《中華人民共和國(guó)密碼法》分析
文\陳玓
北京岳成律師事務(wù)所律師助理
《中華人民共和國(guó)密碼法》于2019年10月26日發(fā)布,自2020年1月1日起施行。該法全文共五章四十四條,是我國(guó)密碼保護(hù)領(lǐng)域的基礎(chǔ)性法律�,旨在規(guī)范密碼應(yīng)用和管理��,促進(jìn)密碼事業(yè)發(fā)展,保障網(wǎng)絡(luò)與信息安全��,維護(hù)國(guó)家安全和社會(huì)公共利益,保護(hù)公民��、法人和其他組織的合法權(quán)益�����。
一���、明確調(diào)整對(duì)象和管理體制
《密碼法》規(guī)定���,密碼是指采用特定變換的方法對(duì)信息等進(jìn)行加密保護(hù)��、安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù)。密碼的科研、生產(chǎn)、經(jīng)營(yíng)�����、進(jìn)出口��、檢測(cè)��、認(rèn)證���、使用和監(jiān)督管理等活動(dòng)���,適用本法�����。對(duì)密碼工作進(jìn)行分級(jí)管理��,由中央密碼工作領(lǐng)導(dǎo)機(jī)構(gòu)對(duì)全國(guó)密碼工作實(shí)行統(tǒng)一領(lǐng)導(dǎo);國(guó)家密碼管理部門(mén)負(fù)責(zé)管理全國(guó)的密碼工作��;縣級(jí)以上地方各級(jí)密碼管理部門(mén)負(fù)責(zé)管理本行政區(qū)域的密碼工作���;國(guó)家機(jī)關(guān)和涉及密碼工作的單位在其職責(zé)范圍內(nèi)負(fù)責(zé)本機(jī)關(guān)�、本單位或者本系統(tǒng)的密碼工作。
二��、明確密碼分類(lèi)管理原則
根據(jù)《密碼法》的規(guī)定�,密碼分為核心密碼、普通密碼和商用密碼�����,實(shí)行分類(lèi)管理,明確了密碼的分類(lèi)層級(jí)��。核心密碼�����、普通密碼用于保護(hù)國(guó)家秘密信息�����,核心密碼保護(hù)信息的最高密級(jí)為絕密級(jí),普通密碼保護(hù)信息的最高密級(jí)為機(jī)密級(jí)��;核心密碼���、普通密碼屬于國(guó)家秘密���,由密碼管理部門(mén)依法實(shí)行嚴(yán)格統(tǒng)一管理����。
商用密碼用于不屬于國(guó)家秘密的信息�;公民、法人和其他組織均可依法使用商業(yè)密碼保護(hù)網(wǎng)絡(luò)與信息安全�����。根據(jù)《密碼法》的規(guī)定��,國(guó)家鼓勵(lì)商用密碼技術(shù)的研究開(kāi)發(fā)�����、學(xué)術(shù)交流、成果轉(zhuǎn)化和推廣應(yīng)用��,鼓勵(lì)和促進(jìn)商用密碼產(chǎn)業(yè)發(fā)展��。除對(duì)涉及網(wǎng)絡(luò)安全的商用密碼進(jìn)行認(rèn)證��、評(píng)估或?qū)彶椋约皩?duì)涉及國(guó)家安全����、社會(huì)公共利益或國(guó)際義務(wù)的商用密碼產(chǎn)品進(jìn)行進(jìn)出口許可/管制外�����,對(duì)一般的商用密碼不采取許可或批準(zhǔn)方式監(jiān)管����,只要求商用密碼從業(yè)單位相關(guān)活動(dòng)符合有關(guān)法律、行政法規(guī)��、商用密碼強(qiáng)制性國(guó)家標(biāo)準(zhǔn)以及該單位公開(kāi)標(biāo)準(zhǔn)的技術(shù)要求�����。
三�、與《網(wǎng)絡(luò)安全法》的協(xié)調(diào)
《密碼法》中進(jìn)一步明確了商用密碼與《網(wǎng)絡(luò)安全法》項(xiàng)下對(duì)于網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品以及關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者相關(guān)要求等交叉部分的適用銜接問(wèn)題:
1. 涉及國(guó)家安全��、國(guó)計(jì)民生�、社會(huì)公共利益的商用密碼產(chǎn)品���,將列入《網(wǎng)絡(luò)安全法》項(xiàng)下所規(guī)定的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄����,由具備資質(zhì)的機(jī)構(gòu)檢測(cè)認(rèn)證合格后,方可銷(xiāo)售或者提供。
2. 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)依法使用商用密碼進(jìn)行保護(hù),并自行或委托檢測(cè)機(jī)構(gòu)進(jìn)行安全性評(píng)估����,安全性評(píng)估與《網(wǎng)絡(luò)安全法》所規(guī)定的關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估及網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)制度相銜接����,避免重復(fù)評(píng)估�����、測(cè)評(píng)�。
3. 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國(guó)家安全的,應(yīng)當(dāng)按照《網(wǎng)絡(luò)安全法》的規(guī)定��,通過(guò)國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)家密碼管理部門(mén)等有關(guān)部門(mén)組織的國(guó)家安全審查���。
在《密碼法》出臺(tái)前�,密碼產(chǎn)品主要依據(jù)國(guó)務(wù)院的行政法規(guī)和部門(mén)規(guī)章監(jiān)管��,缺乏基本法律規(guī)范�����。《密碼法》的出臺(tái),填補(bǔ)了法律層面長(zhǎng)期的空白,其所確定的相關(guān)原則,對(duì)于商業(yè)領(lǐng)域中商用密碼產(chǎn)品的發(fā)展和應(yīng)用具有較大積極意義:
1. 放寬對(duì)一般性商用密碼產(chǎn)品的限制《密碼法》出臺(tái)前�����,我國(guó)依據(jù)1999年發(fā)布的《商用密碼管理?xiàng)l例》及國(guó)家密碼局后續(xù)出臺(tái)的系列管理規(guī)定(以下統(tǒng)稱(chēng)“原有規(guī)定”)對(duì)商用密碼進(jìn)行監(jiān)管���。在原有規(guī)定下����,任何商用密碼產(chǎn)品均需獲得密碼主管部門(mén)的批準(zhǔn)方可銷(xiāo)售和使用。另外���,企業(yè)原則上不得使用和銷(xiāo)售境外生產(chǎn)的密碼產(chǎn)品。作為例外情況�����,境外組織�、個(gè)人和外商投資企業(yè)可在一定范圍內(nèi)使用境外生產(chǎn)的商用密碼產(chǎn)品,但也需辦理進(jìn)口許可����。
《密碼法》的出臺(tái)大幅放寬了對(duì)一般性商用密碼產(chǎn)品����、特別是境外生產(chǎn)的商用密碼產(chǎn)品的限制��。實(shí)踐中,我們的很多客戶并非專(zhuān)門(mén)生產(chǎn)�、銷(xiāo)售密碼產(chǎn)品的企業(yè)���,而僅在本企業(yè)所生產(chǎn)�����、銷(xiāo)售的產(chǎn)品(例如汽車(chē)、家用電器等)中或經(jīng)營(yíng)活動(dòng)中為安全目的使用了境外的密碼產(chǎn)品或技術(shù)�����。原有規(guī)定禁止該等密碼產(chǎn)品或技術(shù)的使用和銷(xiāo)售(包括對(duì)包含該等產(chǎn)品或技術(shù)的非密碼產(chǎn)品的銷(xiāo)售)�����。在《密碼法》正式生效后����,除特殊情況外�����,大部分此類(lèi)密碼產(chǎn)品或技術(shù)的使用和銷(xiāo)售將無(wú)需取得許可或批準(zhǔn)�����,也不再受到限制,避免了相關(guān)的合規(guī)性問(wèn)題����。
2. 明確對(duì)外資的非歧視政策
除放寬一般性商用密碼產(chǎn)品的限制外��,《密碼法》還進(jìn)一步明確了針對(duì)外資的非歧視原則。這意味著外商投資企業(yè)所研發(fā)��、使用��、銷(xiāo)售�、進(jìn)出口的商用密碼產(chǎn)品或技術(shù)��,在監(jiān)管上將與境內(nèi)的商用密碼產(chǎn)品或技術(shù)同等對(duì)待����,不再設(shè)置額外的限制���。實(shí)踐中��,我們的一些外商投資企業(yè)客戶�����,在國(guó)有企事業(yè)單位的采購(gòu)招投標(biāo)過(guò)程中有時(shí)會(huì)面臨一些實(shí)際的障礙。在《密碼法》正式生效后�,上述情況預(yù)計(jì)將有所改善�。
同時(shí)���,基于非歧視原則�����,《密碼法》還明確規(guī)定�,行政機(jī)關(guān)不得利用行政手段強(qiáng)制轉(zhuǎn)讓商用密碼技術(shù)���,這也在一定程度上消除了此前一些外商投資企業(yè)關(guān)于是否必須向中國(guó)政府部門(mén)披露在中國(guó)境內(nèi)所使用的自有密碼技術(shù)的顧慮����。
3. 與其他法規(guī)的銜接
《密碼法》反復(fù)強(qiáng)調(diào)了在產(chǎn)品以及安全性審查方面應(yīng)避免重復(fù)的認(rèn)證��、評(píng)估�����、測(cè)評(píng),有效地將密碼領(lǐng)域的監(jiān)管與其他現(xiàn)有法律法規(guī)項(xiàng)下對(duì)于特定產(chǎn)品的監(jiān)管進(jìn)行了銜接,在為企業(yè)明確了合規(guī)方式的同時(shí)����,也一定程度上降低了相關(guān)政府部門(mén)程序的成本或負(fù)擔(dān)����。
