Batasan sebenarnya dari aturan kata sandi perangkat di Hong Kong: Peringatan dari Kedutaan Besar AS di Hong Kong memicu "kepanikan dompet perangkat keras"?

撰写：邵嘉碘

（截图以上来自美国驻香港澳总领事馆官网）

最近在币圈里有一则传播很广的信息，大致是：香港已经可以要求交出电子设备密码，不配合会构成犯罪，甚至连硬件钱包也可能被覆盖。这类说法的直接来源，是美国驻港澳总领事馆在 2026 年 3 月发布的一则安全提醒。原文写得其实相当直接：

「On March 23, 2026, the Hong Kong government changed the implementing rules relating to the National Security Law. It is now a criminal offense to refuse to give the Hong Kong police the passwords or decryption assistance to access all personal electronic devices including cellphones and laptops. This legal change applies to everyone, including U.S. citizens, in Hong Kong, arriving or just transiting Hong Kong International Airport. In addition, the Hong Kong government also has more authority to take and keep any personal devices, as evidence, that they claim are linked to national security offenses.」

如果只看这一段，很容易得出一个直观印象：进入香港，就可能被要求交出设备密码。经过社交媒体一发酵，就变成了更具情绪张力的版本 ——「不要带硬件钱包去香港」。但如果顺着这条信息往下看，很容易把风险想得过大，甚至把它理解成一种面向所有人的普遍规则。问题在于，这类提示往往只强调结果，却没有把适用的前提和场景讲清楚。要把这件事看明白，还是需要回到它背后的法律规则本身。

香港这次规则调整，到底改了什么

这次引发讨论的，并不是一部全新的法律，而是在《香港国安法》框架下，对实施细则（Implementation Rules）中 「电子证据获取」 部分的一次强化。核心变化，其实集中在一件事：执法机关不仅可以接触你的设备，还可以要求你 「配合把数据打开。相关条文里有一句关键表述：

「A person must comply with the requirement to provide such assistance as is reasonably necessary to enable an officer to access the information.」

单看这句话会有点抽象，它真正想表达的，是执法机关可以要求你配合他们 「看懂设备里的内容」。这个 「assistance（协助）」 不是泛泛而谈，后面的条文把范围写得很具体：

「The assistance may include providing access to an electronic device, providing any password, decryption key or other information necessary for gaining access to the information.」

把这两句合在一起，其实就是一个非常现实的场景：执法机关不仅可以拿走你的设备，还可以要求你把密码、解锁方式、甚至助记词这类 「访问路径」 一并提供出来。

更关键的是，这种 「协助」 不再是你愿不愿意的问题，而是一项带有强制性的法律义务。条文紧接着写明：

「A person who fails to comply with the requirement without reasonable excuse commits an offence.」

也就是说，在满足适用条件的情况下，如果拒绝提供密码或者拒绝配合解锁，本身就可能构成犯罪；如果提供的是错误或误导性信息，还会面临更重的责任。

如果从执法逻辑来看，这一步的变化其实很直接：

过去，执法机关即便拿到设备，也未必能拿到数据；现在，法律允许他们直接要求你把 「数据入口」 交出来。

很多人看到这里会产生一个直觉上的不适，原因也很简单 —— 规则触碰的不是设备，而是控制权本身。对于加密资产来说，这一点尤其敏感，因为设备只是外壳，真正决定资产归属的，是那串你是否愿意说出来的信息。

设备不仅可以被查，还可能被持续扣押

美国驻港总领馆的提示里，还有一句：

「the Hong Kong government also has more authority to take and keep any personal devices, as evidence, that they claim are linked to national security offenses.」

这句话如果翻译成更直白一点的理解，就是：不仅可以查你的设备，还可以把设备带走，并且留存一段时间作为证据。这背后对应的，是实施细则中关于 「seizure and detention」 的权力扩展。相关规则允许执法机关，在认为某一设备与国家安全案件有关的情况下，对该设备进行扣押，并作为证据保存。

单看 「扣设备」 这件事，其实在刑事案件中并不特殊，各法域都有类似安排。但如果把它和前一节提到的 「协助解密义务」 放在一起，会发现这次调整的重点不在某一条规则，而在它们之间的组合。

现实中的执法路径，大致会变成这样：设备可以被直接带走，数据可以被要求解锁，而不配合解锁本身会产生额外法律风险。这三步连在一起，基本覆盖了数字取证中最关键的几个环节。过去那种 「设备在执法机关手里，但数据拿不到」 的情况，在制度层面被大幅压缩了。

从实务角度看，这一变化的影响不在于普通检查，而在于一旦设备被纳入某个具体案件，它就不再只是一个短暂被查看的对象，而可能进入一个持续被控制、被分析的状态。这也是为什么，很多人直觉上会对这类规则产生不适 —— 因为它触及的不是设备本身，而是你对设备的持续控制权。

这些权力在什么情况下才会被用到

前面那几条规则，如果单独看，很容易让人产生一个误解：是不是只要进入香港，执法机关就可以随时要求你解锁设备？但如果把条文放回原本的法律结构里，这个结论就站不住了。

实施细则中的这些措施，并不是独立存在的，它们都依附在一个前提之下 ——

「for the purpose of the investigation of an offence endangering national security」

也就是说，这一整套 「要求协助解密」 的权力，是服务于国家安全案件调查的，而不是一个普遍性的执法工具。

这里需要特别注意两个层面的限制。

第一，是案件类型本身。《香港国安法》只覆盖特定类别的行为，例如分裂国家、颠覆国家政权、恐怖活动以及勾结外国势力等。这些都属于刑事犯罪范畴，而不是一般意义上的行政违规。

第二，是启动门槛。在实际执法中，通常需要达到 「reasonable grounds to suspect」，也就是存在足以支撑调查的合理怀疑，才会进入这一阶段。

把这两个条件放在一起看，会得到一个更接近现实的判断：这套规则不是面向所有人的常规检查机制，而是针对已经被纳入调查框架的对象。这也是为什么，美国领馆提示中那句 「applies to everyone」，容易被误读。它强调的是法律的适用范围，而不是执法发生的概率。

硬件钱包为什么会被提到，但又不是规则重点

很多讨论把焦点集中在 「硬件钱包」，其实是传播过程中一个很典型的放大点。从法律文本来看，并没有任何一条规则专门针对加密钱包。相关条文使用的是更抽象的表述，比如：「electronic device」、 「information」、「information system」，这种写法本身就说明，立法时的关注点并不是某一种具体工具，而是所有可能承载数据或控制权的载体。

从解释上讲，硬件钱包当然可以被纳入 「electronic device」 的范围，这一点没有争议。但如果再往下看一层，会发现执法逻辑并不是围绕 「设备类型」 展开的，而是围绕 「是否与案件有关」。

举个更接近实务的理解方式：执法机关不会因为你拿着一个硬件钱包，就对它产生兴趣；真正触发关注的，是这个钱包是否与某个账户、某笔资金、某个调查事项存在关联。如果存在关联，那么这个设备和手机、电脑并没有本质区别，都可能被要求解锁；如果不存在关联，那么它只是一个普通的电子设备。很多人把问题理解成 「香港开始针对冷钱包」，其实会走偏。规则真正触碰的，是 「谁在控制数据」，而不是 「数据放在哪里」。

与美国的对照：密码问题的底层逻辑完全不同

把同样的问题放到美国语境里，会得到一个很不一样的答案。美国当然也可以查设备、扣设备、甚至通过技术手段获取数据，但一旦涉及 「让你自己说出密码」，法律立刻变得谨慎。这背后的核心，是《美国宪法第五修正案》中的一句话：

「No person… shall be compelled in any criminal case to be a witness against himself.」

围绕这一原则，美国法院长期在处理一个问题：输入密码，是不是在 「作证」。

目前主流的司法思路，大致形成了一个相对清晰的分界：

密码、助记词这类 「记忆中的信息」，更容易被认定为具有 「testimonial」 属性，原则上不能被强制披露

指纹、人脸识别这类 「物理特征」，更接近于提供一把 「钥匙」，在一定条件下可以被强制使用

在此基础上，美国又发展出 「foregone conclusion doctrine」（既存事实例外）。如果执法机关已经能够证明某些数据的存在及其归属关系，可以要求当事人配合访问，但这个标准本身门槛较高，适用范围有限，也经常成为争议焦点。

把这些规则合在一起看，可以发现：在美国，执法机关可以想办法拿到你的设备，也可以通过各种路径接近你的数据，但要你自己交出密码，这件事本身是受宪法约束的，不能轻易实现。

而香港这次规则调整的路径，它没有引入 「自证其罪」 的限制逻辑，而是把 「协助解密」 纳入法律义务体系，一旦进入国家安全调查框架，拒绝配合本身就会带来法律风险。

两种制度放在一起，对比会非常直观：在美国，密码更接近一种 「受保护的信息」；在香港，它在特定案件中被当作一种 「必须提供的协助」。这也是为什么，同样是加密设备，在两个法域下的风险评估，会出现明显差异。

对普通加密资产持有人来说，这件事意味着什么

把规则讲清楚之后，其实可以把问题收得更简单一点：这次变化，对一个正常持有和使用加密资产的人来说，影响有多大？

如果你的行为本身是干净的 —— 只是持币、交易、做投资，或者参与一些常规的链上活动，那么香港这次规则的变化，基本不会改变你的日常风险。它不是一个面向普通人的普遍性检查机制，也不会因为你带了一个硬件钱包，就触发额外的执法关注。

但如果把视角往上移一层，这次调整确实释放了一个更明确的信号：在特定案件里，香港执法机关获取链上控制权的能力在变强，而且不再完全依赖技术手段，而是可以直接通过法律义务来实现。这一点，对那些涉及复杂资金结构、跨境流转或者灰色边界的行为，会产生实质影响。

从实务角度看，更值得关注的不是 「设备安全」，而是 「struktur keamanan」。你的资产是否集中在单一 private key 之下，你的 alamat 是否可能被关联到高风险标签，你的资金路径是否经得起解释 —— 这些问题，远比 「要不要带钱包入境」 更接近真实风险。

如果这条新闻一定要留下一个实际意义，大概不在于出行习惯，而在于一个更现实的变化：在某些已经进入执法视野的场景里，链上资产的控制，不再完全由技术单方面决定了。