2020年8月20日,国家密码管理局发布《商用密码管理条例(修订草案征求意见稿)》(“《条例》(征求意见稿)”),对1999年发布并生效的《商用密码管理条例》(“《条例》1999年版”)进行全面修订。早在2019年10月26日,《中华人民共和国密码法》(“《密码法》”)发布,并已于2020年1月1日生效。由于《密码法》对商用密码管理制度进行了结构性重塑,现行《商用密码管理条例》已无法适应《密码法》的要求,因此本次修订应运而生。
本文将结合《密码法》及相关配套规范,对《条例》(征求意见稿)进行全面解读,提炼出十大主要变化,帮助相关企业了解我国商用密码产品制度的历史沿革与发展趋势。
变化一:确立法律位阶, 落实“放管服”改革 《条例》1999年版的颁布时间早于《密码法》,因此并未明确规定上位法依据。由于《密码法》的颁布实施,商用密码管理作为我国密码管理中的组织部分,其管理规范以《密码法》为上位法也是应有之义。而且,《条例》(征求意见稿)重点规定的检测认证、电子认证、进出口管理制度也与《密码法》相关内容相互呼应,进一步落实了《密码法》的管理要求。 根据《密码法》确立的密码领域职能转变和“放管服”改革,在立法宗旨上,《条例》(征求意见稿)更加突出促进商用密码事业发展的目的。我们可以看到《条例》(征求意见稿)以专章规定“科技创新与标准化”“应用与促进”等内容,体现了促进商用密码事业发展的立法目的。同时,相较于《条例》1999年版,《条例》(征求意见稿)将“维护国家安全和社会公共利益”放在“保护公民、法人和其他组织的合法权益”之前,强调对国家安全和社会公共利益的保护,《条例》(征求意见稿)中所规定的国家安全审查、外商投资安全审查、进口许可与出口管制等内容均体现了这一目的。 变化二:确立“四级管理+专项管理”机制 《条例》1999年版对密码管理实行的是国家和省级两级管理体制,第4条规定“国家密码管理委员会及其办公室(以下简称国家密码管理机构)主管全国的商用密码管理工作。省、自治区、直辖市负责密码管理的机构根据国家密码管理机构的委托,承担商用密码的有关管理工作。” 《条例(征求意见稿)》沿袭《密码法》,实际上确定了“四级管理+专项管理”的体制,即国家、省级、市、县负责相应行政区域的商用密码工作,国家网信、商务、海关、市场监督管理等有关部门在各自职责范围内,负责商用密码有关管理工作[1]。 变化三:商用密码范围的再界定 在我国现行密码管理体系下,密码分为核心密码、普通密码和商用密码。其中,核心密码、普通密码用于保护国家秘密信息,商用密码用于保护不属于国家秘密的信息。《条例》1999年版第2条规定,“本条例所称商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。”这里的商用密码主要是指商用密码技术和商用密码产品。 《密码法》进一步扩展了密码的范围与边界,将“服务”纳入密码的范围[2],因此《条例》(征求意见稿)也沿袭《密码法》的立法思路,不仅规制“商用密码技术和商用密码产品”,也将“商用密码服务”纳入规制范围[3]。 在《条例》1999年版规定商用密码技术属于国家秘密,使用商用密码技术的主体要遵守与国家秘密相关的所有法律规定。《密码法》的出台改变了上述状况,不再规定商用密码技术本身为国家秘密,不将商用秘密技术纳入国家秘密的管理体系。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全[4]。 而《条例》(征求意见稿)进一步规定商用密码技术的安全性审查要求,规定“国家密码管理部门根据商用密码应用需求或者安全需要,组织对密码算法、密码协议、密钥管理机制等商用密码技术进行安全性审查,通过安全性审查的,列入商用密码技术指导目录。”[5]。而且,对于非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,还要求使用列入商用密码技术指导目录的商用密码技术[6]。 变化四:细化商用密码检测认证制度 随着《密码法》的出台,我国商用密码产品的管理制度经历了“审批制”到“检测认证制”的过程,具体如下:
发布时间 | 具体内容 |
1999年10月7日 | 《条例》1999年版第3条规定,对商用密码产品的科研、生产、销售和使用实行专控管理。 |
2017年9月22日 | 国务院发布《关于取消一批行政许可事项的决定》(国发〔2017〕46 号),取消了国家密码管理局负责实施的商用密码产品生产单位审批、商用密码产品销售单位许可、外商投资企业使用境外密码产品审批、境外组织和个人在华使用密码产品或者含有密码技术的设备审批4项行政许可事项。 |
2017年10月11日 | 国家密码管理局发布《关于做好商用密码产品生产单位审批等4项行政许可取消后相关管理政策衔接工作的通知》(国密局字〔2017〕336号),生产、销售的商用密码产品仍应当依法办理《商用密码产品型号证书》,并且对商用密码产品销售企业继续实施商用密码产品销售登记备案制度。 |
2017年12月1日 | 国家密码管理局发布《关于废止和修改部分管理规定的决定》,对《商用密码产品销售管理规定》《商用密码产品使用管理规定》和《境外组织和个人在华使用密码产品管理办法》三部管理规定予以废止,对《商用密码科研管理规定》、《商用密码产品生产管理规定》和《电子认证服务密码管理办法》三部管理规定的部分条款予以修订。 |
2019年10月26日 | 全国人大常委发布《密码法》,国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。 |
2019年12月31日 | 国家密码管理局、国家市场监督管理总局《关于调整商用密码产品管理方式的公告》明确规定,取消“商用密码产品品种和型号审批”,建立国家统一推行的商用密码认证制度,鼓励商用密码产品获得认证。 |
2020年3月26日 | 国家市场监管总局、国家密码管理局《关于开展商用密码检测认证工作的实施意见》(“《实施意见》”)规定,商用密码认证目录由市场监管总局、国家密码管理局共同发布,商用密码认证规则由市场监管总局发布。 |
2020年5月9日 | 市场监管总局 国家密码管理局发布《商用密码产品认证目录(第一批)》《商用密码产品认证规则》的公告,具体如下: 1)《商用密码产品认证目录(第一批)》在密码管理局过往文件和通知的基础上,对商用密码产品的种类、认证依据做了部分调整,细化了认证依据,并且增加了产品描述,更有利于对于商用密码产品类型的界定[7]。 2)《商用密码产品认证规则》从商用密码产品认证的适用范围、认证模式、认证单元划分、认证实施程序、认证证书、认证标志、认证实施细则和认证责任八个方面对商用密码产品的认证工作作出规定。 |
在《密码法》体系下,对商用密码认证检测可以分为三个部分:一是强制检测、认证,对于涉及国家安全、国计民生、社会公共利益的商用密码产品,应被依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供[8];二是自愿检测认证,对于不涉及国家安全、国计民生、社会公共利益的商用密码产品,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力[9];三是商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格[10]。
《条例》(征求意见稿)除了沿袭《密码法》上述要求,更为重要的是对商用密码产品检测与认证机构的资质要求、申请流程、主管机构、监督管理进行具体规定,具体如下:
_ | 商用密码检测 | 商用密码认证 |
主管部门 | 国家密码管理部门 | 国务院市场监督管理部门、国家密码管理部门 |
资质要求 | (一)具有企业法人或者事业单位法人资格; (二)具有与从事商用密码检测活动相适应的资金、场所、设备设施、专业人员和专业能力; (三)具有保证商用密码检测活动有效运行的管理体系和保障措施。 | (一)符合法律、行政法规和国家有关规定要求的认证机构基本条件; (二)具备与从事商用密码认证活动相适应的商用密码检测、检查、标准研制与验证等专业能力。 |
监管管理 | 对出具的检测数据、结果负责,并定期向国家密码管理部门报送检测实施情况。 | 对出具的认证结论负责,并定期向国务院市场监督管理部门和国家密码管理部门报送认证实施情况。 商用密码认证机构应当对其认证的商用密码产品、服务、管理体系实施有效的跟踪监督,以保证通过认证的商用密码产品、服务、管理体系持续符合认证要求。 |
变化五:电子认证
《条例》(征求意见稿)规定了电子认证服务和电子政务电子认证服务的内容:
电子认证服务
根据《中华人民共和国电子签名法》(“《电子签名法》”),可靠的电子签名与手写签名或者盖章具有同等的法律效力[11]。由于电子认证服务提供者在开展电子认证服务中会使用密码,因此《电子签名法》第17条[12]规定提供电子认证服务的条件,其中之一就包括具有国家密码管理机构同意使用密码的证明文件。国家密码管理局最早于2005年发布《电子认证密码管理办法》,要求提供电子认证服务,应当申请《电子认证服务使用密码许可证》,该《许可证》即为《电子签名法》第17条规定的国家密码管理机构同意使用密码的证明文件。
《条例》(征求意见稿)相应规定采用商用密码技术提供电子认证服务所应具备的条件(同样包括依法取得国家秘密管理部门同意使用密码的证明文件)。
电子政务电子认证服务
电子政务电子认证服务指电子认证服务机构采用商用密码技术,通过数据证书,为各级政务部门开展社会管理、公共服务等政务活动提供的电子认证服务[13]。《密码法》第29条规定,“国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。”
《条例》(征求意见稿)进一步落实《密码法》的规定,电子政务电子认证服务机构应经国家密码管理部门认定,并取得相应资质[14];同时,《条例》(征求意见稿)也规定了取得电子政务电子认证服务机构资质应取得的条件、资质申请流程等[15]。如果外商投资电子政务电子认证服务,影响或可能影响国家安全的,还应当依法进行外商投资安全审查[16],这也与《中华人民共和国外商投资法》(“《外商投资法》”)第35条规定的外商投资安全审查制度[17]相衔接。
变化六:进口许可清单和出口管制清单制度
随着《密码法》的出台,我国对于商用密码进出口从“批准制”转变为“进口许可清单和出口管制清单制度”,具体如下:
发布时间 | 具体内容 |
1999年10月7日 | 《条例》1999年版第13条规定,“进口密码产品以及含有密码技术的设备或者出口商用密码产品,必须报经国家密码管理机构批准。任何单位或者个人不得销售境外的密码产品。” |
2009年12月10日 | 国家密码管理局、海关总署第一批《密码产品和含有密码技术的设备进口管理目录》(国家密码管理局、海关总署公告第18号)(“18号公告”),规定进口目录所列商品均实行《密码产品和含有密码技术设备进口许可证》管理。 |
2013年12月31日 | 国家密码管理局、海关总署关于发布《密码产品和含有密码技术的设备进口管理目录》调整公告(国家密码管理局、海关总署公告第27号),宣布废止18号公号的内容,重新调整了《密码产品和含有密码技术的设备进口管理目录》。 |
2019年10月26日 | 《密码法》第28条规定商用密码进口许可清单和出口管制清单管理制度,“国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。” |
2020年1月1日 | 国家密码管理局、商务部、海关总署公告第38号《关于做好商用密码进出口管理工作的过渡和衔接的公告》(“38号公告”),鉴于商用密码进口许可清单和出口管制清单尚未公布实施,商务部、国家密码管理局、海关总署作出以下过渡安排: 1) 在商用密码进口许可清单和出口管制清单公布实施前,商用密码进出口暂按如下许可条件和程序依法实施进出口许可管理: • 从事密码产品和含有密码技术的设备进口的,按照国家密码管理局、海关总署联合发布的国密局第18号、第27号公告办理; • 从事商用密码产品出口的,应当向国家密码管理局或者各省(区、市)密码管理局提出“商用密码产品出口许可”申请,办理《商用密码产品出口许可证》。 2) 在商用密码进口许可清单和出口管制清单制定完成后,将由商务部、国家密码管理局、海关总署另行发布公告,对商用密码实施进口许可和出口管制。 |
《条例》(征求意见稿)进一步落实《密码法》的要求,规定商用密码进口许可和商用密码出口管制的内容。同时,《条例》(征求意见稿)还增加规定了“进口《商用密码进口许可清单》或者出口《商用密码出口管制清单》中的商用密码,应当向国务院商务主管部门申请领取两用物项[18]进出口许可证”的内容,与我国目前正在制定的《出口管制法》相互呼应。在具体执法过程中,采取海关与国务院商务主管部门、国家密码管理部门联动执法的机制:未向海关交验两用物项进出口许可证,海关有证据表明进出口产品可能属于商用密码进口许可或者出口管制范围的,应当向进出口经营者提出质疑;海关可以向国务院商务主管部门、国家密码管理部门提出组织鉴别,并根据鉴别结论依法处置;海关还可以在鉴别或者质疑期间,对进出口产品不予放行[19]。
变化七:与等保和关键信息基础设施保护的关系
在等保2.0体系下,不同等级的网络在使用密码技术和密码产品上有不同的要求。以等保三级为例(一般商业运营系统最为广泛适用的级别),安全通用要求中规定必须使用国家密码管理主管部门认证核准的密码技术和产品[20];《网络安全等级保护条例(征求意见稿)》第47条也规定,第三级以上网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务。
《条例》(征求意见稿)直接体现了上述等保2.0的要求,对于网络安全等级保护第三级以上网络,要求运营者应当使用商用密码进行保护。但是由于等保2.0国家标准仅为推荐性标准,并不具备强制力,因此若《条例》(征求意见稿)生效,将会将网络安全等级保护的推荐性的要求上升为具有强制力的国家规范。
同时,《条例》(征求意见稿)也将商用密码应用安全性评估的范围予以扩展,《密码法》第27条仅规定使用商用密码进行保护的关键信息基础设施,自行或者委托商用密码检测机构开展商用密码应用安全性评估。而在《条例》(征求意见稿)中,非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统都被要求“自行或者委托商用密码检测机构开展商用密码应用安全性评估”。此外,《条例》(征求意见稿)对于商用密码保障系统的同步规划、同步建设、同步运行也与《网络安全等级保护条例(征求意见稿)》第4条的理念一致[21]。
对于非涉密的关键信息基础设施,《条例》(征求意见稿)规定运营者应履行使用商用密码进行保护、开展商用密码应用安全性评估、使用列入商用密码技术指导目录的商用密码技术、采购网络产品和服务的国家安全审查等义务[22]。《网络安全法》规定关键信息基础设施安全检测评估的内容,为了避免重复评估、测评,《条例》(征求意见稿)也要求商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接。但是,对于是否开展某一项评估就无须开展其他两项评估、测评,仍有待主管机构的进一步澄清。
变化八:国家安全审查
《条例》(征求意见稿)沿袭《密码法》规定关键信息基础设施运营者的国家安全审查内容,即关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当依法通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
2020年4月13日,国家网信办等12部门联合发布《网络安全审查办法》,对于网络安全审查的适用对象、审查机构、审查程序、审查要素等进行规定,因此对于关键信息基础设施运营者采购涉及商用密码的网络产品和服务的国家安全审查,应与《网络安全审查办法》相互衔接,遵循《网络安全审查办法》的要求。
变化九:应用与促进
如上文所述,《条例》(征求意见稿)将促进商用密码事业发展作为立法宗旨,因此规定了一系列商用密码应用与促进的内容,例如:
1.建立健全商用密码科学技术创新促进机制[23];
2.保护商用密码领域的知识产权[24];
3.建立商用密码标准实施信息反馈和评估机制,对商用密码标准实施进行监督检查[25];
4.推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用,鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动[26];
5.建立商用密码应用促进协调机制,加强对商用密码应用的统筹指导[27];
6.支持网络产品、服务使用商用密码提升安全性,支持并规范商用密码在信息领域新技术、新业态、新模式中的应用等[28]。
如果《条例》(征求意见稿)生效,预计上述应用与促进措施也会有相应的细化规则和落地机制,我们也将持续关注。
变化十:创新监督管理方式
相较于《条例》1999年版注重事前审批的管理,《条例》(征求意见稿)顺应“放管服”、普遍性取消审批的要求,转化监管思路,更加注重商用密码的全生命周期管理,而不是放松监管。监管思路的转变的突出标志之一就是加强监管检查的内容,《条例》(征求意见稿)第43条赋予密码管理部门和有关部门丰富的监督检查职权,包括现场检查、查阅或复制有关资料、查封或者扣押等[29]。而且,《条例》(征求意见稿)也着力推进商用密码监督管理与社会信用体系相衔接,要求依法建立推行商用密码市场主体信息记录、信用分类分级监管、失信惩戒以及信用修复等机制[30]。
总体上,由于《密码法》对《条例》1999年版进行了结构性的重塑,《条例》(征求意见稿)与《条例》1999年版相比,在结构、内容上均有大幅度的变化,以贯彻落实《密码法》中的有关商用密码管理具体制度。而且,《条例》(征求意见稿)也与《网络安全法》《电子签名法》《外商投资法》《网络安全审查办法》及正在制定的《出口管制法》等相互链接、相互呼应。由于《条例》(征求意见稿)是商用密码管理制度的基本制度,有着重要影响,因此我们也将持续关注《条例》(征求意见稿)的立法进展,帮助相关企业及时了解商用密码管理的最新趋势。
[注]
[1]《条例》(征求意见稿)第3条。
[2]《密码法》第2条。
[3]《条例》(征求意见稿)第2条规定,本条例所称商用密码,是指采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。
[4]《密码法》第8条第2款。
[5]《条例》(征求意见稿)第9条。
[6]《条例》(征求意见稿)第39条。
[7] 在《商用密码产品认证目录(第一批)》颁布之前,密码管理局已经对密码产品的类型进行过梳理。例如,根据国家密码管理局于2017年12发布的《关于密码模块若干问题的说明》(以下简称“说明”),密码产品既包含GM/T 0028-2014《密码模块安全技术要求》定义的密码模块,还包含安全芯片及密码服务系统(如CA系统、电子签章系统、动态口令认证系统)等。该说明中对典型密码产品(包括可信计算密码支撑平台、智能密码钥匙、金融数据密码机、智能IC卡等)及其适用标准进行了介绍。
[8]《密码法》第26条。
[9]《密码法》第25条。
[10]《密码法》第26条。
[11]《电子签名法》第14条。
[12]《电子签名法》第17条规定,提供电子认证服务,应当具备下列条件:
(一)取得企业法人资格;
(二)具有与提供电子认证服务相适应的专业技术人员和管理人员;
(三)具有与提供电子认证服务相适应的资金和经营场所;
(四)具有符合国家安全标准的技术和设备;
(五)具有国家密码管理机构同意使用密码的证明文件;
(六)法律、行政法规规定的其他条件。
[13] 童卫东、李兆宗主编:《中华人民共和国密码法释义》,法律出版社2019年版。
[14]《条例》(征求意见稿)第24条。
[15]《条例》(征求意见稿)第25、26条。
[16]《条例》(征求意见稿)第27条。
[17]《外商投资法》第35条规定,国家建立外商投资安全审查制度,对影响或者可能影响国家安全的外商投资进行安全审查。依法作出的安全审查决定为最终决定。
[18] 对于两用物项的含义,2005年12月31日发布的《两用物项和技术进出口许可证管理办法》第2条通过转致性条款定义两用物项;2020年7月3日发布的《中华人民共和国出口管制法(草案二次审议稿)》(“草案二次审议稿”)明确对“两用物项”进行定义,即指既有民事用途,又有军事用途或者有助于提升军事潜力,特别是可以用于设计、开发、生产或者使用大规模杀伤性武器的货物、技术和服务。
[19]《条例》(征求意见稿)第33条。
[20]《基本要求》第8.1.10.9条。
[21]《网络安全等级保护条例(征求意见稿)》第4条规定,网络运营者在网络建设过程中,应当同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施。
[22] 关于国家安全审查的内容详见下文。
[23]《条例》(征求意见稿)第7条。
[24]《条例》(征求意见稿)第7条。
[25]《条例》(征求意见稿)第10条。
[26]《条例》(征求意见稿)第10条。
[27]《条例》(征求意见稿)第37条。
[28]《条例》(征求意见稿)第36条。
[29]《条例》(征求意见稿)第43条规定,密码管理部门和有关部门依法开展商用密码监督检查,可以行使下列职权:
(一)进入商用密码活动场所实施现场检查;
(二)向当事人的法定代表人、主要负责人和其他有关人员调查、了解有关情况;
(三)查阅、复制有关合同、票据、账簿以及其他有关资料;
(四)对违法从事商用密码活动的场所、设备设施、产品等予以查封或者扣押;
(五)委托商用密码检测、认证机构对商用密码专业事项进行鉴定。
采取查封、扣押措施的,应当及时查清事实、依法作出处理决定。
[30]《条例》(征求意见稿)第44条。