通力法评 | 新《密码法》对商用密码管理的变革
作者:通力律师事务所 杨迅
注: 本篇文章独家授权威科先行法律信息库发布, 欢迎微信个人用户转发; 未经许可, 微信公众号不得转载。
2019年10月26日, 全国人大常委会表决通过了《中华人民共和国密码法》(“《密码法》”), 该法将于2020年1月1日起实施。这是我国在密码管理领域的第一部法律。虽然《密码法》仅有四十四条, 而且大部分是原则性的规定, 但是它与其他相关法律法规和部门规章相衔接, 将对密码生产和服务领域的商业活动产生深刻而长远的影响。
1
商用密码管理的历史解读
《密码法》颁布之前, 我国在密码管理领域, 堪称为法律渊源的只有一部行政法规——即1999年颁布的《商用密码管理条例》。该条例规定了商用密码的市场准入许可, 进口管理和使用许可。虽然, 它在一定程度上起到了管理商用密码市场的作用, 但无论是在立法位阶上, 还是在法律效力上, 均已远远不能满足技术和社会发展的需要。这种差距主要表现在以下三个方面:
首先, 单一的执法机关无法满足密码产业全方位监管的需要。在《商用密码管理条例》下, 主要的执法机关仅仅是国家商用密码管理办公室(“密码办”)。理论上讲, 该办公室既要负责商用密码产品和服务的认证审批, 又要监管密码产品和服务的市场活动。但是事实上, 从海关进口到市场销售, 密码办都缺乏有效的监督手段和监督能力。
其次, 《商用密码管理条例》采取严格的行政许可制度, 密码的研制生产单位需要行政许可, 密码产品需要认证, 进口密码产品以及外资企业使用境外的密码产品都需要申请备案。繁复的审批程序不仅阻碍了密码产业的发展和应用, 事实上也难以有效贯彻实施。
再次, 随着《网络安全法》及其配套法律和规章陆续颁布或征求意见, 《商用密码管理条例》显得与网络安全保护的整体框架不协调。尤其是在网络产品与服务的安全评估和认证方面, 密码产品和服务作为网络安全产品和服务的一类, 如何开展安全评估和认证则成为一个亟待解决的问题。
2
商用密码的立法概览
针对上述密码领域的监管缺陷, 应对密码技术和应用的发展, 经过近三年的立法历程, 两次向社会公开征求意见, 《密码法》终于问世。
《密码法》首次将密码分为核心密码、普通密码和商用密码三级。其中, 核心密码和普通密码用于保护国家秘密, 公民和企业使用商用密码保护保护国家秘密以外的信息。《密码法》共五章四十四条。其中, 第三章《商用密码》计十一条, 是涉及到商业密码领域的研制、使用、销售和服务的核心部分。
《密码法》从行文上看, 主要是原则性的和转引性的, 实质性的权利义务规定似乎并不多。但这种立法安排恰恰是有意为之。其目的是: 一方面给予执法一定的灵活性, 符合不断发展的密码技术和应用的需要; 另一方面, 更重要的, 对商用密码的管理与《网络安全法》下的安全评估和认证相协调, 避免重复认证。
3
《密码法》下商用密码管理要点
《密码法》对商用密码管理体系的发展主要有以下几个方面:
第一, 《密码法》确认取消了商用密码业务市场准入的许可要求。原先的《商用密码管理条例》及其配套规定了密码产品研制、生产、进口和使用的严格审批要求。这种严格的审批管理已经不能适应信息网络及其应用的发展。2017年12月, 国家密码管理局发文取消了大部分的行政审批。而《密码法》则进一步放开市场, 从行政审批管理, 转化为质量认证管理。具体而言,
外商投资企业在商用密码领域获得国民待遇, 可以平等地开展商用密码的科研、生产、销售、服务、进出口等活动;
涉及到国家安全、公共利益的密码产品或者涉及我国履行国际义务的密码产品进出口, 实行行政审批, 但大众消费类产品所采用的商用密码不实行进口许可和出口管制制度;
商用密码产品的研制、生产、进口和使用的行政审批予以取消, 仅在涉及国家安全、国计民生、社会公共利益的领域, 开展针对商用密码产品的安全评估和认证。
第二, 《密码法》与《网络安全法》及其配套法规(及其征求意见稿)下的安全评估和认证要求相联结, 根据《网络安全法》及其配套法规(及其征求意见稿), 落入认证范围内的密码产品和服务应开展相应的安全评估和认证工作。具体包括:
与《网络产品和服务安全审查办法》相衔接, 涉及国家安全、国计民生、社会公共利益的商用密码产品, 将被列入《网络产品和服务安全审查办法》下的网络关键设备和网络安全专用产品目录, 由具备资格的机构检测认证合格后, 方可销售或者提供。同时, 对使用网络关键设备和网络安全专用产品开展商用密码有关服务的, 应当经商用密码认证机构对该商用密码服务认证合格;
与《关键信息基础设施安全保护条例(征求意见稿)》相衔接, 关键信息基础设施的运营者采购涉及商用密码的网络产品和服务, 可能影响国家安全的, 应当按照《网络安全法》的要求, 通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查;
与《网络安全等级保护条例(征求意见稿)》相衔接, 要求使用商用密码进行保护的关键信息基础设施, 其运营者应当使用商用密码进行保护, 并且自行或者委托商用密码检测机构开展商用密码应用安全性评估。该评估与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接。
第三, 针对外资顾虑的商用密码在审批和备案过程中泄密的问题, 《密码法》明确从以下三个层次保护密码产品和服务有关的技术。
鼓励开展中外商用密码技术合作, 禁止行政机关及其工作人员利用行政手段强制转让商用密码技术;
商用密码检测、认证机构对其在商用密码检测认证中所知悉的技术秘密承担法定的保密义务;
密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息, 并应对其在履行职责中知悉的技术秘密严格保密。
4
启示
《密码法》的颁布执行总的来说对涉及商用密码的企业, 尤其是外商投资企业而言, 是一个利好消息。主要表现在:
包含密码部件和密码技术的大众消费品(如各种带有通讯功能的电子产品)的进口, 可能不再需要冗长的密码认证程序, 便于产品在中国市场的同步上市;
外商投资企业使用境外的密码产品和密码技术, 用于集团内通讯, 或者用于和商业伙伴间通讯的, 不需要履行繁琐的审批和备案手续, 可以自行使用; 及
具有密码技术研发生产能力的境外企业可以投资中国市场, 独自或与中国企业合作, 参与中国市场的发展。
作者:
杨迅
通力律师事务所
如您希望就相关问题进一步交流,请联系:
+86 152 2182 2373
+86 21 3135 8799xun.yang@llinkslaw.com
往期分享
通力法评 | 从知识产权角度解读科创企业的“关键核心技术”要求
通力法评 | 知识产权角度解读科创企业的“独立持续经营能力”
通力法评 | 点商标域名的注册——互联网时代品牌商标保护的新途径
通力法评 | 日渐严格的数据出境要求: 跨国公司的困境与选择
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。
点击“阅读原文”,直达通力官网了解更多资讯!