文│公安部第三研究所 何治乐 密码法治实践创新基地 马民虎

党的十八大以来,我国党和政府高度重视智库建设工作,习近平总书记于 2013 年首次提出建设“中国特色新型智库”的愿景目标后,我国智库建设开始迈入高质量发展的新阶段。2015 年中办、国办印发的《关于加强中国特色新型智库建设的意见》中,就已经“勘定”了建设中国特色新型智库的明确战略定位,指出“中国特色新型智库是党和政府科学民主依法决策的重要支撑,是国家治理体系和治理能力现代化的重要内容,是国家软实力的重要组成部分”。在建党百年、向第二个百年奋斗目标迈进的关键历史节点上,党的二十大报告提出“以中国式现代化全面推进中华民族伟大复兴”的时代任务,中国特色新型智库本就强调“国情为本”,充分体现中国特色、中国风格和中国气派,应当密切贴合党的二十大报告中关于新时代科教兴国战略、人才强国战略、创新驱动发展战略、法治中国战略的具体要求,充分发挥咨政建言、理论创新、舆论引导、社会服务、公共外交等重要功能,为解决人类面临的共同问题提供更多更好的中国智慧和中国方案。

为实现上述目标,我国的智库建设就必然朝向学科化的方向发展,在更为精细化和体系化的维度提供决策支持,全面适应并支撑时代和国家的重大创新需求。同其他学科相比,密码法治领域的智库建设相对滞后,以智库评价报告《2021全球智库影响力评价报告》为例,其统计的中国智库前 20 名榜单中,并没有专门研究密码法治或将密码法治作为常态化研究的智库,这与当前数字时代日益凸显的“工具化博弈”趋势、国家安全与公民福祉诉求形成了巨大反差,需要在战略高度考虑推进密码法治创新智库建设,切实助力中国式现代化发展。

一、密码法治创新智库建设的现实因应

密码是国之重器,是保障网络空间安全和构建社会信任的基石。密码法治能够支撑密码事业健康持续发展,为密码产业发展创造良好的生态环境。当前,国际形势日趋复杂,博弈与妥协、冲突与和谐、猜疑与合作无处不在,网络空间与密码问题的复杂性、艰巨性前所未有;国内环境也深刻变化,数字经济发展、新技术创新应用与新冠肺炎疫情交织叠加,安全风险更加泛在化。新时代,国际社会的密码法治不断发展,密码法治创新智库的建设任务变得较为紧迫。

(一)重要国家和地区密码政策法律加速迭代

百年变局和世纪疫情叠加影响下,网络安全威胁、数字不平等和地缘政治资源争夺、经济对抗等风险成倍放大,全球网络安全遭受严重冲击,国际形势的不稳定性、不确定性更加凸显。出于维护公民权益、促进产业发展、保障国家安全等方面的考量,世界重要国家和地区纷纷通过有关密码的政策法律和区域协定,涵盖密码分类、密码使用、进出口管控、协助解密、检测认证等多个制度,以期创造更安全的数据流动环境和更有利的贸易促进措施赋能数字经济发展,获取国际竞争优势。

典型如美国通过《出口管理条例》(EAR)、2018 年《出口管制改革法》等对密码出口进行管控;2012 年俄罗斯总统普京签署 N313 号法令,构建俄罗斯现行主要密码管理法律框架;2019 年澳大利亚颁布《政府信息安全手册》鼓励使用密码技术强化政府的信息安全水平,渗透了强制加密、密钥恢复、密码安全管理等内容;法国 2021 年生效的新版《2004 年数字经济信心法》(2004-575 号法令),在第三编“数字经济安全”中专章对“密码方法和服务”进行规定。

区域协定方面,美国、英国、日本、法国、德国、俄罗斯等 33 个工业化国家共同制定的《瓦森纳协定》,目前已发展到 40 多个成员国,密码技术因具有“双重用途”而被纳入规制范围,协定的最新管制清单于 2019 年公布,延伸到加密涉及的硬件和软件,深刻影响密码产品和服务所涉及的上下游技术和产业。2015 年亚欧经济联盟(俄罗斯、哈萨克斯坦、白俄罗斯、吉尔吉斯斯坦、亚美尼亚)共同签署《关于密码产品进出亚欧经济联盟关税区的规定》,对密码产品的进出口进行规定。

重要国家和地区对密码政策法律日益重视且加速迭代,其中不乏我国能够参考的先进经验,也不乏出于维护国家安全和利益考量,利用密码技术优势对我国进行遏制、打压或者歧视性的限制措施,需要我国根据实际情况及时提出同等或者反制措施,也需要新时代密码法治创新智库予以仔细甄别、筛选,而后决定吸收或者摒弃。这将更加考验密码法治创新智库的辨别能力、资料跟踪速度和深度分析能力。

(二)国际数字贸易协定通过密码制度构建区域性话语共识

鉴于国家之间的信息技术鸿沟、经济发展水平、利益诉求、风险认知等存在差异,在可预见的未来,全球难以形成统一的数字贸易规则,但区域性的贸易规则已取得积极进展。鉴于密码技术对于构建可信数字经济环境的重要作用愈发明显,影响力较大且我国关注的数字贸易协定中基本都将密码相关制度纳入其中。例如,在 2018 年 12 月 30 日正式生效的《全面与进步跨太平洋伙伴关系协定》(CPTPP)中,密码产品与技术的贸易问题被作为重要事项出现在第 2 章“货物的国民待遇和市场准入”、第 8 章“技术性贸易壁垒”和第 14 章“电子商务”等多个章节,涉及商用密码进口、密码相关概念、电子认证等规定。

2020 年新加坡、智利、新西兰在线签署的全球首个专门关注数字经济国际合作的协定《数字经济伙伴关系协定》(DEPA),对数字经济发展中的密码技术利用问题进行明确。2022 年新加坡与亚洲国家签订的第一个数字经济协定—《数字伙伴关系协定》(DPA),也同样关注密码问题,且核心内容与 DEPA 保持一致。

我国高度重视数字经济发展的国际合作,目前已明确申请加入 CPTPP 和 DEPA,这意味着我国境内的密码政策法律法规需要与其相适应,以便于密码制度与国际惯例相符合,在破除贸易障碍的同时更好与国际社会接轨,这就对新时代密码法治创新智库的协调能力、综合研判和战略谋划能力提出新考验。

(三)各国技术创新和密码攻防博弈复杂激烈

量子计算、后量子密码等颠覆性技术日新月异,成为大国在网络安全、经济安全、技术安全领域竞争的重要因素。美欧高度重视后量子密码的超前部署,强化专项立法保障,加快后量子密码政策法律制定及算法的标准化,多角度、多层次、多方位支撑美国向后量子密码转型发展。仅 2022 年,美国总统就接连签署《关于加强国家量子倡议咨询委员会的行政令》《关于促进美国在量子计算领域的领导地位同时降低易受攻击的密码系统风险的国家安全备忘录》以及《量子计算网络安全防范法》,国家安全局(NSA)发布《商业性国家安全算法组件 2.0》、网络安全和基础设施安全局(CISA)发布《为关键基础设施做好后量子密码准备》等政策法律和标准;欧盟网络安全局(ENISA)发布《后量子密码:预测威胁和准备未来》文件,高度关注量子密码带给国家安全的风险并倡议尽快向后量子密码迁移。

众所周知,密码诞生初期主要被用于保障军事通信的安全,密码的安全性能在一定程度上直接决定生死存亡。从远古的伯罗奔尼撒战争、到第二次世界大战、再到甲午战争,密码在战争胜败中均起到关键性的扭转作用。在网络空间成为大国博弈主战场的当下,密码攻防对抗仍然是最无形、最激烈的战线。21 世纪“最好的”情报行动“美国 CIA 在 Crypto 公司销售的产品中植入加密漏洞,借此窃听全球 120 多个国家的最高机密”,俄乌冲突中支持乌克兰的美西方国家吊销 CA 证书,使得其在线支付服务中断、基础设施“断供”严重扰乱公民正常生活,以及俄军使用低端加密通讯设备使得美西方国家能够轻易拦截情报等事件,无不说明密码安全在网络攻防对抗中“举重若轻”的关键作用。

复杂多变的国际形势为网络空间的发展带来诸多不确定性,密码法治斗争也将更为严峻。同时,我国已进入全面建设社会主义现代化国家开局起步的关键时期,密码法治的创新方向值得思考,对密码法治创新智库的敏锐性、应变思维、超越意识提出更高要求。

(四)安全事件和产业变革冲击密码管理秩序

安全与发展的相互依存和相互制约关系,意味着发展必然将会面临安全问题。我国数字经济发展进入快车道,同时也进入各种风险不断积累甚至集中显露的时期。一方面,智慧中国和数字社会建设步伐加快,人工智能、云计算、元宇宙、区块链、数字人民币等新技术、新业态蓬勃兴起,部分已实质性地进入商业化和产业化发展阶段,生物技术、神经科学、高性能计算等跨学科技术不断涌现,为传统行业和产业带来重大技术变革,密码融合场景更加多样化,给密码管理带来前所未有的挑战;另一方面,加密货币滥用、数字证书盗用、勒索攻击事件频发,商用密码不合规、不合法以及错误使用现象大量存在,破坏商用密码市场秩序,严重冲击我国密码监管体制。

同时,我国密码发展本身也存在诸多亟待解决的问题,包括全社会的商用密码安全意识有待加强,密码政策法规制度体系尤其是行业层面的规范文件不完善,执法机制体制不健全导致密码行政执法尤其是行政处罚类执法未作为常规行政活动在社会面开展,法律的贯彻力度有待加强;商用密码技术和产品亟须创新,同态加密技术、轻量级加密技术、高性能密码技术、后量子密码技术以及能够高度适应大数据、人工智能、区块链等新技术、新业态的密码产品还存在严重缺口。

密码法治创新面临着如何更进一步促进密码技术创新、如何更有效防范规制密码滥用行为、如何快速助力密码产业转型的多重思考,对密码法治创新智库的问题意识、责任意识、立法文件制定和复合型人才培养能力提出要求。同时,把握我国密码管理体制的历史沿革和内在因素,才能对我国密码政策法律的研究更加透彻和深刻,这需要智库的长期积累,需要其保持持续性、稳定性和灵活性。

二、新时代密码法治创新智库建设的基本原则

数字经济时代,发展和变革风起云涌,需要强化法治智库建设的支撑体系,以科学、有效决策引领法治发展。对于新时代密码法治创新智库自身发展而言,必须以“服务国家科学民主依法决策”为宗旨,以“国家密码战略、公共政策和法治建设”为主要研究对象,坚持党管智库、密码法治自信、全球视野、中国立场等基本原则,创造并形成具有中国特色的创新智库。

(一)坚持党管智库

《关于加强中国特色新型智库建设的意见》中明确的首个基本原则即是“坚持党的领导,把握正确导向”,要求中国特色新型智库要“坚持党管智库”。2019年我国发布密码领域的综合性、基础性立法—《密码法》,其中第四条明确规定,“坚持中国共产党对密码工作的领导”。党管密码是我国多年来密码工作的实践总结和历史经验,是密码法治创新发展的根本原则。新时代密码法治创新智库是研究密码政策法律的专业型智库,理应坚决贯彻落实我国智库建设文件和《密码法》确立的原则和要求,旗帜鲜明、毫不动摇地坚持党的领导,把党管智库贯穿密码政策法律研究的全过程。

(二)坚持密码法治自信

《密码法》设计了诸多回应“时代命题”的密码管理制度,全面重塑了具有中国特色的密码管理体系,开启中国密码法治新纪元。《密码法》的颁布实施是中国乃至世界密码发展史上具有里程碑意义的大事,为世界各国密码立法的制定提供了中国智慧和中国方案。《密码法》颁布之后,商用密码、检测认证、应用安全性评估、进出口管制等重要制度及时细化完善,构建起更加完备、科学、体系化的密码法治体系。

密码对国家安全和网络安全有重要的意义,但鉴于密码技术发展阶段、网络发展水平等因素的差异,各国对于密码法治的回应力度和关注侧重也不尽相同,我国世界范围内为数不多的具有专门、统一密码立法的国家,且各项具体制度规定已经走在世界前列。新时代密码法治创新智库应乘着《密码法》全面实施的东风而上,紧跟时代脉搏,始终秉持“密码法治自信”理念开展各项研究工作。

(三)坚持全球视野

网络空间安全不是一地一域、一国一城之事,需要全球各国人民的共同维护。密码作为保障网络空间安全最有效、最重要的手段,必然与各国尤其是网络强国和网络大国紧密相连。习近平总书记曾经强调“要最大限度用好全球创新资源,全面提升我国在全球创新格局中的位势,提高我国在全球科技治理中的影响力和规则制定能力。”新时代密码法治创新智库必须坚持国际视野、对标国际标准,深刻了解国际形势变化和国际关切,抓住密码政策法律发展大趋势,才能开展有针对性的分析研判从而提供切实管用的对策方针,在日益激烈的国际博弈中助力国家争夺密码制度和网络空间规则制定权。

(四)坚持中国立场

密码工作是我们党对敌斗争的重要战场,是保证国家安全和根本利益的重要防线,是党中央、国务院、中央军委实施领导指挥的重要渠道,直接关系国家政治安全、经济安全、国防安全和信息安全。践行“总体国家安全观”是《密码法》明确提出的密码工作的指导思想,新时代密码法治创新智库直接为国家及各级密码管理部门输入智力支撑,应秉持中国立场,坚持总体国家安全观,担负国家使命、维护国家利益。新时代密码法治创新智库提出的一切解决方案和咨询服务都应立足我国国情、体现中国时代特色、适应网络安全强国建设和密码强国战略环境。

三、新时代密码法治创新智库的核心任务

近两年,国家密码管理部门积极落实习近平总书记就建设中国特色新型智库、建立健全决策咨询制度的一系列重要论述和指示,指导、推动建设全国首个国家级密码法治研究高端智库和服务平台“密码法治实践创新基地”,充分发挥智库在促进密码法治研究方面的智力支撑作用。面对国家网络强国、数字中国和智慧社会建设的总体战略需求,新时代密码法治创新智库应在现代化国家建设中发挥积极作用,应致力于深入挖掘密码在国家经济数字化发展、密码可持续技术创新,以及网络空间安全之间的关系,并将其落实于支撑国家密码法治创新的进程;应坚持从长周期、大局观视角观察密码法治演进,以更高的站位、更宽的视野理清并思考数字经济发展、网络空间安全和密码实践创新等问题,谋划推进、调整优化网络安全法律制度结构和规范体系。

(一)及时掌握国际社会重要主体密码政策法律发展动态

掌握境外政府机构、国际组织、专业智库与高等院校等组织的密码政策法律发展动态,形成全球化的密码态势图谱,是新时代密码法治智库坚持全球视野的内在要求。最近几年,越来越多的国家政府机构关注密码政策法律,从机构层面积极推动本国密码政策法律进展。典型如美国国土安全部、网络安全和基础设施安全局、国家标准与技术研究院(主要关注密码标准制定)、国家量子倡议咨询委员会等,英国政府通信总部,法国国家网络安全局,越南政府密码委员会,俄罗斯特别通信局、海关总署等。

国际组织是制定国际密码相关指南、协定、条约,推动密码国际合作的主要倡导者,在协调国家间的密码使用原则、促进密码技术创新发展等方面起着重要作用。鉴于国际组织成员国之间的高利益相关性,其制定的规则能够较容易直接推动形成区域间统一的密码治理机制和具体方案,有利于协调和缓解摩擦。欧盟、经合组织、G20、亚欧经济联盟等是密码研究方面比较活跃的国际组织,对加密与执法、密码使用原则、密码进出口问题予以高度重视。

专业智库与高等院校是研究密码政策法律的关键力量,对国家密码战略和密码政策法律制定具有渗透性作用,是协调政府部门、私营主体、密码从业单位合作交流的桥梁纽带。典型如美国信息技术和创新基金会(ITIF)、卡内基梅隆大学、马里兰州米德堡—国家安全局国家密码大学、荷兰蒂尔堡大学等,都将密码政策法律作为其重要研究内容,为政府部门研判密码发展趋势和动态、制定重大方针政策提供支撑。在《2021 全球智库影响力评价报告》中世界排名第 2 的卡内基国际和平研究院(原称为卡内基国际和平基金会),有专门针对中国问题的研究计划,包括关注我国密码政策法律进程。

新时代密码法治创新智库应密切关注、及时跟踪这些国际社会重要主体的密码政策法律发展动态,立足中国立场,聚焦密码重大决策和热点问题,开展前瞻性、时效性、储备性研究,及时为国家密码管理部门制定密码政策法律提供对策建议,为密码产业发展勘定方向。

(二)密切跟踪国际会议有关密码政策法律的焦点议题

国际会议往往聚焦当下国际社会关注的热点焦点问题,是紧跟时代发展、汇聚尖端人才、瞄定未来技术的主要阵地。国际社会上,影响力最大的密码盛会莫过于 RSA。RSA 始于 1991 年,召开初始便以“密码,标准和公共政策”为主题,1995 年发展为年度会议。RSA 已经成为当下全球网络空间安全领域的权威大会,是安全趋势的“风向标”。密码领域的基础理论和前沿问题一直是 RSA 的重要研讨内容。例如,1995 年 RSA 就引发了关于美国政府希望在加密电话中植入 Clipper 芯片的激烈争论,即延续至今依旧被热议的加密与执法的冲突问题;2022 年 RSA 设置了 24 个一级主题,一半以上都涉及密码方向,且高度关注前沿密码技术,其中的主题词之一便是“过渡”,即推动向后量子密码过渡。

此外,国际密码研究协会(IACR)主办的系列会议,包括三个密码年度会议—美密会、欧密会、亚密会,四个地区会议—CHES、FSE、PKC、理论密码学会议和一个研讨会 RWC,也是颇具影响力的密码国际性会议,不仅关注密码技术的研发,也关注后量子密码迁移等政策性问题。

新时代密码法治创新智库应密切跟踪国际性密码会议的研究方向和核心关注,保持对密码政策法律研究机遇、风险的清醒认知和高度警觉,并提前做出合理应对和科学决策。

(三)深度关切前沿技术与密码融合应用的趋势

我国密码法治不断创新的同时,密码与区块链、人工智能、数字货币、可信服务、元宇宙等新技术、新业态的结合产生了诸多有待规范的新问题。同时,量子密码、后量子密码等更具前沿性、引领性的密码技术成为全球科技大国集中发力的新一轮科技革命的战略高地,对各国经济发展、政治博弈、国际网络空间格局重塑产生重大而深远的影响。我国密码法治面临更为严峻的内外部挑战。

与网络空间的其他立法相比,不同于一般纯粹法学类智库的学科自限性,密码政策法律体现出鲜明的专业性和技术性等跨学科、系统性特征。新时代密码法治创新智库应时刻保持危机感和使命感,深度关切国际社会新技术发展和博弈态势,立足于密码技术、密码产品的发展进程,从法治工程视角下系统性推进、整体性谋划,将新技术与密码的融合应用、向后量子密码过渡等前瞻性议题纳入考量。

(四)多措并举推动我国密码政策法律创新发展

新时代密码法治创新智库的研究既要“顶天”,准确理解我国密码战略和密码法治的涵义,又要“立地”,注重对策建议的应用性和实效性。概言之,新时代密码法治创新智库掌握国际密码政策法律动态、关切密码融合发展等前瞻性问题的落脚点应始终是推动我国密码政策法律发展。站在新的历史阶段,新时代密码法治创新智库应持续发力,将推动我国密码政策法律创新发展作为一项重大而紧迫的任务切实抓好,至少从以下方面展开工作:

一是继续做好普法宣传教育。深入研究密码法基本理论和学术体系,重视安全与发展方针的指引作用。通过自主研究或者交流沟通做好法律法规解读工作,普及密码法律知识从而提升大众密码安全意识,促进实现密码的社会化应用和有效、合规、正确使用,推动法治在密码生态发展和密码护航安全方面的积极作用。

二是积极发挥交流平台作用。充分发挥法治研究的支撑作用和学术平台的交流作用,通过打造学术品牌会议、举办高端论坛和专项会议等,汇聚政府机构、科研机构、高等院校等密码专家和尖端人才交流研讨,推动密码管理部门需求与智库研究方向的协调一致,为密码产业创新创造良好的法治环境,为密码强国建设提供坚实法治支撑。

三是加快培养复合型密码人才。培养既懂理论知识又深刻掌握技术原理、既全面跟踪国际密码态势又充分理解国内密码政策法律的复合型、全面型人才,培养能够研发后量子密码算法又有高度危机意识,致力于推动我国关键信息基础设施、企业等分层向后量子密码过渡的“高精尖”人才。

四是定期输出建设性思想和成果。输出思想和成果尤其是建设性思想和成果是智库的核心功能之一。新时代密码法治创新智库应将输出建设性的密码法治思想和成果作为目标,包括起草立法文件、撰写蓝皮书及专项研究报告等。例如,可在动态观察和深度研判国际密码政策法律制度基础上,提出我国密码法治发展方向和重要任务;可在及时跟踪密码攻防博弈热点事件后,迅速分析相似场景下我国密码管理的挑战和风险;可立足于我国目前行政执法尚未全面铺开的现实,规划行政执法裁量基准、权责清单等,为密码管理部门行政执法规范化提供依据。

(本文刊登于《中国信息安全》杂志2023年第3期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。