欧盟正在讨论加密后门规则

关键要点

• 欧盟成员国目前在加密后门规则上存在严重分歧，预期不会达成一致。
• 各国可能会制定各自不同的、相互矛盾的规则。
• 企业对合规性法规的复杂情况将面临重大挑战，尤其是在涉及高度敏感数据的行业。

来源：enzozo / Shutterstock

全球各地关于要求加密后门的合规性规则激烈讨论，涵盖内容包括文本信息、移动设备、云端及SaaS应用等，不仅限于附件和通信应用。

当前，许多合规界人士将注意力集中在上，但加密公司同样高度关注澳大利亚的立法工作，认为澳大利亚可能会成为第一个完全接受加密后门的国家。加拿大、日本及其它一些国家也在考虑采取类似措施，而美国的一些立法者同样在讨论相关议题。

及【对加密后门的推动可能如何影响美国第一修正案权利的讨论】(https://www.csoonline.com/article/568029/us-
department-of-justice-push-for-encryption-backdoors-might-run-afoul-of-
first-amendment.html)

然而，在欧洲，欧盟成员国之间的分歧和英国的影响可能导致各国制定自己的加密后门规则，且在要求或不合规罚则上不进行协调。

“我们正面临各国、地区及州之间对[加密]法律的多样化挑战，”安永(E&Y)负责网络安全策略的执行董事布莱恩·莱文表示。“这是在安全与隐私之间进行平衡的问题，两者并不相同，且都有其价值。”

混乱局面

爱恩斯卡尔斯(Ironscales)的首席技术策略师奥迪安·帕克森表示，对加密后门的全球合规局势在2025年度将是“一场巨大的三维热锅炖，简直可笑。而且这在某种程度上是徒劳的。”他指出，欧盟国家的统一性几乎不可能，而分散的法律也缺乏实际效力。

对于企业首席信息安全官(CISOs)来说，这一问题极为棘手。虽然这些合规规定不会对企业直接管辖，但却可能带来巨大的间接影响。这些规则将直接适用于企业与之签约的供应商，从消息应用到云环境、移动设备、VPN、SaaS平台，甚至可能包括物联网(IoT)和工业物联网(IIoT)设备。任何能够传输数据的设备都有可能在这些地区的监管迷宫中被捕获。

CISOs需要保护各种敏感和受限数据，尤其是在健康医疗、金融以及航空航天等受监管行业中，这些行业可能存在政府或军方的合约需求，涉及安全通行证。

这些后门规则通常要求该供应商的一些员工或承包商可以无限制访问所有传输的未加密版本，以便于这些工作人员能够与执法机构共享这些文件。

CISOs面临的风险在于供应商或执法机构的工作人员可能不值得信赖，从而窃取或出售数据，或者在供应商或执法机构遭到泄露时，数据可能被暴露出去。

“防止特权内鬼的恶行总是很困难，”莱文说。

CSAM论点存在缺陷

立法者主张加密后门的主要论点是可以打击儿童色情内容（在加密界被称为CSAM——儿童性虐待材料）。

许多数字密码学专家认为这个论点是 flawed 的。独立网络安全研究员奥古斯丁·