立法概述

2019年10月26日, 全国人大常委会表决通过了《中华人民共和国密码法》(“《密码法》”), 该法将于2020年1月1日起实施。在此之前,中国在密码管理领域的法律渊源仅有一部行政法规——即1999年颁布的《商用密码管理条例》(“密码管理条例”)。因此《密码法》可以称得上我国在密码管理领域的第一部综合性法律。

《密码法》首次对于密码进行了分类,分为核心密码、普通密码和商用密码三级。其中,明确了核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。核心密码、普通密码属于国家秘密,由密码管理部门依法实行严格统一管理。而商业密码用于保护不属于国家秘密的信息。

 

关于商用密码的主要内容

第一, 《密码法》确认取消了商用密码业务市场准入的许可要求,进一步放开市场。具体而言体现在:

  • 外商投资企业在商用密码领域获得国民待遇, 可以平等地开展商用密码的科研、生产、销售、服务、进出口等活动;
  • 大众消费类产品所采用的商用密码不实行进口许可和出口管制制度;
  • 商用密码产品的研制、生产、进口和使用的行政审批予以取消, 仅在涉及国家安全、国计民生、社会公共利益的领域, 开展针对商用密码产品的安全评估和认证。

第二,《密码法》通过第二十五条和第二十六条建立了商用密码检测认证制度。其中,对于一般的商用密码从业单位,可自愿接受商用密码检测认证;对于涉及国家安全、国计民生、社会公共利益的商用密码产品,应当列入《网络关键设备和网络安全专用产品目录》(定期更新),经过具备资格的机构强制检测认证合格后,方可销售或者提供。同时,商用密码服务使用网络关键设备和网络安全专用产品的,也应当经商用密码认证机构对该商用密码服务认证合格。

第三,关键信息基础设施运营者对于商用密码应用安全性负有评估及国家安全审查义务。对于关键信息基础设施运营者,凡使用商用密码进行保护的,须自行或者委托商用密码检测机构开展商用密码应用安全性评估,凡采购涉及商用密码的网络产品和服务,可能影响国家安全的,则须通过国家安全审查。

因此,关键信息基础设施运营者开展商用密码应用时,应履行相应的商用密码应用安全性评估和国家安全审查义务。实践中,许多企业已开始按照《GM/T 0054-2018 信息系统密码应用基本要求》等相关要求进行商用密码应用评估。

 

对外商投资企业的影响

《密码法》的颁布执行对于涉及商用密码的企业, 尤其是外商投资企业,总体而言是一个利好消息。主要表现在:

  • 包含密码部件和密码技术的大众消费品(如各种带有通讯功能的电子产品)的进口, 可能不再需要冗长的密码认证程序, 便于产品在中国市场的同步上市;
  • 外商投资企业使用境外的密码产品和密码技术, 用于集团内通讯, 或者用于和商业伙伴间通讯的, 不需要履行繁琐的审批和备案手续, 可以自行使用; 及
  • 具有密码技术研发生产能力的境外企业可以投资中国市场, 独自或与中国企业合作, 参与中国市场的发展。

不论如何,对于企业而言,密切关注《密码法》实施的后续动态及相关配套措施的出台,及时进行合规应对是相当具有现实意义的。