随着信息技术类产品和服务逐渐占据世界贸易市场的份额增大,企业们也逐渐将对外直接投资的方向转向高科技领域。侵犯知识产权的案例逐日递增,信息安全的重要性也逐日呈现。加密的使用是强健信息安全系统的关键。使用加密能够保护敏感信息,包括储存或通信状态中的敏感信息,同时,加密也是所有电子贸易和电子通讯系统(包含但不限于电子邮件和音频通讯)的安全使者。有的国家限制加密产品的进口或者出口,有的国家只限制加密技术的进口,还有的国家甚至是禁止在其国家范围内使用加密术。这些条例给企业的跨国经营带来了巨大的困难,尤其是那些禁止使用加密术的条例迫使企业不得不妥协并将其知识产权置于危险之中。在美国,对于加密的使用几乎没有限制。但当美国公司进行海外经营时,使用加密术仍然要经历美国国内出口法律条例的重重考验,并且还要受到出口国加密规则的各种限制。而在中国,对加密的进出口及使用都有限制,这给我国的跨国贸易与经济发展造成了一定的阻碍。
一、世界加密规则研究
各国对加密术和加密产品的管制状态分为三种:一是对进出口完全不加限制。这样的国家很少。二是需要许可证限制其进出口和使用。这又可以进一步分为:只限制出口,但是对于国内使用加密术不加限制,例如美国,中国香港等;进出口都限制,例如中国,伊朗。三是完全禁止加密术的进出口和使用,例如伊拉克,白俄罗斯等。对此,美国电子隐私资讯中心和全球网络自由运动联盟对世界各国的加密进出口限制情况做了一个报告,该报告用不同颜色来表示不同的限制水平,其中绿色代表无限制,黄色代表进口或出口需要许可证,即受限制,而红色则代表完全禁止。该表中红色的只有蒙古、缅甸、朝鲜、伊拉克等少数民主权利保护不充分的国家。大多数国家为黄色,比如美国、中国、法国、日本等。而完全标注为绿色的国家只有新加坡、加纳和沙特阿拉伯。
由此可见,世界上多数的主要国家都对加密进行了管理,只是管理的程度不同。加密需要被管理,因为加密是一项既促进商业,又能用于犯罪双向使用的技术。美国在冷战时期就被两大对立意识所驱使率先开始了加密的管理,美国认为,加密术既可以用于高新企业与国外市场竞争,也能被不法分子利用,甚至威胁国家安全。而其他国家也因为不同的利益原因开始监管加密,例如,检测和限制国内语音通讯。这种利益铸就的监管条款给国际经营的公司带来了不小的麻烦。
为了协调由不同进出口条例带来的冲突,许多国家间达成了瓦森纳协定。瓦森纳协定订立的目的是为了地区和国际安全和稳定,提高成员国间常规武器、双向使用物品及技术转让的透明度,并对转让的常规武器和双向使用物品及技术负责加密术被列入了双向使用物品名单之中。瓦森纳协定规定对称加密产品最多只能使用56位密码,而非对称加密产品至多使用512位密码,参与国之问没有出口限制。此外,瓦森纳协定包括一项个人使用免责条款,允许在境外旅游时携带他们的加密设备为他们私人所用。但是,其他加密产品依旧属于受限制行列。瓦森纳协定设定了常规参数来控制成员国的进出口;然而,瓦森纳协定对成员国不具有约束力,并且其协定由成员国政府自由实现。
二、加密条例的影响
对加密术的限制至少对以下三个团体不利:1)想要在国际市场中竞争的信息技术与安全公司;2)想要利用加密术保护数据和通信安全的海外经营的公司;3)想要保护其数据免受社会团体或政府干涉的限制使用加密术国家的团体和个人。
(一)对IT产业的影响
各国不同的加密条例阻碍了信息技术和安全公司在国际新市场的扩张。因为,出口控制不仅要求IT公司遵照本国法律、要求出口,还要符合不同出口国的进口要求,IT公司必须支付高额的费用来调整。然后,就几个主要市场的加密条例来说(比如中国),其抑制加密服务的程度对信息安全公司是很不利的。
加密条例对IT公司的影响还体现在对加密软件的市场限制。许多信息技术产品,服务和交易都建立在强加密术运用的基础上。例如,电子商务(例如美国的Amazon.com),当初客户每次网上购物都要担心信用卡信息泄漏,电子商务就不会迎来如今的繁荣兴旺;如今这种担心却因为信息传输过程中缺少强加密术的保护而名副其实,不得不说,国家限制加密术的使用,阻碍了IT业和电子商务市场的发展。
(二)对海外交易活动的影响
加密术的限制进口和使用将导致出口的知识产权面临巨大的风险。如果不能使用加密设备保护数据和通信安全,公司将会陷入两难境地:对条例妥协不使用加密术,但会将其数据推向泄露的深渊;或者使用加密,但会让自己受到法律的制裁。这在规定尚不明确和执行不一致的国家,情况将会更糟,比如在中国,俄罗斯等;在这种情况下,这种监管方面的不确定性将会导致以牺牲市场新来者为代价支持著名的企业,破坏市场竞争,阻止新进入者。
三、对中国海外经营公司的建议及实务设计
(一)遵照中国出口条例
中国出口条例具有复杂性,违反的后果也很严峻。中国任何海外经营的公司,在海外销售加密术产品或是将加密术作为产品出口销售,除满足我国《商用密码管理条例》之外,都还应该由公司成立合规部进行内部监督管理。监督管理的内容可以参照美国商务部工业安全局发布的标准,其主要成分包括:1)对遵守所有出口控制法律法规的重要性做书面的公司政策声明2)内部程序,根据其适用的监管分类来正确分类所有产品,并确保将这种分类告知其销售人员;3)审查程序,审查客户是否属于对禁止/限制国家的列表,或禁止个人和实体的列表(特别指定国民);4)监督程序,监督本国法人和海外子公司的活动,及公司的海外子公司的活动;5)在交付产品之前必须逐步完成以上程序,并在每次交付时都保持记录下的程序步骤;6)培训并审计相关人员;7)对企业事务,包括他国并购进行尽职调查;8)所有违反或涉嫌违反条例的通知和执行程序。美国由于实行加密产品出口自测,即使是疏忽大意造成的非法出口也会面临严峻的惩罚,所以这些程序相对其他国家尤其严谨和规范,值得本国学习借鉴。
为了确保公司直接面向客户的产品和服务输出符合本国出口法律法规,公司必须采取措施来防止内部系统,尤其是IT系统,避免由于疏忽大意而违反出口法。其中,出口的含义在本国的《商用密码管理条例》中并没有准确的定义,借鉴美国加密出口条例中出口一词的含义得到,出口是指:1)将数据或软件以电子邮件或者其他通过电脑传输至国外接入点;2)输出或存储在如公司内网、公用图书馆网络数据库中的信息被中国以外的区域人员访问;3)外国人对网络数据和软件的访问,包括在国外的外国人和居住在中国的外国人。因此,简单只是从中央服务器提供软件安装在联网的个人电脑中一公司网络的标准配置一如果该软件包含了强大的加密术,便可以将该公司置于违反出口规定的境地,因为该公司网络接入了国外位置的访问。柯尔推荐四重合规计划来管理这样的系统:1)识别网络上所有可能受出口管制的数据和软件;2)隔离受出口管制的数据和软件(例如,把他们放在一个单独的网络驱动口; 3)限制非本国人和实体进入那些隔离的区域;4)直接向内部指定的合规部管理人员申请获得受管制的技术。
(二)符合出口国加密规则
本国法尚且难守,国外法更加难循。许多国家对进口、出口和使用加密没有明确的规定指导方针,甚至那些有明确指导方针的国家经常还有不一致的执行结果。因此,依据各个国家监管环境的不同、公司对该国的需求不同、在该管辖区缺少加密术的风险不同来制定国别政策非常重要。
若公司决定不在限制加密的国家使用加密术,则必须采取其他措施来保护其数据和知识产权不被泄露。其中最重要的注意事项就是要慎重选择网络连通提供商。在公司或个人可以使用强加密来保护网络通信时,网络提供商的可信度和可靠性似乎并不影响数据的安全性。但例如电子邮件和语音通信等数据只能以非加密的方式通过网络,那么,选择一个既值得信赖的,并具有较强的安全系统和适当程序的网络提供商就至关重要了。
再则,若公司选择不使用加密术,则应该在该国范围内减少可访问数据的总量,并降低可访问数据敏感程度。所以,笔者建议,公司第一步应确定该国员工访问数据的范围,将该国员工无须访问的数据转移到安全的位置(如该公司母国的数据中心),不授予该国员工访问权限(这样数据就不会传输至不安全的网络链扬。国内员工有权访问的数据应该分为两类:只需要该国员工访问的数据和整个企业都需要访问的数据。前者应该存储在本地,作为预置程序或存储于该国的企业实体,避免数据传播于不安全的通信链接。若公司在该国有多个国内位置,需要有一些数据在办公室之问共享,请尽可能多地对数据进行离线存储。
如果一个公司在加密系统受限的国家使用加密术,也是变相赋予了政府获得自己敏感企业信息的权限。此外,该国内的用户应该定期更改密码,旧的密码应该在密码更改之后迅速失效,以确保在政府强制访问时获得更少的数据。