泰和泰研析｜第一部密码管理综合性法律 ——《密码法》新规解读

《密码法》调整的对象是“采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。”需要注意的是，我们生活中经常接触到的“密码”，并非《密码法》意义上的密码。《密码法》意义上的密码是解决网络与信息安全问题的一种手段，是通过将明文变成密文的方式对信息的加密保护，通俗地讲，就是将大家都看得懂的信息，变成大家看不懂的一些符号。而日常生活中，我们为了保护银行账号、App账号等设置的“密码”是一种“口令”(password)、一种认证方式，属于明文，并非《密码法》意义上的“密码”(cryptography)——一种技术、产品或服务。

此前，我国密码管理领域一直适用的是1999年10月7日国务院颁布的《商用密码管理条例》，从1999年《商用密码管理条例》生效到2020年《密码法》生效的20多年间，我国一直未出台专门针对密码管理的法律位阶规范。然而近几年，信息科技飞速发展，《商用密码管理条例》以及几部国家密码管理局的部门规章显然不能适应新的要求，规范的滞后性凸显，至此，《密码法》应运而生。

《密码法》生效后，我国密码管理领域的规范体系得以初步建立：

*注：上图中部分规范的部分条文现已失效

《密码法》共五章44条，分为总则、核心密码和普通密码、商用密码、法律责任、附则五部分。

笔者认为，此次《密码法》的两大亮点在于：第一，对密码实行分类管理；第二，贯彻“放管服”改革要求，对商用密码的管理重点从“管企业”转向“管产品”。

《密码法》在第六条至第八条对密码的分类管理做出规定：

◆国家对密码实行分类管理，密码分为核心密码、普通密码和商用密码。

◆核心密码、普通密码用于保护国家秘密信息，二者自身也属于国家秘密；商用密码用于保护不属于国家秘密的信息。

◆核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。

◆密码管理部门依照《密码法》和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理；公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。

笔者将三类密码的关系总结如下图：

显然，对密码进行分类管理是我国在长期实践中做出的科学总结，通过分类实现对密码的高效管理。《密码法》第二章对于核心密码和普通密码的规定，主要是围绕着保护国家安全展开，中心思想就是“严格”，明确核心密码和普通密码不仅用于保护国家秘密，同时二者本身也属于国家秘密；而《密码法》第三章对于商用密码的规定，则更多的体现开放性原则，是对“放管服”改革要求的贯彻落实，该部分也是《密码法》的一大亮点。 

2019年10月27日，国家密码管理局负责人在就《密码法》答记者问中阐述了《密码法》在商用密码管理方面的立法思路：一是坚决贯彻落实“放管服”改革要求,充分体现非歧视和公平竞争原则,进一步削减行政许可数量,放宽市场准入,更好地激发市场活力和社会创造力。二是由《商用密码管理条例》规定的全环节严格管理调整为重点把控产品销售、服务提供、使用、进出口等关键环节,管理方式上由重事前审批更多地转为事中事后监管,重视发挥标准化和检测认证的支撑作用。三是对于关系国家安全和社会公共利益,又难以通过市场机制或者事中事后监督方式进行有效监管的少数事项,本法规定了必要的行政许可和管制措施。

1、取消「商用密码产品生产定点单位证书」和「商用密码产品销售许可证」

其实，早在2017年9月22日，国务院就发布了《国务院决定取消的国务院部门行政许可事项目录》（46号令），公告取消“商密三证”中“管产品”的两个许可。

“商密三证”来源于1999年《商用密码管理条例》，该条例在密码管理领域设置了三个许可证：第一个是「商用密码产品生产定点单位证书」（第七条），第二个是「商用密码产品型号证书」（第八条），第三个是「商用密码产品销售许可证」（第十一条），其中，「商用密码产品生产定点单位证书」和「商用密码产品销售许可证」属于“管企业”的许可证，「商用密码产品型号证书」属于“管产品”的许可证。

2017年国务院46号令在附件表格第28项和第29项分别取消了「商用密码产品生产单位审批」和「商用密码产品销售单位许可」，至此，密码管理领域定下了侧重“管产品”的基调。

2、标准体系的建立和检测认证体系的建设

《密码法》在商用密码一章用大量篇幅规定了我国将建立和完善商用密码标准体系，并将推进商用密码检测认证体系建设，此二体系便是贯彻商用密码管理“放管服”的重要手段。

（1）建立和完善商用密码标准体系

该部分规定在《密码法》第二十二条至第二十四条，对商用密码标准的分类、制定主体、适用强制力等内容做出规定。

（2）推进商用密码检测认证体系建设

该部分规定在《密码法》第二十五条至第二十七条，明确了商用密码管理“以自愿认证为原则，特殊情况强制认证为例外”。

上文中已提及2017年国务院46号文取消了“商密三证”中“管企业”的「商用密码产品生产定点单位证书」和「商用密码产品销售许可证」，但是保留了“管产品”的「商用密码产品型号证书」，证书如下图：

笔者在《密码法》颁布（2019年10月26日）后一直有一疑惑——《密码法》明确了自愿认证的原则，而「商用密码产品型号证书」属于事前许可，那么商用密码从业单位在《密码法》生效后，是否还需要就其密码产品或服务申请获得「商用密码产品型号证书」呢？

就在《密码法》生效的前两天，笔者的疑惑得到了解答。2019年12月30日，国家密码管理局和市场监管总局发布《关于调整商用密码产品管理方式的公告》(第39号文)，公告规定：自2020年1月1日起，国家密码管理局不再受理商用密码产品品种和型号申请，停止发放「商用密码产品型号证书」；自2020年7月1日起，已发放的「商用密码产品型号证书」自动失效；对于有效期内的「商用密码产品型号证书」，持证单位可于2020年6月30日前，自愿申请转换国推商用密码产品认证证书。

自此，「商用密码产品型号证书」将完成历史使命，退出商用密码管理的舞台。

3、进口许可和出口管制

《密码法》第二十八条对商用密码的进出口做出规定：

◆对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可；

◆对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制；

◆大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

◆商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。

同样在2019年12月30日，国家密码管理局还会同商务部和海关总署发布了第38号《公告》，公告明确：商务部将会同国家密码管理局和海关总署制定并公布商用密码进口许可清单和出口管制清单，在清单公布实施前，商用密码进出口暂按目前公布的许可条件和程序依法实施进出口许可管理：①从事密码产品和含有密码技术的设备进口的，按照国家密码管理局、海关总署联合发布的国密局第18号、第27号公告办理；②从事商用密码产品出口的，应当向国家密码管理局或者各省（区、市）密码管理局提出“商用密码产品出口许可”申请，办理「商用密码产品出口许可证」。

《密码法》是我国第一部密码管理综合性法律，对密码做出了明确的分类，对于核心密码和普通密码该严格管理就严格管理，对于商用密码则该放开就放开，激发市场活力和社会创造力，是国家贯彻“放管服”改革要求的良好示范。

但同时，我们认为，商用密码从业单位仍然不能松懈，即使《密码法》对于商用密码的管理较为开放宽松，但国家对于商用密码的事中事后监管将不断增强，具体体现以及合规建议如下：

1、若商用密码产品涉及国家安全、国计民生、社会公共利益，必须通过检测认证；

2、若关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，必须通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查；

3、应当强化商用密码日常管理，即使通过检测认证，也应随时做好接受国家对商用密码产品的“双随机、一公开”抽查；

4、国家将建立信用体系，实行“黑名单”制度，将经查实的失信商用密码从业单位列入“黑名单”，强化社会监督；

5、对于违反《密码法》及相关规定的商用密码从业单位，国家将加大查处力度，例如《密码法》第三十六条规定：销售或者提供未经检测认证或者检测认证不合格的商用密码产品或服务的，可没收违法产品和违法所得，且最高可并处违法所得三倍的罚款。