2019年10月26日,第十三届全国人民代表大会常务委员会第十四次会议表决通过《中华人民共和国密码法》(“《密码法》”),自2020年1月1日起施行。在此之前,我国密码领域面向社会公众的立法主要是《商用密码管理条例》及国家密码管理局(“国密局”)颁布的部门规章。作为我国密码领域的第一部法律,《密码法》的出台填补了我国在此领域长期存在的法律空白,也勾勒出我国密码法律制度的顶层设计和整体规划。

密码是保障网络与信息安全的核心技术和基础支撑,直接关系国家的核心利益。《密码法》与网络安全领域现有法律法规的衔接以及后续密码领域相关配套法规制度的修改和制定也颇为引人关注。国密局负责人在答记者问时指出,《密码法》在商用密码管理方面的立法思路上将主要坚持三个中心思想:第一、进一步削减行政许可数量,放宽市场准入,以更好地激发市场活力和社会创造力;第二、从全环节严格管理调整为重点把控产品销售、服务提供、使用、进出口等关键环节,管理方式上由重事前审批更多地转为事中事后监管,重视发挥标准化和检测认证的支撑作用;第三、对于关系国家安全和社会公共利益的少数事项采取必要的行政许可和管制措施。

本文将以问答的形式,主要从商用密码的角度出发,着重关注在《密码法》施行后,对于企业日常生产、销售、进出口商用密码产品可能带来的影响。

1. 目前我国在密码领域的整体立法和监管体系?

在《密码法》施行之前,我国对于密码领域的相关立法主要为1999年国务院颁布施行的《商用密码管理条例》,商用密码的名称从那时开始为人所知并广泛使用。在此之后,国密局又颁布了有关商用密码相关的若干部门规章,以实现对商用密码产品的科研、生产、销售、使用及进出口等的管控。《密码法》的出台并未直接取代《商用密码管理条例》等行政法规,但在监管思路有较大转变,从对商用密码产品的全环节严格管理调整为重点把控产品销售/服务提供、以及进出口等关键环节,管理方式上由重事前审批更多地转为事中和事后监管,并且强调了推进商用密码标准化和检测认证体系的建设。这势必会推进后续对于包括《商用密码管理条例》在内配套法规制度的制定修订工作,以确保符合《密码法》确定的立法原则和基本制度,并与其相互衔接。

《密码法》明确了密码工作管理体制,包括两个方面的内容:一是国家、省、市、县四级分级负责的密码工作管理体制,二是国家机关和涉及密码工作的单位的密码工作职责。其中,国密局的主要职责包括起草密码工作法规并负责密码法规的解释,组织拟订密码相关标准,管理密码科研、生产、销售、检测认证及使用,查处密码泄密事件和违法违规行为等;而省、市、县则分级负责当地的密码产品的咨询和管理,以及会同当地执法部门负责事中和事后监督执法工作。根据以往实践,由于许多地方目前并不设有市或县一级密码管理局,所以《密码法》出台前对于商用密码产品相关的审批认证,程序上更多的是由省一级密码管理局汇总相关资料和进行形式上的初步审查,待初审通过后将资料汇总到国密局再做进一步的实质性审查。

2. 怎样理解《密码法》下的“密码”及密码的分级管理?

《密码法》下的密码(cryptography),是密码学的概念,指采用特定变换的方法对信息等进行加密保护和安全认证的技术、产品和服务。由此可见,密码的主要功能有两个,一个是加密保护,另一个是安全认证。加密保护是指采用特定变换的方法,将原来可读的信息变成不能直接识别的符号序列;而安全认证是指采用特定变换的方法,确认信息是否完整、是否被篡改、是否可靠以及行为是否真实。

需要特别指出的是,人们日常接触的计算机或手机开机“密码”、网站和应用程序的登录密码、银行卡支付“密码”等,实际上是口令(password)。口令是进入个人计算机、手机、电子邮箱或银行账户的“通行证”,是一种简单、初级的身份认证手段,“口令”不在《密码法》的管理范围之内。

在商用密码的层级之上,《密码法》明确将密码分为核心密码、普通密码和商用密码,实行分类管理。其中,核心密码、普通密码主要规范党政机关内部管理的事项,而商用密码则是普通企业和一般民众日常用来保护网络与信息安全的工具。

《密码法》对于密码的分级管理与我国《保守国家秘密法》的对于国家秘密的分类相挂钩。根据《保守国家秘密法》,国家秘密的密级分为绝密、机密、秘密三级。《密码法》规定,核心密码、普通密码本身即为国家秘密。核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息,商用密码用于保护不属于国家秘密的信息。

3. 如何判定企业日常生产运营或产品中使用或涉及的一些加解密技术是否构成商用密码产品?

在商用密码领域,我国法律法规主要是对密码产品以及含有密码技术的设备进行管制。因此,界定一个涉及加解密技术的产品或设备是否构成所谓的“商用密码产品”或“含有密码技术的设备”就变得尤为重要。

如前所述,由于新出台的《密码法》本身并未对“商用密码”或“商用密码产品”的定义和范围进行直接调整,目前对商用密码产品的界定仍应结合《商用密码管理条例》的规定,可从以下四个方面来理解和操作:

第一,从概念上来说,商用密码技术,是指能够实现商用密码算法的加密、解密和认证等功能的技术,包括密码算法编程技术和密码算法芯片、加密卡等的实现技术。而商用密码产品,是指采用商用密码技术实现加密、解密或安全认证操作等功能的专用硬件、软件和服务。《商用密码管理条例》中所定义的“商用密码产品”并不包括服务,《密码法》通过对密码的定义,间接地将“服务”纳入商用密码产品的范围,这也顺应了实践中通过网络提供加密和安全认证服务的趋势。

第二,我国密码法保护的“密码产品及含有密码技术的设备”仅限于以加密解密操作作为核心功能的专用硬件、软件,其他如手机、Windows软件、浏览器软件等软件都不在这个范围内。

第三,“商用密码产品及含有密码技术的设备”是用于“不涉及国家秘密内容的信息”的领域。商用密码涉及的范围很广,不涉及国家秘密内容的信息,又需要用密码加以保护的,均可使用商用密码。应当注意的是,虽然商用密码本身不属于国家秘密,但《商用密码管理条例》中明确规定密码技术属于国家秘密。

第四,除了上述对“商用密码产品及含有密码技术的设备”范围的进一步解释以外,实践中,商用密码产品都会有一般的分类和相应的标准,因此可以依据分类和标准来判断相关产品是否为密码产品。如果遇到涉及比较复杂密码技术或比较不常见的密码产品,也可与密码管理部门进行沟通咨询,甚至将相关材料交由省级密码部门进行初步审查,以确定涉及加解密技术的产品是否构成商用密码产品。

4. 商用密码产品一般涉及哪些分类?不同类别分别有哪些具体产品?

熟悉商用密码产品的分类有利于更好的判定特定涉及商用密码技术的产品是否受限于《密码法》的管控。

根据国密局过往规章以及政策文件和通知的梳理,商用密码产品按形态可分为软件、芯片、模块、板卡、整机、系统六类;而根据其使用功能不同,又分为密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类和综合类七大类别。典型的商用密码产品包括:密码机,如链路密码机、网络密码机、服务器密码机、传真密码机、电话密码机等;密码芯片和模块,如第二代居民身份证、智能电卡、社会保障卡、金融芯片卡中使用的密码芯片、可信计算密码模块等。

从产品类别上,国密局在日常管理过程中,把商用密码产品分为以下20个主要类别:软件密码模块、安全芯片、智能密码钥匙、智能IC卡、PCI-E密码卡/PCI密码卡、IPSec VPN安全网关 /IPSec VPN、SSL VPN安全网关/SSL VPN、IPSec/SSL VPN综合安全 网关/安全认证网关、密码键盘、POS密码应用系统/ATM 密码应用系统/多功能密码应用互联网终端、金融数据密码机、服务器密码机、签名验签服务器、时间戳服务器、电子标签芯片、门禁卡/安全门禁系统、动态令牌/动态令牌认证 系统、数字证书认证系统、证书认证密钥管理系统、安全电子签章系统和电子文件密码应用系统。

5. 《密码法》对于商用密码产品的生产商和密码服务的提供商是否存在审批要求?

在《密码法》施行以前,根据《商用密码管理条例》,密码产品的生产、销售和提供需经过国密局指定部门进行检测,在检测通过后统一颁发“商用密码产品型号证书”。《密码法》取消了商用密码产品品种和型号审批制度,而是将商用密码产品生产和销售管理方式由行政审批调整为检测认证,且采用强制认证与自愿认证相结合的制度。

就具体的“强制认证与自愿认证相结合”的管控而言,《密码法》仅对密码产品或服务中的两类特定情况提出强制性认证要求,范围相对较为明确:

  • 对于商用密码的生产商而言,列入网络关键设备和网络安全专用产品目录的商用密码产品的销售或提供需要经过强制性认证。根据《密码法》规定,涉及国家安全、国计民生、社会公共利益的商用密码产品的,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。
  • 对于商用密码服务提供商而言,如其服务中涉及使用网络关键设备和网络安全专用产品,需要经过强制性认证。根据《密码法》规定,如果商用密码服务使用网络关键设备和网络安全专用产品,无论是商用密码产品和非商用密码产品,均应当经商用密码认证机构对该商用密码服务认证合格。对于商用密码服务的范围,国密局在其官方网站的政策问答中给出了比较宽的解释,将其定义为“为他人提供集成、运营、监理等密码支持和保障的活动”。典型的商用密码服务包括密码保障系统集成服务(如数字证书认证系统集成),是指为他人集成建设实现密码功能的系统,保护他人网络与信息系统的安全;密码保障系统运营服务(如增值税发票防伪税控系统运营),是指为保证他人实现密码功能系统的正常运行提供安全管理和维护。

对于以上两类情况中提到的网络关键设备和网络安全专用产品,我国采用清单制管理,与《网络安全法》下存在的安全认证或安全检测的要求相呼应。2017年国家网络信息办公室、工业和信息化部、公安部和国家认监委联合发布了第一批《网络关键设备和网络安全专用产品目录》,规定路由器、交换机等4类网络关键设备,以及数据备份一体机、防火墙(硬件)等11类网络安全专用产品属于网络关键设备和网络安全专用产品的范围,并列出了设备和产品的部分技术指标参数。我们相信,随着《密码法》的出台,后续很快就会有一批涉及密码技术的产品和设备被列入后续发布的《网络关键设备和网络安全专用产品目录》中,商用密码产品的生产商和密码服务的提供商可根据新出台的目录来识别自身提供的产品/服务是否需要经过强制性认证。

对于商用密码产品的生产商和密码服务的提供商而言,除了上述强制性认证要求外,《密码法》不要求经过检测认证即可生产、销售商用密码产品或提供商用密码服务,但国家鼓励商用密码从业单位自愿接受商用密码检测认证,商用密码产品厂商可以按自己的意愿或者为满足具体用户的需求,自愿送检产品。考虑到在市场销售时,大部分国内的企事业单位可能会更倾向于购买有检测认证资格的产品,因此在常规情况下,密码产品的生产商和密码服务的提供商依旧可能在没有法律强制要求的前提下选择对相关产品进行送检。

6. 商用密码产品的检测认证具体应该如何开展?

在《密码法》出台之前为颁发商用密码产品型号证书所开展的商用密码产品检测过程中,国密局会全面实施申报商用密码产品品种和型号标准合规性检测工作,包括对该产品满足的技术规范进行合规性检测,以及对该产品申报的安全芯片安全等级或密码模块安全等级进行符合性检测。经国密局认证的检测机构主要有国密局商用密码检测中心、鼎铉商用密码测评技术(深圳)有限公司和智巡密码(上海)检测技术有限公司三家。

随着《密码法》的实施,对商用密码产品的品种和型号审批要求改为检测认证要求,并将检测认证机构纳入《认证认可条例》规定的监管体系。国家市场监督管理局和国密局正在制定国推商用密码认证的产品目录、认证规则和有关实施要求。待认证规则发布并实施之日起,商用密码从业单位便可自愿向具备资质的商用密码认证机构提交认证申请。有关认证的适用范围、申请受理、基本流程、证书管理等内容将在认证规则中予以明确。目前,国家市场监管总局已于2020年2月20日公开了《关于开展商用密码检测认证工作的实施意见(征求意见稿)》,就商用密码检测认证工作的工作原则与机制,认证实施和监督管理等实施意见向公众征寻意见。

需要特别提出的是,虽然具体认证要求还在制定过程中,在检测和后续认证过程中很可能以技术规范规则和相关国家标准为指标,结合产品的功能和具体应用领域进行综合评判。此外,根据过往实操的要求,商用密码产品检测认证需要向认证单位提供源代码,考虑到我国的密码产品检测认证机构都有较强的政府背景,部分外资机构和企业一直也都有顾虑会有产品源代码提供给政府的风险。对此,《密码法》也明确指出,“密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供”。新规对商用密码产品的保密提供了强有力的法律保障,并减少了能够接触源代码的行政机关,减少了商业秘密泄露的风险。

7. 我国对于商用密码有哪些主要的技术标准要求?

考虑到目前《密码法》在整体监管层面上多采用以技术规范规则和国家标准为指标,企业最好对商用密码相关的技术标准要求有所了解。

商用密码的标准分为国家标准、行业标准,以及团体标准和企业标准三大类。商用密码国家标准、行业标准属于政府主导制定的标准,具体而言,国家标准由国家标准化管理委员会下设的信息安全标准化技术委员会制定,代号为GB;行业标准由国密局组织制定,报国家标准化管理委员会备案,代号为GM。商用密码团体标准、企业标准属于市场主体自主制定的标准,其中,团体标准由商用密码领域的学会、协会等社会团体制定;而企业标准是由商用密码企业制定或者企业联合制定。

从法律效力而言,商用密码强制性国家标准以及该从业单位公开标准的技术要求拥有强制执行力,推荐性国家标准和行业标准本身不具有强制性法律效力,但如果企业明确公开了标准的技术要求或在合同中约定作为质量依据的,则企业应当遵守。国家标准和行业标准具体规范主要参照密码行业标准化技术委员会在其网站上展示的标准文件。截止2020年3月,国家标准化管理委员会已发布商用密码相关的国家标准30项,涉及SM算法、射频识别系统等,均为推荐性标准。

8. 企业日常采购和自行使用商用密码产品有什么审批要求?

一般而言,《密码法》对除关键信息基础设施运营者以外的普通企业和一般民众采购和使用商用密码产品没有提出强制性审批要求,企业和个人可以自主选择使用商用密码产品以保护网络与信息安全。需要注意的是,前述的“使用”仅指供企业内部自行使用,如果需要提供给企业的客户用以与企业之间进行通信,则应参考销售和提供密码产品所需要的许可要求。

对于运营关键信息基础设施领域的企业,《密码法》对于其采购和使用密码产品和服务提出了更高的合规要求。具体而言:

  • 当关键信息基础设施运营者依法要求应当使用商用密码产品和服务的情况下,其应自行或者委托商用密码检测机构开展商用密码应用安全性评估。
  • 如果关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,其应通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。目前国家安全审查的标准和条件等具体操作规则尚不明确,很可能与《关键信息基础设施安全保护条例》和《网络安全审查办法》等网络安全相关的配套规则衔接适用。

需要说明的是,无论是涉及国家安全、国计民生、社会公共利益的商用密码产品的强制认证要求,还是针对关键信息基础设施运营者的安全性评估和国家安全审查,均涉及《密码法》和《网络安全法》及其配套规章制度的衔接。《密码法》和网安相关法律法规对网络关键设备、网络安全专用产品和关键信息基础设施的检测、认证和测评客观上必然存在一些重复的内容,对此,《密码法》已经明确要求避免重复检测、认证或测评。我们相信,随着操作层面上的相关规章制度的逐渐出台,有关《密码法》下的具体评估、审查以及检测认证将与《网络安全法》实现相互对接,以推动检测认证结果互认,避免重复认证。

9. 商用密码产品进出口需要哪些合规要求?

在《密码法》施行之前,对中国境内内资企业、外资企业、外国机构和个人使用境外生产并进口的商用密码产品采取不同的监管要求,虽在2017年下半年《国务院关于取消一批行政许可事项的决定》中作为调整对象取消了部分审批要求,但是,长久以来进出口密码产品以及含有密码技术的设备或者出口商用密码产品,仍须报经国密局批准,取得商用密码产品的进出口许可证。国密局还和海关总署联合发文列出了密码产品和含有密码技术的设备进口管理目录,其中列出了涉及的海关商品编号和商品名称,以明确应提交密码进口许可证的产品类型。

《密码法》废除了原本的事先审批管理制度,而是将商用密码进出口将纳入两用物项进出口管理,对于内外资企业一视同仁,采取负面清单制来管理商用密码的进出口。具体而言,如果特定商用密码产品不在进口许可或出口清单内,其将不受进出口管制的影响,无需经过特定审批。目前,商务部、国密局、海关总署正在制定商用密码进口许可清单和出口管制清单,预计会在2020年上半年出台。在清单公布实施前的几个月时间内,进出口商用密码产品仍需办理密码产品的进出口许可证。当然,如果进口的商用密码产品后续还涉及销售、提供或使用,仍应遵守前述相应的检测认证等要求。

此外,对于商用密码进出口,《密码法》明确了大众消费类产品所采用的商用密码不实行进口许可和出口管制制度,仅针对涉及国家安全、社会公共利益等特定条件的商用密码实施进出口管制,以减少对常规贸易的影响。目前,对于“大众消费类产品所采用的商用密码”还没有明确的界定,根据国密局在其政策问答中的解释,大众消费类产品所采用的商用密码是指社会公众可以不受限制地通过常规零售渠道购买、供个人使用、不能轻易改变密码功能的产品或技术。鉴于《密码法》采取的是负面清单制,大众消费类产品的界定更多地会影响行政立法部门,特别是在制定商用密码进口许可清单和出口管制清单时应对其予以考量。

需要特别提示的是,除了《密码法》下对密码产品的行政许可管制之外,根据《技术进出口管理条例》,取决于涉及的具体技术类型,我国对部分加解密技术的出口也实施管制。根据商务部《限制出口的技术目录》目录,信息处理技术中的信息存取加、解密技术以及通信传输技术中专为我国研制、设计、生产的各类通信保密机和通信加密技术等属于限制性技术,可能还涉及需要获得技术出口许可证的情况。此处的技术出口包括以专利许可或转让、软件许可、技术秘密转让方式从境内向境外转移技术。

10. 违反《密码法》的情形以及将会导致的法律责任有哪些?

根据“放管服”改革的要求,对于《密码法》的监管和行政资源从事前审批转到事中事后监管。涉及的监管主体除了密码管理部门外,主要还包括市场监管部门、网信部门、商务部门、海关。对于违反《密码法》的相关行为,除了对违法单位采取责令改正、警告、没收违法所得、罚款、吊销资质等处罚措施外,还可对直接负责的主管人员采取罚款等处罚措施。其中,涉及核心密码、普通密码的违规情形主要包括未按照要求使用核心密码、普通密码、或者因未按要求使用从而发生核心密码、普通密码泄密案件等情形;而对于涉及商用密码的违规行为则主要包括以下几种情形:

  • 商用密码检测、认证机构:违规开展商用密码检测认证;
  • 商用密码产品提供商:销售或者提供未经检测认证或者检测认证不合格的商用密码产品或服务;
  • 关键信息基础设施的运营者:未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的;使用未经安全审查或者安全审查未通过的产品或者服务;
  • 密码管理部门和有关部门、单位:在密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私;
  • 其他违规行为,包括违规进出口商用密码、未经认定从事电子政务电子认证服务。

此外,我国还在推行针对商用密码产品和服务主体的信用承诺制度,将信用承诺履行情况纳入信用记录。依据相关主体信用情况,在监管方式、抽查比例和频次等方面采取差异化措施,规范认定并设立商用密码市场主体的信用“黑名单”,