巴比特專欄 | 律師觀點：《密碼法》將如何適用于區塊鏈企業？_區塊鏈

作者：張凌，瀚一律師事務所合伙人

作者按：《密碼法》不是為區塊鏈而生，卻能為區塊鏈所用，并將規范和促進區塊鏈行業的發展。

對于區塊鏈行業而言，剛剛過去的這一個周末，可能是今年入秋以來最激動人心的一個周末。

10月24日，習總書記在中央局第十八次集體學習時強調把區塊鏈作為核心技術自主創新重要突破口、加快推動區塊鏈技術和產業創新發展的話音剛落，10月26日，歷經多年起草和征求意見的《密碼法》正式出臺，坊間有人認為《密碼法》在此時間落地，本身即為區塊鏈而生，將助力區塊鏈行業的發展。

筆者理解，從《密碼法》的歷史沿革和出臺背景可以看出，《密碼法》并非專門為促進和規范區塊鏈行業的密碼技術而生。但是，由于加密技術是區塊鏈技術中的關鍵和核心技術，密碼與區塊鏈具有天然的緊密共生關系，《密碼法》因此也將自然適用于區塊鏈行業，并將促進和規范區塊鏈技術的發展。

如果說中央支持區塊鏈技術革新的調子是原則性的方向和指引，選擇在此時機出臺《密碼法》可以視作是政府表明支持和規范區塊鏈行業發展的舉措之一。在本文中，筆者擬結合《密碼法》的出臺背景和主要內容，簡要分析這部通用的《密碼法》將如何適用于區塊鏈行業，供有興趣的人士參考并討論。

1.《密碼法》的出臺背景

拜登敦促科技公司應對人工智能的風險:金色財經報道，美國總統拜登周二表示，人工智能（AI）的安全性仍存在不確定性，并強調科技公司在向公眾發布產品之前應確保其產品安全。

在與總統科技顧問委員會 (PCAST??) 的會議開始時，他表示，科技公司必須確保其產品在向公眾發布之前是安全的。當被問及人工智能的潛在危害時，他回答說，“還沒有確定，有可能。”

根據總統的說法，社交媒體已經證明了強大的技術在沒有適當的保護措施的情況下可能產生的負面影響。“缺乏保障措施，我們看到了對心理健康、自我形象和感覺以及絕望的影響，尤其是在年輕人中。”[2023/4/5 13:46:03]

早在九十年代，為了適應社會、經濟活動信息化發展的需要，滿足不涉及國家秘密的信息使用密碼技術進行保護的要求，1999年，我國制定了《商用密碼管理條例》，決定發展和管理商用密碼。此后，針對商用密碼的科研、生產、銷售、使用等各個環節，國家制定了一系列規定，建立了一套對商業密碼進行專控管理的法律制度。目前，商用密碼已經廣泛應用于金融、通信、交通、衛生健康、能源、、稅務、社保、電子政務等社會生產及管理的眾多領域。

隨著密碼技術在多領域的廣泛應用，近年來對國家、社會和個人信息安全帶來了一些新的問題和挑戰，在密碼領域制定一部綜合性、基礎性法律的必要性愈發顯現。并且，隨著政府職能的轉變，為貫徹中央“簡政放權、放管結合、優化服務”的改革部署，之前密碼領域傳統的專控管理制度也需要隨之調整。2014年12月，國家密碼管理局成立起草小組，著手密碼法的起草工作；2016年10月形成草案征求意見稿；2017年4月至5月，國家密碼管理局將草案征求意見稿向社會公開征求意見；2017年6月向國務院報送草案送審稿；2019年6月10日經國務院常務會議討論通過，并于2019年10月26日正式發布。在此期間，國家陸續修改和廢止了一些密碼監管的原有規定。

34,000,000XRP從未知錢包轉入Bitstamp:金色財經報道，據Whale Alert數據顯示，34,000,000XRP(價值約13,524,472美元)從未知錢包轉入Bitstamp。[2023/2/7 11:51:27]

從《密碼法》的以上立法背景及歷程來看，《密碼法》的起源、醞釀及落地與區塊鏈本身并無直接關系，國家立法的初衷并非是為了促進和規范區塊鏈技術的發展，而是基于密碼對國家、社會和個人信息安全的重要性，而需要制定一部針對密碼領域的統一的基礎性法律。但是，由于密碼技術是區塊鏈技術的核心技術，《密碼法》的出臺必然將對區塊鏈行業的規范發展產生深遠影響。

2.《密碼法》的主要內容及對區塊鏈行業的相關影響

(1)區塊鏈企業涉及的主要是商用密碼

根據《密碼法》，“密碼”是指采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務。

根據該定義和一般理解，(a)密碼是一種技術，也可以是一種產品或服務；(b)密碼的功能包括兩大類：一是加密保護，是指使用數學變換，將原來可讀的信息變成不能識別的符號序列。簡言之，就是將明文變成密文；二是安全認證，是指使用數學變換，確認信息是否被篡改、是否來自可靠信息源以及確認行為是否真實。簡言之，安全認證就是確認主體和信息的真實可靠性；(c)加密或認證所采用的方法是特定變化的；以及(d)加密或認證的對象包括信息等內容。

首個超大城市區塊鏈基礎設施“目錄鏈”已正式上線:金色財經報道，北京市經信局消息，北京市目錄鏈2.0已于今年1月1日正式上線。全市80余個部門、16個區、經濟技術開發區以及交通、金融等領域10余家社會機構的數據目錄全部上“鏈”。作為全國首個超大城市區塊鏈基礎設施，北京市目錄鏈的本次升級是落實中央“數據二十條”的先行實踐，實現從底層架構到核心算法的全面自主可控。[2023/1/11 11:06:43]

根據《密碼法》，國家沿用了過去密碼監管的規則和思路，仍然對密碼實行分類管理。密碼分為核心密碼、普通密碼和商用密碼。核心密碼、普通密碼用于保護國家秘密信息，商用密碼用于保護不屬于國家秘密的信息。

筆者理解，在區塊鏈技術的很多應用場景中中，由于密碼技術保護的多是個人信息或企業的商業秘密，而非國家秘密，因此多數情況下區塊鏈行業中涉及的主要是商用密碼。

(2)國家支持商用密碼產業的發展

為健全統一、開放、競爭、有序的商用密碼市場體系，鼓勵和促進商用密碼產業發展，《密碼法》規定了一系列支持措施，包括但不限于：(a)鼓勵商用密碼技術的研究開發、學術交流、成果轉化和推廣應用，保護密碼領域的知識產權；(b)加強密碼人才培養和隊伍建設，對在密碼工作中作出突出貢獻的組織和個人，按照國家有關規定給予表彰和獎勵；(c)要求縣級以上人民政府應當將密碼工作納入本級國民經濟和社會發展規劃，所需經費列入本級財政預算；以及(d)要求各級人民政府及其有關部門應當遵循非歧視原則，依法平等對待包括外商投資企業在內的商用密碼科研、生產、銷售、服務、進出口等單位。

Decaf開發者：SOL漏洞非受信應用問題，所有Phantom錢包都遭受影響:8月3日消息，Decaf開發者@JuanRdBO在社交媒體上回應此前Magic Eden發布的SOL漏洞稱，這不是受信應用的問題。如果用戶曾與DeJBGdMFa1uynnnKiwrVioatTuHmNLpyFKnmB5kaFdzQ進行過交互（Phantom在創建錢包時與之交互），錢包就會遭受入侵。

此前報道，Solana生態NFT市場MagicEden在社交媒體上發布警告稱，似乎有一個波及面極廣的SOL漏洞，正在耗盡整個生態系統的錢包。MagicEden提醒用戶進行以下設置保護個人資產：1.進入Phantom錢包設置頁面；2.點擊受信應用；3.撤銷任何可疑鏈接的權限。[2022/8/3 2:54:54]

基于上述，在國家支持區塊鏈技術發展和創新的大背景下，無論是內資、還是外商投資的區塊鏈企業，其從事商用密碼相關的業務活動的，都將受到國家一視同仁的支持和鼓勵——區塊鏈企業將處于更為健全、有序的營商環境中，其開發的商用密碼知識產權將依法受到保護，并可獲得更為充足的密碼人才儲備和財政支持。

(3)推動商用密碼標準化工作

根據《密碼法》的規定，國家將建立和完善商用密碼標準體系，組織制定商用密碼國家標準、行業標準，并推動參與商用密碼國際標準化活動。商用密碼從業單位開展商用密碼活動的，應當符合商用密碼強制性國家標準以及從業單位公開標準的技術要求。此外，國家支持社會團體、企業利用自主創新技術制定高于國家標準、行業標準相關技術要求的商用密碼團體標準、企業標準。

幣安正在探索將業務擴展至印度:5月19日消息，幣安發言人在一封電子郵件中表示，公司正在探索將業務擴展至印度，正在積極嘗試“找到在印度開展本地業務的理想地點”。發言人稱，“我們正在監測當地監管環境的變化，我們也在與不同的利益相關者進行談判，以合規的方式了解南亞市場的市場方式。”

此外，LinkedIn招聘頁面顯示，幣安已開始在印度和南亞展開招聘，崗位包括亞太地區（APAC）政府關系負責人、亞太地區監管顧問、收購負責人、執行傳播和關注度負責人、傳播和公關負責人、亞太地區公關總監、全球通信/公關經理和內容營銷專家等。（CoinDesk）[2022/5/19 3:26:20]

筆者注意到，《密碼法》中關于商用密碼標準化工作的規定與2018年1月修訂實施的《標準化法》相銜接，符合該法的精神和要求。目前，國家標準由全國信息安全標準化技術委員會歸口管理，行業標準由密碼行業標準化技術委員會負責制定。據統計，截至2018年6月，我國已發布的密碼國家標準有16項，行業標準有68項。

對于新興的區塊鏈行業，目前還沒有專門適用該行業的國家標準和行業標準出臺，但是，根據筆者的觀察，與區塊鏈密碼相關的標準化工作已經展開。根據北京市密碼管理局今年年初發布的消息，2019年1月，密碼行業標準化技術委員會就《區塊鏈密碼應用技術要求》等12項密碼行業標準及研究報告報送了各省、直轄市密碼管理局及其所轄商用密碼從業單位征求意見。總書記在近日推動區塊鏈技術和產業創新發展的講話中也強調要加強區塊鏈標準化研究。預計未來會有專門適用于區塊鏈密碼技術、產品、系統和管理等方面的國家標準、行業標準出臺。

此外，鑒于國家支持社會團體、企業制定高于國家標準、行業標準相關技術要求的商用密碼團體標準、企業標準，區塊鏈企業如能抓住契機，自主創新，參與制定高于國家和行業標準的商用密碼企業標準，不僅能為其自身的發展謀得更多的市場機會，客觀上也將促進區塊鏈行業的進一步發展。

(4)建立商用密碼檢測認證制度

在之前的監管規定下，商用密碼產品均需經指定的密碼檢測機構檢測合格后方可投入市場。《密碼法》改變了過去的強制檢測認證制度，以自愿檢測為主；但對于列入網絡關鍵設備和網絡安全專用產品目錄的商用密碼，適用《網絡安全法》的規定，要求進行強制性檢測認證，由具備資格的機構檢測認證合格后，方可銷售或者提供。

上述四部門在2017年6月聯合發布了《網絡關鍵設備和網絡安全專用產品目錄》，在2018年3月聯合發布了《承擔網絡關鍵設備和網絡安全專用產品安全認證和安全檢測任務機構名錄》，明確了應進行安全認證或檢測的15類網絡關鍵設備和網絡安全專用產品，并指定了承擔認證檢測任務的16家機構。

為進一步落實《網絡安全法》的要求，給列入目錄的設備和產品提供技術支撐，全國信息安全標準化技術委員會組織相關測評機構、廠商及相關專家研究提出了《網絡關鍵設備和網絡安全專用產品相關國家標準要求》，并在2019年5月至9月間兩次向社會公開征求意見。

對于區塊鏈企業而言，如其生產、銷售的商業密碼產品落入上述產品目錄或四部門未來發布的其他產品目錄的，企業需要在列入承擔認證檢測任務機構目錄中的機構中選擇認證檢測機構，并在產品通過檢測符合要求后方能投放市場銷售。待《網絡關鍵設備和網絡安全專用產品相關國家標準要求》制定之后，區塊鏈企業生產商業密碼產品還需符合該等國家標準。

(5)嚴禁非法活動

在鼓勵商用密碼產業發展的同時，《密碼法》規定，任何組織或者個人不得竊取他人加密保護的信息、非法侵入他人的密碼保障系統；不得利用密碼從事危害國家安全、社會公共利益、他人合法權益等違法犯罪活動。

基于上述，對于區塊鏈行業而言，無論是企業還是個人，無論企業的性質，在遵守法律的前提下，均可以使用商用密碼保護其網絡與信息安全，從事商用密碼的生產、銷售、服務或進出口。但是如果其中的任一環節損害國家安全、社會公共利益或他人合法權益的，則不為法律所允許。

筆者理解，區塊鏈不等同于加密貨幣，國家支持區塊鏈技術的發展和應用，不代表支持民間主體發幣、進行代幣交易等與加密貨幣有關的經營活動。在當前的監管環境下，由于政策并未放開，區塊鏈企業仍然不得使用密碼技術從事首次代幣發行、虛擬貨幣交易所等業務。該等業務的放開即使未來有可能，也還尚需時日，這不僅需要區塊鏈技術和密碼技術本身的完備性，也需要監管技術的適當性和有效性。

總體而言，《密碼法》雖然不是為區塊鏈而生，但其適用于從事商用密碼相關業務的區塊鏈企業，并將有利于區塊鏈行業的規范和長遠發展。

但是，目前無論是區塊鏈技術本身的發展還是我國的相關立法，都還處于比較早期的階段。《密碼法》如何具體適用于各種類型的區塊鏈企業，需要制定哪些配套規則和標準、如何實施有效監管等問題，還有繼續探索的空間。可以肯定的是，隨著應用需求的增加、區塊鏈應用場景的多樣化發展，將會刺激和催生更為安全、先進的密碼技術；而作為區塊鏈技術核心的密碼技術的進一步發展，也將推動區塊鏈技術的整體進步和創新。在密碼技術與區塊鏈技術相互促進的過程中，國內和國際的相關標準體系及監管框架也將同步建立并完善。

聲明：本文僅代表作者個人觀點，不代表所在機構意見。文中內容不構成法律意見和投資建議。如需轉載或引用本文的任何內容，請列明作者姓名。

Tags：區塊鏈SOLMAGHAN區塊鏈游戲SOLAMagickDAOVNX Exchange

ICP