回顧盤點《商用密碼管理條例（修訂草案征求意見稿）》之變化

《條例》1999年版的頒布時間早于《密碼法》，因此并未明確規(guī)定上位法依據(jù)。由于《密碼法》的頒布實施，商用密碼管理作為我國密碼管理中的組織部分，其管理規(guī)范以《密碼法》為上位法也是應(yīng)有之義。而且，《條例》（征求意見稿）重點規(guī)定的檢測認(rèn)證、電子認(rèn)證、進(jìn)出口管理制度也與《密碼法》相關(guān)內(nèi)容相互呼應(yīng)，進(jìn)一步落實了《密碼法》的管理要求。

根據(jù)《密碼法》確立的密碼領(lǐng)域職能轉(zhuǎn)變和“放管服”改革，在立法宗旨上，《條例》（征求意見稿）更加突出促進(jìn)商用密碼事業(yè)發(fā)展的目的。我們可以看到《條例》（征求意見稿）以專章規(guī)定“科技創(chuàng)新與標(biāo)準(zhǔn)化”“應(yīng)用與促進(jìn)”等內(nèi)容，體現(xiàn)了促進(jìn)商用密碼事業(yè)發(fā)展的立法目的。同時，相較于《條例》1999年版，《條例》（征求意見稿）將“維護(hù)國家安全和社會公共利益”放在“保護(hù)公民、法人和其他組織的合法權(quán)益”之前，強調(diào)對國家安全和社會公共利益的保護(hù)，《條例》（征求意見稿）中所規(guī)定的國家安全審查、外商投資安全審查、進(jìn)口許可與出口管制等內(nèi)容均體現(xiàn)了這一目的。

《條例》1999年版對密碼管理實行的是國家和省級兩級管理體制，第4條規(guī)定“國家密碼管理委員會及其辦公室(以下簡稱國家密碼管理機構(gòu))主管全國的商用密碼管理工作。省、自治區(qū)、直轄市負(fù)責(zé)密碼管理的機構(gòu)根據(jù)國家密碼管理機構(gòu)的委托，承擔(dān)商用密碼的有關(guān)管理工作。”

《條例（征求意見稿）》沿襲《密碼法》，實際上確定了“四級管理+專項管理”的體制，即國家、省級、市、縣負(fù)責(zé)相應(yīng)行政區(qū)域的商用密碼工作，國家網(wǎng)信、商務(wù)、海關(guān)、市場監(jiān)督管理等有關(guān)部門在各自職責(zé)范圍內(nèi)，負(fù)責(zé)商用密碼有關(guān)管理工作[1]。

在我國現(xiàn)行密碼管理體系下，密碼分為核心密碼、普通密碼和商用密碼。其中，核心密碼、普通密碼用于保護(hù)國家秘密信息，商用密碼用于保護(hù)不屬于國家秘密的信息。《條例》1999年版第2條規(guī)定，“本條例所稱商用密碼，是指對不涉及國家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品。”這里的商用密碼主要是指商用密碼技術(shù)和商用密碼產(chǎn)品。

《密碼法》進(jìn)一步擴展了密碼的范圍與邊界，將“服務(wù)”納入密碼的范圍[2]，因此《條例》（征求意見稿）也沿襲《密碼法》的立法思路，不僅規(guī)制“商用密碼技術(shù)和商用密碼產(chǎn)品”，也將“商用密碼服務(wù)”納入規(guī)制范圍[3]。

在《條例》1999年版規(guī)定商用密碼技術(shù)屬于國家秘密，使用商用密碼技術(shù)的主體要遵守與國家秘密相關(guān)的所有法律規(guī)定?！睹艽a法》的出臺改變了上述狀況，不再規(guī)定商用密碼技術(shù)本身為國家秘密，不將商用秘密技術(shù)納入國家秘密的管理體系。公民、法人和其他組織可以依法使用商用密碼保護(hù)網(wǎng)絡(luò)與信息安全[4]。

而《條例》（征求意見稿）進(jìn)一步規(guī)定商用密碼技術(shù)的安全性審查要求，規(guī)定“國家密碼管理部門根據(jù)商用密碼應(yīng)用需求或者安全需要，組織對密碼算法、密碼協(xié)議、密鑰管理機制等商用密碼技術(shù)進(jìn)行安全性審查，通過安全性審查的，列入商用密碼技術(shù)指導(dǎo)目錄。”[5]。而且，對于非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護(hù)第三級以上網(wǎng)絡(luò)、國家政務(wù)信息系統(tǒng)等網(wǎng)絡(luò)與信息系統(tǒng)，還要求使用列入商用密碼技術(shù)指導(dǎo)目錄的商用密碼技術(shù)[6]。

隨著《密碼法》的出臺，我國商用密碼產(chǎn)品的管理制度經(jīng)歷了“審批制”到“檢測認(rèn)證制”的過程，具體如下：

在《密碼法》體系下，對商用密碼認(rèn)證檢測可以分為三個部分：一是強制檢測、認(rèn)證，對于涉及國家安全、國計民生、社會公共利益的商用密碼產(chǎn)品，應(yīng)被依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，由具備資格的機構(gòu)檢測認(rèn)證合格后，方可銷售或者提供[8]；二是自愿檢測認(rèn)證，對于不涉及國家安全、國計民生、社會公共利益的商用密碼產(chǎn)品，鼓勵商用密碼從業(yè)單位自愿接受商用密碼檢測認(rèn)證，提升市場競爭力[9]；三是商用密碼服務(wù)使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的，應(yīng)當(dāng)經(jīng)商用密碼認(rèn)證機構(gòu)對該商用密碼服務(wù)認(rèn)證合格[10]。

《條例》（征求意見稿）除了沿襲《密碼法》上述要求，更為重要的是對商用密碼產(chǎn)品檢測與認(rèn)證機構(gòu)的資質(zhì)要求、申請流程、主管機構(gòu)、監(jiān)督管理進(jìn)行具體規(guī)定，具體如下：

《條例》（征求意見稿）規(guī)定了電子認(rèn)證服務(wù)和電子政務(wù)電子認(rèn)證服務(wù)的內(nèi)容：

根據(jù)《中華人民共和國電子簽名法》（“《電子簽名法》”），可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力[11]。由于電子認(rèn)證服務(wù)提供者在開展電子認(rèn)證服務(wù)中會使用密碼，因此《電子簽名法》第17條[12]規(guī)定提供電子認(rèn)證服務(wù)的條件，其中之一就包括具有國家密碼管理機構(gòu)同意使用密碼的證明文件。國家密碼管理局最早于2005年發(fā)布《電子認(rèn)證密碼管理辦法》，要求提供電子認(rèn)證服務(wù)，應(yīng)當(dāng)申請《電子認(rèn)證服務(wù)使用密碼許可證》，該《許可證》即為《電子簽名法》第17條規(guī)定的國家密碼管理機構(gòu)同意使用密碼的證明文件。

《條例》（征求意見稿）相應(yīng)規(guī)定采用商用密碼技術(shù)提供電子認(rèn)證服務(wù)所應(yīng)具備的條件（同樣包括依法取得國家秘密管理部門同意使用密碼的證明文件）。

電子政務(wù)電子認(rèn)證服務(wù)指電子認(rèn)證服務(wù)機構(gòu)采用商用密碼技術(shù)，通過數(shù)據(jù)證書，為各級政務(wù)部門開展社會管理、公共服務(wù)等政務(wù)活動提供的電子認(rèn)證服務(wù)[13]?！睹艽a法》第29條規(guī)定，“國家密碼管理部門對采用商用密碼技術(shù)從事電子政務(wù)電子認(rèn)證服務(wù)的機構(gòu)進(jìn)行認(rèn)定，會同有關(guān)部門負(fù)責(zé)政務(wù)活動中使用電子簽名、數(shù)據(jù)電文的管理。”

《條例》（征求意見稿）進(jìn)一步落實《密碼法》的規(guī)定，電子政務(wù)電子認(rèn)證服務(wù)機構(gòu)應(yīng)經(jīng)國家密碼管理部門認(rèn)定，并取得相應(yīng)資質(zhì)[14]；同時，《條例》（征求意見稿）也規(guī)定了取得電子政務(wù)電子認(rèn)證服務(wù)機構(gòu)資質(zhì)應(yīng)取得的條件、資質(zhì)申請流程等[15]。如果外商投資電子政務(wù)電子認(rèn)證服務(wù)，影響或可能影響國家安全的，還應(yīng)當(dāng)依法進(jìn)行外商投資安全審查[16]，這也與《中華人民共和國外商投資法》（“《外商投資法》”）第35條規(guī)定的外商投資安全審查制度[17]相銜接。

隨著《密碼法》的出臺，我國對于商用密碼進(jìn)出口從“批準(zhǔn)制”轉(zhuǎn)變?yōu)?ldquo;進(jìn)口許可清單和出口管制清單制度”，具體如下：

《條例》（征求意見稿）進(jìn)一步落實《密碼法》的要求，規(guī)定商用密碼進(jìn)口許可和商用密碼出口管制的內(nèi)容。同時，《條例》（征求意見稿）還增加規(guī)定了“進(jìn)口《商用密碼進(jìn)口許可清單》或者出口《商用密碼出口管制清單》中的商用密碼，應(yīng)當(dāng)向國務(wù)院商務(wù)主管部門申請領(lǐng)取兩用物項[18]進(jìn)出口許可證”的內(nèi)容，與我國目前正在制定的《出口管制法》相互呼應(yīng)。在具體執(zhí)法過程中，采取海關(guān)與國務(wù)院商務(wù)主管部門、國家密碼管理部門聯(lián)動執(zhí)法的機制：未向海關(guān)交驗兩用物項進(jìn)出口許可證，海關(guān)有證據(jù)表明進(jìn)出口產(chǎn)品可能屬于商用密碼進(jìn)口許可或者出口管制范圍的，應(yīng)當(dāng)向進(jìn)出口經(jīng)營者提出質(zhì)疑；海關(guān)可以向國務(wù)院商務(wù)主管部門、國家密碼管理部門提出組織鑒別，并根據(jù)鑒別結(jié)論依法處置；海關(guān)還可以在鑒別或者質(zhì)疑期間，對進(jìn)出口產(chǎn)品不予放行[19]。

在等保2.0體系下，不同等級的網(wǎng)絡(luò)在使用密碼技術(shù)和密碼產(chǎn)品上有不同的要求。以等保三級為例（一般商業(yè)運營系統(tǒng)最為廣泛適用的級別），安全通用要求中規(guī)定必須使用國家密碼管理主管部門認(rèn)證核準(zhǔn)的密碼技術(shù)和產(chǎn)品[20]；《網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》第47條也規(guī)定，第三級以上網(wǎng)絡(luò)應(yīng)當(dāng)采用密碼保護(hù)，并使用國家密碼管理部門認(rèn)可的密碼技術(shù)、產(chǎn)品和服務(wù)。

《條例》（征求意見稿）直接體現(xiàn)了上述等保2.0的要求，對于網(wǎng)絡(luò)安全等級保護(hù)第三級以上網(wǎng)絡(luò)，要求運營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)。但是由于等保2.0國家標(biāo)準(zhǔn)僅為推薦性標(biāo)準(zhǔn)，并不具備強制力，因此若《條例》（征求意見稿）生效，將會將網(wǎng)絡(luò)安全等級保護(hù)的推薦性的要求上升為具有強制力的國家規(guī)范。

同時，《條例》（征求意見稿）也將商用密碼應(yīng)用安全性評估的范圍予以擴展，《密碼法》第27條僅規(guī)定使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估。而在《條例》（征求意見稿）中，非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護(hù)第三級以上網(wǎng)絡(luò)、國家政務(wù)信息系統(tǒng)等網(wǎng)絡(luò)與信息系統(tǒng)都被要求“自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估”。此外，《條例》（征求意見稿）對于商用密碼保障系統(tǒng)的同步規(guī)劃、同步建設(shè)、同步運行也與《網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》第4條的理念一致[21]。

對于非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施，《條例》（征求意見稿）規(guī)定運營者應(yīng)履行使用商用密碼進(jìn)行保護(hù)、開展商用密碼應(yīng)用安全性評估、使用列入商用密碼技術(shù)指導(dǎo)目錄的商用密碼技術(shù)、采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的國家安全審查等義務(wù)[22]?！毒W(wǎng)絡(luò)安全法》規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估的內(nèi)容，為了避免重復(fù)評估、測評，《條例》（征求意見稿）也要求商用密碼應(yīng)用安全性評估、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評應(yīng)當(dāng)加強銜接。但是，對于是否開展某一項評估就無須開展其他兩項評估、測評，仍有待主管機構(gòu)的進(jìn)一步澄清。

《條例》（征求意見稿）沿襲《密碼法》規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運營者的國家安全審查內(nèi)容，即關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當(dāng)依法通過國家網(wǎng)信部門會同國家密碼管理部門等有關(guān)部門組織的國家安全審查。

2020年4月13日，國家網(wǎng)信辦等12部門聯(lián)合發(fā)布《網(wǎng)絡(luò)安全審查辦法》，對于網(wǎng)絡(luò)安全審查的適用對象、審查機構(gòu)、審查程序、審查要素等進(jìn)行規(guī)定，因此對于關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的國家安全審查，應(yīng)與《網(wǎng)絡(luò)安全審查辦法》相互銜接，遵循《網(wǎng)絡(luò)安全審查辦法》的要求。

如上文所述，《條例》（征求意見稿）將促進(jìn)商用密碼事業(yè)發(fā)展作為立法宗旨，因此規(guī)定了一系列商用密碼應(yīng)用與促進(jìn)的內(nèi)容，例如：

1. 建立健全商用密碼科學(xué)技術(shù)創(chuàng)新促進(jìn)機制[23]；

    

2. 保護(hù)商用密碼領(lǐng)域的知識產(chǎn)權(quán)[24]；

    

3. 建立商用密碼標(biāo)準(zhǔn)實施信息反饋和評估機制，對商用密碼標(biāo)準(zhǔn)實施進(jìn)行監(jiān)督檢查[25]；

    

4. 推動參與商用密碼國際標(biāo)準(zhǔn)化活動，參與制定商用密碼國際標(biāo)準(zhǔn)，推進(jìn)商用密碼中國標(biāo)準(zhǔn)與國外標(biāo)準(zhǔn)之間的轉(zhuǎn)化運用，鼓勵企業(yè)、社會團(tuán)體和教育、科研機構(gòu)等參與商用密碼國際標(biāo)準(zhǔn)化活動[26]；

    

5. 建立商用密碼應(yīng)用促進(jìn)協(xié)調(diào)機制，加強對商用密碼應(yīng)用的統(tǒng)籌指導(dǎo)[27]；

    

6. 支持網(wǎng)絡(luò)產(chǎn)品、服務(wù)使用商用密碼提升安全性，支持并規(guī)范商用密碼在信息領(lǐng)域新技術(shù)、新業(yè)態(tài)、新模式中的應(yīng)用等[28]。

如果《條例》（征求意見稿）生效，預(yù)計上述應(yīng)用與促進(jìn)措施也會有相應(yīng)的細(xì)化規(guī)則和落地機制，我們也將持續(xù)關(guān)注。

相較于《條例》1999年版注重事前審批的管理，《條例》（征求意見稿）順應(yīng)“放管服”、普遍性取消審批的要求，轉(zhuǎn)化監(jiān)管思路，更加注重商用密碼的全生命周期管理，而不是放松監(jiān)管。監(jiān)管思路的轉(zhuǎn)變的突出標(biāo)志之一就是加強監(jiān)管檢查的內(nèi)容，《條例》（征求意見稿）第43條賦予密碼管理部門和有關(guān)部門豐富的監(jiān)督檢查職權(quán)，包括現(xiàn)場檢查、查閱或復(fù)制有關(guān)資料、查封或者扣押等[29]。而且，《條例》（征求意見稿）也著力推進(jìn)商用密碼監(jiān)督管理與社會信用體系相銜接，要求依法建立推行商用密碼市場主體信息記錄、信用分類分級監(jiān)管、失信懲戒以及信用修復(fù)等機制[30]。

總體上，由于《密碼法》對《條例》1999年版進(jìn)行了結(jié)構(gòu)性的重塑，《條例》（征求意見稿）與《條例》1999年版相比，在結(jié)構(gòu)、內(nèi)容上均有大幅度的變化，以貫徹落實《密碼法》中的有關(guān)商用密碼管理具體制度。而且，《條例》（征求意見稿）也與《網(wǎng)絡(luò)安全法》《電子簽名法》《外商投資法》《網(wǎng)絡(luò)安全審查辦法》及正在制定的《出口管制法》等相互鏈接、相互呼應(yīng)。由于《條例》（征求意見稿）是商用密碼管理制度的基本制度，有著重要影響，因此我們也將持續(xù)關(guān)注《條例》（征求意見稿）的立法進(jìn)展，幫助相關(guān)企業(yè)及時了解商用密碼管理的最新趨勢。