个人使用密码产品,例如 OpenSSL,是否属于违法行为?

根据《商用密码管理条例》中的描述: 本条例所称商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。 第七条 商用密码产品由国家密码管理机构指定的单位生产。未经指定,任何单位或者个人不得生产商用密码产品。 商用密码产品指定生产单位必须具有与生产商用密码产品相适应的技术力量以及确保商用密码产品质量的设备、生产工艺和质量保证体系。 第十四条 任何单位或者个人只能使用经…
关注者
106
被浏览
11545
初投稿です。オナシャスセンセンシャル。

首先,不是违什么法都会让人进局子捡一通肥皂。就算因为使用密码产品被这个条例处罚,它能做的也至多是“没收密码产品”而已——连罚款都不行。还是不要把“违法行为”这几个字看得太重,没有强制力的规定基本上无害。本题情况下,这规定还真的基本上无害。不然我们来谈谈如何没收一个软件吧。

好吧,回答问题。问题是“是否违法”而不是会不会被警察叔叔抓起来。换言之,只看构成要件,不管满足要件后会发生什么。题主列出的《管理条例》第十四条、《管理规定》第六条,采其中关于个人的部分,得到如下几项:

使用商用密码产品。
该商用密码产品是自行研制的或境外生产的。

看起来很清晰,题主自己也下了个结论,这问题大概不用答了。可惜,要是自然语言真有这么清晰,生活该多么美好。让我们看看,商用密码产品是个什么东西?《商用密码产品使用管理规定》有言,商用密码产品是“采用密码技术对不涉及国家秘密内容的信息进行加密保护或安全认证的产品”。这很清楚了,但产品又是个什么东西?

产品是个什么东西?……这不是常识么?但越是所谓常识的概念就越容易出现模糊边界,越需要解释。事实上搜索“产品”一词就能得到很多不同的定义,而立法的时候那群立法人员想的是哪个?……鬼才知道。作为十五年后来看这篇规定的草民,我们只能猜:或者你愿意的话,也可以好听点叫做解释。不得不说,这规定透明到连个像样的判例都没有,自然也不会出现什么官方法律解释了。不过在官方解释出来之前,我们总可以猜不是么?让我们试着从这规定里总结出个描述性定义来。下述条文均出自《管理条例》。

(第七条)“产品”的生产需要通过“设备”和“生产工艺”完成。
(第十六条)“产品”是会发生故障,可以维修的。
(第二十一条)“产品”是可以被没收的。

小结:“产品”必定是有形物。OpenSSL是软件,软件不是有形物,所以OpenSSL不是“商用密码产品”。乌拉。对了,这种文字游戏有个冠冕堂皇的名字叫“逻辑解释”。

但其实,这并不重要。诚如一名匿名用户所言,“只是上面想不想搞你而已”。上述情况只是在作“文面解释”,然而根据你的脸,你还可能遇到“限制解释”或者“扩张解释”。如果恰巧脸黑遇到扩张解释,则会变成如下情况:

显然,制定这样一个法规,严格监控密码学研究和使用,不过是为公权力在想要时窥探秘密、侵犯私益的行为创造便利。从这个立法目的出发,我们可以得出这样的结论:只要试图从国家眼皮底下藏住东西的都要被这规定制裁。你说软件不能没收?你说非对称加密的信息你也不知道怎么解开?你问我“产品”是什么意思?We are totalitarian, we do whatever we want, WHO FUCKING CARES.

小结:看脸。这种文字游戏又叫做“目的解释”。

但其实,这并不重要。如果你真的因为使用密码产生不利的法律后果,那也不大可能是因为这个规定:因为之前说过的,这个规定对于使用者而言强制力实在太弱,何况还要加上个“情节严重”,根本没有适用过几次。如果国家认为你的密码学应用值得“喝茶”,才不会用这个规定对付你,而是会直接搬《刑法》出来:那才真是可怕的地方,但也和使用密码本身无关了,因此不在本题讨论范围。

总结:取决于如何解释这篇规定,个人使用OpenSSL等密码学软件可能犯法或者不犯法。但无论何者,普通个人都相当不可能因使用密码本身受到任何实质性的伤害(司法成本和获得的收益不成比例)。如果你真的被喝茶,几乎一定有着使用密码之外的原因——至少是密码之外的说辞。

~~~~

EDIT:部门规章并不是由人大制定的,之前手滑了。