国产欧美日韩久久久久,国产精品无码天天爽视频,国产小视频在线观看网站,久久综合精品国产二区无码,嫩草研究院久久久精品

解讀《商用密碼管理條例》修訂草案十大變化

 二維碼
發表時間:2020-11-06 10:00網址:

2020年8月20日,國家密碼管理局發布《商用密碼管理條例(修訂草案征求意見稿)》(“《條例》(征求意見稿)”),對1999年發布并生效的《商用密碼管理條例》(“《條例》1999年版”)進行全面修訂。早在2019年10月26日,《中華人民共和國密碼法》(“《密碼法》”)發布,并已于2020年1月1日生效。由于《密碼法》對商用密碼管理制度進行了結構性重塑,現行《商用密碼管理條例》已無法適應《密碼法》的要求,因此本次修訂應運而生。


本文將結合《密碼法》及相關配套規范,對《條例》(征求意見稿)進行全面解讀,提煉出十大主要變化,幫助相關企業了解我國商用密碼產品制度的歷史沿革與發展趨勢。



變化一:確立法律位階, 落實“放管服”改革


《條例》1999年版的頒布時間早于《密碼法》,因此并未明確規定上位法依據。由于《密碼法》的頒布實施,商用密碼管理作為我國密碼管理中的組織部分,其管理規范以《密碼法》為上位法也是應有之義。而且,《條例》(征求意見稿)重點規定的檢測認證、電子認證、進出口管理制度也與《密碼法》相關內容相互呼應,進一步落實了《密碼法》的管理要求。


根據《密碼法》確立的密碼領域職能轉變和“放管服”改革,在立法宗旨上,《條例》(征求意見稿)更加突出促進商用密碼事業發展的目的。我們可以看到《條例》(征求意見稿)以專章規定“科技創新與標準化”“應用與促進”等內容,體現了促進商用密碼事業發展的立法目的。同時,相較于《條例》1999年版,《條例》(征求意見稿)將“維護國家安全和社會公共利益”放在“保護公民、法人和其他組織的合法權益”之前,強調對國家安全和社會公共利益的保護,《條例》(征求意見稿)中所規定的國家安全審查、外商投資安全審查、進口許可與出口管制等內容均體現了這一目的。


變化二:確立“四級管理+專項管理”機制


《條例》1999年版對密碼管理實行的是國家和省級兩級管理體制,第4條規定“國家密碼管理委員會及其辦公室(以下簡稱國家密碼管理機構)主管全國的商用密碼管理工作。省、自治區、直轄市負責密碼管理的機構根據國家密碼管理機構的委托,承擔商用密碼的有關管理工作。”


《條例(征求意見稿)》沿襲《密碼法》,實際上確定了“四級管理+專項管理”的體制,即國家、省級、市、縣負責相應行政區域的商用密碼工作,國家網信、商務、海關、市場監督管理等有關部門在各自職責范圍內,負責商用密碼有關管理工作[1]


變化三:商用密碼范圍的再界定


在我國現行密碼管理體系下,密碼分為核心密碼、普通密碼和商用密碼。其中,核心密碼、普通密碼用于保護國家秘密信息,商用密碼用于保護不屬于國家秘密的信息。《條例》1999年版第2條規定,“本條例所稱商用密碼,是指對不涉及國家秘密內容的信息進行加密保護或者安全認證所使用的密碼技術和密碼產品。”這里的商用密碼主要是指商用密碼技術和商用密碼產品。


《密碼法》進一步擴展了密碼的范圍與邊界,將“服務”納入密碼的范圍[2],因此《條例》(征求意見稿)也沿襲《密碼法》的立法思路,不僅規制“商用密碼技術和商用密碼產品”,也將“商用密碼服務”納入規制范圍[3]


在《條例》1999年版規定商用密碼技術屬于國家秘密,使用商用密碼技術的主體要遵守與國家秘密相關的所有法律規定。《密碼法》的出臺改變了上述狀況,不再規定商用密碼技術本身為國家秘密,不將商用秘密技術納入國家秘密的管理體系。公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全[4]


而《條例》(征求意見稿)進一步規定商用密碼技術的安全性審查要求,規定“國家密碼管理部門根據商用密碼應用需求或者安全需要,組織對密碼算法、密碼協議、密鑰管理機制等商用密碼技術進行安全性審查,通過安全性審查的,列入商用密碼技術指導目錄。”[5]。而且,對于非涉密的關鍵信息基礎設施、網絡安全等級保護第三級以上網絡、國家政務信息系統等網絡與信息系統,還要求使用列入商用密碼技術指導目錄的商用密碼技術[6]


變化四:細化商用密碼檢測認證制度


隨著《密碼法》的出臺,我國商用密碼產品的管理制度經歷了“審批制”到“檢測認證制”的過程,具體如下:

發布時間

具體內容

1999年10月7日

《條例》1999年版第3條規定,對商用密碼產品的科研、生產、銷售和使用實行專控管理。

2017年9月22日

國務院發布《關于取消一批行政許可事項的決定》(國發〔2017〕46 號),取消了國家密碼管理局負責實施的商用密碼產品生產單位審批、商用密碼產品銷售單位許可、外商投資企業使用境外密碼產品審批、境外組織和個人在華使用密碼產品或者含有密碼技術的設備審批4項行政許可事項。

2017年10月11日

國家密碼管理局發布《關于做好商用密碼產品生產單位審批等4項行政許可取消后相關管理政策銜接工作的通知》(國密局字〔2017〕336號),生產、銷售的商用密碼產品仍應當依法辦理《商用密碼產品型號證書》,并且對商用密碼產品銷售企業繼續實施商用密碼產品銷售登記備案制度。

2017年12月1日

國家密碼管理局發布《關于廢止和修改部分管理規定的決定》,對《商用密碼產品銷售管理規定》《商用密碼產品使用管理規定》和《境外組織和個人在華使用密碼產品管理辦法》三部管理規定予以廢止,對《商用密碼科研管理規定》、《商用密碼產品生產管理規定》和《電子認證服務密碼管理辦法》三部管理規定的部分條款予以修訂。

2019年10月26日

全國人大常委發布《密碼法》,國家推進商用密碼檢測認證體系建設,制定商用密碼檢測認證技術規范、規則,鼓勵商用密碼從業單位自愿接受商用密碼檢測認證,提升市場競爭力。

2019年12月31日

國家密碼管理局、國家市場監督管理總局《關于調整商用密碼產品管理方式的公告》明確規定,取消“商用密碼產品品種和型號審批”,建立國家統一推行的商用密碼認證制度,鼓勵商用密碼產品獲得認證。

2020年3月26日

國家市場監管總局、國家密碼管理局《關于開展商用密碼檢測認證工作的實施意見》(“《實施意見》”)規定,商用密碼認證目錄由市場監管總局、國家密碼管理局共同發布,商用密碼認證規則由市場監管總局發布。

2020年5月9日

市場監管總局 國家密碼管理局發布《商用密碼產品認證目錄(第一批)》《商用密碼產品認證規則》的公告,具體如下:


1)《商用密碼產品認證目錄(第一批)》在密碼管理局過往文件和通知的基礎上,對商用密碼產品的種類、認證依據做了部分調整,細化了認證依據,并且增加了產品描述,更有利于對于商用密碼產品類型的界定[7]


2)《商用密碼產品認證規則》從商用密碼產品認證的適用范圍、認證模式、認證單元劃分、認證實施程序、認證證書、認證標志、認證實施細則和認證責任八個方面對商用密碼產品的認證工作作出規定。

在《密碼法》體系下,對商用密碼認證檢測可以分為三個部分:一是強制檢測、認證,對于涉及國家安全、國計民生、社會公共利益的商用密碼產品,應被依法列入網絡關鍵設備和網絡安全專用產品目錄,由具備資格的機構檢測認證合格后,方可銷售或者提供[8];二是自愿檢測認證,對于不涉及國家安全、國計民生、社會公共利益的商用密碼產品,鼓勵商用密碼從業單位自愿接受商用密碼檢測認證,提升市場競爭力[9];三是商用密碼服務使用網絡關鍵設備和網絡安全專用產品的,應當經商用密碼認證機構對該商用密碼服務認證合格[10]


《條例》(征求意見稿)除了沿襲《密碼法》上述要求,更為重要的是對商用密碼產品檢測與認證機構的資質要求、申請流程、主管機構、監督管理進行具體規定,具體如下:


_

商用密碼檢測

商用密碼認證

主管部門

國家密碼管理部門

國務院市場監督管理部門、國家密碼管理部門

資質要求

(一)具有企業法人或者事業單位法人資格;

(二)具有與從事商用密碼檢測活動相適應的資金、場所、設備設施、專業人員和專業能力;

(三)具有保證商用密碼檢測活動有效運行的管理體系和保障措施。

(一)符合法律、行政法規和國家有關規定要求的認證機構基本條件;

(二)具備與從事商用密碼認證活動相適應的商用密碼檢測、檢查、標準研制與驗證等專業能力。

監管管理

對出具的檢測數據、結果負責,并定期向國家密碼管理部門報送檢測實施情況。

對出具的認證結論負責,并定期向國務院市場監督管理部門和國家密碼管理部門報送認證實施情況。


商用密碼認證機構應當對其認證的商用密碼產品、服務、管理體系實施有效的跟蹤監督,以保證通過認證的商用密碼產品、服務、管理體系持續符合認證要求。


變化五:電子認證


《條例》(征求意見稿)規定了電子認證服務和電子政務電子認證服務的內容:


電子認證服務


根據《中華人民共和國電子簽名法》(“《電子簽名法》”),可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力[11]。由于電子認證服務提供者在開展電子認證服務中會使用密碼,因此《電子簽名法》第17條[12]規定提供電子認證服務的條件,其中之一就包括具有國家密碼管理機構同意使用密碼的證明文件。國家密碼管理局最早于2005年發布《電子認證密碼管理辦法》,要求提供電子認證服務,應當申請《電子認證服務使用密碼許可證》,該《許可證》即為《電子簽名法》第17條規定的國家密碼管理機構同意使用密碼的證明文件。


《條例》(征求意見稿)相應規定采用商用密碼技術提供電子認證服務所應具備的條件(同樣包括依法取得國家秘密管理部門同意使用密碼的證明文件)。


電子政務電子認證服務


電子政務電子認證服務指電子認證服務機構采用商用密碼技術,通過數據證書,為各級政務部門開展社會管理、公共服務等政務活動提供的電子認證服務[13]。《密碼法》第29條規定,“國家密碼管理部門對采用商用密碼技術從事電子政務電子認證服務的機構進行認定,會同有關部門負責政務活動中使用電子簽名、數據電文的管理。”


《條例》(征求意見稿)進一步落實《密碼法》的規定,電子政務電子認證服務機構應經國家密碼管理部門認定,并取得相應資質[14];同時,《條例》(征求意見稿)也規定了取得電子政務電子認證服務機構資質應取得的條件、資質申請流程等[15]。如果外商投資電子政務電子認證服務,影響或可能影響國家安全的,還應當依法進行外商投資安全審查[16],這也與《中華人民共和國外商投資法》(“《外商投資法》”)第35條規定的外商投資安全審查制度[17]相銜接。


變化六:進口許可清單和出口管制清單制度


隨著《密碼法》的出臺,我國對于商用密碼進出口從“批準制”轉變為“進口許可清單和出口管制清單制度”,具體如下:

發布時間

具體內容

1999年10月7日

《條例》1999年版第13條規定,“進口密碼產品以及含有密碼技術的設備或者出口商用密碼產品,必須報經國家密碼管理機構批準。任何單位或者個人不得銷售境外的密碼產品。”

2009年12月10日

國家密碼管理局、海關總署第一批《密碼產品和含有密碼技術的設備進口管理目錄》(國家密碼管理局、海關總署公告第18號)(“18號公告”),規定進口目錄所列商品均實行《密碼產品和含有密碼技術設備進口許可證》管理。

2013年12月31日

國家密碼管理局、海關總署關于發布《密碼產品和含有密碼技術的設備進口管理目錄》調整公告(國家密碼管理局、海關總署公告第27號),宣布廢止18號公號的內容,重新調整了《密碼產品和含有密碼技術的設備進口管理目錄》。

2019年10月26日

《密碼法》第28條規定商用密碼進口許可清單和出口管制清單管理制度,“國務院商務主管部門、國家密碼管理部門依法對涉及國家安全、社會公共利益且具有加密保護功能的商用密碼實施進口許可,對涉及國家安全、社會公共利益或者中國承擔國際義務的商用密碼實施出口管制。商用密碼進口許可清單和出口管制清單由國務院商務主管部門會同國家密碼管理部門和海關總署制定并公布。大眾消費類產品所采用的商用密碼不實行進口許可和出口管制制度。”

2020年1月1日

國家密碼管理局、商務部、海關總署公告第38號《關于做好商用密碼進出口管理工作的過渡和銜接的公告》(“38號公告”),鑒于商用密碼進口許可清單和出口管制清單尚未公布實施,商務部、國家密碼管理局、海關總署作出以下過渡安排:

1) 在商用密碼進口許可清單和出口管制清單公布實施前,商用密碼進出口暫按如下許可條件和程序依法實施進出口許可管理:

? 從事密碼產品和含有密碼技術的設備進口的,按照國家密碼管理局、海關總署聯合發布的國密局第18號、第27號公告辦理;

? 從事商用密碼產品出口的,應當向國家密碼管理局或者各省(區、市)密碼管理局提出“商用密碼產品出口許可”申請,辦理《商用密碼產品出口許可證》。

2) 在商用密碼進口許可清單和出口管制清單制定完成后,將由商務部、國家密碼管理局、海關總署另行發布公告,對商用密碼實施進口許可和出口管制。

《條例》(征求意見稿)進一步落實《密碼法》的要求,規定商用密碼進口許可和商用密碼出口管制的內容。同時,《條例》(征求意見稿)還增加規定了“進口《商用密碼進口許可清單》或者出口《商用密碼出口管制清單》中的商用密碼,應當向國務院商務主管部門申請領取兩用物項[18]進出口許可證”的內容,與我國目前正在制定的《出口管制法》相互呼應。在具體執法過程中,采取海關與國務院商務主管部門、國家密碼管理部門聯動執法的機制:未向海關交驗兩用物項進出口許可證,海關有證據表明進出口產品可能屬于商用密碼進口許可或者出口管制范圍的,應當向進出口經營者提出質疑;海關可以向國務院商務主管部門、國家密碼管理部門提出組織鑒別,并根據鑒別結論依法處置;海關還可以在鑒別或者質疑期間,對進出口產品不予放行[19]


變化七:與等保和關鍵信息基礎設施保護的關系


在等保2.0體系下,不同等級的網絡在使用密碼技術和密碼產品上有不同的要求。以等保三級為例(一般商業運營系統最為廣泛適用的級別),安全通用要求中規定必須使用國家密碼管理主管部門認證核準的密碼技術和產品[20];《網絡安全等級保護條例(征求意見稿)》第47條也規定,第三級以上網絡應當采用密碼保護,并使用國家密碼管理部門認可的密碼技術、產品和服務。


《條例》(征求意見稿)直接體現了上述等保2.0的要求,對于網絡安全等級保護第三級以上網絡,要求運營者應當使用商用密碼進行保護。但是由于等保2.0國家標準僅為推薦性標準,并不具備強制力,因此若《條例》(征求意見稿)生效,將會將網絡安全等級保護的推薦性的要求上升為具有強制力的國家規范。


同時,《條例》(征求意見稿)也將商用密碼應用安全性評估的范圍予以擴展,《密碼法》第27條僅規定使用商用密碼進行保護的關鍵信息基礎設施,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。而在《條例》(征求意見稿)中,非涉密的關鍵信息基礎設施、網絡安全等級保護第三級以上網絡、國家政務信息系統等網絡與信息系統都被要求“自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估”。此外,《條例》(征求意見稿)對于商用密碼保障系統的同步規劃、同步建設、同步運行也與《網絡安全等級保護條例(征求意見稿)》第4條的理念一致[21]


對于非涉密的關鍵信息基礎設施,《條例》(征求意見稿)規定運營者應履行使用商用密碼進行保護、開展商用密碼應用安全性評估、使用列入商用密碼技術指導目錄的商用密碼技術、采購網絡產品和服務的國家安全審查等義務[22]。《網絡安全法》規定關鍵信息基礎設施安全檢測評估的內容,為了避免重復評估、測評,《條例》(征求意見稿)也要求商用密碼應用安全性評估、關鍵信息基礎設施安全檢測評估、網絡安全等級測評應當加強銜接。但是,對于是否開展某一項評估就無須開展其他兩項評估、測評,仍有待主管機構的進一步澄清。


變化八:國家安全審查


《條例》(征求意見稿)沿襲《密碼法》規定關鍵信息基礎設施運營者的國家安全審查內容,即關鍵信息基礎設施的運營者采購涉及商用密碼的網絡產品和服務,可能影響國家安全的,應當依法通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。


2020年4月13日,國家網信辦等12部門聯合發布《網絡安全審查辦法》,對于網絡安全審查的適用對象、審查機構、審查程序、審查要素等進行規定,因此對于關鍵信息基礎設施運營者采購涉及商用密碼的網絡產品和服務的國家安全審查,應與《網絡安全審查辦法》相互銜接,遵循《網絡安全審查辦法》的要求。


變化九:應用與促進


如上文所述,《條例》(征求意見稿)將促進商用密碼事業發展作為立法宗旨,因此規定了一系列商用密碼應用與促進的內容,例如:


  1. 建立健全商用密碼科學技術創新促進機制[23]


  2. 保護商用密碼領域的知識產權[24]


  3. 建立商用密碼標準實施信息反饋和評估機制,對商用密碼標準實施進行監督檢查[25]


  4. 推動參與商用密碼國際標準化活動,參與制定商用密碼國際標準,推進商用密碼中國標準與國外標準之間的轉化運用,鼓勵企業、社會團體和教育、科研機構等參與商用密碼國際標準化活動[26]


  5. 建立商用密碼應用促進協調機制,加強對商用密碼應用的統籌指導[27]


  6. 支持網絡產品、服務使用商用密碼提升安全性,支持并規范商用密碼在信息領域新技術、新業態、新模式中的應用等[28]


如果《條例》(征求意見稿)生效,預計上述應用與促進措施也會有相應的細化規則和落地機制,我們也將持續關注。


變化十:創新監督管理方式


相較于《條例》1999年版注重事前審批的管理,《條例》(征求意見稿)順應“放管服”、普遍性取消審批的要求,轉化監管思路,更加注重商用密碼的全生命周期管理,而不是放松監管。監管思路的轉變的突出標志之一就是加強監管檢查的內容,《條例》(征求意見稿)第43條賦予密碼管理部門和有關部門豐富的監督檢查職權,包括現場檢查、查閱或復制有關資料、查封或者扣押等[29]。而且,《條例》(征求意見稿)也著力推進商用密碼監督管理與社會信用體系相銜接,要求依法建立推行商用密碼市場主體信息記錄、信用分類分級監管、失信懲戒以及信用修復等機制[30]


總體上,由于《密碼法》對《條例》1999年版進行了結構性的重塑,《條例》(征求意見稿)與《條例》1999年版相比,在結構、內容上均有大幅度的變化,以貫徹落實《密碼法》中的有關商用密碼管理具體制度。而且,《條例》(征求意見稿)也與《網絡安全法》《電子簽名法》《外商投資法》《網絡安全審查辦法》及正在制定的《出口管制法》等相互鏈接、相互呼應。由于《條例》(征求意見稿)是商用密碼管理制度的基本制度,有著重要影響,因此我們也將持續關注《條例》(征求意見稿)的立法進展,幫助相關企業及時了解商用密碼管理的最新趨勢。


[注]

[1]《條例》(征求意見稿)第3條。

[2]《密碼法》第2條。

[3]《條例》(征求意見稿)第2條規定,本條例所稱商用密碼,是指采用特定變換的方法對不屬于國家秘密的信息等進行加密保護、安全認證的技術、產品和服務。

[4]《密碼法》第8條第2款。

[5]《條例》(征求意見稿)第9條。

[6]《條例》(征求意見稿)第39條。

[7] 在《商用密碼產品認證目錄(第一批)》頒布之前,密碼管理局已經對密碼產品的類型進行過梳理。例如,根據國家密碼管理局于2017年12發布的《關于密碼模塊若干問題的說明》(以下簡稱“說明”),密碼產品既包含GM/T 0028-2014《密碼模塊安全技術要求》定義的密碼模塊,還包含安全芯片及密碼服務系統(如CA系統、電子簽章系統、動態口令認證系統)等。該說明中對典型密碼產品(包括可信計算密碼支撐平臺、智能密碼鑰匙、金融數據密碼機、智能IC卡等)及其適用標準進行了介紹。

[8]《密碼法》第26條。

[9]《密碼法》第25條。

[10]《密碼法》第26條。

[11]《電子簽名法》第14條。

[12]《電子簽名法》第17條規定,提供電子認證服務,應當具備下列條件:

(一)取得企業法人資格;

(二)具有與提供電子認證服務相適應的專業技術人員和管理人員;

(三)具有與提供電子認證服務相適應的資金和經營場所;

(四)具有符合國家安全標準的技術和設備;

(五)具有國家密碼管理機構同意使用密碼的證明文件;

(六)法律、行政法規規定的其他條件。

[13] 童衛東、李兆宗主編:《中華人民共和國密碼法釋義》,法律出版社2019年版。

[14]《條例》(征求意見稿)第24條。

[15]《條例》(征求意見稿)第25、26條。

[16]《條例》(征求意見稿)第27條。

[17]《外商投資法》第35條規定,國家建立外商投資安全審查制度,對影響或者可能影響國家安全的外商投資進行安全審查。依法作出的安全審查決定為最終決定。

[18] 對于兩用物項的含義,2005年12月31日發布的《兩用物項和技術進出口許可證管理辦法》第2條通過轉致性條款定義兩用物項;2020年7月3日發布的《中華人民共和國出口管制法(草案二次審議稿)》(“草案二次審議稿”)明確對“兩用物項”進行定義,即指既有民事用途,又有軍事用途或者有助于提升軍事潛力,特別是可以用于設計、開發、生產或者使用大規模殺傷性武器的貨物、技術和服務。

[19]《條例》(征求意見稿)第33條。

[20]《基本要求》第8.1.10.9條。

[21]《網絡安全等級保護條例(征求意見稿)》第4條規定,網絡運營者在網絡建設過程中,應當同步規劃、同步建設、同步運行網絡安全保護、保密和密碼保護措施。

[22] 關于國家安全審查的內容詳見下文。

[23]《條例》(征求意見稿)第7條。

[24]《條例》(征求意見稿)第7條。

[25]《條例》(征求意見稿)第10條。

[26]《條例》(征求意見稿)第10條。

[27]《條例》(征求意見稿)第37條。

[28]《條例》(征求意見稿)第36條。

[29]《條例》(征求意見稿)第43條規定,密碼管理部門和有關部門依法開展商用密碼監督檢查,可以行使下列職權:

(一)進入商用密碼活動場所實施現場檢查;

(二)向當事人的法定代表人、主要負責人和其他有關人員調查、了解有關情況;

(三)查閱、復制有關合同、票據、賬簿以及其他有關資料;

(四)對違法從事商用密碼活動的場所、設備設施、產品等予以查封或者扣押;

(五)委托商用密碼檢測、認證機構對商用密碼專業事項進行鑒定。

采取查封、扣押措施的,應當及時查清事實、依法作出處理決定。

[30]《條例》(征求意見稿)第44條。