密码法：以立法开启密码产业新征

程戴军

密码工作是党和国家的一项特殊重要事业，在我国革命、建设、改革的各个历史时期，都发挥了不可替代的重要作用。2019年10月26日，十三届全国人大常委会第十四次会议通过《中华人民共和国密码法》（以下简称《密码法》），于2020年1月1日起正式施行。

密码法的颁布是我国密码工作的重要里程碑，标志着密码发展进入有法可依的時代，密码管理、科研、产业、应用、检测等环节均正式步入法制化轨道。与此同时，在密码法的护航之下，密码产业也即将站在新的起点启帆远航。

密码法体现维护国家安全与促进产业发展的辩证统一

《国家安全法》第八条规定，维护国家安全，应当与经济社会发展相协调。安全是发展的前提，发展是安全的保障，《密码法》在立法中很好地处理了二者之间的辩证统一关系。在坚决维护国家安全的前提下，《密码法》依法确立了促进密码事业发展的一系列制度措施，努力为密码科技创新、产业发展和应用推广营造良好环境。

第一，明确密码发展促进和保障的各项措施。《密码法》明确指出，国家鼓励和支持密码科学技术研究和应用，依法保护密码领域的知识产权，促进密码科学技术进步和创新。同时，《密码法》又进一步针对核心密码、普通密码和商用密码具体规定了不同的发展要求，包括：国家加强核心密码、普通密码的科学规划、管理和使用等;国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用，健全统一、开放、竞争、有序的商用密码市场体系，鼓励和促进商用密码产业发展。

第二，强化相关从业单位各项权益保护。《密码法》明确要求，各级人民政府及其有关部门应当遵循非歧视原则，依法平等对待包括外商投资企业在内的商用密码从业单位。《密码法》强调行业自律，通过行业组织为从业单位开展服务，引导和督促商用密码从业单位依法开展商用密码活动，推动行业诚信建设，促进行业健康发展。《密码法》强化对监管部门和检测认证机构的保密责任要求，保护企业商业秘密。

第三，在维护国家安全前提下，平衡“放”与“管”的关系，减轻企业负担。与商用密码条例相比，《密码法》按照“放管服”改革要求，转变监管思路，大幅度削减行政许可数量，放宽市场准入。从商用密码条例规定的全流程事前审批，改为侧重事中事后监管，以自愿检测认证和自行或者委托第三方评估为基本原则，同时在销售和提供、应用、进出口等几个重点环节的部分重点领域设置有关强制检测认证、许可和审查制度。

密码法对商用密码产业发展的积极影响

充分体现“放管服”制度框架下的市场化、开放化。当前，以行政审批为基本手段的定点制度已经不能完全适应市场化的商用密码产业。国家密码管理局自2015年开始，逐步取消了商用密码定点科研、生产和销售的行政审批，以产品检测认证机制严把准入关、维护市场秩序。本次颁布的《密码法》进一步明确了商用密码产业的市场化属性，提出要建立健全“统一、开放、竞争、有序的商用密码市场体系”，平等对待商用密码所有从业单位，鼓励与外商之间基于商业规则的合作交流，充分体现国家推行由市场配置资源，通过市场竞争促进产业能力和产品质量持续提升的决心。

推进应用，拉动产业升级和技术革新。当前，包括密码企业在内的我国网络安全企业规模整体偏小，产业创新能力有所不足。《密码法》明确了关键信息基础设施运营者应使用商用密码保护信息系统安全并实施商用密码应用安全性评估，这一举措将为密码产业链上拥有高质量密码产品或服务的从业单位提供可观的发展空间。同时鼓励商用密码研究开发、学术交流、成果转化和推广应用，为商用密码科研、生产、销售、服务创造了良好、开放的环境。通过供需两端的同时发力，起到以应用促创新、以创新保发展的效果，长期来看，将显著拉动密码产业的产业升级和技术革新。

强化监管，利于产业可持续健康发展。《密码法》再次强调取消对商用密码生产、销售等环节从业企业的许可管理，而是从标准符合、产品检测认证、专用产品目录、安全审查、行业自律等多方面结合、多手段配合的方式强化监管，充分调动商用密码行业协会的引导和监督作用，对特定重要行业的密码应用则强调密码管理部门与行业有关部门的配合监管，对商用密码活动建立日常监管和随机抽查相结合的事中事后监管制度，同步推进监管体制与社会信用体系的衔接，强化商用密码从业单位自律、社会监督。

对密码产业未来发展的思考

转变生产观念，以需求为引领大力开拓创新。随着各行业业务发展越来越多样化，对密码保障服务的需求逐渐细分，传统的“以我为中心”的产品生产组织模式已不能满足多样化的应用需求，密码机、密码卡、智能密码钥匙等传统密码产品不可能是包治百病的良药。商用密码从业单位需要转变生产观念，学会“走出去”，深入了解应用方的业务需求，针对性组织技术研发、产品研制，切实做到密码与业务的融合，提供与业务深度匹配的安全保障能力。

升级经营模式，由产品供给向服务供给转变。我国商用密码产业历史上一直以产品供给为主，用户方需自行建设和维护密码保障体系，既耗费人力物力又欠缺专业能力，致使密码应用意愿不强。密码企业作为专业化密码力量，应尽快升级经营模式，从产品交付转变到服务交付及结合产品和服务的综合性密码应用解决方案交付，为用户提供“一站式”专业化密码服务。     强化产业融合，营造健康可持续发展的产业生态环境。密码的生态系统不是独立的，涵盖了信息技术基础软硬件、中间件及信息系统的集成服务和运营等。密码产业必须实现与信息产业的深入融合、共同促进、协同发展。密码企业应加强与信息产业链各环节的协作，例如与处理器芯片、操作系统、数据库、浏览器、工业控制软硬件等供应商协作研究商用密码嵌入信息产品的完善方案。通过与信息产业的同步共进，为信息产业打造真正的“安全港”，也保证了密码生态系统的平衡协调发展。

作者系杭州市委办公厅副主任