资深律师解读我国首部《密码法》

来源:法大大发布时间:2019-10-30 18:15:29

10月26日,十三届全国人大常委会第十四次会议表决通过了《中华人民共和国密码法》,于2020年1月1日起施行。《密码法》对密码实行分类管理,旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。


图片来源:中国人大网

△ 图片来源:中国人大网


接下来,我们来看一下《密码法》的颁布对电子签名行业将产生什么样的影响,同时,我们也邀请了特别嘉宾王律师对《密码法》进行了专业解读。


商用密码产品资质,成电签平台合规标配

根据《密码法》规定,密码分为核心密码、普通密码和商用密码,核心密码、普通密码用于保护国家秘密信息,商用密码用于保护不属于国家秘密的信息。

《密码法》属于我国密码领域的第一部法律,该法的制定和实施,对于加快密码法治建设,理顺国家安全领域相关法律法规关系,完善国家安全法律制度体系具有重要意义。

随着近年来网络安全技术的快速发展,商用密码得到了广泛的应用。电子签名作为商用密码应用中最常见、最典型的应用场景之一,其应用了大量密码学算法和技术原理。于电子签名行业而言,《密码法》的颁布势必对电子签名企业的合规发展提出了更高的要求。

早在1999年,国务院出台了《商用密码管理条例》,规定了国家对商用密码产品的科研、生产、销售和使用实行专控管理,需办理相关许可证书。这里的证书指:商用密码产品生产定点单位证书、商用密码产品型号证书、商用密码产品销售许可证。

2017年9月,国务院通过《国务院关于取消一批行政许可事项的决定》,将商业密码领域的监管重点从“管企业”转向为“管产品”,取消了商用密码产品生产单位审批、商用密码产品销售单位许可的行政审批,但生产、销售的商用密码产品仍应当依法办理《商用密码产品型号证书》。

如今,《密码法》颁布并且明确规定 “涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。”

由此可见,随着我国密码法律制度的逐步完善,依法获得相应的资质,已成为电子签名企业合规运营的必备条件。

法大大作为国内领先的电子签名服务商,始终坚持着安全合规的经营宗旨,积极响应政策法规,早期就依法获得了《商用密码产品生产定点单位证书》和《商用密码产品销售许可证》,并于业内率先获得了国家密码管理局颁发的《商用密码产品型号证书》,是行业内为数不多获得商用密码产品资质、提供合法合规商用密码产品的电子签名服务商。

自成立以来,法大大就一直专注电子签名安全相关技术的研发和创新,不断提升平台信息安全管理水平、保障用户隐私数据安全的同时,也在引领着电子签名行业向规范化发展。截至目前,法大大已获得ISO27001信息安全管理体系认证、ISO27018公有云个人信息和隐私保护认证、信息系统安全等级保护第三级、企业SaaS服务“可信云”认证、商用密码产品型号证书等多项重要资质。

 

专业解读:律师视角看《密码法》

《密码法》共五章四十四条,第三章为“商用密码”相关规定,整个部分规定了商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。

第二十一条 国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。

各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。

商用密码的科研、生产、销售、服务和进出口,不得损害国家安全、社会公共利益或者他人合法权益。

解读:在市场准入方面,不得歧视外商投资企业,此处和今年早些通过的《外商投资法》一脉相承,如果说之前《外商投资法》是从总的框架方面规定保护外商投资合法权益,则二十一条第二款直接明确了在商用密码领域加强对外商投资合法权益的保护。

 

第二十二条 国家建立和完善商用密码标准体系。

国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。

国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。

第二十三条 国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。

国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。

第二十四条 商用密码从业单位开展商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。

国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。

解读:22、23、24条是对商用密码标准化制度的规定,即除国家标准和行业标准外,还可以制定商用密码团体标准和企业标准。

虽然中国有大量商用密码企业,但由于国内外标准仍存在差异,故尚未有中国企业开拓海外业务,而国外的商用密码企业也未进入中国,而《密码法》的颁布,为中国企业把支持国密算法和国际算法的密码产品推向国际市场铺平了道路,也给支持国密算法和国际算法密码产品的外国企业进入中国市场提供了机会。

 

第二十五条 国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。

商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。

商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。

第二十六条 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。

商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。

解读:25、26条是针对检测认证制度的规定。按照《商用密码管理条例》第九条规定:所有密码产品都必须经指定密码检测机构的检测合格后,才能销售到市场、提供给用户。而《密码法》颁布后,涉及国家安全、国计民生、社会公共利益的商用密码产品会列入到“网络关键设备和网络安全专用产品目录”,按该目录对应的监管制度或者市场准入制度通过检测认证合格后才能销售;而没有列入该目录的商用密码产品则不要求经过此检测认证即可销售。

 

第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

解读:27条是约定对关键信息基础设施保护的规定。针对关键信息基础设施,是要求运用商用密码进行保护的,且需要委托相应的机构对其进行安全性评估。

 

第二十八条 国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。

大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

解读:28条是针对进出口管理制度的规定。《商用密码管理条例》第十三条规定:进口密码产品以及含有密码技术的设备或者出口商用密码产品,必须报经国家密码管理机构批准。任何单位或者个人不得销售境外的密码产品。可见,在《密码法》颁布之前,境外厂商生产的商用密码产品,如要提供给国内用户使用,必须获得相应的进口许可。

而《密码法》颁布后,凡是列入商用密码进口许可清单的产品,都可以在获得许可后进口,并且大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

 

第二十九条 国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。

第三十条 商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。

解读:29、30条约定了商用密码从业单位的管理机构。电子认证服务机构中关于商用密码技术的认定由国家密码管理部门进行,管理工作由国家密码管理部门会同有关部门进行。商用密码领域的行业协会对从业单位开展的商业密码活动进行引导和督促。

 

第三十一条 密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督。

密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。

解读:按中国现行规定,生产厂商在送检商用密码产品时,必须向密码产品检测认证机构提交产品的源代码,这引起一些厂商的担忧。《密码法》颁布后,密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。这样对商用密码产品的保密提供了法律保障,能够极大打消生产厂商尤其是外国厂商的顾虑。

 

《密码法》的出台,对国内密码事业发展将产生重大而深远的影响。同时对于电子签名行业而言,这也给众多企业和用户在选择电子签名服务商时提供了一个重要参考,而依法获得《商用密码产品型号证书》的电子签名企业,无疑将获得更多企业及用户的肯定与信赖。

本文为法大大原创,非商业转载请注明文章来源。对未经许可擅自使用者,本公司保留追究其法律责任的权利。如需转载或商业合作,请联系yuxt@fadada.com。