苏州信息安全法学所：“解密”关于密码政策指南的建议

　　文章第一部分从法律工作者角度给出了密码相关的定义和功能介绍，密码是一种“将数据放入代码”的方法，允许将消息或数据转换为无法理解（解密）的形式。想要加密消息的用户应使用称为“算法”的数学函数来加密消息。该算法允许用户选择一个单独的“密钥”。然后算法使用密钥加密消息。用户发送加密消息后，接收者应用相同的算法对消息进行解密。对于给定的算法，加密的强度随着密钥长度的增加而增加，密钥的长度以比特为单位。

　　经合组织指南使用术语“密码”来泛指任何这些功能。术语“加密”仅用于指使用密码术来确保保密性。可能想要使用密码的三个主要原因,也即密码的功能是确保数据的保密性、验证（认证）数据以及确保数据的完整性。这些理解在今天看来仍然符合公众的一般认知。也说明密码政策与法律的变迁并非横空出世，而是贯穿人类发展的普遍沿革。

　　在指南建议出台的背景部分，作者从执法介入、国家差异等角度带入了彼时的一些问题，当然这些问题在今天仍未得到彻底解决。

　　一些国家，如法国和中国限制在国内使用密码。例如，在法国必须获得政府授权，才能出于保密目的使用密码技术。实际上，除非加密技术相对较弱（例如，40 位密钥长度或更短）或实施密钥恢复或受信任的第三方加密技术，否则在法国使用加密产品不太可能获得授权。

　　相比之下，美国（以及其他几个国家政府）对密码的监管是通过出口管制来完成的。一般来说，必须获得许可证才能从美国出口加密产品和技术数据。但是，某些许可例外适用于使用密钥长度为 40 位或更短的算法的大众市场（mass market）加密软件，以及具有强制密钥恢复或允许执法部门访问明文数据的类似功能的产品。

　　许多国家政府担心密码的广泛使用，因为可能会干扰执法调查和情报收集。如果使用得当，现代加密提供了一种简单、廉价的安全方式以使用当今的通信技术。过去的犯罪或恐怖组织没有拥有过这种能力，因此毫不奇怪政府不愿意欣然接受这样一个（所有人都能加密的）世界。但同时，保障全球网络与受信任方共享最敏感数据的能力、验证陌生人身份的能力以及确保消息在传输过程中不被更改的能力，又是为了所有人的利益，需要持续推动全球商业和话语权改变的远景。毫不奇怪，密码的许多合法和有益的用途导致政府寻找方法以适应这些相互竞争的利益。

　　一种普遍提出的解决方案是推广密钥托管或密钥恢复技术（在美国也称为密钥托管）。该技术允许使用密码的人士将密钥存储在受信任的第三方处。如果所有者需要访问加密消息，第三方可以将密钥返回给所有者。支持密钥恢复的一个更可能的原因是在世的配偶需要解密银行财务记录，或者雇主需要从不满意的员工处恢复公司文件。密钥恢复还将允许执法部门或其他政府机构在法律授权时获得对解密密钥的访问权限。但密钥恢复的反对者认为，犯罪和恐怖分子不会将密钥存放在第三方处，此类系统只会在可能威胁隐私和安全的过程中引入弱点。

　　作者明确指出，美国是推动指南建议的主要推动者。这是由当时其国内外环境所必然。虽然密码出口管制最明显（也是最初）的目的是阻止外国广泛使用强加密技术，但美国管制的另一个目的是鼓励开发国际密钥恢复基础设施。通过限制对某些选定类型的加密产品的出口，美国政府希望这些产品成为境内外的密码标准。然而，美国政府意识到，如果没有其他政府的支持和合作，这些控制终将无效。出于这个原因和其他原因，美国试图在这个问题上与其他政府接触，并鼓励各国采取一致和互补的政策。其中一种参与方式就是经合组织。

　　经合组织谈判的最初动力来自美国，并受到美国国内关于密码出口管制辩论的推动。多年来，对密码出口的控制一直是美国法律中一个没有争议的问题，直到 1990 年代初期冷战的结束、互联网和其他网络的兴起以及公钥密码的日益普及给旧政策带来了新的压力。美国计算机软件和硬件公司坚称，将强大的密码技术融入其产品的能力将是国际竞争力的关键，不受控制的外国公司将从美国竞争对手那里获得数十亿美元的销售额。美国政府回应称，其他国家可能与联邦调查局一样对加密犯罪使用有同样的担忧，因此美国出口管制的结束只会意味着其他国家进口管制的增加。

　　部分是为了证明这一预测是正确的，部分是因为怀疑自身在没有更多国际支持的情况下维持对密码控制的能力，美国决定：现在是就密码政策展开多边谈判的时候了。作为当时的 CoCom 和现在的 Wassenaar 协定的一部分，密码出口管制是讨论的主题。但美国的想法比出口管制更广泛。美国想讨论国内政策、执法和数字签名，以及国家安全和出口。经合组织注重共识，之前在计算机安全原则方面的工作，以及对高科技经济体的（决策）凝练，似乎是一个符合逻辑的论坛。

　　与此同时，其他国家也越来越关注密码问题。随着美国开始允许出口越来越强大的密码，美国的盟友开始担心密码对国内执法的影响。欧盟委员会对使用密码促进欧洲和全球网络商业的兴趣引起了人们的担忧，即这将限制欧洲政府控制密码的能力。在国内对密码进行控制的法国感到越来越受到围攻。作为美国在密码问题上的传统盟友，英国也对此表示担忧。从意大利到荷兰，一些国家也在考虑限制密码，而许多其他国家——尤其是日本——认为控制是对新技术的不必要限制。总而言之，讨论影响美国和其他国家在这一（技术）领域的政策已经具有新的意义。

　　在 1995 年 12 月的一次非正式会议之后，经合组织于 1996 年初正式开始了这项工作。私营部门也对这一进程提供了相当大的支持，部分原因是美国政府很早就将其科技公司带入经合组织的进程中。首先，每个美国代表团都包括许多来自私营部门的代表，通常比公共部门的代表更多，尽管政府从未放弃对麦克风的垄断。其次，也更重要的是，美国政府同意经合组织的讨论将以经合组织工商咨询委员会 （BIAC） 和国际商会 （ICC） 联合编写的讨论草案为起点。美国国际商业委员会 （USCIB） 作为 ICC 的美国附属机构和 BIAC的美国联络人，是讨论稿的主要作者。

　　USCIB 草案影响巨大。事实上，该草案的基本结构及其重点在整个经合组织进程中或多或少地保持不变。作为 USCIB 起草过程的参与者，我通常会很高兴为这一成功获得一些荣耀，但 USCIB 草案也是律师和其他人在试图理解指南面临的一些苦恼问题的根源。最重要的是，USCIB 草案首先采用了简单列出政府施行的相互竞争的原则的方式，而没有就如何调和这些原则之间的明显冲突给予政府太多指导。

　　起草工作于1996年5月开始，USCIB 草案在一系列会议和秘书处草案中进行了修改。谈判的火药味很早就浓烈了：法国因为已经对密码进行了国内和出口管制，在监管的重要性方面采取了最强硬的立场。美国和英国主要表达了受到执法和国家安全机构关注和“塑造”的密码的看法。相比之下，代表加拿大的政府隐私权倡导者最为直言不讳，其观点通常与法国、美国和英国的观点相反。

　　在这些浮标之间飘荡着其余的成员。随着谈判的进行，其中几个国家，尤其是日本、瑞典和德国，似乎变得更加老练（也许是对法国、美国、英国的观点更加同情）。事实上，虽然很难说美国在离开时获得了它所支持的密码政策的授权，但可以理解的是，美国政策制定者对这一过程作为一种教育手段感到满意。根据会谈的结论，更多的国家制定了密码政策，这些政策似乎比会谈开始时更可能考虑到美国最初提出的担忧。

　　作者指出，许多建议并不令人惊讶。有几个是用于介绍指南的样板短语。通过参考早期关于信息系统安全和隐私的指南，经合组织能够避免重复许多已经纳入这些指南的语言（和谈判）。

　　更有趣和重要的是纳入了一项具体建议，即成员国应避免对贸易和网络发展造成不合理障碍的政策，类似于 WTO 协定中包含的禁令。通过将此建议与各国采用指南的其他建议置于同等地位，经合组织将避免不合理的贸易障碍作为一项总体建议，该建议既独立于指南，又是解释和应用指南所有方面的“总”指南。

　　同样重要的是建议政府对其国家密码政策做出明确和公开的声明。事实上，许多国家过去都没有公开说明密码政策。在最令人震惊的情况下，只有当（监管）当局出现在酒店或办公室试图没收某些商业用户未经授权的通信设备时，商业用户才知道国家政策法律的边界。如果严格遵循，经合组织的建议将使密码监管走出阴影，进入正常的商业监管世界。

　　最重要的是，在实施该指南时“协商、协调和合作”，并将该指南用作就特定密码政策问题达成国际协议的基础。建议政府以密码政策的名义消除或避免对国际贸易造成不合理的障碍，敦促各国政府“明确说明并公开”任何国家对密码的控制措施，并呼吁经合组织至少每五年审查一次该指南。

　　指南的核心内容在第五节，其中规定了成员国在制定国家密码政策法律时应适用的八项原则。第一节和第二节涵盖了指南的目标和范围。第三节定义了指南中使用的术语（当这些定义出现在原则本身时，将进行讨论）。第四节则在努力调和与第五节中提出的其他不一致的原则。

　　1．“目标”部分，本节阐述了指南的意图。一个目的是促进密码的使用，以增强对网络的信心，并帮助确保全球网络的数据安全和隐私。第二个目的符合第一个目的：在不“过度”（unduly）危害公共安全和国家安全的情况下促进密码的使用。其他目标包括提高对兼容密码政策和可互操作系统需求的认识，协助公共和私营决策者制定连贯的政策和实践，促进公私合作实施这些政策和实践，通过可互操作的密码促进国际贸易，并促进使用密码方法的国际合作和标准。

　　尽管这些观点总体上都不足为奇，但目标的显着之处在于不断重复诸如公共和私营部门合作、国际互操作性和标准的必要性以及国际协调和兼容的政策等主题——所有这些主题与执法和国家安全问题的单次提及相比，至少被提及两次。这种似乎体现了经合组织为制定密码政策而有意权衡各种因素的不平衡性，首先出现在目标部分，但在文件的其他地方又反复出现，尤其是在原则中。

　　2．在指南的适用范围章节，澄清了主要针对政府，但期望指南也将在私营部门得到广泛阅读和遵循。该指南不适用于保护军事和外交信息的密码，因为这种密码通常是保密的，不容易受制于要求国际协调、开放标准制定的指南。尽管如此，一些国家甚至打算在保护保密信息方面应用该指南。尽管军事和外交密码是指南所指密码涵盖例外的最佳示例，但该例外的确切范围难以衡量。这种困难是因为不同的国家将不同种类的信息视为保密或以其他方式受到保护。因此，例外情况的范围很广，以涵盖“出于国家安全或类似原因而被分类”的数据，以适应政府分类方案的广泛变化。

　　3．有关原则的关系上，单独来看指南的八项原则通常（但并非总是）是无条件的陈述，在密码辩论中，一些阵营会热情接受，但其他人只会勉为其难。换言之，如果将这些原则视为政府可以随意订购的菜单，那么指南将很少或根本不会为政策制定者提供指导。这种缺乏指导的原因是，如果单独应用一些原则，会与其他原则相矛盾或剔除。例如，隐私原则将通信保密视为一项基本权利，但彻底应用这一原则将使与合法获取有关的原则变得毫无意义。同样，合法访问原则的积极应用可能会极大限制隐私。

　　“总结”部分解决了这个困难，尽管不是以律师完全满意的方式。该文件指出，所有八项原则都是相互依存的，应作为一个整体来实施。它要求在所涉利益之间取得平衡，但没有为政策制定者提供进一步的指导，可以理解认为各种原则往往朝着相当矛盾的方向发展。最后，分述和总结部分最好视为创建了一系列政策目标，所有这些目标都必须被赋予一定的相互作用。也许最好将这些原则想象为固定点，其上可能附有不同强度的条带。如果所有的条带都连接起来，它们达到平衡的点将根据每个条带的强度而有所不同。指南允许将“强频带”附加到合法接入原则，将“弱频带”附加到用户选择原则，反之亦然。但是，对任何一项原则都不予重视是不允许的（正如我们将看到的，合法访问原则可能除外）。

　　4．作者在文章的最后，对八项原则逐项进行了阐述，对其中可能阐述的歧义，以及为何存在和如何理解这些歧义进行了“第一现场”的讨论，对今天审视类似安全政策法律仍然极具启发。

　　（1）原则一：对加密方法的信任

　　“加密方法应该是值得信赖的，以在使用信息和通信系统时产生信心。”第一条原则是指南的基础，也是分析的逻辑起点：密码用户只会使用其信任的产品。

　　虽然这一原则似乎显而易见，但密码的历史上充斥着政府对其密码的信任被错误安置的例子。密码是一个复杂而专业的领域，充满了竞争性的商业和国家优先利益，以及竞争产品存在缺陷和漏洞的暗示。大多数消费者发现这些说法无法求证。结果是加密方法的选择通常更像是皈依宗教而不是比价购物。在过去，这些困难并没有因为政府的行为而得到缓解——实际上有时反而还加剧了。

　　该原则的明确的目的是敦促政府开始提升而不是削弱对加密产品性能的信任。鼓励信任的建议方法之一是根据市场（机制）形成的标准进行评估。虽然过去政府经常制定自身的安全系统标准，但在密码这一主题下的（市场标准）讨论显然是沉默的，并且可以说是不赞成的。

　　解释性文本中还包含一个单独和特殊的声明，大意是处理密钥管理的合同（contracts for the management of keys）应说明“适用的司法管辖区”。从表面上看，该声明似乎表明密钥管理合同应包含适用法律的条款——本质上是法律选择条款。法律选择对消费者信任有一定影响，因为不同的法律制度可能赋予购买者不同的权利。但是，当按照这一理解时，这句话似乎既过于详细又过于脆弱地与信任原则联系在一起，难以构成对该原则的解释。

　　（如果）对该原则的解释性文本进行更广泛的解读，则可能会更直接地将其与信任原则联系起来。即要求密钥管理合同列出所有有权要求合法访问密钥的国家。但是这样，这可能是一项直接针对私营部门的全面规则，因此偏离了经合组织向政府提出建议的传统方法。

　　即使简单地理解为鼓励政府在为私营部门制定规则时采用该规则，该规则也可能被证明是行不通的。在许多情况下，确定哪些司法管辖区可能要求生产加密密钥是一项复杂的法律任务。如果一家银行在其总部为其客户持有密钥，但在 50 个国家/地区设有分支机构，该银行将如何说明适用的司法管辖区？银行是否仅列出其总部所在的司法管辖区？银行必须添加客户进行银行业务的司法管辖区吗？还是必须列出所有 50 个分支机构？银行通过子公司开展业务的司法管辖区呢？任何一个司法管辖区都可能选择对银行持有的记录提出管辖。没有人可以肯定地说明如何解决这种管辖，并且包括所有可能的司法管辖区可能比对每个司法管辖区的权限范围做出精细的法律判断更为容易。

　　（2）原则二：密码方法的选择

　　“用户应有权选择任何加密方法，但须遵守适用法律。”这个原则的第一部分很简单。用户需要能够在加密产品或服务中进行选择，以便能够信任他们选择的加密。解释性文本包括一个建议，即拥有、控制、访问、使用或存储数据的主体可能有责任通过采用加密方法来保护数据的保密性。这种措辞暗示了在某些情况下未能使用加密方法的法律义务或责任。究竟何时可能出现此类责任尚不清楚，但一些欧洲数据保护立法可能会强制规定至少在某些情况下应使用密码（GDPR、中国的《网络安全法》、加州CCPA等验证了这一预言的正确性）。任何此类义务的设定自然（应当）会有选择适当安全措施的对应权利。

　　“遵守适用法律”这一短语更具争议性。一般来说，该原则反映了用户应该可以自由选择想要使用的加密方法的共识。与此同时，政府无疑有权通过出口管制或对国内某些加密方法的管控来限制用户的选择。引用适用法律显然是为了承认许多国家已经有限制用户选择的出口管制，而且至少一个主要的经合组织成员国——法国也有国内管控（domestic controls）。为确保对适用法律的引用不会吞噬该原则，解释性文本包括两个澄清：（1）该短语并非旨在鼓励对密码进行新的监管，（2）已颁布的任何政府控制都不应再超过履行政府义务所必需的，并应尽可能尊重用户的选择的限定。

　　对密码出口或使用的控制是该领域最具争议的政府监管形式。但解释性文本还考虑了政府可以选择规范加密方法的第二种方式：通过制定要求，要求使用加密来保护某些类型的数据，或者公众在某些情况下使用加密认证、完整性或不可否认性机制。文件建议，仅应为了保护已确定的公共利益，例如保护个人数据或电子商务，才应施加此类要求。

　　起草者没有回答的一个有趣而困难的问题是，在这一架构背景下，谁受到这一原则的保护？谁是有权选择的用户？在大多数国家，雇主可能会坚持控制其提供给雇员的所有方面的信息技术。通常包括控制其员工在公司网络上使用的所有密码。许多公司担心员工离开时没有返还加密公司数据的密钥。为了确保公司始终能够访问公司数据，雇主可能会坚持要求员工使用某种形式的密钥恢复机制。

　　但是，如果他们的员工被视为有权选择任何加密方法的用户呢？该条款是否要求公司尊重这种权利，这对公司控制其网络意味着什么？值得注意的是，这个重要的问题没有得到回答。

由于没有定义“用户”，因此不能将公司网络移交给员工的解释被排除在外，但不太可能得出这一解释。该原则规定的“受国家法律约束”，在大多数国家，公司对其网络上使用的密码的控制受到适用法律的保障。出于这个原因，只有当成员国受到条款的启发赋予员工选择独立于其雇主政策的密码权利时，这种模糊性才可能变得有意义。虽然这听起来像是混乱的组合，但该原则文本并不排除这样的结果。

　　（3）原则三：市场驱动的密码方法的研发

　　“应根据个人、企业和政府的需求、要求和责任开发密码方法。” 这个原则的措辞非常尴尬。该原则的标题表明该原则的目的是促进市场推动密码方法的发展，但该原则并未提及市场。在人们可能期望找到提到的市场的地方，人们发现的是对“个人、企业和政府的需要、要求和责任”的过于夸张的提法。这和市场是一样的意思么？当然，毕竟很难想象除了政府、个人和企业之外还有谁参与到市场中，而且他们参与肯定是为了满足他们的需求、要求和责任。

那为什么会出现如此迂回曲折的表述呢？可能是因为臃肿含混的措辞可以给到政府一些争辩的理由：市场不应该只靠市场主宰，市场必须受到政府对私营部门合法界定的限制。这句话还允许这些政府坚持市场（主体）必须对政府以及客户（包括个人用户）的责任和需求做出反应。因此，与第二项原则一样，当政府认为不受约束的选择不会产生对社会负责的结果时可以自由干预，从而将这些原则结合起来。

　　然而根据解释性文本，该原则试图设法克服其笨拙的结构。该原则对密码方法的开放和竞争市场发展提出了相当直接的要求。按其解释，原则似乎是在敦促政府摒弃长期以来的做法，即开发并向私营部门强加各种政府发布的密码产品。因此，解释性文本表达了为密码的发展带来竞争技术市场快速性和灵活性特征的倾向性意见，并通过在密码领域呼吁市场驱动的技术标准、准则和协议来预示第四项原则。

　　（4）原则四：密码方法标准

　　“应在国家和国际层面制定和颁布密码方法的技术标准、准则和协议。”这一原则着重强调了标准在密码方法开发中的重要性，要求制定国家和国际标准、准则和协议。在解释性文本中，这一点通过要求标准制定机构与政府、企业和其他专家合作来建立响应市场需求的密码标准、标准和协议进一步阐述。

　　文本继续就标准的制定提供建议。一开始就指出标准将“响应市场需求”制定。进一步警告称各国国家标准应与国际标准保持一致，因为这种一致性将促进全球互操作性。如果互操作性要兑现其承诺，一旦就标准、准则和协议达成一致，就必须根据这些标准和准则对产品和服务进行评估。文本还敦促，如果测试是根据标准进行的，则应努力确保测试结果的广泛接受。

标准流程的最终目标是互操作性（interoperability）、可移植性（portability）和可移动性（mobility）。从本质上讲，互操作性是指不同加密方法有效地相互协作的能力。可移植性是指加密方法能够适应任何系统并在任何系统中发挥作用——例如，从一个平台或操作系统移动到另一个平台或操作系统。可移动性是指加密产品在多个国家或基础设施中运行的能力。

　　（5）原则五：保护隐私和个人数据

　　“个人隐私的基本权利，包括通信保密和个人数据保护，应在国家密码政策以及密码方法的实施和使用中得到尊重。” 虽然这一原则在初读时似乎相当平淡，但它掩盖了美国人与欧洲人所说的隐私权含义之间的巨大差异。对《权利法案》失去信心的美国人认为，隐私权主要是为了防止政府干预公民的生活。对于欧洲人来说，保护隐私通常意味着政府应制定法律，以保护个人免受公司侵犯其隐私和公司将其个人数据用于商业目的。 

　　这种差异在 1970 年代经合组织制定隐私指南时已经引发了一场长期且相当分裂的斗争。企业，尤其是美国企业，担心经合组织正在支持对其活动实施新的欧洲监管规定。

　　密码指南的第五项原则可以认为增加了经合组织关于隐私的工作。首先，该原则将隐私定义为包括通信保密以及个人数据的保护。通信保密不是 1980 年指南中隐私定义的一部分。

　　此外，隐私权是原则中唯一被确定为基本的权利。这种识别在通信保密的背景下是可以理解的，这是产生密码的根本问题。但对个人数据的保护应被视为加密政策制定基础的理由不太清晰，大致是因为起草这一原则仅保护个人权利。公司通信的保密性和商业密码信息的保护不被视为基本原则，甚至没有受到这一原则的保护。

　　在谁应该尊重基本隐私权的问题上，该原则有点模棱两可。这一原则是否旨在鼓励对使用密码的私营企业施加新的义务？总的来说，只有政府（包括立法机构）制定国家密码政策，因此当该原则敦促此类政策尊重隐私权时，该原则显然是针对政府的。但该指南也可以作为政府对私营部门监管的推动力。原则敦促在“密码方法的实施和使用”中尊重隐私，许多私营企业实施和使用密码方法。因此，合乎逻辑的结论是，这些指南也“指示”私营企业尊重个人隐私权，包括通信保密和个人数据。就像第二项原则中关于用户是雇员还是雇主的模棱两可一样，该原则的语言至少可以让那些希望对使用密码的企业实施新的、与隐私相关法规的政府感到欣慰。

　　（6）原则六：合法访问

　　“国家密码政策可能允许合法访问加密数据的明文或加密密钥。这些政策必须最大限度地尊重这些指南中包含的其他原则。” 这一原则是经合组织谈判的核心。美国要求成立密码专家组的主要原因是强调不受限制的密码使用对执法机构及其获取犯罪证据的能力构成的威胁。如果没有认识到合法访问的需要是密码政策中的一个主要因素，美国、法国和英国就没有太多理由支持该指南。然而，该提议仍然存在争议，特别是在不打算在国内鼓励密钥恢复系统的国家中。因此，该原则在许多重要方面受到限制。

　　该原则宣称“必须在最大程度上尊重其他原则”。当使用动词“必须”时，这也是原则本身中唯一的地方，这与经合组织从不向其成员国发布授权的正常做法显着偏离。最合理的解读是，其故意将合法获取原则置于其他七项原则之下。因此该句补充了整合部分，否则该部分要求政府在实施合法访问建议时尊重所有原则。这样的解读也符合原则二的解释性文本，其中明确指出，任何密码的规定都应尽可能尊重用户的选择。

　　这个想法源于美国政府的“Clipper”芯片，该芯片将强大的加密与存储加密密钥的机制相结合，两个独立的托管代理将在收到窃听令或搜查令时将密钥交给警方。这个想法是为了保证与守法用户的绝对安全通信，而不会对违法者做同样的事情。虽然这个想法在美国政策制定界有所发展，但基本要素保持不变：与使用加密的人无关的人存储加密密钥，以便警察可以在法律程序下获得加密通信。

　　作者对该原则的分析尝试对“合法访问”“法律依据”“访问签名密钥”等概念的澄清，并努力辨析提供和验证在执法层面的差异。特别的指出两者在公钥密码体系下的解释困难，以及不同法律文化，例如日本与其他国家在适用上的重大区别。

　　（7）原则七：责任

　　“无论是通过合同还是立法规定，提供加密服务或持有或访问加密密钥的个人和实体的责任都应明确规定。”责任问题已被证明是密码系统开发的一个重要因素，包括促进合法访问的系统。对责任的恐惧会促使公司使用密码来保护专业机密或个人数据。这种恐惧可能会推动公司使用特定的密码标准；早期美国数字加密标准 （DES） 在银行中的普及可能部分是因为银行不能因美国政府本身认可和使用的系统中可能发现的安全漏洞而被起诉。对责任的恐惧也可能影响关键恢复系统。一些密码用户担心，如果未能使用密钥恢复意味着他们无法为客户或政府代理恢复加密数据，他们将承担责任。同时，对责任的恐惧使大多数大公司不愿进入成为关键恢复代理的行业。最后，密钥恢复的反对者认为，政府必须对滥用他们通过合法访问程序获得的密钥负责。

　　其中一个如何通过合同确定责任的例子影响深刻。Quick Corp. 与 Keyholders, Inc. 签订合同以管理 Quick Corp. 的加密密钥。Quick Corp. 最关心的是在周末或节假日迅速取回钥匙，几乎没有延迟。它可能希望 Keyholders, Inc. 通过电话向知道特殊密码短语的任何 Quick Corp. 员工提供对加密密钥的访问权限。这是一个快速的系统，但系统并不安全。Keyholders, Inc. 可能会同意这样的安排，并且它可能愿意为每把释放的钥匙收取相当低的费用，但前提是它可以将其责任限制在例如 1,000 美元，以防某些外人得知通行证短语和欺骗 Keyholders 的员工以不正确的方式提供密钥。

　　现在想象一个同样合理但完全不同的场景。由于某些加密数据的敏感性，Sure Corp. 希望 Keyholders, Inc. 只有在 Sure Corp. 的首席执行官亲自向 Keyholders, Inc. 提交董事会决议授权发布某些密钥。Sure Corp. 还希望 Keyholders, Inc. 在不当发布的情况下承担 2 亿美元的责任。再一次，Keyholders, Inc. 可能愿意达成这样的安排，但前提是它可以为任何退出收取大笔费用——既要支付特殊程序，又要支付大笔赔偿的费用。

　　只要合同中的责任条款得到执行，Keyholders, Inc. 就可以营销这两种服务，并为这两个客户建立非常不同的安全级别。但是，如果政府决定制定特殊程序，所有密钥持有人都必须遵守以避免责任，Quick Corp. 可能会发现自己为它不想要或不需要的安全支付费用。

　　（8）原则八：国际合作

　　与将合同和立法作为建立明确责任规则方法的原则相反，解释性文本还提出了关于该主题的国际协议的可能性。这是一个谨慎的补充。被确定为适合立法的主题很可能为国际协议提供丰富的来源。如果数字签名不会在处理私钥时因虚假宣传或疏忽大意而失去效力，那么国家层面的立法可能就不够。为了鼓励数字签名的国际使用，在国际协议中如何写入此类信任的声明就显得尤为必要。

　　同样，也需要就向一国政府提供另一国公民密钥的持有人责任达成一致。以法国的一名密钥持有人为例，其通过提供一家在巴黎开展业务的美国公司使用的密钥来响应法国政府的搜查令。我们可以假设密钥持有人不能在法国被起诉。但是会在美国被起诉吗？我问，如果法国政府使用密钥对美国公司进行经济间谍活动，那么根据新的美国法律，能否起诉密钥持有人？“为什么不？”这位官员说。当然，答案很简单。不能将密钥持有人置于遵守一国法律即违反另一国法律的境地。此类冲突需要国际协议来解决。

　　“政府应合作协调密码政策。作为这项努力的一部分，政府应消除或避免以密码政策的名义制造不合理的贸易障碍。”该原则在第一句话暗示各国有义务在制定密码政策时进行合作和协调。这一原则并不要求所有 OECD成员国采取相同、甚至是统一的政策。但该原则确实要求继续沟通并努力确保每个国家的密码政策能够与其他国家的政策一起发挥作用。第二句话则包含一个严厉的告诫，如果障碍不能被证明是合理的，则应避免使用密码政策制造不合理的贸易障碍，甚至包括应消除密码政策造成的现有障碍。

　　原则显然引出了如何证明这些障碍是正当的问题。该语言表述借用了国际贸易法术语，并已有相应定义。在这种情况下，最可能的解释是密码政策不应被用作排除或歧视外国产品的借口。如果善意（的解读）实施，该原则无意凌驾于国家安全或执法政策之上，并且显然不禁止瓦森纳协定的出口管制，因为在通过该指南时，几个主要的经合组织成员国维持了对密码的此类控制。另一方面，正如一位精明的代表非正式的指出的那样，不合理的障碍和不合理的障碍（unjustified and unjustifiable obstacles，后者的范围更为宽泛和不确定性）之间存在着天壤之别。通过选择前一种语言，经合组织呼吁成员国为其密码政策提供可以理解的理由。就像成员国明确公开说明其密码政策的建议一样，该原则要求结束“地下”密码政策制定。

　　解释性文本仅对不合理障碍的概念增加了一点点，但确实侧重于在两种情况下避免障碍。解释首先集中在全球电子商务的障碍上。因为密码被认为在促进全球电子商务方面具有特别价值，所以这一点极为重要。此外，文本明确指出，该原则特别适用于国际上的密码可用性的不合理障碍。这为要求各国证明其进出口管制制度以及国内政策的合理性打开了大门。

　　文本还详细阐述了三种背景下的国际合作。首先，该文件指出，可以通过双边和多边协议实现跨国的执法准入。事实上，在经典的跨境合法访问案例中（一个国家寻求另一个国家持有的密钥），除非通过相关两国之间的协议，否则难以实现访问。但合法访问包括私营部门出于私人目的的访问，并且这种访问可以跨境发生，而无需任何政府参与。这一事实可以解释为什么文本简单地说这种访问可以通过政府间协议来实现。

　　其次，文本为那些开发国内密钥管理系统的国家提供了强有力的指导。在不认可此类系统开发的情况下，文本建议此类系统必须允许密码的国际使用。这个“必须”显然不是作为命令，而是作为事实陈述：市场不会接受不允许（基于）国际使用的密码的密钥管理系统。但似乎很明显，经合组织本身也强烈支持满足这一市场要求的系统。

　　第三，文本规定国家不应仅仅基于密码政策来阻止加密数据在其国内的自由流动。这一原则借鉴了国际电联的一项强有力的规则，该规则禁止成员国阻碍跨境通信流动的行动。但这项防止阻碍加密数据流动的政策（规则）仅限于传输特定国家的数据。也就是说，当加密数据从甲国穿越丙国到达乙国时，合作原则要求丙国不要阻碍甲国和乙国之间的数据流动。（完）