《中華人民共和國密碼法》分析
文\陳玓
北京岳成律師事務所律師助理
《中華人民共和國密碼法》于2019年10月26日發布,自2020年1月1日起施行。該法全文共五章四十四條,是我國密碼保護領域的基礎性法律,旨在規范密碼應用和管理,促進密碼事業發展,保障網絡與信息安全,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益。
一、明確調整對象和管理體制
《密碼法》規定,密碼是指采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務。密碼的科研、生產、經營、進出口、檢測、認證、使用和監督管理等活動,適用本法。對密碼工作進行分級管理,由中央密碼工作領導機構對全國密碼工作實行統一領導;國家密碼管理部門負責管理全國的密碼工作;縣級以上地方各級密碼管理部門負責管理本行政區域的密碼工作;國家機關和涉及密碼工作的單位在其職責范圍內負責本機關、本單位或者本系統的密碼工作。
二、明確密碼分類管理原則
根據《密碼法》的規定,密碼分為核心密碼、普通密碼和商用密碼,實行分類管理,明確了密碼的分類層級。核心密碼、普通密碼用于保護國家秘密信息,核心密碼保護信息的最高密級為絕密級,普通密碼保護信息的最高密級為機密級;核心密碼、普通密碼屬于國家秘密,由密碼管理部門依法實行嚴格統一管理。
商用密碼用于不屬于國家秘密的信息;公民、法人和其他組織均可依法使用商業密碼保護網絡與信息安全。根據《密碼法》的規定,國家鼓勵商用密碼技術的研究開發、學術交流、成果轉化和推廣應用,鼓勵和促進商用密碼產業發展。除對涉及網絡安全的商用密碼進行認證、評估或審查,以及對涉及國家安全、社會公共利益或國際義務的商用密碼產品進行進出口許可/管制外,對一般的商用密碼不采取許可或批準方式監管,只要求商用密碼從業單位相關活動符合有關法律、行政法規、商用密碼強制性國家標準以及該單位公開標準的技術要求。
三、與《網絡安全法》的協調
《密碼法》中進一步明確了商用密碼與《網絡安全法》項下對于網絡關鍵設備和網絡安全專用產品以及關鍵信息基礎設施的運營者相關要求等交叉部分的適用銜接問題:
1. 涉及國家安全、國計民生、社會公共利益的商用密碼產品,將列入《網絡安全法》項下所規定的網絡關鍵設備和網絡安全專用產品目錄,由具備資質的機構檢測認證合格后,方可銷售或者提供。
2. 關鍵信息基礎設施運營者應依法使用商用密碼進行保護,并自行或委托檢測機構進行安全性評估,安全性評估與《網絡安全法》所規定的關鍵信息基礎設施安全檢測評估及網絡安全等級測評制度相銜接,避免重復評估、測評。
3. 關鍵信息基礎設施的運營者采購涉及商用密碼的網絡產品和服務,可能影響國家安全的,應當按照《網絡安全法》的規定,通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。
在《密碼法》出臺前,密碼產品主要依據國務院的行政法規和部門規章監管,缺乏基本法律規范。《密碼法》的出臺,填補了法律層面長期的空白,其所確定的相關原則,對于商業領域中商用密碼產品的發展和應用具有較大積極意義:
1. 放寬對一般性商用密碼產品的限制《密碼法》出臺前,我國依據1999年發布的《商用密碼管理條例》及國家密碼局后續出臺的系列管理規定(以下統稱“原有規定”)對商用密碼進行監管。在原有規定下,任何商用密碼產品均需獲得密碼主管部門的批準方可銷售和使用。另外,企業原則上不得使用和銷售境外生產的密碼產品。作為例外情況,境外組織、個人和外商投資企業可在一定范圍內使用境外生產的商用密碼產品,但也需辦理進口許可。
《密碼法》的出臺大幅放寬了對一般性商用密碼產品、特別是境外生產的商用密碼產品的限制。實踐中,我們的很多客戶并非專門生產、銷售密碼產品的企業,而僅在本企業所生產、銷售的產品(例如汽車、家用電器等)中或經營活動中為安全目的使用了境外的密碼產品或技術。原有規定禁止該等密碼產品或技術的使用和銷售(包括對包含該等產品或技術的非密碼產品的銷售)。在《密碼法》正式生效后,除特殊情況外,大部分此類密碼產品或技術的使用和銷售將無需取得許可或批準,也不再受到限制,避免了相關的合規性問題。
2. 明確對外資的非歧視政策
除放寬一般性商用密碼產品的限制外,《密碼法》還進一步明確了針對外資的非歧視原則。這意味著外商投資企業所研發、使用、銷售、進出口的商用密碼產品或技術,在監管上將與境內的商用密碼產品或技術同等對待,不再設置額外的限制。實踐中,我們的一些外商投資企業客戶,在國有企事業單位的采購招投標過程中有時會面臨一些實際的障礙。在《密碼法》正式生效后,上述情況預計將有所改善。
同時,基于非歧視原則,《密碼法》還明確規定,行政機關不得利用行政手段強制轉讓商用密碼技術,這也在一定程度上消除了此前一些外商投資企業關于是否必須向中國政府部門披露在中國境內所使用的自有密碼技術的顧慮。
3. 與其他法規的銜接
《密碼法》反復強調了在產品以及安全性審查方面應避免重復的認證、評估、測評,有效地將密碼領域的監管與其他現有法律法規項下對于特定產品的監管進行了銜接,在為企業明確了合規方式的同時,也一定程度上降低了相關政府部門程序的成本或負擔。
