Giới hạn thực sự của quy tắc mật khẩu thiết bị tại Hong Kong: Một cảnh báo từ Lãnh sự quán Hoa Kỳ tại Hong Kong đã gây ra "hoảng loạn về ví phần cứng"？

撰文：邵嘉碘

（以上截图来自美国驻港澳总领事馆官网）

最近在加密货币圈里有一条传播很广的信息，大致是：香港已经可以要求交出电子设备密码，不配合会构成犯罪，甚至连硬件钱包也可能被覆盖。这类说法的直接来源，是美国驻港澳总领事馆在 2026 年 3 月发布的一则安全提醒。原文写得其实相当直接：

「On March 23, 2026, the Hong Kong government changed the implementing rules relating to the National Security Law. It is now a criminal offense to refuse to give the Hong Kong police the passwords or decryption assistance to access all personal electronic devices including cellphones and laptops. This legal change applies to everyone, including U.S. citizens, in Hong Kong, arriving or just transiting Hong Kong International Airport. In addition, the Hong Kong government also has more authority to take and keep any personal devices, as evidence, that they claim are linked to national security offenses.」

如果 chỉ nhìn vào đoạn này, rất dễ hình thành một ấn tượng trực quan: vào Hồng Kông, có thể sẽ bị yêu cầu giao mật khẩu thiết bị. Sau khi được lan truyền trên mạng xã hội, nó nhanh chóng biến thành một phiên bản giàu tính căng thẳng về mặt cảm xúc hơn —— « Đừng mang ví phần cứng đến Hồng Kông ». Nhưng nếu đi theo mạch thông tin đó, rất dễ phóng đại rủi ro, thậm chí hiểu nó như một quy tắc phổ quát áp dụng cho tất cả mọi người. Vấn đề là, những cảnh báo kiểu này thường chỉ nhấn mạnh kết quả, mà không giải thích rõ các điều kiện và bối cảnh áp dụng. Muốn hiểu rõ chuyện này, vẫn cần quay lại chính các quy tắc pháp lý đứng sau nó.

Hồng Kông lần này đã điều chỉnh quy tắc gì

Điều gây tranh luận lần này không phải là một đạo luật hoàn toàn mới, mà là một sự tăng cường đối với phần « thu thập chứng cứ điện tử » trong các quy định thi hành (Implementation Rules) theo khung của Luật An ninh Quốc gia Hồng Kông. Thay đổi cốt lõi thực ra tập trung vào một điều: cơ quan thực thi pháp luật không chỉ có thể tiếp cận thiết bị của bạn, mà còn có thể yêu cầu bạn « hợp tác để mở dữ liệu ». Trong các điều khoản liên quan có một câu then chốt:

「A person must comply with the requirement to provide such assistance as is reasonably necessary to enable an officer to access the information.」

Chỉ nhìn vào câu này thì có phần trừu tượng; ý mà nó muốn diễn đạt thực sự là cơ quan thực thi pháp luật có thể yêu cầu bạn hợp tác để « hiểu nội dung trong thiết bị ». Cụm « assistance（协助） » này không phải nói chung chung. Điều khoản phía sau viết phạm vi rất cụ thể:

「The assistance may include providing access to an electronic device, providing any password, decryption key or other information necessary for gaining access to the information.」

Gộp hai câu này lại với nhau, về thực chất chính là một tình huống rất thực tế: cơ quan thực thi pháp luật không chỉ có thể tịch thu thiết bị của bạn, mà còn có thể yêu cầu bạn cung cấp mật khẩu, cách mở khóa, thậm chí cả các cụm từ ghi nhớ kiểu « đường đi để truy cập » đó.

Quan trọng hơn, thứ « hiệp trợ » này không còn là vấn đề bạn có muốn hay không, mà là một nghĩa vụ pháp lý mang tính bắt buộc. Ngay sau đó, điều khoản viết rõ:

「A person who fails to comply with the requirement without reasonable excuse commits an offence.」

Nói cách khác, trong khi thỏa mãn điều kiện áp dụng, nếu từ chối cung cấp mật khẩu hoặc từ chối hợp tác để mở khóa, bản thân việc đó có thể cấu thành tội phạm; nếu cung cấp thông tin sai hoặc gây hiểu lầm, còn có thể đối mặt với trách nhiệm nặng hơn.

Nếu nhìn từ logic thực thi pháp luật, thay đổi ở bước này thực ra rất trực tiếp:

Trước đây, dù cơ quan thực thi pháp luật có lấy được thiết bị, họ chưa chắc đã lấy được dữ liệu; hiện nay, luật cho phép họ trực tiếp yêu cầu bạn giao ra « cổng dữ liệu ».

Nhiều người khi đọc đến đây sẽ có cảm giác khó chịu theo bản năng, vì lý do cũng rất đơn giản —— quy tắc chạm đến không phải thiết bị, mà là quyền kiểm soát bản thân. Với tài sản được mã hóa, điều này đặc biệt nhạy cảm, bởi thiết bị chỉ là vỏ bọc; thứ quyết định quyền sở hữu tài sản thực sự là chuỗi thông tin mà bạn có sẵn sàng nói ra hay không.

Thiết bị không chỉ có thể bị kiểm tra, mà còn có thể bị tịch thu kéo dài

Trong thông báo của Tổng lãnh sự quán Mỹ tại Hồng Kông, còn có một câu:

「the Hong Kong government also has more authority to take and keep any personal devices, as evidence, that they claim are linked to national security offenses.」

Nếu dịch theo cách hiểu thẳng hơn, thì câu này có nghĩa là: không chỉ có thể kiểm tra thiết bị của bạn, mà còn có thể mang thiết bị đi, và lưu giữ trong một thời gian với tư cách là chứng cứ. Phía sau câu nói này tương ứng với việc mở rộng quyền lực liên quan đến « seizure and detention » trong các quy định thi hành. Các quy định liên quan cho phép cơ quan thực thi pháp luật, trong trường hợp họ cho rằng một thiết bị liên quan đến vụ án an ninh quốc gia, được tịch thu thiết bị đó và lưu giữ nó như bằng chứng.

Chỉ nhìn riêng chuyện « tịch thu thiết bị », trong vụ án hình sự thực ra không có gì đặc biệt; các thẩm quyền pháp lý khác nhau đều có sắp xếp tương tự. Nhưng nếu đặt nó cạnh « nghĩa vụ hiệp trợ giải mã » được nhắc ở phần trước, bạn sẽ thấy trọng tâm của điều chỉnh lần này không nằm ở một quy tắc đơn lẻ, mà nằm ở sự kết hợp giữa chúng.

Trong thực tế, lộ trình thực thi pháp luật có thể sẽ diễn ra đại khái như sau: thiết bị có thể bị mang đi trực tiếp, dữ liệu có thể bị yêu cầu mở khóa, và việc không hợp tác mở khóa sẽ tạo ra rủi ro pháp lý bổ sung. Ba bước này ghép lại với nhau cơ bản bao phủ những mắt xích quan trọng nhất trong điều tra số. Trường hợp trước đây « thiết bị nằm trong tay cơ quan thực thi, nhưng không lấy được dữ liệu » đã bị thu hẹp mạnh ở mức độ cơ chế.

Xét từ góc độ thực tiễn, tác động của thay đổi này không nằm ở những cuộc kiểm tra thông thường, mà nằm ở chỗ: một khi thiết bị đã được đưa vào một vụ án cụ thể, nó sẽ không còn chỉ là một đối tượng được xem nhanh trong thời gian ngắn, mà có thể rơi vào trạng thái bị kiểm soát và bị phân tích kéo dài. Đây cũng là lý do vì sao nhiều người có cảm giác khó chịu theo bản năng với loại quy định này —— vì nó không đụng vào bản thân thiết bị, mà là quyền kiểm soát liên tục của bạn đối với thiết bị đó.

Những quyền lực này chỉ được dùng trong những trường hợp nào

Nếu chỉ nhìn các quy tắc phía trước, rất dễ nảy sinh một hiểu lầm: liệu rằng chỉ cần vào Hồng Kông là cơ quan thực thi pháp luật có thể bất cứ lúc nào yêu cầu bạn mở khóa thiết bị? Nhưng nếu đặt các điều khoản trở lại đúng cấu trúc pháp lý ban đầu của nó, kết luận đó không đứng vững.

Các biện pháp trong các quy định thi hành này không tồn tại độc lập; chúng đều dựa trên một tiền đề ——

「for the purpose of the investigation of an offence endangering national security」

Nói cách khác, toàn bộ « quyền lực yêu cầu hiệp trợ giải mã » này nhằm phục vụ điều tra các vụ án an ninh quốc gia, chứ không phải là một công cụ thực thi phổ quát.

Ở đây cần đặc biệt lưu ý hai tầng giới hạn.

Thứ nhất là loại vụ án. « Luật An ninh Quốc gia Hồng Kông » chỉ bao phủ các nhóm hành vi nhất định, ví dụ: ly khai đất nước, lật đổ chính quyền quốc gia, hoạt động khủng bố và cấu kết với thế lực nước ngoài. Tất cả đều thuộc phạm trù tội phạm hình sự, chứ không phải là vi phạm hành chính theo nghĩa thông thường.

Thứ hai là ngưỡng kích hoạt. Trong thực tế thực thi pháp luật, thông thường cần đạt đến « reasonable grounds to suspect », tức là phải có những cơ sở hợp lý đủ để hỗ trợ điều tra, thì mới đi vào giai đoạn này.

Khi nhìn hai điều kiện này cùng lúc, bạn sẽ có một đánh giá gần với thực tế hơn: bộ quy tắc này không phải là cơ chế kiểm tra định kỳ áp dụng cho tất cả mọi người, mà là dành cho những đối tượng đã được đưa vào khuôn khổ điều tra. Đây cũng là lý do câu « applies to everyone » trong thông báo của lãnh sự quán Mỹ rất dễ bị hiểu sai. Nó nhấn mạnh phạm vi áp dụng của luật, chứ không nhấn mạnh xác suất việc thực thi xảy ra.

Vì sao ví phần cứng lại được nhắc đến, nhưng lại không phải trọng điểm của quy tắc

Nhiều cuộc thảo luận tập trung vào « ví phần cứng », và thực ra đây là một điểm phóng đại rất điển hình trong quá trình lan truyền. Xét từ văn bản pháp lý, không có bất kỳ điều khoản nào nhắm riêng vào ví mã hóa. Các điều khoản liên quan dùng các cách diễn đạt trừu tượng hơn, chẳng hạn: « electronic device », « information », « information system ». Cách viết này tự nó đã cho thấy khi lập pháp, trọng tâm không phải là một công cụ cụ thể nào đó, mà là tất cả những phương tiện có thể chứa dữ liệu hoặc quyền kiểm soát.

Theo cách giải thích, ví phần cứng đương nhiên có thể được đưa vào phạm vi « electronic device », và điều này không có tranh cãi. Nhưng nếu nhìn thêm một tầng nữa, bạn sẽ thấy logic thực thi pháp luật không xoay quanh « loại thiết bị », mà xoay quanh « việc nó có liên quan đến vụ án hay không ».

Hãy lấy một cách hiểu sát thực tiễn hơn: cơ quan thực thi pháp luật sẽ không vì bạn mang theo một ví phần cứng mà tự nhiên quan tâm đến nó; điều thực sự kích hoạt sự chú ý là liệu chiếc ví này có liên quan đến một tài khoản nào đó, một khoản tiền nào đó, hay một hạng mục điều tra nào đó hay không. Nếu có liên quan, thì thiết bị đó và điện thoại, máy tính không có khác biệt bản chất; đều có thể bị yêu cầu mở khóa. Nếu không có liên quan, thì nó chỉ là một thiết bị điện tử bình thường. Nhiều người hiểu vấn đề thành « Hồng Kông bắt đầu nhắm vào ví lạnh », kỳ thực sẽ đi lệch hướng. Thứ quy tắc thực sự chạm đến là « ai đang kiểm soát dữ liệu », chứ không phải « dữ liệu nằm ở đâu ».

Đối chiếu với Mỹ: logic cốt lõi của vấn đề mật khẩu hoàn toàn khác

Đặt cùng một vấn đề vào bối cảnh nước Mỹ sẽ cho ra một câu trả lời rất khác. Mỹ đương nhiên cũng có thể kiểm tra thiết bị, tịch thu thiết bị, thậm chí lấy dữ liệu thông qua các biện pháp kỹ thuật; nhưng ngay hễ liên quan đến « bắt bạn tự nói ra mật khẩu », luật lập tức trở nên thận trọng. Cốt lõi nằm ở một câu trong « Tu chính án thứ Năm của Hiến pháp Mỹ »:

「No person… shall be compelled in any criminal case to be a witness against himself.」

Dựa trên nguyên tắc này, các tòa án Mỹ trong thời gian dài đã xử lý một vấn đề: việc nhập mật khẩu có được coi là « làm chứng » hay không.

Hiện nay, hướng đi tư pháp chủ đạo nhìn chung đã hình thành một ranh giới tương đối rõ ràng:

Mật khẩu, cụm từ ghi nhớ kiểu « thông tin nằm trong trí nhớ », dễ bị xác định là có thuộc tính « testimonial », và về nguyên tắc không thể bị ép buộc tiết lộ

Các đặc điểm vật lý như vân tay, nhận diện khuôn mặt, gần hơn với việc cung cấp một « chìa khóa », và trong một số điều kiện nhất định có thể bị ép buộc sử dụng

Trên cơ sở đó, Mỹ còn phát triển « foregone conclusion doctrine » (ngoại lệ đối với sự thật đã tồn tại). Nếu cơ quan thực thi pháp luật đã có thể chứng minh sự tồn tại của một số dữ liệu và mối quan hệ sở hữu/qui thuộc của chúng, thì có thể yêu cầu đương sự hợp tác để truy cập, nhưng tiêu chuẩn này bản thân có ngưỡng cao, phạm vi áp dụng hạn chế, và cũng thường trở thành điểm gây tranh cãi.

Nếu ghép các quy tắc này lại với nhau, bạn sẽ thấy: ở Mỹ, cơ quan thực thi pháp luật có thể tìm cách lấy được thiết bị của bạn, và cũng có thể tiếp cận dữ liệu của bạn bằng nhiều con đường khác nhau; nhưng việc bắt bạn tự giao mật khẩu, bản thân điều đó lại bị ràng buộc bởi Hiến pháp, không thể dễ dàng đạt được.

Còn lộ trình điều chỉnh lần này của Hồng Kông, nó không đưa vào logic giới hạn « tự buộc tội mình ». Thay vào đó, « nghĩa vụ hiệp trợ giải mã » được đưa vào hệ thống nghĩa vụ pháp lý; một khi đã đi vào khuôn khổ điều tra an ninh quốc gia, từ chối hợp tác sẽ dẫn đến rủi ro pháp lý.

Đặt hai cơ chế này cạnh nhau sẽ thấy rõ ràng: ở Mỹ, mật khẩu gần hơn với một dạng « thông tin được bảo vệ »; ở Hồng Kông, trong các vụ án cụ thể, nó lại được xem như một dạng « sự hiệp trợ bắt buộc phải cung cấp ». Đó cũng là lý do vì sao, với cùng một thiết bị mã hóa, việc đánh giá rủi ro trong hai khu vực pháp lý sẽ cho ra sự khác biệt rõ rệt.

Đối với người nắm giữ tài sản mã hóa phổ thông, chuyện này có ý nghĩa gì

Sau khi làm rõ quy tắc, thực ra có thể rút gọn câu hỏi theo hướng dễ hơn: thay đổi lần này tác động lớn đến mức nào đối với một người bình thường đang nắm giữ và sử dụng tài sản mã hóa?

Nếu hành vi của bạn vốn dĩ « sạch » —— chỉ là nắm giữ token, giao dịch, đầu tư, hoặc tham gia một số hoạt động chuỗi thông thường —— thì thay đổi lần này ở Hồng Kông cơ bản sẽ không làm thay đổi rủi ro hằng ngày của bạn. Nó không phải là một cơ chế kiểm tra phổ quát dành cho người bình thường, và cũng sẽ không vì việc bạn mang theo một ví phần cứng mà kích hoạt sự quan tâm thực thi pháp luật bổ sung.

Nhưng nếu nâng tầm góc nhìn lên một lớp khác, thì lần điều chỉnh này thực sự đã phát đi một tín hiệu rõ ràng hơn: trong các vụ án cụ thể, năng lực của cơ quan thực thi pháp luật Hồng Kông trong việc giành quyền kiểm soát trên chuỗi mạnh hơn, và không còn hoàn toàn phụ thuộc vào biện pháp kỹ thuật, mà có thể đạt được trực tiếp thông qua nghĩa vụ pháp lý. Điều này sẽ tạo ra ảnh hưởng thực chất đối với những hành vi liên quan đến cấu trúc vốn phức tạp, luân chuyển xuyên biên giới, hoặc các ranh giới mang tính “xám”.

Xét từ góc độ thực tiễn, điều đáng quan tâm hơn không phải là « an toàn của thiết bị », mà là « an toàn của cấu trúc ». Tài sản của bạn có tập trung dưới một khóa riêng duy nhất không, địa chỉ của bạn có khả năng bị liên kết với nhãn rủi ro cao không, và đường đi dòng tiền của bạn có thể được giải thích một cách thỏa đáng hay không —— những câu hỏi này còn gần với rủi ro thực sự hơn rất nhiều so với việc « có nên mang ví khi nhập cảnh hay không ».

Nếu nhất định phải để lại một ý nghĩa thực tế từ tin tức này, thì nó có lẽ không nằm ở thói quen đi lại, mà nằm ở một thay đổi thực tế hơn: trong một số bối cảnh đã đi vào tầm nhìn của việc thực thi pháp luật, việc kiểm soát tài sản trên chuỗi không còn do kỹ thuật đơn phương quyết định nữa.