香港政府3月23日刊宪修订《国安法》实施细则,新增强制解密条款:在涉及危害国家安全的调查中,警方可要求相关人士提供电子设备密码或协助解密,拒绝配合者最高可处罚款10万港元及监禁1年;提供虚假或误导性信息者,刑罚升至罚款50万港元及监禁3年。适用对象不限于嫌疑人本人,还包括设备的拥有者、获授权使用者、以及"任何知悉密码或解密方法的人"

修订的直接背景是执法实践中的取证困境。《苹果日报》创办人黎智英于2025年12月被裁定串谋勾结外国势力罪成,2026年2月被判处20年监禁。整个审判过程中,检方大量引用WhatsApp消息、社交媒体帖文和新闻出版物作为证据——数字证据的获取与破解能力,直接关系到国安案件的定罪效率。此前,拒绝提供手机密码并不构成"阻碍调查"的独立罪行;新规补上了这一空白。

条文拆解:谁会被要求交出密码

修订后的实施细则第4(2)条赋予警方权力,要求相关人士提供密码或解密协助;第5条将不遵从定性为刑事罪行。条文设置了两项免责辩护:其一,遵从要求可能导致该人自证其罪;其二,遵从要求会违反其他法规所施加的保密责任或披露限制。被控者若能证明自己对不遵从有"合理辩解",亦可作为免责抗辩。

"任何知悉密码或解密方法的人"——这一表述意味着IT技术人员、企业系统管理员、甚至家庭成员,只要被认定知悉相关密码,理论上都可能被纳入要求范围。对在港运营的科技公司和金融机构而言,员工在特定情境下将面临一个两难选择:遵从国安法的解密要求,抑或遵守其他司法管辖区——如欧盟GDPR或美国CLOUD Act——的数据保护义务。两套法律体系的合规要求彼此矛盾,而条文并未提供冲突解决机制。

国际参照:并非孤例,差异在于制度环境

强制解密条款在全球并非罕见。英国《调查权力规制法》(RIPA)第49条早在2000年便赋予执法部门要求嫌疑人提供解密密钥的权力,拒绝配合最高可判两年监禁,涉及国家安全案件则为五年。澳大利亚2018年通过的《电信与其他立法修正(协助与访问)法》同样赋予当局强制通信服务商提供技术协助的权力。

差异在于制度环境。英国RIPA要求执法部门事先取得法官批准的通知书,且法官须确认披露属于"必要且成比例的";澳大利亚的法律在通过时即引发激烈争议,反对派和科技行业批评其缺乏充分的司法监督。香港此次修订的条文中,并未明确提及独立的司法审批程序——要求由警方在调查过程中直接提出,而非经由法院核准。

在普通法传统中,强制个人披露可能自证其罪的信息,通常需要额外的司法保障以平衡执法需要与个人权利。条文虽然保留了"自证其罪"的免责辩护,但举证责任落在被要求人一方——他需要证明遵从要求"可能"导致自己入罪,而非由执法部门证明要求的合理性。举证责任的倒置,是这一条款与英国RIPA框架最本质的区别。

同批修订的其他权力扩展

密码条款并非孤立的修订。同批刊宪的修订还包括:海关人员获授权在未经逮捕的情况下扣押被视为具有"煽动意图"的物品;"外国代理人"在港未按要求披露相关信息的最高刑罚从6个月监禁提升至1年。这些修订共同构成了一次方向明确的执法工具包升级——扩大取证权限、加强信息披露义务、提高不合作的法律成本。

对香港的商业环境而言,修订的累积效应比单一条款更值得关注。国际律师事务所和跨国企业此前已因2020年《国安法》和2024年《基本法》第23条立法,对数据跨境流动和员工合规风险进行了内部评估。新增的强制解密条款将迫使在港企业重新审视其数据存储策略:如果员工因国安调查被要求提供系统密码,企业是否需要提前制定应对预案?这种预案的存在本身,是否会影响跨国企业在港储存敏感数据的意愿?这两个问题尚无标准答案,但它们已经进入了在港企业法务部门的议事日程。

结语

香港将拒绝提供密码入罪,名为执法工具的技术升级,实为数字时代沉默权边界的一次重新划定。强制解密的权力在西方民主国家并非不存在,但这些权力通常受到独立司法审批的约束,在立法时经历了公开的社会辩论,并被嵌入一套完整的权力制衡体系之中。香港此次修订在缺乏这些条件的情况下推进,其实际执行的尺度将取决于执法部门的自我约束程度——而在一个司法独立性持续受到质疑的环境中,自我约束从来不是可靠的制度保障