【律师视点】杨雪娇：密码法草案——重塑商用密码管理制度

商用密码已经广泛应用于国民经济发展和社会生产生活方方面面，涵盖金融和通信、公安、税务、社保、交通、卫生健康、能源、电子政务等重要领域。例如，在社会管理领域，公安部已累计发放使用商用密码芯片的第二代居民身份证超过18亿张，有效杜绝了伪造、变造身份证等违法犯罪行为；在税收领域，增值税防伪税控系统采用商用密码技术保护涉税信息，有效遏制了通过篡改发票票面信息进行偷税、漏税等违法犯罪活动。此外，商用密码在网上银行、支付宝系统中的广泛应用，显著提高了交易数据的安全防护能力，降低了用户身份被仿冒、敏感信息被盗用等风险。

与此同时，依据1999年颁布的《商用密码管理条例》实施的对商用密码实行全环节许可管理的传统手段已不适应政府职能转变和“放管服”改革要求，国家亟需在立法层面重塑现行商用密码管理制度。另一方面，国家对重要领域商用密码的应用、基础支撑能力的提升以及安全性评估、审查制度等不断提出明确要求，需要及时上升为法律规范。

因此，此次《密码法》立法，除了从国家安全角度将核心密码和普通密码的管理措施进行法治化外，另一重要目的就是对现行商用密码管理制度进行改革，以便随着信息化进程的不断加快，商用密码可以在保护国民经济、社会生产生活中的非国家秘密信息以及保护公民个人信息中充分发挥其作用。

2017年4月，国家密码管理局发布《密码法(草案征求意见稿)》(以下简称“《草案征求意见稿》”)，并于2017年6月向国务院报送了《密码法(草案送审稿)》。司法部会同国家密码管理局与相关单位沟通协调后将送审稿作了研究修改，形成了目前的《密码法(草案)》(以下简称“《草案》”)。《草案》已于2019年6月10日经国务院常务会议讨论通过。而在《草案征求意见稿》颁布后不久，国家密码管理局就废止和修改部分商用密码管理规定，颁布了相关标准，还在多省多个行业开展了商用密码应用安全性评估试点，为《密码法》的正式施行积极做准备。

根据国家密码管理局相关负责人解释，现实生活中每天接触的计算机或手机开机“密码”、电子邮箱登录“密码”、微信和QQ“密码”、银行卡支付“密码”等实际上是口令。口令只是进入个人计算机、手机、电子邮箱或者个人银行账户的“通行证”，它是一种简单、初级的身份认证手段，是最简易的密码。而《草案》规定中的密码是指使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。

据此，《密码法》中的“密码”须具备以下两个功能：

一是加密保护。加密保护是指使用数学变换，将原来可读的信息变成不能识别的符号序列。简单地说，加密保护就是将明文变成密文。

二是安全认证。安全认证是指使用数学变换，确认信息是否被篡改、是否来自可靠信息源以及确认行为是否真实。简单地说，安全认证就是确认主体和信息的真实可靠性。

《草案》分为总则、核心密码与普通密码、商用密码、法律责任和附则五个章节，四十四条规定。与2017年的《草案征求意见稿》相比，新公布的《草案》从章节体例上更加明确了《密码法》立法总体思路中的对核心密码、普通密码与商用密码实行分类管理的原则。

根据《草案》，核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。核心密码、普通密码属于国家秘密，由密码管理部门依法实行严格统一管理。

商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。

《草案》在核心密码、普通密码方面，深入贯彻总体国家安全观，将现行有效的基本制度、特殊管理政策及保障措施法治化。但在商用密码方面，则充分体现职能转变和“放管服”改革要求，明确公民、法人和其他组织均可依法使用；另一方，在改革、规范和促进商用密码产业发展的同时又注重与保障国家安全之间平衡，并与《网络安全法》的相关制度进行了呼应衔接。

(一)改革：职能转变与“放管服” 

1.建立商用密码事中事后监管制度

《草案》第三十一条指出将对商用密码建立日常监管和随机抽查相结合的事中事后监管制度，建立统一的商用密码监督管理信息平台，推进事中事后监管与社会信用体系相衔接，强化商用密码从业单位自律和社会监督。

《商用密码管理条例》规定商用密码产品必须由国家密码管理机构指定的单位生产、由国家密码管理机构许可的单位销售、境外组织或者个人在中国境内使用密码产品或者含有密码技术的设备,必须报经国家密码管理机构批准。而《草案征求意见稿》则只要求对销售或者在经营活动中使用的商用密码产品，以及从事商用密码服务的机构实施许可。《草案征求意见稿》发布的五个月后，国务院即于2017年9月29日发布《关于取消一批行政许可事项的决定》（国发[2017]46号），包含了取消依据《商用密码管理条例》和《商用密码产品使用管理规定》的商用密码产品生产单位审批、商用密码产品销售单位许可、外商投资企业使用境外密码产品审批、境外组织和个人在华使用密码产品或者含有密码技术的设备审批等4项行政许可事项的内容。同年12月1日，国家密码管理局第32号公告《国家密码管理局关于废止和修改部分管理规定的决定》也相应废止了三项管理规定：《商用密码产品销售管理规定》、《商用密码产品使用管理规定》和《境外组织和个人在华使用密码产品管理办法》。

4项相关行政许可事项的取消，标志着国家对商用密码的监管开始强调事中事后监管。根据《关于取消一批行政许可事项的决定》（国发[2017]46号），国家将采取的事中事后监管的具体措施有：（1）国家从管企业改为重点管产品，加强密码产品的标准规范和检测认证体系建设，强化商用密码产品许可审批，未经许可不准进入市场销售，严把密码产品市场准入关口。（2）强化市场监管措施，加大商用密码产品“双随机、一公开”抽查力度。（3）建立信用体系，实行“黑名单”制度，加强社会监督，对违法违规行为加大处罚力度，充分发挥行业组织作用。

2.规定了商用密码标准化制度

《草案》第二十一条至二十三条表明国家将建立和完善商用密码标准体系，推动参与商用密码国际标准化活动。要求商用密码从业单位从事商用密码科研、生产、销售、服务、进出口等活动除遵守有关法律行政法规的规定外，还要求应当符合商用密码强制性国家标准以及从业单位公开标准的技术要求。鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准，提升商用密码的防护能力，维护用户的合法权益。

2011年经国标委和国家密码管理局的批准，密码行业标准化技术委员会成立。目前，已发布商用密码行业标准80项，基本涵盖了基础和急需的标准，覆盖了密码算法、产品、技术、检测、应用指南的等方面。其中《随机性检测规范》、《密码应用标识规范》等已经上升为国家标准。

2018年国家密码管理局发布行业标准GM/T 0054-2018《信息系统密码应用基本要求》，并将标准升级为国家标准。2019年6月25日，信安标委发布《信息安全技术 信息系统密码应用基本要求征求意见稿》。该标准规定了信息系统密码应用的基本要求，从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面提出了第一级到第四级的密码应用技术要求，并从管理制度、人员管理、建设运行和应急处置四个方面提出了第一级到第四级的密码应用安全管理要求。标准将应用于金融、医疗、政务等重要领域及产业中，对建立一个统一的信息系统密码应用要求具有十分重要的意义。

3.建立了商用密码检测认证制度

《草案》第二十五条规定国家推进商用密码检测认证体系建设，制定商用密码检测认证技术规范和规则，鼓励商用密码从业单位自愿接受商用密码检测认证。商用密码检测、认证机构应当依法取得相关资质，并依照法律、行政法规的规定和商用密码检测认证技术规范和规则开展商用密码检测认证。若商用密码检测、认证机构违反本规定开展商用密码检测认证的，根据《草案》第三十五条将由市场监督管理部门会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得，并处罚款；情节严重的，还将依法吊销相关资质。

4.规定电子政务电子认证服务管理制度

《草案》第二十九条规定国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定，会同有关部门负责政务活动中使用电子签名、数据电文的管理。未经认定从事电子政务电子认证服务的，根据《草案》第三十九条，将由密码管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得和并处罚款。

《草案征求意见稿》公布后，同年12月1日《国家密码管理局关于废止和修改部分管理规定的决定》即对《电子认证服务密码管理办法》进行了相关修订。2018年12月18日，国家密码管理局又将电子政务认证服务的配套文件《电子政务电子认证服务质量评估要求》和《电子政务电子认证服务业务规则规范》进行修订并发布。

5.明确大众消费类产品所采用的商用密码不实行进出口许可管制

《商用密码管理条例》要求进口密码产品以及含有密码技术的设备或者出口商用密码产品，必须报经国家密码管理机构批准。《草案征求意见稿》也指出要对商用密码进出口实施许可。但《草案》第二十八条则是依据商用密码重要性的不同，对其进出口进行了区别管理：一、明确了大众消费类产品所采用的商用密码不实行进口许可和出口管制制度，二、对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可，对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。

(二)与保障国家安全之间的平衡

《草案》在明确鼓励商用密码产业发展、突出标准引领作用的基础上，对特定商用密码产品和服务，以及关键信息基础设施的运营者和国家机关采购、使用商用密码进行了适度管制，与《网络安全法》的有关制度，例如强制检测认证、安全性评估、国家安全审查等作了衔接。

1.网络关键设备和网络安全专用产品目录的商用密码产品实行强制性检测认证 

《网络安全法》第二十三条规定网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。

《草案》第二十六条进一步明确了涉及国家安全、国计民生、社会公共利益的商用密码产品列入网络关键设备和网络安全专用产品目录，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。用于网络关键设备和网络安全专用产品的商用密码服务，应当由商用密码认证、检测机构安全认证合格或者安全检测符合要求后，方可提供。若违反规定销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的商用密码产品或者服务的，根据《草案》第三十六条，将由市场监督管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得并处罚款。

2017年和2018年，中央网信办、工信部、公安部、国家认监委等四部门相继发布了《网络关键设备和网络安全专用产品目录（第一批）》《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录（第一批）》,明确了应进行安全认证或检测的15类网络关键设备和网络安全专用产品，指定了承担认证检测任务的16家第三方机构。

2019年5月16日，信安标委研究提出了《网络关键设备和网络安全专用产品相关国家标准要求（征求意见稿）》，为15类网络关键设备和网络安全专用产品的安全认证检测提供进一步的标准支撑。

2.关键信息基础设施开展商用密码应用安全性评估及国家安全审查

《网络安全法》规定国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

2019年5月24日，国家网信办发布《网络安全审查办法（征求意见稿）》，将会同发改委、工信部和国家密码管理局等多个部门建立国家网络安全审查工作机制。国家网信办将设立网络安全审查办公室，由其负责组织制定网络安全审查相关制度和工作程序以及开展网络安全审查工作。《网络安全审查办法（征求意见稿）》对采购影响或者可能影响国家安全的网络产品和服务的关键信息基础设施运营者如何申报网络安全审查以及网络安全审查办公室如何开展审查工作进行了框架性的规定。

在此基础上，《草案》第二十七条进一步明确提出使用商用密码进行保护的关键信息基础设施须开展商用密码应用安全性评估。关键信息基础设施的运营者和国家机关采购、使用涉及商用密码的网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。若关键信息基础设施运营者和国家机关违反规定使用商用密码和采购、使用未经安全审查或者安全审查未通过的产品或者服务的，依照《网络安全法》第六十五条的规定，将由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

随着云计算、物联网、大数据、人工智能等新技术的发展，密码技术在保障信息产品和信息服务的安全上将愈发不可或缺。随着应用需求的日益增加，国家在商用密码管理上的简政放权，商用密码产业将迎来前所未有的发展机遇期。

杨雪娇，北京德和衡律师事务所互联网合规团队律师助理，毕业于浙江大学和德国慕尼黑大学。

联系方式

电话：13810048335

邮箱：yangxuejiao@deheng.com

更多内容，敬请关注：德衡商法网

www.deheng.com（英文）

www.deheng.com.cn（中文）

德衡律师集团全国免费服务热线：

手机拨打：4001191080

座机拨打：8008600880