《密码法》的“放管”之道

来源:中伦律师事务所

文章摘要
2019年10月26日,第十三届全国人民代表大会常务委员会第十四次会议审议通过并公布了《中华人民共和国密码法》(以下简称“《密码法》”),该法将于2020年1月1日起施行。

2019年10月26日,第十三届全国人民代表大会常务委员会第十四次会议审议通过并公布了《中华人民共和国密码法》(以下简称“《密码法》”),该法将于2020年1月1日起施行。
在此之前,密码管理领域位阶较高的法律渊源可以追溯至国务院于1999年10月发布的《商用密码管理条例》(以下简称“《条例》”)。此后,国家密码管理局和全国人大常委会分别于2017年4月和2019年7月5日发布了《中华人民共和国密码法(草案征求意见稿)》《中华人民共和国密码法(草案)》(以下简称“《密码法(草案)》“) 。基于《密码法(草案)》基础上完善并颁布的《密码法》,填补了我国密码领域长期存在的法律空白,是迄今我国在密码管理领域的第一部综合性法律。
以下我们将以条文对比的形式为切入点,剖析从《条例》、《密码法(草案)》到《密码法》在内容上的主要变化以及与既有相关法律法规的衔接,以期较全面地展现我国密码制度的演进及其透露出的“放管“之道。
适用对象 | 看点1:从“商用密码”到“密码”;从“技术和产品”到“技术、产品和服务”

《条例》由于受时代背景的限制,监管范围主要为密码产品。随着信息技术的发展以及日趋明显的行业分工,多种多样的密码技术、密码产品和密码服务层出不穷,《密码法》适用和监管的对象从“商用密码”到“密码”,且不再仅仅局限于密码产品和密码技术,而延伸至密码服务。
需要指出的是,《密码法》中的密码与我们日常生活中所提及的“密码”并不完全等同,生活中经常接触到的“密码”只是进入个人设备或软件的口令或“通行证”,是一种初级的身份认证手段。而《密码法》中的密码的功能体现在对信息的“加密保护”和“安全认证”,且系通过采用特定变换的方法来实现。
密码的分类 | 看点2:密码分类及用途

在信息化和数字化高速发展的今天,密码的应用已经渗透到国民经济和社会生活的方方面面,甚至日益成为维护国家网络空间主权、安全和发展利益的保障和战略性资源。由于不同密码所保护的对象不同,为充分发挥不同密码在保护网络和信息安全中的核心支撑作用,《密码法》中对密码实行分类管理,明确了密码的分类层级,按照要保护信息的密级重要性排列依次为:核心密码、普通密码和商用密码,并对各自的管理和使用分别进行专章规定,使得立法体例和法律适用更加清晰科学。
尽管商用密码在《条例》中被认定为国家秘密,但《密码法》明确规定,核心密码、普通密码属于国家秘密,商用密码用于保护不属于国家秘密的信息,不属于国家秘密。
核心密码保护信息的最高密级为绝密级,因此核心密码可以用于保护国家绝密级、机密级、秘密级信息;普通密码保护信息的最高密级为机密级,因此普通密码可以用于保护机密级、秘密级信息;商用密码用于保护不属于国家密码的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
密码活动的监管 | 看点3:《密码法》的“放”与“管”
1)《密码法》之“放":

为了加强商用密码管理,保护信息安全,《条例》对商用密码的科研、生产、销售、使用、安全和保密管理进行了全方位的严格管理。然而,《条例》及其配套规定对密码产品各环节的严格审批要求已经不能适应密码技术和应用的需要,为了贯彻落实“放管服”的改革要求,在《密码法》颁布之前,我国已逐步放宽了商用密码的市场准入,削减密码管理领域的行政许可数量。具体表现为:
2017年9月29日,国务院发布《关于取消一批行政许可事项的决定》(国发〔2017〕46 号),取消了国家密码管理局负责实施的商用密码产品生产单位审批、商用密码产品销售单位许可、外商投资企业使用境外密码产品审批、境外组织和个人在华使用密码产品或者含有密码技术的设备审批4项行政许可事项。
2017年12月1日,国家密码管理局发布《关于废止和修改部分管理规定的决定》(“第32号公告”),对《商用密码产品销售管理规定》《商用密码产品使用管理规定》《境外组织和个人在华使用密码产品管理办法》三部管理规定予以废止,对《商用密码科研管理规定》《商用密码产品生产管理规定》《电子认证服务密码管理办法》三部管理规定的部分条款予以修订。
《密码法》的发布标志着从立法层面正式取消了国家密码管理局负责实施的商用密码产品生产单位审批、商用密码产品销售单位许可、外商投资企业使用境外密码产品审批、境外组织和个人在华使用密码产品或者含有密码技术的设备审批。
然而,应当注意到,取消上述行政审批并不意味着国家对于密码应用的完全放开,而是释放出监管重点正在从“管企业”向“管产品”转变的信号:
根据国家密码管理局于2017年10月11日发布的《关于做好商用密码产品生产单位审批等4项行政许可取消后相关管理政策衔接工作的通知》(国密局字〔2017〕336号,“336号通知”),生产、销售的商用密码产品仍应当依法办理《商用密码产品型号证书》,并且对商用密码产品销售企业继续实施商用密码产品销售登记备案制度。商用密码产品型号证书制度在《密码法》生效后是否会保留并继续实行,还具有一定的不确定性,仍有待法律实施中进行观察。
此外,外商投资企业、境外组织和个人使用的密码产品或者含有密码技术的设备需要从境外进口的,仍应当依法办理《密码产品和含有密码技术的设备进口许可证》[1],且进口商应当在进口密码产品时披露进口密码产品的最终用户和最终用途[2]
2)《密码法》之“管”:
不难看出,上述商用密码监管实践体现了监管部门对于密码的管理方式从重事前审批转化为侧重于事中事后监管,与此同时监管部门还通过如下制度设计实现多维度的“管”,体现了不偏废“放”或“管” 的监管态度,确保“放“与”管“两个轮子一起转。
◾ 进出口管制清单制度

根据国际通行做法,商务部和国家密码管理局对于商用密码进出口实行清单管理制度,即对涉及国家安全、社会公共利益且具有加密保护功能的商用密码等实施进口许可、出口管制清单制度,此举对于防止利用商用密码从事违法犯罪活动具有重要意义。
◾ 商用密码产品和服务的检测、认证制度

根据《密码法》的规定,用于网络关键设备和网络安全专用产品的商用密码服务实行强制检测、认证制度;其他商用密码从业单位实行自愿检测、认证制度。商用密码产品检测认证适用《中华人民共和国网络安全法》(以下简称“《网络安全法》”)的有关规定,体现了与《网络安全法》的衔接和协调。
由于仅对涉及国家安全、国际民生、社会公共利益的商用密码产品以及使用网络关键设备和网络安全专用产品的商用密码服务实行强制检测、认证制度,且实践当中主管部门会通过发布并适时更新《网络关键设备和网络安全专用产品目录》来界定管理范围,因此既可以较好地实现标准化和检测、认证的支撑作用,也可以一定程度上平衡密码产业发展。
◾关键信息基础设施运营者的商用密码应用安全性评估和国家安全审查

《密码法》对涉及国家安全、国计民生、社会公共利益,列入网络关键设备和网络安全专用产品目录的产品以及关键信息基础设施运营者(以下称“CIIO“)采购产品和服务,规定了相应的管制措施,体现了职能转变和“放管服”要求与保障国家安全的平衡。从相关《密码法》的条文中不难看出其与《网络安全法》《关键信息基础设施安全保护条例(征求意见稿)》及《网络安全审查办法(征求意见稿》等配套法规均有衔接。除此之外,《密码法》还与《网络安全等级保护条例(征求意见稿)》的相关规定呼应,例如,第三级以上网络应当采用国家密码管理部门认可的密码技术、产品和服务,必须委托密码应用安全性测评机构开展密码应用安全性评估,且应将评估结果报相关主管部门备案。
外资利好 | 看点4:外资的市场参与平等地位的确立

《条例》于1999年颁布以来,国家密码管理机构曾经限制外资企业获得商用密码产品生产资格和商用密码产品销售资格,所以至今只有极少数的外资企业获得了相应证书。此次《密码法》的颁布,明确规定了对于从事商用密码研究、生产、销售、服务、进出口的外商投资企业应当依法平等对待。自2017年国家密码管理局取消大部分行政审批至《密码法》对相关市场的进一步放开,外商投资企业在国内已经获取与中资企业一样的待遇,意味着:
外资企业可以在中国生产、销售、使用境内商用密码产品,前提是已经就该密码产品取得有效的《商用密码产品型号证书》[3]。
外资企业可以通过规定的流程就符合条件的密码产品申请《商用密码产品型号证书》。
对于进口境外密码产品以及含有密码技术的设备,仍然需要取得《密码产品和含有密码技术的设备进口许可证》。
此外,作为对外国投资者就强制技术转让问题的担忧的回应,《密码法》专门规定禁止强制商用密码技术转让,该规定是今年3月较早发布的《中华人民共和国外商投资法》中禁止强制技术转让规定在密码管理领域的体现,有利于保护外国投资者的权益以及激发外商投资企业的投资热情。
总体而言,《密码法》的颁布有利于外资企业公平地进入市场竞争,外国投资者可以充分利用此番红利,找到自身的价值定位,与中国企业积极开展商用密码技术合作,共同开拓相关市场。
结语
《密码法》作为密码管理领域的首部基础性法律,其出台可以有效提升密码管理的科学性和规范化,也将有力地促进密码技术进步、产业发展和规范应用,可以预计密码产业的蓬勃发展将给企业带来新的发展机遇。

技术驱动法律,专业成就未来