2023-06-06 来源:
近日,国务院总理李强主持召开的国务院常务会议审议通过了《商用密码管理条例(修订草案)》(以下简称《条例(修订草案)》),并对规范商用密码应用和推动商用密码市场发展做出部署。
会议要求,要全面贯彻总体国家安全观,进一步规范商用密码应用和管理,督促平台企业依法履行用户密码保护责任,确保个人隐私、商业秘密和政府敏感数据的安全。要更好顺应数字经济快速发展趋势,建立健全商用密码科技创新促进机制,推动商用密码科技成果转化和产业化应用,促进商用密码市场持续健康发展。
一、行业与政策简析
近年来,生成式人工智能(AIGC)、数据交易、数据全生命周期安全管理等业务场景快速发展,关键信息基础设施安全的重要性突显。应用场景的复杂性和网络安全的严峻形势对商用密码提出了更高的保障需求。商用密码市场规模快速增长,成为行业刚需。
我国现有商用密码产品3000余款,涵盖软件、芯片、模块、板卡、整机和系统等产品形态,形成了完整的商用密码产品体系。同时商用密码企业自主创新能力持续增强,产业支撑能力不断提升,部分产品性能指标达到国际先进水平。
《中华人民共和国密码法》的实施以及《商用密码管理条例(修订草案)》的通过,将进一步规范密码应用市场,加快密码技术与密码产品创新,推动密码在数字化进程中的应用普及。
二、《条例》重要修订解读
中国金融认证中心(CFCA)信息安全专家郭嘉表示,《条例(修订草案)》与1999年出台的《商用密码管理条例》相比,在结构、内容上均有大幅度的变化,全面贯彻落实了《密码法》中商用密码管理的具体制度。重要修订内容如下:
1. 依托《密码法》为上位法
由于《商用密码管理条例》于1999年出台,早于《密码法》的颁布时间,因此并未明确规定上位法依据。随着《密码法》的颁布实施,商用密码管理作为我国密码管理中的组成部分,其管理规范即可依托《密码法》为上位法。而且《条例(修订草案)》重点规定的检测认证、电子认证、进出口管理制度也与《密码法》相关内容同频共振,进一步落实了《密码法》的管理要求。
2.“四级+专项”管理体制
1999年出台的《商用密码管理条例》对密码管理实行的是国家和省级两级管理体制。《条例(修订草案)》依托《密码法》,实际上确定了“四级管理+专项管理”的体制,即国家、省级、市、县负责相应行政区域的商用密码工作,国家网信、商务、海关、市场监督管理等有关部门在各自职责范围内,负责商用密码有关管理工作。
3. 明确划定商用密码边界
《条例(修订草案)》秉承了《密码法》的立法思路,第九条和第三十九条明确了“商用密码技术”纳入指导目录的要求,也将“商用密码服务”纳入规制范围。
4. 细化密码检测认证流程
2017年国务院取消了商用密码产品生产单位审批、销售单位许可、外商投资企业使用境外密码产品审批、境外组织和个人在华使用密码产品或者含有密码技术的设备审批等四项行政许可事项。
《密码法》颁布实施后,国家密码管理局和市场监管总局两部门联合推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。《条例(修订草案)》对商用密码产品检测与认证机构的资质要求、申请流程、主管机构、监督管理进行深入细化。
5. 加强电子认证机构管理
《密码法》规定国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。《条例(修订草案)》进一步规定,电子政务电子认证服务机构应经国家密码管理部门认定,并取得相应资质。
6. 密码进出口清单式管控
1999年出台的《商用密码管理条例》规定进口密码产品及含有密码技术的设备或者出口商用密码产品,必须报经国家密码管理机构批准。任何单位或者个人不得销售境外的密码产品。《条例(修订草案)》第五章规定了进口《商用密码进口许可清单》和出口《商用密码出口管制清单》中的商用密码,应当向国务院商务主管部门申请领取两用物项进出口许可证。
7. 密码应用由推荐变强制
等保2.0要求对于网络安全等级保护第三级以上网络,要求运营者应当使用商用密码进行保护,但等保2.0仅为推荐性标准,并不具备强制力。《条例(修订草案)》中规定,非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统都被要求“制定商用密码应用方案”“同步规划、同步建设、同步运行商用密码保障系统”,并“自行或者委托商用密码检测机构开展商用密码应用安全性评估”。因此《条例》正式生效后,对商用密码应用的要求将由“推荐”上升为“强制”。
《商用密码管理条例(修订草案)》的正式通过,将促进信息安全和密码领域发生一系列重要变化,商用密码推广已具备必要基础。万事俱备,东风已来,密码行业将迎来重大发展机遇。