为贯彻落实《中华人民共和国密码法》(以下简称“《密码法》”),建立完善商用密码产品认证体系,根据《国家密码管理局 市场监管总局关于调整商用密码产品管理方式的公告》(国家密码管理局 市场监管总局公告第39号,以下称“39号公告”)、《市场监管总局 国家密码管理局关于开展商用密码检测认证工作的实施意见》(国市监认证〔2020〕50号,以下称“50号文”),市场监管总局,国家密码管理局于2020年5月11日发布第23号公告,对《商用密码产品认证目录(第一批)》(以下简称“认证目录”)《商用密码产品认证规则》(以下简称“认证规则”)予以发布。
一、认证目录和认证规则发布的背景
根据39号公告,我国取消“商用密码产品品种和型号审批”,并建立国家统一推行的商用密码认证制度。为推进商用密码检测认证体系建设,促进商用密码产业健康有序发展,市场监管总局和国家密码管理局于2020年3月31日发布了50号文,就商用密码检测认证工作的工作原则与机制、认证实施的总体要求、监督管理予以规定。此次认证目录和认证规则的出台是50号文中规定的商用密码检测认证工作机制初步落地的体现。
二、认证目录的内容
在认证目录颁布之前,密码管理局已经对密码产品的类型进行过梳理。例如,根据国家密码管理局于2017年12发布的《关于密码模块若干问题的说明》(以下简称“说明”),密码产品既包含GM/T 0028-2014《密码模块安全技术要求》定义的密码模块,还包含安全芯片及密码服务系统(如CA系统、电子签章系统、动态口令认证系统)等。该说明中对典型密码产品(包括可信计算密码支撑平台、智能密码钥匙、金融数据密码机、智能IC卡等)及其适用标准进行了介绍。认证目录在密码管理局过往文件和通知的基础上,对商用密码产品的种类、认证依据做了部分调整,细化了认证依据,并且增加了产品描述,更有利于对于商用密码产品类型的界定。
值得提示的是,认证目录属于企业自愿向具备资质的商用密码认证机构提交认证申请的范围。因此,商用密码从业单位可以依照认证目录对可能落入商用密码产品范围的产品进行梳理,如属于目录中列出的类别,可以自愿提交认证申请。但是,对于涉及国家安全、国计民生、社会公共利益的商用密码产品,国家会将其列入网络关键设备和网络安全专用产品目录,对于该类商用密码产品,实行的则是强制检测、认证,应由具备资格的机构检测认证合格后,方可销售或提供。
此外,根据《密码法》第26条规定,商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。因此,笔者理解商用密码的检测认证制度体系下还应当包括对于商用密码服务的认证,但目前的认证目录和认证规则对商用密码服务的检测和认证要求并未涉及。
三、认证规则的内容
认证规则从商用密码产品认证的适用范围、认证模式、认证单元划分、认证实施程序、认证证书、认证标志、认证实施细则和认证责任八个方面对商用密码产品的认证工作作出规定。
1、 认证模式
商用密码产品的认证模式为:型式试验+初始工厂检查+获证后监督。认证机构可对获证产品生产企业的扩项产品认证委托,减免初始工厂检查环节。
2、 认证单元划分
原则上应按产品型号的不同划分认证单元。同一认证单元内有多个版本的产品时,认证委托人应提交不同版本间的差异说明,必要时还应进行补充差异试验。
3、 认证实施程序
在认证实施的整个流程中,认证委托机构、认证委托人、检测机构应分别承担如下具体职责或义务:
认证委托机构:
1) 认证委托:应明确认证委托资料要求,包括产品技术文档,生产能力、质量保障能力、安全保障能力说明等。
2) 型式实验:应根据认证委托资料制定型式试验方案,包括型式试验的样品要求和数量、检测标准项目、检测机构信息等,并通知认证委托人。
3) 初始工厂检查:应根据产品认证通用要求,结合GM/T 0065《商用密码产品生产和保障能力建设规范》、GM/T 0066《商用密码产品生产和保障能力建设实施指南》等标准对认证委托产品的生产企业实施初始工厂检查,检查内容包括其生产能力、质量保障能力、安全保障能力和产品一致性控制能力等。
4) 认证评价与决定:对型式试验、初始工厂检查结论和相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书并允许使用认证标志;对暂不符合认证要求的,可要求认证委托人限期整改,整改后仍不符合的则书面通知认证委托人终止认证。
5) 获证后监督:应对认证有效期内的获证产品和生产企业进行持续监督。监督方式包括工厂检查和抽样检测,可根据综合评价做出暂停或者撤销认证证书等处理。
6) 认证时限:应对认证各环节的时限做出明确规定,并确保相关工作按时限要求完成。
认证委托人:
1) 认证委托:应按照认证机构要求提交认证委托资料。
2) 型式实验:应按型式试验方案提供样品至检测机构,并保证样品与实际生产产品一致。
3) 认证时限:须对认证活动予以积极配合。
检测机构:
应对型式试验全过程作出完整记录,并妥善管理、保存、保密相关资料,确保在认证有效期内检测结果可追溯。型式试验结束后,及时向认证机构和认证委托人出具型式试验报告。
4、认证证书及其他
认证规则对认证证书的有效期,换发新证,认证证书覆盖产品等情况发生变更时的变更委托,认证证书覆盖产品范围需要增加时的扩展委托,认证证书的暂停、注销和撤销,认证证书的使用方式和限制等证书管理相关内容及认证标志的管理、认证责任等内容亦作出了相应规定。
结语
商用密码产品认证机构、检测机构名录并未同认证目录和认证规则一并公布,我们预计该等机构的具体名录可能会在后续陆续公布。该等名录的范围是否会与国家认监委、工业和信息化部、公安部、国家互联网信息办公室发布的《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》中的检测机构存在一定重合也有待观察。
根据认证规则的要求,商用密码认证机构也将会依据该规则的原则和要求,细化认证实施程序,制定可操作的认证实施细则,并对外公布实施。我们会持续关注包括商用密码产品认证在内的《密码法》相关的立法和执法实践,以期为企业合规管理工作提供有益帮助。
市场监管总局 国家密码管理局关于发布《商用密码产品认证目录(第一批)》《商用密码产品认证规则》的公告
作者:陈际红 陈瑊来源:中伦律师事务所

为贯彻落实《中华人民共和国密码法》(以下简称“《密码法》”),建立完善商用密码产品认证体系,根据《国家密码管理局 市场监管总局关于调整商用密码产品管理方式的公告》(国家密码管理局 市场监管总局公告第3