博观而约取,厚积而薄发:《密码法》要点评析及企业合规路径
1
中国的密码管理法律体系
在《密码法》出台之前,以《管理条例》为中心,国家密码管理局针对科研、生产、销售、进出口等环节制定了包括《商用密码产品生产管理规定》、《商用密码科研管理规定》在内的多个部门规章,对密码行业实行全面的行政许可和专控管理制度。但随着近几年简化行政审批的“放管服”行政制度改革的持续深化,商用密码产品生产单位审批、商用密码产品销售单位许可等一批商用密码行政许可事项逐渐被取消,国家密码管理局也相应地废止和修改了部分管理规定。
2
《密码法》下分类管理制度
《密码法》下的密码指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。该法明确了密码分类管理制度,密码包括核心密码、普通密码和商用密码。
3
“放管服”模式下的商业密码
(1)商业密码管理之简政放权
全流程放权,从“管企业”到“重点管产品”
如前所述,《管理条例》及其配套管理规定,在商用密码科研、生产、销售和使用等环节进行全面的行政许可和专控管理制度,设置了较高的行业准入门槛,尤其是对外商投资企业。但近年来,我国贯彻“放管服”的行政改革要求,通过减少行政审批,逐步放宽行业准入市场。具体而言,国务院年分别于2015年颁布《国务院关于取消和调整一批行政审批项目等事项的决定》(国发〔2015〕11号)(以下简称“2015年《决定》”),于2017年颁布《国务院关于取消一批行政许可事项的决定》(国发〔2017〕46号)(以下简称“2017年《决定》”),取消了商用密码科研、生产、销售和使用等方面的多项行政许可和审批。
非歧视原则
具体而言,《密码法》在下列几个方面为外商在华从事商用密码业务注入强心剂,为贯彻非歧视原则提供制度保障:首先,国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术(第二十一条)。该规定与同样将于2020年1月1日生效的《外商投资法》禁止行政机关利用行政手段强制外商转让技术的规定[10]一脉相承,反映了近年来国家强调平等保护外商在华合法权益、完善公平市场竞争环境的立法趋势。第二,明确密码管理部门、有关部门及其工作人员不得要求密码从业单位和检测认证机构向其披露源代码等密码相关专有信息,并应对其在履行职责中知悉的商业秘密、个人隐私严格保密。第三,规定商用密码检测认证机构应在其履行职责中知悉的国家秘密和商业秘密承担保密义务。 (2)商业密码管理之“关键环节”的特殊监管制度
商用密码进出口管制
《密码法》对商用密码进出口管制制度带来了较大革新,具体可概括为两大方面。
>> 进出口的密码类型管制革新
《商用密码管理条例》对商用密码产品进出口实施全面的管制,《密码法》第二十八条转变为对特定类型的商用密码实施进出口管制,具体详见下表:
目前,对既不属于“涉及国家安全、社会共同利益或中国承担国际义务”又不属于“大众消费类产品”的商用密码,《密码法》并未规定进出口管制一般规则,有待后续该法具体实施措施的补充以及实务观察。考虑到第二十八条要求执法部门后续公布商用密码进口许可清单和出口管制清单,结合该法“放管服”的立法精神,我们初步判断未来《密码法》及其配套制度可能采取负面清单的进出口管制制度,即商用密码只要不属于进口许可清单和出口管制清单,即不受进出口管制。
>> 进出口的主体管制革新
在《密码法》出台前,只有外商投资企业、境外组织和个人可以在申请“密码产品和含有密码技术的设备进口许可”,并在获得许可后方可进口密码产品或含有密码技术的设备以供自用;其他境内主体均不得使用或进口境外生产的密码产品。
>> 关键信息基础设施运营者的安全评估制度和安全审查制度
安全评估制度
特别需要指出的是,该条与以国家标准《GB/T 22239-2019信息安全技术 网络安全等级保护基本要求》为标志的网络安全等级保护制度(以下简称“等保2.0”)相衔接,其中根据等保2.0相关国家标准(含征求意见稿)的建议,关键信息基础设施的安全保护等级原则上不应低于三级,应采用密码技术进行加密[11]。因此,在等保2.0制度下,关键信息基础设施运营者原则上均需按《密码法》开展商用密码应用安全性评估。
安全审查制度
《密码法》第二十七条还规定,关键信息基础设施运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照相关法律法规要求,由有关部门开展网络安全审查。
>> 商用密码检测与认证制度
《管理条例》第九条规定,商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格。《密码法》尽管明确了商用密码检测与认证制度,但商用密码产品由全部强制检测制度调整为自愿检测认证和强制检测认证相结合的管理制度。
全面落实“随机抽取检查对象,随机选派执法检查人员,执法结果及时向社会公开”的“双随机,一公开”制度,加大对商用密码产品的随机抽查力度,及时向社会公开抽查情况与结果; 充分发挥行业组织自律作用,积极鼓励从业企业加入行业协会并接受其监督; 建立信用体系,及时公示行政审批结果和监督检查情况,并将失信企业纳入“黑名单”重点监控,并将从业企业信用信息推送至国家企业信用信息公示系统; 健全投诉举报制度,及时处理社会和群众的投诉举报; 依法公开查处违法违规行为的处理情况、处罚依据及处罚结果。
综上可见,《密码法》生效后将采取事中事后强监管的思路,并且与国家社会信用体系与信用监管挂钩,对企业提出了更高的合规要求。密码从业企业应高度重视日常合规工作,随时应对有关部门的执法监督,特别是随机抽查。
4
《密码法》的前沿阵地:区块链产业适用问题
虽然《密码法》的立法和落地并非剑指区块链产业,但因加密技术是区块链的技术根基,《密码法》毫无疑问将成为区块链法律规制体系的关键组成部分。就《密码法》在区块链产业的适用问题,我们做出以下几点观察:
适用范围:根据区块链产品所承载信息的不同,区块链提供商很可能被视为商用密码从业单位或核心、普通密码工作机构,承担《密码法》下对应法律义务。另一方面,区块链技术的政务应用日益广泛,利用区块链技术赋能政务数据管理已纳入中央议程[12],更有河北雄安新区全国首家工程区块链资金管理平台的前沿实践,可见须以核心密码、普通密码保护国家秘密信息的区块链应用将日益普及。 商用密码检测认证:对供应使用商用密码的区块链服务(商用密码服务),企业需特别关注其产品所用的商用密码是否属于前述《网络关键设备和网络安全专用产品目录》所列的密码产品,如果属于,应当经商用密码认证机构对该商用密码服务认证合格。 关键信息基础设施:区块链的常见应用领域包括金融、医疗、大数据等,这些领域属于《关键信息基础设施安全保护条例(征求意见稿)》第十八条所列举的范围,不排除此类区块链产品将被纳入关键信息基础设施保护范围。如果区块链企业的网络构成关键信息基础,该区块链企业应当根据法律要求对区块链产品中的商用密码应用开展安全性评估。 进出口管制:区块链技术的去中心化、不可篡改和不可伪造的特性,使得其常应用于跨境交易和跨境物流。当前《密码法》尚未出台配套的实施细则,难以界定境内区块链产品向境外主体提供服务以及在境内使用境外区块链产品是否分别属于《密码法》所规制的“出口”与“进口”。我们建议,供应或使用区块链产品的企业若涉及跨境业务,均应密切关注《密码法》实施细则的立法动态,以及国家密码管理局等主管部门发布的进口许可清单、出口管制清单等相关规章制度文件。
5
《密码法》下企业的合规路径
在《密码法》下,不同性质的企业所需承担的责任义务存在明显的差异。
关注最新的监管要求和《管理条例》及其配套规定的修订情况,尤其是对于《商用密码产品型号证书》等存续的商用密码行政许可和审批资质的管理要求。 对企业生产和销售的商用密码产品的类型进行梳理。如前所述,《密码法》对涉及国家安全、国计民生、社会公共利益的商用密码产品提出了强制检测认证的要求,对一般的商用密码产品则采用自愿检测的制度。在进出口方面,《密码法》仅对特定类型的商用密码实施进出口管制,对“大众消费类产品所采用的商用密码”不实行进口许可和出口管制制度。 对关键信息基础设施运营者客户进行识别。如前所述,《密码法》对关键信息基础设施运营者采购商用密码产品提出了特殊的安全评估制度和安全审查制度,作为相关密码产品的供应商,企业同样需要配合关键信息基础设施运营者落实安全评估和安全审查责任。
在网络产品和服务采购管理流程中,关注拟采购商用密码产品的类型及其检测认证的合规性,若使用《网络关键设备和网络安全专用产品目录》所列商用密码服务,应要求密码提供者提供符合资质的机构所出具的检测、认证合格证书。 如果需要使用进口商用密码产品的,应当关注最新的监管要求,明确企业所使用的密码产品是否为大众消费类产品,是否需要遵守进出口行政审批管制要求。如果需要,应当根据最新的监管要求,申请《密码产品和含有密码技术的设备进口许可证》。 此外,网络运营者需对国家秘密进行保护时,必须使用有资质的密码工作机构提供的核心密码或普通密码。
(3)对于关键信息基础设施运营者
如前所述,《密码法》对关键信息基础设施运营者提出了特殊的安全评估制度和安全审查制度。若企业构成关键信息基础设施的运营者,除关注上述普通网络运营者的合规要点以外,还应当:
确保采用商用密码保护其系统,并且根据法律法规要求开展商用密码应用的安全评估。由于《密码法》第二十七条要求商用密码应用安全性评估应与关键信息基础设施安全检测评估和网络安全等级测评制度相衔接,而考虑到目前关键信息基础设施安全检查评估制度尚未实施落地[13],运营者应特别关注该制度的相关立法与监管动态,以及后续《密码法》实施细则中就商用密码应用安全性评估如何与各制度衔接的具体规定。
若采购涉及商用密码的产品和服务的行为可能影响国家安全,还需要参照《网络安全审查办法(征求意见稿)》和《网络产品和服务安全审查办法(试行)》申报网络安全审查。
6
结语
密码是国之重器,直接关系国家安全与经济稳定,具有重要战略资源地位。《密码法》以法律形式建立我国密码领域的监管框架,对我国大力发展密码产业与保障网络安全具有重大意义。《密码法》在立法技术上强调与现有《网络安全法》配套制度的衔接与呼应,在立法精神上追求监管与放权的平衡以及平等对待市场主体的原则,向密码从业企业及网络运营者释放了鼓励产业发展的积极信号,标志着我国在逐渐步入构建自洽的网络安全监管体系的立法成熟期。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
宁宣凤律师是合规业务部负责人,宁律师的主要执业领域为网络安全与数据合规。宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
吴涵律师的主要执业领域为网络安全与数据合规。吴律师曾多次协助客户进行自查并完善网络安全和数据合规体系,为客户提供网络安全和数据合规培训等。项目涉及金融支付与清算、保险、网约车平台、消费电子、互联网广告、日化等行业。
包达
主办律师
合规业务部
林云汉
律师
合规业务部
[1] “国家密码管理局负责人就《中华人民共和国密码法》答记者问”,http://www.oscca.gov.cn/sca/xwdt/2019-10/27/content_1057218.shtml,最后访问于2019年11月7日。
[2] 根据《管理条例》第十三条:“进口密码产品以及含有密码技术的设备或者出口商用密码产品,必须报经国家密码管理机构批准。任何单位或者个人不得销售境外的密码产品。”
[3] 同上。
[4] 根据《管理条例》第八条:“商用密码产品指定生产单位生产的商用密码产品的品种和型号,必须经国家密码管理机构批准,并不得超过批准范围生产商用密码产品。”
[5] 根据《管理条例》第九条:“商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格。”
[6] 根据《信息安全等级保护商用密码管理办法》(国密局发〔2007〕11号)第十一条:“信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担。”
[7] 根据《电子政务电子认证服务管理办法(试行)》第十七条:“国家密码管理局组织开展认证服务能力评估,发布《电子政务电子认证服务机构目录》。”
[8] 根据《中华人民共和国电子签名法》第十七条:“提供电子认证服务,应当具备下列条件:……(五)具有国家密码管理机构同意使用密码的证明文件;……”
[9] 根据《管理条例》第六条:“商用密码的科研成果,由国家密码管理机构组织专家按照商用密码技术标准和技术规范审查、鉴定。”
[10] 根据《外商投资法》第二十二条规定,国家保护外国投资者和外商投资企业的知识产权,保护知识产权权利人和相关权利人的合法权益;对知识产权侵权行为,严格依法追究法律责任。国家鼓励在外商投资过程中基于自愿原则和商业规则开展技术合作。技术合作的条件由投资各方遵循公平原则平等协商确定。行政机关及其工作人员不得利用行政手段强制转让技术。
[11] 参考《信息安全技术 网络安全等级保护定级指南(征求意见稿)》第6.5条以及《GB/T 22239-2019信息安全技术 网络安全等级保护基本要求》第8.1条
[12] http://www.xinhuanet.com/2019-10/30/c_1125172738.htm
[13] 目前,关键信息基础设施安全检测评估的政策、标准和实施方案仍在研究中。参考网信办新闻“专家建议:关键信息基础设施安全检查评估势在必行”:http://www.cac.gov.cn/2019-09/18/c_1570335108107742.htm
感谢关注金杜研究院