孙磊 尹琴 霍钰 宋洁 李宁 郭晨萌
2023年5月,中华人民共和国中央人民政府网站公开《商用密码管理条例》(以下简称《条例》)2023年修订版正式稿全文。《条例自2023年7月1日起施行。
(一)新版《条例》简介
新版《条例》共计九章六十七条,主要围绕“科技创新与标准化、检测认证、电子认证、进出口、应用促进、监督管理”提出具体要求。
(1)总则
总则明确了管理原则、条例目的、适用范围、监管部门、人才培养、宣传教育、学术和行业自律等方面。一是明确管理原则是坚持党对商用密码工作的领导,贯彻执行总体国家安全观。二是明确了目的是规范商用密码应用和管理,鼓励促进商用密码产业发展。三是适用范围是中华人民共和国境内的商用密码科研、生产、销售、服务、检测、认证、进出口、应用等活动及监督管理。四是监管部门,即国家密码管理部门负责全国商用密码工作的管理。五是在人才培养方面,建立完善商用密码人才发展体制机制和人才评价制度,鼓励和支持密码相关学科和专业建设,规范商用密码社会化培训,促进商用密码人才交流。六是在宣传教育方面,加强商用密码的宣传教育,提升公民、法人和其他组织的密码安全意识。七是在学术和行业自律方面,商用密码领域的学会、行业协会等社会组织应按照法律、行政法规及章程规定,进行学术交流、政策研究、公共服务等活动,加强学术和行业自律,推动诚信建设,促进行业的健康发展。
(2)科技创新与标准化
通过表彰和奖励作出突出贡献的组织和个人、依法保护知识产权、鼓励密码技术合作、鼓励和支持技术成果转化和产业化应用、审查坚定使用的密码算法、密码协议、密钥管理机制等商用密码技术、规范引导和监督企业团体等制定商用密码标准、推动参与商用密码国际标准化活动、符合强制性鼓励推荐性标准等多方,推动商用密码科技创新和标准化工作。
(3)检测认证
首先,明确了主体责任。商用密码检测技术规范、规则由国家密码管理部门制定并公布。其次,明确了商用密码检测机构。商用密码检测机构,应当经国家密码管理部门认定,依法取得商用密码检测机构资质。再次,明确了认证机构。从事商用密码认证活动的机构,应当依法取得商用密码认证机构资质。
(4)电子认证
一是明确了电子认证的主体责任。国家建立统一的电子认证信任机制。国家密码管理部门负责电子认证信任源的规划和管理,会同有关部门推动电子认证服务互信互认。二是明确了电子认证服务两大要求。采用商用密码技术提供电子认证服务,应依法取得国家密码管理部门同意使用密码的证明文件。三是明确了服务机构从业规范。电子政务电子认证服务机构应当按照法律法规,在批准范围内提供认证服务,并定期报送服务实施情况。四是规范了政务活动中商用密码的使用。密码管理部门会同有关部门负责政务活动中使用电子签名、数据电文的管理。
(5)进出口
一是明确进出口的主体责任,即商用密码进口许可清单和商用密码出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。二是明确了进出口管制范围,即涉及国家安全、社会公共利益且具有加密保护功能的商用密码,列入商用密码进口许可清单,实施进口许可。涉及国家安全、社会公共利益或者中国承担国际义务的商用密码,列入商用密码出口管制清单,实施出口管制。
(6)应用促进
鼓励支持商用密码的应用落地、构建并加强商用密码沟通协调机制、提高基于商用密码保护关键信息基础设施的要求、提高网络运营者使用商用密码的要求、加强商用密码应用安全评估/关键信息基础设施安全检测评估/网络安全等级测评工作的衔接性等,推动促进商用密码的广泛应用和快速健康发展。
(7)监督管理
第一,加强监督检查,依法组织对商用密码活动进行监督检查,指导和监督商用密码相关工作。第二,建立协作机制。建立商用密码监督管理协作机制,加强商用密码监督、检查、指导等工作的协调配合;推进商用密码监督管理与社会信用体系相衔接,依法建立推行商用密码经营主体信用记录、信用分级分类监管、失信惩戒以及信用修复等机制。第三,明确保密义务。商用密码检测、认证机构和电子政务电子认证服务机构及其工作人员,应当对其在商用密码活动中所知悉的国家秘密和商业秘密承担保密义务。
(8)法律责任
針对10种违法活动,分别明确了法律责任。
(二)新版《条例》修订分析
《条例》是对《密码法》的进一步细化阐述,也对我国商用密码管理体系建设的系统性、整体性有具体的指导,更是我国商用密码发展重要里程碑,极大促进我国商用密码产业的蓬勃发展。这次修订对已实施二十四年的原条例进行了全面修订,针对商用密码产品、服务以及关键信息基础设施商用密码应用等与国家安全、国计民生和社会公共利益相关的领域,提出了明确且严格的管控措施。
《条例》修订中增加了一个专章,即原条例中未包含的“监督管理”章节,旨在系统设计商用密码监督管理协作机制和商用密码应用促进协调机制,并明确了监督检查的具体职权。此外,还建立了信用监管的基本制度,构建了一个有效的法治监督体系。
我们国家对商用密码管理的制度进行了系统性设计,兼顾了创新发展和安全保障的双重目标。总体而言,这次修订是商用密码管理法治化方面的一次重大飞跃。
(一)严格商用密码管理
商用密码企业首先应该加强商用密码的管理。企业应当按照新修订的《商用密码管理条例》的要求,加强商用密码的管理,确保商用密码的安全性和保密性,保护商业信息的机密性和完整性。
(二)加强基于国产商用密码算法的产品研发
企业应充分调研市场需求,加强基于国产商用密码算法的产品研发,积极拓展商用密码的应用领域,将商用密码应用到更多的业务场景中,提高业务效率和安全性,推动商用密码技术的应用,提高信息安全水平,保障企业信息安全和国家安全。
(三)加强信息安全意识
商用密码企业应当不断加强员工的信息安全意识,提高员工对商用密码的认识和使用能力,确保商用密码的安全使用。例如,非密设备严禁带入涉密场所、涉密设备违规外联、口令复杂度的设置等。
本文通过对新版《条例》进行分析和解读,从总则、科技创新与标准化、检测认证、电子认证、进出口、应用促进、监督管理等方面分别介绍了相关规定,并对修订内容进行整体分析。最后,从企业发展的角度,提出了严格密码管理、加强基于国产商用密码算法的产品研发、加强信息安全意识、加强合规性管理等建议,为企业在商用密码的发展布局提供参考。