我国密码法律体系架构研究

肖志宏

(北京电子科技学院管理系 北京 100070) (xzh@besti.edu.com)

2017年4月13日，国家密码管理局将《中华人民共和国密码法(草案征求意见稿)》(下称《密码法意见稿》)向社会公布，公开征求意见[1]，表明我国密码法的建设尚处于起步阶段，也还不完善.基于以上认识，本文试图在梳理现有法律的基础上，构建一个以密码为核心的法律规范体系架构，为将来进一步的密码立法提供指引.

1 什么是密码法律体系架构

1.1 什么是密码

根据《密码法意见稿》第3条规定：密码是使用特定变换对数据等信息进行加密保护或者安全认证的物项和技术.也就是说密码是技术和物项的结合体.物项是指具有物质形态的事项.根据世界知识产权组织(WIPO)1977年版《供发展中国家使用的许可证贸易手册》的解释，技术指的是“制造一种产品的系统知识所采用的一种工艺或提供的一项服务，不论这种知识是否反映在一项发明、一项外观设计、一项实用新型或者一种植物新品种，或者反映在技术情报或技能中，或者反映在专家为设计、安装、开办或维修一个工厂或为管理一个工商业企业或其活动而提供的服务或协助等方面.”可见，技术是关于产品制造的一种系统知识，或是所采用的一种工艺，或是提供的一项服务.

1.2 什么是密码法律体系架构

在法学理论中，法律体系架构可以简称为法律体系，又称部门法体系，是指由根据一定的标准或原则将一国制定和认可的现行全部法律规范划分成若干的法律部门所形成的有机联系的整体[2].法律体系中的各种部门法，可以根据其调整的对象或法律关系不同分为不同的级别，例如一级部门法主要有：宪法；民商法；行政法；刑法；诉讼或非诉讼程序法.民商法之下又可以分次一级部门法，如：民法；商法；婚姻法；继承法；知识产权法等.需要说明的是，一级部门法具体包括哪些，次一级部门法又包括哪些，各学者有不同的看法，但总体来说共识部分多，分歧部分少.

密码法律体系架构就是指围绕调整密码(产品和技术)的研究、开发、生产、权利保护、监管等事项所形成的各部门法律有机整体框架和体系.本文将从应然和实然的视域来分析我国密码法律体系架构.

1.3 密码法律涉及的法律关系

法律关系是指在法律规范调整社会关系的过程中所形成的人们之间的权利和义务关系[3].法律关系包括3个要素，即主体、内容和客体.

密码法律所涉及的法律关系，也就是法律规范调整与密码相关的社会关系的过程中形成的权利和义务关系.主体包括政府、企业和个人.例如：政府对核心密码的管理权力以及占有使用之权利；企业对商用密码的开发、占有和使用之权利；个人对私人密码的占有使用之权利；如前所述，内容方面就是主体享有对各种密码或密码产品的管理权力、占有和使用之权利等；客体，就是密码或密码产品，但是在具体的法律关系中可以表述不同，例如：在知识产权保护关系中，密码可以表述为一种智力成果；在对密码载体的管理关系中，密码作为客体可以表述为物；在对密码管理关系中，客体就是密码管理行为.

笔者认为，从密码所涉及法律责任形式看，主要涉及刑事、行政和民事法律关系，其中行政关系是主要的.

2 从应然视域看我国密码法律体系

2.1 与密码相关的法律形式和类别

结合法律理论，从法律渊源角度看，我国密码法的法律渊源应该包括宪法、法律、行政法规、行政规章、法律解释(包括立法解释和司法解释)，如图1所示；但主要的渊源是行政法规和行政规章.从法律内容适用的范围看，我国密码法应该包括一般法和特别法，如图2所示.一般法就是调整与密码有关的具有普遍性、一般性的社会关系的法律，如密码法；特别法就是调整与密码有关的特殊领域内的社会关系的法律，如：密码进出口法律规范、商用密码管理规范等.

图1 法律渊源

图2 一般法与特别法分类

2.2 我国密码法律体系应该包括哪些法律规范

1) 首先应该有一个关于密码的一般法，该法涉及密码的各种社会关系的一般性规定.例如：密码技术和产品的研究开发、使用、销毁、权利保护、监管机制、法律责任等.现在《密码法征求意见稿》就属于一般法的范畴.

2) 涉及密码的各种社会关系应该有专门的法律规范.这部分规范从法律渊源看，应该主要属于行政法规或行政规章，也有少部分属于民事法律规范.具体来说，应该包括且不限于以下一些法律规范：

①密码技术标准规范；

②分类别的密码管理规范；

③密码进出口管理规范；

④密码产品生产规范；

⑤密码保密规范，如保护国家秘密规范、保护商业秘密规范和保护个人信息(包括密码)规范；

⑥分领域的密码技术应用、使用管理规范；

⑦密码产品或技术的知识产权保护规范，如知识产权制度规范、政府奖励制度规范和企业奖励制度规范；

⑧密码工作人员管理规范；

⑨密码工作培训规范.

3 从实然视域看我国密码法律体系

从实然的角度来看我国已经围绕密码制订了哪些法律，并已构成一个什么样的体系.

1) 首先，密码法的一般法即《密码法意见稿》已向社会公开.

《密码法意见稿》规定了密码的工作原则和管理工作体制、分类管理、应用管理、密码安全管理、监督管理以及密码事业的促进发展管理等内容.在更宏观层面，与密码有紧密关系还有以下5个法律：《国家安全法》《网络安全法》《电子签名法》《保守国家秘密法》《反恐怖主义法》.与密码的相关性表现如下：

① 《国家安全法》：基于保护国家安全的原因，执法机关可以查询或破解各种密码信息；

② 《网络安全法》：基于保护网络安全的原因，执法机关可以查询或破解各种密码；

③ 《电子签名法》：基于对电子签名的法律效力的确认，法律保护密码的安全；

④ 《保守国家秘密法》：保护与国家秘密有关的密码的安全是保守国家秘密的重要内容之一；

⑤ 《反恐怖主义法》：基于反恐怖主义的原因，执法机关可以查询或破解各种密码.

2) 已经出台大量的密码技术标准.

3) 商用密码管理方面，已经形成了以《商用密码管理条例》为核心法律体系.

《商用密码管理条例》是商用密码管理的基本依据,共分总则、科研、生产管理、销售管理、使用管理、安全、保密管理、罚则、附则等，计27条.

依据《商用密码管理条例》确立的基本原则,国家密码管理局又先后制定出台《商用密码科研管理规定》《商用密码产品生产管理规定》《商用密码产品销售管理规定》《商用密码产品使用管理规定》《境外组织和个人在华使用商用密码产品管理办法》《电子认证服务密码管理办法》《商用密码产品有效期管理规定》等专项管理规定,共同形成商用密码管理法规体系[4].

4) 密码进出口管理方面，已出台的有：《密码产品和含有密码技术的设备进口管理目录》(由国家密码管理局海关总署联合发布)[5].

5) 对密码知识产权保护的规范，有《专利法》《商标法》等.

例如：《专利法》第4条规定：“申请专利的发明创造涉及国家安全或重大利益需要保密的，按照国家有关规定办理.”

6) 对个人信息(包括密码)的保护，有《刑法》《民法典(总则)》《侵权责任法》等.

例如刑法第253条：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的处3年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处3年以上7年以下有期徒刑，并处罚金(第1款).违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚(第2款).窃取或者以其他方法非法获取公民个人信息的，依照第1款的规定处罚(第2款).单位犯前3款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚(第4款).”

2017年3月15日通过的《民法典》(总则部分)第111条规定：“自然人的个人信息受法律保护.任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息.”

4 期待解决的密码立法规范及相关问题

如今已经迈入信息社会，密码工作在社会中越来越突出和重要，这就对科学、合理、系统的密码法律规范提出了要求.而我国密码法律体系尚未确立，我们期待在政府和学界的共同努力下，本着严谨务实的基本原则，逐步解决以下相关立法规范以及其他相关问题，促进我国科学的密码法律体系早日形成.

第一，尽快制订出台密码一般法.目前《密码法意见稿》已公开，相信明年密码法将会出台.

第二，以一般法为基础，逐步完善与密码相关的各种法律规范.目前我国政府已经制订与密码相关规范比较零散，缺乏系统性，同时也还有许多方面的内容阙如，如密码人才培训规范、管理规范.

第三，借鉴欧美先进国家对密码的管理经验和立法执法经验，做到以我为主，为我所用.

第四，制订激励措施，鼓励更多的学术工作者进入密码法律规范研究领域.目前来讲，我国这方面人才极为缺乏，相关学术文献更是十分稀缺，内容更新慢.据笔者所知，目前国内密码法律研究的主要机构是西安交大法学院，重要学者有马民虎教授等，他们的发表的重要学术论文及年份，见本文参考文献所列[6-16].