香港新規：3年監禁換你手機密碼，2026年3月生效

2026年3月23日起，香港警方可以當面要求你解鎖手機——不需要搜查令，不需要法官簽字，拒絕就是一年監禁加10萬港幣罰款。這不是科幻片設定，是上周正式刊憲的《國家安全法》修訂條款。

從"需要授權"到"現場執法"：權力擴張的時間線

香港國安法2020年實施后，警方并非首次獲得數字搜查權。但此前調取加密數據需要較高層級的授權程序，存在起碼的行政門檻。行政長官李家超這次直接繞過立法會，以刊憲形式推行修訂，把"授權"變成了"現場指令"。

修訂后的條款覆蓋范圍被刻意模糊化。"任何密碼或其他解密方式"包括指紋、面容識別、六位數PIN碼、企業級加密密鑰，甚至你妻子的手機密碼——只要她告訴過你。IT管理員、商業伙伴、家庭成員，所有"知悉訪問細節的人"都在強制配合義務之內。

虛假信息的代價更高。提供錯誤密碼或誤導性憑證，刑期直接跳升至三年。這種設計讓"記錯了"成為高風險辯護，客觀上迫使被詢問者寧可過度配合也不敢試探邊界。

自2020年國安法生效以來，當局已逮捕386人，其中176人被判有罪。這個數字建立了一個關鍵先例："國家安全威脅"的解釋空間足夠寬泛，可以容納從街頭抗議到加密通訊的各種行為。

旅行者的數字雷區：Signal和VPN怎么用

對科技從業者來說，這條法規的殺傷力在于它把日常工具變成了潛在罪證。使用Signal、Telegram等端到端加密通訊，或運行VPN繞過網絡審查，在香港機場海關可能觸發額外審查。

海關同時獲得扣押"煽動性"材料的權力。你的筆記本電腦、外置硬盤、云存儲訪問記錄，都可能被現場檢查。結合強制解鎖條款，設備加密從隱私保護變成了法律義務——你必須能打開，且必須當場打開。

企業IT部門的處境更尷尬。跨國公司香港辦公室的加密密鑰管理、遠程擦除策略、員工設備合規流程，全部需要重新設計。一個香港員工被扣留要求解鎖公司設備，IT負責人是否遠程協助？協助可能觸犯本地法律，不協助可能違反雇傭合同。

英國法學家Urania Chiu的評價很直接：這些權力"嚴重不成比例"，且"未經司法授權"。她的批評指向一個核心矛盾——香港政府聲稱措施符合人權標準，但執行機制完全排除了法官的事前審查。

技術對抗的現實困境

有人可能會想：用隱藏分區、可否認加密（Deniable Encryption）、或者干脆說"忘記了"能不能應付？

技術上可行，法律上危險。可否認加密允許同一設備呈現不同數據層，但香港條款的"任何解密方式"表述足夠寬泛，可以涵蓋隱藏分區的訪問口令。聲稱遺忘密碼在三年刑期的威懾下，辯護成本極高。

更務實的選擇可能是設備隔離：入境香港使用空白設備，敏感數據通過端到端加密即時通訊臨時傳輸，離境前徹底擦除。但這套流程對普通商務旅客過于復雜，且海關的"煽動性材料"定義模糊，空白本身也可能引發懷疑。

生物識別鎖的處境尤其諷刺。蘋果和谷歌把Face ID、指紋解鎖設計成便利且安全的方案，現在它們成了執法便利工具——你無法聲稱"忘記"自己的臉。

香港政府的官方立場是這些措施"符合國際慣例"。但比較參考對象很關鍵：英國《調查權力法》要求法官簽發設備訪問令，美國《云法案》雖爭議巨大，仍保留司法程序。香港模式的特殊之處在于行政長官個人即可推動，無需立法機關辯論。

2026年3月23日這個日期值得標記。屆時香港將完成從"金融自由港"到"數字管制實驗區"的身份轉換之一環。對于習慣把設備加密當作默認設置的科技從業者，下次出差前可能需要重新評估：哪些數據值得隨身攜帶，哪些應該留在云端——以及，哪些云端本身就已經不安全了。

你的公司IT政策，更新了嗎？