自上世纪90年代末起,随着产业政策的不断完善,加密技术成为提升中国国内IT企业竞争力的工具,国内标准和认证规则曾帮助中国IT企业与外国政府及微软、IBM、思科等跨国IT供应商抗衡。除经济动机外,中国政府也十分担心依赖外国供应商带来的信息安全脆弱问题。2014年,中国成立了“中央网络安全和信息化领导小组”这一监管数字经济、负责网络安全相关事宜的高级机构。中国大力推动数据本地化,并建立起国内技术标准。
随着中国逐渐成长为技术大国,对加密技术的争论也引发了个人用户的安全担忧。当前,中国拥有8亿多互联网用户和超过15亿的手机用户,政府准入和个人信息安全之间的紧张关系成为重要的争论点。面对个人数据黑市的泛滥,监管者不得不规定科技企业通过加密保护个人敏感信息,但这很可能影响平台存储数据的方式。值得注意的是,中国没有一个主流应用程序使用端到端加密,而这一技术已经是WhatsApp等国际通讯平台的行业标准。
中国的加密争论极少公开。许多中国媒体报道其他国家的加密争论,以彰显其推行加密政策的合理性。中国的大部分加密争论是政府与参与者之间的协商。负责监管加密技术的主要政府机关为国家商用密码管理办公室(OSCCA),中国网络空间管理局(CAC)在制定网络设备的网络安全审查制度中也发挥了重要作用,其他监管机构以及各部委负责发布具体行业的实施方案。全国信息安全标准化技术委员会在制定技术标准方面发挥着重要作用,过去几年来已经出台了近300个国家网络安全标准,部分涉及加密技术。中国许多设立标准的委员会中有外国公司代表,但是加密工作的相关机构不接受外国成员。
中国的监管尝试
1999年国务院第273号令颁布的《商用密码管理条例》是中国政府首次尝试颁布此类规定,条例明确要求所有在中国生产、流通、销售的加密产品必须经过国家商用密码管理办公室批准。
该条例引发外国公司和政府的强烈抗议,他们担心该条例会将外国IT企业逐出中国市场。在各方压力之下,中国政府撤回了该条例。2000年3月发布的澄清文件显示,只有使用加密作为核心功能的硬件和软件才会受到法律管制,而将加密作为辅助功能的产品,如笔记本电脑、移动电话、网络浏览器和软件等,不在条例范围内。这表明中国政府内部对加密技术还未达成一致意见。事实上,该条例规定了加密在商业领域而非政府部门的使用,说明加密监管中的经济问题比国家安全问题更为重要。
中国首次制定的加密标准是无线局域网(WLAN)认证和无线局域网鉴别与保密基础结构(WAPI)标准。中国政府表示WAPI比美国电气和电子工程师协会(IEEE)现行标准更加安全。2003年,中国政府以国家安全为由规定所有在中国销售的无线设备必须运行WAPI。然而,能够授权WAPI标准的供应商从授权和特许权使用费中获利丰厚。外国IT供应商需要与获得批准的中国供应商合作,安装支持WAPI的设备,但这迫使外国IT供应商将知识产权暴露在中国企业面前。英特尔公司反对这项规定,甚至宣布停止出售中国半数笔记本电脑都使用的Centrino WiFi芯片,美国政府威胁中国要在世贸组织提起诉讼,国际标准化组织也否定了该标准,最终,中国取消了此项规定。但是,苹果公司和戴尔公司都推出了同时支持WiFi和WAPI的手机设备,这是中国政府成功利用市场准入手段改变外国公司行为的代表性案例。
2011年,国家商用密码管理办公室公布祖冲之密码算法(ZUC)。与WAPI不同,ZUC受到了国际标准制定机构的肯定。在经过另一轮国际反击后,中国在2013年宣布不再把ZUC标准作为产品进入中国市场的先决条件。
尽管强制外国企业采用特定加密标准的做法并未成功,中国政府在强制性行业知识产权要求方面取得了很大成绩。2007年,公安部发布多重保护方案采购框架,要求关键基础设施和高风险部门使用国内信息技术。国家商用密码管理办公室拥有一系列执行多重保护方案的工具,包括突击巡查、访问加密密钥或密码协议,并拥有检查公司源代码的权力。2017年,《网络安全法》的颁布,为网络运营商设立了专门的监管制度,具体执法由中国网络空间管理局监督。该法规定“关键信息基础设施”(CII)运营商只能使用经指定机构批准的网络设备和网络安全产品。然而,该法生效的两年内,包括哪些行业属于关键信息基础设施等一些关键细节仍未明确。2017年7月,中国网络空间管理局发布《关键信息基础设施安全保护条例》(征求意见稿),但最终版尚未发布。2017年4月,国家商用密码管理办公室发布了《密码法(草案征求意见稿)》,用于全面改革中国政府的密码管理,但是草案没有澄清核心密码和商业密码之间的区别,也没有明确说明国务院第273号令的规定是否保留。
深入发展
国务院第273号令发布近20年后,中国的密码监管制度依然是政府多重目标的产物,早期的监管尝试似乎主要由经济发展目标驱动。期间,外国科技公司和政府的强烈反对导致中国政府撤回或放缓了法规的实施。这一系列变化使得中国的密码监管体系并不完善。有迹象表明,未来的法规将围绕《网络安全法》的关键信息基础设施条款展开。目前公安部正在修改多重保护方案,新版采购框架可能会与关键信息基础设施条款的范围相匹配。同样,《密码法(草案征求意见稿)》规定国家商用密码管理办公室将对关键信息基础设施运营者使用的密码进行安全审查。关键信息基础设施条款显然构成了中国密码监管制度的基石。
中国的密码监管发展缓慢,但民众越来越重视数据的使用和保护,加密技术争论的基础正在改变,个人用户的担忧逐渐成为焦点。迄今为止,中国的个人数据保护标准尚未与数字技术日益增长的重要性相匹配。2018年9月的一项调查发现,80%以上的参与者认为自己是数据泄漏的受害者,大部分被泄露数据最终都会流入猖獗的数据黑市中。针对关注数据保护和隐私的消费者,一些中国公司推出了加密性能更强大的产品,也出现了一些与隐私和密码服务相关的初创企业。
目前并不清楚中国政府会允许企业在加密行业中走多远。自2015年《反恐怖主义法》生效以来,中国政府逐渐要求科技公司为公共安全和情报收集提供技术和密码支持。2017年《国家情报法》进一步加强了这一要求,要求科技公司储存用户在线活动的互联网日志至少6个月。这些法律很有可能阻止科技公司全面使用加密技术,甚至影响外国公司的运营决策。2018年1月,苹果公司宣布将中国用户的iCloud数据迁移到中国电信旗下的贵州云大数据公司。
未来展望
中国的加密技术争论受到一系列因素影响,如中国国内政治、中国政府和外国公司间的相互作用,以及用户个人安全与国家安全之间的矛盾。一些外国企业可能会从中国的政策中获利,但事实上,即使中国放松监管制度的某些方面,也可能在其他方面更加严苛。外国对中国加密政策的影响十分有限,未来这种情况可能更加严重。
很难预测中国政府和用户之间的作用将如何影响加密技术应用,特别是在越来越依赖大数据和人工智能的情况下。大数据监控似乎已经导致大规模数据泄露。很多案例表明这些数据的存储存在漏洞,有被黑客攻击的可能,届时中国民众肯定会要求更强大的保护,加密应用也会变得更加广泛。如何负责任地处理和使用公众数据以满足公众要求,同时实现技术自主的国家安全要求以及利用技术实现其他治理目标,未来中国将继续处理这两者之间的紧张关系。