新修订的《商用密码管理条例》(以下简称《条例》)自2023年7月1日起施行。《条例》承接《密码法》,衔接其他相关法律法规,总结1999年《商用密码管理条例》的部分成熟经验与新时代十年实践成果,确立商用密码使用、应用和管理的法治规则,为商用密码科技创新发展和国家商用密码治理能力提升创造了良好的法治环境。《条例》是一部支持全面现代化特别是数字化转型和数字经济高质量发展的技术性、专业性行政法规。与一些国家侧重通过对密码进出口或在个人隐私、电子权利中规制和管理密码不同,《条例》系统规范了商用密码科研、生产、销售、服务、检测、认证、进出口、应用等生命周期活动,重点关注商用密码技术审查鉴定、检测认证、进出口、应用安全性评估等制度,形成了兼具密码技术共性和中国技术特性的商用密码制度创新体系。
商用密码用于保护不属于国家秘密的信息。网络空间中,实体身份认证、信息来源认证、数据存储与传输安全等都需要商用密码技术来实现。在多种技术交叉融合的网络空间新安全体制中,商用密码技术处于“牵一发而动全身”的核心地位,商用密码对国家安全和社会公共利益保障、组织和个人权益保护的战略地位也不断提升。作为密码面向社会、面向市场的主要阵地和领域,商用密码管理在落实《密码法》要求实现平稳过渡、转型升级方面责任重大。为贯彻落实行政审批制度改革精神,细化《密码法》相关制度,适应新时代商用密码事业发展需求,《商用密码管理条例》及时修订并颁布实施。
《条例》第三条明确“坚持中国共产党对商用密码工作的领导,贯彻落实总体国家安全观”。《密码法》旗帜鲜明地把党管密码这一根本原则写入法律,成为这部法律的灵魂所在。商用密码工作作为密码工作的重要组成部分,必须坚持党的绝对领导。《条例》的修订深入贯彻习近平法治思想,遵循全面依法治国基本方略,明确总体国家安全观在商用密码工作中的指导地位,进一步完善国家商用密码法律体系和管理机制,对商用密码管理系列重大事项和重要制度作出一系列明确规定。
新修订的《条例》立足现代密码学,基于《密码法》对密码的定义明确商用密码概念,即“商用密码是指采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务”。这一概念的调整将商用密码技术和应用能力从1999年《条例》国家秘密的定性中“释放”出来,构成了新修订的《条例》管理对象和方法讨论的起点。《条例》进一步明确鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全,从行政法规层面确立了普遍性的商用密码合法使用权利,可以预见,商用密码将依据《网络安全法》《个人信息保护法》《数据安全法》《电子签名法》等法律被广泛适用于个人信息传输和存储、物联网密码应用、区块链安全保障、电子邮件加密、数字签名认证、端到端加密等场景。这一基础和起点也夯实了商用密码在市场化信息与网络技术中的安全基石地位,并为商用密码在抗量子密码、数据要素流通、人工智能、数字货币等新兴领域的应用提供了广阔的空间。《条例》第三十六条即明确规定,“国家支持网络产品服务使用商用密码提升安全性,支持并规范商用密码在信息领域新技术、新业态、新模式中的应用”。
整体来说,《条例》修订活动揭示了科学技术变革与社会治理规则的互动规律。顺应技术发展和应用的变化形势,以主动求变的方式完成对治理规则的改变,通过抓主要矛盾和矛盾的主要方面,在强化商用密码作为基础和通用技术应用的同时,也为迎接非对称技术、前沿技术和颠覆性技术的颠覆性挑战进行前瞻性储备。
二、规范商用密码全生命周期管理,推动商用密码创新发展
1999年《条例》规定“商用密码的科研成果,由国家密码管理机构组织专家按照商用密码技术标准和技术规范审查、鉴定”,修订的《条例》通过第九条强化审查鉴定这一制度,将通过审查鉴定、具有安全保障的商用密码技术作为生产、销售、标准化、检测认证和应用的安全性前提,是在行政法规层面对审查鉴定范围和对象要素的进一步限定和细化,其对应的行政许可为“商用密码科研成果审查鉴定”,由国家密码管理局负责审批。
从范围看,《条例》明确在“法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统所使用的密码”的范围内进行,与商用密码使用和应用安全性评估的相关规定紧密衔接。《条例》第三十八条、第四十一条强调了关键信息基础设施和网络运营者依法使用密码的义务,使用通过审查鉴定的密码技术是其合规使用密码技术的必备要素。从对象看,进行审查鉴定的商用密码技术为密码算法、密码协议、密钥管理机制等,契合主流商用密码的技术构成要素,也与《商用密码科研成果审查鉴定服务指南》主要内容一致。同时,《条例》第四十七条明确规定“密码管理部门和有关部门及其工作人员不得要求商用密码科研、生产、销售、服务、进出口等单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息”,给审查鉴定的内容管理和监管过程划定了边界。
《条例》重视发挥标准化和检测认证对激发商用密码市场活力的作用,取消商用密码产品生产单位审批、销售单位许可、品种和型号审批,建立国家统一推行的商用密码认证制度,规范检测机构活动,并积极为国际密码标准体系贡献“中国方案”。
《条例》对商用密码检测认证的行政许可资质规定了具体要求,与2023年3月国务院办公厅公布的《国务院办公厅关于公布<法律、行政法规、国务院决定设定的行政许可事项清单(2023年版)>的通知》(以下简称《通知》)相呼应。根据《通知》,“认证机构资质许可”事项的实施机关是市场监管总局,“商用密码产品质量检测机构资质认定”的实施机关是国家密码管理局。《条例》进一步强化实施机关对认证和检测机构的违法行为管理,对于商用密码检测机构违法开展商用密码检测活动的,由密码管理部门责令改正或者实施行政处罚,对于商用密码认证机构违法开展商用密码检测活动的,由市场监督管理部门会同密码管理部门责令改正或者实施行政处罚。
《密码法》明确了商用密码进出口的行政许可要求,2020年商务部、国家密码管理局和海关总署联合发布商用密码进口许可清单和商用密码出口管制清单后,通过许可证管理商用密码进出口成为常态。《条例》在固定已有制度成果基础上,按照《对外贸易法》和《出口管制法》细化完善商用密码进出口许可、进出口报关查验相关条款。特别是发布版《条例》严格反映了《密码法》和《出口管制法》等法律要求,特别增加“对国家安全、社会公共利益或者外交政策有重大影响的商用密码出口”的批准要求,该条件下的批准机构为国务院,由国务院商务主管部门会同国家密码管理部门等有关部门报批,在商用密码领域真正做到了对临时出口管制制度的落实。
《条例》坚持问题导向,坚守底线思维,对涉及国家安全、国计民生社会公共利益的产品和服务,关键信息基础设施和重要网络信息系统使用等关键环节进行重点把控。在商用密码强制使用和应用安全性评估方面,《条例》充分体现原则与弹性并重,安全与发展不悖的理念。商用密码应用安全性评估是加强和规范商用密码应用的重要路径,《条例》第三十八条承接《密码法》第二十七条第一款规定,明确要求关键信息基础设施进行商用密码应用安全性评估,突出对关键信息基础设施的重点保障。新增第四十一条规定“网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。国家密码管理部门根据网络的安全保护等级、确定商用密码的使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范”。涉及国计民生和基础信息资源的重要信息系统、政务信息系统,以及关键信息基础设施、网络安全等级保护第三级以上信息系统的商用密码使用、管理和应用安全性评估工作将体现“重要而有差别的”,“匹配而非一刀切的”保护和监管原则。
在商用密码的社会化使用方面,《条例》体现了信息和系统并重的原则。一方面,《条例》国家明确规定,鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全,为商用密码的广泛应用提供法律保障。另一方面,旗帜鲜明的专门规定了禁止性条款,禁止任何组织和个人窃取加密信息或侵入商用密码保障系统,禁止利用商用密码从事违法犯罪活动,也是对近年来勒索软件攻击等密码技术滥用“公害”活动的强有力回应,为商用密码的安全应用打下坚实基础。
在监管职责方面,《条例》细化了《密码法》赋予的国家密码管理部门监管职责,设置“监督管理”专章,涵盖包括行政监督、行政检查、行政指导、行政许可、行政处罚等较为广泛的职权范围,充分体现和符合行政检查、行政强制的法律要求,分别对应于执法活动的不同阶段,为监管对象提供更为清晰、准确的监管信号。值得一提的是,因为《密码法》没有予以密码管理部门行政强制执行权,所以《条例》第四十五条最终没有设置查封、扣押等行政强制权。
同时,《条例》也科学界定密码管理部门与网信、商务、海关、市场监督管理等有关部门的各自职责边界,完善管理体制,避免职能不清可能造成的弊端,同时明确会同有关部门加强重点工作会商,形成执法合力。
以《条例》实施为契机,持续推动商用密码发展法治化是密码管理部门的重要任务。首先,需要进一步加强商用密码制度体系的整体规划设计,增强立法的系统性、协同性、时效性。实体性法律依据方面,需加快推动商用密码创新促进、检测认证机构管理、应用安全性评估等方面的配套规章、规范性文件制修订工作。2023年6月9日,《商用密码检测机构管理办法(征求意见稿)》和《商用密码应用安全性评估管理办法(征求意见稿)》已向社会公开征求意见;程序性规范方面,需完善行政执法程序、裁量基准、权责清单、监督机制等。作为地方密码管理部门,则更需要根据地区管理体制建立情况,研究和解决执法监管中可能的新情况新问题,考虑结合实际制定完善本地区商用密码管理制度措施;其次,密码管理部门也需坚守密码忠诚与责任,强化法治机关建设,提升自身密码执法监管素养,想用、会用、敢用《条例》赋予的职权,加快推动管理职能转变和管理方式创新。如可在充分运用“双随机、一公开”检查模式的基础上,以常态化检查为主,结合对特定主体、特定领域的专项检查,督促网络运营者、关键信息基础设施运营者等相关主体落实《条例》要求,严格落实责任追究制度,推动商用密码的合法、合规、正确使用;再次,密码管理部门需要做好宣传普及,凝聚全社会推进密码法治思想共识,推动在全社会形成学习宣传贯彻《条例》的热潮,增强公民、法人和其他组织的密码安全意识。
《条例》修订首次引入商用密码领域社会组织规定,第六条明确商用密码领域的社会组织在密码管理部门指导和支持下开展学术交流、政策研究和公共服务的使命担当,加强学术和行业自律,推动诚信建设,促进行业健康发展。我国密码领域的社会组织发展良好,中国密码学会、密码法治实践创新基地、地方密码协会等做了大量密码技术、政策法律交流和宣传教育等工作。新时代的商用密码已经进入与信息、生物、材料、能源等技术深度融合和产业化发展的阶段,全球新一轮科技革命和产业变革加速升级,以元宇宙、抗量子密码、ChatGPT、GPT-4等为代表的未来技术迭代更新与超前部署,信息技术迭代升级带来的网络安全威胁形势不断演化。《条例》实施后,包括密码法治智库在内的商用密码领域社会组织不仅应在《条例》的交流学习和宣传普及等引领行业发展,更应发挥专业担当,深入挖掘密码在数字经济发展、密码可持续技术创新以及网络空间安全之间的关系,为商用密码技术创新提供更好的战略支撑,评估我国密码应用、创新发展与安全保障现状,从长周期、大局观视角观察国际密码法治演进,支撑密码管理部门谋划推进、调整优化包括密码法律制度结构和规范体系。
《条例》妥善处理与《密码法》《网络安全法》《数据安全法》《出口管制法》《电子签名法》《认证认可条例》《关键信息基础设施安全保护条例》等法律法规的关系,体现了对其他网络空间基本法律的衔接和支撑,使得网络空间法律治理的体系更具包容和张力。复杂多变的外部环境、法治建设的内在驱动与未来技术的迭代升级相互交织背景下,《条例》的发布施行恰逢其时而又任重道远,既为中国网络空间治理注入了新的法治工具,又需直面新时代新形势带来的挑战。展望未来,从研究视角来说,商用密码管理相关法律法规协调性、面向数据安全和关键信息基础设施安全保护的商用密码应用创新、商用密码管理制度体系对抗量子密码技术发展的适应性分析、中国关键信息基础设施和重要信息系统抗量子迁移规范等都是《条例》实施后十分有价值且亟待研究的方向。【本论文得到公安部第三研究所2023基科费项目C23251支持】
(本文刊登于《中国信息安全》杂志2023年第7期)