中國《密碼法》之分析
2020.01.03
瀏覽數
157
壹、新聞重點
據《中央社》2019年12月25日報導,中國《密碼法》經2019年10月26日於第13屆中國全國人民代表大會常務委員會通過後,將於2020年1月1日起正式施行。該法規範密碼應用與管理,將密碼區分為「核心密碼」、「普通密碼」和「商用密碼」三類。前兩者用於保護國家機密等級「絕密」與「機密」訊息,「商用密碼」則可由公民與任何組織用於其他不屬於國家秘密之訊息,並將由國家建立並完善商用密碼標準體系。分析指出,中國《密碼法》屬於區塊鏈政策之一環,正是為了控制區塊鏈而部署。[1]
貳、安全意涵
一、密碼工作「法治化」
中國《密碼法》所指之「密碼」,以中國用語而言,並非一般登入網路服務所使用的「口令」(password);由該法第二條所稱之「以特定方式變換的方法對信息進行加密保護、安全認證」可知,該法之「密碼」是泛指與「密碼學」(cryptography)相關之所有技術、服務、產品,包括所有加密方式(encryption)以及基於安全協議(security protocol)所發之安全性憑證(security credentials)等。
值得注意的是,該法所指的中央密碼工作領導機構為中共中央密碼工作領導小組辦公室,實際上與中共中央辦公廳(簡稱中辦)機要局為「一個機構、兩塊牌子」,受中共中央直屬機關的中辦領導,再加掛國家密碼管理局牌子對外開展工作,該局即國家密碼管理部門,以此體現「堅持黨管密碼」。[2]
至於密碼「依法管理」,於《密碼法》推出之前,1999年國務院頒布之《商用密碼管理條例》為行政法規,僅規範由國家密碼管理局負責管理不涉國家機密的「商用密碼」,對於違反相關規定者,大多僅處以提出警告或沒收其產品等行政罰。《密碼法》不僅使國家密碼管理局運作有明確之法源依據,也明文規定「以密碼從事危害國家安全等違法活動者,將由有關部門依照《網絡安全法》等追究其法律責任」,表示依照《網絡安全法》進行網路監管的公安部門,將成為《密碼法》之執法單位,而違反相關規定除了行政處分外,還可能有刑事責任。
二、「鬆綁為表、收緊為裡」的商用密碼開放陷阱
雖然在商用密碼部分,《密碼法》試圖符合「放管服」(簡政放權、放管結合、優化服務)之改革要求,由國家鼓勵相關技術研究、學術交流和推廣應用,亦鼓勵外商投資與技術合作,看似對於商用密碼進行鬆綁,但實質上是進一步收緊與限制。以美國為主的歐美各國,在冷戰時期曾試圖透過進出口管制政策,限制加密技術與相關裝置流通。不過1970年代以後,隨著美國國家標準局(National Bureau of Standards,現為國家標準技術研究院National Institute of Standards and Technology)釋出資料加密標準(Data Encryption Standard, DES),再加上1990年代網際網路出現,使技術更易擴散,類似的限制性政策幾乎難以施行。
也因為如此,目前絕大多數重要加密系統,都有開放原始碼(open-source)的軟體實作,供所有人自由取用並進行驗證、修補漏洞,更能強化其演算法安全。近期各國發展則聚焦於金鑰管理(key management),尤其是部分國家希望藉由稱為「金鑰託管」(key escrow)的作法,讓執法單位能夠在特定情況下,取得解密需要的金鑰,但此作法仍有極大爭議,尚未完全落實。[3] 雖然中國《密碼法》對加解密機制隻字未提,並表示「鼓勵外商於投資過程中基於商業及自願原則就密碼技術進行合作」,若外商欲進入中國市場,依《密碼法》將其技術、產品或服務送交檢測或驗證,相對容易取得的演算法應非其驗證或檢測標的,實際上較可能是透過制定商用標準或驗證規範,要求外商配合中國可能已有之「金鑰託管」架構,確保中國政府能取得金鑰,藉此限制甚至瓦解外商之加密系統運作。
參、趨勢研判
一、提高中國對整體網路之監控效率
中國將密碼視為「網絡空間的DNA」,是「保護黨和國家根本利益的戰略性資源」,並以《密碼法》實現「身份防假冒、資訊防洩密、內容防篡改、行為抗抵賴」四大目標,看似是針對區塊鏈匿名且無法竄改的特性。[4] 然而,目前區塊鏈使用之加密技術是建立於既有演算法,相關應用大多位於網際網路的應用層(application layer,包括應用軟體),傳輸層(transport layer,資料傳輸協定)及網路層(network layer,網際網路協定的資料路徑)之應用仍處於發展階段。《密碼法》適用於整體網路架構可能使用的所有點對點加密方式(end-to-end encryption),實質上管制所有的加密通訊,不僅先行規範區塊鏈可能使用之加密技術及延伸應用,確保其「法治」領先技術發展,也涵蓋「翻牆」之虛擬私人網路(Virtual Private Network, VPN)使用的網際網路安全協定(Internet Protocol Security, IPsec)。中國若以《密碼法》與後續行政規範取得金鑰解密,所有加密通訊即一覽無遺,將大幅提高對整體網路的監控效率,更進一步限縮中國的言論及資訊自由。
二、中國將持續進行密碼國際標準化並推廣其管理政策
在《密碼法》通過前,國家密碼管理局所屬的密碼行業標準化技術委員會,已成功將中國自行研發之SM2/3/9三項加密演算法(一般稱為國產密碼)納入國際標準化組織(International Standard Organization, ISO)之資訊安全技術國際標準。由於ISO與國際電信聯盟(International Telecommunication Union, ITU)在資通訊標準制定有密切合作關係,共同維護多項資訊安全標準,且ITU現任秘書長為中國籍之趙厚麟,有助中國積極參與資通訊國際標準制定,並持續進行國產密碼國際標準化。
另外,由俄羅斯提出、並得到中國支持的一項聯合國提案「防制資通訊科技用於犯罪用途」(Countering the use of information and communications technologies for criminal purpose, A/74/401),已於2019年12月27日大會表決通過,預計將依據此決議制定新的網路犯罪國際公約,並於2020年8月舉行第一次專家會議。[5] 由於犯罪者時常以加密技術隱匿身分或掩蓋其犯罪行為,國家通常會以執法或反恐為由,正當化其網路監控措施,因此亦可預期中國可能會在網路犯罪國際公約制定過程中,設法納入《密碼法》概念,將密碼管理視為國家為「防制犯罪」而應盡之責任。
[1]周慧盈,〈中國密碼法將上路 分析:為控制區塊鏈而部署〉,《中央社》,2019年12月25日,https://www.cna.com.tw/news/firstnews/201912250366.aspx。中國《密碼法》全文參見〈中華人民共和國密碼法〉,國家密碼管理局,2019年10月27日,https://tinyurl.com/wovjdsr。
[2]李兆宗,〈新時代密碼工作的堅強法律保障〉,《人民日報》,2019年10月29日,https://reurl.cc/lLrbR6。中共中央密碼工作領導小組辦公室、中辦機要局、與國家密碼管理局為同一機構,可見於相關重要人士之公開履歷,參考〈張彥珍任司法部副部長〉,《中國共產黨新聞網》,2014年2月24日,https://reurl.cc/drkbxz。
[3]Joe Mullin, “Carnegie Experts Should Know: Defending Encryption Isn’t an ‘Absolutist’ Position,” Electronic Frontier Foundation, September 25, 2019, https://tinyurl.com/vkl3k2d.
[4]〈中華人民共和國密碼法發布,這六個問題你需要知道〉,《人民網》,2019年10月28日,http://legal.people.com.cn/n1/2019/1028/c42510-31424895.html。
[5]〈我國SM2/3/9密碼算法正式成為ISO/IEC國際標準〉,密碼行業標準化技術委員會,2018年12月3日,https://reurl.cc/qDAb13。俄羅斯提案參見Pierluigi Paganini, “The United Nations on Friday have approved a Russian-sponsored and China-backed resolution to create a new convention on cybercrime,” Security Affairs, December 30, 2019, https://reurl.cc/k5YbLK。