筑牢网络安全的基石——《商用密码管理条例》要点解读与合规观

2023年4月27日，修订后的《商用密码管理条例》（以下简称“《条例》”）公布，自2023年7月1日起施行。我国密码领域的第一部法律《中华人民共和国密码法》（以下简称“《密码法》”）于2020年1月1日实施，对我国的商用密码管理制度进行了结构性重塑。为适应商用密码技术创新的发展需求，协调同《密码法》的适用关系，同年，国家密码管理局发布《商用密码管理条例（修订草案征求意见稿）》（以下简称“征求意见稿”），对1999年发布并生效的《商用密码管理条例》（以下简称“原《条例》”）进行全面修订。《条例》的发布对促进商用密码技术的有序发展，构筑并完善现有监管体系意义重大。

一、《条例》核心要点评析

（一）贯彻总体国家安全观，理清“四级管理+专项管理”机制

征求意见稿就商用密码监管构建了“四级管理+专项管理”的机制，即国家、省级、市、县密码管理部门负责相应行政区域的商用密码工作，国家网信、商务、海关、市场监督管理等有关部门在各自职责范围内负责商用密码有关管理工作。[1]《条例》进一步强调应坚持党对商用密码工作的领导，贯彻落实总体国家安全观，并就国家密码管理部门与其他主管部门的职权范围作出了进一步协调：

第一，要求国务院市场监督管理部门在审查商用密码认证机构资质申请时，应当征求国家密码管理部门的意见；

第二，厘清国家密码管理部门与国务院商务主管部门就商用密码进口许可和出口管制事宜的职权范围；

第三，明确国家密码管理部门对商用密码标准实施监督检查的职责；

第四，对国家密码管理部门及有关部门开展商用密码监督检查的职权进行了限缩。

（二）多管齐下，促进密码科技创新与标准化

征求意见稿主要在以下几个层面就促进商业密码科技创新与标准化确立起总体的保障要求：

第一，通过对作出突出贡献的组织和个人予以表彰与奖励，增强知识产权保护，促进商用密码技术的创新[2]；

第二，支持商用密码技术成果转化和产业化[3]；

第三，对密码算法、密码协议、密钥管理机制等商用技术进行安全性审查[4]；

第四，组织制定商用密码国家标准、行业标准，推动参与商用密码国际标准化活动，对商用密码团体标准的制定进行规范、引导和监督。[5]

《条例》进一步在以下方面对征求意见稿原有规定内容作出了完善：

一是鼓励外资开展商用密码技术合作：《条例》明确，国家鼓励外资参与商用密码技术合作的总体原则，对行政机关及其工作人员利用行政手段强制转让商用密码技术作出禁止性规定。

二是明确强制性审查鉴定的商用密码技术范围，删除技术指导目录相关规定：《条例》明确强制性审查鉴定的商用密码技术应为“法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统所使用的”商用密码技术，并删除了征求意见稿中要求将通过安全性审查的商用密码技术列入商用密码技术指导目录的要求。

（三）落实“放管服”，细化商用密码检测认证实施要求

我国商用密码产品的管理制度经历了“审批制”到“检测认证制”的过程：

根据原《条例》规定，国家对商用密码产品的科研、生产、销售和使用实行专控管理；
2017年9月，随着《国务院关于取消一批行政许可事项的决定》（国发〔2017〕46 号）的发布，商用密码产品生产单位审批、商用密码产品销售单位许可、外商投资企业使用境外密码产品审批、境外组织和个人在华使用密码产品或者含有密码技术的设备审批等4项行政许可事项被取消；
2017年12月，国家密码管理局发布《国家密码管理局关于废止和修改部分管理规定的决定》，对《商用密码产品销售管理规定》《商用密码产品使用管理规定》和《境外组织和个人在华使用密码产品管理办法》三部管理规定予以废止；
2019年《密码法》颁布，确立了强制检测认证和自愿检测认证相结合的监管机制。

《条例》对《密码法》中的上述规定进行了细化，对商用密码产品检测与认证机构的主管部门、资质要求、申请流程、监督管理进行具体规定，具体如下：

图表1 商用密码检测与认证实施机制

此外，就《密码法》所确立的强制检测与自愿检测相结合的实施机制，《条例》中也做出了进一步规定。对于符合以下条件的商用密码产品应经过检测认证合格后方可销售、提供[14]：

一是涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关键设备和网络安全专用产品目录，由具备资格的商用密码检测、认证机构检测认证合格后，方可销售或者提供；

二是商用密码服务使用网络关键设备和网络安全专用产品的，应当经商用密码认证机构对该商用密码服务认证合格。

而对于除上述两种情形之外的商用密码产品，当前主要采取鼓励态度，明确了相关商用密码产品提供者可以自愿接受商用密码检测认证。

（四）与《电子签名法》衔接，确立电子认证商用密码管控要求

《条例》在《密码法》的基础上，对电子认证服务机构及电子政务电子认证服务机构应该遵循的要求分别作出了规定，具体如下：

图表2 电子认证与电子政务电子认证机构应满足的要求

根据国家密码管理局官网公布的信息，截止本文成文前，电子认证服务使用密码许可单位一共有64家；电子政务电子认证服务机构一共有56家。[22]《条例》还进一步明确，外商投资电子政务电子认证服务，影响或可能影响国家安全的，应当依法进行外商投资安全审查[23]，这也与《中华人民共和国外商投资法》第三十五条规定的外商投资安全审查制度相衔接。

（五）从“批准制”到“清单制”，进一步完善商用密码进出口管制要求

中国对商用密码进出口的管制，经历了从“批准制”到“清单制”的转变：

原《条例》第十三条规定，进口密码产品以及含有密码技术的设备或者出口商用密码产品，必须报经国家密码管理机构批准。任何单位或者个人不得销售境外的密码产品。
《密码法》以“清单制”代替“批准制”，对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可，对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。此外，大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
2020年11月，商务部、国家密码管理局、海关总署发布《关于发布商用密码进口许可清单、出口管制清单和相关管理措施的公告》（以下简称“《商用密码进口许可出口管制公告》”），公告明确了“商用密码进口许可清单”“商用密码出口管制清单”以及商用密码进出口许可程序。

上述规定和实践在《条例》中得以延续，《条例》第三十一条在征求意见稿的基础上，补充规定“大众消费类产品所采用的商用密码不实行进口许可和出口管制制度”，与《密码法》第二十八条进行了立法体系上的协调和内容呼应；《条例》第三十三条规定了海关对进出口许可证进行校验检查的相关要求；第三十四条在征求意见稿的基础上补充了相关规定，对申请商用密码进出口许可的流程做出了进一步明确，具体如下：

图表3 商用密码产品进出口管控流程

（六）制度协同，应协调与等保、关键信息基础设施监管之间的适用关系

《条例》第三十八条、三十九条在征求意见稿的基础上，对应当使用商业密码进行保护及应开展商用密码应用安全性评估（以下简称“密评”）的关键信息基础设施的条件，由“非涉密的关键信息基础设施”调整为“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施”，具体范围尚待进一步明确。此外，上述两条规定在修订过程中删除了网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统，将前述两类信息系统排除在第三十八条、三十九条的适用范围之外，并新增第四十一条对根据网络安全等级保护制度应当如何使用商用密码的信息系统进行密评作出了专门规定，法条的体系及条理得以进一步完善。具体如下：

图表4 关键信息基础设施与等级保护相关密评要求

根据上述规定，关键信息基础设施运行后每年应至少进行一次评估，评估情况报密码管理部门备案。同时，《条例》第三十九条规定，对于应当通过商用密码保护的关键信息基础设施，“使用的商用密码产品、服务应当经检测认证合格，使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定”，对于此处提及的两项条件，我们倾向于应当是“和”而非“或”的关系。

此外，《条例》第四十一条中虽然采用了“网络运营者应当按照国家网络安全等级保护制度要求，使用商用密码保护网络安全”这一相对模糊的规定，但结合征求意见稿原有表述，以及《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第二条第（六）项的规定[28]，从企业合规的角度而言，我们认为宜根据意见的前述规定，对于网络安全等级保护三级以上网络采用商用密码技术进行保护，并根据《条例》规定进行商用密码安全性评估，遵循网络安全等级保护密码标准规范。

二、企业合规应对建议

随着数字技术的发展，越来越多的企业在业务中涉及到商用密码技术的应用。《条例》的出台为企业在商用密码合规管理层面也带来新的挑战。

（一）关注商用密码产品强制检测认证的合规义务

1. 风险提示

根据《条例》规定，对于符合条件的商用密码产品应经过检测认证合格后方可销售、提供。对于列入“网络关键设备和网络安全专用产品目录”的商用密码产品以及使用网络关键设备和网络专用产品的商用密码服务，应该履行网络关键设备和网络专用产品的检测认证合规义务。

《网络安全法》第二十三条[29]对上述合规义务做出了规定，《关于修改<中华人民共和国网络安全法>的决定（征求意见稿）》第一条明确了违反《网络安全法》第二十三条的法律责任。如《中华人民共和国网络安全法（修订征求意见稿）》最终生效，则对于提供未经检测认证的网络关键设备和网络专用产品的网络产品提供者而言，将面临具体的法律风险。

2. 应对建议

对于使用网络关键设备和网络安全专用产品的商用密码服务提供者而言，可参考下表，对自身提供的商用密码服务是否涉及使用网络关键设备和网络安全专用产品予以认定，并在此基础上判断是否需要落实商用密码服务的检测认证，以及网络关键设备和网络安全专用产品的检测认证合规义务。

图表5 网络关键设备和网络安全专用产品目录（第一批）[30]

（二）关注商用密码产品进出口管制合规义务

1. 风险提示

《条例》第三十二条规定，“进口商用密码进口许可清单中的商用密码或者出口商用密码出口管制清单中的商用密码，应当向国务院商务主管部门申请领取进出口许可证。商用密码的过境、转运、通运、再出口，在境外与综合保税区等海关特殊监管区域之间进出，或者在境外与出口监管仓库、保税物流中心等保税监管场所之间进出的，适用前款规定。”因此，对于进口商用密码进口许可清单中的商用密码或者出口商用密码出口管制清单中的商用密码提供者而言，应当就相关商用密码的进出口向商务部申请相应的进出口许可证。

2. 应对建议

《商用密码进口许可出口管制公告》中明确了“商用密码进口许可清单”及“商用密码出口管制清单”中包含的产品范围。我们建议，商用密码产品提供者应在进出口商用密码产品之前，判断相关产品是否落入“商用密码进口许可清单”及“商用密码出口管制清单”的范围，对于落入前述清单范围的商用密码产品应该在进出口之前申请相应的许可证，落实进出口合规义务。

（三）关注关键信息基础设施及等保相关商用密码产品合规义务

1. 风险提示

《条例》规定，关键信息基础设施运营者如涉及在其所运营的关键信息基础设施上使用商用密码的情况，需承担商用密码应用安全性评估及检测认证的义务：

安全性评估义务：应在关键信息基础设施投入运营前自行或者委托商用密码检测机构开展商用密码应用安全性评估；在投入运营后每年至少进行一次评估，评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案。
检测认证合规义务：使用的商用密码产品、服务应当经检测认证合格；使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定。

而对于一般的网络运营者而言，则应该按照国家网络安全等级保护制度要求，使用商用密码保护网络安全。

2. 应对建议

对于构成关键信息基础设施运营者的企业而言，如涉及在其所运营的关键信息基础设施上使用商用密码，应落实《条例》项下的安全评估及检测认证的义务。而对于一般的网络运营者而言，则应该按照国家网络安全等级保护制度要求，使用商用密码保护网络安全。

三、结语

商用密码广泛服务于经济社会各领域，对于保障网络强国、数字中国等国家重大战略的顺利实施意义重大，直接关系国家政治安全、经济安全、国防安全和信息安全。本次《条例》的修订及发布实施，全面落实《密码法》立法精神，为在法治轨道上推进商用密码高质量发展提供了清晰完整的实施路径。企业应密切关注《条例》确立的相关法律要求，履行商用密码产品及服务相关合规管控义务，落实合规主体责任。

[注]

[1]《商用密码管理条例（修订草案征求意见稿）》第三条。

[2]《商用密码管理条例（修订草案征求意见稿）》第七条。

[3]《商用密码管理条例（修订草案征求意见稿）》第八条。

[4]《商用密码管理条例（修订草案征求意见稿）》第九条。

[5]《商用密码管理条例（修订草案征求意见稿）》第十条。

[6]《商用密码管理条例》第十五条。

[7]《商用密码管理条例》第十七条。

[8]《商用密码管理条例》第十四条。

[9]《商用密码管理条例》第十八条。

[10]《商用密码管理条例》第十五条。

[11]《商用密码管理条例》第十八条。

[12]《商用密码管理条例》第十六条。

[13]《商用密码管理条例》第十九条。

[14]《商用密码管理条例》第二十条、二十一条。

[15]《商用密码管理条例》第二十二条。

[16]《商用密码管理条例》第二十四条。

[17]《商用密码管理条例》第二十二条。

[18]《商用密码管理条例》第二十五条。

[19]《商用密码管理条例》第二十六条。

[20]《商用密码管理条例》第二十三条。

[21]《商用密码管理条例》第二十八条。

[22] 参见：http://www.sca.gov.cn/app-zxfw/xzspsx/syxkdw.jsp?channel_code=c100142，最后访问时间2023年6月5日。

[23]《商用密码管理条例》第二十七条。

[24]《商用密码管理条例》第三十八条。

[25]《商用密码管理条例》第四十一条。

[26]《商用密码管理条例》第三十九条。

[27]《商用密码管理条例》第四十条。

[28]《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第二条第（六）项规定，“落实密码安全防护要求。网络运营者应贯彻落实《密码法》等有关法律法规规定和密码应用相关标准规范。第三级以上网络应正确、有效采用密码技术进行保护，并使用符合相关要求的密码产品和服务。第三级以上网络运营者应在网络规划、建设和运行阶段，按照密码应用安全性评估管理办法和相关标准，在网络安全等级测评中同步开展密码应用安全性评估。”

[29]《中华人民共和国网络安全法》第二十三条规定，“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。”

[30] 参见《关于发布<网络关键设备和网络安全专用产品目录（第一批）>的公告》，http://www.cac.gov.cn/2017-06/09/c_1121113591.htm?eqid=ff2c0150000012740000000564264f2b，最后访问时间：2023年6月5日。