築牢網絡安全的基石——《商用密碼管理條例》要點解讀與合規觀

#商用密碼管理條例#

2023年4月27日，修訂後的《商用密碼管理條例》公布，自2023年7月1日起施行。本文深入解讀了《條例》的核心要點，并結合企業在商用密碼合規管理層面的有關風險和義務向其提出建議，以供讀者參考。

作者丨陳際紅 陳瑊 劉連炻

2023年4月27日，修訂後的《商用密碼管理條例》（以下簡稱“《條例》”）公布，自2023年7月1日起施行。大陸密碼領域的第一部法律《中華人民共和國密碼法》（以下簡稱“《密碼法》”）于2020年1月1日實施，對大陸的商用密碼管理制度進行了結構性重塑。為适應商用密碼技術創新的發展需求，協調同《密碼法》的适用關系，同年，國家密碼管理局釋出《商用密碼管理條例（修訂草案征求意見稿）》（以下簡稱“征求意見稿”），對1999年釋出并生效的《商用密碼管理條例》（以下簡稱“原《條例》”）進行全面修訂。《條例》的釋出對促進商用密碼技術的有序發展，構築并完善現有監管體系意義重大。

一、《條例》核心要點評析

（一）貫徹總體國家安全觀，理清“四級管理+專項管理”機制

征求意見稿就商用密碼監管建構了“四級管理+專項管理”的機制，即國家、省級、市、縣密碼管理部門負責相應行政區域的商用密碼工作，國家網信、商務、海關、市場監督管理等有關部門在各自職責範圍内負責商用密碼有關管理工作。[1]《條例》進一步強調應堅持黨對商用密碼工作的上司，貫徹落實總體國家安全觀，并就國家密碼管理部門與其他主管部門的職權範圍作出了進一步協調：

第一，要求國務院市場監督管理部門在審查商用密碼認證機構資質申請時，應當征求國家密碼管理部門的意見；

第二，厘清國家密碼管理部門與國務院商務主管部門就商用密碼進口許可和出口管制事宜的職權範圍；

第三，明确國家密碼管理部門對商用密碼标準實施監督檢查的職責；

第四，對國家密碼管理部門及有關部門開展商用密碼監督檢查的職權進行了限縮。

（二）多管齊下，促進密碼科技創新與标準化

征求意見稿主要在以下幾個層面就促進商業密碼科技創新與标準化确立起總體的保障要求：

第一，通過對作出突出貢獻的組織和個人予以表彰與獎勵，增強知識産權保護，促進商用密碼技術的創新[2]；

第二，支援商用密碼技術成果轉化和産業化[3]；

第三，對密碼算法、密碼協定、密鑰管理機制等商用技術進行安全性審查[4]；

第四，組織制定商用密碼國家标準、行業标準，推動參與商用密碼國際标準化活動，對商用密碼團體标準的制定進行規範、引導和監督。[5]

《條例》進一步在以下方面對征求意見稿原有規定内容作出了完善：

一是鼓勵外資開展商用密碼技術合作：《條例》明确，國家鼓勵外資參與商用密碼技術合作的總體原則，對行政機關及其從業人員利用行政手段強制轉讓商用密碼技術作出禁止性規定。

二是明确強制性審查鑒定的商用密碼技術範圍，删除技術指導目錄相關規定：《條例》明确強制性審查鑒定的商用密碼技術應為“法律、行政法規和國家有關規定要求使用商用密碼進行保護的網絡與資訊系統所使用的”商用密碼技術，并删除了征求意見稿中要求将通過安全性審查的商用密碼技術列入商用密碼技術指導目錄的要求。

（三）落實“放管服”，細化商用密碼檢測認證明施要求

大陸商用密碼産品的管理制度經曆了“審批制”到“檢測認證制”的過程：

• 根據原《條例》規定，國家對商用密碼産品的科研、生産、銷售和使用實行專控管理；
• 2017年9月，随着《國務院關于取消一批行政許可事項的決定》（國發〔2017〕46 号）的釋出，商用密碼産品生産機關審批、商用密碼産品銷售機關許可、外商投資企業使用境外密碼産品審批、境外組織和個人在華使用密碼産品或者含有密碼技術的裝置審批等4項行政許可事項被取消；
• 2017年12月，國家密碼管理局釋出《國家密碼管理局關于廢止和修改部分管理規定的決定》，對《商用密碼産品銷售管理規定》《商用密碼産品使用管理規定》和《境外組織和個人在華使用密碼産品管理辦法》三部管理規定予以廢止；
• 2019年《密碼法》頒布，确立了強制檢測認證和自願檢測認證相結合的監管機制。

《條例》對《密碼法》中的上述規定進行了細化，對商用密碼産品檢測與認證機構的主管部門、資質要求、申請流程、監督管理進行具體規定，具體如下：

圖表1 商用密碼檢測與認證明施機制

此外，就《密碼法》所确立的強制檢測與自願檢測相結合的實施機制，《條例》中也做出了進一步規定。對于符合以下條件的商用密碼産品應經過檢測認證合格後方可銷售、提供[14]：

一是涉及國家安全、國計民生、社會公共利益的商用密碼産品，應當依法列入網絡關鍵裝置和網絡安全專用産品目錄，由具備資格的商用密碼檢測、認證機構檢測認證合格後，方可銷售或者提供；

二是商用密碼服務使用網絡關鍵裝置和網絡安全專用産品的，應當經商用密碼認證機構對該商用密碼服務認證合格。

而對于除上述兩種情形之外的商用密碼産品，目前主要采取鼓勵态度，明确了相關商用密碼産品提供者可以自願接受商用密碼檢測認證。

（四）與《電子簽名法》銜接，确立電子認證商用密碼管控要求

《條例》在《密碼法》的基礎上，對電子認證服務機構及電子政務電子認證服務機構應該遵循的要求分别作出了規定，具體如下：

圖表2 電子認證與電子政務電子認證機構應滿足的要求

根據國家密碼管理局官網公布的資訊，截止本文成文前，電子認證服務使用密碼許可機關一共有64家；電子政務電子認證服務機構一共有56家。[22]《條例》還進一步明确，外商投資電子政務電子認證服務，影響或可能影響國家安全的，應當依法進行外商投資安全審查[23]，這也與《中華人民共和國外商投資法》第三十五條規定的外商投資安全審查制度相銜接。

（五）從“準許制”到“清單制”，進一步完善商用密碼進出口管制要求

中國對商用密碼進出口的管制，經曆了從“準許制”到“清單制”的轉變：

• 原《條例》第十三條規定，進口密碼産品以及含有密碼技術的裝置或者出口商用密碼産品，必須報經國家密碼管理機構準許。任何機關或者個人不得銷售境外的密碼産品。
• 《密碼法》以“清單制”代替“準許制”，對涉及國家安全、社會公共利益且具有加密保護功能的商用密碼實施進口許可，對涉及國家安全、社會公共利益或者中國承擔國際義務的商用密碼實施出口管制。商用密碼進口許可清單和出口管制清單由國務院商務主管部門會同國家密碼管理部門和海關總署制定并公布。此外，大衆消費類産品所采用的商用密碼不實行進口許可和出口管制制度。
• 2020年11月，商務部、國家密碼管理局、海關總署釋出《關于釋出商用密碼進口許可清單、出口管制清單和相關管理措施的公告》（以下簡稱“《商用密碼進口許可出口管制公告》”），公告明确了“商用密碼進口許可清單”“商用密碼出口管制清單”以及商用密碼進出口許可程式。

上述規定和實踐在《條例》中得以延續，《條例》第三十一條在征求意見稿的基礎上，補充規定“大衆消費類産品所采用的商用密碼不實行進口許可和出口管制制度”，與《密碼法》第二十八條進行了立法體系上的協調和内容呼應；《條例》第三十三條規定了海關對進出口許可證進行校驗檢查的相關要求；第三十四條在征求意見稿的基礎上補充了相關規定，對申請商用密碼進出口許可的流程做出了進一步明确，具體如下：

圖表3 商用密碼産品進出口管控流程

（六）制度協同，應協調與等保、關鍵資訊基礎設施監管之間的适用關系

《條例》第三十八條、三十九條在征求意見稿的基礎上，對應當使用商業密碼進行保護及應開展商用密碼應用安全性評估（以下簡稱“密評”）的關鍵資訊基礎設施的條件，由“非涉密的關鍵資訊基礎設施”調整為“法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵資訊基礎設施”，具體範圍尚待進一步明确。此外，上述兩條規定在修訂過程中删除了網絡安全等級保護第三級以上網絡、國家政務資訊系統等網絡與資訊系統，将前述兩類資訊系統排除在第三十八條、三十九條的适用範圍之外，并新增第四十一條對根據網絡安全等級保護制度應當如何使用商用密碼的資訊系統進行密評作出了專門規定，法條的體系及條理得以進一步完善。具體如下：

圖表4 關鍵資訊基礎設施與等級保護相關密評要求

根據上述規定，關鍵資訊基礎設施運作後每年應至少進行一次評估，評估情況報密碼管理部門備案。同時，《條例》第三十九條規定，對于應當通過商用密碼保護的關鍵資訊基礎設施，“使用的商用密碼産品、服務應當經檢測認證合格，使用的密碼算法、密碼協定、密鑰管理機制等商用密碼技術應當通過國家密碼管理部門審查鑒定”，對于此處提及的兩項條件，我們傾向于應當是“和”而非“或”的關系。

此外，《條例》第四十一條中雖然采用了“網絡營運者應當按照國家網絡安全等級保護制度要求，使用商用密碼保護網絡安全”這一相對模糊的規定，但結合征求意見稿原有表述，以及《貫徹落實網絡安全等級保護制度和關鍵資訊基礎設施安全保護制度的指導意見》第二條第（六）項的規定[28]，從企業合規的角度而言，我們認為宜根據意見的前述規定，對于網絡安全等級保護三級以上網絡采用商用密碼技術進行保護，并根據《條例》規定進行商用密碼安全性評估，遵循網絡安全等級保護密碼标準規範。

二、企業合規應對建議

随着數字技術的發展，越來越多的企業在業務中涉及到商用密碼技術的應用。《條例》的出台為企業在商用密碼合規管理層面也帶來新的挑戰。

（一）關注商用密碼産品強制檢測認證的合規義務

1. 風險提示

根據《條例》規定，對于符合條件的商用密碼産品應經過檢測認證合格後方可銷售、提供。對于列入“網絡關鍵裝置和網絡安全專用産品目錄”的商用密碼産品以及使用網絡關鍵裝置和網絡專用産品的商用密碼服務，應該履行網絡關鍵裝置和網絡專用産品的檢測認證合規義務。

《網絡安全法》第二十三條[29]對上述合規義務做出了規定，《關于修改<中華人民共和國網絡安全法>的決定（征求意見稿）》第一條明确了違反《網絡安全法》第二十三條的法律責任。如《中華人民共和國網絡安全法（修訂征求意見稿）》最終生效，則對于提供未經檢測認證的網絡關鍵裝置和網絡專用産品的網絡産品提供者而言，将面臨具體的法律風險。

2. 應對建議

對于使用網絡關鍵裝置和網絡安全專用産品的商用密碼服務提供者而言，可參考下表，對自身提供的商用密碼服務是否涉及使用網絡關鍵裝置和網絡安全專用産品予以認定，并在此基礎上判斷是否需要落實商用密碼服務的檢測認證，以及網絡關鍵裝置和網絡安全專用産品的檢測認證合規義務。

圖表5 網絡關鍵裝置和網絡安全專用産品目錄（第一批）[30]

（二）關注商用密碼産品進出口管制合規義務

1. 風險提示

《條例》第三十二條規定，“進口商用密碼進口許可清單中的商用密碼或者出口商用密碼出口管制清單中的商用密碼，應當向國務院商務主管部門申請領取進出口許可證。商用密碼的過境、轉運、通運、再出口，在境外與綜合保稅區等海關特殊監管區域之間進出，或者在境外與出口監管倉庫、保稅物流中心等保稅監管場所之間進出的，适用前款規定。”是以，對于進口商用密碼進口許可清單中的商用密碼或者出口商用密碼出口管制清單中的商用密碼提供者而言，應當就相關商用密碼的進出口向商務部申請相應的進出口許可證。

2. 應對建議

《商用密碼進口許可出口管制公告》中明确了“商用密碼進口許可清單”及“商用密碼出口管制清單”中包含的産品範圍。我們建議，商用密碼産品提供者應在進出口商用密碼産品之前，判斷相關産品是否落入“商用密碼進口許可清單”及“商用密碼出口管制清單”的範圍，對于落入前述清單範圍的商用密碼産品應該在進出口之前申請相應的許可證，落實進出口合規義務。

（三）關注關鍵資訊基礎設施及等保相關商用密碼産品合規義務

1. 風險提示

《條例》規定，關鍵資訊基礎設施營運者如涉及在其所營運的關鍵資訊基礎設施上使用商用密碼的情況，需承擔商用密碼應用安全性評估及檢測認證的義務：

• 安全性評估義務：應在關鍵資訊基礎設施投入營運前自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估；在投入營運後每年至少進行一次評估，評估情況按照國家有關規定報送國家密碼管理部門或者關鍵資訊基礎設施所在地省、自治區、直轄市密碼管理部門備案。
• 檢測認證合規義務：使用的商用密碼産品、服務應當經檢測認證合格；使用的密碼算法、密碼協定、密鑰管理機制等商用密碼技術應當通過國家密碼管理部門審查鑒定。

而對于一般的網絡營運者而言，則應該按照國家網絡安全等級保護制度要求，使用商用密碼保護網絡安全。

2. 應對建議

對于構成關鍵資訊基礎設施營運者的企業而言，如涉及在其所營運的關鍵資訊基礎設施上使用商用密碼，應落實《條例》項下的安全評估及檢測認證的義務。而對于一般的網絡營運者而言，則應該按照國家網絡安全等級保護制度要求，使用商用密碼保護網絡安全。

三、結語

商用密碼廣泛服務于經濟社會各領域，對于保障網絡強國、數字中國等國家重大戰略的順利實施意義重大，直接關系國家政治安全、經濟安全、國防安全和資訊安全。本次《條例》的修訂及釋出實施，全面落實《密碼法》立法精神，為在法治軌道上推進商用密碼高品質發展提供了清晰完整的實施路徑。企業應密切關注《條例》确立的相關法律要求，履行商用密碼産品及服務相關合規管控義務，落實合規主體責任。

[注]

[1]《商用密碼管理條例（修訂草案征求意見稿）》第三條。

[2]《商用密碼管理條例（修訂草案征求意見稿）》第七條。

[3]《商用密碼管理條例（修訂草案征求意見稿）》第八條。

[4]《商用密碼管理條例（修訂草案征求意見稿）》第九條。

[5]《商用密碼管理條例（修訂草案征求意見稿）》第十條。

[6]《商用密碼管理條例》第十五條。

[7]《商用密碼管理條例》第十七條。

[8]《商用密碼管理條例》第十四條。

[9]《商用密碼管理條例》第十八條。

[10]《商用密碼管理條例》第十五條。

[11]《商用密碼管理條例》第十八條。

[12]《商用密碼管理條例》第十六條。

[13]《商用密碼管理條例》第十九條。

[14]《商用密碼管理條例》第二十條、二十一條。

[15]《商用密碼管理條例》第二十二條。

[16]《商用密碼管理條例》第二十四條。

[17]《商用密碼管理條例》第二十二條。

[18]《商用密碼管理條例》第二十五條。

[19]《商用密碼管理條例》第二十六條。

[20]《商用密碼管理條例》第二十三條。

[21]《商用密碼管理條例》第二十八條。

[22] 參見：http://www.sca.gov.cn/app-zxfw/xzspsx/syxkdw.jsp?channel_code=c100142，最後通路時間2023年6月5日。

[23]《商用密碼管理條例》第二十七條。

[24]《商用密碼管理條例》第三十八條。

[25]《商用密碼管理條例》第四十一條。

[26]《商用密碼管理條例》第三十九條。

[27]《商用密碼管理條例》第四十條。

[28]《貫徹落實網絡安全等級保護制度和關鍵資訊基礎設施安全保護制度的指導意見》第二條第（六）項規定，“落實密碼安全防護要求。網絡營運者應貫徹落實《密碼法》等有關法律法規規定和密碼應用相關标準規範。第三級以上網絡應正确、有效采用密碼技術進行保護，并使用符合相關要求的密碼産品和服務。第三級以上網絡營運者應在網絡規劃、建設和運作階段，按照密碼應用安全性評估管理辦法和相關标準，在網絡安全等級測評中同步開展密碼應用安全性評估。”

[29]《中華人民共和國網絡安全法》第二十三條規定，“網絡關鍵裝置和網絡安全專用産品應當按照相關國家标準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求後，方可銷售或者提供。國家網信部門會同國務院有關部門制定、公布網絡關鍵裝置和網絡安全專用産品目錄，并推動安全認證和安全檢測結果互認，避免重複認證、檢測。”

[30] 參見《關于釋出<網絡關鍵裝置和網絡安全專用産品目錄（第一批）>的公告》，http://www.cac.gov.cn/2017-06/09/c_1121113591.htm?eqid=ff2c0150000012740000000564264f2b，最後通路時間：2023年6月5日。

特别聲明

以上所刊登的文章僅代表作者本人觀點，不代表北京市中倫律師事務所或其律師出具的任何形式之法律意見或建議。

如需轉載或引用該等文章的任何内容，請私信溝通授權事宜，并于轉載時在文章開頭處注明來源于公衆号“中倫視界”及作者姓名。未經本所書面授權，不得轉載或使用該等文章中的任何内容，含圖檔、影像等視聽資料。如您有意就相關議題進一步交流或探讨，歡迎與本所聯系。