《密码法》一周岁,是个啥?
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词: 密码法 解读
本文约2550字,大概需要阅读 10分钟。
2019年10月26日,十三届全国人大常委会第十四次会议表决通过了《中华人民共和国密码法》(以下简称《密码法》)。这是密码管理领域通过的第一部法律(非行政法规、规章或规范性文件),今天正好是其一周年,所以今天我们来聊聊这部法律。
为什么我会关心这部法律?本团队一直在研究大数据、区块链、人工智能,而密码是其关键性、基础性的技术,此外《密码法》当中涉及了对密码的合规管理以及密码技术、产品和服务的外商投资、进出口等内容,也是本团队的主要法律服务内容之一。
为什么大家需要关心这部法律?如果你是企业,现在或者不久的将来,无论是企业的核心产品、运营过程、市场过程,均涉及到企业信息、数据、技术的安全,甚至你就是提供密码产品、技术、服务的供应商,所以这部法律与你密切相关。如果你是个人,回忆一下你现在有多少个密码,再展望一下未来你将有多少个密码。
这么说吧:你有多少的从财产,就意味着你就会拥有多少个密码。不过别担心,将会有一批专门从事为私人提供密码设定、密码保护的科技公司为你提供服务。so, 以前是满大街的配钥匙的店铺,会变成帮你提供密码甚至解码的“店铺”。
“密码”,俗称“暗号”“暗语”,“天王盖地虎······”之类的,《密码法》是这么说的,“本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务”。我之前曾写过一篇关于“哈希”的小文,区块链正是依托哈希算法来对信息进行加密处理,并且通过哈希算法来保证全网数据的统一性以及增加被黑客攻破的难度。
总的来说,《密码法》主要说了这么几个事儿:首先,是确定了对密码进行分级分类管理,尤其是对商用密码的管理,取消了很多行政许可方面的限制,这应该是为了推动商用密码市场的健康发展,扫除商用密码市场的行政障碍。其次,是明确了“内外一致”这么一个原则,即外资企业可以平等地参与到我国商用密码市场中,这也完全符合《外商投资法》确定的基本原则。最后,是确定了对在国家安全、网络安全、数据安全为总体框架下对密码安全的事前、事中、事后管理。
一、商用密码的市场化
在《密码法》出台之前,规范商用密码的主要是《商用密码管理条例》(行政法规),而《密码法》第六条规定:“国家对密码实行分类管理。密码分为核心密码、普通密码和商用密码。” 第七条规定:“核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理”。从这两条可以看出,在对密码进行分类后,商用密码作为单独的类别并未被纳入统一管理的范围。再看第八条:“商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全”。
再来对比《商用密码管理条例》中是这么说的:“商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理”。所以,结合起来看,我们会发现:第一,商用密码一般情形下不再属于国家秘密,第二,商用密码不再实行“专控管理”。“专控管理”在《商用密码管理条例》中指的是全流程的国家监管,从研发、生产、销售、使用每个流程都管。所以现在已经大幅度放开。
那现在的管理方式是怎样的呢?根据《密码法》第二十五条、第二十六条的规定,商用密码产品管理方式将由行政审批调整为检测认证管理,国家密码管理局不再实施“商用密码产品品种和型号审批”,而该检测认证,也并非全部强制性的检测认证,《密码法》只要求“涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供”。
所以,归结为一条就是《密码法》第二十一条:“国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展”。
二、非歧视性原则
《密码法》第二十一条第二款规定,“各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作”,也就是说在市场准入角度,外商投资企业在商用密码领域的经济活动,将完全按照《外商投资法》的规定进行。
而在产品准入方面,《密码法》也进行了分类管理,总结起来就是“负面清单”式管理:一方面,“大众消费类产品所采用的商用密码不实行进口许可和出口管制制度”,另一方面,对“对涉及国家安全、社会公共利益”的商用密码由国务院商务主管部门会同国家密码管理部门和海关总署通过“商用密码进口许可清单和出口管制清单”来进行管控。
在大幅取消商用密码的行政许可后,“密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督”。这里可以看出来两点,第一,就是信息化监管,第二就是自律监管。
啥叫自律监管?我们看第三十条,“商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展”,就是说行业协会将来要承担起一定的监管职责。
以上对《密码法》做了一个简要介绍,回到我们在最开始关心的问题上:对于区块链企业而言,首先要区分自身所提供的产品、技术与服务从密码的角度而言到底是核心密码、普通密码还是商用密码。其二,是否会涉及“关键信息基础设施”的问题。因为现在区块链的应用还主要是在金融、医疗等领域,如果涉及,则会涉及到《密码法》所要求的安全性评估问题。第三,在涉及区块链技术进出口的环节,也就是存在跨境因素的话,就要评估是否会落在未来的管制进出口管制清单中。
此外,对于与密码相关的行业,都应当进一步关注在密码的研发、生产、销售、使用等环节,虽然商用密码的管制较为宽松,但实际上,合规的要求会更全面与深入。
陆续更新,敬请期待
如认为本文侵犯版权,请及时联系闪涛律师团队。
闪涛律师
WeChat:davy_shan
Email:davy_shan@vip.163.com
闪涛律师
广东广信君达律师事务所 高级合伙人律师
广东外语外贸大学法学院兼职教授、硕士研究生导师
中南财经政法大学 博士研究生
专注于涉外法律服务、“一带一路”与海外投资、公司法务、并购、解散、破产、清算、金融、证券、私募、人工智能、区块链、智能合约、大数据等领域
最高人民检察院咨询专家
中华全国律师协会涉外法律事务领军人才库人选
司法部、全国律师协会“一带一路”跨境律师人才库首批成员
司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人、埃塞俄比亚国别协调人
点一下在看再走吧