個人使用密碼產品，例如 OpenSSL，是否屬於違法行為？

12-23

初投稿です。オナシャスセンセンシャル。
首先，不是違什麼法都會讓人進局子撿一通肥皂。就算因為使用密碼產品被這個條例處罰，它能做的也至多是「沒收密碼產品」而已——連罰款都不行。還是不要把「違法行為」這幾個字看得太重，沒有強制力的規定基本上無害。本題情況下，這規定還真的基本上無害。不然我們來談談如何沒收一個軟體吧。
好吧，回答問題。問題是「是否違法」而不是會不會被警察叔叔抓起來。換言之，只看構成要件，不管滿足要件後會發生什麼。題主列出的《管理條例》第十四條、《管理規定》第六條，采其中關於個人的部分，得到如下幾項：

使用商用密碼產品。
該商用密碼產品是自行研製的或境外生產的。
看起來很清晰，題主自己也下了個結論，這問題大概不用答了。可惜，要是自然語言真有這麼清晰，生活該多麼美好。讓我們看看，商用密碼產品是個什麼東西？《商用密碼產品使用管理規定》有言，商用密碼產品是「採用密碼技術對不涉及國家秘密內容的信息進行加密保護或安全認證的產品」。這很清楚了，但產品又是個什麼東西？
產品是個什麼東西？……這不是常識么？但越是所謂常識的概念就越容易出現模糊邊界，越需要解釋。事實上搜索「產品」一詞就能得到很多不同的定義，而立法的時候那群立法人員想的是哪個？……鬼才知道。作為十五年後來看這篇規定的草民，我們只能猜：或者你願意的話，也可以好聽點叫做解釋。不得不說，這規定透明到連個像樣的判例都沒有，自然也不會出現什麼官方法律解釋了。不過在官方解釋出來之前，我們總可以猜不是么？讓我們試著從這規定里總結出個描述性定義來。下述條文均出自《管理條例》。
（第七條）「產品」的生產需要通過「設備」和「生產工藝」完成。
（第十六條）「產品」是會發生故障，可以維修的。
（第二十一條）「產品」是可以被沒收的。

小結：「產品」必定是有形物。OpenSSL是軟體，軟體不是有形物，所以OpenSSL不是「商用密碼產品」。烏拉。對了，這種文字遊戲有個冠冕堂皇的名字叫「邏輯解釋」。
但其實，這並不重要。誠如一名匿名用戶所言，「只是上面想不想搞你而已」。上述情況只是在作「文面解釋」，然而根據你的臉，你還可能遇到「限制解釋」或者「擴張解釋」。如果恰巧臉黑遇到擴張解釋，則會變成如下情況：
顯然，制定這樣一個法規，嚴格監控密碼學研究和使用，不過是為公權力在想要時窺探秘密、侵犯私益的行為創造便利。從這個立法目的出發，我們可以得出這樣的結論：只要試圖從國家眼皮底下藏住東西的都要被這規定製裁。你說軟體不能沒收？你說非對稱加密的信息你也不知道怎麼解開？你問我「產品」是什麼意思？We are totalitarian, we do whatever we want, WHO FUCKING CARES.
小結：看臉。這種文字遊戲又叫做「目的解釋」。
但其實，這並不重要。如果你真的因為使用密碼產生不利的法律後果，那也不大可能是因為這個規定：因為之前說過的，這個規定對於使用者而言強制力實在太弱，何況還要加上個「情節嚴重」，根本沒有適用過幾次。如果國家認為你的密碼學應用值得「喝茶」，才不會用這個規定對付你，而是會直接搬《刑法》出來：那才真是可怕的地方，但也和使用密碼本身無關了，因此不在本題討論範圍。

總結：取決於如何解釋這篇規定，個人使用OpenSSL等密碼學軟體可能犯法或者不犯法。但無論何者，普通個人都相當不可能因使用密碼本身受到任何實質性的傷害（司法成本和獲得的收益不成比例）。如果你真的被喝茶，幾乎一定有著使用密碼之外的原因——至少是密碼之外的說辭。
~~~~
EDIT:部門規章並不是由人大制定的，之前手滑了。

如果計算機加密也算在內，那麼NTFS呢？
順便，中國法律之險惡在於很多似乎很正常的事是違法的，只是上面想不想搞你而已。

和商密打過交道，做過全流程商密申請，目前從事信息安全工作。
首先區分一下廣義上的商用密碼產品和狹義的商用密碼產品：
廣義上來說大家都在用的、常見的密碼模塊，包括軟體、硬體、固件、IP等都算是商用密碼產品，比如OpenSSL、U盾、Windows 8.1 Boot Manager等。這一類產品的共同特點是至少包含一個密碼演算法，不論是對稱加密還是非對稱還是HASH還是別的什麼的。
狹義上來說，尤其在國內，所謂商用密碼產品指的是由商用密碼管理辦公室所認證的產品，共同特點是包括至少一個國產商用密碼演算法，比如SM1、SM2、SM3、SM4、SM33等。
所以對應樓主的問題，OpenSSL並不算是狹義上的商用密碼產品，因為這東西裡頭並不包含商用密碼演算法，所以商用密碼管理辦公室的《商用密碼管理條例》管不到這個頭上。

簡單來講，商用密碼產品指：
1. 使用加密技術（演算法）；
2. 對信息重新編碼；及
3. 目的是為了加密保護或安全認證。
最高票答主的理解是有問題的，在1999年《商用密碼管理條例》出台時，也許僅根據「上下文」解釋，軟體還處於使用磁碟「產品」不包括無形物。但是，法律解釋不應該僅根據上下文，應首先從文意出發。隨著科技發展，產品逐漸被賦予了包括無形物的的內涵。軟體，也逐漸被稱為軟體「產品」。所以，密碼產品是包括有形（設備、硬體、密碼卡、U盾等）和無形（軟體、秘鑰等）的。

國內的公司使用的軟體密碼產品一般屬於在購買電腦時和Windows系統一起購置或Window預置的，這種情況實踐中國家商用密碼管理辦公室和各地密碼局一般不做限制（但眾所周知Win10操作系統除外）。
根據《境外組織和個人在華使用密碼產品管理辦法》和《商用密碼產品使用管理規定》有關規定，能夠使用境外密碼產品的只有境外組織或個人以及外商投資企業，且只能為了互聯互通的目的。
所以，中國法律禁止中國居民個人使用境外生產的密碼產品（包括軟體）。（之所以沒有違法成本是因為密碼局是管理性質，沒有執法部門。。。查處違法單純靠舉報。。。但是你要相信通過使用密碼產品侵犯國家秘密和安全的，你一定會被及時發現的=。=）

當年PGP也有類似歷史：

Shortly after its release, PGP encryption found its way outside the United States, and in February 1993 Zimmermann became the formal target of a criminal investigation by the US Government for "munitions export without a license". Cryptosystems using keys larger than 40 bits were then considered munitions within the definition of the US export regulations; PGP has never used keys smaller than 128 bits so it qualified at that time. Penalties for violation, if found guilty, were substantial. ... Zimmermann challenged these regulations in an imaginative way. He published the entire source code of PGP in a hardback book, via MIT Press, which was distributed and sold widely. ... PGP would thus be available anywhere in the world. The claimed principle was simple: export of munitions—guns, bombs, planes, and software—was (and remains) restricted; but the export of books is protected by the First Amendment.

via http://en.wikipedia.org/wiki/Pretty_Good_Privacy#Criminal_investigation

商用密碼產品說的是TCM(中國版TPM)等等這類實物的。軟體的東西算作密碼技術。。。

各位答主，不要小看這個問題，樓主說的並非空穴來風。
我這有一本書，講述Java自帶的幾種加密解密演算法。而且書中特別有提醒，政府機構限制了可以使用哪些演算法、尤其是限制了可以使用的密鑰長度。演算法需要經過美國國家安全局（NSA）審批過，允許怎麼樣的情況下使用，才能使用。

其背後的緣由在於，加密演算法原本是軍事領域獨有的東西，就像製造槍械彈藥的技術一樣，可以算作軍用技術的範疇。私自使用加密演算法，好比走私槍支彈藥，只不過絕大多數人用加密演算法搞不出什麼破壞罷了。政府對這塊領域進行管制是有道理的。
這個問題就是法律裡面的敏感問題。為了不惹麻煩，就得告訴你不能隨便使用。OpenSSL自然也在此列。

推薦閱讀：

※中國法律什麼時候普及？