加密與國會

到 90 年代中期，國會在密碼戰爭中已經成為一個戰場，而歷史上安全與情報機構總是處於勝利一方。1996 年發布的 CRISIS 報告大力主張加強密碼與放寬出口管制，這標誌著整個十年後期逐步轉變的開始。與 CRISIS 報告相近時期，另一份重要報告也隨之發佈。當時總統的國家安全顧問曾於 1994 年末命令對加密出口政策對美國軟體產業的影響進行調查。NSA 與商務部共同合作，原本計畫在 1995 年 7 月前完成該報告，但最終報告於 1996 年完成。該完整報告被列為機密文件，但經過編輯後的版本已對外公開。報告作者估計，加密軟體僅佔軟體市場的 1% 到 3%，但同時也預期其成長潛力巨大。報告發現，「美國出口管制對一般用途產品在國際市場份額的影響大概可以忽略不計」，並指出「消費者往往對這些產品中包含的加密功能並不知情，主要是根據實現產品主要功能（例如文書處理或資料庫）的特點來決定購買。」報告還補充，針對具備加密功能的一般用途產品，幾乎沒有多少「可與之競爭的外國對手」。報告認識到，由於出口法律的限制，「許多專注於安全領域的小型軟體公司……選擇僅限於國內銷售。」然而，與數位隱私活動人士的說法相反，該報告主張「幾乎沒有證據顯示美國出口管制對國內市場上產品的可得性產生負面影響」，因為供應商只生產功能較弱且適合出口的產品。儘管政府報告持這一觀點，但國會的情緒正在發生變化。

促使國會逐步轉向自由化的一個重要因素，是科技產業遊說力量的增強。90 年代初期，少數科技公司的主導地位引發了人們對其是否具有反競爭性的疑慮，並預示著可能出現類似 20 世紀初標準石油案那樣的壟斷局面。標準石油案最終導致該公司被拆分成數十個較小的實體，以重建具有競爭性的商業環境；那麼，這種情形是否會發生在 90 年代的科技公司身上呢？1990 年，美國聯邦貿易委員會針對微軟與 IBM 可能存在的串通行為展開反壟斷調查，使微軟成為反壟斷的目標。隨著千禧年的臨近，微軟案逐漸演變並不斷擴大。科技產業無疑認識到，要應對這些威脅，就必須在華盛頓建立更強大的影響力。對許多從小認為應該以技術進步為代價犧牲規則的人來說，政治是一個陌生的領域。地理因素也對科技高管不利——權力中心遠在另一大陸，這使得與有影響力的政客建立關係變得更為困難。隨著金融實力的增強以及科技遊說團體的不斷努力，國會議員逐漸開始關注科技公司面臨的挑戰，其中最顯著的便是加密問題。

在 90 年代初期，國會就多個與加密相關的議題舉行了聽證會，例如《數位電話法》。國會曾嘗試推動立法，例如在 S.266 中加入「國會觀點」的措辭，若通過，將賦予政府合法權限取得加密資料的明文，但最終並未有此類立法推進。知名密碼學家曾向國會作證，闡述加密在戰略及社會政治方面的深遠影響。PGP 的發明者 Phil Zimmermann 於 1993 年在眾議院經濟政策、貿易與環境小組委員會上作證。他告訴國會，電腦最初是在第二次世界大戰期間秘密開發，以破解敵方密碼；「各國政府在那個時期就形成了對密碼技術的態度……這些態度延續至今。」Zimmermann 解釋說，數位革命正在導致「我們隱私的令人不安的侵蝕」，隨後他描述了監控勞動限制被解除的情形：

「在過去，如果政府想侵犯普通公民的隱私，就必須花費一定的精力去攔截、拆開並閱讀紙質郵件，或是竊聽、甚至可能還要轉錄電話交談。這就像用魚鉤和魚線一次只能捕一條魚一樣。對於自由與民主而言，這種勞動密集型的監控在大規模操作上根本不可行。」

Zimmermann 解釋說，電子郵件更容易被攔截並掃描關鍵字：「這可以輕易、常規、自動且無法察覺地在大規模範圍內進行。這就像使用拖網捕魚——對民主的健康產生了一種定量與定性的極權主義式巨大差異。」Zimmermann 強調，加密限制對民主構成威脅，他表示：

「政府中的某些部門似乎意圖部署並鞏固一種通訊基礎設施，從而剝奪民眾保護其隱私的能力。這令人不安，因為在民主制度中，不時會有不良人士當選，有時候甚至是非常不良的人。通常，一個運作良好的民主國家有機制將這些人免職；但錯誤的技術基礎設施卻可能使未來的政府能夠監視任何反對者的一舉一動。這很可能會成為我們有史以來最後一屆政府。」

Zimmermann 建議，在制定新技術的政策時，應當進行良好的公民衛生工作，確保那些「最能強化警察國家之手」的技術不會被部署。三年後，在向另一個小組委員會作證時，Zimmermann 主張出口政策需要改變，因為加密對數位硬體而言僅是「簡單的算術」，而全世界都在嘲笑「美國正逆天而行，試圖阻止自然法則……這就像試圖立法規範潮汐與天氣一樣。」Zimmermann 補充道：

「正如每項新技術都伴隨著一定的代價。汽車污染空氣並引發交通堵塞；密碼技術能幫助罪犯隱藏其活動。執法與情報部門的人士只會從他們自身的角度看待這些問題。但即便有這些代價，我們仍無法在自由市場的全球經濟中阻止這一趨勢。」

Zimmermann 還表示：

「在過去一個世紀中，公眾對政府的不信任從未像今天這樣在整個政治光譜上廣泛存在……技術進步將無法維持現狀，就隱私而言。現狀是不穩定的。如果我們無所作為，新技術將賦予政府前所未有的自動監控能力，連斯大林都無法想像。維護資訊時代隱私的唯一方法就是採用足夠強大的加密技術。必須是足以阻擋主要政府機構的加密技術。」

控制危險或兩用出口的兩個主要立法工具分別是國務院的軍火清單（《武器出口管制法》的一部分）和商務部的商務管制清單（《出口管理法》的一部分）。這兩個清單的內容逐漸開始重疊，因此在 1990 年 11 月，布希總統下令對重疊的兩用項目進行審查，意圖將除非對國家安全構成重大風險，否則將其從軍火清單中移除。國務院領導了跨機構的審查工作，以識別哪些項目應移至商務管制清單。其中就包括具有加密能力的大眾市場軟體。最初，在 1991 年 4 月，國務院與國防部同意將具有加密能力的軟體保留在軍火清單上，以便 NSA 能夠審查所有此類產品；然而到了 1992 年 1 月，國務院改變了立場，認為商務部可以管理大眾市場軟體。國防部則反對，認為商務部缺乏管理加密技術的控制系統。NSA 向國際安全事務副部長以及總統國家安全事務助理提出上訴，要求將管制權維持在國務院，最終行政當局予以同意。

為了緩解出口管制，民主黨籍的加州眾議員 Meldon Levine 在 1991 年《出口管理法》再授權法中加入了一項修正案，主張當加密軟體「具備某些特定技術特徵」時，應將其大眾市場軟體的管制權從國務院移交給商務部。這一修正案得到了代表美國軟體供應商的軟體出版商協會（SPA）的鼓勵。據《華盛頓郵報》報導，在一個被稱為「愚蠢且不切實際」的舉措中，布希政府威脅若不刪除該修正案便將否決該法案。儘管該修正案最終從立法中撤回，但 Levine 的行動進一步向國家安全委員會和 NSA 施壓，促使其做出妥協，而非徹底封鎖 SPA，而 SPA 則特別希望能夠出口 DES。公眾輿論也逐漸開始轉向支持反對政府的人士。例如，1992 年 6 月《華盛頓郵報》一篇文章指出，政府「緊抓著徒勞無益的希望，試圖阻擋技術潮流」，卻未能承認技術已發生了根本性的「海洋變革」。該文認為，國防部「除非被迫，否則不會屈服於常識性政策。」

1992 年 7 月，軟體出版商協會與布希政府達成協議，允許 Ron Rivest 所設計的 40 位元密碼（RC2 與 RC4）得以出口。軟體出版商協會總法律顧問 Ilene Rosenthal 表示：

「儘管這是邁向急需解除對大眾市場具加密能力軟體出口管制的重要第一步，但國家安全局和國家安全委員會必須持續推進解除管制的進程。」

國家安全委員會也同意每年與軟體業界代表會晤兩次，討論進一步放寬出口管制的可能性。隨後，40 位元 RC4 很快就被納入出口產品中，包括市場主導的 Netscape Navigator 瀏覽器。

然而，40 位元 RC4（大約有一千萬億個密鑰）逐漸顯示出其脆弱性。1995 年，Damien Doligez 在法國成功破解了一則使用 40 位元 RC4 加密的訊息。他利用約 120 台工作站進行全面性攻擊，僅搜尋超過一半的密鑰空間後，便於八天內找到了密鑰。到了 1996 年 1 月，一位麻省理工學院的大學生 Andrew Twyman 使用一台價值 83,000 美元的圖形電腦，在同樣的八天內完成了同樣的任務；以每秒 830,000 個密鑰的搜尋速率計算，他本可以在十五天內搜尋完整個密鑰空間。國家安全局擁有的運算能力遠超這台電腦，因此可以合理推測，當 RC4 獲准出口時，他們也能夠輕易破解 RC4。密碼學教授 Keith Martin 表示：「可以肯定地認為，在 90 年代初期，國家安全局認為對 40 位元密鑰進行全面搜尋是可行的。」

隨著 90 年代進程中密碼戰爭變得越來越極化與公開，國會陸續提出了一系列法案，常呈現出攻防相間的模式。1996 年 3 月，佛蒙特州民主黨參議員 Patrick Leahy 提出了參議院法案 S.1587，即《加密通訊隱私法案》（ECPA），並在眾議院推出了配套法案。Leahy 表示，該法案允許美國人「使用任何加密技術，無論所選用的加密演算法、密鑰長度、實作技術或媒介為何。」此外，該法案還將賦予商務部長對密碼出口政策的控制權，允許在海外具備相似能力的情況下無需密鑰託管即可免許可出口，並將利用加密技術協助犯罪行為定為刑事犯罪。該法案為密鑰託管提供了一個法律框架，儘管其使用是可選的。

《加密通訊隱私法案》在數位隱私社群中引起了褒貶不一的反響。Todd Lappin 在《連線》雜誌上評論說：

「真不出所料，幾位國會議員終於聽到了保護網際網路隱私和商業運作所需強加密的呼聲。終於，他們開始介入這場戰鬥，提出了一項法案，直接針對克林頓政府那些搞砸的……提案打出了一記致命一擊。」

美國計算機協會、電機與電子工程師學會以及選民通訊監察組織均表示支持。民主與科技中心指出，該法案「代表了朝著打破對加密技術壟斷的一大步」，同時也「表明拒絕克林頓政府那種侵入性且行不通的……政策。」密碼龐克 Jim Gillogly 寫道，這項法案「換個角度看是個好消息」；而 Matt Blaze 則補充道，「我認為這項法案是一大進步，值得支持。」他還與 Leahy 進行了通信，感謝他在這一領域持續領導。另有一些人士僅表示有限度的支持。知名 PGP 擁護者 Simon Garfinkel 在《紐約時報》上寫道，「儘管這項新法案仍會禁止美國公司出口創新的程式，但至少能使它們與外國公司在同一競爭基礎上展開競爭。」Peter Junger 雖對此表達了一些保留意見，但他認為參議員 Leahy 及其他法案發起人「應受到讚揚。」John Gilmore 表示，「這法案是一個良好的開始，只要經過充分辯論和修改，它就有望成為一項可接受的立法。」同時，美國電子前沿基金會發表聲明，警告克林頓政府正籌備一項由 FBI 與 NSA 指示的反加密對策法案：

「目前尚不清楚該法案的具體細節，但它不大可能對網際網路用戶的隱私權、數位商業、系統安全或言論自由有利。現有的法案為我們這些關心這些議題的人士在風暴來臨前，向立法者、媒體和公眾進行教育爭取了一個先機。」

然而，隨著數位權利社群對該法案進行更為詳盡的分析，發現其中存在許多語言上的模糊之處，令人擔憂該文本將如何被執法部門解讀，許多人因此轉而不支持這項立法。密碼龐克 Jim Bell 評論道：「我們對這項法案進行了徹底檢視，發現它存在嚴重缺陷，而且普遍支持加密的人士似乎根本不願為它辯護。法案中包含的許多條款未來可能會對加密技術的使用構成危險。」許多人也認為該立法範圍過於寬泛；美國計算機協會與電機與電子工程師學會認為，

將與出口無直接關聯的議題（如密鑰託管與加密在國內刑事活動中的應用）納入其中並非必要。出口管制的放寬對產業與使用者具有極大的經濟重要性，不應捲入更多具爭議性的問題。

Denning 認為該法案不符合國家利益。他在致 Leahy 的信中寫道，這項法案「並未符合社會需求的平衡」，並且將「侵蝕我們執法與情報機構執行任務的能力」。對於數位權利運動中的一些人士而言，Denning 對該法案的強烈反對本身就證明了該法案的可取之處；儘管他對法案有所保留，Declan McCullagh 卻評論道：「任何能被 Dorothy Denning 如此激烈攻擊的立法，必定值得通過。」媒體也日益關注國會中此起彼伏的攻防對抗，當公眾的網際網路政策焦點正集中在不雅圖像問題時，《紐約時報》試圖強調，加密技術的運用才是網際網路的關鍵議題。

1996 年 5 月 2 日，參議員 Patrick Leahy 宣布，他「自豪」地成為首位在網際網路上發布既帶有簽名又經過 PGP 加密訊息的國會議員。他此舉是為了支持另一項親加密法案，該法案在《加密通訊隱私法案》發布兩個月後問世。Leahy 在訊息中寫道：

「今天，一個跨黨派的參議員團隊與我一同支持一項立法，旨在透過撤銷對強加密技術出口的過時限制，鼓勵網際網路上強大且能增強隱私保護技術的發展與運用。」

Leahy 表示，他長期以來一直關注網上隱私問題；因此，他與多位參議員在參議院推出了一項新法案——《數位時代網路商務促進法案》（PRO-CODE Act of 1996），以解除對「一般可取得或大眾市場加密產品」的出口限制。他補充說：「目前對加密出口的政策顯然早已過時，並未顧及全球市場中個人與企業的真實需求。」

隱私論點逐漸以支持加密的安全性論點來增強，而非反對加密。Leahy 在向參議院陳述時說道：

「強加密在防止犯罪方面具有重要作用，它能夠阻止駭客、工業間諜和竊賊窺探私人電腦檔案並竊取有價值的專有資訊。我們應該鼓勵使用強加密，以防範某些類型的電腦及網路犯罪。」

Leahy 最後總結道：「現在正是國會採取行動，將我國的加密政策引向正確軌道的時候。」John Gilmore 回憶起 Leahy 站在密碼龐克一邊所產生的影響，他說：「這意味著在華盛頓至少有一個人對加密有所了解，而此前看起來似乎一個人都沒有。」但不僅僅只有 Leahy 一人，參議員 Conrad Burns 也是該法案的共同發起人之一；在致網際網路社群的信中，Burns 寫道：「在我們讓聯邦政府放手並鼓勵為全球市場發展強大密碼學技術之前，電子商務和網際網路的潛力都無法實現。」Burns 補充道：

「網際網路最不需要的，正是那些壓制性和過時的規定——它們不僅禁止出口強大隱私與安全工具，還要求政府持有我們私人通訊密鑰的複本。但這正是我們當前所面臨的局面。」

將該法案框定為促進經濟增長，而非僅僅著眼於隱私保護，無疑更能獲得國會廣泛支持。參議員 Burns 向國會表示：

「電腦系統政策計畫的一項研究發現，在未來僅僅四年內，美國企業可能損失 600 億美元的收入，美國工人可能損失 216,000 個高科技就業機會。我們的法案是一項就業法案，我相信政府也會認同這一點。」

法案中的措辭進一步強調了這一訊息：

「只要網際網路仍然是一個不安全的媒介，使得機密商業資訊和敏感個人資訊處於未經授權的瀏覽、更改和使用風險之中，其作為商務平台的全部潛力就無法實現。」

該法案明確歸咎於扼殺加密市場增長的原因：

由於商務部長透過國家標準技術研究院實施的監管措施，企業已被阻礙進一步研發與行銷具加密能力的產品。

法案強調，政府的密鑰託管政策阻礙了商業進展，並主張政府「忽視了市場上並無證據顯示存在對那些使政府輕易取得資訊的功能的商業需求」的事實。此外，法案的起草者指出，外國供應商提供了眾多非密鑰託管的替代方案，而且網際網路上也能免費獲得這些方案。法案起草者還抨擊政府利用其購買力操縱市場的企圖，指出：

「商務部長透過國家標準技術研究院，試圖利用美國企業向美國政府銷售商業產品以及在全球銷售單一產品的願望，迫使企業在美國及國外銷售的產品中加入某些功能，使聯邦政府能夠輕易取得所有電子資訊與通訊的明文。」

法案起草者主張：

「應鼓勵美國企業研發與行銷具加密能力的產品及程式；並且應禁止聯邦政府頒布規定與採取政策，從而阻礙加密技術的使用與銷售。」

該法案明令禁止密鑰託管，並允許出口所有普遍對公眾開放的加密產品（包括網上產品）。實質上，除了專為軍事應用而開發的加密技術或向支持恐怖主義的國家輸送加密產品之外，大眾市場加密技術的出口將是合法的。

參議員 Burns 向國會議員提問：

「你們中有多少人會在網際網路上傳送信用卡號時感到安全，尤其當你們得知 1990 年至 1994 年間報告中的電腦駭客入侵案件增加了九倍？或者當《Internet World》雜誌估計，僅在 1992 年，不受歡迎的電腦入侵案件實際數量達到 120 萬件時？」

Burns 承諾將與網際網路用戶舉行兩次線上市政大會，以徵求他們的意見。密碼學社群對此反應積極。Phil Zimmermann 認為：

[PRO-CODE] 是我們讓美國人獲得這一關鍵自由工具（密碼學）的最佳機會。讓我們把一個能讓子孫即便相隔千里也能低語耳語的社會傳承下去。

然而，到 1996 年 7 月，Zimmermann 的樂觀情緒已開始消退：

「不幸的是，無論 ProCODE 法案多麼出色（而事實上它確實出色），今年它都無法有任何進展。時間已所剩無幾，而在參議院，國家安全利益方面的強大盟友隨時準備阻撓該法案若突然從委員會中溜出。」

不過，Zimmermann 仍然看到了曙光，他相信至少已經成功「教育了國會，辯論正朝著我們有利的方向轉變」。他引用最近一次國會聽證會中的情況，指出副司法部長 Jamie Gorelick 提出的「網路版珍珠港」恐慌，這一恐慌可能會對他們產生有利影響。

當國會進入 1997–1998 年會期時，參議員 Burns 重新提出了 PRO-CODE 法案，並增添了額外語言以成立一個資訊安全委員會（ISB）。該委員會將每季召開會議，旨在「提供一個促進產業界與聯邦政府之間溝通與協調的平台」，以共享有關包括加密在內的重要資訊安全技術的「一般、非專有、非機密」發展資訊。該委員會由政策制定者參與，並會向相關聯邦機構報告：「將一般、非專有、非機密的資訊提供給適當的聯邦機構，以便使執法和國家安全機構能夠及時掌握新興技術，從而有效地履行其職責。」

這一安排很可能是為了向執法與情報部門保證，在出口限制放寬後，他們能夠獲得及時資訊來協助管理這一變革。然而，密碼龐克們對 ISB 的意圖表示擔憂：Greg Broiles 擔心該委員會可能會強制要求作證；而 Alan Olsen 則半開玩笑地說，「這聽起來像是一個不錯的小橡皮槌委員會」，甚至戲稱它可以被稱作「反美加密委員會」。所謂橡皮槌密碼分析，其實是指利用脅迫（例如用橡皮槌毆打嫌疑人）來迫使其洩露密碼秘密。

隨著早期的密碼法案未能在國會獲得足夠動能而順利推進，1997 年 2 月，由維吉尼亞州共和黨眾議員 Robert Goodlatte 提出的 H.R. 695——一項擁有超過 60 位共同發起人的兩黨法案，題為《透過加密確保安全與自由法案》（SAFE Act）——被提出。該法案中包含了「國會觀點」的語言，主張在未達成國際共識以防止其他國家出口強大加密技術的情況下，對加密實施出口管制對美國競爭力有害。SAFE 法案允許美國公民在國內外使用任何加密技術，「無論所選用的演算法、密鑰長度、實作方式或媒介如何」。該法案主張解除加密出口限制，前提是「當有具有相當安全性的產品可從國外供應商處獲得時」，但對外國軍隊和恐怖分子則例外。該法案還規定，若利用加密促進犯罪，最高可處以五年監禁。眾議員 John Conyers 指出，外國競爭對手的市場推廣強調他們能夠提供遠比美國產品（後者輕易被破解）更為強大的加密技術；而加州民主黨眾議員 Zoe Lofgren 則認為，「由於聯邦政府對這項技術實施目光短淺的政策，我們國家在這個至關重要的產業中可能會失去優勢，許多業內人士已認為我們在這條路上落後了一步。」Lofgren 補充道：

「與其繼續推行這種有缺陷且行不通的政策，我寧可敦促國家安全和執法部門採取合作態度，並利用全球頂尖科學家的智慧，共同應對挑戰。」

William Reinsch 代表政府主張，SAFE 法案「不會有所幫助……它提出的出口自由化遠超過政府能夠接受的範圍。」副司法部長 Robert Litt 強調了若干案例，這些案例中加密技術曾阻礙他們的調查工作。Litt 提到，曾有一位名叫 Aldrich Ames 的中央情報局特工（他同時被 KGB 招募成為間諜），其上級曾指示他在傳送秘密資料到莫斯科前，必須對文件進行加密。另一個例子是 Ramzi Yousef，此人近期因密謀炸毀十架屬於美國的飛機而被定罪，並被認為是 1993 年世界貿易中心爆炸案的「主謀」，他與共謀者似乎將其恐怖活動計畫的相關資訊存放在一個加密的電腦檔案中。其他被引用的案例還包括涉及兒童色情、毒品販運及犯罪性駭客等案件。Litt 也談及第四修正案中對隱私的規定，他指出，

我們的建國先賢就已認識到絕對的隱私權與一個有序的社會是不相容的，因此我們的國家從未承認這樣的絕對權利。相反，第四修正案在個人隱私權與社會在適當場合、經法院授權下介入該隱私權之間取得了一個謹慎的平衡。我們的加密政策應當努力維持這一經得起考驗的平衡。

Litt 主張：

「無法破解的加密技術將打亂這一微妙的憲法平衡，而這平衡正是我們法律體系的基石，因為它會實質上使法院發布的搜查令或竊聽令失去作用。認為技術進步應該主導公共政策的觀念是錯誤的。」

Litt 表示，政府不同意那種所謂密碼「精靈已經放出瓶外」的說法。他認為，雖然強加密技術在海外確實存在，但由於美國的出口管制，這些產品並不普及。Litt 指出，海外加密產品的品質參差不齊，有些甚至無法提供其宣稱的保護等級。他進一步指出，大多數「正當的企業與個人」若需要強加密技術，不會依賴從網際網路上下載來自「未經考驗的來源」的軟體，而是寧願與知名且可靠的供應商合作。Litt 主張，「我們的盟友也認同，若不加以限制加密的出口，將嚴重妨礙執法工作的目標。」他認為，取消出口管制將是「極其不明智」的做法，因為若美國取消出口管制，其他國家必將以「實施自身進口管制或限制本國公民使用強加密技術」作出回應。

Tim May 在 1997 年 5 月評論道：

「我一直在觀察那些所謂『密碼解放』的法案，無論是 Pro-CODE 還是 SAFE，都在立法過程中不斷推陳出新。兩者都存在嚴重缺陷，都應該被否決。通過有缺陷的法律，比起什麼都不做，僅僅依靠我們那久經考驗的憲法來保障我們的權利，還是更糟糕的選擇。」

幾週後，一項反對法案——《安全公共網路法案》（SPNA）被提出。SPNA 規定國內的加密技術將不受管制，並明令禁止密鑰託管。該法案還將在「明知」加密技術被用於「促進犯罪」的情況下，對其使用定罪，首次犯可判處最高 5 年監禁，再犯則可達 10 年。該法案將故意破解加密技術以侵犯隱私或財產權視為犯罪。法案規定，任何由政府購買或以政府資金購置的加密系統必須配備密鑰託管系統。此外，商務部將負責加密政策的制定。法案規定，在經過一次性審查後，56 位元 DES 或同等強度的加密技術可以出口。所有加密強度在系統實施密鑰託管的情況下均允許出口。對於被禁止的出口決策，不得接受司法審查。如果加密系統中未內建密鑰託管，且密鑰長度超過 56 位元，出口決定將根據最終使用者是否能夠獲得類似強度的加密技術來作出。政府僅需通過傳票，而非司法搜查令，即可取得被託管的密鑰。該法案還指出，證書授權機構在頒發公鑰證書時必須同時進行密鑰託管：

「根據本法案登記的公鑰證書的授權機構或部長，可以向某人頒發一份公鑰證書，但前提是該人必須……將足以在合理時間內合法恢復其加密資料與通訊明文的必要資訊，按照部長在法規中所規定的要求，存放於本法案登記的密鑰回復代理處。」

儘管該法案先前聲稱國內加密不會受到管制，但這項規定卻構成了重大限制；美國電子前沿基金會評論說：

「儘管其發起人聲稱該法案不會使密鑰回復成為強制性要求，但 SPNA 卻要求必須使用密鑰回復系統，才能獲得參與電子商務所需的『公鑰證書』，並要求所有以任何聯邦資金建設的安全網路必須進行密鑰回復。」

該法案還將建立一個公私部門資訊安全委員會，該委員會將向國會和總統提出政策建議。

在法案引介時，參議員 Bob Kerrey 表示：「我們能夠進行通訊，不僅出於國家安全考量，也出於執法需要，且確保我們的通訊是安全的，這是《安全公共網路法案》首要的任務。」Kerrey 主張，這一領域若缺乏法治，將陷入混亂和無政府狀態。他指出，關於該立法是政府試圖侵入個人隱私的說法「完全不屬實」，因為法案中層層設有保護措施，以防止這種情形發生。Kerrey 認為，該法案「既保護又加強了個人的隱私權，同時不損害公共安全的利益。」Kerrey 強調，對國家而言，真正的隱私威脅並非來自政府，而是來自那些技術精湛的駭客和破解者；他解釋道：

「這些駭客和破解者的技術遠超出我能理解的範疇，但我知道他們有能力侵入並竊取極具價值的資訊，操縱這些資料，並不僅僅是做些小動作，而是可能威脅到我們的商業與國家安全利益。」

Kerrey 同時承認：「我國的加密政策僅是整個謎題中的一部分」，如果要使密鑰託管在一個高度網路化的世界中成為可行方案，就必須尋求全球解決方案。Kerrey 告訴參議院，該法案「呼籲總統繼續與外國進行磋商與談判，以確保全球範圍內能夠建立安全的公共網路」，他大概指的是密鑰託管，而非一般的資訊安全實務。Kerrey 還指出，「作為計算機軟硬體的最大採購者，聯邦政府可以創造重要誘因，幫助市場滿足這一需求。」在結尾時，Kerrey 表示，他的法案將「為我們將政府運作轉移至新型態網路活動中提供所需的安全保障。」

這項立法遭到數位隱私權社群的震驚，他們認為這一新模式與他們所期望的未來大相逕庭。CPSR 的 Andy Oram 將這項立法形容為「對加密技術的一次蠻力攻擊。」Oram 評論說，法案起草者「把所有民權人士和加密專家的意見，都寫進了一個他們所憎恨的法案裡。」Oram 指出，儘管密鑰託管系統可能並非普遍強制，但「法律要求在多種情況下都必須使用它……目的是使其普及。」他認為，這一系統濫用的潛在風險「對於任何讀過 FBI 在 1960 至 1970 年代 COINTELPRO 行動史的人來說，都是顯而易見的。」Oram 認為，儘管 McCain 與 Kerrey 推出這項法案，但它「處處彰顯著克林頓政府的印記。」Oram 相信，這項立法「是 NSA、FBI 以及克林頓政府為了對抗兩項可能在網際網路上打開強加密大門的法案（PRO-CODE 和 SAFE）而展開的一場損害控制行動。」密碼龐克們的看法也一致——Greg Broiles 將這項立法形容為「邪惡」。國家研究委員會（NRC）就密碼政策進行研究的主席 Kenneth Dam 表示，該立法「與 NRC CRISIS 報告的整體主旨不一致。SPNA 是一項極具侵略性地推動對民間採用密碼技術實施密鑰回復的法案，將該技術定為國家密碼政策的基石。」Dam 補充道，「該法案試圖利用所有各方都認為對電子商務至關重要的公鑰基礎設施（PKI），作為取得一項本質上毫不相關的政策——也就是國內密鑰回復的批准——的槓桿。」

SPNA 在 1997 年 6 月順利通過了商務委員會，但在參議院卻未能進一步推進。密碼龐克 Michael Pierson 總結道，

從眾多圍繞密碼政治活動進行的操作與反操作來看，感覺就像是看著一連串快節奏的行政裁決和博弈，以及各項相互對抗的立法提案和業界倡議，再加上對這些眾多舉措及其反映出的不同意涵進行的激烈辯論，真是一場引人入勝的奇觀。

接下來出現的密碼立法是 1998 年 6 月提出的 S.2067，即《加密保護個人在網路空間免受侵害法案》（E-PRIVACY Act）。在引介該法案時，密蘇里州共和黨參議員 John Ashcroft 寫道，經過三年致力於加密政策制定，「我從未見過白宮就這一問題提出過任何真正的解決方案。事實上，在這段期間，政府採取了越來越極端的立場，使這一關鍵國家問題進一步遠離談判。」Ashcroft 認為，克林頓政府的政策可能會在 2000 年前使我國損失 200,000 個工作機會和 600 億美元。

當時通過立法的迫切需求日益明顯——一項來自 1996 年克林頓政府的裁決中規定的 56 位元 DES 加密出口的日落條款將於 1998 年 12 月生效，屆時只有 40 位元加密產品可以出口。Leahy 更加批評政府說：

「在參議院，我們對立法事務中拖延表決的現象有一個專有名詞，我們稱之為阻撓議事。就加密政策而言，政府願意談判，但卻不肯真正尋求解決方案。這等於是在進行阻撓議事。若我們繼續缺乏明智的政策，將會有更多工作機會流失，我們的網路隱私權也將受到侵蝕，而我們的關鍵基礎設施也將處於危險之中。」

參議員 Conrad Burns 告訴國會：「如果有人正在尋求解決這一困難而又重要的問題的折衷方案，那麼這個（E-PRIVACY 法案）就是答案。」Ashcroft 說：「我們提出這一法案，是我們認為合適的解決方案……我們也在告訴他們（克林頓政府）『讓我們看看世界的現狀如何』。」參議員 Patty Murray 表示：「是時候讓美國承認，我們已不再是唯一能決定技術發展速度的國家。」例如，一家 Network Associates（美國軟體生產商）的荷蘭子公司於 1998 年 3 月開始銷售 PGP。Leahy 表示：「我希望這項法案能夠打破僵局，終止大家相互掩耳盜鈴的狀態。」參議員 Larry Craig 就密鑰回復發言指出：

「從經濟角度來看，客戶——尤其是國外客戶——不願意購買帶有後門或第三方存取功能的美國加密產品。尤其是，因為他們可以從外國公司或在外國設廠的美國公司那裡購買到更強大的加密技術，而這些產品並不具備這些侵入性功能。」

該法案進一步規定：

「禁止……要求、強迫、設定標準或以任何批准或獲取任何利益為條件，要求必須提供解密密鑰、取得解密密鑰、密鑰回復資訊或其他明文存取功能。」

此外，該法案還規定了刑罰：

對於在犯下聯邦重罪期間，明知故犯地使用加密技術以隱藏與該重罪有關的證據或資訊者，將處以刑罰。

該法案要求持有加密資料的實體在取得搜查令時，必須向政府提供「必要的解密協助」，但此協助僅限於滿足搜查令要求的最低限度。商務部將負責控制加密產品出口。若海外已有具備相當安全性的加密演算法或產品，在經由新成立的公私部門加密出口諮詢委員會確認該外國產品已可取得或在 18 個月內上市，並經過一次性 15 天的產品審查後，該演算法／加密強度即可出口。該法案還設立了國家電子技術（NET）中心，隸屬於司法部。NET 中心將「作為聯邦、州和地方執法機構就解密方面的資訊與協助的中心」，並供「業界與政府實體交換有關資訊安全的資訊與方法論」。NET 中心還將「研究加密技術與方法，以促進執法機構更高效率地取得通訊及電子資訊的明文」，並「進行研究，以開發更高效率的方法，或提升現有方法的效率，以取得通訊及電子資訊的明文。」NET 中心可動用其他聯邦機構（例如 NSA）的協助，並有權要求這些機構借調員工到 NET 中心。

與其他法案一樣，這項提案也獲得了褒貶不一的回應。雖然商業軟體聯盟與美國計算機隱私促進會這類新成立的倡導團體宣布支持該法案，但克林頓政府並不認同。電子隱私資訊中心（EPIC）對該法案有兩點主要顧慮。首先，他們認為將加密行為定罪會帶來負面影響，引用了一個歷史先例：EPIC 的聲明中寫道，

「一張打字機打印出的勒索信比手寫信對法證調查人員來說更具挑戰性，但僅僅因為打字機可以使犯罪調查變得更困難，就將其使用定罪，這將是一個錯誤。」

其次，EPIC 覺得將加密定罪會向用戶與企業發出一個混亂的信號——即我們希望人們自由使用加密技術，但當加密技術被使用時，我們卻會抱有懷疑。此外，EPIC 擔心定罪條款對執法工作帶來的影響：

「一項將加密技術的使用（即使是為了促進犯罪行為）定罪的條款，將給予檢察官極大的自由裁量權，調查那些僅僅因為存在加密資料而可能涉及犯罪的行為。在這個隱私與安全保護技術廣泛部署的數位時代，我們不能把加密技術視作犯罪的工具，就像今天我們不會對打字機的使用保持懷疑一樣。」

EPIC 的第二項顧慮則在於，該條款允許其他聯邦機構為 NET 中心提供「協助」，包括借調人員。EPIC 指出，

「現有的聯邦電子監控與解密專業知識主要集中在國家安全局（NSA），而該法案事實上授權 NSA 在國內執法活動中參與前所未有的程度。這將違反半個世紀以來形成的共識——即情報機構必須嚴格受限於不參與國內『警察職能』的原則。」EPIC 的 David Sobel 表示：「儘管我們支持解除加密出口限制的目標，但不應以創造新的國內問題為代價。」

E‑PRIVACY 法案最終未能獲得通過，與其他密碼立法一道被拋進了國會的墓地，因為國會在此問題上過於極化，無法採取行動。