修訂版《商用密碼管理?xiàng)l例》解讀

5月24日《商用密碼管理?xiàng)l例》重磅發(fā)布。修訂后的《條例》與密碼法緊密銜接，

第一條明確了《中華人民共和國密碼法》（以下簡(jiǎn)稱密碼法）為《商用密碼管理?xiàng)l例》（以下簡(jiǎn)稱條例）的上位法。

第二條明確了《條例》的管理范圍包括：商用密碼科研、生產(chǎn)、銷售、服務(wù)、檢測(cè)、認(rèn)證、進(jìn)出口、應(yīng)用。同時(shí)依據(jù)《密碼法》中密碼的定義，對(duì)商用密碼進(jìn)行了重新定義。

第三-六條明確了各方職責(zé)以及商用密碼人才培養(yǎng)。

針對(duì)修訂版《條例》的管理范圍，其中：

1.   科研、生產(chǎn)、銷售：

1999年發(fā)布的《條例》中，規(guī)定了商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用由國家實(shí)行?？毓芾?。--《商用密碼產(chǎn)品科研、生產(chǎn)、銷售及使用的有關(guān)事項(xiàng)》（1999年）。

科研：商用密碼體制、協(xié)議、算法及其技術(shù)規(guī)范的科研活動(dòng)

2005年發(fā)布的《商用密碼科研管理規(guī)定》中，規(guī)定了商用密碼科研由國家密碼管理局指定的單位（以下稱商用密碼科研定點(diǎn)單位）承擔(dān)，并頒發(fā)《商用密碼科研定點(diǎn)單位證書》。

2017年修正稿中，規(guī)定了商用密碼科研由具有獨(dú)立法人資格的企業(yè)、事業(yè)單位、社會(huì)團(tuán)體等單位(以下稱商用密碼科研單位)承擔(dān)。

生產(chǎn)：商用密碼產(chǎn)品生產(chǎn)活動(dòng)，包括商用密碼產(chǎn)品的研制開發(fā)

2005年發(fā)布的《商用密碼產(chǎn)品生產(chǎn)管理規(guī)定》中，規(guī)定了商用密碼產(chǎn)品由國家密碼管理局指定的單位（商用密碼產(chǎn)品生產(chǎn)定點(diǎn)單位）生產(chǎn)，并頒發(fā)《商用密碼產(chǎn)品生產(chǎn)定點(diǎn)單位證書》。

2017年修正稿中，規(guī)定了商用密碼產(chǎn)品的品種和型號(hào)必須經(jīng)國家密碼管理局批準(zhǔn)，根據(jù)《國務(wù)院關(guān)于取消一批行政許可事項(xiàng)的決定》(國發(fā)〔2017〕46號(hào)),取消國家密碼管理局負(fù)責(zé)實(shí)施的商用密碼產(chǎn)品生產(chǎn)單位審批。

銷售：商用密碼產(chǎn)品銷售活動(dòng)

2005年發(fā)布的《商用密碼產(chǎn)品銷售管理規(guī)定》中，規(guī)定了單位銷售商用密碼產(chǎn)品應(yīng)當(dāng)取得《商用密碼產(chǎn)品銷售許可證》。2017年，根據(jù)《國務(wù)院關(guān)于取消一批行政許可事項(xiàng)的決定》(國發(fā)〔2017〕46號(hào)),取消國家密碼管理局負(fù)責(zé)實(shí)施的商用密碼產(chǎn)品銷售單位許可。

2.   服務(wù)：典型服務(wù)-電子認(rèn)證服務(wù)

2005年發(fā)布的《電子認(rèn)證服務(wù)密碼管理辦法》中，規(guī)定了提供電子認(rèn)證服務(wù)，應(yīng)當(dāng)申請(qǐng)《電子認(rèn)證服務(wù)使用密碼許可證》。2009年修訂版中，規(guī)定了電子認(rèn)證服務(wù)系統(tǒng)所需密鑰服務(wù)由國家密碼管理局和省、自治區(qū)、直轄市密碼管理機(jī)構(gòu)規(guī)劃的密鑰管理系統(tǒng)提供。

修訂版《條例》中的第四章就是電子認(rèn)證的相關(guān)規(guī)定。其中：

第二十二條明確了電子認(rèn)證服務(wù)需通過相應(yīng)檢查和檢測(cè)，并獲得同意使用密碼的證明文件。具體流程可參見《電子認(rèn)證服務(wù)使用密碼許可服務(wù)指南》。

第二十三條明確了電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)合規(guī)使用密碼。

第二十四條明確了從事電子政務(wù)電子認(rèn)證服務(wù)的機(jī)構(gòu)需取得相應(yīng)資質(zhì)。具體流程可參見《電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)認(rèn)定服務(wù)指南》。

第二十五和二十六條明確了申請(qǐng)電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)資質(zhì)的條件和流程。

第二十七條明確了外商投資電子政務(wù)電子認(rèn)證服務(wù)的安全性審查。

第二十八條明確了電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)合規(guī)提供電子認(rèn)證服務(wù)。

第二十九條明確了推動(dòng)電子認(rèn)證服務(wù)互信互認(rèn)。

第三十條明確了政務(wù)活動(dòng)中的電子簽名、數(shù)據(jù)電文，需要電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)為其提供服務(wù)，常用的就是證書服務(wù)。

3.   檢測(cè)、認(rèn)證：商用密碼產(chǎn)品型號(hào)-商用密碼產(chǎn)品認(rèn)證

2019年發(fā)布的《密碼法》中規(guī)定了國家推進(jìn)商用密碼檢測(cè)認(rèn)證體系建設(shè)。2019年國家密碼管理局會(huì)同市場(chǎng)監(jiān)管總局發(fā)布了第39號(hào)文《關(guān)于調(diào)整商用密碼產(chǎn)品管理方式的公告》，取消“商用密碼產(chǎn)品品種和型號(hào)審批”，推行商用密碼認(rèn)證制度，鼓勵(lì)商用密碼產(chǎn)品獲得認(rèn)證。之后又聯(lián)合發(fā)布了《關(guān)于開展商用密碼檢測(cè)認(rèn)證工作的實(shí)施意見》，提出了商用密碼認(rèn)證目錄、商用密碼檢測(cè)、認(rèn)證機(jī)構(gòu)，并發(fā)布了《商用密碼產(chǎn)品認(rèn)證目錄（第一批）》和《商用密碼產(chǎn)品認(rèn)證規(guī)則》。2020年，商用密碼檢測(cè)中心依據(jù)認(rèn)證規(guī)則制定發(fā)布了《商用密碼產(chǎn)品認(rèn)證實(shí)施細(xì)則》。

目前商用密碼認(rèn)證機(jī)構(gòu)1家，為國家密碼管理局商用密碼檢測(cè)中心，檢測(cè)機(jī)構(gòu)4家，分別為：國家密碼管理局商用密碼檢測(cè)中心、鼎鉉商用密碼測(cè)評(píng)技術(shù)（深圳）有限公司、智巡密碼（上海）檢測(cè)技術(shù)有限公司、豪符密碼檢測(cè)技術(shù)（成都）有限責(zé)任公司。

修訂版《條例》中的第三章就是檢測(cè)認(rèn)證的相關(guān)規(guī)定。其中：

第十二條明確了推進(jìn)商用密碼檢測(cè)認(rèn)證體系建設(shè)。

第十三-十六條明確了從事商用密碼檢測(cè)的機(jī)構(gòu)需取得相應(yīng)資質(zhì)，申請(qǐng)資質(zhì)的條件和流程，以及合規(guī)開展商用密碼檢測(cè)。

第十七條明確了商用密碼認(rèn)證制度以及認(rèn)證目錄發(fā)布。

第十八-十九條明確了從事商用密碼認(rèn)證的機(jī)構(gòu)需取得相應(yīng)資質(zhì)，申請(qǐng)資質(zhì)的條件，以及合規(guī)開展商用密碼認(rèn)證。

第二十條明確了列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄的商用密碼產(chǎn)品經(jīng)檢測(cè)認(rèn)證后方可銷售或提供。

第二十一條明確了商用密碼服務(wù)使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)認(rèn)證合格。

4.   進(jìn)出口：《商用密碼進(jìn)口許可清單》和《商用密碼出口管制清單》

1999年發(fā)布的《條例》中，規(guī)定了進(jìn)口密碼產(chǎn)品以及含有密碼技術(shù)的設(shè)備或者出口商用密碼產(chǎn)品，必須報(bào)經(jīng)國家密碼管理機(jī)構(gòu)批準(zhǔn)。

2019年發(fā)布的《密碼法》中提出了《商用密碼進(jìn)口許可清單》和《商用密碼出口管制清單》。2020年，商務(wù)部、國家密碼管理局、海關(guān)總署發(fā)布第63號(hào)《關(guān)于發(fā)布商用密碼進(jìn)口許可清單、出口管制清單和相關(guān)管理措施的公告》中，明確了相關(guān)清單和管理措施。

修訂版《條例》中的第五章就是進(jìn)出口的相關(guān)規(guī)定。其中：

第三十一條明確了商用密碼的《商用密碼進(jìn)口許可清單》和《商用密碼出口管制清單》，責(zé)任單位為國務(wù)院商務(wù)主管部門會(huì)同國家密碼管理部門和海關(guān)總署。

第三十二-三十四條明確了進(jìn)口《商用密碼進(jìn)口許可清單》或者出口《商用密碼出口管制清單》中的商用密碼、商用密碼產(chǎn)品以及申請(qǐng)商用密碼進(jìn)出口許可的流程。

5.   應(yīng)用：商用密碼應(yīng)用安全性評(píng)估（簡(jiǎn)稱密評(píng)）

《密碼法》中規(guī)定了非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施要開展密評(píng)。

2019年，國務(wù)院辦公廳發(fā)布的第57號(hào)《國務(wù)院辦公廳關(guān)于印發(fā)國家政務(wù)信息化項(xiàng)目建設(shè)管理辦法的通知》中，規(guī)定了國家政務(wù)信息化項(xiàng)目要開展密評(píng)。

2020年，公安部發(fā)布的第1960號(hào)《貫徹等保和關(guān)保保護(hù)制度指導(dǎo)意見》中，規(guī)定了網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)以上系統(tǒng)在等保測(cè)評(píng)中同步開展密評(píng)。

修訂版《條例》中的第六章就是應(yīng)用促進(jìn)的相關(guān)規(guī)定。其中：

第三十五-三十六條明確了鼓勵(lì)使用商用密碼。

第三十七條明確了建立商用密碼應(yīng)用促進(jìn)協(xié)調(diào)機(jī)制。

第三十八-三十九條明確了法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，要開展密評(píng)，通過密評(píng)后方可投入運(yùn)行，運(yùn)行后每年至少進(jìn)行一次評(píng)估，同時(shí)要使用合規(guī)的商用密碼產(chǎn)品、服務(wù)和技術(shù)。

第四十條明確了關(guān)鍵信息基礎(chǔ)設(shè)施使用商用密碼可能影響國家安全的要通過國家安全審查。

第四十一條明確了網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照等保要求，使用商用密碼保護(hù)網(wǎng)絡(luò)安全。

第四十二條明確了密評(píng)、關(guān)基測(cè)評(píng)、等保測(cè)評(píng)應(yīng)當(dāng)加強(qiáng)銜接，避免重復(fù)評(píng)估、測(cè)評(píng)。

另外修訂版《條例》中第二章明確了科技創(chuàng)新與標(biāo)準(zhǔn)化，第七章明確了監(jiān)督管理，第八章明確了法律責(zé)任，第九章明確了本條例從2023年7月1日起施行。