Key Findings

条款射程:适用对象不限于嫌疑人,扩展至"任何知悉密码的人"——IT人员、系统管理员、家庭成员均在射程之内。

关键差异:与英国RIPA相比,香港条款的核心差异不在刑罚轻重,而在制度环境——缺乏独立司法审批程序,且举证责任倒置由被要求人承担。普通法体系下强制解密立法中,这种安排极为罕见——被要求者须自证"可能"导致入罪,而非由执法机关证明要求的合理性。拒绝配合最高可处监禁1年,提供虚假信息则面临3年。

累积效应:从2020年《国安法》到2024年第23条立法,再到2026年强制解密——六年三轮立法构成了一条方向明确的权力扩张弧线,每一轮都在前一轮的基础上收窄个人权利空间。密码条款是最新一环。

香港政府3月23日刊宪修订《国安法》实施细则,新增强制解密条款:在涉及危害国家安全的调查中,警方可要求相关人士提供电子设备密码或协助解密,拒绝配合者最高可处罚款10万港元及监禁1年;提供虚假或误导性信息者,刑罚升至罚款50万港元及监禁3年。适用对象不限于嫌疑人本人,还包括设备的拥有者、获授权使用者、以及"任何知悉密码或解密方法的人"。射程之广,前所未见。

修订背景是取证困境。黎智英案中,检方大量引用WhatsApp消息和社交媒体帖文作为证据——数字证据的获取与破解能力,直接关系到国安案件的定罪效率。此前,拒绝提供手机密码并不构成独立罪行。新规补上了这一空白。

条文拆解:谁会被要求交出密码

修订后的实施细则第4(2)条赋予警方权力,要求相关人士提供密码或解密协助;第5条将不遵从定性为刑事罪行。条文设置了两项免责辩护:其一,遵从要求可能导致该人自证其罪;其二,遵从要求会违反其他法规所施加的保密责任或披露限制。被控者若能证明自己对不遵从有"合理辩解",亦可作为免责抗辩。门槛看似不高,实则不然。

"任何知悉密码或解密方法的人"——这一表述意味着IT技术人员、企业系统管理员、甚至家庭成员,只要被认定知悉相关密码,理论上都可能被纳入要求范围。对在港运营的科技公司和金融机构而言,员工在特定情境下将面临一个两难选择:遵从国安法的解密要求,抑或遵守其他司法管辖区——如欧盟GDPR或美国CLOUD Act——的数据保护义务。两套法律体系的合规要求彼此矛盾。条文对此沉默。

国际参照:并非孤例,差异在于制度环境

强制解密条款在全球并非罕见。先例不少。英国《调查权力规制法》(RIPA)第49条早在2000年便赋予执法部门要求嫌疑人提供解密密钥的权力,拒绝配合最高可判两年监禁,涉及国家安全案件则为五年。澳大利亚2018年通过的《电信与其他立法修正(协助与访问)法》同样赋予当局强制通信服务商提供技术协助的权力。

差异在于制度环境。英国RIPA要求执法部门事先取得法官批准的通知书,且法官须确认披露属于"必要且成比例的";澳大利亚的法律在通过时即引发激烈争议,反对派和科技行业批评其缺乏充分的司法监督。香港此次修订的条文中,并未明确提及独立的司法审批程序——要求由警方在调查过程中直接提出,而非经由法院核准。换言之,警方既是申请人,也是审批人。裁判员和运动员,合为一体。

Exhibit 1
强制解密制度国际对比:香港 vs 英国 vs 澳大利亚
比较维度 香港(2026修订) 英国 RIPA §49 澳大利亚 AA Act 2018
生效年份 2026 2000 2018
适用对象 嫌疑人 + 设备持有人 + "任何知悉密码的人" 密钥持有人或指定人员 通信服务商(企业层面)
司法审批 无明确要求——警方在调查中直接提出 法官事先批准通知书 + "必要且成比例"审查 司法部长授权 + 技术能力通知书
拒绝配合刑罚 最高监禁1年 + 罚款10万港元 最高2年(国安案件5年) 企业罚款(个人不直接入罪)
虚假信息刑罚 监禁3年 + 罚款50万港元 与拒绝配合同罪 民事罚款
举证责任 被要求人须证明遵从"可能"导致自证其罪 执法部门须向法官证明要求的合理性 服务商可就"技术不可行"提出抗辩
免责辩护 自证其罪 + 保密义务冲突 + 合理辩解 不知道密钥 + 已尽合理努力 系统性弱点(不得要求后门)
立法过程 行政刊宪,无公众咨询 国会辩论 + 修正案 国会辩论(但争议极大)

来源:《国安法》实施细则2026年修订、RIPA 2000 Part III、Telecommunications and Other Legislation Amendment (Assistance and Access) Act 2018;锐报综合整理

在普通法传统中,强制个人披露可能自证其罪的信息,通常需要额外的司法保障以平衡执法需要与个人权利。条文虽然保留了"自证其罪"的免责辩护,但举证责任落在被要求人一方——他需要证明遵从要求"可能"导致自己入罪,而非由执法部门证明要求的合理性。谁来举证,决定一切。这是香港条款与英国RIPA框架最本质的区别。

同批修订的其他权力扩展

Exhibit 2
香港国安立法工具包演进:2020–2026
  • 2020.06.30 《国安法》实施——分裂、颠覆、恐怖活动、勾结外国势力四类罪行入刑,最高终身监禁。首次在香港建立国安案件管辖框架
  • 2021–2023 《苹果日报》停刊、47人案审判、多个公民团体解散。国安法进入执法密集期,数字证据成为检控核心工具
  • 2024.03.23 《基本法》第23条完成本地立法——新增叛乱、间谍、窃取国家秘密等罪名,补充国安法的空白领域
  • 2025.12 黎智英案裁定罪成(串谋勾结外国势力),检方大量依赖WhatsApp消息和数字通讯记录作为证据
  • 2026.02 黎智英被判处20年监禁
  • 2026.03.23 《国安法》实施细则修订刊宪——新增强制解密条款(拒绝提供密码即入罪)、扩大海关扣押权、提高外国代理人不合作刑罚

来源:香港特区政府宪报、司法机构判决书、公开新闻报道;锐报综合整理

强制解密只是同批修订的一环。海关人员获授权在未经逮捕的情况下扣押具有"煽动意图"的物品;"外国代理人"不合作的最高刑罚从6个月翻倍至1年。方向一致:扩大取证权限,提高不合作的法律成本。

单看密码条款,冲击有限。但累积效应不容忽视。国际律师事务所和跨国企业此前已因2020年《国安法》和2024年《基本法》第23条立法,对数据跨境流动和员工合规风险进行了内部评估。强制解密条款再添一层压力:员工若因国安调查被要求提供系统密码,企业是否需要提前制定应对预案?预案本身,是否会影响跨国企业在港储存敏感数据的意愿?答案未定。但问题已摆上台面。

结语

拒绝交出密码,在香港已构成刑事罪行。名为执法工具的技术升级,实为数字时代沉默权边界的重新划定。强制解密的权力在西方民主国家并非不存在,但这些权力受独立司法审批约束,在立法时经历公开辩论,并嵌入一套完整的权力制衡体系。香港此次修订缺乏这些条件。执行的尺度将取决于执法部门的自我约束——而在司法独立性持续受质疑的环境中,自我约束从来不是可靠的制度保障。

© 2026 锐报 SHARPPOST. 保留所有权利。

本文为锐报原创深度分析,基于公开信息和独立研判。文中观点不构成投资建议。