![]()
![]()
謝永紅
文 | 密碼法治實踐創新基地 謝永紅 原浩;江蘇金服數字集團有限公司 徐涵露
量子計算的巨大潛力引發新一輪技術變革和激烈競爭。理論界對量子計算能力躍升的預期,使現代密碼學的“破解”風險正以一種前所未有的方式顯現,并從底層沖擊現代密碼學的數學和工程基礎。后量子密碼(PQC)基于新的數學問題,研究和設計量子計算機和經典計算機都無法破解的新密碼系統。對此,世界各國需認真思考和應對。
一、從PQC算法選型到遷移工程的戰略實現
目前,國際傳統密碼強國及意圖在量子時代先拔頭籌的國家高度重視PQC超前部署,加快PQC政策法律和政策研判、推動技術和算法儲備更新、建設產業和生態體系,力爭在PQC遷移賽道搶占先機。
美國國家標準與技術研究院(NIST)率先發布三項后量子密碼標準(FIPS 203/204/205),為全球后量子標準體系提供了“先入為主”應對未來量子計算威脅的防御機制,對各國下一代密碼轉型選擇產生了深刻影響。自2017年6月《美國創新與競爭法》賦予NIST專門職責以來,美國PQC演進歷程可視為風險導向、技術先發、法律賦能和政策推動“多因素”的共同作用。從整體進展呈現的技術與法律互動關系看,密碼技術選型的“發散”和激勵型政策法律的“收斂”相互影響,使科研和商業轉化“法無禁止即可為”以及關鍵安全和遷移節點“有法可依”相向而行,共同促成了PQC戰略實現。
對我國而言,PQC作為商用密碼新方向、新應用也已進入第一個發展高峰期。作為“十五五”規劃綱要量子科技的重要組成部分,PQC亦是保障國家社會經濟安全、助力實現向數字化整體轉型升級和推動共建“一帶一路”的前瞻性技術。在中國現有密碼法律體系基礎上,如何設想和構建PQC法律、政策與技術交叉融合的生態,需以全球視野謀劃中國戰略定位。這不僅是下一個五年呈現的應然愿景,也是技術立法的應有之義。
二、中國PQC遷移的現行法律適用性分析
基于現有密碼政策法律制度體系,中國密碼學會于2019年面向國內開展全國密碼算法設計競賽,征集PQC算法。2025年2月,商用密碼標準研究院開展新一代商用密碼算法征集工作,同時,典型行業與安全廠商也開展了算法比對、安全驗證和商業化的嘗試。這些活動促進了《中華人民共和國密碼法》(以下簡稱《密碼法》)等相關法律政策聯動,促使通過差距發現、彈性解讀等方式進行必要法律政策適配,就技術發展作出反應,為技術選型和路徑選擇提供支撐。
(一)基于商用密碼基礎法律的適用性
根據《密碼法》,密碼是指“采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務”。該定義并未對密碼基于何種特定變換進行限定。從目前公開的PQC算法和監管技術的中立性看,現行《密碼法》依然適用。
《密碼法》和2023年修訂發布的《商用密碼管理條例》(以下簡稱《條例》)規定了檢測認證和商用密碼應用安全性評估(以下簡稱“密評”),為向PQC遷移工作的具體落實提供了基本方法和路徑選擇。《密碼法》第二十六條規定:“涉及國家安全、國計民生、社會公共利益的商用密碼產品”,應“由具備資格的機構檢測認證合格后,方可銷售或者提供”;第二十七條規定:“法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估”。因此,符合向PQC遷移強制性評價指標的,則應當通過商用密碼產品采購和部署前(至少同步)進行密評的方式實現和驗證PQC遷移。
《條例》第九條規定:“國家密碼管理部門組織對法律、行政法規和國家有關規定要求使用商用密碼進行保護的網絡與信息系統所使用的密碼算法、密碼協議、密鑰管理機制等商用密碼技術進行審查鑒定。”這要求從算法研發開始將密碼納入全生命周期管理,為PQC算法征集、標準化提供法律依據。
《條例》對量子計算和PQC的關注還體現在一些規定上,例如“國家支持網絡產品和服務使用商用密碼提升安全性,支持并規范商用密碼在信息領域新技術、新業態、新模式中的應用”(第三十六條)和“法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,使用的商用密碼產品、服務應當經檢測認證合格,使用的密碼算法、密碼協議、密鑰管理機制等商用密碼技術應當通過國家密碼管理部門審查鑒定”(第三十九條)。前者可以解讀為明確鼓勵和支持包括PQC在內的密碼技術、產品和服務的安全應用要求,后者則將PQC納入審查鑒定的范圍,與第九條有效呼應。可見,《條例》已經在一定程度上考慮了量子計算的風險,并附加考慮了PQC遷移的適用性。
就法律設計而言,《密碼法》和《條例》盡管提供了PQC的適法框架和監管授權,給出了PQC技術(算法)和標準化的合法性依據,但這只是必須解決的前置性合法問題。原則性和細粒度的量子計算威脅的密碼條文缺乏,導致行業企業布局和市場準入存在困難。在具體做法上,需參照《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)等法律的修法背景,“儲備”量子計算、人工智能等引入的新型威脅并增加法律原則應對;同時,將量子計算威脅考慮納入《條例》,特別是對第九條的法律解釋和規范性文件進行細化,明確對量子計算的適用性、規范性,增強和補足向PQC遷移的法律規范要求,尤其是需充分發揮類似美國應對新技術發展而制定技術法規的回應性功能。
(二)基于網絡空間安全法框架的法律適用
《網絡安全法》對包括關鍵信息基礎設施運營者在內的主體規定了明確的強制加密義務,會對向PQC遷移產生制度影響。除密碼管理制度外,一些隱含問題也將成為重要的立法關注點。
《網絡安全法》第十一條規定,網絡運營者“應當依照法律、行政法規的規定和國家標準的強制性要求,采取技術措施和其他必要措施,保障網絡安全、穩定運行,有效應對網絡安全事件,防范網絡違法犯罪活動,維護網絡數據的完整性、保密性和可用性”。《網絡安全法》重申了對安全技術的開放態度,包括“國家鼓勵開發網絡數據安全保護和利用技術”(第十九條)、“國家支持創新網絡安全管理方式,運用人工智能等新技術,提升網絡安全保護水平”(第二十條)等。同時,《網絡安全法》進一步明確網絡運營者“應當按照網絡安全等級保護制度的要求,履行……安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改”,并對關鍵信息基礎設施運營者增加了額外的安全保護義務要求。《中華人民共和國數據安全法》(以下簡稱《數據安全法》)也有“支持數據開發利用和數據安全技術研究,鼓勵數據開發利用和數據安全等領域的技術推廣和商業創新,培育、發展數據開發利用和數據安全產品、產業體系”等類似規定。
綜上,維護網絡數據的保密性、完整性和可用性,是技術安全與法律安全的基本共識。上述關于安全狀態、能力的法律規定對使用PQC保護加密數據和密碼系統、網絡的適用性,與《密碼法》《條例》一并構成網絡空間密碼技術向后量子升級迭代和應用的合法性基礎,但在整體安全法框架下的協調與銜接適用上仍存在不足。
以PQC算法的全球征集、國際標準適配、具體進出口監管規則設計等現實問題為例,我國《商用密碼進口許可清單》《商用密碼出口管制清單》將長密鑰非對稱密碼算法納入進口許可范圍,將“以量子力學和密碼學為基礎,利用量子技術實現密碼功能的設備”納入出口管制范圍。此外,《中國禁止出口限制出口技術目錄》也將“量子密碼技術,包括量子密碼實現方法、傳輸技術、網絡技術、工程實現技術等”納入限制出口范圍。在面向全球征集下一代密碼算法和國際標準化的背景下,上述規定體現的監管規則可能需要進行重新定位和設計,涉及《網絡安全法》與《網絡關鍵設備和網絡安全專用產品目錄》的協調,例如將特定功能和指標的PQC作為安全專用產品考慮等。這些都使網絡空間安全法框架的制度設計變得更加復雜。
(三)基于風險和危機管理的法律治理
無論是密碼基礎法,還是網絡安全、數據安全基礎法,立法關注和尋求解決的矛盾都在于“社會風險”預防、治理和懲戒。隨著風險管理(或者風險控制)理論的發展,主動防御、防治結合、綜合治理等提法不斷充實風險控制理論,也是對網絡社會風險未知性、不對稱性等特征的及時回應。PQC要應對的量子計算風險屬于此類具有未知性和不對稱性的情形。
《密碼法》《網絡安全法》和《數據安全法》等都涵蓋態勢感知、監測預警等主動風險管理理念的規范性要求。《密碼法》第十二條規定:“任何組織或者個人不得竊取他人加密保護的信息或者非法侵入他人的密碼保障系統。”《條例》第三十七條規定:“密碼管理部門會同有關部門加強商用密碼應用信息收集、風險評估、信息通報和重大事項會商,并加強與網絡安全監測預警和信息通報的銜接。”《網絡安全法》規定:“國家建立網絡安全監測預警和信息通報制度。國家網信部門應當統籌協調有關部門加強網絡安全信息收集、分析和通報工作,按照規定統一發布網絡安全監測預警信息”(第五十三條),“發生網絡安全事件,應當立即啟動網絡安全事件應急預案,對網絡安全事件進行調查和評估,要求網絡運營者采取技術措施和其他必要措施,消除安全隱患,防止危害擴大,并及時向社會發布與公眾有關的警示信息”(第五十七條)。此外,當網絡安全事件發生風險增大時,還將觸發更高層級的響應機制。《數據安全法》明確:“國家建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制。國家數據安全工作協調機制統籌協調有關部門加強數據安全風險信息的獲取、分析、研判、預警工作”。前述具有分布式和遞進性特征的法律要求符合以社會成本消弭社會風險的經濟學理論,也為將PQC技術、標準持續性、過渡性遷移提供了法經濟學支持,可以在一定程度上預判、緩解量子計算的安全風險。
風險控制是全周期的管理活動,無論是基于傳統風險控制還是基于主動風險管理的現行網絡空間安全法律制度,在應對量子計算風險和后量子加密保護實現安全等問題時依然適用,都需要經歷從法律到標準再到技術措施、行業實踐的落地和度量過程。在層次轉化上,風險控制要求通過推薦性標準和強制性標準的二分法,區分向PQC遷移的自愿性和強制性要求,增強和補足向PQC遷移的法律規范要求。在配套制度落地和實操上,風險控制體現在制定密碼技術審查鑒定清單、規則,細化基于重要性區分的網絡安全等級保護密碼標準規范、關鍵信息基礎設施安全保護密碼標準規范,將需要遷移的密碼產品、服務列入檢測認證清單(或其他形式)直至具體密評工作等方面,整體實現向PQC遷移的安全性、合規性控制目標。這些都是基于風險管理的法律適用性完善方向。
(四)基于重點性保護原則的法律要求
《密碼法》《網絡安全法》《數據安全法》《關鍵信息基礎設施安全保護條例》都強調網絡安全等級保護的基線要求。《密碼法》第二十七條規定:“法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接,避免重復評估、測評。”《網絡安全法》第三十三條規定:“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。”《關鍵信息基礎設施安全保護條例》重申和強調網絡安全重點保護原則,其中,第六條規定:“運營者依照本條例和有關法律、行政法規的規定以及國家標準的強制性要求,在網絡安全等級保護的基礎上,采取技術保護措施和其他必要措施,應對網絡安全事件,防范網絡攻擊和違法犯罪活動,保障關鍵信息基礎設施安全穩定運行,維護數據的完整性、保密性和可用性。”《數據安全法》在區分重要性的基礎上進行數據分類分級管理。這些規定和配套規范性文件共同構成了識別關鍵或重要系統、網絡、數據,并“優先”向PQC遷移的法律依據,同時給出了判定優先遷移的(定性)評價方向。
從重要性判定和重點保護角度考慮,法律的適用性意味著應將部分關鍵信息基礎設施、政務數據等作為向PQC遷移的優先考慮對象。量子計算的“長效”安全風險(也稱“時效”風險)直接指向對具有長期保密要求的信息進行“先收集后解密”,應基于此突出遷移時間的重要性,并將其作為識別重要數據因素的考量。網絡安全等級保護、數據分類分級、關鍵信息基礎設施認定與保護、重要數據識別等標準、指引類文件,均應通過法律闡釋、解讀充實量子計算的風險識別和應對內容,特別是如何評價“時效”風險對系統、網絡和數據重要性的影響,補強在法律法規原文、法律解釋性規定缺失的情形下支撐法律保護法益(如重要數據、關鍵信息基礎設施等)目的實現的根本問題。
三、對PQC遷移法律政策的戰略性思考
盡管能夠作出法律適用PQC的原則性解釋,但中國法律解釋仍受限于解釋機關和解釋方法的約束。因此,需要在釋法之外,輔之以部門規章或規范性文件的適用性補強,并發揮相關部門的協調機制能力進行跨部門、大聯動的銜接改造。
全球PQC遷移是超越技術本身的系統工程。在美歐已占據PQC算法和標準先機的情況下,中國向PQC遷移需從國家戰略的高度和層級將技術、政策、法律等納入整體考量,以總體國家安全觀為指引,完成PQC從算法征集到遷移的推演與研判。具體而言,依據《密碼法》和“十五五”規劃,推動出臺國家PQC發展專項戰略或在國家量子戰略層面將PQC納入考量,明確PQC發展屬于“國家密碼重大事項和重要工作”范疇,并基于“法治澄明、技術冗實”愿景,實現PQC算法、標準化和遷移的法律適用于技術升級。
一是法律保障制度體現開放包容的研發、有效的轉化機制和協同的監管互動。將國際PQC理論、算法基礎和工程實現方法、脆弱性發現和分析方法等納入中國PQC技術圖譜。系統梳理國家“十五五”重點行業、產業規劃與PQC有關的基礎研究和應用,為PQC算法篩選、標準化和實現提供基礎的、底層的科技支持。從密碼兩用物項界定出發,考慮監管PQC進出口許可、管制清單等。美國《出口管制改革法》(ECRA)提出,擴大對美國國家安全具有關鍵影響的新興和基礎技術的出口管制范圍,并細化實施細節,包括對量子行業的出口管制,例如政府計劃如何評估量子計算機的性能和針對量子比特處理的限制,通過不定期清單模式進行出口管制。這對相關機構準確理解密碼技術和算法征集的法律技術提出了更高要求。
二是實現具有特定重要性關鍵信息基礎設施向PQC遷移的進度安排。國際社會已形成電力、能源、基礎運營商、銀行金融機構等具有“特定重要性”關鍵信息基礎設施應優先向PQC遷移的共識。“特定重要性”關鍵信息基礎設施領域不僅自身地位重要,也是其他關鍵信息基礎設施運行的重點保障支撐,更是其他關鍵信息基礎設施向PQC遷移的基礎,同時,也構成了優先向PQC遷移的強制性基礎。根據具有“特定重要性”關鍵信息基礎設施的特點,面對量子計算威脅的脆弱性展開綜合風險評估與分析,制定重點領域遷移指引,使其不僅能夠為自身遷移做好準備,還能為其他關鍵信息基礎設施向PQC施遷移提供支持。
三是實現PQC創新生態繁榮和資源有效配置。通過整合現有的密碼、量子相關行業、組織、協會等社會資源優勢,吸納更多參與者共同推進PQC技術研發與創新,全面、深度掌握NIST密碼算法和標準,以及歐盟、日、韓量子戰略和技術指標的安全性,將分散、獨立的PQC技術研發、產品適當聚合,最大范圍和最具彈性地培育中國PQC創新生態。考慮到目前我國尚未提出商用密碼產品算法升級的具體要求,除一般性算法、標準和認證依據“供給”迭代外,更需要考慮構建市場自驅動的PQC遷移能力保障體系。
PQC技術是量子計算時代關涉國家安全和發展利益的顛覆性技術。PQC研發和遷移將有效避免和緩解顛覆性技術帶來的規則瓦解和規則真空風險。對中國來說,PQC技術應體現技術立法的原生安全力量,基于避免重蹈互聯網早期發展階段安全機制缺失覆轍的理性考量,激發網絡和數據安全、密碼行業和產業發展活力,為安全行業發展和共建“一帶一路”、多邊協定的數字貿易繁榮注入發展動能。這是實現量子計算時代加密能力與密碼分析(解密)能力再平衡、國際變局中戰略博弈動態再平衡不可或缺的重要國家安全保障。
(本文刊登于《中國信息安全》雜志2026年第5期)
![]()
![]()
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.