电子商务领域的密码法律理念与价值思考

江智茹，冯立杨

(1．西安交通大学 信息安全法律研究中心，陕西 西安 710049;2．重庆市移动通信公司，重庆 400021)

电子商务是网络化的新型经济活动，其正在以前所未有的速度迅猛发展，并已成为主要发达国家增强经济竞争实力，赢得全球资源配置优势的有效手段。电子商务赖以存在和发展的基础就是其安全性，密码作为电子商务最底层的信息安全保障，它的发展水平和运用程度直接决定电子商务的安全状况，影响电子商务的发展。目前，密码已经越来越多地被应用于商业与私人领域的电子商务中，电子签名、身份认证、数字时间戳等电子商务基础应用对密码的需求日益旺盛。面对公众对电子商务中隐私保护的密码需求，世界各国掀起了密码法律变革的浪潮，并引发了电子商务领域密码法律理念的革新及对电子商务领域密码法律价值的再次思考。

一、电子商务领域密码法律理念的革新

电子商务的发展对强调政府作用的保守主义密码法律理念造成了极大的冲击，并随之引发了电子商务环境下密码法律理念的两大革新:从强调密码严格管制的“绝对国家安全观”转变为倡导密码自由开放的“动态国家利益观”;而随着密码技术与电子商务发展的高度融合，电子商务立法中的“技术中立”思想也逐渐渗透到密码法律制度中。

(一)动态国家利益观

密码法律的动态国家利益观，即是密码法律立足于国家整体需求的内部结构对待国家利益与企业、个人之间利益关系的基本立场。所谓国家利益，可以有多种不同的解释。美国著名现实主义理论家摩根索认为，国家利益具有复杂多变性，因而不能赋予它一个永久固定不变的含义。［1］按照这样的观念，国家可以在不同的时间和条件下赋予国家利益不同的内容。也就是说从国家需求的角度对国家利益的动态考察和分析，使其具有了更广阔的解释空间。动态国家利益观重视国家利益内部结构的变革或调整。纵观人类社会的发展历史，一个国家在不同的历史时期会有不同的国家利益需要。譬如，当一个国家面临生存威胁时，它的安全利益就显得特别突出;当一个国家的安全有了一定保障之后，它的发展利益便会凸显出来。

冷战时期各国将国家政治安全和军事安全视为最重要的国家利益，因此强调“绝对国家安全”以实现国家利益的最大化，这一思想体现在密码法律制度中就是国家对密码的严格管制。信息时代的国家利益观不再仅仅关注国家的政治利益和军事利益，它还包括经济利益、科技利益、文化利益等新的内容，从而构成了国家利益的综合体系。信息时代的动态国家利益观摒弃了“绝对安全”的思想，将国家利益植于和平、合作实现“相对安全”约束下的可持续发展。其精髓在于以国家发展利益为基点，实现技术共同进步、经济共同繁荣。

动态国家利益观以包容而非对立的思想调整公权与私权之间的关系，其具体表现是承认密码的社会选择性①社会选择性，即社会对技术研发、应用的扬弃，技术进步能否以及如何实现最终要由社会做出选择。社会选择形式主要有三种，即市场选择、政府选择和文化选择。参见秦喆．论技术与国家利益及其关系［D］．沈阳:东北大学，2005:54－55。以及对私权益保护的自助性②自助性是指私权主体可以自由选择使用何种密码保护自己的权益。。密码的社会选择性是密码技术合乎国家利益的一种市场、政府和文化选择的实践。2000年6月23日，欧盟部长理事会采用了新的密码出口政策，促进密码技术与产品在欧盟内部及其重要贸易伙伴国之间的流动以抢占日益增长的密码市场。对此，美国政府于2000年7月17日做出了快速反应，着手修改对欧盟及其贸易伙伴的密码出口监管政策，这些修改内容都与欧盟密码出口政策的修改相对应，并且保持了“促进电子商务发展，保护隐私权，维持美国工业在信息安全技术方面霸主地位”的基本精神。［2］

密码的自助性则主要体现在“私权益”的自我保护方面。电子商务所面临的安全问题最主要的就是数据的保护。在网络的开放环境中，电子商务企业的数据安全面临着严峻挑战，对电子商务服务商信息系统的侵入不仅会使企业各项商业数据泄露，造成企业重大经济损失，而且由于电子商务服务商掌握大量消费者的个人数据，因此非法第三方会籍此收集与利用消费者的个人数据，侵害消费者隐私。电子商务中对消费者隐私的侵害还有可能通过对消费者个人终端的入侵实现，因此在电子商务活动中，包括服务商与消费者在内的各个市场主体都会主动采取各种措施保护数据安全与个人隐私，而市场主体对私权的主动保护也是法律赋予他们的基本权利。

动态国家利益观的核心思想则是密码技术所引发的国家安全利益、社会经济发展利益和个人隐私安全利益之间的矛盾并非不可调和。在数字经济决定国家核心竞争力的时代，国家发展利益成为国家利益中的优先利益。密码技术进步与应用在数字经济中的作用举足轻重，促使国家从政策法律层面做出变革，将严格管制密码的传统“冷战”思维，转变为适度开放密码、保护隐私和贸易安全以及促进经济发展的新国家利益观，以适应国家以发展利益作为首要利益的客观要求。密码技术的进步与国家利益之间的一致性是导致国家利益要素重整的重要原因。以数字技术为核心的互联网变革，极大地推动了世界经济的发展，在促使经济全球化和一体化程度日益加深的同时，也使以经济为基础的综合国力的竞争成为国际竞争的焦点。

密码的商业使用和发展体现了非军用密码的需求，是信息安全市场增长的重要因素。基于动态国家利益观，国际上的密码管制法律也做出了相应的调整，促进了密码应用范围的逐步扩大、密码研究领域不断拓宽，密码科研也从专用机构走向社会和民间。同时，通过消费者的市场选择，对密码技术进行优胜劣汰，激励技术创新和进步，可以实现密码技术和国家发展利益的良好互动。因此，密码对经济社会发展的保驾护航作用，以及社会成员隐私保护对密码技术的需求，使得密码技术成为国家经济竞争实力和生存能力的重要组成部分。

(二)技术中立的法律理念

法律的技术中立是指法律应当对交易使用的技术手段一视同仁，不应把对某一特定技术的理解作为法律规定的基础，而歧视其他形式的技术。［3］它包含两层含义:第一，只要在实质上不是用于侵权的技术手段都是合法的;第二，法律不选择特定技术，鼓励技术自由发展，包括不同国别的技术。这一原则实质上赋予消费者自由选择技术的权利:消费者有权根据自己的选择安装软件和接受服务;消费者有权根据自己的选择连接不对网络构成损害的合法设备;消费者有权选择网络供应商、应用软件与服务提供商以及内容提供商。市场是技术优胜劣汰的最终决定力量，如果法律不遵循技术中立的理念，一旦法律选择的技术遭到市场的抵制，无疑会对法律的公信力和严肃性造成巨大打击，法律将无法实际执行，这是每一个法律制度设计者都不愿看到的情形。法律应该做的是为技术提供各种发展的可能性，为市场创造一个公平的竞争环境。

早在1999年，美国联邦通信委员会主席William·E·Kennard就说过，实行互联网发展市场化就要把握市场发展的三大驱动力:竞争、投资和技术中立。电子商务法对传统的口令法、以及非对称性公开密钥法，以及生物鉴别法等认证方法，都不可厚此薄彼，产生任何歧视性要求;同时，还要给未来技术的发展留下法律空间，而不能停止于现状，以至否定了未来技术发展进步的可能性。不论电子商务的经营者采用何种电子通讯的技术手段，其交易的法律效力都不受影响。

密码法律中的技术中立具体表现为两个方面:首先，密码主管机关与标准化组织在确定密码算法时应当遵循技术中立;其次，消费者和电子商务服务商可以根据需要自由选择密码产品。目前，世界主要国家和地区对密码算法的征集都是公开进行。各种密码算法通过评估后向社会公布，由厂商根据算法自由开发密码技术和密码产品。法律并不强制选择某一种算法或某几类技术与产品。美国国家标准技术研究院 (NIST)自1997年开始在世界范围内征集新的数据加密标准——高级数据加密标准 (AES)。在选拔初期AES的候补共有15种方式，2000年3月减少至5种方式。这5种方式包括美国IBM公司的“MARS”、美国RSA Laboratories的“RC6”、比利时的 “Rijndael”、英国、以色列、挪威等公司的“Serpent”、美国的“Twofish”等。日本NTT的“E2”曾经在初选阶段被选为AES的候补，但未能入选最终候补。经过3年多的反复选拔，被选定的密码算法为“Rijndael”，提案者为比利时的 Joan Daemen和Vincent Rijmen。从中我们可以看到，美国在征集密码算法时并未采取保护特定技术尤其是本国技术的做法，最初入选的方案既包括美国的技术也包括欧洲的技术甚至亚洲的技术，最终入选的算法也由比利时人提出，而不是美国本国研究人员的算法，充分体现了密码算法征集技术中立的原则。

电子商务环境下密码法律制度要坚持技术中立还必须赋予消费者和服务商自由选择密码的权利，这是消费者自由选择权在密码法律中的具体体现。只要不是用于侵权或损害国家、社会利益的非法密码，都应该属于消费者和电子商务服务商自由选择的范畴。消费者和电子商务服务商的安全需求是不同的，具体到每一个消费者和电子商务服务商都会有自己的信息安全需求，只有赋予他们自由选择密码产品的权利，提供多元化的密码产品才能更好地满足他们的需要，避免造成“密码实质民主化”的法律困境①“密码实质民主化”法律困境:用户对法律所选技术进行各种方式的规避，使法律形同一纸空文并造成密码滥用对国家信息安全构成严重威胁。，出现密码产品超出需求造成资源浪费和产品不能满足需求安全无法保障的情况。

因此，法律的调整范围不应无所不包，应当“市场的归市场，行政的归行政”。密码法律制度的作用在于建立自由、开放、公平的密码市场，发挥市场在密码资源配置中的基础性作用，尊重用户的自由选择权，促进密码技术的进步和电子商务的发展;密码法律的作用还在于建立必要的市场准入机制，确保密码的安全性、可靠性，避免存在重大安全隐患的密码流入市场，保证用户的信息安全，提升国家的信息安全保障能力，降低密码自由化的负面影响。

二、电子商务领域密码法律的价值

任何法律的制定都应有明确的目标性，都应当有自己的价值目标和价值取向。电子商务领域的密码法律制度的价值目标包括三个方面:其一，维护国家信息安全;其二，保护消费者隐私权;其三，推动密码商务的应用，促进电子商务的发展。这三大价值目标分别体现了国家、个人和社会的利益，其实质是法律安全价值、自由价值、效率价值的统一。要实现这三者的价值平衡必须正确处理“安全”与“发展”的关系，既要“安全”又要“发展”，不可偏废其一。

(一)维护国家信息安全

信息时代的国家安全观不再仅仅关注国家的政治安全和军事安全，它还增加了包括社会安全、经济安全、科技安全、文化安全在内的新内容，从而构成了“新国家安全观”的综合体系。“新国家安全观”将国家安全从传统的领土和主权空间拓展到社会生活空间、经济活动空间，共同形成了互联网环境下国家安全的三维空间结构。由于互联网的开放性和信息的流动性，信息安全风险实际上不可能被完全消除，信息安全事故也不可能完全避免，我们只能通过各种技术手段降低信息系统受攻击的可能性，将信息安全风险尽量降至最低，尽量减少信息安全事故造成的损失。互联网时代的“新国家安全观”摒弃了传统国家安全观追求“绝对安全”的思想，强调安全风险的可控性，认为可以通过风险回避、损失控制、风险转移和风险保留的形式有效控制信息安全风险，将国家安全的实现立足于“相对安全”约束下的可持续发展。

电子商务领域的密码法律制度要实现维护国家信息安全的价值目标就必须推动密码开放与自由，通过促进密码技术的进步和优良密码产品的应用来提升个人信息安全的保障能力，这样才能从整体上降低国家信息安全的脆弱性。单纯依靠对密码的专控管理无法满足电子商务对密码的巨大需求，这就使电子商务领域的个人信息安全面临更多的风险，削弱了整个社会对信息安全风险的抵御能力;将密码技术作为国家秘密加以保护的方法，不利于密码研究的开展和密码技术的进步，对市场机制的排斥也使密码产品的更新换代与升级缺乏动力，这些都从根本上降低了国家的信息安全保障能力，最终损害的是国家信息安全。不得不说，以维护国家信息安全为出发点的密码专控管理制度在信息时代来临、电子商务兴起的背景下脱离了技术、经济与社会发展的客观实际，恰恰违背了维护国家信息安全的要求。

(二)保护消费者隐私

信息时代，特别是在电子商务活动中，隐私主要通过个人数据的形式表现出来。当消费者从事在线电子交易时，如何确保数据传输的完整性、保密性是电子商务面临的重大问题。如果消费者的个人数据安全无法得到保证，将会使消费者丧失对电子商务的信心，电子商务的发展也就无从谈起。在实践生活中，人们所选择的电子商务需要具备两个条件:第一，信息机制，即消费者可以通过电子商务迅速获得大量信息，同时其获得的信息比其他服务更快、更方便、更透明;第二，信任机制，即电子商务能为人们提供隐私保障，消费者的个人隐私不会在电子商务活动中泄露。因此，保护消费者隐私成为电子商务法所必须追求的价值目标，这不仅是电子商务存在和发展的基础，也是消费者具体人格权在电子商务法中的具体体现。

在保证电子商务消费者隐私方面，密码是最为核心和根本的技术。密码技术保证了交易信息的保密性，也解决了用户数据被盗取的问题;数字签名实现了对原始报文完整性的鉴别，并与身份认证和审查系统相结合，从而杜绝了对交易的伪造和抵赖行为。从这个意义上讲，密码的技术特征决定了它能够从根本上巩固电子商务的信息机制与信任机制，成为电子商务建立和发展的基础。密码在电子商务中的广泛应用提升了消费者隐私保护的水平。

由于密码在电子商务中与消费者的隐私保护息息相关，所以密码法律制度必须体现保护消费者隐私的价值目标。电子商务发展中所产生的公众对密码的需求，正是社会信息化过程中公民实现隐私权的表现形式。消费者通过密码对隐私进行主动保护是消费者的自由和权利，密码法律制度以保护消费者隐私为价值目标，是对消费者权利的尊重和法律自由价值的体现。

目前，对于密码与消费者隐私保护的问题，存在强制密钥托管、密钥恢复和市场选择、市场驱动两种思路。市场选择、市场驱动理论认为，任何形式的密码注册、密钥托管、密钥恢复都将直接侵害公民隐私权。［4］因为这种形式的密码管理制度将使执法机关可以任意访问网络与监听数据，无疑会使公众的自由受到侵害，从而严重打击消费者参与电子商务的信心，不利于电子商务的发展。而放松密码管制能够促进密码市场的发展，由消费者自由选择密码保护个人数据，能够建立消费者对电子商务的信任，进而推动电子商务的发展。强制密钥托管、密钥恢复理论认为，为确保国家安全，必须赋予执法部门较强的解密能力和监听加密信息的权力，以降低密码被用于计算机犯罪和危害国家安全的风险。

我国现有密码法律制度受“绝对国家安全观”的影响，忽视了密码市场的发展和公民个人权利的保护，不利于电子商务信息机制与信任机制的建立和电子商务的发展。在电子商务领域，密码法律制度应当更加注重发挥密码在保护消费者隐私方面的重要作用，赋予消费者自由选择密码的权利，以促进对消费者隐私权的保护，进而形成良好的电子商务信息机制和信任机制，推动电子商务更快更好地发展。

(三)促进密码商务应用

实现电子商务的关键是要保证商务活动过程中信息系统的安全性，即应保证基于互联网的电子交易与传统的交易方式一样安全可靠。从安全和信任的角度来看，传统交易的买卖双方是面对面的，因此比较容易保证交易过程的安全性和建立起相互信任的关系;但在电子商务的交易过程中，交易双方是通过网络联系的，由于从交易的开始到结束都不会直接接触到对方，因而建立交易双方的安全和信任关系非常困难。由于互联网的开放性，电子商务交易双方都面临未知的安全风险，一旦发生信息安全事故，电子商务的参与者将会对电子商务的安全性产生怀疑，从而放弃使用电子商务。因此，要维系电子商务的发展就必须确保电子商务交易中信息的真实有效性、完整性、可靠性、不可抵赖性和可鉴别性。密码的应用无疑是实现上述要求的最佳途径。

密码用于电子商务通常有两种形式:面向网络和面向应用服务。面向网络的密码技术通常工作在网络层或传输层，使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息，从而保证网络的连通性和可用性不受损害。在网络层上实现的密码技术对于网络应用层的用户通常是透明的。此外，通过适当的密钥管理机制，使用这一方法还可以在公用的互联网络上建立虚拟专用网络并保障虚拟专用网上信息的安全性。面向网络应用服务的密码技术的使用则是目前较为流行的密码应用方式，例如电子邮件加密。电子商务中从数字摘要、电子签名到数字时间戳、数字凭证的各个环节都需要密码技术的支撑，因此促进密码的商务应用就成为电子商务发展的必然要求。密码法律制度要有效促进电子商务的发展就必须以促进密码商务应用为其价值目标。

随着电子商务对密码需求的日益增长，密码产业已经成为蓬勃发展的新兴产业，IBM、英特尔等国际信息产业巨头无不把密码的研发和应用视为新的利润增长点和占领电子商务市场的最重要的手段之一。促进密码的商务应用，大力发展密码产业不仅是发展本国电子商务的需要，也是参与国际密码市场竞争的要求。在电子商务领域忽视密码的商务应用只会导致以下两种情况的出现:其一，国内电子商务发展对密码的巨大需求所产生的市场由于本国密码产业的萎靡而被国外厂商占领，从而使本国密码产业处于被国际市场边缘化的地位，密码技术的发展受到严重阻碍，削弱了国家的信息安全保障能力;其二，坚持国家对密码的严格专控管理，导致本国电子商务发展中密码的“实质民主化”，使电子商务缺乏长期稳定的信息安全保障而停滞甚至倒退。因此，电子商务领域的密码法律必须以促进密码商务应用为其价值目标之一，推动密码的产业化、市场化，通过市场竞争促进密码技术的进步和密码产品的升级，为互联网经济的发展和国家的信息安全提供保障。

(四)密码法律制度的价值平衡

电子商务领域的密码法律制度具有多重法律价值，体现国家、社会和公众的多重利益，因此会不可避免地出现利益的冲突和价值的相悖。这种冲突与相悖本质上是公权和私权的冲突与协调问题，应当从公权和私权的妥协中寻求平衡，满足国家、社会和公众的密码需求。一方面，需要从国家利益的高度出发，对涉及国家机密的密码实行特定程度的专控，加强对关键基础设施领域的密码保护;另一方面，需要鼓励将密码用于保护公民隐私，确保公民合法数据的加密传输，这要求对执法部门的密钥托管、密钥恢复进行限制，制定严格的审批和执行程序;同时对利用密码进行危害网络信息安全的行为进行打击。

密码法律制度价值平衡的核心问题概而言之就是“安全”与“发展”的关系问题。没有发展的安全是没有意义的安全，安全必须以为发展提供保障、促进发展为目标。发展也要以安全为基础，脱离安全的发展是畸形的发展、不可持续的发展。电子商务的发展也是如此，在电子商务成为国民经济重要组成部分的今天，我们不可能无视电子商务对推动经济增长和社会进步的积极作用，舍弃电子商务的发展。维护国家信息安全固然是我国密码法律制度的重要价值目标，但是一味强调国家“绝对安全”而停滞电子商务的发展，在全球化、信息化和信息经济发展日新月异的时代难免得不偿失。电子商务的发展也不能脱离信息安全的保障，如果没有国家的信息安全，电子商务赖以存在和发展的信息机制与信任机制将难以建立，即使电子商务在短期内可以快速发展，但也会因信息安全的缺位而丧失发展的动力源泉和根本保障，难以实现全面、协调、可持续发展。

“安全”与“发展”的矛盾并非不可调和，在电子商务领域，二者统一于密码之中。首先，在网络环境中，国家信息安全不仅包括电子政务、关键基础设施的信息安全，还包括社会信息安全、个人信息安全等多个层面。国家信息安全在电子商务中的实现应当以社会和个人信息安全的实现为基础。密码是信息安全的关键技术，电子商务服务商、消费者信息安全的实现都要依赖于密码的保障。这决定了在电子商务领域密码成为提升国家信息安全保障能力的重要手段。其次，电子商务的存在和发展是以其特有的信息机制和信任机制为基础的，而密码是电子签名、数字凭证、数字时间戳等各个电子商务应用的技术基础，可以说电子商务的发展是以密码技术的发展为基础的，密码的应用保证了电子商务的持续、健康发展。因此，电子商务中维护国家信息安全和保障电子商务发展都离不开密码的支撑，密码的发展将这二者有机地融合到一起，这也成为电子商务领域密码的一大特性。

电子商务领域的密码法律的制度设计必须充分体现密码的这一特性，发挥密码在保障国家信息安全和促进电子商务发展方面的重要作用，实现“安全”和“发展”的有机统一，这样才能实现密码法律制度多个价值目标的平衡。

［1］杜宝贵．技术与国家利益问题研究述评 ［J］．科技进步与对策，2008，(1):164．

［2］马民虎．美国密码出口监管政策的“欧盟”现象［J］．信息网络安全，2002，(3):34．

［3］董颖．技术中立与非中立性技术应用——评中国P2P第一案 ［J］．电子知识产权，2007，(4):46．

［4］TG Hartman．The Marketplace VS The Ideas:The First Amendment Challenges to Internet Commerce［J］．Harvard Journal of Law ＆ Technology，Volume12，Number2，1999:36．