民用场景,比如通讯、聊天、笔记、文件等产品服务,开发商可以做到在无需读取客户数据(如语音文字文件)的情况下就能提供服务,以中国目前的政治法律环境,开发商能这么做吗?如果不能,具体是哪些法律规定的呢?
有监管要求,不能实现技术上完备的 E2EE,只能是商业上「号称」的 E2EE(背后有密钥托管)。 至于法律规定,主要是网络安全法和密码法。
1 个赞
相关法律法规 
我个人感觉,使用端对端加密的人,会被重点关注,因为有可能被标记为对国家安全有害的人。
不加密内容也能做到,比如 QQ 非群聊是不在服务器留聊天记录的。
这个好像不只是国内了,之前看过国外隐私社区的帖子也有类似的说法,比如经常使用加密邮件的有可能也会被关注。当然他们不可能全力仔细跟踪每个用加密的,但是可能会存档一些截取的信息,当下可能解密不了但是没准什么时候就有用。
网帖道听途说的说法,没考证,也有可能只是危言耸听。
法律法规应该不会明确规定这个,但是实现这个的目的是什么呢,数据安全吗?数据只存在于手机上其实是最不安全的,就是要服务端有备份。 你想下,警察可以在地铁上随机要求检查乘客手机上是否有违规软件(我没有经历过这个,但经历过对警察执法拍照被发现后照片被全部删除)。
https不就是一个简单的端对端加密应用?
如果连E2EE都做不到,全同态加密就更不可能了。
端到端一般指的是用户的终端到终端之间
不是,不考虑技术上如何定义,服务器(向用户提供的内容)是要备案并接受审查的
存在服务器上了不代表必须存明文,既然已经不是端对端通讯了,加密用户在服务器上的资料也不是什么问题,法律也没规定这种情形下必须留后门吧
当然我这个回答的前提如果当地法律法规禁止提供端到端加密的前提下如何向用户提供值得信任的服务
不用端到端加密也不代表纯明文通信,像 TLS 这样的显然不太可能会归类为违法的。
这个据我所知没有明确规定,我能找到相关的就是这个:
中华人民共和国公安部令第 151 号
第二十一条 公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位有下列违法行为的,依法予以行政处罚:
⋯⋯
(三)未采取记录并留存用户注册信息和上网日志信息措施的,依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚;
并没有说什么样的「日志信息」⋯⋯
当然了,法律怎么说的并不重要⋯⋯
请问意思是没有真正的端对端加密吗?背后终究是有密钥给解密。 所以政府真的能做到,不让外国企业将机密数据传出境外?
小范围不知道,做大了肯定是要审查的。前段时间看了一个技术分享,某个做信息流的公司,要求任何一条信息可以一分钟内收回。这种要求不知道在不在法律里。
此话题已在 3 天后被自动关闭。不再允许新回复。