为适应中国国家安全面临的新形势和密码广泛应用带来的新挑战,推进密码领域职能转变和国家“放管服”的改革要求,2019年10月26日,我国将党管密码的先进经验转化为密码领域的综合性、基础性立法,正式颁布《中华人民共和国密码法》(中华人民共和国主席令第三十五号,以下简称《密码法》)。《密码法》设计了诸多回应“时代命题”的密码管理制度,全面重塑了具有中国特色的密码管理体系,开启了中国密码法治新纪元。2020年1月1日,《密码法》正式实施,迄今为止已经两年时间。两年时间中,我国《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律、行政法规正式施行,《网络数据安全管理条例(征求意见稿)》公开征求意见,对使用商用密码保障数据安全、个人信息和系统安全提出更高要求,为商用密码创新和应用提供广阔空间。

为深入贯彻国务院对商用密码创新发展和“放管服”改革的系列要求,落实《密码法》各项制度,同时适应新时代商用密码事业发展需求,2020年8月20日,国家密码管理局发布《商用密码管理条例(修订草案征求意见稿)》,对1999年发布实施的《商用密码管理条例》进行全面修订。修订草案征求意见稿进一步细化和完善《密码法》构筑的商用密码制度框架,修订核心内容如下:

1)重新界定商用密码概念,不再将商用密码技术纳入国家秘密管理体系;2)在国家、省、市、县四级密码工作管理体制基础上,增加“国家网信、商务、海关、市场监督管理等有关部门在各自职责范围内,负责商用密码有关管理工作”;3)突出科技创新和标准引领,明确建立健全商用密码科学技术创新促进机制,明确国家密码管理部门根据需要组织对相关商用密码技术进行安全性审查;4)进一步明确检测、认证机构及电子政务电子认证服务机构的资质审批条件、程序及其从业规范;5)明确商用密码进口需向国务院商务主管部门申请领取两用物项进出口许可证,以及许可证的适用范围和审批程序;6)明确商用密码应用安全性评估的义务主体和评估期限,且要求评估情况需报送所在地设区的市级密码管理部门备案;7)更加重视事中监管,规定密码管理部门和有关部门依法开展商用密码监督检查的相关职权及其协作配合、保密义务,以及信用监管、投诉举报等制度机制。

更进一步的,国家密码管理局聚焦商用密码行政审批、检测认证、应用安全性评估、网络安全审查、进口许可和出口管制等重要制度,会同商务部、海关总署、市场监管总局等部门制定发布一系列部门规章、规范性文件、管理目录和指南,及时补充并细化法律、行政法规的相关规定,构建更加完备、科学、体系化的商用密码法律制度体系。

一、行政审批  

2021年1月1日,国家密码管理局发布《国家密码管理局行政审批事项公开目录》。根据该目录,由国家密码管理局负责行政许可审批的事项包括四个:商用密码科研成果审查鉴定、商用密码产品质量检测机构审批、电子认证服务使用密码许可以及电子政务电子认证服务机构认定。由国家密码管理局负责非行政许可审批的事项包括一个,即信息安全等级保护商用密码测评机构审批,该项非行政许可审批事项正在履行新设行政许可程序。其中,电子认证服务使用密码许可包括电子认证服务使用密码许可、电子认证服务系统技术改造审批、电子认证服务系统系统搬迁审批三个子项。

二、检测认证

认证认可、检验检测是市场经济条件下加强质量管理、提高市场效率的基础性制度。规范商用密码检测认证工作,对于引导商用密码从业单位提质升级,增强商用密码安全保障能力,支持密码管理部门行政监管、促进与国际规则对接等方面具有重要意义。为贯彻落实“放管服”改革要求,充分激发商用密码市场活力,《密码法》取消“商用密码产品品种和型号审批”,建立国家统一推行的商用密码认证制度,采取支持措施,鼓励商用密码产品获得认证。

为确保商用密码产品管理工作平稳有序衔接和过渡,2019年12月30日,国家密码管理局、市场监管总局发布《国家密码管理局 市场监管总局关于调整商用密码产品管理方式的公告》(国家密码管理局 市场监管总局公告第39号),明确“市场监管总局会同国家密码管理局另行制定发布国推商用密码认证的产品目录、认证规则和有关实施要求。”

2020年3月26日,市场监管总局、国家密码管理局发布《关于开展商用密码检测认证工作的实施意见》(国市监认证[2020]50号),对商用密码检测认证工作提出实施意见,包括工作原则与机制、认证实施及监督管理三个方面。

2020年5月9日,市场监管总局、国家密码管理局发布《关于〈商用密码产品认证目录(第一批)〉〈商用密码产品认证规则〉的公告》(市场监管总局 国家密码管理局公告2020年第23号),《商用密码产品认证目录(第一批)》的商用密码产品包括智能密码钥匙、智能IC卡、安全认证网关、密码键盘等22类。《商用密码产品认证规则》对商用密码产品认证模式、认证单元划分、认证证书、认证标志、认证实施细则、认证责任等方面进行细化规定。

值得一提的是,2021年11月22日,国家市场监管总局发布《认证认可条例》修订稿(公开征求意见稿),对我国规范认证认可检验检测活动的唯一单行法规进行修订。修订稿(公开征求意见稿)明确规定,“国家实行统一的认证认可、检验检测监督管理制度”、“国家统一推动的认证制度,由国务院市场监督管理部门制定认证基本规范和认证规则;涉及国务院有关部门职责的,由国务院监督管理部门会同国务院有关部门制定”。商用密码检测认证制度相关立法文件规定与条例的修订保持一致。

三、应用安全性评估

商用密码应用安全性评估是判定商用密码正确、合规、有效应用的专业性工作,同时也是网络安全等级保护制度和关键信息基础设施安全保护制度的重要内容。商用密码应用安全性评估对于切实保障网络安全、数据安全和个人信息具有重要作用。《密码法》实施之后,国务院办公厅、国家密码管理局等部门对商用密码的应用安全性评估工作作出进一步要求。

2019年12月30日,国务院办公厅发布《国家政务信息化项目建设管理办法》(国办发〔2019〕57号),对国家政务信息系统的规划、审批、建设、共享和监管作出规定。《办法》提出,加强国家政务信息化项目建设投资和运行维护经费协同联动,对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。此后,重庆、四川、江西、江苏、广西、海南、青海等地方均通过市级或省级政务信息化项目建设管理办法,作出类似规定。

2020年7月22日,公安部发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安〔2020〕1960号),明确提出,第三级以上网络应正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务。第三级以上网络运营者应当在网络安全等级测评中同步开展密码应用安全性评估。同时强调,各单位、各部门要通过现有经费渠道保障密码应用安全性检测、密码保障系统建设等经费投入。

2020年7月29日,国家密码管理局发布《商用密码应用安全性评估试点机构目录》(国家密码管理局公告第40号),共24家试点机构被列入目录。2021年6月11日,国家密码管理局发布更新后的《商用密码应用安全性评估试点机构目录》(国家密码管理局公告第42号)。新版目录在旧版目录基础上新增24家试点机构。

为贯彻落实商用密码应用安全性评估制度,我国密码研究领域最具影响力的科技社团—中国密码学会也发布一系列指引性文件,供相关单位开展商用密码应用与安全性评估工作参考。2020年12月8日,中国密码学会密评联委会组织编制并公开发布《信息系统密码应用测评要求》《信息系统密码应用测评过程指南》《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》《商用密码应用安全性评估报告模板(2020版)》等5项指导性文件。2021年12月17日,中国密码学会密评联委会修订形成《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》《商用密码应用安全性评估报告模板(2021版)》等3项密码应用与安全性评估指导性文件,替代2020年12月发布版本。《信息系统密码应用测评要求》《信息系统密码应用测评过程指南》等2项文件废止,分别由GM/T 0115-2021、GM/T 0116-2021密码行业标准替代。同时发布《商用密码应用安全性评估FAQ》(常见问题解答)。

四、网络安全审查

网络安全审查是网络安全领域的重要法律制度。根据《密码法》第二十七条第二款规定,“关键信息基础设施运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查”。为确保关键信息基础设施供应链安全,维护国家安全,2020年4月13日,国家互联网信息办公室、工信部、公安部、国家安全部、国家密码管理局等十二部门联合发布《网络安全审查办法》,明确网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险。

2021年6月10日,《数据安全法》正式发布,明确规定国家建立数据安全审查制度。为落实《数据安全法》要求,2021年7月10日,国家互联网信息办公室发布《网络安全审查办法》(修订草案征求意见稿),对《网络安全审查办法》内容提出重要修订。2021年12月28日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家保密局、国家密码管理局等十三部门联合发布修订后的《网络安全审查办法》,将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查,主要目的是为了进一步保障网络安全和数据安全,维护国家安全。修订后的《网络安全审查办法》将为关键信息基础设施运营者采购涉及商用密码的网络产品和服务的网络安全审查提供重要依据。

五、进口许可和出口管制

有效的商用密码进口许可和出口管制措施是维护国家主权、安全、发展利益和履行国际义务的重要手段。《密码法》第二十八条明确规定对商用密码实施进口许可和出口管制制度,为商用密码进出口许可制度配套法规的制定提供上位法依据。2020年12月1日,《出口管制法》正式实施,为做好新时期出口管制工作提供更加有力的法治保障。国家密码管理局、商务部等部门依据《密码法》《出口管制法》等法律规范,细化商用密码的进出口许可制度,为经营者进出口商用密码提供可操作性指引。

2020年8月28日,商务部、科技部调整发布《中国禁止出口限制出口技术目录》(商务部 科技部公告2020年第38号),将“密码安全技术(编号:186103X)”列入中国禁止出口限制出口技术目录的限制出口部分,控制要点为“1.密码芯片设计和实现技术(高速密码算法、并行加密技术、密码芯片的安全设计技术、片上密码芯片(SOC)设计与实现技术、基于高速算法标准的高速芯片实现技术)2.量子密码技术(量子密码实现方法、量子密码的传输技术、量子密码网络、量子密码工程实现技术)”。

2020年11月26日,商务部、国家密码管理局、海关总署发布《关于发布商用密码进口许可清单、出口管制清单和相关管理措施的公告》(商务部 国家密码管理局 海关总署公告2020年第63号)。其中,《商用密码进口许可清单》和《商用密码出口管制清单》明确列出需要进出口许可的商用密码类型,并对其特征进行详细说明。《商用密码进出口许可程序》明确规定经营者申请商用密码进出口的具体申请机构、需要提交的文件以及应履行的海关手续等。

2021年4月28日,商务部发布《关于两用物项出口经营者建立出口管制内部合规机制的指导意见》(商务部公告2021年第10号),推动从事《出口管制法》规定的两用物项出口经营者等主体建立符合自身实际情况的出口管制内部合规机制。公告附件《两用物项出口管制内部合规指南》提出,使用电子邮件、电话和传真以及国内外社交软件等电子形式传输技术信息都有可能构成技术的出口和转让,使用“云”等在线存储模式对软件和技术进行存储或传输也可能存在出口管制合规风险。此规定为经营者辨析“可能存在商用密码出口管制合规风险”的情况提供重要参考。

2021年7月23日,商务部服贸司发布《关于公开征求<中国禁止进口限制进口技术目录>修订意见的通知》,将“数据加密技术(编号:216502X)”列入中国禁止进口限制进口技术目录的限制进口部分,控制要点为“高于256位加密的加密软件”。2021年11月2日,商务部正式发布《中国禁止进口限制进口技术目录》(商务部公告2021年第37号),数据加密技术仍列入限制进口部分,但控制要点改为“安全强度高于 256 位加密算法的加密技术”。

在完善商用密码管理的实体性立法之外,国家密码管理局还根据《立法法》《密码法》和《规章制定程序条例》等有关法律法规,规范密码管理规章制定工作,确保立法项目高质高效推进。2021年12月16日 ,国家密码管理局发布《国家密码管理局规章制定程序规定》(国家密码管理局令第1号),自2022年2月1日起施行。《程序规定》坚持党管密码、依法立法、问题导向的思路,研究借鉴国务院有关部门规章制定程序规定,结合工作实际,注重合法性、兼容性和可操作性,力求做到内容完备、程序周密。《程序规定》主要内容包括总体要求、立项、起草、审查、审议和公布、其他事项。

本期作者:何治乐

声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。