美國密碼法律制度概覽密碼（cryptography）作為實現信息安全的有效方法，在整個數據生命周期中發揮著不可替代的保障作用，長期以來被廣泛用于政府機構、外交部門、軍隊和情報機構的活動中。隨著20世紀70年代現代密碼學的出現，密碼技術正被越來越多的用戶所使用。在當今的信息社會中，密碼技術已經成為國家重要的戰略資源，是保障國家網絡與信息安全的重要支柱，直接關系到國家的政治安全、經濟安全和軍事安全，因此許多國家都通過立法建立了專門的密碼管理制度。作為密碼技術研發和應用最為成熟的國家之一，美國的密碼政策和立法一直具有積極的示范效應。根據美國密碼法律制度的基本結構，本文主要從密碼出口管制、民用密碼管理和政府密碼管理三個方面對其進行介紹和分析。一、美國密碼出口管制法律制度密碼出口管制的主體可以分為密碼技術和加密產品兩個部分。密碼技術（encryption）通常包含五個要素：（1）加密功能；（2）解密功能；（3）密鑰；（4）純文本；（5）密文。1加密技術也稱為密碼編譯，指的是將明文轉換為密文的技術。解密技術也稱為密碼分析，指的是將密文轉換為明文的技術。密鑰是指用來完成加密、解密、完整性驗證等密碼學應用的秘密信息，在對稱加密中，用于加密和解密消息的密鑰是相同的。在非對稱加密中，用于加密和解密消息的密鑰是不同的。密碼技術歸根到底是一種技術上的形態與路徑。密碼產品指的是使用密碼技術對于內容信息進行加密保護或者安全認證的產品，比如金融數據加密機、數字電話加密機以及電子支付密碼器系統等。密碼產品更多指的是含有密碼技術的產品，密碼技術是密碼產品中的核心附屬部分。（一）美國密碼出口管制法律制度的演變1.20世紀90年代前：嚴格管制美國早期的密碼技術產品出口受到十分嚴格的限制，密碼被視為一種具有武器性質的軍民兩用產品，被列入控制武器出口的清單，實行極為嚴格的管控措施。美國政府試圖通過這種方式避免先進的密碼技術被外國勢力獲取，以保證其對外情報工作的開展。1992年以前，幾乎所有密碼技術產品的出口都由美國國務院（U.S.StateDepartment）通過《美國國家武器審查條例》（InternationalTrafficInArmsRegulations，簡稱ITAR）規定2，該條例是美國出于美蘇冷戰的考慮而制定的。在1992年至1996年12月期間，對密碼技術出口的管轄權由美國國務院和美國商務部共享。自1996年12月以來，大多數密碼技術的出口受到美國商務部的監管。20世紀90年代前，美國密碼技術出口受到《國際武器貿易條例》（ITAR）和《出口管制法》（后來經過多次修改）的規制，密碼技術主要被應用于軍事、外交和情報工作。ITAR的法律效力來源是軍火出口管制法（ArmsExportControlAct，簡稱AECA），主要規制“國防物品”和“軍火”的出口（對除美國或加拿大以外的任何地方）。直到1996年12月，美國政府認為所有密碼技術，甚至是僅用于商業的密碼技術以及未分類的密碼技術，都是國防物品或軍火。當然其中也有一些例外情況，例如對一些弱加密的技術產品由商務部下的出口管理局（BXA）進行管轄。但在總體上，國務院基于其自己的政策決定和美國國家安全局（NSA）的建議，出于國家安全的原因直接管制密碼技術的出口。一般來說，州政府管轄下的密碼產品很難或不可能出口，而商務部管轄下的產品盡管有一些限制卻可以出口。總體上，在1996年以前，美國密碼出口管制由ITAR具體執行，目的是維護國家安全和外交以及軍事有關的利益，對密碼技術或者產品進行嚴格控制。在此期間，密碼技術在性質上是屬于軍需品而被列入軍用物品清單，作為軍需物品的密碼出口需要得到單獨許可，且該許可必須得到國防部（DOD）和國家安全局（NSA）的批準。并且根據ITAR規定，出口密碼技術和密碼產品的長度、強度以及一些特殊加密功能都受到限制。2.1996年以后：逐步放松管制對密碼技術的限制阻礙了美國企業在密碼技術方面的發展，不僅包括生產加密產品的企業，也包括以密碼技術為生產工具的企業（如經營業務為網絡瀏覽器或電子郵件的企業）。對于許多企業來說，生產兩種版本的產品是低效或不切實際的。在這一背景下，越來越多的企業呼吁放松密碼出口管制。1996年2月，ITAR規則得到了修改，允許個人在國外使用密碼產品，從而允許在飛機上攜帶有密碼軟件的筆記本電腦。這種“臨時出口”不需要許可證，只需要使用者采取正常的預防措施以確保密碼產品的安全（例如將產品作為隨身行李攜帶，外出時將產品鎖在酒店房間或保險箱中）。但是，使用者不得復制、展示、銷售和再出口密碼產品，也不得轉讓密碼產品的所有權或控制權，并且每次攜帶密碼產品出境都必須在五年內保存記錄。1996年5月，美國國家研究委員會發布了一項密碼學政策研究報告，建議放松出口管制。應該允許出口56位對稱加密的加密產品（如DES），但前提是密碼技術或產品必須支持密鑰托管或者密鑰恢復的功能，即當美國認為出口的密碼產品或者技術威脅到美國利益時，美國政府能夠取得密鑰破解密碼；并且如果用戶同意向美國政府提供解碼信息，則應該允許出口超過56位的加密產品。1996年11月，克林頓政府發布行政命令規定“除應軍事申請專門設計、開發、配置、修改、修改的密碼技術產品以外，其他所有的密碼技術產品應從國務院管轄轉移到商務部管轄”。31996年12月，美國商務部基于白宮的行政命令頒布了兩項條例，一項指導實施關鍵密碼托管的臨時最終規則4，以及一項涵蓋更廣泛事項的臨時規則。5臨時規定對美國政府管制密碼技術產品出口的制度進行了修改，允許準許所有56位及以下密碼技術產品在經過審查期后進行出口（恐怖國家除外）。此前，56位密碼產品只被允許出口到金融機構和美國公司的外國子公司。此后，盡管在“911事件”后美國密碼出口管制的放松步伐明顯減緩，但在整體上不再堅持嚴格限制的立場，而是通過制度改革進行合理控制，即放松與控制并重。（二）當前美國密碼出口管制法律制度的構成1996年美國將作為兩用品的密碼的管理權由國務院轉移到商務部，當前美國密碼出口管制機構是設立于商務部下的工業與安全局（BIS），密碼出口管制適用的法律是《出口管理條例》（ExportAdministrationRegulation，EAR），以源代碼或目標代碼共享、運輸、傳輸或轉讓，幾乎所有兩用加密軟件都要遵守《出口管理條例》。并且多邊出口管制的《瓦森納協議》也要轉換成EAR在國內適用。《出口管理條例》根據接收方、終端使用以及出口目的國的不同，可能要求獲取出口許可，除非例外或者豁免情形，但是如果涉及被禁運的國家，則一律不得出口。當前美國密碼出口管制法律制度主要由技術審查、出口授權（主要包括許可證和許可例外）以及報告義務三個部分組成，其中技術審查是為了確定密碼技術產品的可控性，出口授權是為了確定出口商的資質，明確責任主體，在密碼產品出口之后，出口商還需要向BIS和國家安全局提交年度報告，即出口商的報告義務。技術審查、出口授權和年度報告共同實現密碼出口的風險控制。1.技術審查美國的密碼出口建立在可控的前提下。技術審查是許可證發放的預先步驟，主要是以進出口規則的具體規定為依據，由監管機構據此進行審查。技術審查涉及密碼技術和產品的構成和具體形式（包括密碼的類型、位數、是否包括源碼等），以及密碼技術產品的進口國。由于密碼的標準化，技術審查是包括美國在內的西方國家實現出口密碼可控性的首要步驟。1996年以后，美國出于占領國際可控密碼市場的考慮而逐步放松出口技術審查，但即使是技術審查除外規定，美國也將出口密碼控制在可恢復的范圍之內。美國商務部2000年對技術審查要求包括：（1）允許任意密鑰長度的密碼在技術審查后向任何非政府最終用戶出口（排除恐怖主義國家）；（2）任意密碼長度的密碼零售，例如不要求實質支持以有形方式零售出口的密碼產品，或為個人消費者使用特殊設計的密碼產品，在經過技術審查后允許向任何非恐怖主義國家接受者出口；（3）無限制的密碼源碼（類似于“開放源碼”軟件）和可公開獲取的商業源碼（類似于社區源碼“CommunitySourceCode”）允許不經技術審查向任何最終用戶出口，同時需要向BXA提供源碼副本或鏈接。所有其他源碼在技術審查后向非政府最終用戶出口。但不得故意向恐怖主義國家出口源碼，盡管密碼源碼可能通過互聯網絡方式下載，且出口商無法徹底檢查下載是否位于恐怖主義國家；（4）允許任何密碼無需技術審查向美國公司的國外分支機構（再）出口。2010年，美國商務部進一步簡化了密碼出口審查要求6，對于國家安全威脅較小的密碼產品和技術取消技術審查等待30天的要求，而可以直接授權出口，再出口時僅向BIS提交電子注冊即可；同時，大宗貿易密碼產品也參照執行上述規定，只有少數類別的許可例外和大宗貿易密碼產品還需要30天的審查期限，但涉及國家安全、反恐以及禁運和制裁的除外。2.出口授權密碼出口許可證是在技術審查基礎上，對符合標準的密碼技術和產品或符合標準的廠商予以資質認可的證明或批件。《出口管理條例》及其附件《商業管制清單》（CommerceControlList，CCL）、《目的國管控清單》（CommerceCountryChart，CCC），及《被拒絕清單》（DeniedPersonsList，DPL）、《未經核實清單》（UnverifiedList，UVL）、《實體清單》（EntityList，EL）和《軍事最終用戶清單》等清單，構成了美國管制軍民兩用產品的出口、轉出口以及轉讓的主要規則制度。《出口管理條例》主要規制強兩用密碼技術產品，在《商業管制清單》第五章第二部分中包括5A002（密碼硬件）和5D002（密碼軟件），以及大眾可通過零售（或類似的銷售渠道）獲得的5A992（密碼硬件）或5D992（密碼軟件），清單在此對受管制的密碼技術產品進行了詳細的列舉，包括采用密鑰長度超過56位的對稱算法、采用基于超過512位整數因式分解的非對稱算法等，并且將僅限于身份驗證和數字簽名的密碼、使用固定數據壓縮或編碼技術的軟件、設計用于保護庫、設計屬性或相關數據以設計半導體器件或集成電路的加密/解密代碼排除在管制清單之外。在美國出口管制法下，需根據商業管制清單中的出口管制編碼（ExportControlClassificationNumber，即ECCN編碼），結合目的國管控清單對出口物項進行管控，首先將密碼技術產品的ECCN編碼與最終目的地管控清單上列明的管控理由進行匹配后，確定該密碼技術產品的出口地是否需要受到管控，如匹配結果為需要管控，則需在該密碼技術產品的ECCN編碼中查詢是否有符合“加密商品、軟件和技術（EncryptionCommodities,SoftwareandTechnology，簡稱ENC）”許可例外的情況，在滿足適用ENC許可例外的條件下，可直接通過ENC許可例外進行出口。《出口管控條例》對包含加密功能的軟件和商品的出口、再出口和轉讓實施管制，包括幾乎所有在美國生產、開發或托管的軟件以及許多非美國的軟件和硬件產品。在大多數情況下，美國公司通過ENC許可例外出口、再出口或轉讓加密軟件或商品，而無需獲得BIS的授權。如不適用ENC許可例外，在沒有其他可適用的許可例外的情況下，需按照規范流程申辦出口許可證。《出口管理條例》下的公共可用軟件不受出口管制。但在通過互聯網或電子方式公開強兩用密碼軟件之前，公布者必須向美國政府提供強兩用密碼的副本或一次性通知代碼的互聯網位置（URL）。通知必須在軟件公開之前完成，如果在向美國境外傳輸或轉移軟件后才發出通知，會被視為違反出口管制法。即公布者必須向出口管制官員（ExportControlOfficer，簡稱ECO）發電子郵件，內容是《出口管理條例》控制的強密碼軟件的互聯網位置或URL，只有在收到ECO的電子郵件確認后，公布者才能將代碼上傳到公開的網站上。《出口管理條例》除了管制密碼技術產品的出口以外，還涉及對強兩用加密軟件和硬件方面的活動的限制。即未經美國政府批準，禁止美國公司或個人向外國人提供技術援助，包括技術指導、技能培訓、工作知識、咨詢服務等可能幫助強兩用加密軟件或硬件海外開發或制造的活動。73.報告義務報告義務是指出口商對國外用戶使用密碼進行記錄并提交本國相關機構進行監管。針對《商業管制清單》第五章第二部分中規定的5A002（密碼硬件）和5D002（密碼軟件）、5A992（密碼硬件）和5D992（密碼軟件）的密碼產品，美國公司需要向BIS和國家安全局提交年度自分類報告，列明上一年度出口或再出口的所有密碼產品。對于一些更先進或更敏感的密碼產品，例如網絡基礎設施項目，非公開加密源代碼，定制、非標準或開放接口加密，量子加密，網絡滲透工具，網絡漏洞/數字取證項目，超寬帶和擴頻項目，以及密碼分析項目等，出口商需要提交半年期的銷售報告。2021年3月29日，美國商務部工業和安全局對《出口管控條例》及附件《商業控制清單》中涉及密碼出口的相關內容進行了修訂，降低或取消了部分密碼技術產品出口、再出口和轉讓的報告和通知義務。如取消了對大部分大眾市場密碼技術和產品進行出口、再出口和轉讓的年度自分類報告義務，取消了對開放加密源代碼進行通知的要求等，減輕了本國出口商的監管負擔。此次修訂也是對2019年12月瓦森納協議成員國全體會議對《兩用物項和技術出口管控清單》修訂決議的落實。二、美國民用密碼管理的法律規定隨著加密技術在通信領域的廣泛適用，執法機構所面臨的一個無法回避的問題是：通信安全性的提升必然導致執法活動受限。美國較早地認識到加密技術與執法之間的矛盾，1993年白宮曾提出了《密鑰托管倡議》，提出采用基于加密芯片的密鑰托管機制，即在公民的通信安全保障中，執法部門有權依據法庭授權令狀在托管機構獲取所需的托管芯片的密鑰，從而破解其所需的加密信息。但由于這一倡議在權力監管、個人隱私、國家安全等方面存在諸多隱患，美國政府最終在1999年放棄了密鑰托管的嘗試。但執法機構沒有放棄限制密碼技術利用的努力，特別是在密碼技術利用越來越普及的今天，執法機構的解密能力越來越有限，導致執法活動受到極為嚴峻的現實挑戰，加密與執法之間的矛盾變得愈發不可調和，也使得加密和執法需求成為國家密碼管理制度中最為核心和最具爭議的法律問題。8（一）美國民用密碼管理的背景2022年12月7日，蘋果公司公布了三項數據安全改進措施，包括iMessage聯系人密鑰驗證、AppleID安全密鑰和iCloud高級數據保護，旨在保護消費者數據并抵御黑客攻擊。在這三項改進中，iCloud備份中擴展端到端加密引起了執法部門的關注。長期以來，蘋果公司一直在其設備上提供強大的加密保護，但這些設備保護措施遭到了美國執法部門特別是是美國聯邦調查局（FBI）的強烈批評。早在2014年9月，蘋果公司宣布其新的操作系統iOS8將默認對存儲在iphone上的大部分數據進行加密，如iMessages、照片、日歷和應用程序。9而在此之前，在蘋果公司已經開始對蘋果服務器和用戶之間發送的iMessage和iCloud數據進行加密。蘋果公司聲稱，在新的技術方案下其不能對此類數據進行解密，因此難以再遵守政府對設備數據的要求。此后不久，谷歌公司也宣布了類似的政策。同樣在2014年11月，facebook即時通訊系統whatspp也宣布將在其服務上提供端到端加密。2015年圣貝納迪諾恐怖分子襲擊事件發生后，FBI沒收了一部犯罪嫌疑人使用的iphone手機，并通過法院要求蘋果公司對其上的加密數據提供解密幫助，但蘋果公司以違憲為由拒絕執行。此后蘋果公司與美國聯邦調查局（FBI）之間的訴訟和公開辯論曾持續了數月。對于美國執法部門來說，在支持用戶通過加密技術保護其私人通信和敏感數據的同時，其更加擔心犯罪分子和恐怖分子利用密碼技術和產品，阻止執法部門進行合理搜查，從而構成對公共安全的嚴重威脅，執法部門稱這種現象為“致黑”（goingdark）。10聯邦調查局局長詹姆斯·科米表示，政府無意禁止加密技術，而是希望硅谷公司提供一種技術方式來獲取數據的內容，實現對設備的法律權威訪問。但許多科技界，包括美國科技巨頭蘋果、谷歌和Facebook，以及密碼學家則認為，在繼續保護網絡威脅的同時保護用戶數據在技術上是不可行的。11（二）美國憲法第五修正案和涉及強制解密的判例法1.美國憲法第五修正案反對自證其罪的權利政府要訪問存儲在智能手機上的數據，一種方法是強制用戶根據有效的法律程序提供其密碼或解密設備中所包含的數據。但其中存在的問題是，第五修正案中反對自證其罪的規定是否會禁止這種要求。一般來說，獨立于政府要求創建的文件（例如存儲在相機上的照片）無法受到第五修正案的保護，因為這些文件并不是政府“強制”創建的。但解鎖該設備的行為卻可能具有證明作用（例如它可能證明嫌疑人可以使用該設備），這可能會觸發第五修正案。根據美國憲法第五修正案的有關規定，“任何人……不得在任何刑事案件中被迫成為對自己不利的證人。”12這種反對自證其罪的權利保護被告免于提供對自己不利的犯罪證據，也使被告人無需冒著作偽證的風險對政府官員撒謊，或者冒著藐視法庭的風險保持沉默。反對自證其罪的意義是，國家必須在沒有被告幫助的情況下證明其案件。那么，除非州政府能拿出足夠的證據證明他有罪，保持沉默的被告將會贏得該案。在美國司法審判中，主張第五修正案規定的反對自證其罪的權利需要滿足三個條件，即被告的陳述a.必須是政府強迫的；b.必須是有罪的；c.必須構成“證明”（testimonial）。主張自證其罪的前兩個要素——強制性和有罪性很少受到質疑，但在大多數情況下，一個給定的陳述是否應該被視為“證明”則存在疑問。132.最高法院的判例美國最高法院尚未對強制個人披露密碼或解密數據的問題給出解決辦法，但已經就如何裁決這個此類案件提供了一些思考。例如在被告人將犯罪文件保存在一個保險箱中的情況下，存在通過密碼和鑰匙兩種途徑打開保險箱，有人認為這與當前個人設備的解密問題存在相似之處。在1988年Doev.UnitedStates案中，史蒂文斯大法官指出，雖然嫌疑人“在某些情況下可以被強制交出一個裝有有罪文件的保險箱的鑰匙”，但他不能“被迫通過言語或行為透露密碼”。這一觀點認為，要求被告人交出密碼是在要求他“用自己的頭腦幫助控方給自己定罪”，這是憲法第五修正案所禁止的，而僅僅交出鑰匙則不會。但該案件中的大部分法官認為，密碼作為被告人思想中的內容不構成第五修正案規定的證詞。3.巡回上訴法院的判例除了最高法院之外，2012年第11巡回上訴法院也處理過有關強制解密問題的案件。在該案中，政府獲得了搜查犯罪嫌疑人酒店房間和電子設備的搜查令，但由于聯邦調查局無法訪問其中一個硬盤中的某些內容，大陪審團要求被告人出示硬盤的內容，被告人認為這一要求將違反第五修正案中不得自證其罪的規定。因此巡回法院需要認定被告人提供其硬盤數據的行為是否屬于第五修正案中的對自己罪行的證明。法院指出，該問題最終指向政府是否能夠以“合理的特殊性“表明，在其試圖強迫提供行為時已經對加密文件有了解，從而使任何證明成為”既定的結論“。法院的結論是，沒有任何證據表明政府知道犯罪證據是否存在于硬盤上，因此加密文件不是一個“既定的結論”，被告人可以主張第五修正案規定的權利。4.聯邦法院和州法院的判例隨著政府機構越來越多地遇到加密數據的問題，下級聯邦法院和一些州法院也遇到了類似的案件。和第十一巡回上訴法院審理的案件一樣，這些案件在很大程度上取決于政府對加密文件的了解程度。例如在2007年的InreBoucher案中，邊境巡邏人員阻止了試圖穿越加拿大邊境進入美國的Boucher和其父親。其中一名警察在汽車后座上發現了一臺筆記本電腦，并且不需要輸入密碼，就可以訪問筆記本電腦上的大約4萬個文件，而其中一些文件可能包含色情圖片。隨后，移民與海關執法局通過進一步調查發現了數千張色情圖片，其中有一份標簽是兒童色情但無法打開的文件，但由于筆記本電腦后來斷電，且電腦上安裝了加密程序，所以無法再次訪問。為了獲取這些數據，政府要求被告人提供“所有與繳獲的硬盤有關的文件，無論是電子形式還是紙質形式”。被告人認為該要求違反了其根據憲法第五修正案享有的反對自證其罪的權利。政府承認要求被告人提供密碼屬于自證其罪，因此其試圖強制被告人在電腦上輸入密碼。但法院認為，要求被告人輸入密碼隱含著這樣一種事實：“通過輸入密碼，Boucher將會表明他知道密碼，并能控制硬盤上的文件。”但法院也指出，政府不需要知道文件的具體內容，必須能夠“合理證明其知道被加密文件的存在和位置”。因為政府已經查看了硬盤上的一些文件，并確定文件中可能包含兒童色情內容，因此提供密碼對政府掌握的信息總數沒有影響或者影響很小，進而否定被告人根據第五修正案主張權利。除了聯邦法院，有一些州法院也裁決了在加密數據中反對自證其罪的權利的范圍。例如在Commonwealthv.Baust案中，弗吉尼亞州第二巡回法院討論了政府是否可以強制個人提供其智能手機的密碼。弗吉尼亞法院認為，提供密碼就像提供一組證據，所以可以認為是證明。但法院同時認為，要求被告輸入指紋不被視為是自證其罪，因為這“不要求證人泄露其思考過程的任何信息”。（三）強制協助和《全令狀法案》除了要求智能手機用戶提供其密碼或解密內容外，政府還可以請求設備制造商幫助其訪問被鎖定的設備。較為典型的例子是2015年在加州圣貝納迪諾的恐怖事件中，聯邦政府通過《全令狀法案》（theAllWritsAct）來尋求這種幫助。在該案中，加州中央地區的地方法官謝莉·皮姆命令蘋果公司向聯邦調查局提供三種形式的技術援助：（1）關閉密碼輸入錯誤的自動刪除功能，即允許政府輸入超過10次密碼，而不會在第10次錯誤嘗試后刪除數據；（2）可以自動輸入密碼組合，而不是必須手動輸入；（3）使用編程系統解密不會出現延遲。可以看出，法院并沒有要求或強迫蘋果公司在所有iphone上為政府機構提供解密的便利，只是要求其針對有問題的iPhone編寫并安裝特別的軟件，由此可以實現無限制的密碼嘗試而不會刪除設備中的數據。作為《1789年司法法案》（JudiciaryActof1789）的一部分，《全令狀法案》第a條規定，“在法律允許的范圍內，最高法院和所有由議會建立的法庭，可以發布必要或者合適的強制命令，以協助施加管轄權。”該條款經常被援引要求科技企業協助執法部門解鎖數據。最高法院指出，“《全令狀法案》是法律中未規定的令狀的法律權力來源。”換言之，該法案具有填補法律空白的功能，可以用來“執行和防止法院的命令受挫”。根據美國當前的判例法，要適用《全令狀法案》要求蘋果公司違背其意愿幫助政府訪問該設備上的數據，法院首先要考察該要求是否會給蘋果公司帶來“不合理的負擔”，還要考慮以及它是否符合立法者（國會）的目的。在圣貝納迪諾案中，對于該命令是否會給蘋果公司構成不合理的負擔的問題，聯邦調查局認為蘋果公司具有破解密碼的能力，因此不構成不合理的負擔；但蘋果公司認為“不合理負擔”不僅包括公司在這款手機上編寫和安裝新軟件的負擔，還包括對蘋果公司整體業務的負擔。蘋果公司承認其擁有解鎖該設備的技術能力，但同時認為保護客戶隱私和安全的目的使其有足夠理由拒絕執行法院的命令。而對于該命令是否符合國會的目的，聯邦調查局認為除非國會在這個問題上頒布立法，否則國會的沉默并不足以限制法院要求蘋果公司幫助政府訪問有關設備信息的權力。蘋果公司則認為不僅應該關注已制定的法律，還應該關注國會是否考慮但最終拒絕采納類似的監管政策。圣貝納迪諾案最終以聯邦調查局通過其他科技公司從外部破解密碼、撤回訴訟而告終，沒有得出最終結論。但在2014年紐約州的一個類似的案件中，法院否認了蘋果公司幫助解鎖手機密碼的義務。該案中美國緝毒局扣押了被告人的移動設備并向法院申請令狀要求蘋果公司幫助解鎖，但法官詹姆斯·奧倫斯汀認為《全令狀法案》在該案中不能擴張適用，拒絕了政府要求蘋果公司協助破解的請求。奧倫斯汀法官在判決中指出，要適用《全令狀法案》，政府必須證明其申請的強制令滿足三個條件：（1）簽發強制令的法院具有管轄權；（2）強制令的簽發“必要且適當”；（3）強制令符合法律的慣例和原則，但其認為該案政府的請求不滿足上述第三個條件，沒有遵循法律的慣例和原則。《全令狀法案》作為一部具有兩百多年歷史的法律，并未授權當前的法院強迫蘋果公司向聯邦政府妥協，在沒有國會明顯授意的情況下，根據之前國會在許多技術與信息安全問題中的表態，可以推斷出國會不同意政府積極干涉信息安全的態度的趨勢。既然沒有強制性規定要求蘋果公司為政府提供手機解鎖的協助，那么就意味著禁止強制執行這樣的義務。14三、美國政府密碼管理制度美國的密碼法制度還涉及對政府機構使用密碼的管理。美國國家標準與技術研究院（NIST）于2016年發布了《聯邦政府使用密碼標準指南：指令，法律和政策》（GuidelineforUsingCryptographicStandardsintheFederalGovernment：Directives,MandatesandPolicies，SP800-175A），該指南規定了美國政府機構何時以及如何通過密碼保護敏感但受控非機密信息（CUI），具有基礎性的指導意義。這些規定雖然主要針對政府機構，但其他組織也可以參考適用。指南認為，是否采用密碼保護取決于所要保護信息的所有者，這一過程通常基于徹底的風險分析，以確定需要進行密碼保護的信息的敏感性以及在傳輸和存儲期間保護該信息所需使用的安全控制。因此指南主要通過風險評估確定需要保護的信息并提供相應的指導，在內容上包括對相關法律、行政指令、標準和準則的摘要和討論。（一）法律規定指南首先梳理了相關的法律，這些法律沒有直接對政府機構的密碼使用作出具體規定，而是涉及到NIST制定或參與的密碼標準的法律授權。《聯邦信息安全管理法案》（FederalInformationSecurityManagementActof2002，簡稱FISMA）第3543段規定，總統行政辦公室（EOP）應協調和推進由NIST以及負責管理或控制國家安全系統的機構（包括國家安全局）所制定標準和指導方針，以最大限度地確保這些標準和方針補充現有的國家安全政策。該法案第302條要求商務部根據NIST制定的標準和指導方針制定聯邦信息系統的安全標準，并規定這些標準具有強制性和約束力，只有總統才能對其進行修改或撤銷。該法案第303條規定了NIST具有為信息系統制定相關標準、指導方針、信息安全政策、程序、實踐以及信息安全事件檢測和處理方案等技術幫助的職責，對已經制定的標準，NIST還應當進行定期評估和修訂。2009年頒布的《健康信息技術促進經濟和臨床健康法案》（HealthInformationTechnologyforEconomicandClinicalHealthAct，簡稱HITECH）規定使用NIST標準對健康信息進行加密以解決與健康信息電子傳輸相關的隱私和安全問題，這些規定加強了1996年《健康保險可攜帶性和責任法案》（HealthInsurancePortabilityandAccountabilityAct，HIPAA）中民事和刑事執行條款。該法案要求對受保護健康信息（PHI）的安全違規行為進行報告，但如果相關數據通過加密方法無法識別，則不必履行報告義務。《聯邦信息系統現代化法案》（FederalInformationSystemsModernizationActof2014）將2002年《聯邦信息安全管理法案》中規定的管理和預算辦公室（OMB）的部分職責轉移到國土安全部。該法案第3553段要求國土安全部協調NIST的標準和指南的制定，與首席信息官理事會和NIST主任進行協商以協調政府機構在信息安全政策和做法方面的努力，以及制定和監督包括NIST標準在內的安全政策、標準和指導方針的執行。2014年頒布的《網絡安全增強法案》（CybersecurityEnhancementActof2014）將NIST制定安全標準的職責擴展到對私營部門的直接支持。這一擴展具有重要意義，其特別授權NIST為美國聯邦政府以外的組織提供網絡安全支持，并定期與相關私營部門包括關鍵基礎設施所有者和運營商、部門協調委員會、信息共享和分析中心和其他相關行業組織進行協調，整合行業專業知識，提高安全能力。（二）行政指令總統行政辦公室發布的行政指令也涉及對NIST開發或參與開發的密碼標準和指南的規定。第7號國土安全總統令（HomelandSecurityPresidentialDirective7，HSPD-7）要求商務部與國土安全部、私營部門進行合作研究，為聯邦政府制定政策，以確定和優先保護美國的關鍵基礎設施和關鍵資源免受恐怖襲擊，提高網絡安全和關鍵基礎設施安全水平。第12號國土安全總統令則要求商務部與國防部、司法部、國土安全部等部門協商制定針對聯邦雇員和承包商的身份識別標準的安全政策，并由商務部負責對該標準的定期審查和更新。《電子簽名規定》（ElectronicSignatureProvisions）允許與聯邦政府機構合作或交易的個人或實體在可行的情況下以電子方式提交信息和保存記錄，且電子記錄及其相關的電子簽名不得僅僅因為它們是電子形式而被剝奪其法律效力、有效性或可執行性；《聯邦政府信息資源管理A-130號通告》（OMBCircularA-130）規定，經過風險評估如有需要，政府機構應當在聯邦信息的存儲和運輸中對其進行加密，除非存在多層級的（包括網絡、系統、應用程序和數據）物理和邏輯保護，在存儲和運輸中加密信息有助于保護信息的機密性和完整性，使其不太容易受到未經授權的披露或修改。各政府機構必須對FIPSPublication199中規定的中高影響力的聯邦信息進行加密，除非加密在技術上不可行或者會明顯影響其執行任務、職責的能力。在加密技術不可行的情況下，如系統老化時，政府機構必須盡早升級或替換系統或系統組件，以便能夠實施此類保護技術。選擇在不使用加密技術的情況下操作信息系統的官員必須仔細評估其行為的風險，其必須與高級隱私官（SeniorAgencyOfficialforPrivacy，SAOP）協商并獲得首席信息官（ChiefInformationOfficer，CIO）的書面批準。并且只有經過“聯邦信息處理標準”（FederalInformationProcessingStandard，FIPS）驗證的密碼技術才能被批準用于該通告下的聯邦信息系統。OMBCircularA-130還對聯邦政府使用數字簽名的事項進行了規定。數字簽名可以通過提供身份驗證和抗抵賴功能（non-repudiationcapabilities）減輕各種安全漏洞，從而確保聯邦信息的完整性，數字簽名還可以幫助政府機構簡化任務或業務流程，支持在線業務的辦理。基于該技術的優勢，OMB希望各政府機構根據聯邦公鑰基礎設施政策以及NIST標準和指導方針使用數字簽名技術。其中，政府雇員和承包商必須使用個人身份驗證（PIV）憑證，而對于不屬于PIV適用范圍的個人，聯邦機構在使用數字簽名時應利用已批準的聯邦PKI憑證。（三）組織政策NIST要求每個聯邦機構都應當有針對其收集或使用的信息的政策，包括信息管理政策和信息安全政策，使用密碼技術的機構還應該制定有密鑰管理政策。1.信息管理政策聯邦機構的信息管理政策是指該機構收集和使用信息的范圍及管理方式。聯邦機構的管理層制定信息管理政策時應遵循信息管理最佳實踐的行業標準、相關的法律法規，并考慮該機構收集和使用信息所要達到的目的。信息管理政策通常應明確管理人員的角色及工作職責，并對履行信息管理職責的人員進行所需的授權。政策應明確敏感信息的范圍及保護措施，應規定需要被保護的信息類別以防止未經授權的披露、修改或銷毀。這些規定構成信息安全政策的基礎，并進一步決定了為不同類別敏感信息所提供的相應機密性、完整性、可用性、源身份驗證保護的等級。152.信息安全政策聯邦機構的信息安全政策是為了通過更詳細地說明哪些信息應被保護而免于受到可能的威脅影響，以及如何實現信息保護，從而支持并落實信息管理政策的相關規定。信息安全政策規定了以紙質和電子形式進行敏感信息收集、保護、分發的歸責。制定信息安全政策的考量因素，包括但不限于信息管理政策規定，聯邦機構信息安全面臨的潛在威脅，以及未經授權的信息披露、修改、銷毀或丟失所涉及的風險。信息安全政策的主要內容包括分配給不同類別信息的敏感性級別（例如，低、中、高）和用于信息保護的高級規則（SP800-130，設計加密密鑰管理系統的框架）。3.密鑰管理政策負責管理敏感信息保護加密系統的聯邦機構應基于機構的政策聲明進行密鑰管理。密鑰管理政策應包括適用于加密密鑰材料的生成、分發、核酸、存儲、使用、恢復和銷毀的授權、保護和約束性的規定，以及對將適用的加密服務（例如消息認證、數字簽名和加密）的相關規定。密鑰管理系統用于保護聯邦機構敏感信息的加密密鑰，聯邦機構可運行自己的密鑰管理系統，也可購買密鑰管理服務。（四）風險管理程序《聯邦信息系統風險管理框架應用指南：安全生命周期方法》（GuideforApplyingtheRiskManagementFrameworktoFederalInformationSystems:ASecurityLifecycleApproach，SP800-37），提供了將風險管理框架應用于聯邦信息系統的指導方針，包括進行安全分類活動、安全控制選擇與實施、安全控制評估、信息系統授權和安全控制監控。指南首先要求確保信息系統相關的安全風險管理與聯邦機構的使命和業務目標，以及高層制定的總體風險戰略相一致，確保信息安全需求（包括必要的安全控制）融入聯邦機構的體系結構建設和系統開發生命周期過程中。同時支持具備一致性、公開性、持續性的安全授權決策過程（通過持續監控），促進安全和風險管理相關信息的透明性和互惠性，并通過實施適當的風險緩解戰略提升聯邦政府內信息與信息系統的安全性。在處理加密功能時，將風險管理框架應用于信息系統所涉及的任務應關注：（1）相較于安全控制的實施，應更注重信息和信息系統的分類以及安全控制的選擇；（2）注重安全控制的有效性評估；（3）注重信息系統的授權；（4）注重安全控制的持續性監控以及信息系統的安全狀態。信息和信息系統分類的相關要求包括：（1）將信息系統進行分類，并將安全分類結果寫入FIPS199、SP800-30、SP800-39、SP800-59、SP800-60、和CNSS1253號指令等文件中所述的安全計劃；（2）描述信息系統（包括系統邊界），并在安全計劃中記錄描述；（3）向適當的聯邦機構項目或管理辦公室注冊該信息系統。安全控制的選擇應包括以下步驟：（1）根據FIPS199、FIPS200、SP800-30、SP800-53和CNSS1253號指令，識別由機構提供的、作為機構信息系統公共控制的安全控制措施，并將其記錄在安全計劃（或同等效力的文件）中；（2）選擇信息系統的安全控制，并將其寫入FIPS199、FIPS200、SP800-30、SP800-53和CNSS1253號指令等文件中所描述的安全計劃；（3）針對SP800-30、SP800-39、SP800-53、SP800-53A、SP800-137、和CNSS1253號指令等文件中所述的安全控制有效性、信息系統及其運行環境中的任何潛在或實際變更，制定相應策略；（4）根據SP800-30、SP800-53和CNSS1253號指令等文件，審查并批準安全計劃。四、總結在數字時代，密碼技術應用的廣度和深度顯著擴展，密碼不再僅是技術對抗的手段，也逐漸成為一項重要產業，既關系到國家安全，也影響到公民信息保護、技術供給和經濟增長，密碼法律制度的制定需要綜合考慮多個方面。美國的密碼出口管制法律從嚴苛到放松與控制并重很大程度上得益于產業發展的需要，同時其國內的密碼立法也受到密碼對抗的國際影響，密碼法在這種轉變和應對的過程中始終發揮著重要的保障作用。一方面，美國的密碼法律制度呈現出分散立法的特點，包含在出口管制、隱私保護、信息網絡安全等多個領域的法律規定中，比較完整和詳細，能夠和既有的法律規定相銜接；另一方面，由于密碼技術日新月異，相關的標準也處于變動之中，因此美國的密碼法有較為明顯的分工，法律與政策并行，前者規定基本制度和負責的主管機構，后者提供具體且定期更新的技術標準和實踐指南，具有穩定性和前沿性，具有重要的研究價值。參考文獻[1]ThompsonRichardM.II&JaikaranChris,Encryption:SelectedLegalIssues,March3,2016.[2]22C.ER.§§120-130,asamendedby58Fed.Reg.39,280(1995).[3]ExecutiveOrder13026ofNov.15,1996,61FederalRegister58,767(Nov.19,1996).[4]61FederalRegister241,Dec.13,1996.These