2023年5月24日,中華人民共和國中央人民政府網站公開《商用密碼管理條例》(以下簡稱《條例》)2023年修訂版正式稿全文,《條例》在2023年4月14日國務院第4次常務會議修訂通過,現予公布,自2023年7月1日起施行。
《條例》是對《密碼法》的進一步細化闡述,也對我國商用密碼管理體系建設的系統性、整體性有具體的指導,更是我國商用密碼發展重要里程碑,極大促進我國商用密碼產業的蓬勃發展。
01
《條例》產生背景及發展歷程
密碼是保障網絡空間安全的核心技術,也是公認的維護網絡安全最有效、最可靠、最經濟的技術手段。近年來,商用密碼算法、技術、產品及服務的應用越來越廣泛,在維護國家主權、安全和發展利益以及保障網絡和信息安全方面的作用越來越凸顯。
1999年10月7日《商用密碼管理條例》(以下簡稱99年《條例》)頒布,以法規形式確定了我國商用密碼工作的方針、政策、原則;這是我國商用密碼領域內第一個行政法規,標志著我國對商用密碼的管理監督和應用發展走上法制化的快速軌道。
2019年10月26日,十三屆全國人大常委會第十四次會議通過《中華人民共和國密碼法》(以下簡稱《密碼法》),自2020年1月1日起正式施行。《密碼法》是我國密碼領域的第一部法律,為了規范密碼應用和管理,促進密碼事業發展,保障網絡與信息安全,維護國家安全和社會公共利益等,是我國密碼領域的綜合性、基礎性法律。
《密碼法》頒布對密碼管理制度進行結構性的重塑。為適應新時代商用密碼事業發展需求,2020年8月20日,國家密碼管理局發布《商用密碼管理條例(修訂草案征求意見稿)》,推進正式條例的快速落地。
隨著《商用密碼管理條例》2023年修訂版的正式公布,進一步規范和完善檢測認證、應用安全性評估、進出口管理、電子服務認證等。到目前為止,在法律法規、算法標準、產品應用、監督管理、法律責任等多方面形成了密碼產業的基礎框架,更好地鼓勵和促進商用密碼產業發展。
02
《條例》要點解讀與提煉
《條例》共計九章六十七條,主要圍繞“科技創新與標準化、檢測認證、電子認證、進出口、應用促進、監督管理”提出具體要求。
安恒信息通過對《條例》進行深入解讀后,為大家提煉出以下要點。
總則
1)明確原則:堅持黨對商用密碼工作的領導,貫徹落實總體國家安全觀。
2)明確目的:規范商用密碼應用和管理,鼓勵和促進商用密碼產業發展。
3)適用范圍:在中華人民共和國境內的商用密碼科研、生產、銷售、服務、檢測、認證、進出口、應用等活動及監督管理。
4)監管部門:國家密碼管理部門負責管理全國的商用密碼工作。縣級以上地方各級密碼管理部門負責管理本行政區域的商用密碼工作。網信、商務、海關、市場監督管理等有關部門在各自職責范圍內負責商用密碼有關管理工作。
5)人才培養:建立健全商用密碼人才發展體制機制和人才評價制度,鼓勵和支持密碼相關學科和專業建設,規范商用密碼社會化培訓,促進商用密碼人才交流。
6)宣傳教育:加強商用密碼宣傳教育,增強公民、法人和其他組織的密碼安全意識。
7)學術和行業自律:商用密碼領域的學會、行業協會等社會組織依照法律、行政法規及其章程的規定,開展學術交流、政策研究、公共服務等活動,加強學術和行業自律,推動誠信建設,促進行業健康發展。
科技創新與標準化
1)創新促進:支持商用密碼科學技術自主創新,對作出突出貢獻的組織和個人按照國家有關規定予以表彰和獎勵。
2)知識產權保護:國家依法保護商用密碼領域的知識產權。從事商用密碼活動,應當增強知識產權意識,提高運用、保護和管理知識產權的能力。
3)鼓勵投資:國家鼓勵在外商投資過程中基于自愿原則和商業規則開展商用密碼技術合作。行政機關及其工作人員不得利用行政手段強制轉讓商用密碼技術。
4)成果轉化:國家鼓勵和支持商用密碼科學技術成果轉化和產業化應用,建立和完善商用密碼科學技術成果信息匯交、發布和應用情況反饋機制。
5)安全審查:國家密碼管理部門組織對法律、行政法規和國家有關規定要求使用商用密碼進行保護的網絡與信息系統所使用的密碼算法、密碼協議、密鑰管理機制等商用密碼技術進行審查鑒定。
6)規范、引導和監督標準制定:國務院標準化行政主管部門和國家密碼管理部門依據各自職責,組織制定商用密碼國家標準、行業標準,對商用密碼團體標準的制定進行規范、引導和監督。國家密碼管理部門依據職責,建立商用密碼標準實施信息反饋和評估機制,對商用密碼標準實施進行監督檢查。其他領域的標準涉及商用密碼的,應當與商用密碼國家標準、行業標準保持協調。
7)推動國際化標準活動:國家推動參與商用密碼國際標準化活動,參與制定商用密碼國際標準,推進商用密碼中國標準與國外標準之間的轉化運用,鼓勵企業、社會團體和教育、科研機構等參與商用密碼國際標準化活動。
8)強制性和推薦性標準:從事商用密碼活動,應當符合有關法律、行政法規、商用密碼強制性國家標準,以及自我聲明公開標準的技術要求。國家鼓勵在商用密碼活動中采用商用密碼推薦性國家標準、行業標準,提升商用密碼的防護能力,維護用戶的合法權益。
檢測認證
1)明確主體責任:商用密碼檢測技術規范、規則由國家密碼管理部門制定并公布。國務院市場監督管理部門會同國家密碼管理部門建立國家統一推行的商用密碼認證制度,實行商用密碼產品、服務、管理體系認證,制定并公布認證目錄和技術規范、規則。
2)檢測機構:從事商用密碼產品檢測、網絡與信息系統商用密碼應用安全性評估等商用密碼檢測活動,向社會出具具有證明作用的數據、結果的機構,應當經國家密碼管理部門認定,依法取得商用密碼檢測機構資質。
檢測機構資質申請審批流程
3)認證機構:從事商用密碼認證活動的機構,應當依法取得商用密碼認證機構資質。
認證機構資質申請審批流程
電子認證
1)明確主體責任:國家建立統一的電子認證信任機制。國家密碼管理部門負責電子認證信任源的規劃和管理,會同有關部門推動電子認證服務互信互認。電子認證服務密碼使用技術規范、規則由國家密碼管理部門制定并公布。
2)電子認證服務兩大要求:采用商用密碼技術提供電子認證服務,應當具有與使用密碼相適應的場所、設備設施、專業人員、專業能力和管理體系,依法取得國家密碼管理部門同意使用密碼的證明文件。電子認證服務機構應當按照法律、行政法規和電子認證服務密碼使用技術規范、規則,使用密碼提供電子認證服務,保證其電子認證服務密碼使用持續符合要求。
3)電子政務電子認證服務機構從業規范:電子政務電子認證服務機構應當按照法律、行政法規和電子政務電子認證服務技術規范、規則,在批準范圍內提供電子政務電子認證服務,并定期向主要辦事機構所在地省、自治區、直轄市密碼管理部門報送服務實施情況。外商投資電子政務電子認證服務,影響或者可能影響國家安全的,應當依法進行外商投資安全審查。
電子政務電子認證服務機構資質申請審批流程
4)政務活動:密碼管理部門會同有關部門負責政務活動中使用電子簽名、數據電文的管理。政務活動中電子簽名、電子印章、電子證照等涉及的電子認證服務,應當由依法設立的電子政務電子認證服務機構提供。
進出口
1)明確主體責任:商用密碼進口許可清單和商用密碼出口管制清單由國務院商務主管部門會同國家密碼管理部門和海關總署制定并公布。
2)明確進出口管制范圍:涉及國家安全、社會公共利益且具有加密保護功能的商用密碼,列入商用密碼進口許可清單,實施進口許可。涉及國家安全、社會公共利益或者中國承擔國際義務的商用密碼,列入商用密碼出口管制清單,實施出口管制。大眾消費類產品所采用的商用密碼不實行進口許可和出口管制制度。
應用促進
1)應用落地:鼓勵使用商用密碼保護網絡與信息安全,支持網絡產品和服務使用商用密碼提升安全性,支持并規范商用密碼在信息領域新技術、新業態、新模式中的應用。
2)協調機制:加強商用密碼應用信息收集、風險評估、信息通報和重大事項會商,并加強與網絡安全監測預警和信息通報的銜接。
3)關鍵信息基礎設施要求:其運營者應當使用商用密碼進行保護,制定商用密碼應用方案,配備必要的資金和專業人員,同步規劃、同步建設、同步運行商用密碼保障系統,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估,通過評估后方可投入運行,運行后每年至少進行一次評估。
4)網絡運營者要求:按照國家網絡安全等級保護制度要求,使用商用密碼保護網絡安全。
5)加強銜接:商用密碼應用安全性評估、關鍵信息基礎設施安全檢測評估、網絡安全等級測評應當加強銜接,避免重復評估、測評。
監督管理
1)監督檢查:依法組織對商用密碼活動進行監督檢查,指導和監督商用密碼相關工作。
2)協作機制:建立商用密碼監督管理協作機制,加強商用密碼監督、檢查、指導等工作的協調配合;推進商用密碼監督管理與社會信用體系相銜接,依法建立推行商用密碼經營主體信用記錄、信用分級分類監管、失信懲戒以及信用修復等機制。
3)保密義務:商用密碼檢測、認證機構和電子政務電子認證服務機構及其工作人員,應當對其在商用密碼活動中所知悉的國家秘密和商業秘密承擔保密義務。
法律責任
1)未經認定向社會開展商用密碼檢測活動:責令改正或者停止違法行為,給予警告,沒收違法產品和違法所得;違法所得30萬元以上的,可以并處違法所得1倍以上3倍以下罰款;沒有違法所得或者違法所得不足30萬元的,可以并處10萬元以上30萬元以下罰款。
2)未經認定從事電子政務電子認證服務:責令改正或者停止違法行為,給予警告,沒收違法產品和違法所得;違法所得30萬元以上的,可以并處違法所得1倍以上3倍以下罰款;沒有違法所得或者違法所得不足30萬元的,可以并處10萬元以上30萬元以下罰款。
3)未經批準從事商用密碼認證活動:責令改正或者停止違法行為,給予警告,沒收違法產品和違法所得;違法所得30萬元以上的,可以并處違法所得1倍以上3倍以下罰款;沒有違法所得或者違法所得不足30萬元的,可以并處10萬元以上30萬元以下罰款。
4)商用密碼檢測機構違法開展商用密碼檢測:責令改正或者停止違法行為,給予警告,沒收違法所得;違法所得30萬元以上的,可以并處違法所得1倍以上3倍以下罰款;沒有違法所得或者違法所得不足30萬元的,可以并處10萬元以上30萬元以下罰款;情節嚴重的,依法吊銷商用密碼檢測機構資質。
5)商用密碼認證機構違法開展商用密碼認證:責令改正或者停止違法行為,給予警告,沒收違法所得;違法所得30萬元以上的,可以并處違法所得1倍以上3倍以下罰款;沒有違法所得或者違法所得不足30萬元的,可以并處10萬元以上30萬元以下罰款;情節嚴重的,依法吊銷商用密碼認證機構資質。
6)銷售或提供未經檢測認證/檢測認證不合格的商用密碼產品/服務:責令改正或者停止違法行為,給予警告,沒收違法產品和違法所得;違法所得10萬元以上的,可以并處違法所得1倍以上3倍以下罰款;沒有違法所得或者違法所得不足10萬元的,可以并處3萬元以上10萬元以下罰款。
7)電子認證服務機構違規使用密碼:責令改正或者停止違法行為,給予警告,沒收違法所得;違法所得30萬元以上的,可以并處違法所得1倍以上3倍以下罰款;沒有違法所得或者違法所得不足30萬元的,可以并處10萬元以上30萬元以下罰款;情節嚴重的,依法吊銷電子認證服務使用密碼的證明文件。
8)電子政務電子認證服務機構違法開展電子政務電子認證服務:責令改正或者停止違法行為,給予警告,沒收違法所得;違法所得30萬元以上的,可以并處違法所得1倍以上3倍以下罰款;沒有違法所得或者違法所得不足30萬元的,可以并處10萬元以上30萬元以下罰款;情節嚴重的,責令停業整頓,直至吊銷電子政務電子認證服務機構資質。
9)關鍵信息基礎設施的運營者未按照要求使用商用密碼/開展商用密碼應用安全性評估:責令改正或停止使用,給予警告;拒不改正或有其他嚴重情節的,處10萬元以上100萬元以下罰款,對直接負責的主管人員處1萬元以上10萬元以下罰款。
10)關鍵信息基礎設施的運營者使用未經安全審查/安全審查未通過的商用密碼產品/服務:責令停止使用,處采購金額1倍以上10倍以下罰款;對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款。
11)網絡運營者未按照國家網絡安全等級保護制度要求使用商用密碼保護網絡安全:責令改正,給予警告;拒不改正或導致危害網絡安全等后果,處1萬元以上10萬元以下罰款,對直接負責的主管人員處5000元以上5萬元以下罰款。
附則
施行時間:2023年7月1日。
03
《條例》施行的作用與意義
一、優化并完善我國網絡安全法律體系
自黨的十八大以來,貫徹落實總體國家安全觀,相繼制定修訂了網絡安全法、電子簽名法、密碼法、數據安全法、個人信息保護法、出口管制法等多部網絡安全領域法律,構建具有中國特色的網絡安全法律體系。
《條例》在《密碼法》框架下做了全面修訂,不僅與《密碼法》緊密銜接,而且充分吸納過往的成功經驗與實踐成果,推進商用密碼在各領域、各環節、各要素的應用落地。
二、鼓勵商用密碼創新與新技術的融合發展
隨著商用密碼應用不斷深入,云計算、大數據、區塊鏈、人工智能、量子計算、數字貨幣、物聯網等重要領域與商用密碼結合越來越多;商用密碼技術研究邊界與內涵不斷擴展,覆蓋的數據要素市場越來越龐大,需要解決的數據安全問題越來越具體。
《條例》對商用密碼的發展提出了人才培養、密碼學科和專業建設、密碼學術研究與交流、密碼技術審查等多方面的創新促進機制。中國科學院軟件研究所張振峰講到:“《條例》規定國家支持商用密碼科學技術自主創新,鼓勵和支持商用密碼科學技術成果轉化和產業化應用,支持網絡產品、服務使用商用密碼提升安全性,支持并規范商用密碼在信息領域新技術、新業態、新模式中的應用。”
三、加強商用密碼應用的縱深推進
《條例》通過“四級管理+專項管理”機制加強商用密碼應用安全性評估、關鍵信息基礎設施安全檢測評估、網絡安全等級測評在過程中銜接以及結果的復用。綜合解決國內商用密碼應用不廣泛、不規范和不充分等實際問題,進一步強化商用密碼應用的深度和廣度。
并且《條例》超過四分之一的篇幅對違反條例規定的不同違法行為明確規定相應的法律責任、處罰力度,通過條例權威性加快密碼應用的合規與縱深。
04
安恒信息針對商用密碼
應用建設的思考
此次《條例》的修訂公布,進一步鼓勵公民、法人和其他組織依法使用商用密碼保護網絡與信息安全。《條例》根據《密碼法》相關規定,對關鍵信息基礎設施運營者使用商用密碼的規范要求進行了細化補充,同時針對網絡運營者,《條例》也提出了明確要求:“網絡運營者應當按照國家網絡安全等級保護制度要求,使用商用密碼保護網絡安全”。
當前各行業開展商用密碼建設時,普遍將商用密碼應用安全性評估(即“密評”)相關標準作為應用建設的抓手和依據。但由于密碼應用具有業務強關聯屬性,如何制定符合自身業務情況的應用方案,讓商用密碼得到正確、有效的應用,成為廣大網絡運營者面臨的一項挑戰。
正是因為商用密碼應用方案的上述特點,使網絡運營者對于方案建設廠家的選擇變的尤為重要。安恒信息基于多年來在商用密碼應用領域的沉淀和積累,憑借自身專業、豐富的經驗,能夠快速幫助用戶設計出符合其業務特性、行之有效的商用密碼應用方案,讓用戶在商用密碼應用建設上少走彎路。
目前,安恒信息擁有5大類10余款商用密碼產品,20+商用密碼相關技術專利,70+商用密碼相關軟件著作權,可以為用戶提供完整的商用密碼解決方案。同時,針對密碼應用改造難、落地難得問題,安恒信息創新性提出以傳輸透明加密、數據庫透明存儲加密產品為主的“輕改造,無感知”密碼應用方案,幫助各行業用戶更簡單的使用商用密碼能力。針對云上場景,密碼服務平臺已和安恒云-天池平臺完成融合對接,對用戶而言僅需一套平臺,便可以同時擁有等保安全、數據安全、商用密碼的相關能力,快速解決云上安全問題。
安恒信息通過完善的商用密碼產品體系和專業的安全服務,已累計幫助各行業上百家用戶完成商密應用改造,并獲得2022年工信部首屆全國商用密碼應用優秀案例、2022“直通烏鎮”全球互聯網大賽總決賽二等獎等多項行業獎項,充分得到市場認可。未來,安恒信息將持續在商用密碼領域發力,讓商用密碼更簡單的賦能千行百業。
