31、密码战争 II（1991 - 2002）：加密技术的法律与政治博弈

密码战争 II（1991 - 2002）：加密技术的法律与政治博弈

1. 计算机代码的宪法保护

计算机源代码是否受宪法第一修正案保护，这在当时引发了激烈的讨论。法官马丁认为，源代码作为计算机编程中信息和思想交流的“表达手段”，应受第一修正案保护。他指出，就像大多数公众看不懂乐谱，但乐谱是音乐家之间的交流方式一样，许多人虽看不懂计算机源代码，但它是程序员之间首选的交流方法。

这一判决意义重大，联邦上诉法院首次判定计算机编程语言应受第一修正案保护，将这种保护扩展到了一种新的表达媒介。然而，宪法对计算机代码的保护程度仍是一个活跃的辩论话题。随着计算技术的不断进步，加密技术的监管面临新的挑战，例如 3D 打印机使代码能够生成枪支，这超出了国家的监管范围，未来围绕计算机代码宪法保护程度的争议可能会进一步加剧。

2. 国会中的加密战争

2.1 国会态度的转变

到 20 世纪 90 年代中期，国会已成为加密战争的战场。过去，安全情报机构在这场战争中一直占据上风。但 1996 年发布的 CRISIS 报告，广泛倡导加强加密和放宽出口规则，标志着局势开始逐渐转变。

总统国家安全顾问在 1994 年末下令对加密出口政策对美国软件行业的影响进行报告。NSA 和商务部合作完成的这份报告于 1996 年发布。报告显示，加密软件仅占软件市场的 1 - 3%，但有显著的增长预期。报告认为，美国出口管制对通用产品国际市场份额的影响可能微不足道，因为客户往往不了解产品中的加密功能，主要根据产品的主要功能（如文字处理或数据库）进行购买，而且通用加密产品几乎没有“可行的外国竞争对手”。不过，由于出口法律，许多小型安全特定软件公司选择只在国内市场销售。尽管政府报告持这种观点，但国会的态度正在发生变化。

技术部门游说力量的增长是国会逐渐走向自由化的一个重要因素。20 世纪 90 年代初，少数科技公司的主导地位引发了对其是否具有反竞争性的质疑，微软在 1990 年成为反垄断调查的目标。科技行业意识到需要在华盛顿增强影响力，以应对加密等挑战。随着科技游说者的努力和行业经济实力的增强，国会议员开始关注科技公司面临的问题。

2.2 早期的立法尝试

20 世纪 90 年代初，国会就加密相关话题举行了多次听证会，如数字电话法案。一些立法尝试，如在 S.266 中插入“国会意见”语言，试图让政府有权访问加密数据的明文，但这些立法都没有取得进展。

著名密码学家向国会作证，阐述加密技术的战略社会政治影响。PGP 发明者菲尔·齐默尔曼在 1993 年向众议院经济政策、贸易和环境小组委员会发表讲话。他指出，计算机最初是在二战期间秘密开发用于破解敌方密码的，政府对加密技术的态度源于那个时期，并且至今仍然存在。他还解释了数字革命正在侵蚀人们的隐私，过去政府侵犯公民隐私需要付出大量努力，而现在电子邮件更容易被拦截和扫描关键词，这对民主构成了威胁。齐默尔曼认为，在信息时代，只有强大的加密技术才能保护隐私。

2.3 出口管制列表的调整

控制危险或两用出口的两个主要立法工具是国务院的军需品清单（《武器出口控制法》的一部分）和商务部的商业管制清单（《出口管理法》的一部分）。随着清单内容逐渐重叠，1990 年 11 月，布什总统下令对重叠的两用物品进行审查，意图将它们从军需品清单中移除，除非它们对国家安全构成重大风险。

国务院主导了跨部门审查，以确定哪些物品应转移到商业管制清单。具有加密功能的大众市场软件是审查的项目之一。最初，1991 年 4 月，国务院和国防部同意将具有加密功能的软件保留在军需品清单上，以便 NSA 审查所有此类产品。但到了 1992 年 1 月，国务院改变了立场，认为商务部可以管理大众市场软件，而国防部则反对，认为商务部缺乏管理加密的控制系统。NSA 向国务卿国际安全事务助理和总统国家安全事务助理呼吁，维持由国务院进行控制，最终政府同意了这一请求。

为了放宽出口规定，加利福尼亚州的民主党众议员梅尔登·莱文在 1991 年《出口管理法》的重新授权中增加了一项修正案，将具有特定技术特征的大众市场软件的管辖权从国务院转移到商务部。莱文受到软件出版商协会（SPA）的鼓励，但布什政府威胁要否决该法案，除非移除该修正案。尽管修正案被撤回，但莱文的行动进一步促使国家安全委员会和 NSA 做出妥协。

2.4 早期的出口协议与加密脆弱性

1992 年 7 月，SPA 与布什政府达成协议，允许出口罗恩·里维斯特的 40 位加密算法 RC2 和 RC4。SPA 总法律顾问伊琳·罗森塔尔认为这是放宽大众市场加密软件出口管制的重要第一步，但国家安全局和国家安全委员会需要继续推进放松管制的进程。国家安全委员会还同意每年与软件行业代表会面两次，考虑进一步的出口自由化。

然而，40 位的 RC4 加密算法被证明越来越脆弱。1995 年，法国的达米安·多利热兹用约 120 个工作站在八天内破解了一个 40 位 RC4 加密的消息。1996 年 1 月，麻省理工学院的本科生安德鲁·特怀曼用一台价值 83,000 美元的图形计算机在同样的八天内完成了相同的任务。密码学教授基思·马丁认为，在 20 世纪 90 年代初，NSA 认为对 40 位密钥进行穷举搜索是可行的。

2.5 1996 年的立法动态

随着 20 世纪 90 年代加密战争的加剧和公开化，国会提出了一系列法案。1996 年 3 月，佛蒙特州的民主党参议员帕特里克·莱希提出了参议院法案 S.1587，即《加密通信隐私法》（ECPA），众议院也提出了配套法案。该法案允许美国人使用任何加密算法、密钥长度和实现技术，授予商务部长控制加密出口政策的权力，允许在海外有类似能力的情况下无密钥托管的免许可证出口，并将利用加密实施犯罪定为刑事犯罪。法案还为密钥托管提供了法律框架，但使用是可选的。

ECPA 得到了数字隐私社区的不同反应。一些组织和个人表示支持，认为这是打破加密技术束缚的重要一步，拒绝了克林顿政府的侵入性和不可行的政策。然而，随着数字权利社区对法案的详细分析，发现了一些语言歧义，引发了对执法部门如何解释文本的担忧，许多人开始反对该法案。一些人认为法案过于宽泛，包含了与出口无关的问题，如密钥托管和国内犯罪活动中的加密使用，这可能会使出口管制的放松与更具争议性的问题纠缠在一起。

1996 年 5 月 2 日，莱希宣布成为第一位使用 PGP 对发布到互联网上的消息进行签名和加密的国会议员。他支持另一项促进加密技术发展的法案，即《数字时代在线商业促进法》（PRO - CODE）。该法案旨在消除对“普遍可用或大众市场加密产品”的出口限制，强调当前的加密出口政策已经过时，无法满足个人和企业在全球市场的实际需求。莱希认为，强加密不仅可以保护隐私，还可以作为预防犯罪的盾牌，防止黑客、工业间谍和小偷窥探私人计算机文件和窃取有价值的专有信息。

参议员康拉德·伯恩斯是该法案的共同提案人之一，他认为联邦政府的限制阻碍了电子商业和互联网潜力的实现。该法案将促进经济增长作为重点，强调互联网作为商业媒介的安全性对于实现其全部潜力至关重要。法案指责政府的监管努力阻碍了加密市场的发展，特别是密钥托管政策忽视了商业需求，并且存在许多非密钥托管的替代方案。法案禁止密钥托管，允许普遍可用的加密产品出口，除非是专门为军事应用开发的加密或发送到支持恐怖主义的国家。

密码学社区对 PRO - CODE 法案反应积极，菲尔·齐默尔曼认为这是让美国人获得加密这一自由基本工具的最佳机会。然而，到 1996 年 7 月，他的乐观情绪逐渐消退，认为该法案当年无法通过，因为时间不够，而且参议院中国家安全利益的支持者可能会阻止该法案。不过，他也看到了积极的一面，认为他们已经能够教育国会，辩论正在向有利于他们的方向转变。

2.6 1997 - 1998 年的立法情况

1997 - 1998 年国会会议期间，伯恩斯重新提出了 PRO - CODE 法案，并增加了创建信息安全委员会（ISB）的内容。ISB 将每季度举行会议，旨在促进行业与联邦政府之间的沟通和协调，分享信息安全技术的发展，包括加密技术。该委员会将由政策制定者参加，并向联邦机构报告非专有和非机密信息，以帮助执法和国家安全机构了解新兴技术。然而，密码朋克们对 ISB 的意图表示担忧，担心它可能会强制要求提供证词，成为一个类似“橡皮软管委员会”的机构。

由于早期的加密法案未能在国会取得足够进展，1997 年 2 月，弗吉尼亚州的共和党众议员罗伯特·古德拉特提出了两党法案 H.R.695，即《通过加密实现安全与自由法》（SAFE）。该法案包含“国会意见”语言，认为在没有国际共识的情况下实施出口管制对美国的竞争力有害。SAFE 法案允许美国公民在国内外使用任何加密技术，提议在国外有类似安全产品的情况下取消加密出口限制，但对外国军队和恐怖分子除外。法案将利用加密实施犯罪定为可判处最高五年监禁的罪行。

政府代表威廉·赖因施认为 SAFE 法案不可行，副检察长罗伯特·利特列举了一些加密技术阻碍调查的案例，如 CIA 特工奥尔德里奇·艾姆斯加密机密文件、拉姆齐·尤塞夫加密恐怖袭击计划等。他强调第四修正案在个人隐私和社会安全之间寻求平衡，无限制的加密会破坏这种平衡，并且认为美国盟友也同意无限制的加密出口会严重阻碍执法目标。蒂姆·梅认为 PRO - CODE 和 SAFE 法案都存在严重缺陷，应该被拒绝。

几周后，提出了反法案《安全公共网络法》（SPNA）。该法案规定国内加密不受监管，明确禁止密钥托管，将明知用于犯罪的加密行为定为刑事犯罪，对首次犯罪可判处最高五年监禁，第二次犯罪可判处最高十年监禁。法案要求政府购买的加密系统必须有密钥托管系统，商务部将控制加密政策。56 位 DES 或同等强度的加密在一次性审查后可出口，所有强度的加密在有密钥托管的情况下都允许出口。出口决定不受司法审查，政府只需传票即可访问托管密钥。此外，证书颁发机构需要托管其公钥。

该法案遭到了数字隐私权利社区的反对。CPSR 的安迪·奥拉姆认为这是对加密技术的“暴力攻击”，认为法案的作者将公民自由主义者和加密专家反对的内容都纳入了法案。肯尼斯·达姆认为该法案与国家研究委员会的 CRISIS 报告的总体方向不一致，是对私营部门密钥恢复技术的大力推广。SPNA 法案在 1997 年 6 月通过了商务委员会，但在参议院未能进一步推进。

2.7 1998 年的 E - PRIVACY 法案

1998 年 6 月，密苏里州的共和党参议员约翰·阿什克罗夫特提出了《加密保护网络空间个人权利免受侵犯和滥用法案》（E - PRIVACY）。他批评克林顿政府在加密政策上没有真正的解决方案，并且其政策到 2000 年可能会使美国损失 20 万个工作岗位和 600 亿美元。由于 1996 年克林顿政府允许出口 56 位 DES 加密的决定的日落条款将于 1998 年 12 月生效，之后只有 40 位加密可出口，因此通过立法的需求变得更加迫切。

莱希批评政府在加密政策上的拖延，认为这相当于一场“冗长辩论”，导致工作岗位流失、隐私权利受损和关键基础设施易受攻击。参议员康拉德·伯恩斯认为 E - PRIVACY 法案是解决加密问题的妥协方案，阿什克罗夫特表示这是一个合适的解决方案，呼吁政府关注世界的发展。

E - PRIVACY 法案禁止要求、强制、设定标准或条件以获取解密密钥、访问解密密钥、密钥恢复信息或其他明文访问能力。法案还禁止并惩罚在联邦重罪期间故意加密 incriminating 通信或信息以逃避执法机构检测的行为。法案要求拥有加密数据的实体在政府持有搜查令时提供“必要的解密协助”，但协助应满足搜查令要求的最低限度。商务部长将控制出口，国外可用的加密算法和强度在新成立的公私合营加密出口咨询委员会确认外国产品的可用性或预计在 18 个月内到达，并经过 15 天的一次性产品审查后可出口。法案还在司法部内设立了国家电子技术（NET）中心，为执法机构提供解密信息和协助，促进信息安全信息交流和研究。

该法案得到了商业软件联盟和美国计算机隐私组织的支持，但克林顿政府表示反对。EPIC 对法案提出了两个担忧，认为将加密定为犯罪可能会产生负面影响。

3. 总结

20 世纪 90 年代至 21 世纪初，围绕加密技术的法律和政治斗争十分激烈。国会在加密政策上的态度逐渐从严格控制向更加自由化转变，但这一过程充满了争议和挑战。不同的法案反映了各方在隐私保护、执法需求、商业利益和国家安全之间的权衡。随着技术的不断发展，加密技术的监管问题仍然是一个复杂且持续的议题，未来可能会继续引发更多的讨论和立法尝试。

以下是部分法案的对比表格：
| 法案名称 | 主要内容 | 支持情况 | 反对情况 |
| — | — | — | — |
| ECPA | 允许使用任何加密，授予商务部长出口控制权，提供密钥托管框架，将加密用于犯罪定为刑事犯罪 | 部分组织和个人支持，认为打破加密束缚，拒绝克林顿政府政策 | 数字权利社区发现语言歧义后反对，认为过于宽泛 |
| PRO - CODE | 消除大众市场加密产品出口限制，强调经济增长和安全 | 密码学社区积极响应 | 参议院国家安全利益支持者可能阻止 |
| SAFE | 允许公民使用任何加密，国外有类似产品时取消出口限制，将加密用于犯罪定罪 | 部分代表支持 | 政府代表认为不可行，列举阻碍调查案例 |
| SPNA | 国内加密不受监管，禁止密钥托管，犯罪使用加密定罪，政府购买系统需密钥托管 | 无明显支持信息 | 数字隐私权利社区强烈反对 |
| E - PRIVACY | 禁止强制获取解密信息，惩罚犯罪加密，提供解密协助，设立 NET 中心 | 商业软件联盟和美国计算机隐私组织支持 | 克林顿政府反对，EPIC 有担忧 |

mermaid 格式流程图展示部分立法过程：

graph LR
    A[早期立法尝试] --> B[1996年ECPA法案]
    B --> C[1996年PRO - CODE法案]
    C --> D[1997年SAFE法案]
    D --> E[1997年SPNA法案]
    E --> F[1998年E - PRIVACY法案]

以上内容展示了这一时期加密技术相关的法律和政治动态，各方利益的博弈在不同法案的提出和讨论中得到了充分体现。

4. 加密技术发展与法律监管的影响因素分析

4.1 技术发展对监管的挑战

随着计算技术的飞速发展，加密技术也在不断演进。3D 打印机的出现使得代码能够生成枪支，这一现象超出了国家现有的监管范围，给加密技术的监管带来了新的挑战。同时，加密算法的强度也在不断变化，如早期被允许出口的 40 位 RC4 加密算法，随着计算能力的提升，其脆弱性逐渐显现，容易被破解。这表明技术的发展使得原本的监管政策可能迅速过时，需要不断调整和更新。

4.2 商业利益与监管的平衡

科技行业的商业利益在加密技术监管政策的制定中起到了重要作用。许多科技公司希望放宽加密出口限制，以提高其在国际市场的竞争力。例如，软件出版商协会（SPA）积极推动放宽大众市场加密软件的出口管制。然而，政府也需要考虑国家安全和执法需求，确保加密技术不会被用于非法活动。因此，在制定监管政策时，需要在商业利益和国家安全、执法需求之间找到平衡。

4.3 公众隐私意识与监管的关系

公众对隐私的关注度不断提高，这也影响了加密技术的监管政策。菲尔·齐默尔曼等密码学家向国会强调了加密技术对保护隐私的重要性，指出数字革命正在侵蚀人们的隐私，而强大的加密技术是保护隐私的关键。公众对政府侵犯隐私的担忧促使他们支持加强加密技术的使用和推广，这也在一定程度上推动了国会对加密政策的调整。

5. 不同法案的特点与影响

5.1 各法案的核心特点

法案名称	核心特点
ECPA	允许广泛使用加密，提供密钥托管框架，兼顾出口政策和犯罪使用加密的惩处
PRO - CODE	聚焦消除大众市场加密产品出口限制，强调经济增长和网络安全
SAFE	保障公民使用加密的自由，在国外有类似产品时放宽出口限制，打击犯罪使用加密
SPNA	国内加密无监管，禁止密钥托管，对犯罪使用加密定罪，政府购买系统需密钥托管
E - PRIVACY	禁止强制获取解密信息，惩罚犯罪加密，设立协助机构促进信息交流和研究

5.2 法案对各方的影响

• 对科技行业 ：不同法案的通过与否直接影响科技公司的商业利益。例如，放宽出口限制的法案如 PRO - CODE 和 SAFE 若能通过，将有助于科技公司拓展国际市场，提高竞争力；而严格的监管法案可能会限制公司的发展。
• 对执法部门 ：法案的规定影响执法部门的调查能力。一些法案如 E - PRIVACY 要求拥有加密数据的实体在政府持有搜查令时提供解密协助，这有助于执法部门获取证据；而无限制的加密可能会给执法工作带来困难。
• 对公众 ：法案关系到公众的隐私保护和信息安全。加强加密技术使用和推广的法案能够更好地保护公众的隐私；而将加密用于犯罪定罪的法案则有助于维护社会安全。

6. 未来展望

6.1 技术发展带来的新问题

随着技术的不断进步，加密技术将面临更多新的挑战。例如，量子计算技术的发展可能会使现有的加密算法变得脆弱，需要开发新的加密算法来应对。同时，物联网、人工智能等新兴技术的发展也将增加加密技术的应用场景和复杂性，对监管政策提出更高的要求。

6.2 国际合作的必要性

加密技术是全球性的问题，需要国际间的合作来共同应对。在制定加密政策时，各国需要达成共识，避免出现各国政策差异过大导致的监管漏洞。例如，在出口管制方面，需要国际间协调一致，防止加密技术被滥用。

6.3 持续的立法需求

由于加密技术的不断发展和应用场景的不断变化，未来可能需要持续的立法尝试来适应新的情况。立法者需要在隐私保护、执法需求、商业利益和国家安全之间不断寻求平衡，制定出更加合理和有效的加密监管政策。

mermaid 格式流程图展示未来加密技术监管的发展趋势：

graph LR
    A[技术发展] --> B[新的加密挑战]
    B --> C[国际合作需求]
    C --> D[持续立法尝试]
    D --> E[合理监管政策]

总之，加密技术的监管是一个复杂且持续的议题，涉及到技术、法律、政治、商业等多个领域。未来，我们需要密切关注技术的发展动态，加强国际合作，不断完善立法，以确保加密技术在保护隐私、促进商业发展和维护社会安全等方面发挥积极作用。