Истинные границы правил паролей для устройств в Гонконге: предупреждение посольства США в Гонконге вызвало «паническую реакцию на аппаратные кошельки»?

Статья: Шао Цзядань

(На приведенном выше снимке — официальный сайт Генерального консульства США в Гонконге и Макао)

В последнее время в криптосообществе широко распространяется информация: примерно так — Гонконг уже может требовать от людей передавать пароли к электронным устройствам; если отказываться, это может считаться преступлением; вплоть до того, что аппаратные кошельки тоже могут быть принудительно «подменены»/перехвачены. Непосредственный источник таких утверждений — уведомление о безопасности, опубликованное Генеральным консульством США в Гонконге и Макао в марте 2026 года. В оригинале написано довольно прямо:

«23 марта 2026 года правительство Гонконга изменило правила исполнения, связанные с Национальным законом о безопасности. Теперь является уголовным преступлением отказываться предоставить полиции Гонконга пароли или помощь для расшифровки, чтобы получить доступ ко всем персональным электронным устройствам, включая телефоны и ноутбуки. Это изменение закона применяется ко всем, включая граждан США, находящимся в Гонконге, прибывающим туда или просто транзитирующим через Международный аэропорт Гонконга. Кроме того, правительство Гонконга также обладает большей властью изымать и хранить любые персональные устройства, которые, по их утверждению, связаны с правонарушениями в сфере национальной безопасности, в качестве доказательств. »

Если рассматривать только этот фрагмент, очень легко сложить интуитивное впечатление: попав в Гонконг, вас могут потребовать передать пароль к устройству. После того как это разошлось в социальных сетях, версию стали подавать более эмоционально — «не берите аппаратный кошелек в Гонконг». Но если двигаться по этой информации дальше, легко преувеличить масштаб риска и даже понять это как универсальное правило для всех. Проблема в том, что такие подсказки обычно подчеркивают результат, но не разъясняют, при каких именно предпосылках и в каких сценариях это применяется. Чтобы все действительно понять, все равно нужно вернуться к самим правовым правилам, лежащим в основе.

Какое именно изменение внесено в Гонконге на этот раз

То, что вызвало обсуждения, — это не какой-то совершенно новый закон, а усиление в рамках «Закона о национальной безопасности Гонконга»: в разделе «получение электронных доказательств» в правилах исполнения (Implementation Rules). Основное изменение, по сути, сводится к одному: правоохранительные органы могут не только получить доступ к вашим устройствам, но и требовать от вас «содействовать в том, чтобы данные были открыты». В соответствующих статьях есть ключевая формулировка:

«A person must comply with the requirement to provide such assistance as is reasonably necessary to enable an officer to access the information. »

Если смотреть только на эту фразу, она может показаться немного абстрактной; на самом деле она означает следующее: правоохранительные органы могут потребовать, чтобы вы содействовали им «понять содержание устройств». Это «assistance (содействие)» — не просто общие слова; в последующих положениях область прописана очень конкретно:

«The assistance may include providing access to an electronic device, providing any password, decryption key or other information necessary for gaining access to the information. »

Если собрать эти две фразы вместе, получается вполне реальный сценарий: правоохранительные органы могут не только изъять ваши устройства, но и потребовать, чтобы вы вместе предоставили пароли, способы разблокировки и даже такие «пути доступа», как seed-фразы.

Еще более ключевое: это «содействие» больше не вопрос того, хотите ли вы или нет, а принудительная юридическая обязанность. Далее в тексте прямо указано:

«A person who fails to comply with the requirement without reasonable excuse commits an offence. »

То есть при соблюдении применимых условий отказ предоставить пароль или отказ содействовать разблокировке сам по себе может квалифицироваться как преступление; а если предоставленная информация окажется неверной или вводящей в заблуждение, это повлечет еще более серьезную ответственность.

Если смотреть с точки зрения логики правоохранительных действий, это изменение действительно довольно прямолинейно:

Раньше, даже получив устройство, правоохранительные органы могли и не получить данные; теперь закон позволяет им напрямую требовать от вас передачу «входа к данным».

Многие на этом месте испытывают интуитивное дискомфортное ощущение, и причина очень простая — правила затрагивают не само устройство, а сам контроль. Для зашифрованных активов это особенно чувствительно, потому что устройство — лишь оболочка; решает, кому принадлежит актив, та строка информации, которую вы либо готовы раскрыть, либо нет.

Устройство можно не только проверить, но и продолжительно удерживать

В подсказке Генконсульства США в Гонконге есть еще одна фраза:

«the Hong Kong government also has more authority to take and keep any personal devices, as evidence, that they claim are linked to national security offenses. »

Если перевести это в более прямое понимание, получится следующее: можно не только проверять ваши устройства, но и забирать их, а затем удерживать какое-то время в качестве доказательства. За этим стоит расширение полномочий по «seizure and detention» в правилах исполнения. Соответствующие нормы позволяют правоохранительным органам, если они считают, что определенное устройство связано с делами о национальной безопасности, изъять это устройство и хранить его как доказательство.

Если смотреть только на саму идею «изъятия устройства», то в уголовных делах это не является чем-то необычным — в разных юрисдикциях есть похожие механизмы. Но если сопоставить это с «обязанностью содействовать дешифрованию», упомянутой в предыдущем разделе, становится видно, что акцент этого изменения — не на какой-то одной отдельной норме, а на их комбинации.

Как это может выглядеть в реальной практике: устройство можно сразу забрать, доступ к данным можно потребовать разблокировать, а отказ содействовать разблокировке сам по себе создает дополнительный правовой риск. Эти три шага, соединенные вместе, в основном закрывают ключевые этапы цифровой криминалистики. Раньше ситуация «у правоохранительных органов устройство есть, но данные получить невозможно» на уровне системы была значительно ограничена.

С практической точки зрения влияние этого изменения заключается не в обычном осмотре, а в том, что как только устройство попадает в рамки конкретного дела, оно перестает быть просто объектом краткого просмотра и может перейти в состояние постоянного контроля и последующего анализа. Вот почему у многих возникает интуитивное неприятие таких правил: дело не в самом устройстве, а в вашем праве на постоянный контроль над ним.

В каких случаях эти полномочия будут применяться

Если смотреть только на предыдущие несколько норм, легко прийти к ошибочному пониманию: значит ли это, что стоит только въехать в Гонконг — и правоохранительные органы смогут в любой момент требовать от вас разблокировать устройства? Но если вернуть статьи в их исходную правовую структуру, этот вывод окажется необоснованным.

Меры в правилах исполнения не существуют независимо; все они опираются на одну предпосылку —

«for the purpose of the investigation of an offence endangering national security»

То есть вся эта совокупность полномочий «требовать содействия дешифрованию» служит расследованию дел о национальной безопасности, а не является универсальным инструментом правоприменения.

Здесь нужно особо обратить внимание на два уровня ограничений.

Первое — тип дела само по себе. «Закон о национальной безопасности Гонконга» охватывает лишь определенные категории действий, например: раскол страны, подрыв власти государства, террористическая деятельность, сговор с иностранными силами и т.д. Все это относится к категории уголовных преступлений, а не к обычным административным нарушениям.

Второе — порог для запуска. На практике обычно требуется достижение «reasonable grounds to suspect», то есть наличие достаточных оснований для расследования разумного подозрения, и только тогда дело переходит на этот этап.

Если рассматривать эти два условия вместе, получается более приближенный к реальности вывод: это не механизм регулярной проверки для всех, а нормы, ориентированные на объекты, уже включенные в рамки расследования. Вот почему фраза в подсказке американского представительства — «applies to everyone» — легко читается с ошибкой. Она подчеркивает область применения закона, а не вероятность того, что правоприменение произойдет.

Почему упоминают аппаратные кошельки, но при этом это не является центральным акцентом правил

Во многих обсуждениях фокус делается на «аппаратных кошельках», хотя в процессе распространения информации это типичный момент усиления. С точки зрения юридического текста нет ни одной нормы, которая бы специально ориентировалась на зашифрованные кошельки. Соответствующие статьи используют более абстрактные формулировки, например: «electronic device», «information», «information system». Такой язык сам по себе показывает, что при разработке права внимание уделялось не какому-то конкретному инструменту, а всем возможным носителям данных или контроля над ними.

В толковании аппаратный кошелек, конечно, может попадать под «electronic device» — в этом нет спора. Но если посмотреть на следующий уровень, станет ясно, что логика правоприменения выстроена не вокруг «типа устройства», а вокруг «того, связано ли оно с делом».

Если дать более практичное понимание: правоохранительные органы не будут испытывать интерес из-за того, что у вас есть аппаратный кошелек как таковой; истинным триггером служит то, есть ли связь этого кошелька с конкретным аккаунтом, конкретной суммой, конкретным предметом расследования. Если такая связь есть, то это устройство и телефон/компьютер не имеют принципиальной разницы — его также могут потребовать разблокировать; если связи нет, то это просто обычное электронное устройство. Многие неверно понимают ситуацию как «Гонконг начал нацеливаться на холодные кошельки», и это уводит в сторону. По-настоящему затрагивается не «где лежат данные», а «кто контролирует данные».

Сравнение с США: базовая логика проблемы с паролями совершенно иная

Если поставить тот же вопрос в контекст США, ответ получится совсем другим. США, конечно, тоже могут проверять устройства, изымать устройства и даже получать данные с помощью технических средств. Но как только вопрос касается «заставить вас самим произнести пароль», закон становится значительно более осторожным. В основе этого лежит одна фраза из Пятой поправки к Конституции США:

«No person… shall be compelled in any criminal case to be a witness against himself. »

Вокруг этого принципа американские суды давно разбирают вопрос: означает ли ввод пароля «дачу показаний»?

На данный момент основной подход в судебной практике примерно сформировал относительно ясную границу:

Пароли, seed-фразы и прочая «информация в памяти» — чаще признаются имеющими «testimonial» характер, и в принципе их нельзя принудительно раскрывать

Фингерпринты, распознавание лица — это ближе к предоставлению «ключа»; при определенных условиях его можно принудительно использовать

На этой основе в США разработали «foregone conclusion doctrine» (исключение для заранее установленных фактов). Если правоохранительные органы уже могут доказать существование определенных данных и отношение к ним, они могут потребовать от заинтересованного лица содействовать доступу, но сам стандарт имеет высокий порог, ограниченную сферу применения и часто становится предметом споров.

Если собрать эти правила вместе, можно увидеть: в США правоохранительные органы могут попытаться получить ваше устройство и приблизиться к вашим данным по разным путям, но заставить вас лично отдать пароль — это само по себе ограничено Конституцией и не может быть легко реализовано.

А в случае с корректировкой в Гонконге этой ограничительной логики «самообвинения» оно не вводит; «содействие дешифрованию» включают в систему юридических обязанностей. Как только дело оказывается в рамках расследования по вопросам национальной безопасности, отказ сотрудничать сам по себе влечет юридические риски.

Если сопоставить эти две системы, сравнение будет очень наглядным: в США пароль ближе к «защищаемой информации», а в Гонконге в конкретных делах он рассматривается как «обязательное содействие», которое необходимо предоставить. Именно поэтому при одинаковом наличии зашифрованных устройств оценка риска в двух юрисдикциях может заметно различаться.

Что это означает для обычных держателей зашифрованных активов

После того как правила изложены ясно, вопрос можно сформулировать проще: насколько сильно эта перемена влияет на обычного человека, который хранит и использует зашифрованные активы?

Если ваши действия сами по себе чистые — просто держать монеты, торговать, заниматься инвестициями или участвовать в некоторых обычных ончейн-активностях, то изменение правил в Гонконге в основном не изменит ваши повседневные риски. Это не является всеобщим механизмом проверок для обычных людей; и то, что вы носите аппаратный кошелек, само по себе не будет триггерить дополнительный интерес со стороны правоохранительных органов.

Но если взглянуть на это на шаг выше, становится очевидным, что эта корректировка действительно посылает более четкий сигнал: в определенных делах способность гонконгских правоохранительных органов получать ончейн-контроль усиливается; и теперь они могут реализовывать это не полностью полагаясь на технические средства, а напрямую через юридические обязанности. Для тех, чьи действия связаны со сложной структурой средств, трансграничным перемещением или «серой зоной» границ, это окажет реальное влияние.

С практической точки зрения, что стоит отслеживать в первую очередь — это не «безопасность устройства», а «структурная безопасность». Сконцентрированы ли ваши активы под одним единственным приватным ключом, может ли ваш адрес быть связан с высокорисковыми метками, выдерживает ли путь ваших средств объяснение — эти вопросы гораздо ближе к реальным рискам, чем вопрос «нужно ли везти кошелек на границу».

Если все же нужно оставить какой-то практический смысл этой новости, то он, вероятно, не в привычках к поездкам, а в более реальном изменении: в некоторых сценариях, которые уже попали в поле зрения правоприменения, контроль над ончейн-активами больше не определяется полностью одними лишь техническими факторами.