專(zhuān)題·商密新時(shí)代 | 我國(guó)商用密碼制度創(chuàng)新的要點(diǎn)觀察——以《條例》修訂為視角

發(fā)布時(shí)間： 2023-08-29 18:06

新修訂的《商用密碼管理?xiàng)l例》（以下簡(jiǎn)稱(chēng)《條例》）自2023年7月1日起施行。《條例》承接《密碼法》，銜接其他相關(guān)法律法規(guī)，總結(jié)1999年《商用密碼管理?xiàng)l例》的部分成熟經(jīng)驗(yàn)與新時(shí)代十年實(shí)踐成果，確立商用密碼使用、應(yīng)用和管理的法治規(guī)則，為商用密碼科技創(chuàng)新發(fā)展和國(guó)家商用密碼治理能力提升創(chuàng)造了良好的法治環(huán)境?！稐l例》是一部支持全面現(xiàn)代化特別是數(shù)字化轉(zhuǎn)型和數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展的技術(shù)性、專(zhuān)業(yè)性行政法規(guī)。與一些國(guó)家側(cè)重通過(guò)對(duì)密碼進(jìn)出口或在個(gè)人隱私、電子權(quán)利中規(guī)制和管理密碼不同，《條例》系統(tǒng)規(guī)范了商用密碼科研、生產(chǎn)、銷(xiāo)售、服務(wù)、檢測(cè)、認(rèn)證、進(jìn)出口、應(yīng)用等生命周期活動(dòng)，重點(diǎn)關(guān)注商用密碼技術(shù)審查鑒定、檢測(cè)認(rèn)證、進(jìn)出口、應(yīng)用安全性評(píng)估等制度，形成了兼具密碼技術(shù)共性和中國(guó)技術(shù)特性的商用密碼制度創(chuàng)新體系。

一、《條例》的修訂考量

商用密碼用于保護(hù)不屬于國(guó)家秘密的信息。網(wǎng)絡(luò)空間中，實(shí)體身份認(rèn)證、信息來(lái)源認(rèn)證、數(shù)據(jù)存儲(chǔ)與傳輸安全等都需要商用密碼技術(shù)來(lái)實(shí)現(xiàn)。在多種技術(shù)交叉融合的網(wǎng)絡(luò)空間新安全體制中，商用密碼技術(shù)處于“牽一發(fā)而動(dòng)全身”的核心地位，商用密碼對(duì)國(guó)家安全和社會(huì)公共利益保障、組織和個(gè)人權(quán)益保護(hù)的戰(zhàn)略地位也不斷提升。作為密碼面向社會(huì)、面向市場(chǎng)的主要陣地和領(lǐng)域，商用密碼管理在落實(shí)《密碼法》要求實(shí)現(xiàn)平穩(wěn)過(guò)渡、轉(zhuǎn)型升級(jí)方面責(zé)任重大。為貫徹落實(shí)行政審批制度改革精神，細(xì)化《密碼法》相關(guān)制度，適應(yīng)新時(shí)代商用密碼事業(yè)發(fā)展需求，《商用密碼管理?xiàng)l例》及時(shí)修訂并頒布實(shí)施。

《條例》第三條明確“堅(jiān)持中國(guó)共產(chǎn)黨對(duì)商用密碼工作的領(lǐng)導(dǎo)，貫徹落實(shí)總體國(guó)家安全觀”?！睹艽a法》旗幟鮮明地把黨管密碼這一根本原則寫(xiě)入法律，成為這部法律的靈魂所在。商用密碼工作作為密碼工作的重要組成部分，必須堅(jiān)持黨的絕對(duì)領(lǐng)導(dǎo)?！稐l例》的修訂深入貫徹習(xí)近平法治思想，遵循全面依法治國(guó)基本方略，明確總體國(guó)家安全觀在商用密碼工作中的指導(dǎo)地位，進(jìn)一步完善國(guó)家商用密碼法律體系和管理機(jī)制，對(duì)商用密碼管理系列重大事項(xiàng)和重要制度作出一系列明確規(guī)定。

新修訂的《條例》立足現(xiàn)代密碼學(xué)，基于《密碼法》對(duì)密碼的定義明確商用密碼概念，即“商用密碼是指采用特定變換的方法對(duì)不屬于國(guó)家秘密的信息等進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù)”。這一概念的調(diào)整將商用密碼技術(shù)和應(yīng)用能力從1999年《條例》國(guó)家秘密的定性中“釋放”出來(lái)，構(gòu)成了新修訂的《條例》管理對(duì)象和方法討論的起點(diǎn)?！稐l例》進(jìn)一步明確鼓勵(lì)公民、法人和其他組織依法使用商用密碼保護(hù)網(wǎng)絡(luò)與信息安全，從行政法規(guī)層面確立了普遍性的商用密碼合法使用權(quán)利，可以預(yù)見(jiàn)，商用密碼將依據(jù)《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》《電子簽名法》等法律被廣泛適用于個(gè)人信息傳輸和存儲(chǔ)、物聯(lián)網(wǎng)密碼應(yīng)用、區(qū)塊鏈安全保障、電子郵件加密、數(shù)字簽名認(rèn)證、端到端加密等場(chǎng)景。這一基礎(chǔ)和起點(diǎn)也夯實(shí)了商用密碼在市場(chǎng)化信息與網(wǎng)絡(luò)技術(shù)中的安全基石地位，并為商用密碼在抗量子密碼、數(shù)據(jù)要素流通、人工智能、數(shù)字貨幣等新興領(lǐng)域的應(yīng)用提供了廣闊的空間?！稐l例》第三十六條即明確規(guī)定，“國(guó)家支持網(wǎng)絡(luò)產(chǎn)品服務(wù)使用商用密碼提升安全性，支持并規(guī)范商用密碼在信息領(lǐng)域新技術(shù)、新業(yè)態(tài)、新模式中的應(yīng)用”。

整體來(lái)說(shuō)，《條例》修訂活動(dòng)揭示了科學(xué)技術(shù)變革與社會(huì)治理規(guī)則的互動(dòng)規(guī)律。順應(yīng)技術(shù)發(fā)展和應(yīng)用的變化形勢(shì)，以主動(dòng)求變的方式完成對(duì)治理規(guī)則的改變，通過(guò)抓主要矛盾和矛盾的主要方面，在強(qiáng)化商用密碼作為基礎(chǔ)和通用技術(shù)應(yīng)用的同時(shí)，也為迎接非對(duì)稱(chēng)技術(shù)、前沿技術(shù)和顛覆性技術(shù)的顛覆性挑戰(zhàn)進(jìn)行前瞻性?xún)?chǔ)備。

二、規(guī)范商用密碼全生命周期管理，推動(dòng)商用密碼創(chuàng)新發(fā)展

（一）守正創(chuàng)新，強(qiáng)化商用密碼技術(shù)審查鑒定

1999年《條例》規(guī)定“商用密碼的科研成果，由國(guó)家密碼管理機(jī)構(gòu)組織專(zhuān)家按照商用密碼技術(shù)標(biāo)準(zhǔn)和技術(shù)規(guī)范審查、鑒定”，修訂的《條例》通過(guò)第九條強(qiáng)化審查鑒定這一制度，將通過(guò)審查鑒定、具有安全保障的商用密碼技術(shù)作為生產(chǎn)、銷(xiāo)售、標(biāo)準(zhǔn)化、檢測(cè)認(rèn)證和應(yīng)用的安全性前提，是在行政法規(guī)層面對(duì)審查鑒定范圍和對(duì)象要素的進(jìn)一步限定和細(xì)化，其對(duì)應(yīng)的行政許可為“商用密碼科研成果審查鑒定”，由國(guó)家密碼管理局負(fù)責(zé)審批。

從范圍看，《條例》明確在“法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)所使用的密碼”的范圍內(nèi)進(jìn)行，與商用密碼使用和應(yīng)用安全性評(píng)估的相關(guān)規(guī)定緊密銜接?！稐l例》第三十八條、第四十一條強(qiáng)調(diào)了關(guān)鍵信息基礎(chǔ)設(shè)施和網(wǎng)絡(luò)運(yùn)營(yíng)者依法使用密碼的義務(wù)，使用通過(guò)審查鑒定的密碼技術(shù)是其合規(guī)使用密碼技術(shù)的必備要素。從對(duì)象看，進(jìn)行審查鑒定的商用密碼技術(shù)為密碼算法、密碼協(xié)議、密鑰管理機(jī)制等，契合主流商用密碼的技術(shù)構(gòu)成要素，也與《商用密碼科研成果審查鑒定服務(wù)指南》主要內(nèi)容一致。同時(shí)，《條例》第四十七條明確規(guī)定“密碼管理部門(mén)和有關(guān)部門(mén)及其工作人員不得要求商用密碼科研、生產(chǎn)、銷(xiāo)售、服務(wù)、進(jìn)出口等單位和商用密碼檢測(cè)、認(rèn)證機(jī)構(gòu)向其披露源代碼等密碼相關(guān)專(zhuān)有信息”，給審查鑒定的內(nèi)容管理和監(jiān)管過(guò)程劃定了邊界。

（二）重視檢測(cè)認(rèn)證，激發(fā)商用密碼市場(chǎng)活力

《條例》重視發(fā)揮標(biāo)準(zhǔn)化和檢測(cè)認(rèn)證對(duì)激發(fā)商用密碼市場(chǎng)活力的作用，取消商用密碼產(chǎn)品生產(chǎn)單位審批、銷(xiāo)售單位許可、品種和型號(hào)審批，建立國(guó)家統(tǒng)一推行的商用密碼認(rèn)證制度，規(guī)范檢測(cè)機(jī)構(gòu)活動(dòng)，并積極為國(guó)際密碼標(biāo)準(zhǔn)體系貢獻(xiàn)“中國(guó)方案”。

《條例》對(duì)商用密碼檢測(cè)認(rèn)證的行政許可資質(zhì)規(guī)定了具體要求，與2023年3月國(guó)務(wù)院辦公廳公布的《國(guó)務(wù)院辦公廳關(guān)于公布<法律、行政法規(guī)、國(guó)務(wù)院決定設(shè)定的行政許可事項(xiàng)清單（2023年版）>的通知》(以下簡(jiǎn)稱(chēng)《通知》)相呼應(yīng)。根據(jù)《通知》，“認(rèn)證機(jī)構(gòu)資質(zhì)許可”事項(xiàng)的實(shí)施機(jī)關(guān)是市場(chǎng)監(jiān)管總局，“商用密碼產(chǎn)品質(zhì)量檢測(cè)機(jī)構(gòu)資質(zhì)認(rèn)定”的實(shí)施機(jī)關(guān)是國(guó)家密碼管理局?！稐l例》進(jìn)一步強(qiáng)化實(shí)施機(jī)關(guān)對(duì)認(rèn)證和檢測(cè)機(jī)構(gòu)的違法行為管理，對(duì)于商用密碼檢測(cè)機(jī)構(gòu)違法開(kāi)展商用密碼檢測(cè)活動(dòng)的，由密碼管理部門(mén)責(zé)令改正或者實(shí)施行政處罰，對(duì)于商用密碼認(rèn)證機(jī)構(gòu)違法開(kāi)展商用密碼檢測(cè)活動(dòng)的，由市場(chǎng)監(jiān)督管理部門(mén)會(huì)同密碼管理部門(mén)責(zé)令改正或者實(shí)施行政處罰。

（三）細(xì)化銜接，完善商用密碼進(jìn)出口許可

《密碼法》明確了商用密碼進(jìn)出口的行政許可要求，2020年商務(wù)部、國(guó)家密碼管理局和海關(guān)總署聯(lián)合發(fā)布商用密碼進(jìn)口許可清單和商用密碼出口管制清單后，通過(guò)許可證管理商用密碼進(jìn)出口成為常態(tài)?！稐l例》在固定已有制度成果基礎(chǔ)上，按照《對(duì)外貿(mào)易法》和《出口管制法》細(xì)化完善商用密碼進(jìn)出口許可、進(jìn)出口報(bào)關(guān)查驗(yàn)相關(guān)條款。特別是發(fā)布版《條例》嚴(yán)格反映了《密碼法》和《出口管制法》等法律要求，特別增加“對(duì)國(guó)家安全、社會(huì)公共利益或者外交政策有重大影響的商用密碼出口”的批準(zhǔn)要求，該條件下的批準(zhǔn)機(jī)構(gòu)為國(guó)務(wù)院，由國(guó)務(wù)院商務(wù)主管部門(mén)會(huì)同國(guó)家密碼管理部門(mén)等有關(guān)部門(mén)報(bào)批，在商用密碼領(lǐng)域真正做到了對(duì)臨時(shí)出口管制制度的落實(shí)。

（四）規(guī)范使用，夯實(shí)商用密碼應(yīng)用安全性評(píng)估

《條例》堅(jiān)持問(wèn)題導(dǎo)向，堅(jiān)守底線思維，對(duì)涉及國(guó)家安全、國(guó)計(jì)民生社會(huì)公共利益的產(chǎn)品和服務(wù)，關(guān)鍵信息基礎(chǔ)設(shè)施和重要網(wǎng)絡(luò)信息系統(tǒng)使用等關(guān)鍵環(huán)節(jié)進(jìn)行重點(diǎn)把控。在商用密碼強(qiáng)制使用和應(yīng)用安全性評(píng)估方面，《條例》充分體現(xiàn)原則與彈性并重，安全與發(fā)展不悖的理念。商用密碼應(yīng)用安全性評(píng)估是加強(qiáng)和規(guī)范商用密碼應(yīng)用的重要路徑，《條例》第三十八條承接《密碼法》第二十七條第一款規(guī)定，明確要求關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行商用密碼應(yīng)用安全性評(píng)估，突出對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的重點(diǎn)保障。新增第四十一條規(guī)定“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求，使用商用密碼保護(hù)網(wǎng)絡(luò)安全。國(guó)家密碼管理部門(mén)根據(jù)網(wǎng)絡(luò)的安全保護(hù)等級(jí)、確定商用密碼的使用、管理和應(yīng)用安全性評(píng)估要求，制定網(wǎng)絡(luò)安全等級(jí)保護(hù)密碼標(biāo)準(zhǔn)規(guī)范”。涉及國(guó)計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)、政務(wù)信息系統(tǒng)，以及關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)以上信息系統(tǒng)的商用密碼使用、管理和應(yīng)用安全性評(píng)估工作將體現(xiàn)“重要而有差別的”，“匹配而非一刀切的”保護(hù)和監(jiān)管原則。

在商用密碼的社會(huì)化使用方面，《條例》體現(xiàn)了信息和系統(tǒng)并重的原則。一方面，《條例》國(guó)家明確規(guī)定，鼓勵(lì)公民、法人和其他組織依法使用商用密碼保護(hù)網(wǎng)絡(luò)與信息安全，為商用密碼的廣泛應(yīng)用提供法律保障。另一方面，旗幟鮮明的專(zhuān)門(mén)規(guī)定了禁止性條款，禁止任何組織和個(gè)人竊取加密信息或侵入商用密碼保障系統(tǒng)，禁止利用商用密碼從事違法犯罪活動(dòng)，也是對(duì)近年來(lái)勒索軟件攻擊等密碼技術(shù)濫用“公害”活動(dòng)的強(qiáng)有力回應(yīng)，為商用密碼的安全應(yīng)用打下堅(jiān)實(shí)基礎(chǔ)。

（五）依法管理，建立商用密碼管理協(xié)作機(jī)制

在監(jiān)管職責(zé)方面，《條例》細(xì)化了《密碼法》賦予的國(guó)家密碼管理部門(mén)監(jiān)管職責(zé)，設(shè)置“監(jiān)督管理”專(zhuān)章，涵蓋包括行政監(jiān)督、行政檢查、行政指導(dǎo)、行政許可、行政處罰等較為廣泛的職權(quán)范圍，充分體現(xiàn)和符合行政檢查、行政強(qiáng)制的法律要求，分別對(duì)應(yīng)于執(zhí)法活動(dòng)的不同階段，為監(jiān)管對(duì)象提供更為清晰、準(zhǔn)確的監(jiān)管信號(hào)。值得一提的是，因?yàn)椤睹艽a法》沒(méi)有予以密碼管理部門(mén)行政強(qiáng)制執(zhí)行權(quán)，所以《條例》第四十五條最終沒(méi)有設(shè)置查封、扣押等行政強(qiáng)制權(quán)。

同時(shí)，《條例》也科學(xué)界定密碼管理部門(mén)與網(wǎng)信、商務(wù)、海關(guān)、市場(chǎng)監(jiān)督管理等有關(guān)部門(mén)的各自職責(zé)邊界，完善管理體制，避免職能不清可能造成的弊端，同時(shí)明確會(huì)同有關(guān)部門(mén)加強(qiáng)重點(diǎn)工作會(huì)商，形成執(zhí)法合力。

三、加快落實(shí)《條例》，推動(dòng)商用密碼發(fā)展法治化

以《條例》實(shí)施為契機(jī)，持續(xù)推動(dòng)商用密碼發(fā)展法治化是密碼管理部門(mén)的重要任務(wù)。首先，需要進(jìn)一步加強(qiáng)商用密碼制度體系的整體規(guī)劃設(shè)計(jì)，增強(qiáng)立法的系統(tǒng)性、協(xié)同性、時(shí)效性。實(shí)體性法律依據(jù)方面，需加快推動(dòng)商用密碼創(chuàng)新促進(jìn)、檢測(cè)認(rèn)證機(jī)構(gòu)管理、應(yīng)用安全性評(píng)估等方面的配套規(guī)章、規(guī)范性文件制修訂工作。2023年6月9日，《商用密碼檢測(cè)機(jī)構(gòu)管理辦法（征求意見(jiàn)稿）》和《商用密碼應(yīng)用安全性評(píng)估管理辦法（征求意見(jiàn)稿）》已向社會(huì)公開(kāi)征求意見(jiàn)；程序性規(guī)范方面，需完善行政執(zhí)法程序、裁量基準(zhǔn)、權(quán)責(zé)清單、監(jiān)督機(jī)制等。作為地方密碼管理部門(mén)，則更需要根據(jù)地區(qū)管理體制建立情況，研究和解決執(zhí)法監(jiān)管中可能的新情況新問(wèn)題，考慮結(jié)合實(shí)際制定完善本地區(qū)商用密碼管理制度措施；其次，密碼管理部門(mén)也需堅(jiān)守密碼忠誠(chéng)與責(zé)任，強(qiáng)化法治機(jī)關(guān)建設(shè)，提升自身密碼執(zhí)法監(jiān)管素養(yǎng)，想用、會(huì)用、敢用《條例》賦予的職權(quán)，加快推動(dòng)管理職能轉(zhuǎn)變和管理方式創(chuàng)新。如可在充分運(yùn)用“雙隨機(jī)、一公開(kāi)”檢查模式的基礎(chǔ)上，以常態(tài)化檢查為主，結(jié)合對(duì)特定主體、特定領(lǐng)域的專(zhuān)項(xiàng)檢查，督促網(wǎng)絡(luò)運(yùn)營(yíng)者、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者等相關(guān)主體落實(shí)《條例》要求，嚴(yán)格落實(shí)責(zé)任追究制度，推動(dòng)商用密碼的合法、合規(guī)、正確使用；再次，密碼管理部門(mén)需要做好宣傳普及，凝聚全社會(huì)推進(jìn)密碼法治思想共識(shí)，推動(dòng)在全社會(huì)形成學(xué)習(xí)宣傳貫徹《條例》的熱潮，增強(qiáng)公民、法人和其他組織的密碼安全意識(shí)。

《條例》修訂首次引入商用密碼領(lǐng)域社會(huì)組織規(guī)定，第六條明確商用密碼領(lǐng)域的社會(huì)組織在密碼管理部門(mén)指導(dǎo)和支持下開(kāi)展學(xué)術(shù)交流、政策研究和公共服務(wù)的使命擔(dān)當(dāng)，加強(qiáng)學(xué)術(shù)和行業(yè)自律，推動(dòng)誠(chéng)信建設(shè)，促進(jìn)行業(yè)健康發(fā)展。我國(guó)密碼領(lǐng)域的社會(huì)組織發(fā)展良好，中國(guó)密碼學(xué)會(huì)、密碼法治實(shí)踐創(chuàng)新基地、地方密碼協(xié)會(huì)等做了大量密碼技術(shù)、政策法律交流和宣傳教育等工作。新時(shí)代的商用密碼已經(jīng)進(jìn)入與信息、生物、材料、能源等技術(shù)深度融合和產(chǎn)業(yè)化發(fā)展的階段，全球新一輪科技革命和產(chǎn)業(yè)變革加速升級(jí)，以元宇宙、抗量子密碼、ChatGPT、GPT-4等為代表的未來(lái)技術(shù)迭代更新與超前部署，信息技術(shù)迭代升級(jí)帶來(lái)的網(wǎng)絡(luò)安全威脅形勢(shì)不斷演化?！稐l例》實(shí)施后，包括密碼法治智庫(kù)在內(nèi)的商用密碼領(lǐng)域社會(huì)組織不僅應(yīng)在《條例》的交流學(xué)習(xí)和宣傳普及等引領(lǐng)行業(yè)發(fā)展，更應(yīng)發(fā)揮專(zhuān)業(yè)擔(dān)當(dāng)，深入挖掘密碼在數(shù)字經(jīng)濟(jì)發(fā)展、密碼可持續(xù)技術(shù)創(chuàng)新以及網(wǎng)絡(luò)空間安全之間的關(guān)系，為商用密碼技術(shù)創(chuàng)新提供更好的戰(zhàn)略支撐，評(píng)估我國(guó)密碼應(yīng)用、創(chuàng)新發(fā)展與安全保障現(xiàn)狀，從長(zhǎng)周期、大局觀視角觀察國(guó)際密碼法治演進(jìn)，支撐密碼管理部門(mén)謀劃推進(jìn)、調(diào)整優(yōu)化包括密碼法律制度結(jié)構(gòu)和規(guī)范體系。

四、展望

《條例》妥善處理與《密碼法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《出口管制法》《電子簽名法》《認(rèn)證認(rèn)可條例》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)的關(guān)系，體現(xiàn)了對(duì)其他網(wǎng)絡(luò)空間基本法律的銜接和支撐，使得網(wǎng)絡(luò)空間法律治理的體系更具包容和張力。復(fù)雜多變的外部環(huán)境、法治建設(shè)的內(nèi)在驅(qū)動(dòng)與未來(lái)技術(shù)的迭代升級(jí)相互交織背景下，《條例》的發(fā)布施行恰逢其時(shí)而又任重道遠(yuǎn)，既為中國(guó)網(wǎng)絡(luò)空間治理注入了新的法治工具，又需直面新時(shí)代新形勢(shì)帶來(lái)的挑戰(zhàn)。展望未來(lái)，從研究視角來(lái)說(shuō)，商用密碼管理相關(guān)法律法規(guī)協(xié)調(diào)性、面向數(shù)據(jù)安全和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的商用密碼應(yīng)用創(chuàng)新、商用密碼管理制度體系對(duì)抗量子密碼技術(shù)發(fā)展的適應(yīng)性分析、中國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)抗量子遷移規(guī)范等都是《條例》實(shí)施后十分有價(jià)值且亟待研究的方向。【本論文得到公安部第三研究所2023基科費(fèi)項(xiàng)目C23251支持】

（本文刊登于《中國(guó)信息安全》雜志2023年第7期）