我国对于商用密码的管理始于国务院于1999年发布并实施的《商用密码管理条例》(下称“《条例(1999)》”)。此后,针对商用密码管理的其他规制陆续出台,目前现行有效的规定有《商用密码产品生产管理规定》(2017年修订)、《商用密码科研管理规定》(2017年修订)等。

2019年10月26日,作为我国第一部密码管理领域的综合性法律,《密码法》正式发布,并自2020年1月1日起实施。由于《密码法》对商用密码管理制度进行了结构性重塑,《条例(1999)》已无法适应《密码法》的要求,因此,国家密码管理局于2020年8月20日发布了《商用密码管理条例(修订草案征求意见稿)》,拟对《条例(1999)》进行修订。此后,《商用密码管理条例》连续在2021年、2022年国务院立法计划中被列为“拟制定、修订的行政法规”,在2023年国务院立法计划中被列为“拟审议的行政法规草案”。2023年4月27日,修订后的《商用密码管理条例》(下称“《条例(2023)》”)终于正式发布,并将于2023年7月1日起实施。

从上述规定的发展历程可以看出,我国一直在不断调整和细化对商用密码的管理,以适应现代化的商用密码管理需求。在《条例(2023)》即将实施之际,本文将结合《条例(2023)》的最新规定,对此前实务中一直广受关注的商用密码进出口监管的实务热点和疑难问题进行解读,并为企业提供相应的合规建议。

01 什么样的产品属于商用密码?

首先,关于密码的定义,《密码法》第二条规定:“本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。”而关于商用密码的定义,《条例(2023)》在沿袭《密码法》规定的基础上,于第二条规定:“本条例所称商用密码,是指采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。”

针对如何认定商用密码产品的问题,在《条例(1999)》公布后不久,鉴于广大企业的密切关注,国家密码管理委员会曾于2000年3月1日在其发布的《国家密码管理委员会关于商用密码管理的有关问题》中表示:“纳入本条例管理范围的‘密码产品及含有密码技术的设备’,只限于以加密解密操作为核心功能的专用硬件、软件,其他如无线手机、Windows软件、浏览器软件等都不在这个范围之内。”即,强调了“以加密解密操作为核心功能”。

但是,从现行《密码法》以及即将实施的《条例(2023)》的上述定义来看,商用密码的主要功能有两个,一是加密保护,二是安全认证,但上述规定均没有限定“以加密解密操作为核心功能”。根据笔者的实务经验,在《密码法》实施后,主管部门在对产品的加解密功能进行认定时并不是仅关注其核心功能,而是需要根据该产品的详细资料和技术指标等进行综合认定。

02 什么样的商用密码产品受到商用密码的进出口规制?

关于商用密码的进口许可和出口管制,《条例(2023)》基本上沿袭了《密码法》的规定,其第三十一条第一款、第二款规定:“涉及国家安全、社会公共利益且具有加密保护功能的商用密码,列入商用密码进口许可清单,实施进口许可。涉及国家安全、社会公共利益或者中国承担国际义务的商用密码,列入商用密码出口管制清单,实施出口管制。商用密码进口许可清单和商用密码出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。”并且,参照《出口管制法》关于对出口行为范围的界定[1],《条例(2023)》也于其第三十二条第二款规定“商用密码的过境、转运、通运、再出口,在境外与综合保税区等海关特殊监管区域之间进出,或者在境外与出口监管仓库、保税物流中心等保税监管场所之间进出的,适用前款规定”,即也需要取得进出口许可证。

商用密码的进口许可清单和出口管制清单(以下统称“商用密码清单”),已经于2020年12月2日由商务部、国家密码管理局、海关总署联合公布,并于2021年1月1日起实施。与此同时,此前的一系列关于商用密码进出口管理的公告[2]被废止。并且,该商用密码清单已经被统合进商务部、海关总署每年年末公布的《两用物项和技术进出口许可证管理目录》。

在商用密码清单中,详细规定了属于进口许可以及出口管制范围的商用密码的产品和/或技术的类型、特征,特别是在关于特征的描述中包括了一些专业技术参数。但实务中,企业在根据该清单的规定判断某一产品是否应当取得进出口许可证时,可能存在一定的困难或不明确之处。

例如,根据商用密码出口管制清单的规定,安全芯片,即部分或全部实现了密码运算、密钥管理、随机数生成等功能的集成电路芯片,且符合特定的密码算法和加解密速率等规定的技术参数标准的产品,属于我国出口管制的对象。但此处涉及的“部分实现”是指产品的核心部分与关键部分实现了相关功能,还是指只要包含了相关功能就应当受到出口管制,鉴于现有的相关规定均未对此进行进一步解释,因此存在一定的不明确之处。根据笔者理解和相关实务经验,鉴于对于加解密功能的认定是需要根据个案进行的复杂过程,因此主管部门在制定该清单时特地采用了“部分或全部”的表述,很可能是意在针对部分具有加密解密、安全运算功能的安全芯片的出口管制问题,于法律法规依据层面预留一定的解释空间。

因此,建议企业在实施相关产品进出口行为之前,首先根据产品的具体资料和参数信息等结合商用密码清单进行初步判断,在必要时可以向国务院商务主管部门进行实名咨询[3]以获取更为准确的结论,从而避免相关风险。

03 什么是大众消费类产品所采用的商用密码?

根据《密码法》第二十八条以及《条例(2023)》第三十一条,大众消费类产品所采用的商用密码不实行进口许可和出口管制制度

关于“大众消费类产品所采用的商用密码”的概念,国家密码管理局于2020年4月在其网站上发布的密码政策问答(八十七)[4]中作出了阐释,即:“大众消费类产品所采用的商用密码,是指社会公众可以不受限制地通过常规零售渠道购买、供个人使用、不能轻易改变密码功能的产品或技术。大众消费类产品所采用的商用密码对国家安全、社会公共利益带来的风险较小且可控,对大众消费类产品所采用的商用密码不实行进口许可和出口管制制度,可最大限度减少对贸易的影响。这既是国际社会的通行做法,也符合我国现有商用密码进出口管理实践。”

鉴于《密码法》和《条例(2023)》对商用密码的进口许可与出口管制采取清单管理的方式,因此,可以理解为,不属于商用密码清单的商用密码产品即属于大众消费类产品,不需要取得进出口许可证

04 如何申请商用密码进出口许可证?

关于商用密码进出口许可证的取得,在沿袭2020年《关于发布商用密码进口许可清单、出口管制清单和相关管理措施的公告》规定的基础上,《条例(2023)》第三十二条第一款明确规定,进口商用密码进口许可清单中的商用密码或者出口商用密码出口管制清单中的商用密码,应当向国务院商务主管部门申请领取进出口许可证;并且第三十四条第二款还规定由国务院商务主管部门会同国家密码管理部门对申请进行审查。由此可见,进出口许可证的发放机关为商务部,商务部在审查时将会同国家密码管理局进行

关于申请进出口许可证所需的材料,根据《条例(2023)》第三十四条第一款,包括:申请人的法定代表人、主要经营管理人以及经办人的身份证明;合同或者协议的副本;商用密码的技术说明;最终用户和最终用途证明等。除此之外,商务部的商用密码进出口许可办事指南[5]中还要求提交《两用物项和技术进/出口许可申请表》。其中,关于“商用密码的技术说明”,商务部的办事指南中并未提供样本,企业可以在参考商用密码清单所规定的产品特征等的基础上,根据需要与主管部门进一步沟通确认具体要求。

关于进出口许可证的审查时限,根据《条例》第三十四条,商务部应当自受理申请之日起45个工作日内进行审查并依法作出是否准予许可的决定;对国家安全、社会公共利益或者外交政策有重大影响的商用密码出口,由商务部会同国家密码管理局等有关部门报国务院批准,不受前款规定时限的限制

05 违反商用密码进出口相关规定,会受到何种处罚?

关于法律责任,《密码法》第三十八条规定,违法实施进口许可、出口管制的规定,进出口商用密码的,由国务院商务主管部门或者海关依法予以处罚。《条例(2023)》也继承了这一规定。

据此规定,可以理解,对违反商用密码进出口相关规定进行处罚的执法机构为商务管理部门或海关,并且处罚依据主要包括《出口管制法》《海关行政处罚实施条例》等法规。特别是针对出口管制违规行为,根据《出口管制法》第三十四条,出口经营者未经许可擅自出口管制物项,或者超出出口许可证件规定的许可范围出口管制物项的,责令停止违法行为,没收违法所得,违法经营额五十万元以上的,并处违法经营额五倍以上十倍以下罚款;没有违法经营额或者违法经营额不足五十万元的,并处五十万元以上五百万元以下罚款;情节严重的,责令停业整顿,直至吊销相关管制物项出口经营资格。此外,情节严重的,还可能构成走私犯罪。因此,从事商用密码清单中商用密码进出口的经营者,必须依法取得进出口许可证,以避免因违规行为受到处罚。

结语

除前文介绍的规定之外,《条例(2023)》还针对国家密码管理部门的具体职责、商用密码检测认证、关键信息基础设施运营者的安全评估和安全审查义务、网络运营者的监管细则、以及未遵守上述规定的罚则等诸多方面进行了进一步细化。由此可见,《条例(2023)》的公布,不仅使得商用密码监管体系更加具体和完善,还使得相关制度的可执行性进一步加强。对于从事商用密码进出口的企业而言,应当遵守《条例(2023)》的内容并关注今后相关规定的立法和执法动态,依法加强自身在商用密码领域的合规经营。

脚注:

[1] 参照《出口管制法》第四十五条规定,即“管制物项的过境、转运、通运、再出口或者从保税区、出口加工区等海关特殊监管区域和出口监管仓库、保税物流中心等保税监管场所向境外出口,依照本法的有关规定执行”。

[2] 包括国家密码管理局、海关总署公告第18号,海关总署、国家密码管理局公告2012年第64号,国家密码管理局、海关总署公告第27号,国家密码管理局、商务部、海关总署公告第38号。

[3] 参照《出口管制法》第十二条第四款规定,即“出口经营者无法确定拟出口的货物、技术和服务是否属于本法规定的管制物项,向国家出口管制管理部门提出咨询的,国家出口管制管理部门应当及时答复”。

[4] 参见https://www.oscca.gov.cn/sca/xxgk/2020-04/02/content_1060694.shtml#:~:text=%E5%A4%A7%E4%BC%97%E6%B6%88%E8%B4%B9%E7%B1%BB%E4%BA%A7%E5%93%81%E6%89%80,%E8%83%BD%E7%9A%84%E4%BA%A7%E5%93%81%E6%88%96%E6%8A%80%E6%9C%AF%E3%80%82

[5] 参见http://egov.mofcom.gov.cn/xzxksx/18017/

本文作者

刘新宇

合伙人

公司业务部

liuxinyu@cn.kwm.com

业务领域:国际贸易暨纠纷解决、出口管制、海关(含商检)监管、外汇管理等合规业务及企业并购等

刘律师多年来为包括众多跨国公司在内的各类国内外企业提供海关与贸易合规、出口管制暨外汇管理相关的法律服务,包括提供进出口业务咨询,办理应对海关审价、海关稽查、缉私调查案件暨走私刑事案件,并帮助企业改善通关体制,解决外汇跨境运营中的问题,办理出口管制相关案件并协助客户构建相应的合规体系。刘律师还担任中国人民大学海关与外汇法律研究所共同所长,中国政法大学研究生院兼职教授,《中国海关》智库专家。

李佳

顾问

公司业务部

lijia@cn.kwm.com

业务领域:企业并购重组、出口管制、政府调查和危机应对等

李律师为多家知名企业协助制定出口管制风险应对预案,主要包括从出口管制合规视角为企业的投融资计划、上市安排、知识产权保护等方面提供战略性规划服务,并协助其构建出口管制合规体系。

王薇

公司业务部

余茜茜

律师助理

公司业务部

声明:本文来自金杜研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。