密碼法背景下的商用密碼應(yīng)用及挑戰(zhàn)

二、密碼法對商用密碼管理的創(chuàng)新

密碼法重塑了全新的具有中國特色的商用密碼管理體系。當(dāng)前的法律科學(xué)地回答了兩個(gè)重要問題，一是面對國內(nèi)外日益嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢，如何進(jìn)一步創(chuàng)新商用密碼管理體系，加強(qiáng)商用密碼應(yīng)用事中事后管理，特別是關(guān)鍵信息基礎(chǔ)設(shè)施的商用密碼保護(hù);二是面對數(shù)字經(jīng)濟(jì)的飛速發(fā)展，如何推進(jìn)商用密碼產(chǎn)品管理的放管服，以釋放商用密碼市場活力，進(jìn)一步激勵(lì)商用密碼產(chǎn)業(yè)發(fā)展。在商用密碼管理上密碼法實(shí)現(xiàn)了3個(gè)重要?jiǎng)?chuàng)新:

一是創(chuàng)新商用密碼使用環(huán)節(jié)監(jiān)管，提出商用密碼應(yīng)用安全性評估。當(dāng)前數(shù)據(jù)及其承載的信息系統(tǒng)的安全性、完整性和保密性已經(jīng)成為網(wǎng)絡(luò)運(yùn)營者的基本需求，商用密碼技術(shù)在其中發(fā)揮不可替代的作用。鑒于商用密碼應(yīng)用場景的多樣性、復(fù)雜性，密碼法創(chuàng)設(shè)了商用密碼應(yīng)用安全性評估制度，且明確要求與網(wǎng)絡(luò)安全等級保護(hù)測評、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)評估中的商用密碼安全評估機(jī)制相銜接。商用密碼應(yīng)用安全性評估對規(guī)范商用密碼應(yīng)用，提高網(wǎng)絡(luò)運(yùn)營者商用密碼應(yīng)用的前瞻性、統(tǒng)籌性、嚴(yán)謹(jǐn)性有重要意義。

二是統(tǒng)籌考慮商用密碼管理的市場導(dǎo)向與國家安全保障需要，實(shí)行商用密碼檢測認(rèn)證自愿與強(qiáng)制相結(jié)合的雙軌機(jī)制。通常密碼從業(yè)單位可以從市場競爭的角度自主決定是否接受商用密碼檢測認(rèn)證。當(dāng)商用密碼的應(yīng)用涉及涉及國家安全、國計(jì)民生、社會公共利益，被列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄的，需要按照相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求，由具備資格的機(jī)構(gòu)安全認(rèn)證合格后方可銷售。這樣的制度安排既尊重了市場在商用密碼應(yīng)用領(lǐng)域的基礎(chǔ)性作用，也符合WTO的國家安全例外原則。

三是進(jìn)一步推動(dòng)商用密碼市場高水平開放，保護(hù)外資合法權(quán)益，促進(jìn)內(nèi)外資企業(yè)公平競爭。《國務(wù)院關(guān)于取消一批行政許可事項(xiàng)的決定》(國發(fā)〔2017〕46號)已經(jīng)取消了外商投資企業(yè)使用境外生產(chǎn)的密碼產(chǎn)品、境外組織和個(gè)人使用密碼產(chǎn)品或者含有密碼技術(shù)的設(shè)備的事前審批。密碼法進(jìn)一步將需要取得商用密碼進(jìn)口許可的范圍從《商用密碼管理?xiàng)l例》中的“密碼產(chǎn)品以及含有密碼技術(shù)的設(shè)備”限縮為“對涉及國家安全、社會公共利益且具有加密保護(hù)功能的商用密碼”。同時(shí)，法律明確要求各級人民政府及其有關(guān)部門遵循非歧視原則，依法平等對待外商投資企業(yè)，不得利用行政手段強(qiáng)制外商投資企業(yè)轉(zhuǎn)讓商用密碼技術(shù)。上述要求，彰顯了中國主動(dòng)開放商用密碼市場的堅(jiān)定意志和決心。

三、密碼法對商用密碼應(yīng)用的主要影響

密碼法的實(shí)施，有利于進(jìn)一步推動(dòng)商用密碼應(yīng)用的法治化、科學(xué)化、規(guī)范化，對建立以商用密碼從業(yè)單位為主體、商用密碼市場為導(dǎo)向、產(chǎn)學(xué)研深度融合的密碼技術(shù)創(chuàng)新體系有著重要促進(jìn)作用。但是由于配套的網(wǎng)絡(luò)安全法律法規(guī)與國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)仍在陸續(xù)完善過程中，《商用密碼管理?xiàng)l例》尚未完成修訂工作，密碼法在實(shí)施過程中可能也需要更加關(guān)注以下方面的問題:

一是在網(wǎng)絡(luò)產(chǎn)品與信息服務(wù)的規(guī)劃、建設(shè)階段，網(wǎng)絡(luò)運(yùn)營者可參照密碼應(yīng)用安全性評估相關(guān)規(guī)則進(jìn)行設(shè)計(jì)，但是商用密碼應(yīng)用安全評估機(jī)制不能異化為對網(wǎng)絡(luò)運(yùn)營者的事前審查機(jī)制。從制度統(tǒng)籌性的角度，可以考慮將商用密碼安全性的自評估或者第三方評估，作為一個(gè)獨(dú)立的評估模塊，在網(wǎng)絡(luò)運(yùn)營者網(wǎng)絡(luò)安全等級保護(hù)測評，以及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者每年自行或者委托第三方評估中加以引用。

二是網(wǎng)絡(luò)安全新形勢下的商用密碼產(chǎn)品應(yīng)用還處于起步階段，網(wǎng)絡(luò)運(yùn)營者尚在規(guī)則換擋的磨合適應(yīng)期，相關(guān)規(guī)則的解釋與執(zhí)行需要結(jié)合實(shí)際應(yīng)用情況及時(shí)調(diào)整。當(dāng)前網(wǎng)絡(luò)安全等級保護(hù)2.0系列標(biāo)準(zhǔn)對安全通信網(wǎng)絡(luò)中通信傳輸要求使用加密技術(shù)，安全計(jì)算環(huán)境中身份鑒別、數(shù)據(jù)完整性、數(shù)據(jù)保密性使用密碼技術(shù)，保證傳輸和存儲的加密，安全建設(shè)管理和安全運(yùn)維管理中包括安全測試報(bào)告應(yīng)包含密碼應(yīng)用安全性測試相關(guān)內(nèi)容等。由于前期非涉密單位的網(wǎng)絡(luò)運(yùn)營者并無明確強(qiáng)制性的密碼應(yīng)用安全要求，網(wǎng)絡(luò)運(yùn)營者面對陸續(xù)制定的國家密碼管理規(guī)定，可能會面臨觀念、管理、技術(shù)、成本等各種磨合適應(yīng)，密碼管理部門及相關(guān)網(wǎng)絡(luò)安全管理部門需要根據(jù)實(shí)際商用密碼應(yīng)用情況，對具體規(guī)則的解釋與執(zhí)行及時(shí)進(jìn)行必要調(diào)整。

三是商用密碼應(yīng)用需要納入網(wǎng)絡(luò)運(yùn)營者的網(wǎng)絡(luò)安全總體工作統(tǒng)籌考慮。由于各種原因，網(wǎng)絡(luò)運(yùn)營者關(guān)于商用密碼應(yīng)用的決策有可能分散在具體網(wǎng)絡(luò)安全實(shí)踐的多個(gè)環(huán)節(jié)，商用密碼的應(yīng)用缺乏統(tǒng)籌安排，體系性不強(qiáng)。商用密碼應(yīng)用的部署具有一定周期性，無法一蹴而就。對此，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)盡快根據(jù)密碼法以及相關(guān)網(wǎng)絡(luò)安全法律法規(guī)和標(biāo)準(zhǔn)的要求，審慎判斷自身的網(wǎng)絡(luò)安全態(tài)勢與風(fēng)險(xiǎn)，判斷網(wǎng)絡(luò)設(shè)施需要具備的安全安全能力，進(jìn)而規(guī)劃足夠的人力物力財(cái)力，配置符合法律要求與自身需求的商用密碼產(chǎn)品。同時(shí)，鑒于國際形勢的不穩(wěn)定性不確定性更加突出，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)充分考慮全球供應(yīng)鏈安全問題，包括密碼技術(shù)、密碼產(chǎn)品供應(yīng)鏈可靠性。

四是當(dāng)前商用密碼科技創(chuàng)新能力顯著提升，突破一批商用密碼重大基礎(chǔ)理論和關(guān)鍵核心技術(shù)，但是商用密碼產(chǎn)品性能仍然有待提升。具有商用密碼產(chǎn)品研發(fā)與創(chuàng)新能力的企業(yè)要抓住機(jī)會，特別是要適應(yīng)云計(jì)算、大數(shù)據(jù)的運(yùn)行環(huán)境與快速迭代發(fā)展趨勢，加快提升密碼產(chǎn)品的安全性能和加密速度，為數(shù)字經(jīng)濟(jì)多元場景提供更靈活、更可控地密碼安全解決方案。

四、結(jié)語

5G的到來將開啟全新的物聯(lián)網(wǎng)時(shí)代，5G與大數(shù)據(jù)，云計(jì)算，人工智能等諸多創(chuàng)新技術(shù)的新一輪耦合勢必將會對網(wǎng)絡(luò)產(chǎn)品與信息服務(wù)提出更高的安全性能要求，商用密碼應(yīng)用水平將成為衡量各網(wǎng)絡(luò)運(yùn)營者網(wǎng)絡(luò)安全能力的重要指標(biāo)。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)抓住當(dāng)前的技術(shù)換擋窗口期，加緊落實(shí)密碼相關(guān)法律法規(guī)及國家標(biāo)準(zhǔn)的要求，統(tǒng)籌安排商用密碼應(yīng)用，筑牢自身網(wǎng)絡(luò)安全防線，提高網(wǎng)絡(luò)安全保障水平。