《密码法》已于2020年1月1日起施行
密码是保障网络与信息安全的核心技术和基础支撑,直接关系到国家的政治安全、经济安全、国防安全和信息安全,极为重要。但中国此前只有1999年国务院发布的《商用密码管理条例》及先后发布的若干部门配套规定作为规范依据,较为薄弱,同时从产品制造到销售、服务提供、使用、进口等全环节审批式管理模式也已不适应时代发展需要。
在此背景下,2019年底,第十三届全国人民代表大会常务委员会通过了《密码法》,从密码分类管理入手,除了关系国家安全和社会公共利益的少数事项以外,管理模式转变为关键环节的事中事后监管。
以下举《密码法》要点介绍如下:
1、密码分类管理
根据《密码法》规定,密码分为核心密码、普通密码和商用密码。其中前两种本身属于国家秘密,并用于传递、存储、处理国家秘密。商用密码用于保护不属于国家秘密的信息。
2、商用密码管理
(1)对外资企业的非歧视原则。
根据《密码法》第21条规定,应当“依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位”,并且“行政机关及其工作人员不得利用行政手段强制转让商用密码技术”。
(2)建立和完善商用密码标准体系。
根据《密码法》第22条规定,“由国务院标准化行政主管部门和国家密码管理部门组织制定商用密码国家标准、行业标准”。结合《外商投资法》关于外资企业参与标准制定的有关规定,从事商用密码科研、生产等业务的外资企业有望在相关国标、行标制定中发挥作用,表达意见。
此外,相关外资企业在《密码法》第23条规定的“商用密码国际标准化活动”中,在“参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用”方面可能具有一定的优势。
(3)针对部分商用密码产品/服务,实行强制性检测认证制度。
强制性检测认证制度适用的对象为:涉及国家安全、国计民生、社会公共利益的商用密码产品和使用网络关键设备和网络安全专用产品的商用密码服务。
根据《密码法》规定,该等对象将通过“网络关键设备和网络安全专用产品目录”明确范围。因此,相关企业需要留意这方面的动向。
(4)密码产品/服务的进出口问题。
根据《密码法》规定,“对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制”;“大众消费类产品所采用的商用密码不实行进口许可和出口管制制度”。
但是,“商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布”,目前该等清单尚未出台。
在此情况下,根据国家密码管理局、商务部、海关总署公告第38号《国家密码管理局、商务部、海关总署公告第38号—关于做好商用密码进出口管理工作的过渡和衔接的公告》, “在商用密码进口许可清单和出口管制清单公布实施前,商用密码进出口暂按目前公布的许可条件和程序依法实施进出口许可管理”。因此,从事密码产品和含有密码技术的设备进口的,按照国密局第18号、第27号公告办理。