油市也需要一次新政

故以法律关系为核心概念的民法典经验并不适用于行政基本法典。

宪法在内容上应当对审查对象保持开放，从而获得不断整合与发展。（三）审查依据、对象与程序 我国目前的宪法渊源理论存在固有的盲点和误区。

（2）1875年2月25日关于公共权力组织的法律。宪法必须是具有形式封闭性的最高规范整体，它可以是多文本的集合，但不能泛化到包括法律和惯例等形式。不同审查的依据、对象和程序一锅烩，既易造成宪法渊源的理论混乱，更无助于法律问题的解决。[21]由此可以进一步推导出宪法与普通法律的区别，并且这种区别是超越成文宪法和不成文宪法两种模式的。除前述混合性外，复数文本结构还具有特殊性。

参见[英]A. V.戴雪：《英国宪法研究导论》，何永红译，商务印书馆2020年版，第424页。如学者所说：从法律适用的角度，对于一个拥有成文宪法，并且被确立为宪法权威依据的国家来说，似乎应该坚守成文宪法作为唯一宪法权威渊源的地位。如《最高人民法院关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释》（法释〔2000〕12号）第8条规定：盗用他人公共信息网络上网账号、密码上网，造成他人电信资费损失数额较大的，依照刑法第二百六十四条的规定，以盗窃罪定罪处罚。

[68]最后，不言而喻，后门制度本身也会产生舆论争议。国家对商用密码产品的科研、生产、销售和使用实行专控管理。[78]参见《个人信息保护法》第35条：国家机关为履行法定职责处理个人信息，应当依照本法规定履行告知义务。[24]个人的加密信息在刑事程序中受到第四修正案和第五修正案保护，[25]即执法机关不得非法搜查，以及强迫自证其罪。

在此之前，我们仍然可以从法律原理和实践现状的层面进行初步探讨。[32] 另一方面，出口管制法规根据欧盟作为跨国联盟的性质，针对不同国家采取差序格局的做法。

[31]See Setting Up a Community Regime for the Control of Exports of Dual-use Items and Technology, Council Regulation (EC) No 1334/2000, https://eur - lex.europa.eu/legal - content/EN/ALL/? uri = CELEX%3A32000R1334. [32]参见同前注[22]， Nathan Saper文，第482页。[27]美国商务部工业和安全局（BIS）负责执行《出口管理条例》（Export Administration Regulations），其中的管理范围即包含密码产品和技术。《信息安全技术个人信息安全规范》（GB/T 35273-2020）6.3条规定，传输和存储个人敏感信息时，应采用加密等安全措施。因此，《密码法》的实施必将推动密码治理格局乃至于公权力/私权利关系的结构性转变。

[13]如果说网络安全是整个互联网的免疫系统，密码便是其中的关键基因。这些措施应确保适当程度的安全，包括保密…… General Data Protection Regulation, Recital 83， https://gdpr - info.eu/recitals/no -83/。按照《密码法》《数据安全法》《网络安全法》和《个人信息保护法》等法律的相关规定，司法机关和网络运营者对在解密过程中获取的国家秘密、商业秘密和个人信息应当尽到保密义务，尤其不得用于与案件侦破无关的用途。二代身份证里面也是使用密码芯片，防止伪造身份证等违法犯罪行为。

[76]这一点也应解释适用于司法机关通过解密而获取个人信息和数据的情况。其说明条款（Recitals）第83条进一步规定：为了维护安全和防止违反本规定的处理，控制者或处理者应评估处理中固有的风险，并采取措施来降低这些风险，如加密。

[75]针对于此，本文建议应对于司法机关要求网络运营者解密的行为采取如下限制。经济合作与发展组织（OECD）于1997年也制定了《经合组织密码政策指南》（OECD Guidelines for Cryptography Policy），[20]其基本目的是在维护国家安全和社会公共利益的前提下，促进密码的商业化和社会化使用。

[79]而在所有东西都是计算机万物皆数的大数据时代，密码是从技术底层保护网络安全和个人信息的重要代码。荆继武：《学习〈密码法〉的体会与思考》，载《中国信息安全》2019年第11期，第69-70页。加拿大《个人信息保护和电子文件法》（PIPEDA, 2000）则规定：消费者的个人信息必须由与个人信息的敏感性相适应的安全措施保障，包括使用密码（passwords）和加密（encryption）等技术措施。该条例设置的商品管控清单中，第五类第二部分电信和‘信息安全一栏规定，除用于医疗终端或者知识产权保护目的的密码产品外，密码产品必须接受出口管制。中央办公厅印发《关于发展商用密码和加强对商用密码管理工作的通知》，确定统一领导、集中管理、定点研制、专控经营、满足使用的发展和管理方针。[63]甚至在某些情况下，执法机关的解密效果与加密技术的规制密切相关，特别是法律对于个人使用商用密码的强度（特别是密钥长度）的规定。

另一方面，互联网运营者、设备制造商乃至于加密算法开发者的协助解密义务问题。《密码法》不再对商业密码进出口管制进行主体区分，而只进行类型区分：对涉及国家安全、社会公共利益且具有加密保护功能的，实行进口许可，出口管制。

[15]在非对称密码出现之前，密码技术基本属于国家垄断技术，主要用于军事通信和国家安全事务，并无法律规制方面的问题，而是军政机构的内部管理问题，且普遍采取严格管控的态度。《个人信息保护法》虽然并未处理此问题，但这种张力及其平衡在《数据安全法》以及一系列数据政策当中明确地体现出来。

马民虎、赵婵、冯立杨、王新雷：《商用密码管制：从对立到包容之趋势分析》，载《信息网络安全》2009年第2期，第60-62页、第69页。进出口管理是各国密码规制的重要制度之一。

有本法第十八条第一款规定的情形，或者告知将妨碍国家机关履行法定职责的除外。这场战争最终以美国政府退缩而告一段落，由此也型构了当代美国密码的规制体系。在以上双重意义上，密码是网络信息系统的保护锁。欧盟的做法虽然并未规定数据控制者和处理者的违法责任，但也为其处理数据中使用加密技术提供了明确的方向。

关键词:  密码法 信息安全 个人信息 保护规制 一、导言 密码是保护信息未经授权而无法获得的技术。一种算法是否能够达到此种程度，取决于现有的人类算力。

[70]技术界人士已经有此提议。因此，在涉及恐怖主义的案件中，电信业务经营者和互联网服务提供者具有协助解密义务。

[51]具体而言，该技术通过对于个人信息的加密，可以实现在原始数据留存本地的基础上，通过技术化手段只输出切片、标签化、脱密后的梯度和参数等信息满足去标识化的要求，使得其他数据处理者不能够复原数据中包含的个人可识别信息，从而实现数据流动和他者的联合开发。[64] 以2016年Apple v. FBI案为例。

作者简介：刘晗，法学博士，清华大学法学院副教授。商业密码则是用于企业、组织和个人，涉及非国家秘密的信息。加密技术同时关乎公司和个人的信息安全的，需要加以适度规制，以保护社会公共利益和个人合法权益。究其实质，个人信息保护需要放在数字经济的大格局下进行定位，因此存在与促进数据流通、跨境流动和开发利用等问题的潜在张力。

[52] 然而，以隐私计算为代表的新兴数据处理技术却面临着法律评价上的不确定性。荷兰政府则在2016年表示不会强迫密码公司留后门。

[38]从技术角度而言，在20世纪90年代美国进行密码圣战的时代，中国现代密码学的发展仍然处于起步阶段，基本停留在对称密码技术。此种备用密钥系统也对个人用户的密码使用权利有所帮助，它可以协助用户在丢失私钥之后解决问题。

行政法规包括《商用密码管理条例》（国务院令第273号）《技术进出口管理条例》（国务院令第732号）和《国务院关于取消一批行政许可事项的决定》（国发〔2017〕46号）。这反倒会导致网络信息安全赤字。