香港国安法修订下的手机密码披露令：法律权限与技术对抗

2026 年 3 月 23 日，香港特别行政区行政长官李家超签署生效的《维护国家安全条例》修订案，将数字设备密码披露义务正式纳入刑事执法框架。这一立法动作标志着香港警方获得了无需法官授权即可强制要求特定人士提供手机、电脑及其他加密设备解锁密码的执法权限拒绝配合将面临最高一年监禁及十万港元罚款，提供虚假密码则可能面临三年刑期。本文将从法律权限界定、技术实现逻辑及潜在防御策略三个维度，对这一新规进行系统分析。

法律权限的界定与扩张

此次修订的核心变化在于将密码披露义务从传统的刑事侦查程序中独立出来，形成了专门针对国家安全案件的特别权力机制。根据修订案条文，警方在处理涉及分裂国家、颠覆国家政权、恐怖活动及勾结外国或境外势力危害国家安全等四类犯罪时，有权要求任何掌握相关设备访问权限的人士提供密码或解密方法。

这一权力的覆盖范围远超设备所有者本人。修订案明确将义务主体扩展至设备持有人、授权访问者以及知悉密码或解密方式的任何人。这意味着配偶、企业 IT 管理员、律师助理乃至任何曾帮助当事人保管设备的朋友，都可能成为执法对象。值得注意的是，立法者专门设定了突破职业保密义务的条款，记者、医生、律师等传统受保密特权保护的专业人士，在国安案件中不再享有拒绝披露的豁免权。

立法程序方面，此次修订采用了行政长官直接刊宪生效的紧急立法模式，未经过立法会审议辩论。这种立法方式本身就引发了国际人权组织的广泛关注。英国伦敦大学学院法学讲师 Urania Chiu 评论称，这些权力 “严重不成比例”，运作过程中 “缺乏司法授权”，对隐私权和公平审讯权构成实质侵害。自 2020 年国安法实施以来，香港警方已依据该法逮捕 386 人，其中 176 人已被定罪，这一执法数据为新权力的运用提供了参考框架。

技术实现与执法机制

从技术层面观察，警方获取设备访问权限的途径主要依赖于法律强制力而非技术破解能力。现代智能手机采用的硬件级加密（如 iOS 的 Secure Enclave 和 Android 的 Titan M 安全芯片）使得在没有正确凭证的情况下，执法机构难以通过直接破解芯片获取数据。因此，新规的核心逻辑并非要求警方具备超越厂商加密强度的技术能力，而是通过刑事处罚威胁，迫使当事人主动交出解锁凭证。

在实际执法流程中，警方将首先依据国安法认定案件属于其管辖范围，随后向特定人士发出书面通知，要求在规定期限内提供指定设备的密码。拒绝提供将直接触发刑事追诉程序，检方只需证明当事人确实掌握密码且无正当理由拒绝披露，即可完成举证责任。这种 “由你自证清白” 的举证逻辑，与传统刑事侦查中由控方承担举证责任的原则形成鲜明对比。

修订案还创设了 “提供虚假密码” 的独立罪名，这一设计针对的是试图通过故意输入错误密码来规避执法的情况。表面上看，连续输入错误密码是合理的抗辩理由，但新规明确将此类行为定性为犯罪未遂，堵死了技术层面的规避空间。此外，对于使用加密通讯应用（如 Signal、Telegram）或运行虚拟专用网络的用户，这些工具本身可能被视为 “用于危害国家安全的犯罪工具”，进一步扩大了执法打击面。

加密防御策略的技术边界

面对法律强制力的技术对抗，个人需要清醒认识到纯技术手段的局限性。当法律强制要求披露密码时，任何基于密码的加密方案都面临根本性脆弱点 —— 因为密码必须被人类记忆或存储，而人类在法律胁迫下的不可靠性远高于加密算法的数学安全性。

从工程实践角度，真正的防御策略需要从数据生命周期管理的角度重新审视。首先，最根本的防御是减少敏感数据在设备本地的存储密度，采用云端加密存储方案，使本地设备仅作为访问终端而非数据仓库。这样即使设备被强制解锁，攻击者获得的也只是一个空的容器。其次，对于必须本地存储的敏感信息，可考虑采用硬件安全模块（HSM）结合生物识别二次验证的方案，部分高端设备支持将特定密钥设置为 “需要生物识别 + PIN” 双重认证，在法律胁迫场景下可主张无法强制获取生物特征。

另一个值得关注的策略是设备分区隔离。企业级移动设备管理（EMM）方案支持将个人数据与工作数据完全隔离在不同的加密分区中，当事人可以合理主张仅对特定分区拥有访问权限，从而将法律争议聚焦于更小范围的数据集。当然，这种方案的可行性取决于执法机构是否接受技术架构提供的抗辩理由，从当前立法精神来看，执法部门显然有意愿穿透任何技术层面的阻力。

跨境影响与风险预警

此次立法的影响远不止于香港本地居民。对于经常往返香港的商务旅客、记者、人权活动人士及科研人员而言，入境时所携带的电子设备可能成为国安法的执法标的。值得关注的是，修订案中关于 “境外势力” 的宽泛定义，使得任何与国际组织或外国媒体有工作关联的人士都可能成为潜在的执法对象。考虑到密码披露义务可延伸至任何 “知悉密码” 的人士，与当事人同行的同事、翻译乃至酒店服务人员理论上都可能受到影响。

从风险缓解角度，对于必须前往香港且携带敏感电子设备的人群，建议在出行前完成设备数据的云端备份与本地清除，使用全新或低敏感度的设备作为出行专用设备，并在入境前仔细检查设备上的通讯记录、文件命名及应用程序列表，避免任何可能被解读为危害国家安全的 “可疑” 内容。同时，建议出行前咨询熟悉香港国安法的专业律师，了解在特定情境下的权利义务边界，以及在被要求配合调查时的法定程序权利。

国安法修订带来的最深远变化，或许在于重新定义了数字隐私权的边界。当加密从纯粹的技术问题演变为法律义务问题，每一个依赖数字设备存储敏感信息的个体，都需要重新评估自己的数据安全策略与风险承受底线。

资料来源：本文核心事实依据 Gadget Review 于 2026 年 3 月 24 日的报道《Hong Kong Police Can Now Demand Phone Passwords Under New Security Rules》及 The Standard、South China Morning Post 等媒体的跟进报道。