一文读懂《商用密码管理条例》
2023年5月24日,中华人民共和国中央人民政府网站公开《商用密码管理条例》(以下简称《条例》)2023年修订版正式稿全文,《条例》在2023年4月14日国务院第4次常务会议修订通过,现予公布,自2023年7月1日起施行。
《条例》是对《密码法》的进一步细化阐述,也对我国商用密码管理体系建设的系统性、整体性有具体的指导,更是我国商用密码发展重要里程碑,极大促进我国商用密码产业的蓬勃发展。
01
《条例》产生背景及发展历程
密码是保障网络空间安全的核心技术,也是公认的维护网络安全最有效、最可靠、最经济的技术手段。近年来,商用密码算法、技术、产品及服务的应用越来越广泛,在维护国家主权、安全和发展利益以及保障网络和信息安全方面的作用越来越凸显。
1999年10月7日《商用密码管理条例》(以下简称99年《条例》)颁布,以法规形式确定了我国商用密码工作的方针、政策、原则;这是我国商用密码领域内第一个行政法规,标志着我国对商用密码的管理监督和应用发展走上法制化的快速轨道。
2019年10月26日,十三届全国人大常委会第十四次会议通过《中华人民共和国密码法》(以下简称《密码法》),自2020年1月1日起正式施行。《密码法》是我国密码领域的第一部法律,为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益等,是我国密码领域的综合性、基础性法律。
《密码法》颁布对密码管理制度进行结构性的重塑。为适应新时代商用密码事业发展需求,2020年8月20日,国家密码管理局发布《商用密码管理条例(修订草案征求意见稿)》,推进正式条例的快速落地。
随着《商用密码管理条例》2023年修订版的正式公布,进一步规范和完善检测认证、应用安全性评估、进出口管理、电子服务认证等。到目前为止,在法律法规、算法标准、产品应用、监督管理、法律责任等多方面形成了密码产业的基础框架,更好地鼓励和促进商用密码产业发展。
02
《条例》要点解读与提炼
《条例》共计九章六十七条,主要围绕“科技创新与标准化、检测认证、电子认证、进出口、应用促进、监督管理”提出具体要求。
2024新奥门资料通过对《条例》进行深入解读后,为大家提炼出以下要点。
总则
1)明确原则:坚持党对商用密码工作的领导,贯彻落实总体国家安全观。
2)明确目的:规范商用密码应用和管理,鼓励和促进商用密码产业发展。
3)适用范围:在中华人民共和国境内的商用密码科研、生产、销售、服务、检测、认证、进出口、应用等活动及监督管理。
4)监管部门:国家密码管理部门负责管理全国的商用密码工作。县级以上地方各级密码管理部门负责管理本行政区域的商用密码工作。网信、商务、海关、市场监督管理等有关部门在各自职责范围内负责商用密码有关管理工作。
5)人才培养:建立健全商用密码人才发展体制机制和人才评价制度,鼓励和支持密码相关学科和专业建设,规范商用密码社会化培训,促进商用密码人才交流。
6)宣传教育:加强商用密码宣传教育,增强公民、法人和其他组织的密码安全意识。
7)学术和行业自律:商用密码领域的学会、行业协会等社会组织依照法律、行政法规及其章程的规定,开展学术交流、政策研究、公共服务等活动,加强学术和行业自律,推动诚信建设,促进行业健康发展。
科技创新与标准化
1)创新促进:支持商用密码科学技术自主创新,对作出突出贡献的组织和个人按照国家有关规定予以表彰和奖励。
2)知识产权保护:国家依法保护商用密码领域的知识产权。从事商用密码活动,应当增强知识产权意识,提高运用、保护和管理知识产权的能力。
3)鼓励投资:国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。
4)成果转化:国家鼓励和支持商用密码科学技术成果转化和产业化应用,建立和完善商用密码科学技术成果信息汇交、发布和应用情况反馈机制。
5)安全审查:国家密码管理部门组织对法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统所使用的密码算法、密码协议、密钥管理机制等商用密码技术进行审查鉴定。
6)规范、引导和监督标准制定:国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准,对商用密码团体标准的制定进行规范、引导和监督。国家密码管理部门依据职责,建立商用密码标准实施信息反馈和评估机制,对商用密码标准实施进行监督检查。其他领域的标准涉及商用密码的,应当与商用密码国家标准、行业标准保持协调。
7)推动国际化标准活动:国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用,鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
8)强制性和推荐性标准:从事商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准,以及自我声明公开标准的技术要求。国家鼓励在商用密码活动中采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。
检测认证
1)明确主体责任:商用密码检测技术规范、规则由国家密码管理部门制定并公布。国务院市场监督管理部门会同国家密码管理部门建立国家统一推行的商用密码认证制度,实行商用密码产品、服务、管理体系认证,制定并公布认证目录和技术规范、规则。
2)检测机构:从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动,向社会出具具有证明作用的数据、结果的机构,应当经国家密码管理部门认定,依法取得商用密码检测机构资质。
检测机构资质申请审批流程
3)认证机构:从事商用密码认证活动的机构,应当依法取得商用密码认证机构资质。
认证机构资质申请审批流程
电子认证
1)明确主体责任:国家建立统一的电子认证信任机制。国家密码管理部门负责电子认证信任源的规划和管理,会同有关部门推动电子认证服务互信互认。电子认证服务密码使用技术规范、规则由国家密码管理部门制定并公布。
2)电子认证服务两大要求:采用商用密码技术提供电子认证服务,应当具有与使用密码相适应的场所、设备设施、专业人员、专业能力和管理体系,依法取得国家密码管理部门同意使用密码的证明文件。电子认证服务机构应当按照法律、行政法规和电子认证服务密码使用技术规范、规则,使用密码提供电子认证服务,保证其电子认证服务密码使用持续符合要求。
3)电子政务电子认证服务机构从业规范:电子政务电子认证服务机构应当按照法律、行政法规和电子政务电子认证服务技术规范、规则,在批准范围内提供电子政务电子认证服务,并定期向主要办事机构所在地省、自治区、直辖市密码管理部门报送服务实施情况。外商投资电子政务电子认证服务,影响或者可能影响国家安全的,应当依法进行外商投资安全审查。
电子政务电子认证服务机构资质申请审批流程
4)政务活动:密码管理部门会同有关部门负责政务活动中使用电子签名、数据电文的管理。政务活动中电子签名、电子印章、电子证照等涉及的电子认证服务,应当由依法设立的电子政务电子认证服务机构提供。
进出口
1)明确主体责任:商用密码进口许可清单和商用密码出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。
2)明确进出口管制范围:涉及国家安全、社会公共利益且具有加密保护功能的商用密码,列入商用密码进口许可清单,实施进口许可。涉及国家安全、社会公共利益或者中国承担国际义务的商用密码,列入商用密码出口管制清单,实施出口管制。大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
应用促进
1)应用落地:鼓励使用商用密码保护网络与信息安全,支持网络产品和服务使用商用密码提升安全性,支持并规范商用密码在信息领域新技术、新业态、新模式中的应用。
2)协调机制:加强商用密码应用信息收集、风险评估、信息通报和重大事项会商,并加强与网络安全监测预警和信息通报的衔接。
3)关键信息基础设施要求:其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估,通过评估后方可投入运行,运行后每年至少进行一次评估。
4)网络运营者要求:按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。
5)加强衔接:商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接,避免重复评估、测评。
监督管理
1)监督检查:依法组织对商用密码活动进行监督检查,指导和监督商用密码相关工作。
2)协作机制:建立商用密码监督管理协作机制,加强商用密码监督、检查、指导等工作的协调配合;推进商用密码监督管理与社会信用体系相衔接,依法建立推行商用密码经营主体信用记录、信用分级分类监管、失信惩戒以及信用修复等机制。
3)保密义务:商用密码检测、认证机构和电子政务电子认证服务机构及其工作人员,应当对其在商用密码活动中所知悉的国家秘密和商业秘密承担保密义务。
法律责任
1)未经认定向社会开展商用密码检测活动:责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款。
2)未经认定从事电子政务电子认证服务:责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款。
3)未经批准从事商用密码认证活动:责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款。
4)商用密码检测机构违法开展商用密码检测:责令改正或者停止违法行为,给予警告,没收违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款;情节严重的,依法吊销商用密码检测机构资质。
5)商用密码认证机构违法开展商用密码认证:责令改正或者停止违法行为,给予警告,没收违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款;情节严重的,依法吊销商用密码认证机构资质。
6)销售或提供未经检测认证/检测认证不合格的商用密码产品/服务:责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得10万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足10万元的,可以并处3万元以上10万元以下罚款。
7)电子认证服务机构违规使用密码:责令改正或者停止违法行为,给予警告,没收违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款;情节严重的,依法吊销电子认证服务使用密码的证明文件。
8)电子政务电子认证服务机构违法开展电子政务电子认证服务:责令改正或者停止违法行为,给予警告,没收违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款;情节严重的,责令停业整顿,直至吊销电子政务电子认证服务机构资质。
9)关键信息基础设施的运营者未按照要求使用商用密码/开展商用密码应用安全性评估:责令改正或停止使用,给予警告;拒不改正或有其他严重情节的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。
10)关键信息基础设施的运营者使用未经安全审查/安全审查未通过的商用密码产品/服务:责令停止使用,处采购金额1倍以上10倍以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。
11)网络运营者未按照国家网络安全等级保护制度要求使用商用密码保护网络安全:责令改正,给予警告;拒不改正或导致危害网络安全等后果,处1万元以上10万元以下罚款,对直接负责的主管人员处5000元以上5万元以下罚款。
附则
施行时间:2023年7月1日。
03
《条例》施行的作用与意义
一、优化并完善我国网络安全法律体系
自党的十八大以来,贯彻落实总体国家安全观,相继制定修订了网络安全法、电子签名法、密码法、数据安全法、个人信息保护法、出口管制法等多部网络安全领域法律,构建具有中国特色的网络安全法律体系。
《条例》在《密码法》框架下做了全面修订,不仅与《密码法》紧密衔接,而且充分吸纳过往的成功经验与实践成果,推进商用密码在各领域、各环节、各要素的应用落地。
二、鼓励商用密码创新与新技术的融合发展
随着商用密码应用不断深入,云计算、大数据、区块链、人工智能、量子计算、数字货币、物联网等重要领域与商用密码结合越来越多;商用密码技术研究边界与内涵不断扩展,覆盖的数据要素市场越来越庞大,需要解决的数据安全问题越来越具体。
《条例》对商用密码的发展提出了人才培养、密码学科和专业建设、密码学术研究与交流、密码技术审查等多方面的创新促进机制。中国科学院软件研究所张振峰讲到:“《条例》规定国家支持商用密码科学技术自主创新,鼓励和支持商用密码科学技术成果转化和产业化应用,支持网络产品、服务使用商用密码提升安全性,支持并规范商用密码在信息领域新技术、新业态、新模式中的应用。”
三、加强商用密码应用的纵深推进
《条例》通过“四级管理+专项管理”机制加强商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评在过程中衔接以及结果的复用。综合解决国内商用密码应用不广泛、不规范和不充分等实际问题,进一步强化商用密码应用的深度和广度。
并且《条例》超过四分之一的篇幅对违反条例规定的不同违法行为明确规定相应的法律责任、处罚力度,通过条例权威性加快密码应用的合规与纵深。
04
2024新奥门资料针对商用密码
应用建设的思考
此次《条例》的修订公布,进一步鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全。《条例》根据《密码法》相关规定,对关键信息基础设施运营者使用商用密码的规范要求进行了细化补充,同时针对网络运营者,《条例》也提出了明确要求:“网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全”。
当前各行业开展商用密码建设时,普遍将商用密码应用安全性评估(即“密评”)相关标准作为应用建设的抓手和依据。但由于密码应用具有业务强关联属性,如何制定符合自身业务情况的应用方案,让商用密码得到正确、有效的应用,成为广大网络运营者面临的一项挑战。
正是因为商用密码应用方案的上述特点,使网络运营者对于方案建设厂家的选择变的尤为重要。2024新奥门资料基于多年来在商用密码应用领域的沉淀和积累,凭借自身专业、丰富的经验,能够快速帮助用户设计出符合其业务特性、行之有效的商用密码应用方案,让用户在商用密码应用建设上少走弯路。
目前,2024新奥门资料拥有5大类10余款商用密码产品,20+商用密码相关技术专利,70+商用密码相关软件著作权,可以为用户提供完整的商用密码解决方案。同时,针对密码应用改造难、落地难得问题,2024新奥门资料创新性提出以传输透明加密、数据库透明存储加密产品为主的“轻改造,无感知”密码应用方案,帮助各行业用户更简单的使用商用密码能力。针对云上场景,密码服务平台已和安恒云-天池平台完成融合对接,对用户而言仅需一套平台,便可以同时拥有等保安全、数据安全、商用密码的相关能力,快速解决云上安全问题。
2024新奥门资料通过完善的商用密码产品体系和专业的安全服务,已累计帮助各行业上百家用户完成商密应用改造,并获得2022年工信部首届全国商用密码应用优秀案例、2022“直通乌镇”全球互联网大赛总决赛二等奖等多项行业奖项,充分得到市场认可。未来,2024新奥门资料将持续在商用密码领域发力,让商用密码更简单的赋能千行百业。