解讀《商用密碼管理?xiàng)l例》修訂草案十大變化

《條例》1999年版的頒布時(shí)間早于《密碼法》，因此并未明確規(guī)定上位法依據(jù)。由于《密碼法》的頒布實(shí)施，商用密碼管理作為我國(guó)密碼管理中的組織部分，其管理規(guī)范以《密碼法》為上位法也是應(yīng)有之義。而且，《條例》（征求意見(jiàn)稿）重點(diǎn)規(guī)定的檢測(cè)認(rèn)證、電子認(rèn)證、進(jìn)出口管理制度也與《密碼法》相關(guān)內(nèi)容相互呼應(yīng)，進(jìn)一步落實(shí)了《密碼法》的管理要求。

根據(jù)《密碼法》確立的密碼領(lǐng)域職能轉(zhuǎn)變和“放管服”改革，在立法宗旨上，《條例》（征求意見(jiàn)稿）更加突出促進(jìn)商用密碼事業(yè)發(fā)展的目的。我們可以看到《條例》（征求意見(jiàn)稿）以專章規(guī)定“科技創(chuàng)新與標(biāo)準(zhǔn)化”“應(yīng)用與促進(jìn)”等內(nèi)容，體現(xiàn)了促進(jìn)商用密碼事業(yè)發(fā)展的立法目的。同時(shí)，相較于《條例》1999年版，《條例》（征求意見(jiàn)稿）將“維護(hù)國(guó)家安全和社會(huì)公共利益”放在“保護(hù)公民、法人和其他組織的合法權(quán)益”之前，強(qiáng)調(diào)對(duì)國(guó)家安全和社會(huì)公共利益的保護(hù)，《條例》（征求意見(jiàn)稿）中所規(guī)定的國(guó)家安全審查、外商投資安全審查、進(jìn)口許可與出口管制等內(nèi)容均體現(xiàn)了這一目的。

《條例》1999年版對(duì)密碼管理實(shí)行的是國(guó)家和省級(jí)兩級(jí)管理體制，第4條規(guī)定“國(guó)家密碼管理委員會(huì)及其辦公室(以下簡(jiǎn)稱國(guó)家密碼管理機(jī)構(gòu))主管全國(guó)的商用密碼管理工作。省、自治區(qū)、直轄市負(fù)責(zé)密碼管理的機(jī)構(gòu)根據(jù)國(guó)家密碼管理機(jī)構(gòu)的委托，承擔(dān)商用密碼的有關(guān)管理工作?！?/p>

《條例（征求意見(jiàn)稿）》沿襲《密碼法》，實(shí)際上確定了“四級(jí)管理+專項(xiàng)管理”的體制，即國(guó)家、省級(jí)、市、縣負(fù)責(zé)相應(yīng)行政區(qū)域的商用密碼工作，國(guó)家網(wǎng)信、商務(wù)、海關(guān)、市場(chǎng)監(jiān)督管理等有關(guān)部門(mén)在各自職責(zé)范圍內(nèi)，負(fù)責(zé)商用密碼有關(guān)管理工作[1]。

在我國(guó)現(xiàn)行密碼管理體系下，密碼分為核心密碼、普通密碼和商用密碼。其中，核心密碼、普通密碼用于保護(hù)國(guó)家秘密信息，商用密碼用于保護(hù)不屬于國(guó)家秘密的信息?！稐l例》1999年版第2條規(guī)定，“本條例所稱商用密碼，是指對(duì)不涉及國(guó)家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品。”這里的商用密碼主要是指商用密碼技術(shù)和商用密碼產(chǎn)品。

《密碼法》進(jìn)一步擴(kuò)展了密碼的范圍與邊界，將“服務(wù)”納入密碼的范圍[2]，因此《條例》（征求意見(jiàn)稿）也沿襲《密碼法》的立法思路，不僅規(guī)制“商用密碼技術(shù)和商用密碼產(chǎn)品”，也將“商用密碼服務(wù)”納入規(guī)制范圍[3]。

在《條例》1999年版規(guī)定商用密碼技術(shù)屬于國(guó)家秘密，使用商用密碼技術(shù)的主體要遵守與國(guó)家秘密相關(guān)的所有法律規(guī)定?！睹艽a法》的出臺(tái)改變了上述狀況，不再規(guī)定商用密碼技術(shù)本身為國(guó)家秘密，不將商用秘密技術(shù)納入國(guó)家秘密的管理體系。公民、法人和其他組織可以依法使用商用密碼保護(hù)網(wǎng)絡(luò)與信息安全[4]。

而《條例》（征求意見(jiàn)稿）進(jìn)一步規(guī)定商用密碼技術(shù)的安全性審查要求，規(guī)定“國(guó)家密碼管理部門(mén)根據(jù)商用密碼應(yīng)用需求或者安全需要，組織對(duì)密碼算法、密碼協(xié)議、密鑰管理機(jī)制等商用密碼技術(shù)進(jìn)行安全性審查，通過(guò)安全性審查的，列入商用密碼技術(shù)指導(dǎo)目錄。”[5]。而且，對(duì)于非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)以上網(wǎng)絡(luò)、國(guó)家政務(wù)信息系統(tǒng)等網(wǎng)絡(luò)與信息系統(tǒng)，還要求使用列入商用密碼技術(shù)指導(dǎo)目錄的商用密碼技術(shù)[6]。

隨著《密碼法》的出臺(tái)，我國(guó)商用密碼產(chǎn)品的管理制度經(jīng)歷了“審批制”到“檢測(cè)認(rèn)證制”的過(guò)程，具體如下：

在《密碼法》體系下，對(duì)商用密碼認(rèn)證檢測(cè)可以分為三個(gè)部分：一是強(qiáng)制檢測(cè)、認(rèn)證，對(duì)于涉及國(guó)家安全、國(guó)計(jì)民生、社會(huì)公共利益的商用密碼產(chǎn)品，應(yīng)被依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，由具備資格的機(jī)構(gòu)檢測(cè)認(rèn)證合格后，方可銷售或者提供[8]；二是自愿檢測(cè)認(rèn)證，對(duì)于不涉及國(guó)家安全、國(guó)計(jì)民生、社會(huì)公共利益的商用密碼產(chǎn)品，鼓勵(lì)商用密碼從業(yè)單位自愿接受商用密碼檢測(cè)認(rèn)證，提升市場(chǎng)競(jìng)爭(zhēng)力[9]；三是商用密碼服務(wù)使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的，應(yīng)當(dāng)經(jīng)商用密碼認(rèn)證機(jī)構(gòu)對(duì)該商用密碼服務(wù)認(rèn)證合格[10]。

《條例》（征求意見(jiàn)稿）除了沿襲《密碼法》上述要求，更為重要的是對(duì)商用密碼產(chǎn)品檢測(cè)與認(rèn)證機(jī)構(gòu)的資質(zhì)要求、申請(qǐng)流程、主管機(jī)構(gòu)、監(jiān)督管理進(jìn)行具體規(guī)定，具體如下：

《條例》（征求意見(jiàn)稿）規(guī)定了電子認(rèn)證服務(wù)和電子政務(wù)電子認(rèn)證服務(wù)的內(nèi)容：

根據(jù)《中華人民共和國(guó)電子簽名法》（“《電子簽名法》”），可靠的電子簽名與手寫(xiě)簽名或者蓋章具有同等的法律效力[11]。由于電子認(rèn)證服務(wù)提供者在開(kāi)展電子認(rèn)證服務(wù)中會(huì)使用密碼，因此《電子簽名法》第17條[12]規(guī)定提供電子認(rèn)證服務(wù)的條件，其中之一就包括具有國(guó)家密碼管理機(jī)構(gòu)同意使用密碼的證明文件。國(guó)家密碼管理局最早于2005年發(fā)布《電子認(rèn)證密碼管理辦法》，要求提供電子認(rèn)證服務(wù)，應(yīng)當(dāng)申請(qǐng)《電子認(rèn)證服務(wù)使用密碼許可證》，該《許可證》即為《電子簽名法》第17條規(guī)定的國(guó)家密碼管理機(jī)構(gòu)同意使用密碼的證明文件。

《條例》（征求意見(jiàn)稿）相應(yīng)規(guī)定采用商用密碼技術(shù)提供電子認(rèn)證服務(wù)所應(yīng)具備的條件（同樣包括依法取得國(guó)家秘密管理部門(mén)同意使用密碼的證明文件）。

電子政務(wù)電子認(rèn)證服務(wù)指電子認(rèn)證服務(wù)機(jī)構(gòu)采用商用密碼技術(shù)，通過(guò)數(shù)據(jù)證書(shū)，為各級(jí)政務(wù)部門(mén)開(kāi)展社會(huì)管理、公共服務(wù)等政務(wù)活動(dòng)提供的電子認(rèn)證服務(wù)[13]?！睹艽a法》第29條規(guī)定，“國(guó)家密碼管理部門(mén)對(duì)采用商用密碼技術(shù)從事電子政務(wù)電子認(rèn)證服務(wù)的機(jī)構(gòu)進(jìn)行認(rèn)定，會(huì)同有關(guān)部門(mén)負(fù)責(zé)政務(wù)活動(dòng)中使用電子簽名、數(shù)據(jù)電文的管理。”

《條例》（征求意見(jiàn)稿）進(jìn)一步落實(shí)《密碼法》的規(guī)定，電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)經(jīng)國(guó)家密碼管理部門(mén)認(rèn)定，并取得相應(yīng)資質(zhì)[14]；同時(shí)，《條例》（征求意見(jiàn)稿）也規(guī)定了取得電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)資質(zhì)應(yīng)取得的條件、資質(zhì)申請(qǐng)流程等[15]。如果外商投資電子政務(wù)電子認(rèn)證服務(wù)，影響或可能影響國(guó)家安全的，還應(yīng)當(dāng)依法進(jìn)行外商投資安全審查[16]，這也與《中華人民共和國(guó)外商投資法》（“《外商投資法》”）第35條規(guī)定的外商投資安全審查制度[17]相銜接。

隨著《密碼法》的出臺(tái)，我國(guó)對(duì)于商用密碼進(jìn)出口從“批準(zhǔn)制”轉(zhuǎn)變?yōu)椤斑M(jìn)口許可清單和出口管制清單制度”，具體如下：

《條例》（征求意見(jiàn)稿）進(jìn)一步落實(shí)《密碼法》的要求，規(guī)定商用密碼進(jìn)口許可和商用密碼出口管制的內(nèi)容。同時(shí)，《條例》（征求意見(jiàn)稿）還增加規(guī)定了“進(jìn)口《商用密碼進(jìn)口許可清單》或者出口《商用密碼出口管制清單》中的商用密碼，應(yīng)當(dāng)向國(guó)務(wù)院商務(wù)主管部門(mén)申請(qǐng)領(lǐng)取兩用物項(xiàng)[18]進(jìn)出口許可證”的內(nèi)容，與我國(guó)目前正在制定的《出口管制法》相互呼應(yīng)。在具體執(zhí)法過(guò)程中，采取海關(guān)與國(guó)務(wù)院商務(wù)主管部門(mén)、國(guó)家密碼管理部門(mén)聯(lián)動(dòng)執(zhí)法的機(jī)制：未向海關(guān)交驗(yàn)兩用物項(xiàng)進(jìn)出口許可證，海關(guān)有證據(jù)表明進(jìn)出口產(chǎn)品可能屬于商用密碼進(jìn)口許可或者出口管制范圍的，應(yīng)當(dāng)向進(jìn)出口經(jīng)營(yíng)者提出質(zhì)疑；海關(guān)可以向國(guó)務(wù)院商務(wù)主管部門(mén)、國(guó)家密碼管理部門(mén)提出組織鑒別，并根據(jù)鑒別結(jié)論依法處置；海關(guān)還可以在鑒別或者質(zhì)疑期間，對(duì)進(jìn)出口產(chǎn)品不予放行[19]。

在等保2.0體系下，不同等級(jí)的網(wǎng)絡(luò)在使用密碼技術(shù)和密碼產(chǎn)品上有不同的要求。以等保三級(jí)為例（一般商業(yè)運(yùn)營(yíng)系統(tǒng)最為廣泛適用的級(jí)別），安全通用要求中規(guī)定必須使用國(guó)家密碼管理主管部門(mén)認(rèn)證核準(zhǔn)的密碼技術(shù)和產(chǎn)品[20]；《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見(jiàn)稿）》第47條也規(guī)定，第三級(jí)以上網(wǎng)絡(luò)應(yīng)當(dāng)采用密碼保護(hù)，并使用國(guó)家密碼管理部門(mén)認(rèn)可的密碼技術(shù)、產(chǎn)品和服務(wù)。

《條例》（征求意見(jiàn)稿）直接體現(xiàn)了上述等保2.0的要求，對(duì)于網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)以上網(wǎng)絡(luò)，要求運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)。但是由于等保2.0國(guó)家標(biāo)準(zhǔn)僅為推薦性標(biāo)準(zhǔn)，并不具備強(qiáng)制力，因此若《條例》（征求意見(jiàn)稿）生效，將會(huì)將網(wǎng)絡(luò)安全等級(jí)保護(hù)的推薦性的要求上升為具有強(qiáng)制力的國(guó)家規(guī)范。

同時(shí)，《條例》（征求意見(jiàn)稿）也將商用密碼應(yīng)用安全性評(píng)估的范圍予以擴(kuò)展，《密碼法》第27條僅規(guī)定使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展商用密碼應(yīng)用安全性評(píng)估。而在《條例》（征求意見(jiàn)稿）中，非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)以上網(wǎng)絡(luò)、國(guó)家政務(wù)信息系統(tǒng)等網(wǎng)絡(luò)與信息系統(tǒng)都被要求“自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展商用密碼應(yīng)用安全性評(píng)估”。此外，《條例》（征求意見(jiàn)稿）對(duì)于商用密碼保障系統(tǒng)的同步規(guī)劃、同步建設(shè)、同步運(yùn)行也與《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見(jiàn)稿）》第4條的理念一致[21]。

對(duì)于非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施，《條例》（征求意見(jiàn)稿）規(guī)定運(yùn)營(yíng)者應(yīng)履行使用商用密碼進(jìn)行保護(hù)、開(kāi)展商用密碼應(yīng)用安全性評(píng)估、使用列入商用密碼技術(shù)指導(dǎo)目錄的商用密碼技術(shù)、采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的國(guó)家安全審查等義務(wù)[22]。《網(wǎng)絡(luò)安全法》規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估的內(nèi)容，為了避免重復(fù)評(píng)估、測(cè)評(píng)，《條例》（征求意見(jiàn)稿）也要求商用密碼應(yīng)用安全性評(píng)估、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估、網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)應(yīng)當(dāng)加強(qiáng)銜接。但是，對(duì)于是否開(kāi)展某一項(xiàng)評(píng)估就無(wú)須開(kāi)展其他兩項(xiàng)評(píng)估、測(cè)評(píng)，仍有待主管機(jī)構(gòu)的進(jìn)一步澄清。

《條例》（征求意見(jiàn)稿）沿襲《密碼法》規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的國(guó)家安全審查內(nèi)容，即關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國(guó)家安全的，應(yīng)當(dāng)依法通過(guò)國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)家密碼管理部門(mén)等有關(guān)部門(mén)組織的國(guó)家安全審查。

2020年4月13日，國(guó)家網(wǎng)信辦等12部門(mén)聯(lián)合發(fā)布《網(wǎng)絡(luò)安全審查辦法》，對(duì)于網(wǎng)絡(luò)安全審查的適用對(duì)象、審查機(jī)構(gòu)、審查程序、審查要素等進(jìn)行規(guī)定，因此對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的國(guó)家安全審查，應(yīng)與《網(wǎng)絡(luò)安全審查辦法》相互銜接，遵循《網(wǎng)絡(luò)安全審查辦法》的要求。

如上文所述，《條例》（征求意見(jiàn)稿）將促進(jìn)商用密碼事業(yè)發(fā)展作為立法宗旨，因此規(guī)定了一系列商用密碼應(yīng)用與促進(jìn)的內(nèi)容，例如：

1. 建立健全商用密碼科學(xué)技術(shù)創(chuàng)新促進(jìn)機(jī)制[23]；

   
   

2. 保護(hù)商用密碼領(lǐng)域的知識(shí)產(chǎn)權(quán)[24]；

   
   

3. 建立商用密碼標(biāo)準(zhǔn)實(shí)施信息反饋和評(píng)估機(jī)制，對(duì)商用密碼標(biāo)準(zhǔn)實(shí)施進(jìn)行監(jiān)督檢查[25]；

   
   

4. 推動(dòng)參與商用密碼國(guó)際標(biāo)準(zhǔn)化活動(dòng)，參與制定商用密碼國(guó)際標(biāo)準(zhǔn)，推進(jìn)商用密碼中國(guó)標(biāo)準(zhǔn)與國(guó)外標(biāo)準(zhǔn)之間的轉(zhuǎn)化運(yùn)用，鼓勵(lì)企業(yè)、社會(huì)團(tuán)體和教育、科研機(jī)構(gòu)等參與商用密碼國(guó)際標(biāo)準(zhǔn)化活動(dòng)[26]；

   
   

5. 建立商用密碼應(yīng)用促進(jìn)協(xié)調(diào)機(jī)制，加強(qiáng)對(duì)商用密碼應(yīng)用的統(tǒng)籌指導(dǎo)[27]；

   
   

6. 支持網(wǎng)絡(luò)產(chǎn)品、服務(wù)使用商用密碼提升安全性，支持并規(guī)范商用密碼在信息領(lǐng)域新技術(shù)、新業(yè)態(tài)、新模式中的應(yīng)用等[28]。

如果《條例》（征求意見(jiàn)稿）生效，預(yù)計(jì)上述應(yīng)用與促進(jìn)措施也會(huì)有相應(yīng)的細(xì)化規(guī)則和落地機(jī)制，我們也將持續(xù)關(guān)注。

相較于《條例》1999年版注重事前審批的管理，《條例》（征求意見(jiàn)稿）順應(yīng)“放管服”、普遍性取消審批的要求，轉(zhuǎn)化監(jiān)管思路，更加注重商用密碼的全生命周期管理，而不是放松監(jiān)管。監(jiān)管思路的轉(zhuǎn)變的突出標(biāo)志之一就是加強(qiáng)監(jiān)管檢查的內(nèi)容，《條例》（征求意見(jiàn)稿）第43條賦予密碼管理部門(mén)和有關(guān)部門(mén)豐富的監(jiān)督檢查職權(quán)，包括現(xiàn)場(chǎng)檢查、查閱或復(fù)制有關(guān)資料、查封或者扣押等[29]。而且，《條例》（征求意見(jiàn)稿）也著力推進(jìn)商用密碼監(jiān)督管理與社會(huì)信用體系相銜接，要求依法建立推行商用密碼市場(chǎng)主體信息記錄、信用分類分級(jí)監(jiān)管、失信懲戒以及信用修復(fù)等機(jī)制[30]。

總體上，由于《密碼法》對(duì)《條例》1999年版進(jìn)行了結(jié)構(gòu)性的重塑，《條例》（征求意見(jiàn)稿）與《條例》1999年版相比，在結(jié)構(gòu)、內(nèi)容上均有大幅度的變化，以貫徹落實(shí)《密碼法》中的有關(guān)商用密碼管理具體制度。而且，《條例》（征求意見(jiàn)稿）也與《網(wǎng)絡(luò)安全法》《電子簽名法》《外商投資法》《網(wǎng)絡(luò)安全審查辦法》及正在制定的《出口管制法》等相互鏈接、相互呼應(yīng)。由于《條例》（征求意見(jiàn)稿）是商用密碼管理制度的基本制度，有著重要影響，因此我們也將持續(xù)關(guān)注《條例》（征求意見(jiàn)稿）的立法進(jìn)展，幫助相關(guān)企業(yè)及時(shí)了解商用密碼管理的最新趨勢(shì)。