《商用密码管理条例》与商用密码合规指南

来源:iLaw合规

文章摘要
作为《密码法》的补充完善,推动商用密码合规应用,2023年7月1日,《商用密码管理条例》正式生效,该条例从商用密码技术创新与标准化,检测认证与电子认证,进出口与应用促进等几方面对于商用密码进行了规定。

作为《密码法》的补充完善,推动商用密码合规应用,2023年7月1日,《商用密码管理条例》正式生效,该条例从商用密码技术创新与标准化,检测认证与电子认证,进出口与应用促进等几方面对于商用密码进行了规定。该条例是近几年来商用密码领域发展,社会对于商业秘密保护等的技术要求不断增强,国家对于商用密码监管进一步“放管服”的背景下制定的。
在本条例中,商用密码被定义为:采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。目前,市场上通行的商用密码产品有:密码软件类、密码芯片类、密码模块类、密码板卡类、密码整机类及密码系统类。商用密码技术是企业保障数据安全的不可或缺的利器,譬如个人信息的“可用不可见”,其技术实现就可由商用密码技术来完成。
一、合规的商用密码技术的意义
01合规的商用密码与企业商业秘密的保护
《反不正当竞争法》第九条,商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息和经营信息等商业信息。显而易见,商用密码技术的对于商业数据的加密与电子认证等措施,可视为《反不正当竞争法》中的“采取相应保密措施”。鉴于目前的司法实践中,传统的诉讼手段对于企业商业秘密的认定具有一定难度,但商业秘密侵权对于企业的损失难以估量,所以,内嵌合规的商用密码技术的商业数据治理体系,对于企业对于商业秘密的保护不论是“事前预防”还是“事后补救”,均具有正向的意义。
例如近日,北京国家金融科技认证中心首次发布了《金融业商业秘密保护管理规范》,该规范推出了金融企业商业秘密保护评估业务,同时,规定了对于涉及金融企业的商业秘密“应采用数字加密技术,对含有商业秘密的电子信息在存储、流转过程中,应利用密码学的方法对商业秘密进行加密”。[ 摘自东方财富网《金融机构商业保密工作迎全面规范》]合规的商用密码技术对于企业商业秘密保护的意义可见一斑。
02合规的商用密码技术的其他意义
合规的商用密码技术的普及从微观来说,除了有利于企业的商业秘密保护,还有利于企业建设保障个人信息、数据安全与网络安全的数据合规体系,完善企业数据治理体系,在保障安全的同时提高数据运营水平。从宏观来说,有利于促进国家重点领域和关键基础设施的安全防护;同时,商用密码的进出口有利于国家对外开放水平的提升。
二、《商用密码管理条例》监管要求与商用密码合规
《商用密码管理条例》作为《密码法》的下位法,补充完善了我国在商用密码领域的监管空白。
在国内监管方面,本条例鼓励企业自愿接受商用密码检测认证,也规定了商用密码检测机构与电子认证的资质认定,即由拥有该资质的法人就可进行商用密码检测认证或电子认证,同时,对于电子政务电子认证服务进行了特别规定。需要注意的是,本条例第二十条:“涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的商用密码检测、认证机构检测认证合格后,方可销售或者提供”,要求列入网络关键设备和网络安全专用产品的密码产品需强制性经检测和认证合格,后方可上市。第三十八条、第四十条与第四十一条的相关规定,根据《网络安全法》第三十一条:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”,本条例可解读为对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,即对于等级保护第三级及以上和涉及关键信息基础设施的运营行业,信息传输均需通过商用密码技术和服务保护,并且还需强制性通过商用密码每年至少一次的应用安全性评估。
在商用密码进出口方面,本条例规定了基于“进口商用密码进口许可清单或者出口管制清单”的商用密码进出口管理制度,这对于以前的商用密码进出口行政审批管理制度,更加符合“放管服”的总体监管思路。
企业对于商用密码的合理使用,应当做到“外规内化”,切实落实《商用密码管理条例》的相关要求。
三、商用密码合规企业应用场景
目前,商用密码技术和服务与行业场景特点融合应用,集中于金融、政务、通信、电力、交通、税务、医疗、电子商务等行业。
参照国家标准GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》,企业可对使用的商用密码技术、产品、服务与体系进行自行评估。企业应从数据系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面保障商用密码应用技术合规性要求。具体来说可以列为以下几点:
01制度建设
企业需要建立“商用密码应用安全管理制度”,根据《基本要求》,需要从制度建设、人员管理、建设运行与应急处置来规范商用密码制度。
举例说明,在《基本要求》里,对于信息系统密码应用安全要求的最低等级,制度建设方面对于企业的基本要求有:
在管理制度方面,企业商用密码应用管理制度需包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度,还需着重建设落实密钥管理规则。在人员管理方面,相关人员需了解并遵守密码相关法律法规、密码应用安全管理制度,且应及时终止离岗人员的所有密码应用的访问权限、操作权限。在建设运行方面,企业需依据密码相关标准和密码应用需求,制定密码应用方案,还应根据密码应用方案,确定系统涉及的密钥种类、体系及生存周期环节,各环节的密钥管理规则,企业应当按照应用方案进行商用密码实施建设,并可进行商用密码应用安全性评估。在应急处置方面,企业可根据密码产品提供的安全策略,自主处置密码应用安全事件。[ 摘自GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》]
因《基本要求》对于密码应用的等级分类参照《网络安全法》等级保护制度,所以,对于涉及国家重点领域和关键基础设施的,或对于商用密码应用具有更高需求的企业,关于商用密码管理制度合规性要求,对标以上管理制度的标准只会只增不减。
02合规的商用密码技术的其他意义
参照《基本要求》,企业可从密码支撑层、密码服务层与业务应用层进行合规性评估。在密码支撑层,需要重视物理和环境支撑:包括服务器密码机、机房电子门禁和机房视频监控系统等设备符合《基本要求》的等级要求;网络和通讯安全支撑:包括业务域和管理域、包含移动平台客户端、签名验签服务器、服务器密码机等设备符合《基本要求》的等级要求;设备和计算安全支撑:包括日志完整性服务器密码机、身份鉴别平台服务器密码机、时间戳系统服务器等设备符合《基本要求》的等级要求;应用和数据安全支撑:包括业务系统身份认证、CA/RA(数字证书认证系统)、签名验签服务器、密钥管理系统、服务器密码机、数据库加密机、存储加密机、时间戳服务器等设备符合《基本要求》的等级要求;用户端支撑:包括安全浏览器、移动安全APP、协同签名手机盾、USBKey及中间件、软件密码模块等符合《基本要求》的等级要求。具体来说,就是检测机构通过技术手段检测上述设备是否能够保障信息的机密性、完整性、真实性与不可否认性。
此外,企业需使用经过具备资格的机构认证合格的商用密码产品;使用合规的商密算法,包括SM1、2、3、4、7、9、ZUC等;使用合规的密码协议等。
03与原数据体系的融合
商用密码是数字经济安全的基础,是企业数据合规体系的组成部分。商用密码从实现网络空间防泄密、内容防篡改、身份防假冒、行为抗抵赖等功能角度满足企业网络信息系统对保密性、完整性、不可否认性的需求。其可在数据管理体系上构建密码管理体系和完成技术升级。

技术驱动法律,专业成就未来