2019.11.07 张岳 杨和
2019年10月26日,全国人大常委会通过了《中华人民共和国密码法》(简称“《密码法》”),该法将自2020年1月1日起施行。与现行密码监管法律法规相比,《密码法》在监管政策方面做出了重大的变革,在确保密码安全性的基础上对密码产品进行了分类监管,有效地促进了商用密码产品在商业活动中的使用和与国际接轨。
一、《密码法》主要规定
《密码法》全文共五章四十四条,对于密码的定义、密码工作原则、密码工作的领导管理、密码的分类监管、法律责任等方面进行了规定。主要内容如下:
1、密码的定义
《密码法》第二条对“密码”进行了定义:即采用“特定变换的方法”对信息等进行加密保护、安全认证的技术、产品和服务。
2、密码的监管
《密码法》将密码分为核心密码、普通密码和商用密码,并对以上密码实行分类管理:
(1) 核心密码和普通密码——严格监管
核心密码、普通密码用途为保护国家秘密信息,均属于国家秘密范畴,其中核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。根据《密码法》的规定,密码管理部门对核心密码、普通密码实行严格统一管理。
(2) 商用密码——鼓励发展
商用密码用途为保护不属于国家秘密的信息。根据《密码法》的规定,国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,鼓励和促进商用密码产业发展。除对涉及网络安全的商用密码进行认证、评估或审查,以及对涉及国家安全、社会公共利益或国际义务的商用密码产品进行进出口许可/管制外,对一般的商用密码不采取许可或批准方式监管,只要求商用密码从业单位相关活动符合有关法律、行政法规、商用密码强制性国家标准以及该单位公开标准的技术要求。
3、与《网络安全法》的协调
《密码法》中进一步明确了商用密码与《网络安全法》项下对于网络关键设备和网络安全专用产品以及关键信息基础设施的运营者相关要求等交叉部分的适用衔接问题:
(1) 涉及国家安全、国计民生、社会公共利益的商用密码产品,将列入《网络安全法》项下所规定的网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。
(2) 关键信息基础设施运营者应依法使用商用密码进行保护,并自行或委托检测机构进行安全性评估,安全性评估与《网络安全法》所规定的关键信息基础设施安全检测评估及网络安全等级测评制度相衔接,避免重复评估、测评。
(3) 关键信息基础设施的运营者采购涉及商用密码的网络产品和服务、可能影响国家安全的,应当按照《网络安全法》的规定,通过国家网信部门会同国家密码主管部门等有关部门组织的国家安全审查。
二、简评
在《密码法》出台前,密码产品主要依据国务院的行政法规和部门规章监管,缺乏基本法律规范。《密码法》的出台,填补了法律层面长期的空白,其所确定的相关原则,对于商业领域中商用密码产品的发展和应用具有较大积极意义:
1、放宽对一般性商用密码产品的限制
《密码法》出台前,我国依据1999年发布的《商用密码管理条例》及国家密码局后续出台的系列管理规定(以下统称“原有规定”)对商用密码进行监管。在原有规定下,任何商用密码产品均需获得密码主管部门的批准方可销售和使用。另外,企业原则上不得使用和销售境外生产的密码产品。作为例外情况,境外组织、个人和外商投资企业可在一定范围内使用境外生产的商用密码产品,但也需办理进口许可。
《密码法》的出台大幅放宽了对一般性商用密码产品、特别是境外生产的商用密码产品的限制。实践中,我们的很多客户并非专门生产、销售密码产品的企业,而仅在本企业所生产、销售的产品(例如汽车、家用电器等)中或经营活动中为安全目的使用了境外的密码产品或技术。原有规定禁止该等密码产品或技术的使用和销售(包括对包含该等产品或技术的非密码产品的销售)。在《密码法》正式生效后,除特殊情况外,大部分此类密码产品或技术的使用和销售将无需取得许可或批准,也不再受到限制,避免了相关的合规性问题。
2、明确对外资的非歧视政策
除放宽一般性商用密码产品的限制外,《密码法》还进一步明确了针对外资的非歧视原则。这意味着外商投资企业所研发、使用、销售、进出口的商用密码产品或技术,在监管上将与境内的商用密码产品或技术同等对待,不再设置额外的限制。实践中,我们的一些外商投资企业客户,在国有企事业单位的采购招投标过程中有时会面临一些实际的障碍。在《密码法》正式生效后,上述情况预计将有所改善。
同时,基于非歧视原则,《密码法》还明确规定,行政机关不得利用行政手段强制转让商用密码技术,这也在一定程度上消除了此前一些外商投资企业关于是否必须向中国政府部门披露在中国境内所使用的自有密码技术的顾虑。
3、与其他法规的衔接
《密码法》反复强调了在产品以及安全性审查方面应避免重复的认证、评估、测评,有效地将密码领域的监管与其他现有法律法规项下对于特定产品的监管进行了衔接,在为企业明确了合规方式的同时,也一定程度上降低了相关政府部门程序的成本或负担。
三、未来的落实
我们也注意到,《密码法》中确定的原则,仍有待于密码主管部门后续制定相应规则或修订现有规则进行落实。随着新的密码监管规则的建立,境外商用密码产品的监管力度如何、各机构对于含有密码技术的同一产品的监管具体如何衔接等问题的答案将逐渐明朗,我们也将持续关注。