關(guān)于瑞術(shù)

公司概況

新聞動態(tài)

聯(lián)系我們

黨建活動

解讀《商用密碼管理條例》修訂草案十大變化

二維碼

發(fā)表時間：2020-11-06 10:00網(wǎng)址：https://mp.weixin.qq.com/s/QdlkDGzmOmF7O-GNy1D5vQ

2020年8月20日，國家密碼管理局發(fā)布《商用密碼管理條例（修訂草案征求意見稿）》（“《條例》（征求意見稿）”），對1999年發(fā)布并生效的《商用密碼管理條例》（“《條例》1999年版”）進行全面修訂。早在2019年10月26日，《中華人民共和國密碼法》（“《密碼法》”）發(fā)布，并已于2020年1月1日生效。由于《密碼法》對商用密碼管理制度進行了結(jié)構(gòu)性重塑，現(xiàn)行《商用密碼管理條例》已無法適應(yīng)《密碼法》的要求，因此本次修訂應(yīng)運而生。

本文將結(jié)合《密碼法》及相關(guān)配套規(guī)范，對《條例》（征求意見稿）進行全面解讀，提煉出十大主要變化，幫助相關(guān)企業(yè)了解我國商用密碼產(chǎn)品制度的歷史沿革與發(fā)展趨勢。

變化一：確立法律位階，落實“放管服”改革

《條例》1999年版的頒布時間早于《密碼法》，因此并未明確規(guī)定上位法依據(jù)。由于《密碼法》的頒布實施，商用密碼管理作為我國密碼管理中的組織部分，其管理規(guī)范以《密碼法》為上位法也是應(yīng)有之義。而且，《條例》（征求意見稿）重點規(guī)定的檢測認證、電子認證、進出口管理制度也與《密碼法》相關(guān)內(nèi)容相互呼應(yīng)，進一步落實了《密碼法》的管理要求。

根據(jù)《密碼法》確立的密碼領(lǐng)域職能轉(zhuǎn)變和“放管服”改革，在立法宗旨上，《條例》（征求意見稿）更加突出促進商用密碼事業(yè)發(fā)展的目的。我們可以看到《條例》（征求意見稿）以專章規(guī)定“科技創(chuàng)新與標準化”“應(yīng)用與促進”等內(nèi)容，體現(xiàn)了促進商用密碼事業(yè)發(fā)展的立法目的。同時，相較于《條例》1999年版，《條例》（征求意見稿）將“維護國家安全和社會公共利益”放在“保護公民、法人和其他組織的合法權(quán)益”之前，強調(diào)對國家安全和社會公共利益的保護，《條例》（征求意見稿）中所規(guī)定的國家安全審查、外商投資安全審查、進口許可與出口管制等內(nèi)容均體現(xiàn)了這一目的。

變化二：確立“四級管理+專項管理”機制

《條例》1999年版對密碼管理實行的是國家和省級兩級管理體制，第4條規(guī)定“國家密碼管理委員會及其辦公室(以下簡稱國家密碼管理機構(gòu))主管全國的商用密碼管理工作。省、自治區(qū)、直轄市負責密碼管理的機構(gòu)根據(jù)國家密碼管理機構(gòu)的委托，承擔商用密碼的有關(guān)管理工作?！?/p>

《條例（征求意見稿）》沿襲《密碼法》，實際上確定了“四級管理+專項管理”的體制，即國家、省級、市、縣負責相應(yīng)行政區(qū)域的商用密碼工作，國家網(wǎng)信、商務(wù)、海關(guān)、市場監(jiān)督管理等有關(guān)部門在各自職責范圍內(nèi)，負責商用密碼有關(guān)管理工作[1]。

變化三：商用密碼范圍的再界定

在我國現(xiàn)行密碼管理體系下，密碼分為核心密碼、普通密碼和商用密碼。其中，核心密碼、普通密碼用于保護國家秘密信息，商用密碼用于保護不屬于國家秘密的信息?！稐l例》1999年版第2條規(guī)定，“本條例所稱商用密碼，是指對不涉及國家秘密內(nèi)容的信息進行加密保護或者安全認證所使用的密碼技術(shù)和密碼產(chǎn)品。”這里的商用密碼主要是指商用密碼技術(shù)和商用密碼產(chǎn)品。

《密碼法》進一步擴展了密碼的范圍與邊界，將“服務(wù)”納入密碼的范圍[2]，因此《條例》（征求意見稿）也沿襲《密碼法》的立法思路，不僅規(guī)制“商用密碼技術(shù)和商用密碼產(chǎn)品”，也將“商用密碼服務(wù)”納入規(guī)制范圍[3]。

在《條例》1999年版規(guī)定商用密碼技術(shù)屬于國家秘密，使用商用密碼技術(shù)的主體要遵守與國家秘密相關(guān)的所有法律規(guī)定?！睹艽a法》的出臺改變了上述狀況，不再規(guī)定商用密碼技術(shù)本身為國家秘密，不將商用秘密技術(shù)納入國家秘密的管理體系。公民、法人和其他組織可以依法使用商用密碼保護網(wǎng)絡(luò)與信息安全[4]。

而《條例》（征求意見稿）進一步規(guī)定商用密碼技術(shù)的安全性審查要求，規(guī)定“國家密碼管理部門根據(jù)商用密碼應(yīng)用需求或者安全需要，組織對密碼算法、密碼協(xié)議、密鑰管理機制等商用密碼技術(shù)進行安全性審查，通過安全性審查的，列入商用密碼技術(shù)指導(dǎo)目錄?！?strong style="margin:0px;padding:0px;max-width:100%;box-sizing:border-box;overflow-wrap:break-word !important;">[5]。而且，對于非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護第三級以上網(wǎng)絡(luò)、國家政務(wù)信息系統(tǒng)等網(wǎng)絡(luò)與信息系統(tǒng)，還要求使用列入商用密碼技術(shù)指導(dǎo)目錄的商用密碼技術(shù)[6]。

變化四：細化商用密碼檢測認證制度

隨著《密碼法》的出臺，我國商用密碼產(chǎn)品的管理制度經(jīng)歷了“審批制”到“檢測認證制”的過程，具體如下：

發(fā)布時間	具體內(nèi)容
1999年10月7日	《條例》1999年版第3條規(guī)定，對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實行?？毓芾?。
2017年9月22日	國務(wù)院發(fā)布《關(guān)于取消一批行政許可事項的決定》（國發(fā)〔2017〕46 號），取消了國家密碼管理局負責實施的商用密碼產(chǎn)品生產(chǎn)單位審批、商用密碼產(chǎn)品銷售單位許可、外商投資企業(yè)使用境外密碼產(chǎn)品審批、境外組織和個人在華使用密碼產(chǎn)品或者含有密碼技術(shù)的設(shè)備審批4項行政許可事項。
2017年10月11日	國家密碼管理局發(fā)布《關(guān)于做好商用密碼產(chǎn)品生產(chǎn)單位審批等4項行政許可取消后相關(guān)管理政策銜接工作的通知》（國密局字〔2017〕336號），生產(chǎn)、銷售的商用密碼產(chǎn)品仍應(yīng)當依法辦理《商用密碼產(chǎn)品型號證書》，并且對商用密碼產(chǎn)品銷售企業(yè)繼續(xù)實施商用密碼產(chǎn)品銷售登記備案制度。
2017年12月1日	國家密碼管理局發(fā)布《關(guān)于廢止和修改部分管理規(guī)定的決定》，對《商用密碼產(chǎn)品銷售管理規(guī)定》《商用密碼產(chǎn)品使用管理規(guī)定》和《境外組織和個人在華使用密碼產(chǎn)品管理辦法》三部管理規(guī)定予以廢止，對《商用密碼科研管理規(guī)定》、《商用密碼產(chǎn)品生產(chǎn)管理規(guī)定》和《電子認證服務(wù)密碼管理辦法》三部管理規(guī)定的部分條款予以修訂。
2019年10月26日	全國人大常委發(fā)布《密碼法》，國家推進商用密碼檢測認證體系建設(shè)，制定商用密碼檢測認證技術(shù)規(guī)范、規(guī)則，鼓勵商用密碼從業(yè)單位自愿接受商用密碼檢測認證，提升市場競爭力。
2019年12月31日	國家密碼管理局、國家市場監(jiān)督管理總局《關(guān)于調(diào)整商用密碼產(chǎn)品管理方式的公告》明確規(guī)定，取消“商用密碼產(chǎn)品品種和型號審批”，建立國家統(tǒng)一推行的商用密碼認證制度，鼓勵商用密碼產(chǎn)品獲得認證。
2020年3月26日	國家市場監(jiān)管總局、國家密碼管理局《關(guān)于開展商用密碼檢測認證工作的實施意見》（“《實施意見》”）規(guī)定，商用密碼認證目錄由市場監(jiān)管總局、國家密碼管理局共同發(fā)布，商用密碼認證規(guī)則由市場監(jiān)管總局發(fā)布。
2020年5月9日	市場監(jiān)管總局國家密碼管理局發(fā)布《商用密碼產(chǎn)品認證目錄（第一批）》《商用密碼產(chǎn)品認證規(guī)則》的公告，具體如下： 1)《商用密碼產(chǎn)品認證目錄（第一批）》在密碼管理局過往文件和通知的基礎(chǔ)上，對商用密碼產(chǎn)品的種類、認證依據(jù)做了部分調(diào)整，細化了認證依據(jù)，并且增加了產(chǎn)品描述，更有利于對于商用密碼產(chǎn)品類型的界定[7]。 2)《商用密碼產(chǎn)品認證規(guī)則》從商用密碼產(chǎn)品認證的適用范圍、認證模式、認證單元劃分、認證實施程序、認證證書、認證標志、認證實施細則和認證責任八個方面對商用密碼產(chǎn)品的認證工作作出規(guī)定。

在《密碼法》體系下，對商用密碼認證檢測可以分為三個部分：一是強制檢測、認證，對于涉及國家安全、國計民生、社會公共利益的商用密碼產(chǎn)品，應(yīng)被依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，由具備資格的機構(gòu)檢測認證合格后，方可銷售或者提供[8]；二是自愿檢測認證，對于不涉及國家安全、國計民生、社會公共利益的商用密碼產(chǎn)品，鼓勵商用密碼從業(yè)單位自愿接受商用密碼檢測認證，提升市場競爭力[9]；三是商用密碼服務(wù)使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的，應(yīng)當經(jīng)商用密碼認證機構(gòu)對該商用密碼服務(wù)認證合格[10]。

《條例》（征求意見稿）除了沿襲《密碼法》上述要求，更為重要的是對商用密碼產(chǎn)品檢測與認證機構(gòu)的資質(zhì)要求、申請流程、主管機構(gòu)、監(jiān)督管理進行具體規(guī)定，具體如下：

	商用密碼檢測	商用密碼認證
主管部門	國家密碼管理部門	國務(wù)院市場監(jiān)督管理部門、國家密碼管理部門
資質(zhì)要求	（一）具有企業(yè)法人或者事業(yè)單位法人資格；（二）具有與從事商用密碼檢測活動相適應(yīng)的資金、場所、設(shè)備設(shè)施、專業(yè)人員和專業(yè)能力；（三）具有保證商用密碼檢測活動有效運行的管理體系和保障措施。	（一）符合法律、行政法規(guī)和國家有關(guān)規(guī)定要求的認證機構(gòu)基本條件；（二）具備與從事商用密碼認證活動相適應(yīng)的商用密碼檢測、檢查、標準研制與驗證等專業(yè)能力。
監(jiān)管管理	對出具的檢測數(shù)據(jù)、結(jié)果負責，并定期向國家密碼管理部門報送檢測實施情況。	對出具的認證結(jié)論負責，并定期向國務(wù)院市場監(jiān)督管理部門和國家密碼管理部門報送認證實施情況。商用密碼認證機構(gòu)應(yīng)當對其認證的商用密碼產(chǎn)品、服務(wù)、管理體系實施有效的跟蹤監(jiān)督，以保證通過認證的商用密碼產(chǎn)品、服務(wù)、管理體系持續(xù)符合認證要求。

變化五：電子認證

《條例》（征求意見稿）規(guī)定了電子認證服務(wù)和電子政務(wù)電子認證服務(wù)的內(nèi)容：

電子認證服務(wù)

根據(jù)《中華人民共和國電子簽名法》（“《電子簽名法》”），可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力[11]。由于電子認證服務(wù)提供者在開展電子認證服務(wù)中會使用密碼，因此《電子簽名法》第17條[12]規(guī)定提供電子認證服務(wù)的條件，其中之一就包括具有國家密碼管理機構(gòu)同意使用密碼的證明文件。國家密碼管理局最早于2005年發(fā)布《電子認證密碼管理辦法》，要求提供電子認證服務(wù)，應(yīng)當申請《電子認證服務(wù)使用密碼許可證》，該《許可證》即為《電子簽名法》第17條規(guī)定的國家密碼管理機構(gòu)同意使用密碼的證明文件。

《條例》（征求意見稿）相應(yīng)規(guī)定采用商用密碼技術(shù)提供電子認證服務(wù)所應(yīng)具備的條件（同樣包括依法取得國家秘密管理部門同意使用密碼的證明文件）。

電子政務(wù)電子認證服務(wù)

電子政務(wù)電子認證服務(wù)指電子認證服務(wù)機構(gòu)采用商用密碼技術(shù)，通過數(shù)據(jù)證書，為各級政務(wù)部門開展社會管理、公共服務(wù)等政務(wù)活動提供的電子認證服務(wù)[13]?！睹艽a法》第29條規(guī)定，“國家密碼管理部門對采用商用密碼技術(shù)從事電子政務(wù)電子認證服務(wù)的機構(gòu)進行認定，會同有關(guān)部門負責政務(wù)活動中使用電子簽名、數(shù)據(jù)電文的管理。”

《條例》（征求意見稿）進一步落實《密碼法》的規(guī)定，電子政務(wù)電子認證服務(wù)機構(gòu)應(yīng)經(jīng)國家密碼管理部門認定，并取得相應(yīng)資質(zhì)[14]；同時，《條例》（征求意見稿）也規(guī)定了取得電子政務(wù)電子認證服務(wù)機構(gòu)資質(zhì)應(yīng)取得的條件、資質(zhì)申請流程等[15]。如果外商投資電子政務(wù)電子認證服務(wù)，影響或可能影響國家安全的，還應(yīng)當依法進行外商投資安全審查[16]，這也與《中華人民共和國外商投資法》（“《外商投資法》”）第35條規(guī)定的外商投資安全審查制度[17]相銜接。

變化六：進口許可清單和出口管制清單制度

隨著《密碼法》的出臺，我國對于商用密碼進出口從“批準制”轉(zhuǎn)變?yōu)椤斑M口許可清單和出口管制清單制度”，具體如下：

發(fā)布時間	具體內(nèi)容
1999年10月7日	《條例》1999年版第13條規(guī)定，“進口密碼產(chǎn)品以及含有密碼技術(shù)的設(shè)備或者出口商用密碼產(chǎn)品，必須報經(jīng)國家密碼管理機構(gòu)批準。任何單位或者個人不得銷售境外的密碼產(chǎn)品?！?/strong>
2009年12月10日	國家密碼管理局、海關(guān)總署第一批《密碼產(chǎn)品和含有密碼技術(shù)的設(shè)備進口管理目錄》（國家密碼管理局、海關(guān)總署公告第18號）（“18號公告”），規(guī)定進口目錄所列商品均實行《密碼產(chǎn)品和含有密碼技術(shù)設(shè)備進口許可證》管理。
2013年12月31日	國家密碼管理局、海關(guān)總署關(guān)于發(fā)布《密碼產(chǎn)品和含有密碼技術(shù)的設(shè)備進口管理目錄》調(diào)整公告（國家密碼管理局、海關(guān)總署公告第27號），宣布廢止18號公號的內(nèi)容，重新調(diào)整了《密碼產(chǎn)品和含有密碼技術(shù)的設(shè)備進口管理目錄》。
2019年10月26日	《密碼法》第28條規(guī)定商用密碼進口許可清單和出口管制清單管理制度，“國務(wù)院商務(wù)主管部門、國家密碼管理部門依法對涉及國家安全、社會公共利益且具有加密保護功能的商用密碼實施進口許可，對涉及國家安全、社會公共利益或者中國承擔國際義務(wù)的商用密碼實施出口管制。商用密碼進口許可清單和出口管制清單由國務(wù)院商務(wù)主管部門會同國家密碼管理部門和海關(guān)總署制定并公布。大眾消費類產(chǎn)品所采用的商用密碼不實行進口許可和出口管制制度?！?/strong>
2020年1月1日	國家密碼管理局、商務(wù)部、海關(guān)總署公告第38號《關(guān)于做好商用密碼進出口管理工作的過渡和銜接的公告》（“38號公告”），鑒于商用密碼進口許可清單和出口管制清單尚未公布實施，商務(wù)部、國家密碼管理局、海關(guān)總署作出以下過渡安排： 1) 在商用密碼進口許可清單和出口管制清單公布實施前，商用密碼進出口暫按如下許可條件和程序依法實施進出口許可管理： ? 從事密碼產(chǎn)品和含有密碼技術(shù)的設(shè)備進口的，按照國家密碼管理局、海關(guān)總署聯(lián)合發(fā)布的國密局第18號、第27號公告辦理； ? 從事商用密碼產(chǎn)品出口的，應(yīng)當向國家密碼管理局或者各?。▍^(qū)、市）密碼管理局提出“商用密碼產(chǎn)品出口許可”申請，辦理《商用密碼產(chǎn)品出口許可證》。 2) 在商用密碼進口許可清單和出口管制清單制定完成后，將由商務(wù)部、國家密碼管理局、海關(guān)總署另行發(fā)布公告，對商用密碼實施進口許可和出口管制。

《條例》（征求意見稿）進一步落實《密碼法》的要求，規(guī)定商用密碼進口許可和商用密碼出口管制的內(nèi)容。同時，《條例》（征求意見稿）還增加規(guī)定了“進口《商用密碼進口許可清單》或者出口《商用密碼出口管制清單》中的商用密碼，應(yīng)當向國務(wù)院商務(wù)主管部門申請領(lǐng)取兩用物項[18]進出口許可證”的內(nèi)容，與我國目前正在制定的《出口管制法》相互呼應(yīng)。在具體執(zhí)法過程中，采取海關(guān)與國務(wù)院商務(wù)主管部門、國家密碼管理部門聯(lián)動執(zhí)法的機制：未向海關(guān)交驗兩用物項進出口許可證，海關(guān)有證據(jù)表明進出口產(chǎn)品可能屬于商用密碼進口許可或者出口管制范圍的，應(yīng)當向進出口經(jīng)營者提出質(zhì)疑；海關(guān)可以向國務(wù)院商務(wù)主管部門、國家密碼管理部門提出組織鑒別，并根據(jù)鑒別結(jié)論依法處置；海關(guān)還可以在鑒別或者質(zhì)疑期間，對進出口產(chǎn)品不予放行[19]。

變化七：與等保和關(guān)鍵信息基礎(chǔ)設(shè)施保護的關(guān)系

在等保2.0體系下，不同等級的網(wǎng)絡(luò)在使用密碼技術(shù)和密碼產(chǎn)品上有不同的要求。以等保三級為例（一般商業(yè)運營系統(tǒng)最為廣泛適用的級別），安全通用要求中規(guī)定必須使用國家密碼管理主管部門認證核準的密碼技術(shù)和產(chǎn)品[20]；《網(wǎng)絡(luò)安全等級保護條例（征求意見稿）》第47條也規(guī)定，第三級以上網(wǎng)絡(luò)應(yīng)當采用密碼保護，并使用國家密碼管理部門認可的密碼技術(shù)、產(chǎn)品和服務(wù)。

《條例》（征求意見稿）直接體現(xiàn)了上述等保2.0的要求，對于網(wǎng)絡(luò)安全等級保護第三級以上網(wǎng)絡(luò)，要求運營者應(yīng)當使用商用密碼進行保護。但是由于等保2.0國家標準僅為推薦性標準，并不具備強制力，因此若《條例》（征求意見稿）生效，將會將網(wǎng)絡(luò)安全等級保護的推薦性的要求上升為具有強制力的國家規(guī)范。

同時，《條例》（征求意見稿）也將商用密碼應(yīng)用安全性評估的范圍予以擴展，《密碼法》第27條僅規(guī)定使用商用密碼進行保護的關(guān)鍵信息基礎(chǔ)設(shè)施，自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估。而在《條例》（征求意見稿）中，非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護第三級以上網(wǎng)絡(luò)、國家政務(wù)信息系統(tǒng)等網(wǎng)絡(luò)與信息系統(tǒng)都被要求“自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估”。此外，《條例》（征求意見稿）對于商用密碼保障系統(tǒng)的同步規(guī)劃、同步建設(shè)、同步運行也與《網(wǎng)絡(luò)安全等級保護條例（征求意見稿）》第4條的理念一致[21]。

對于非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施，《條例》（征求意見稿）規(guī)定運營者應(yīng)履行使用商用密碼進行保護、開展商用密碼應(yīng)用安全性評估、使用列入商用密碼技術(shù)指導(dǎo)目錄的商用密碼技術(shù)、采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的國家安全審查等義務(wù)[22]。《網(wǎng)絡(luò)安全法》規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估的內(nèi)容，為了避免重復(fù)評估、測評，《條例》（征求意見稿）也要求商用密碼應(yīng)用安全性評估、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評應(yīng)當加強銜接。但是，對于是否開展某一項評估就無須開展其他兩項評估、測評，仍有待主管機構(gòu)的進一步澄清。

變化八：國家安全審查

《條例》（征求意見稿）沿襲《密碼法》規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運營者的國家安全審查內(nèi)容，即關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當依法通過國家網(wǎng)信部門會同國家密碼管理部門等有關(guān)部門組織的國家安全審查。

2020年4月13日，國家網(wǎng)信辦等12部門聯(lián)合發(fā)布《網(wǎng)絡(luò)安全審查辦法》，對于網(wǎng)絡(luò)安全審查的適用對象、審查機構(gòu)、審查程序、審查要素等進行規(guī)定，因此對于關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的國家安全審查，應(yīng)與《網(wǎng)絡(luò)安全審查辦法》相互銜接，遵循《網(wǎng)絡(luò)安全審查辦法》的要求。

變化九：應(yīng)用與促進

如上文所述，《條例》（征求意見稿）將促進商用密碼事業(yè)發(fā)展作為立法宗旨，因此規(guī)定了一系列商用密碼應(yīng)用與促進的內(nèi)容，例如：

建立健全商用密碼科學技術(shù)創(chuàng)新促進機制[23]；
保護商用密碼領(lǐng)域的知識產(chǎn)權(quán)[24]；
建立商用密碼標準實施信息反饋和評估機制，對商用密碼標準實施進行監(jiān)督檢查[25]；
推動參與商用密碼國際標準化活動，參與制定商用密碼國際標準，推進商用密碼中國標準與國外標準之間的轉(zhuǎn)化運用，鼓勵企業(yè)、社會團體和教育、科研機構(gòu)等參與商用密碼國際標準化活動[26]；
建立商用密碼應(yīng)用促進協(xié)調(diào)機制，加強對商用密碼應(yīng)用的統(tǒng)籌指導(dǎo)[27]；
支持網(wǎng)絡(luò)產(chǎn)品、服務(wù)使用商用密碼提升安全性，支持并規(guī)范商用密碼在信息領(lǐng)域新技術(shù)、新業(yè)態(tài)、新模式中的應(yīng)用等[28]。

如果《條例》（征求意見稿）生效，預(yù)計上述應(yīng)用與促進措施也會有相應(yīng)的細化規(guī)則和落地機制，我們也將持續(xù)關(guān)注。

變化十：創(chuàng)新監(jiān)督管理方式

相較于《條例》1999年版注重事前審批的管理，《條例》（征求意見稿）順應(yīng)“放管服”、普遍性取消審批的要求，轉(zhuǎn)化監(jiān)管思路，更加注重商用密碼的全生命周期管理，而不是放松監(jiān)管。監(jiān)管思路的轉(zhuǎn)變的突出標志之一就是加強監(jiān)管檢查的內(nèi)容，《條例》（征求意見稿）第43條賦予密碼管理部門和有關(guān)部門豐富的監(jiān)督檢查職權(quán)，包括現(xiàn)場檢查、查閱或復(fù)制有關(guān)資料、查封或者扣押等[29]。而且，《條例》（征求意見稿）也著力推進商用密碼監(jiān)督管理與社會信用體系相銜接，要求依法建立推行商用密碼市場主體信息記錄、信用分類分級監(jiān)管、失信懲戒以及信用修復(fù)等機制[30]。

總體上，由于《密碼法》對《條例》1999年版進行了結(jié)構(gòu)性的重塑，《條例》（征求意見稿）與《條例》1999年版相比，在結(jié)構(gòu)、內(nèi)容上均有大幅度的變化，以貫徹落實《密碼法》中的有關(guān)商用密碼管理具體制度。而且，《條例》（征求意見稿）也與《網(wǎng)絡(luò)安全法》《電子簽名法》《外商投資法》《網(wǎng)絡(luò)安全審查辦法》及正在制定的《出口管制法》等相互鏈接、相互呼應(yīng)。由于《條例》（征求意見稿）是商用密碼管理制度的基本制度，有著重要影響，因此我們也將持續(xù)關(guān)注《條例》（征求意見稿）的立法進展，幫助相關(guān)企業(yè)及時了解商用密碼管理的最新趨勢。

[注]

[1]《條例》（征求意見稿）第3條。

[2]《密碼法》第2條。

[3]《條例》（征求意見稿）第2條規(guī)定，本條例所稱商用密碼，是指采用特定變換的方法對不屬于國家秘密的信息等進行加密保護、安全認證的技術(shù)、產(chǎn)品和服務(wù)。

[4]《密碼法》第8條第2款。

[5]《條例》（征求意見稿）第9條。

[6]《條例》（征求意見稿）第39條。

[7] 在《商用密碼產(chǎn)品認證目錄（第一批）》頒布之前，密碼管理局已經(jīng)對密碼產(chǎn)品的類型進行過梳理。例如，根據(jù)國家密碼管理局于2017年12發(fā)布的《關(guān)于密碼模塊若干問題的說明》（以下簡稱“說明”），密碼產(chǎn)品既包含GM/T 0028-2014《密碼模塊安全技術(shù)要求》定義的密碼模塊，還包含安全芯片及密碼服務(wù)系統(tǒng)（如CA系統(tǒng)、電子簽章系統(tǒng)、動態(tài)口令認證系統(tǒng)）等。該說明中對典型密碼產(chǎn)品（包括可信計算密碼支撐平臺、智能密碼鑰匙、金融數(shù)據(jù)密碼機、智能IC卡等）及其適用標準進行了介紹。

[8]《密碼法》第26條。

[9]《密碼法》第25條。

[10]《密碼法》第26條。

[11]《電子簽名法》第14條。

[12]《電子簽名法》第17條規(guī)定，提供電子認證服務(wù)，應(yīng)當具備下列條件：

（一）取得企業(yè)法人資格；

（二）具有與提供電子認證服務(wù)相適應(yīng)的專業(yè)技術(shù)人員和管理人員；

（三）具有與提供電子認證服務(wù)相適應(yīng)的資金和經(jīng)營場所；

（四）具有符合國家安全標準的技術(shù)和設(shè)備；

（五）具有國家密碼管理機構(gòu)同意使用密碼的證明文件；

（六）法律、行政法規(guī)規(guī)定的其他條件。

[13] 童衛(wèi)東、李兆宗主編：《中華人民共和國密碼法釋義》，法律出版社2019年版。

[14]《條例》（征求意見稿）第24條。

[15]《條例》（征求意見稿）第25、26條。

[16]《條例》（征求意見稿）第27條。

[17]《外商投資法》第35條規(guī)定，國家建立外商投資安全審查制度，對影響或者可能影響國家安全的外商投資進行安全審查。依法作出的安全審查決定為最終決定。

[18] 對于兩用物項的含義，2005年12月31日發(fā)布的《兩用物項和技術(shù)進出口許可證管理辦法》第2條通過轉(zhuǎn)致性條款定義兩用物項；2020年7月3日發(fā)布的《中華人民共和國出口管制法（草案二次審議稿）》（“草案二次審議稿”）明確對“兩用物項”進行定義，即指既有民事用途，又有軍事用途或者有助于提升軍事潛力,特別是可以用于設(shè)計、開發(fā)、生產(chǎn)或者使用大規(guī)模殺傷性武器的貨物、技術(shù)和服務(wù)。

[19]《條例》（征求意見稿）第33條。

[20]《基本要求》第8.1.10.9條。

[21]《網(wǎng)絡(luò)安全等級保護條例（征求意見稿）》第4條規(guī)定，網(wǎng)絡(luò)運營者在網(wǎng)絡(luò)建設(shè)過程中，應(yīng)當同步規(guī)劃、同步建設(shè)、同步運行網(wǎng)絡(luò)安全保護、保密和密碼保護措施。

[22] 關(guān)于國家安全審查的內(nèi)容詳見下文。

[23]《條例》（征求意見稿）第7條。

[24]《條例》（征求意見稿）第7條。

[25]《條例》（征求意見稿）第10條。

[26]《條例》（征求意見稿）第10條。

[27]《條例》（征求意見稿）第37條。

[28]《條例》（征求意見稿）第36條。

[29]《條例》（征求意見稿）第43條規(guī)定，密碼管理部門和有關(guān)部門依法開展商用密碼監(jiān)督檢查，可以行使下列職權(quán)：

（一）進入商用密碼活動場所實施現(xiàn)場檢查；

（二）向當事人的法定代表人、主要負責人和其他有關(guān)人員調(diào)查、了解有關(guān)情況；

（三）查閱、復(fù)制有關(guān)合同、票據(jù)、賬簿以及其他有關(guān)資料；

（四）對違法從事商用密碼活動的場所、設(shè)備設(shè)施、產(chǎn)品等予以查封或者扣押；