权（CGEA）。[52] 然而，以隐私计算为代表的新兴数据处理技术却面临着法律评价上的不确定性。

FBI获得法院许可，要求苹果公司协助，禁用云端副本的自动删除功能，以便快速猜测破解密码，实际上就是让苹果公司开后门。[49]由于密码和加密技术会起到促进数字经济和个人生活等方面的作用，密码使用权利和个人信息权利的保护问题将变得更加重要。而网民上网留下的个人敏感信息、隐私，乃至商业秘密，不但需要法律保护，更需要技术保护。[45]Richard H. Thaler Cass R. Sunstein, Nudge: Improving Decisions about Health, Wealth, and Happiness, Yale University Press, 2008. [46]例如，在非对称密码算法中，鼓励使用国家标准SM2，但也允许使用国际通行的RSA算法，只是要求必须具有相当强度，如2048位密钥，甚至更高。

政府知道，法鲁克的手机启用了自动删除功能以阻止暴力破解，盲猜密码就变得更难。一是在个人使用的加密算法中要求算法开发者设立后门。

[34] 顺应社会发展趋势，中央决策机关开始推出相关政策，旨在促进商用密码发展和管理。由于核心密码和普通密码与国家安全紧密联系，《密码法》采取严格统一管理的总体原则，[41]具体制度由国家密码管理局[42]和中央军事委员会[43]制定。[36]例如，国内企业进口密码产品，或在中国境内营业的外资企业要使用外国密码产品，都须向密码管理部门申请备案。普通密码是政府部门使用，对应最高密级为机密级。

《密码法》的总体思想是区分密码的双重性质，分别加以管理：加密技术事关国家安全，必须接受党和国家统一领导。如《最高人民法院关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释》（法释〔2000〕12号）第8条规定：盗用他人公共信息网络上网账号、密码上网，造成他人电信资费损失数额较大的，依照刑法第二百六十四条的规定，以盗窃罪定罪处罚。[4]参见陈亦超：《构建国家安全法律制度体系的重要环节——〈中华人民共和国密码法〉几个问题解读》，载《中国信息安全》2019年第11期，第56-59页。具体而言，该法要求个人信息处理者必须采取密码技术和去标识化等安全技术措施来保护个人信息在数据静态存储和动态传输中的安全和权利。

参见同前注[4]，陈亦超文，第56页。换言之，在商用密码的选择问题上，法律摈弃强制原则，采取助推（nudge）[45]模式，鼓励商业组织自愿选择国家标准算法。

其次，从经济角度而言，开后门将会威胁个人信息和隐私保护，减少本土加密产品和网络安全产品的国际市场需求，也不利于一国密码标准的国际化，甚至可能因为违反外国隐私法而面临诉讼、合规乃至公共关系的风险，有损产业的国际竞争力。《商用密码管理条例》比较偏重管制，将商用密码也作为国家机密进行专控管理，密码产品的生产、销售和进出口都实行严格的行政审批制度。

在此大背景下，个人对于密码的使用权呼之欲出。[77]参见王志刚、杨敏：《论网络服务提供者的侦查协助义务》，载《重庆邮电大学学报（社会科学版）》2019年第4期，第25-33页。随着2008年孟买大爆炸的发生，印度政府加强了信息安全措施，特别是出台法律规定商业和个人使用的加密技术中秘钥长度不得超过40比特。第五修正案规定，任何人……不得在任何刑事案件中被迫自证其罪……。[44]从《商用密码管理条例》对商业密码的属性划分，到《密码法》的分类管理，反映的是法律体系对于密码（学）的认知突变。[59]前者则进一步区分为找到密码（口令）、暴力破解和通过侦查、审讯嫌疑人获取密码。

这反倒会导致网络信息安全赤字。[73]参见同前注[71]，马民虎、果园、马宁文，第93页。

例如，信息加密系统中常用的SHA256算法可将任何信息转化成为一个长度相同，但内容独一无二的字符串，并且无法通过逆运算还原。之所以如此，是因为相比较传统的通讯方式（如邮政或者电话系统），互联网通信本身在安全和隐私保护上较为脆弱，其采取的是分布式网络和包交换通信方式。

在涉及使用加密技术的案件场景中，该条款可以解释为在国家安全案件中，公民和组织有自解密和协助解密的义务。除依据可能成立的理由，以宣誓或代誓宣言保证，并详细说明搜查地点和扣押的人或物，不得发出搜查和扣押状。

……具有讽刺意味的是，同样一批工程师，把加密程序植入iPhone保护我们的用户，又被责令削弱那些保护，使我们的用户更不安全。随着《密码法》的通过，我国已经形成密码领域的法律体系框架。[38]从技术角度而言，在20世纪90年代美国进行密码圣战的时代，中国现代密码学的发展仍然处于起步阶段，基本停留在对称密码技术。2021年8月，我国出台了《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》），对于个人信息保护的法律规则进行了全面的规定。

《密码法》规定，在不涉及国家安全和公共利益的密码应用中，放松规制，鼓励和促进技术研发、学术交流和产业发展，并着力推进标准化和国际化。最后，对其他国家则采取较为严格的管制，需要一事一议地申请对特定国家的出口许可。

而且，一旦满足了去标识化的要求，个人信息处理者及其他数据使用者也可以免除使用数据进行分析过程中征求用户二次甚至多次授权的麻烦，从而能够一定程度上符合《个人信息保护法》的合规要求。[58]第三方（无论是攻击者还是执法者）获取数据的难度会不断加大。

关键词:  密码法 信息安全 个人信息 保护规制 一、导言 密码是保护信息未经授权而无法获得的技术。二代身份证里面也是使用密码芯片，防止伪造身份证等违法犯罪行为。

由于非对称密码系统对个人信息和隐私的保密功能越来越强，私人通信之间开始形成一种相对不受公权力介入和干涉的自主空间，政府因此开始逐渐失去对密码技术的全面垄断。2018年7月，中央办公厅、国务院办公厅发布的《金融和重要领域密码应用与创新发展工作规划（2018-2022）》（厅字〔2018〕36号）特别指出：在互联网应用、云服务和智能终端中，加强密码对公民个人信息和数字资产的保护。很多时候，窃密者即便能够突破法律或者违反法律，也因无法违反数学规律而导致其不可能窃密成功。[41]参见《密码法》第3-5条。

[5]《密码法》第2条规定：本法所称密码，是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。如同欧盟对个人信息和人格权的保护高于美国标准，欧盟也将密码和密码学提高到事关隐私和人格尊严的层面，进行严格保护。

具体而言，涉及国家安全和社会公益的加密和解密技术，实行进口许可、出口管制。密码行业也属于高科技研发和应用行业，相关产业的国际影响力对于国家乃至于社会来说也非常重要。

美国联邦法院曾经判定，刑事案件的侦查过程中，个人密钥或密码并无针对执法机关的披露义务。这些措施应确保适当程度的安全，包括保密…… General Data Protection Regulation, Recital 83， https://gdpr - info.eu/recitals/no -83/。