《密码法》的“放管”之道
作者:陈际红 陈瑊 罗芸
2019年10月26日,第十三届全国人民代表大会常务委员会第十四次会议审议通过并公布了《中华人民共和国密码法》(以下简称“《密码法》”),该法将于2020年1月1日起施行。
在此之前,密码管理领域位阶较高的法律渊源可以追溯至国务院于1999年10月发布的《商用密码管理条例》(以下简称“《条例》”)。此后,国家密码管理局和全国人大常委会分别于2017年4月和2019年7月5日发布了《中华人民共和国密码法(草案征求意见稿)》及《中华人民共和国密码法(草案)》(以下简称“《密码法(草案)》“) 。基于《密码法(草案)》基础上完善并颁布的《密码法》,填补了我国密码领域长期存在的法律空白,是迄今我国在密码管理领域的第一部综合性法律。
以下我们将以条文对比为切入点,剖析从《条例》、《密码法(草案)》到《密码法》在内容上的主要变化以及与既有相关法律法规的衔接,以期较全面地展现我国密码制度的演进及其透露出的“放管“之道。
看点1 | 适用对象 :从“商用密码”到“密码”;从“技术和产品”到“技术、产品和服务”
条文对比 | ||
《商用密码管理条例》(1999年10月7日生效) | 《密码法(草案)》(2019年7月5日发布) | 《密码法》(2020年1月1日生效) |
商用密码,对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。(第2条) | 密码的科研、生产、经营、进出口、检测、认证、使用和监督管理等活动。(第2条) 密码,是指使用特定变换对数据等信息进行加密保护或者安全认证的产品、技术和服务。(第3条) | 密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。(第2条) |
《条例》由于受时代背景的限制,监管范围主要为密码产品。随着信息技术的发展以及日趋明显的行业分工,多种多样的密码技术、密码产品和密码服务层出不穷,《密码法》适用和监管的对象从“商用密码”到“密码”,且不再仅仅局限于密码产品和密码技术,而延伸至密码服务。
需要指出的是,《密码法》中的密码与我们日常生活中所提及的“密码”并不完全等同,生活中经常接触到的“密码”只是进入个人设备或软件的口令或“通行证”,是一种初级的身份认证手段。而《密码法》中的密码的功能体现在对信息的“加密保护”和“安全认证”,且系通过采用特定变换的方法来实现。
看点2 | 分类管理:密码分类及用途
条文对比 | ||
《商用密码管理条例》(1999年10月7日生效) | 《密码法(草案)》(2019年7月5日发布) | 《密码法》(2020年1月1日生效) |
商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。(第3条) | 密码分为核心密码、普通密码和商用密码。国家对密码实行分类管理。(第6条) 核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。 核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码的科研、生产、检测、装备、使用和销毁等实行严格统一管理。(第7条) 商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。(第8条) | 国家对密码实行分类管理。密码分为核心密码、普通密码和商用密码。(第6条) 核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。(第7条) 商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。(第8条) |
在信息化和数字化高速发展的今天,密码的应用已经渗透到国民经济和社会生活的方方面面,甚至日益成为维护国家网络空间主权、安全和发展利益的保障和战略性资源。由于不同密码所保护的对象不同,为充分发挥不同密码在保护网络和信息安全中的核心支撑作用,《密码法》中对密码实行分类管理,明确了密码的分类层级,按照要保护信息的密级重要性排列依次为:核心密码、普通密码和商用密码,并对各自的管理和使用分别进行专章规定,使得立法体例和法律适用更加清晰科学。
尽管商用密码在《条例》中被认定为国家秘密,但《密码法》明确规定,核心密码、普通密码属于国家秘密,商用密码用于保护不属于国家秘密的信息,不属于国家秘密。
核心密码保护信息的最高密级为绝密级,因此核心密码可以用于保护国家绝密级、机密级、秘密级信息;普通密码保护信息的最高密级为机密级,因此普通密码可以用于保护机密级、秘密级信息;商用密码用于保护不属于国家密码的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
看点3 | 监管:《密码法》的“放”与“管”
1
《密码法》之“放“:
条文对比 | ||
《商用密码管理条例》(1999年10月7日生效) | 《密码法(草案)》(2019年7月5日发布) | 《密码法》(2020年1月1日生效) |
商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。(第3条) 商用密码的科研任务由国家密码管理机构指定的单位承担。商用密码指定科研单位必须具有相应的技术力量和设备,能够采用先进的编码理论和技术,编制的商用密码算法具有较高的保密强度和抗攻击能力。(第5条) 商用密码产品由国家密码管理机构指定的单位生产。未经指定,任何单位或者个人不得生产商用密码产品。商用密码产品指定生产单位必须具有与生产商用密码产品相适应的技术力量以及确保商用密码产品质量的设备、生产工艺和质量保证体系。(第7条) 商用密码产品由国家密码管理机构许可的单位销售。未经许可,任何单位或者个人不得销售商用密码产品。(第10条) 任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品。(第14条) | 核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码的科研、生产、检测、装备、使用和销毁等实行严格统一管理。(第7条) 公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。(第8条)
国家鼓励商用密码技术的研究开发和应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。(第21条) | 核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。(第7条) 公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。(第8条) 国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。(第21条) |
为了加强商用密码管理,保护信息安全,《条例》对商用密码的科研、生产、销售、使用、安全和保密管理进行了全方位的严格管理。然而,《条例》及其配套规定对密码产品各环节的严格审批要求已经不能适应密码技术和应用的需要,为了贯彻落实“放管服”的改革要求,在《密码法》颁布之前,我国已逐步放宽了商用密码的市场准入,削减密码管理领域的行政许可数量。具体表现为:
2017年9月29日,国务院发布《关于取消一批行政许可事项的决定》(国发〔2017〕46 号),取消了国家密码管理局负责实施的商用密码产品生产单位审批、商用密码产品销售单位许可、外商投资企业使用境外密码产品审批、境外组织和个人在华使用密码产品或者含有密码技术的设备审批4项行政许可事项。
2017年12月1日,国家密码管理局发布《关于废止和修改部分管理规定的决定》(“第32号公告”),对《商用密码产品销售管理规定》、《商用密码产品使用管理规定》和《境外组织和个人在华使用密码产品管理办法》三部管理规定予以废止,对《商用密码科研管理规定》、《商用密码产品生产管理规定》和《电子认证服务密码管理办法》三部管理规定的部分条款予以修订。
《密码法》的发布标志着从立法层面正式取消了国家密码管理局负责实施的商用密码产品生产单位审批、商用密码产品销售单位许可、外商投资企业使用境外密码产品审批、境外组织和个人在华使用密码产品或者含有密码技术的设备审批。
然而,应当注意到,取消上述行政审批并不意味着国家对于密码应用的完全放开,而是释放出监管重点正在从“管企业”向“管产品”转变的信号:
根据国家密码管理局于2017年10月11日发布的《关于做好商用密码产品生产单位审批等4项行政许可取消后相关管理政策衔接工作的通知 》(国密局字〔2017〕336号,“336号通知”),生产、销售的商用密码产品仍应当依法办理《商用密码产品型号证书》,并且对商用密码产品销售企业继续实施商用密码产品销售登记备案制度。商用密码产品型号证书制度在《密码法》生效后是否会保留并继续实行,还具有一定的不确定性,仍有待法律实施中进行观察。
此外,外商投资企业、境外组织和个人使用的密码产品或者含有密码技术的设备需要从境外进口的,仍应当依法办理《密码产品和含有密码技术的设备进口许可证》[1],且进口商应当在进口密码产品时披露进口密码产品的最终用户和最终用途[2]。
2
《密码法》之“管”:
不难看出,上述商用密码监管实践体现了监管部门对于密码的管理方式从重事前审批转化为侧重于事中事后监管,与此同时监管部门还通过如下制度设计实现多维度的“管”,体现了不偏废“放”或“管” 的监管态度,确保“放“与”管“两个轮子一起转。
进出口管制清单制度
条文对比 | ||
《商用密码管理条例》(1999年10月7日生效) | 《密码法(草案)》(2019年7月5日发布) | 《密码法》(2020年1月1日生效) |
进口密码产品以及含有密码技术的设备或者出口商用密码产品,必须报经国家密码管理机构批准。任何单位或者个人不得销售境外的密码产品。(第13条) | 国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。 大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。(第28条) | 国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。 大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。(第28条) |
根据国际通行做法,商务部和国家密码管理局对于商用密码进出口实行清单管理制度,即对涉及国家安全、社会公共利益且具有加密保护功能的商用密码等实施进口许可、出口管制清单制度,此举对于防止利用商用密码从事违法犯罪活动具有重要意义。
商用密码产品和服务的检测、认证制度
条文对比 | ||
《密码法(草案)》(2019年7月5日发布) | 《密码法》(2020年1月1日生效) | 《网络安全法》 (2017年6月1日生效) |
国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范和规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。 商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范和规则开展商用密码检测认证。(第25条) 涉及国家安全、国计民生、社会公共利益的商用密码产品列入网络关键设备和网络安全专用产品目录,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。 用于网络关键设备和网络安全专用产品的商用密码服务,应当由商用密码认证、检测机构安全认证合格或者安全检测符合要求后,方可提供。(第26条) | 国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。(第25条) 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。(第26条) | 网络关键设备和安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。(第23条) |
根据《密码法》的规定,用于网络关键设备和网络安全专用产品的商用密码服务实行强制检测、认证制度;其他商用密码从业单位实行自愿检测、认证制度。商用密码产品检测认证适用《中华人民共和国网络安全法》(以下简称“《网络安全法》”)的有关规定,体现了与《网络安全法》的衔接和协调。
由于仅对涉及国家安全、国际民生、社会公共利益的商用密码产品以及使用网络关键设备和网络安全专用产品的商用密码服务实行强制检测、认证制度,且实践当中主管部门会通过发布并适时更新《网络关键设备和网络安全专用产品目录》来界定管理范围,因此既可以较好地实现标准化和检测、认证的支撑作用,也可以一定程度上平衡密码产业发展。
关键信息基础设施运营者的商用密码应用安全性评估和国家安全审查
条文对比 | |||
《密码法(草案)》 (2019年7月5日发布) | 《密码法》 (2020年1月1日生效) | 《网络安全审查办法(征求意见稿》(2019年5月21日) | 《关键信息基础设施安全保护条例(征求意见稿)》(2019年7月10日) |
法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,开展商用密码应用安全性评估。 关键信息基础设施的运营者和国家机关采购、使用涉及商用密码的网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。(第27条) | 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。(第27条) | 运营者采购网络产品和服务时,应预判产品和服务上线运行后带来的潜在安全风险,形成安全风险报告。可能导致以下情况的,应当向网络安全审查办公室申报网络安全审查: (一)关键信息基础设施整体停止运转或主要功能不能正常运行; (二)大量个人信息和重要数据泄露、丢失、毁损或出境; (三)关键信息基础设施运行维护、技术支持、升级更新换代面临供应链安全威胁; (四)其他严重危害关键信息基础设施安全的风险隐患。(第6条) | 存储、处理涉及国家秘密信息的关键信息基础设施的安全保护,还应当遵守保密法律、行政法规的规定。 关键信息基础设施中的密码使用和管理,还应当遵守密码法律、行政法规的规定。(第53条) |
《密码法》对涉及国家安全、国计民生、社会公共利益,列入网络关键设备和网络安全专用产品目录的产品以及关键信息基础设施运营者(以下称“CIIO“)采购产品和服务,规定了相应的管制措施,体现了职能转变和“放管服”要求与保障国家安全的平衡。从相关《密码法》的条文中不难看出其与《网络安全法》、《关键信息基础设施安全保护条例(征求意见稿)》及《网络安全审查办法(征求意见稿》等配套法规均有衔接。除此之外,《密码法》还与《网络安全等级保护条例(征求意见稿)》的相关规定呼应,例如,第三级以上网络应当采用国家密码管理部门认可的密码技术、产品和服务,必须委托密码应用安全性测评机构开展密码应用安全性评估,且应将评估结果报相关主管部门备案。
看点4 | 外资利好:外资的市场参与平等地位的确立
条文对比 | |
《密码法》 (2020年1月1日生效) | 《外商投资法》 (2020年1月1日生效) |
各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。(第21条) | 国家鼓励在外商投资过程中基于自愿原则和商业规则开展技术合作。技术合作的条件由投资各方遵循公平原则平等协商确定。行政机关及其工作人员不得利用行政手段强制转让技术。(第22条) |
《条例》于1999年颁布以来,国家密码管理机构曾经限制外资企业获得商用密码产品生产资格和商用密码产品销售资格,所以至今只有极少数的外资企业获得了相应证书。此次《密码法》的颁布,明确规定了对于从事商用密码研究、生产、销售、服务、进出口的外商投资企业应当依法平等对待。自2017年国家密码管理局取消大部分行政审批至《密码法》对相关市场的进一步放开,外商投资企业在国内已经获取与中资企业一样的待遇,意味着:
外资企业可以在中国生产、销售、使用境内商用密码产品,前提是已经就该密码产品取得有效的《商用密码产品型号证书》[3]。
外资企业可以通过规定的流程就符合条件的密码产品申请《商用密码产品型号证书》。
对于进口境外密码产品以及含有密码技术的设备,仍然需要取得《密码产品和含有密码技术的设备进口许可证》。
此外,作为对外国投资者就强制技术转让问题的担忧的回应,《密码法》专门规定禁止强制商用密码技术转让,该规定是今年3月较早发布的《中华人民共和国外商投资法》中禁止强制技术转让规定在密码管理领域的体现,有利于保护外国投资者的权益以及激发外商投资企业的投资热情。
总体而言,《密码法》的颁布有利于外资企业公平地进入市场竞争,外国投资者可以充分利用此番红利,找到自身的价值定位,与中国企业积极开展商用密码技术合作,共同开拓相关市场。
结语
《密码法》作为密码管理领域的首部基础性法律,其出台可以有效提升密码管理的科学性和规范化,也将有力地促进密码技术进步、产业发展和规范应用,可以预计密码产业的蓬勃发展将给企业带来新的发展机遇。
[注]
[1] 密码局、海关总署于2013年12月31日联合发布《关于调整《密码产品和含有密码技术的设备进口管理目录》的公告》(“国家密码管理局、海关总署联合公告2013年第27号”),该公告公布了《密码产品和含有密码技术的设备进口管理目录》。鉴于列入该目录的产品必须办理《进口许可证》,因此,可以理解为目录中的产品属于密码产品和含有加密技术的设备。
[2] 根据336号通知附件3《取消“外商投资企业使用境外密码产品审批”后的事中事后监管措施》的规定,在取消“外商投资企业使用境外密码产品审批”行政许可事项后,将采取措施加强事中事后监管:“一、在密码产品进口许可审批中强化对进口密码产品最终用户的和最终用途的审核。完善密码产品进口许可审批流程和相关文本,加强对进口密码产品最终用户和最终用途登记审核与分类管理。二、加大对取得密码产品进口许可证的单位“双随机”抽查力度。全面落实“双随机一公开”制度,完善对取得密码产品进口许可证的单位抽查的内容和方式,加强对进口密码产品最终用户和最终用途的审查,适时向社会公布抽查情况和抽查结果,对抽查中发现的问题提出整改要求,并对整改情况进行核查。……”
[3] 商用密码产品型号证书制度在《密码法》生效后是否会保留并继续实行,还具有一定的不确定性,仍有待法律实施中进行观察。
The End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网
陈瑊 律师
北京办公室 知识产权部
罗芸
北京办公室 知识产权部
作者往期文章推荐:
《打造中国版的SCC | <个人信息出境安全评估办法(征求意见稿)>评析》
《国家安全更聚焦 |《网络安全审查办法(征求意见稿)》出新招》
《儿童个人信息保护新规出台,与COPPA的明示同意区别有哪些?》
《小数据安全法出台 |《数据安全管理办法(征求意见稿)》解析》
《App监管再加码:<App违法违规收集使用个人信息行为认定方法(征求意见稿)>公布》
《管理措施和技术措施的平衡:<互联网个人信息安全保护指南>》
《实施半年后再修订:《信息安全技术个人信息安全规范》应时而变》
《致敬数据合规元年 | 表析《网络安全法》配套法律法规和规范性文件》
《致敬数据合规元年 | 2018《网络安全法》执法案件大盘点》
《他山之石 | 从全球数据跨境流动监管政策看我国相关制度发展》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。