【全文】
网络安全是近几年法律行业很热的一个新兴领域,部分律师同仁将发力点落脚在网络安全领域并从事数据合规业务。本文拟简单介绍网络安全领域的支撑技术之一,即密码,尤其是商用密码产品。
密码领域词汇释义
1.《密码法》项下的“密码”
《密码法》中的密码(cryptography),是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。而人们日常接触的计算机或手机开机“密码”、微信“密码”、QQ“密码”、电子邮箱登录“密码”、银行卡支付“密码”等,实际上是口令(password)。口令是进入个人计算机、手机、电子邮箱或银行账户的“通行证”,是一种简单、初级的身份认证手段,“口令”不在《密码法》的管理范围之内。
密码的主要功能有两个,一个是加密保护,另一个是安全认证。加密保护是指采用特定变换的方法,将原来可读的信息变成不能直接识别的符号序列。安全认证是指采用特定变换的方法,确认信息是否完整、是否被篡改、是否可靠以及行为是否真实。
2.密码的分类
《密码法》根据保护对象的不同,对核心密码、普通密码进行划分。核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息。商用密码用于保护不属于国家秘密的信息。
核心密码、普通密码用于保护国家秘密信息,有力保障了中央政令军令安全,为维护国家网络空间主权、安全和发展利益构筑起密码屏障。按照《保守国家秘密法》的规定,国家秘密是指关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。
3. 商用密码
商用密码用于保护不属于国家秘密的信息。也就是说,商用密码可以用于保护除国家秘密之外的所有信息,既可以保护企业商业秘密、公民个人隐私,也可以保护政务领域中不属于国家秘密的工作信息。关于商用密码的名称,1996年,中央决定在我国大力发展商用密码,加强对商用密码的管理。1999年,国务院颁布施行《商用密码管理条例》(国务院令第273号),商用密码的名称开始为社会所熟知和广泛使用。此后,中央文件和党内法规以及国家密码管理局制定发布的规范性文件均采用了“商用密码”这一名称。
4.商用密码产品
商用密码产品,是指采用商用密码技术进行加密保护、安全认证的产品。商用密码产品可分为软件、芯片、模块、板卡、整机、系统六类。典型的商用密码产品包括:密码机,如链路密码机、网络密码机、服务器密码机、传真密码机、电话密码机等;密码芯片和模块,如第二代居民身份证、智能电卡、社会保障卡、金融芯片卡中使用的密码芯片、可信计算密码模块等。
商用密码产品管理方式
在2019年《密码法》实施以前,针对商用密码管理最高位阶的规范性文件是国务院于1999年公布并实施的《商用密码管理条例》。《商用密码管理条例》第三条规定,商用密码技术属于国家秘密,国家对于商用密码产品的生产、提供和销售实行专控管理。
从1999年《商用密码管理条例》到2019年《密码法》的实施,国家对于商用密码产品的管理逐渐放松,且管理重心由“管单位”过渡到“管产品”。《密码法》第八条规定,商用密码用于保护不属于国家秘密的信息。
为了适应国家密码管理体制的调整及《密码法》的实施,《商用密码管理条例》的修订被提上日程。国家密码局于2020.8.20发布了《关于<商用密码管理条例(修订草案征求意见稿)>公开征求意见的通知》,但截至目前尚未有正式的新条例公布。
商用密码产品的生产
第一个阶段:商用密码产品生产定点单位证书及商用密码产品型号证书
根据《商用密码管理条例》第七条、第八条的规定,商用密码产品的生产单位必须由国家密码管理局指定,且生产的品种和型号也必须经国家密码管理局批准。根据《商用密码管理条例》第九条的规定,商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格。
第二个阶段:商用密码产品生产定点单位证书取消,保留商用密码产品型号证书
根据2017.10.11发布的《国家密码管理局关于做好商用密码产品生产单位审批等4项行政许可取消后相关管理政策衔接工作的通知》,生产、销售商用密码产品的单位无需再经国家密码管理局批准,但生产、销售的商用密码产品仍应当依法办理《商用密码产品型号证书》。
第三个阶段:商用密码产品生产定点单位证书取消,商用密码产品型号证书取消,改为商用密码产品自愿认证
2020.1.1实施的《密码法》取消了商用密码产品生产的行政审批,代之以自愿性的商用密码产品认证(由经国家密码局许可的第三方认证机构进行)。2019.12.31发布的《国家密码管理局、市场监管总局关于调整商用密码产品管理方式的公告》规定自2020.1.1起,根据《密码法》的规定,国家密码管理局自2020.1.1起不再受理商用密码产品品种和型号申请,停止发放《商用密码产品型号证书》。自2020.7.1,已发放的《商用密码产品型号证书》自动失效。
商用密码产品的销售
第一个阶段:商用密码产品销售许可证
根据《商用密码管理条例》第十条的规定,商用密码产品由国家密码管理机构许可的单位销售,未经许可,任何单位或者个人不得销售商用密码产品。
第二个阶段:商用密码产品销售登记备案
根据2017.10.11发布的《国家密码管理局关于做好商用密码产品生产单位审批等4项行政许可取消后相关管理政策衔接工作的通知》,密码管理局不再受理商用密码产品销售单位许可申请,但继续依法实施商用密码产品销售登记备案制度。根据对主管部门匿名咨询,虽然无明文规定取消商用密码产品销售登记备案制度,但实操中已不再实施。
第三个阶段:取消商用密码产品销售行政审批
2020.1.1实施的《密码法》取消了商用密码产品销售的行政审批。但根据《中华人民共和国密码法》第二十六条的规定,如果商用密码产品同时被列入网络关键设备和网络安全专用产品目录,应由具备资格的机构检测认证合格后,方可销售或者提供。
综上,目前实操层面,商用密码产品销售登记备案制度已实际不再继续执行,商用密码从业单位销售商用密码产品,无需备案无需许可,但如果拟售商用密码产品列入网络关键设备和网络安全专用产品名录,则需在销售前对商用密码产品进行检测、认证并取得认证证书。
商用密码产品的认证
商用密码产品认证分为自愿认证和强制认证两种,除列入网络关键设备和网络安全专用产品目录的商用密码产品外,均为自愿认证。
2020.5.9,市场监管总局会同国家密码管理局联合发布了《商用密码产品认证目录(第一批)》和《商用密码产品认证规则》。国家密码管理局指定的认证中心可针对《商用密码产品认证目录》项下的商用密码产品进行认证。
根据《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》,国家网信办会同工信部、公安部、认监委统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果,对经具备资格的机构安全认证或检测,符合相关国家标准强制性要求的产品予以公布。
商用密码产品的进出口
根据《密码法》第二十八条的规定,《密码法》施行后,商用密码进出口将纳入两用物项进出口管理,由商务部、国家密码管理局依法实施进口许可和出口管制,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。进口《商用密码进口许可清单》所列物项和技术,应向商务部申请办理两用物项和技术进口许可证;出口《商用密码出口管制清单》所列物项和技术,应向商务部申请办理两用物项和技术出口许可证。
总结
总体上而言,《商用密码管理条例》(1999年施行)关于商用密码产品生产、销售的相关规定不再适用。《密码法》(2020年施行)对于密码从业单位生产、销售、提供商用密码产品均无资质要求。《密码法》规定了商用密码产品的自愿认证制度,但如果商用密码产品被列入网络关键设备和网络安全专用产品目录,应由具备资格的机构检测认证合格后,才可销售或者提供。
