自《网络安全法》实施以来,中国网络安全与数据合规监管日益深入,网络安全与数据合规已经成为企业的基础合规工作,近期也在企业融资并购交易尽调和上市审查中被重点关注。密码作为网络与信息安全的核心保障技术和基础支撑,密码合规是企业网络安全与数据合规工作中不可或缺的部分。
早在1999年,我国就已经针对商用密码产品制定并实施了《商用密码管理条例》(以下简称《管理条例》),此外对于其他类型密码的规制还散见于《中华人民共和国保守国家秘密法》、《含有密码技术的信息产品政府采购规定》等不同的法律法规中。经过二十年的摸索和积累,2019年10月26日,我国经十三届全国人大常委会第十四次会议表决通过,密码管理领域的第一部综合性法律《中华人民共和国密码法》(以下简称《密码法》)终于将在2020年1月1日生效。
本文将基于《密码法》的法律条文以及其与既有监管要求的区别和衔接,对“放管服”的商用密码管理模式和“关键环节”的特殊监管制度进行重点梳理,并就《密码法》在区块链产业的适用问题进行初步探讨,最后针对商用密码产品的生产和销售企业、普通网络运营者和关键信息基础设施运营者,分别提出应对建议。
- 中国的密码管理法律体系
在《密码法》出台之前,以《管理条例》为中心,国家密码管理局针对科研、生产、销售、进出口等环节制定了包括《商用密码产品生产管理规定》、《商用密码科研管理规定》在内的多个部门规章,对密码行业实行全面的行政许可和专控管理制度。但随着近几年简化行政审批的“放管服”行政制度改革的持续深化,商用密码产品生产单位审批、商用密码产品销售单位许可等一批商用密码行政许可事项逐渐被取消,国家密码管理局也相应地废止和修改了部分管理规定。
《管理条例》及其配套管理规定都只针对商用密码进行管理,不包括对国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。对于涉及国家秘密的密码产品的管理要求,则散见于《中华人民共和国保守国家秘密法》、《含有密码技术的信息产品政府采购规定》等法律法规中。
规范名称 | 发布机构 | 法律状态 | 生效时间 |
《密码法》 | 全国人大常委会 | 待生效 | 2020.01.01 |
《网络安全法》 | 全国人大常委会 | 现行有效 | 2017.06.01 |
《中华人民共和国保守国家秘密法》 | 全国人大常委会 | 现行有效 |
1989.05.01 2010年10月修订 |
《商用密码管理条例》 | 国务院 | 现行有效 | 1999.10.07 |
《商用密码产品生产管理规定》 | 国家密码管理局 | 现行有效 |
2006.01.01, 2017年12月修订 |
《商用密码科研管理规定》 | 国家密码管理局 | 现行有效 |
2006.01.01, 2017年12月修订 |
《电子认证服务密码管理办法》 | 国家密码管理局 | 现行有效 |
2009.12.01, 2017年12月修订 |
《含有密码技术的信息产品政府采购规定》 | 国家密码管理局、国家安全部等 | 现行有效 | 2008.03.01 |
《密码产品和含有密码技术的设备进口管理目录》 | 国家密码管理局 | 现行有效 | 2014.01.01 |
《国家密码管理局关于做好商用密码产品生产单位审批等4项行政许可取消后相关管理政策衔接工作的通知》 | 国家密码管理局 | 现行有效 | 2017.10.11 |
《国家密码管理局关于废止和修改部分管理规定的决定》 | 国家密码管理局 | 现行有效 | 2017.12.01 |
《信息安全等级保护商用密码管理办法》 | 国家密码管理局 | 现行有效 | 2008.01.01 |
《商用密码产品销售管理规定》 | 国家密码管理局 | 已失效 |
2006.01.01, 2017年12月废止 |
《商用密码产品使用管理规定》 | 国家密码管理局 | 已失效 |
2007.05.01, 2017年12月废止 |
《境外组织和个人在华使用密码产品管理办法》 | 国家密码管理局 | 已失效 |
2007.05.01, 2017年12月废止 |
- 《密码法》下分类管理制度
《密码法》下的密码指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。该法明确了密码分类管理制度,密码包括核心密码、普通密码和商用密码。
密码分类 | 保护的信息种类 |
核心密码 | 属于国家秘密的信息:绝密级、机密级、秘密级 |
普通密码 | 属于国家秘密的信息:机密级、秘密级 |
商业密码 | 不属于国家秘密的信息 |
与《管理条例》明确将商用密码技术认定为国家秘密不同,《密码法》第七条仅将核心密码、普通密码认定为国家秘密,要求密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。
《密码法》首次通过法律规定了核心密码、普通密码使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施。但整体而言,《密码法》主要规范的还是商用密码产品。以下,我们将就“放管服”模式下的商业密码进行重点讨论。
- “放管服”模式下的商业密码
《密码法》贯彻了“简政放权、放管结合、优化服务”的改革思路和公平竞争的原则,通过重点把控关键环节管理商用密码,“由重事前审批更多地转为事中事后监管,重视发挥标准化和检测认证的支撑作用”[1]。此外,《密码法》重视与现有网络安全制度的衔接,规定商用密码的检测认证、应用安全性评估和国家安全审查等制度均应适用或衔接《网络安全法》的配套法律法规,以避免重复认证、评估,合理降低企业的合规成本。
- 商业密码管理之简政放权
- 全流程放权,从“管企业”到“重点管产品”
如前所述,《管理条例》及其配套管理规定,在商用密码科研、生产、销售和使用等环节进行全面的行政许可和专控管理制度,设置了较高的行业准入门槛,尤其是对外商投资企业。但近年来,我国贯彻“放管服”的行政改革要求,通过减少行政审批,逐步放宽行业准入市场。具体而言,国务院年分别于2015年颁布《国务院关于取消和调整一批行政审批项目等事项的决定》(国发〔2015〕11号)(以下简称“2015年《决定》”),于2017年颁布《国务院关于取消一批行政许可事项的决定》(国发〔2017〕46号)(以下简称“2017年《决定》”),取消了商用密码科研、生产、销售和使用等方面的多项行政许可和审批。
《密码法》延续“放管服”的改革思路,没有采取《管理条例》对商用密码各个环节逐条规定管制方式的立法思路,而是通过第二十一条在原则上规定商用密码的各环节应用不得损害国家安全、社会公共利益或者他人合法权益,标志着《密码法》以法律的形式确认了近年来行政机关在商用密码领域全流程简政放权的改革成果。
根据《国家密码管理局关于做好商用密码产品生产单位审批等4项行政许可取消后相关管理政策衔接工作的通知》(国密局字〔2017〕336号)(以下简称“《国密通知》”)的规定,生产、销售商用密码产品的单位无需再经国家密码管理局批准,但生产、销售的商用密码产品仍应当依法办理《商用密码产品型号证书》。外商投资企业使用境外生产的密码产品、境外组织和个人使用密码产品或者含有密码技术的设备,无需再经国家密码管理局批准,但外商投资企业、境外组织和个人使用的密码产品或者含有密码技术的设备需要从境外进口的,仍应当依法办理《密码产品和含有密码技术的设备进口许可证》。同时,密码管理局将继续依法实施商用密码产品销售登记备案制度,取得《商用密码产品型号证书》的单位应当于每年1月31日前,向所在地的省、自治区、直辖市密码管理部门如实报送上一年度商用密码产品销售登记备案数据。
基于现行适用的法律法规,我们通过下表梳理了既有商用密码行政许可和审批资质的存续情况。
商用密码行政许可和审批资质 | 2015年《决定》 | 2017年《决定》 | 《密码法》 |
商用密码科研定点单位证书 | 取消 | N/A | N/A |
商用密码产品生产定点单位证书 | √ | 取消 | N/A |
商用密码产品销售许可证 | √ | 取消 | N/A |
使用境外生产的密码产品准用证 | √ | 取消 | N/A |
境外组织或个人使用密码产品准用证 | √ | 取消 | N/A |
商用密码产品出口许可证[2] | √ | √ | 对适用范围作出修订 |
密码产品和含有密码技术的设备进口许可[3] | √ | √ | 对适用范围作出修订 |
商用密码产品型号证书[4] | √ | √ | 与《网安法》网络关键设备和网络安全专用产品衔接 |
商用密码产品质量检测机构审批[5] | √ | √ | 保留检测、认证机构资质,但商用密码产品由全部强制检测制度调整为自愿检测和强制检测相结合的制度 |
信息安全等级保护商用密码测评机构审批[6] | √ | √ | 与《网安法》相衔接 |
电子政务电子认证服务机构认定[7] | √ | √ | 明确认定制度 |
电子认证服务使用密码许可[8] | √ | √ | 未提及 |
商用密码科研成果审查鉴定[9] | √ | √ | 未提及 |
此外,我们了解到国家密码管理局目前正在就新法下商用密码事前行政审批的适用问题开展研究。考虑到《密码法》贯彻落实“放管服”行政改革的立法立意,不排除未来会进一步放宽现行有效的商用密码行政审批(如商用密码科研成果审查鉴定、电子认证服务使用密码许可等)的适用,继续降低商用密码产业准入门槛。
- 非歧视原则
《密码法》规定了外商投资企业和境外主体在商用密码领域的国民待遇。第二十一条规定,“各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。”《密码法》在商用密码具体权利义务的规定中不区分主体是否为外商,亦充分体现了新法下的商用密码准入的“非歧视原则”。
具体而言,《密码法》在下列几个方面为外商在华从事商用密码业务注入强心剂,为贯彻非歧视原则提供制度保障:
- 首先,国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术(第二十一条)。该规定与同样将于2020年1月1日生效的《外商投资法》禁止行政机关利用行政手段强制外商转让技术的规定[10]一脉相承,反映了近年来国家强调平等保护外商在华合法权益、完善公平市场竞争环境的立法趋势。
- 第二,明确密码管理部门、有关部门及其工作人员不得要求密码从业单位和检测认证机构向其披露源代码等密码相关专有信息,并应对其在履行职责中知悉的商业秘密、个人隐私严格保密。
- 第三,规定商用密码检测认证机构应在其履行职责中知悉的国家秘密和商业秘密承担保密义务。
- 商业密码管理之“关键环节”的特殊监管制度
- 商用密码进出口管制
《密码法》对商用密码进出口管制制度带来了较大革新,具体可概括为两大方面。
- 进出口的密码类型管制革新
《商用密码管理条例》对商用密码产品进出口实施全面的管制,《密码法》第二十八条转变为对特定类型的商用密码实施进出口管制,具体详见下表:
商用密码类型 | 《密码法》的管制方法 |
涉及国家安全、社会公共利益且具有加密保护功能的商用密码 | 实施进口许可 |
涉及国家安全、社会公共利益或者中国承担国际义务的商用密码 | 实施出口管制 |
大众消费类产品所采用的商用密码 | 不实行进口许可和出口管制 |
目前,对既不属于“涉及国家安全、社会共同利益或中国承担国际义务”又不属于“大众消费类产品”的商用密码,《密码法》并未规定进出口管制一般规则,有待后续该法具体实施措施的补充以及实务观察。考虑到第二十八条要求执法部门后续公布商用密码进口许可清单和出口管制清单,结合该法“放管服”的立法精神,我们初步判断未来《密码法》及其配套制度可能采取负面清单的进出口管制制度,即商用密码只要不属于进口许可清单和出口管制清单,即不受进出口管制。
- 进出口的主体管制革新
在《密码法》出台前,只有外商投资企业、境外组织和个人可以在申请“密码产品和含有密码技术的设备进口许可”,并在获得许可后方可进口密码产品或含有密码技术的设备以供自用;其他境内主体均不得使用或进口境外生产的密码产品。
值得注意的是,《密码法》第二十八条不再区分外商与内资主体的商用密码进出口管制义务,仅从商用密码的类型上规定进出口管制。未来是否取消商用密码的进出口管制对外商与内资的主体区分,仍有待具体实施措施的出台以及后续实务观察。
- 关键信息基础设施运营者的安全评估制度和安全审查制度
《密码法》并未对一般的网络运营者采购与使用商用密码做出一般性规定,但对属于关键信息基础设施的运营者提出了特殊要求,体现了“放”与“管”的监管平衡。
- 安全评估制度
《密码法》第二十七条规定,关键信息基础设施运营者依据相关规定应当使用商用密码进行保护的,必须自行或者委托商用密码检测机构开展商用密码应用安全性评估。
特别需要指出的是,该条与以国家标准《GB/T 22239-2019信息安全技术 网络安全等级保护基本要求》为标志的网络安全等级保护制度(以下简称“等保2.0”)相衔接,其中根据等保2.0相关国家标准(含征求意见稿)的建议,关键信息基础设施的安全保护等级原则上不应低于三级,应采用密码技术进行加密[11]。因此,在等保2.0制度下,关键信息基础设施运营者原则上均需按《密码法》开展商用密码应用安全性评估。
- 安全审查制度
《密码法》第二十七条还规定,关键信息基础设施运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照相关法律法规要求,由有关部门开展网络安全审查。
根据今年5月发布的《网络安全审查办法(征求意见稿)》的规定,运营者采购网络产品和服务时,应预判产品和服务上线运行后带来的潜在安全风险,形成安全风险报告。可能导致以下情况的,应当向网络安全审查办公室申报网络安全审查:(一)关键信息基础设施整体停止运转或主要功能不能正常运行;(二)大量个人信息和重要数据泄露、丢失、毁损或出境;(三)关键信息基础设施运行维护、技术支持、升级更新换代面临供应链安全威胁;(四)其他严重危害关键信息基础设施安全的风险隐患。关键信息基础设施的运营者应时刻关注《网络安全审查办法》的立法动态,以确保其随时满足安全审查的合规要求。
- 商用密码检测与认证制度
《管理条例》第九条规定,商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格。《密码法》尽管明确了商用密码检测与认证制度,但商用密码产品由全部强制检测制度调整为自愿检测认证和强制检测认证相结合的管理制度。
《密码法》第二十五条规定商用密码从业单位原则上自愿接受检测与认证。但第二十六条与《网安法》下网络关键设备和网络安全专用产品相关制度相衔接,规定了两种强制接受检测与认证的例外:(1)涉及国家安全、国计民生、社会公共利益的商用密码产品应列入《网络关键设备和网络安全专用产品目录》进行检测、认证;以及(2)使用网络关键设备和网络安全专用产品的商用密码服务应进行认证。
《网安法》生效以来,《网络关键设备和网络安全专用产品目录(第一批)》以及《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)》都已经陆续公布,并会适时更新后续批次。
- 强化事中事后监管
事前审批的简政放权为商用密码从业企业带来重大利好,但这并不意味着从业企业的合规要求必然减少。《密码法》第三十一条规定,“密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督”。
虽然《密码法》仅提出事中事后监管制度的原则性规定,具体监管措施如何落地仍有待实施细则的补充,但从业企业可以从已发布的《国密通知》中一窥事中事后监管的大体框架。国家密码管理局在《国密通知》中,就取消一批商用密码相关行政许可事项后如何加强事中事后监管的问题提出了具体措施,大致可以概括为以下几点:
- 全面落实“随机抽取检查对象,随机选派执法检查人员,执法结果及时向社会公开”的“双随机,一公开”制度,加大对商用密码产品的随机抽查力度,及时向社会公开抽查情况与结果;
- 充分发挥行业组织自律作用,积极鼓励从业企业加入行业协会并接受其监督;
- 建立信用体系,及时公示行政审批结果和监督检查情况,并将失信企业纳入“黑名单”重点监控,并将从业企业信用信息推送至国家企业信用信息公示系统;
- 健全投诉举报制度,及时处理社会和群众的投诉举报;
- 依法公开查处违法违规行为的处理情况、处罚依据及处罚结果。
综上可见,《密码法》生效后将采取事中事后强监管的思路,并且与国家社会信用体系与信用监管挂钩,对企业提出了更高的合规要求。密码从业企业应高度重视日常合规工作,随时应对有关部门的执法监督,特别是随机抽查。
- 《密码法》的前沿阵地:区块链产业适用问题
虽然《密码法》的立法和落地并非剑指区块链产业,但因加密技术是区块链的技术根基,《密码法》毫无疑问将成为区块链法律规制体系的关键组成部分。就《密码法》在区块链产业的适用问题,我们做出以下几点观察:
- 适用范围:根据区块链产品所承载信息的不同,区块链提供商很可能被视为商用密码从业单位或核心、普通密码工作机构,承担《密码法》下对应法律义务。另一方面,区块链技术的政务应用日益广泛,利用区块链技术赋能政务数据管理已纳入中央议程[12],更有河北雄安新区全国首家工程区块链资金管理平台的前沿实践,可见须以核心密码、普通密码保护国家秘密信息的区块链应用将日益普及。
- 商用密码检测认证:对供应使用商用密码的区块链服务(商用密码服务),企业需特别关注其产品所用的商用密码是否属于前述《网络关键设备和网络安全专用产品目录》所列的密码产品,如果属于,应当经商用密码认证机构对该商用密码服务认证合格。
- 关键信息基础设施:区块链的常见应用领域包括金融、医疗、大数据等,这些领域属于《关键信息基础设施安全保护条例(征求意见稿)》第十八条所列举的范围,不排除此类区块链产品将被纳入关键信息基础设施保护范围。如果区块链企业的网络构成关键信息基础,该区块链企业应当根据法律要求对区块链产品中的商用密码应用开展安全性评估。
- 进出口管制:区块链技术的去中心化、不可篡改和不可伪造的特性,使得其常应用于跨境交易和跨境物流。当前《密码法》尚未出台配套的实施细则,难以界定境内区块链产品向境外主体提供服务以及在境内使用境外区块链产品是否分别属于《密码法》所规制的“出口”与“进口”。我们建议,供应或使用区块链产品的企业若涉及跨境业务,均应密切关注《密码法》实施细则的立法动态,以及国家密码管理局等主管部门发布的进口许可清单、出口管制清单等相关规章制度文件。
- 《密码法》下企业的合规路径
在《密码法》下,不同性质的企业所需承担的责任义务存在明显的差异。
- 对于商用密码产品的生产和销售企业
相关企业应当:
- 关注最新的监管要求和《管理条例》及其配套规定的修订情况,尤其是对于《商用密码产品型号证书》等存续的商用密码行政许可和审批资质的管理要求。
- 对企业生产和销售的商用密码产品的类型进行梳理。如前所述,《密码法》对涉及国家安全、国计民生、社会公共利益的商用密码产品提出了强制检测认证的要求,对一般的商用密码产品则采用自愿检测的制度。在进出口方面,《密码法》仅对特定类型的商用密码实施进出口管制,对“大众消费类产品所采用的商用密码”不实行进口许可和出口管制制度。
- 对关键信息基础设施运营者客户进行识别。如前所述,《密码法》对关键信息基础设施运营者采购商用密码产品提出了特殊的安全评估制度和安全审查制度,作为相关密码产品的供应商,企业同样需要配合关键信息基础设施运营者落实安全评估和安全审查责任。
- 对于普通的网络运营者
依据《网安法》,网络运营者应当对其网络的网络运行安全和网络信息安全负责。普通的网络运营者(尤其是外商投资企业)在采购商用密码产品时,应当:
- 在网络产品和服务采购管理流程中,关注拟采购商用密码产品的类型及其检测认证的合规性,若使用《网络关键设备和网络安全专用产品目录》所列商用密码服务,应要求密码提供者提供符合资质的机构所出具的检测、认证合格证书。
- 如果需要使用进口商用密码产品的,应当关注最新的监管要求,明确企业所使用的密码产品是否为大众消费类产品,是否需要遵守进出口行政审批管制要求。如果需要,应当根据最新的监管要求,申请《密码产品和含有密码技术的设备进口许可证》。
- 此外,网络运营者需对国家秘密进行保护时,必须使用有资质的密码工作机构提供的核心密码或普通密码。
- 对于关键信息基础设施运营者
如前所述,《密码法》对关键信息基础设施运营者提出了特殊的安全评估制度和安全审查制度。若企业构成关键信息基础设施的运营者,除关注上述普通网络运营者的合规要点以外,还应当:
- 确保采用商用密码保护其系统,并且根据法律法规要求开展商用密码应用的安全评估。由于《密码法》第二十七条要求商用密码应用安全性评估应与关键信息基础设施安全检测评估和网络安全等级测评制度相衔接,而考虑到目前关键信息基础设施安全检查评估制度尚未实施落地[13],运营者应特别关注该制度的相关立法与监管动态,以及后续《密码法》实施细则中就商用密码应用安全性评估如何与各制度衔接的具体规定。
- 若采购涉及商用密码的产品和服务的行为可能影响国家安全,还需要参照《网络安全审查办法(征求意见稿)》和《网络产品和服务安全审查办法(试行)》申报网络安全审查。
- 结语
密码是国之重器,直接关系国家安全与经济稳定,具有重要战略资源地位。《密码法》以法律形式建立我国密码领域的监管框架,对我国大力发展密码产业与保障网络安全具有重大意义。《密码法》在立法技术上强调与现有《网络安全法》配套制度的衔接与呼应,在立法精神上追求监管与放权的平衡以及平等对待市场主体的原则,向密码从业企业及网络运营者释放了鼓励产业发展的积极信号,标志着我国在逐渐步入构建自洽的网络安全监管体系的立法成熟期。
[1] “国家密码管理局负责人就《中华人民共和国密码法》答记者问”,http://www.oscca.gov.cn/sca/xwdt/2019-10/27/content_1057218.shtml,最后访问于2019年11月7日。
[2] 根据《管理条例》第十三条:“进口密码产品以及含有密码技术的设备或者出口商用密码产品,必须报经国家密码管理机构批准。任何单位或者个人不得销售境外的密码产品。”
[3] 同上。
[4] 根据《管理条例》第八条:“商用密码产品指定生产单位生产的商用密码产品的品种和型号,必须经国家密码管理机构批准,并不得超过批准范围生产商用密码产品。”
[5] 根据《管理条例》第九条:“商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格。”
[6] 根据《信息安全等级保护商用密码管理办法》(国密局发〔2007〕11号)第十一条:“信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担。”
[7] 根据《电子政务电子认证服务管理办法(试行)》第十七条::“国家密码管理局组织开展认证服务能力评估,发布《电子政务电子认证服务机构目录》。”
[8] 根据《中华人民共和国电子签名法》第十七条:“提供电子认证服务,应当具备下列条件:……(五)具有国家密码管理机构同意使用密码的证明文件;……”
[9] 根据《管理条例》第六条:“商用密码的科研成果,由国家密码管理机构组织专家按照商用密码技术标准和技术规范审查、鉴定。”
[10] 根据《外商投资法》第二十二条规定,国家保护外国投资者和外商投资企业的知识产权,保护知识产权权利人和相关权利人的合法权益;对知识产权侵权行为,严格依法追究法律责任。国家鼓励在外商投资过程中基于自愿原则和商业规则开展技术合作。技术合作的条件由投资各方遵循公平原则平等协商确定。行政机关及其工作人员不得利用行政手段强制转让技术。
[11] 参考《信息安全技术 网络安全等级保护定级指南(征求意见稿)》第6.5条以及《GB/T 22239-2019信息安全技术 网络安全等级保护基本要求》第8.1条
[12] http://www.xinhuanet.com/2019-10/30/c_1125172738.htm
[13] 目前,关键信息基础设施安全检测评估的政策、标准和实施方案仍在研究中。参考网信办新闻“专家建议:关键信息基础设施安全检查评估势在必行”:http://www.cac.gov.cn/2019-09/18/c_1570335108107742.htm