激发主体活力，万物因密而安 | 聚焦《商用密码管理条例》修订草案九大变化

2020年8月10日，国家密码管理局发布了《商用密码管理条例(修订草案征求意见稿)》(以下简称《条例》(征求意见稿))，对1999年发布并生效的《商用密码管理条例》进行全面修订。在此之前，2019年10月26日颁布的《中华⼈民共和国密码法》对我国商用密码管理制度进行了结构性重塑，现行的《商用密码管理条例》已无法适应《密码法》的要求，因此《条例》(征求意见稿)应运而生。

　　

党的十八大以来，密码在科技创新、产业发展、应用推进、科学管理、生态构建等方面不断取得丰硕成果，为从业企业的发展注入了动力之源，也为《密码法》出台和《条例》(征求意见稿)发布奠定了坚实基础。我们应充分认清历史意义，不断提升政治站位，以爱国护家的民族情怀和敢于担当的时代精神，聚焦关注《商用密码管理条例(修订草案征求意见稿)》重要变化，将企业发展融入国家战略，牢牢守住网络安全的大门。

　　

    

　　

01 确立上位法依据，推进“放管服”改革

　　

《密码法》的发布，使我国网络安全立法的四梁八柱初步搭建，对于依法管网、依法办网，依法上网，保障个人信息安全，维护公民在网络空间的合法权益， 都具有十分重要的意义。由于1999年出台的《商用密码管理条例》早于《密码法》的颁布时间，因此并未明确规定上位法依据。随着《密码法》的颁布实施，商用密码管理作为我国密码管理中的组织部分，其管理规范即可依托《密码法》为上位法。而且，《条例》(征求意见稿)重点规定的检测认证、电子认证、进出口管理制度也与《密码法》相关内容形成同频共振，进一步落实了《密码法》的管理要求。

　　

根据《密码法》确立的密码领域职能转变和“放管服”改革，在立法宗旨上，《条例》(征求意见稿)更加突出促进商用密码事业发展的目的。其中，《条例》(征求意见稿)以专章规定“科技创新与标准化”“应用与促进”等内容，体现了促进商用密码事业发展的立法目的。同时，相较于1999年出台的《商用密码管理条例》，《条例》(征求意见稿)将“维护国家安全和社会公共利益”放在“保护公民、法⼈和其他组织的合法权益”之前，强调对国家安全和社会公共利益的保护，《条例》(征求意见稿)中所规定的国家安全审查、外商投资安全审查、进口许可与出口管制等内容均体现了这⼀目的。

　　

02“两级”变“四级”，“托管”变“专管”

　　

1999年出台的《商用密码管理条例》对密码管理实行的是国家和省级两级管理体制。其中，第4条规定“国家密码管理委员会及其办公室主管全国的商用密码管理工作。省、自治区、直辖市负责密码管理的机构根据国家密码管理机构的委托，承担商用密码的有关管理工作。”《条例》(征求意见稿)依托《密码法》，在实际上确定了“四级管理+专项管理”的体制，即国家、省级、市、县负责相应行政区域的商用密码工作，国家网信、商务、海关、市场监督管理等有关部门在各自职责范围内，负责商用密码有关管理工作。

　　

《密码法》和《条例》(征求意见稿)的渐次发布，将极大提升密码管理科学化、规范化、法治化水平，切实维护国家安全、社会公共利益以及公民、法人和其他组织的合法权益。我们应紧跟国家战略，充分发挥企业自身特点和优势，积极寻求区域合作，实现优势互补，加快推进产业一体化布局，提升产业能级和核心竞争力，为维护国家网络安全及个人信息安全贡献力量。

　　

03 商密边界再划定，服务纳入新范围

　　

1999年出台的《商用密码管理条例》规定商用密码技术属于国家秘密，使用商用密码技术的主体要遵守与国家秘密相关的所有法律规定。《密码法》进行了重新界定，规定核心密码、普通密码用于保护国家秘密信息，不再规定商用密码技术本身为国家秘密，不再将商用秘密技术纳⼊国家秘密的管理体系。公民、法⼈和其他组织可以依法使用商用密码保护网络络与信息安全，这就为国家商用密码的推广和使用建立了法律基础。

　　

《条例》(征求意见稿)除了延续《密码法》这一界定外，还进一步规定了商用密码技术的安全性审查要求，规定“国家密码管理部门根据商用密码应用需求或者安全需要，组织对密码算法、密码协议、密钥管理机制等商用密码技术进行安全性审查，通过安全性审查的，列⼊商用密码技术指导目录。”而且，对于非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统，还要求使用列⼊商用密码技术指导目录的商用密码技术 。

　　

此外，1999年出台的《商用密码管理条例》第2条规定，“本条例所称商用密码，是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。”这里的商用密码主要是指商用密码技术和商用密码产品。《密码法》进一步扩展了密码的范围与边界，将“服务”纳⼊密码的范围。《条例》(征求意见稿)也秉承《密码法》的立法思路，不仅划定“商用密码技术和商用密码产品”，也将“商用密码服务”纳⼊规制范围。

　　

04 细化检测认证制度，优化商密产品类型界定

　　

1999年出台的《商用密码管理条例》第3条规定，对商用密码产品的科研、生产、销售和使用实行专控管理。2017年9月22日国务院发布《关于取消一批行政许可事项的决定》，取消了国家密码管理局负责实施的商用密码产品生产单位审批、商用密码产品销售单位许可、外商投资企业使用境外密码产品审批、境外组织和个⼈在华使用密码产品或者含有密码技术的设备审批4项行政许可事项。

　　

随着《密码法》的颁布实施，国家推进商用密码检测认证体系建设，制定商用密码检测认证技术规范、规则，鼓励商用密码从业单位自愿接受商用密码检测认证，提升市场竞争⼒。2020年5月9日《商用密码产品认证目录(第一批)》在密码管理局过往文件和通知的基础上，对商用密码产品的种类、认证依据做了部分调整，细化了认证依据，并且增加了产品描述，更有利于对于商用密码产品类型的界定。《条例》(征求意见稿)秉承《密码法》相关要求，对商用密码产品检测与认证机构的资质要求、申请流程、主管机构、监督管理进行具体规定。

　　

05 加强电子认证管理，提升电子认证服务

　　

《密码法》规定，国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进⾏认定，会同有关部门负责政务活动中使用电子签名、数据电文的管理。《条例》(征求意见稿)在此基础上，进一步规定，电子政务电子认证服务机构应经国家密码管理部门认定，并取得相应资质 。同时，《条例》(征求意见稿)还规定了取得电子政务电子认证服务机构资质应取得的条件、资质申请流程等。如果外商投资电子政务电子认证服务，影响或可能影响国家安全的，还应当依法进行外商投资安全审查，这也与《外商投资法》规定的外商投资安全审查制度相衔接。

　　

06 改“批准制”为“清单制”，放宽进出口管控要求

　　

1999年出台的《商用密码管理条例》第13条规定，进口密码产品以及含有密码技术的设备或者出口商用密码产品，必须报经国家密码管理机构批准。任何单位或者个⼈不得销售境外的密码产品。随着《密码法》的出台，我国对于商用密码进出口从“批准制”转变为“进口许可清单和出口管制清单制度”，明确规定：国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可，对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

　　

《条例》(征求意见稿)进一步落实《密码法》相关要求，增加规定了进口《商用密码进口许可清单》或者出口《商用密码出口管制清单》中的商用密码，应当向国务院商务主管部门申请领取两用物项进出口许可证。在具体执法过程中，采取海关与国务院商务主管部门、国家密码管理部门联动执法的机制，未向海关交验两用物项进出口许可证，且海关有证据表明进出口产品可能属于商用密码进口许可或者出口管制范围的，应当向进出口经营者提出质疑；海关可以向国务院商务主管部门、国家密码管理部门提出组织鉴别，并根据鉴别结论依法处置；海关还可以在鉴别或者质疑期间，对进出口产品不予放行。

　　

07 变“推荐性”为“强制化”，推进商用密码应用安全性评估

　　

在等保2.0体系下，不同等级的网络在使用密码技术和密码产品上有不同的要求。《条例》(征求意见稿)直接体现了等保2.0的相关要求，对于网络安全等级保护第三级以上网络，要求运营者应当使用商用密码进行保护。但是由于等保2.0国家标准仅为推荐性标准，并不具备强制⼒，因此若《条例》(征求意见稿)生效，将会将网络安全等级保护的推荐性的要求上升为具有强制力的国家规范。

　　

同时，《条例》(征求意见稿)也将商用密码应用安全性评估的范围予以扩展，《密码法》第27条仅规定使用商用密码进行保护的关键信息基础设施，自行或者委托商用密码检测机构开展商用密码应用安全性评估。而在《条例》(征求意见稿)中，非涉密的关键信息基础设施、⽹络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统都被要求“自行或者委托商用密码检测机构开展商用密码应用安全性评估”。

　　

对于非涉密的关键信息基础设施，《条例》(征求意见稿)规定运营者应履行使用商用密码进行保护、开展商用密码应用安全性评估、使用列⼊商用密码技术指导目录的商用密码技术、采购网络产品和服务的国家安全审查等义务。《网络安全法》规定关键信息基础设施安全检测评估的内容，为了避免重复评估、测评，《条例》(征求意见稿)也要求商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接。

　　

08 强调国家安全审查，规范商密产品及服务

　　

《条例》(征求意见稿)沿袭《密码法》规定关键信息基础设施运营者的国家安全审查内容，即关键信息基础设施的运营者采购涉及商用密码的网络络产品和服务，可能影响国家安全的，应当依法通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。