观点 | 商密条例修订草案第九条诌议
商用密码管理条例(修订草案征求意见稿)如约而至,整体上看属中规中矩,这就显得第九条的规定有点抢眼:“国家密码管理部门根据商用密码应用需求或者安全需要,组织对密码算法、密码协议、密钥管理机制等商用密码技术进行安全性审查,通过安全性审查的,列入商用密码技术指导目录”。该条一出,引发业界各种议论,比如是否是国家安全审查的一种、是否需要“交出源码”等等。本文从《密码法》的普遍性规定和商密监管的逻辑尝试进行分析如下:
1、整体上判断,该条并非《密码法》对商用密码监管的规定或内容细化,因此从理论上,不应也不会给商密监管对象创设新的法律义务,同理也不会为商密监管机构创设新的监管职责。
2、从条文看,该条属于对密码技术的普遍性的安全审查,其出发点是商密应用或安全需求,发起方为国密局主动组织,审查内容为算法、协议和密钥管理机制等等从具体产品、服务中抽象出的商密技术。因此估计未来可能会形成类似于NIST的推荐性或评价性的密码技术分析报告,告诉公众某一密码技术的技术特点、保护力度、当然也会披露已知脆弱性等等,甚至也会允许行业或公众置评。
3、再从条文上进一步推敲,没有是对某一“指名道姓”的特定密码产品或服务,要求该产品或服务提供者提供代码。当然《最高人民法院关于审理不正当竞争民事案件应用法律若干问题的解释》第十二条的规定也没毛病。另外,不排除提供者可以主动提供技术用于该条的安全性审查,这实际上就起到了类似密码征集,或推动密码竞争的目的。
4、从结果上看,形成的是商用密码技术指导目录,按照对“指导”的理解,也不具有强制性。
5、总结:本条规定的安全性审查不属于进出口技术审查,也不属于网络安全审查等类似国家安全审查,也非检测认证。通过这种方式,国密局可以提升自身的密码分析技术能力,并为未来或迭代的密码算法技术征集、密码标准作出必要能力准备。
本文作者:黄道丽 原浩
联系咨询:谢老师 13771998064(微信同号)
“苏州信息安全法学所”