密碼是國(guó)家戰(zhàn)略資源�,密碼治理是網(wǎng)絡(luò)空間治理的重要組成部分。隨著數(shù)字中國(guó)和數(shù)字社會(huì)建設(shè)步伐的加快�����,新業(yè)態(tài)的不斷發(fā)展��,人工智能����、云計(jì)算、區(qū)塊鏈����、量子計(jì)算等技術(shù)的廣泛應(yīng)用,以及世界格局的演變�,特別是新冠疫情這一國(guó)際公共事件進(jìn)一步推動(dòng)了人類(lèi)社會(huì)的“線上”活動(dòng)����,新時(shí)代密碼工作面臨著許多新的機(jī)遇和挑戰(zhàn)���,也被賦予了更加繁重的保障和管理職責(zé)�����?�?傮w國(guó)家安全觀作為新時(shí)代中國(guó)特色社會(huì)主義發(fā)展的基本方略����,是我國(guó)全面推進(jìn)依法治國(guó)的科學(xué)理論指導(dǎo)���?����!睹艽a法》堅(jiān)持總體國(guó)家安全觀��,為維護(hù)國(guó)家主權(quán)��、安全和發(fā)展利益�����,加強(qiáng)網(wǎng)絡(luò)空間密碼安全治理和密碼產(chǎn)業(yè)應(yīng)用��,重塑我國(guó)商用密碼管理體系��,對(duì)1999年《商用密碼管理?xiàng)l例》的主要制度和內(nèi)容進(jìn)行了重大制度創(chuàng)新����。新修訂的《商用密碼管理?xiàng)l例》(以下簡(jiǎn)稱(chēng)《條例》)依據(jù)《密碼法》和其他相關(guān)法律法規(guī)���,完善了國(guó)家密碼法律體系和管理機(jī)制��,理順了與相關(guān)法律制度的關(guān)系����,有助于提升國(guó)家商用密碼治理能力���,改變了商用密碼的專(zhuān)控模式���,為密碼科技進(jìn)步創(chuàng)造了良好的法治環(huán)境。
一���、堅(jiān)持商用密碼綜合管理的立法定位
面對(duì)新時(shí)代國(guó)家安全的新形勢(shì)和國(guó)家利益的安全發(fā)展需求�,堅(jiān)持總體國(guó)家安全觀是發(fā)展社會(huì)主義安全法治必須遵循的基本原則。我國(guó)《密碼法》堅(jiān)持總體國(guó)家安全觀�����,在密碼安全與發(fā)展��、創(chuàng)新與應(yīng)用�、使用與服務(wù)等方面進(jìn)行整體性的制度安排。隨著密碼技術(shù)創(chuàng)新發(fā)展�、泛在化應(yīng)用和密碼安全事件的突發(fā)演變,亟需修訂1999年的《條例》�����,對(duì)商用密碼實(shí)施綜合統(tǒng)一管理��。
首先���,堅(jiān)持對(duì)商用密碼“生命周期”系統(tǒng)考量�。新修訂的《條例》調(diào)整商用密碼的科研���、生產(chǎn)�、銷(xiāo)售、服務(wù)����、檢測(cè)、認(rèn)證���、進(jìn)出口、應(yīng)用等活動(dòng)及監(jiān)督管理���,貫徹落實(shí)行政審批制度改革要求����,既要規(guī)范國(guó)內(nèi)資本秩序����,又要規(guī)范國(guó)外資本的引進(jìn);既要重視密碼技術(shù)的安全�,又要重視密碼服務(wù)和產(chǎn)品的安全;既要把好進(jìn)出口許可與管制�����,又要重視風(fēng)險(xiǎn)管理;既要重視電子認(rèn)證�����,又要重視電子政務(wù)認(rèn)證�����;既要重視密碼人才培養(yǎng)��,又要重視密碼人才評(píng)價(jià)發(fā)展和學(xué)科建設(shè)�,鼓勵(lì)和支持密碼學(xué)科和專(zhuān)業(yè)建設(shè),特別重視商用密碼技術(shù)標(biāo)準(zhǔn)�、成果應(yīng)用。
其次���,堅(jiān)持安全與發(fā)展的統(tǒng)籌協(xié)調(diào)����。按照《密碼法》的規(guī)定��,我國(guó)對(duì)核心密碼���、普通密碼和商用密碼實(shí)施分類(lèi)管理���。新修訂的《條例》落實(shí)《密碼法》精神�����,明確建立進(jìn)出口清單制��、密碼應(yīng)用安全性評(píng)估和國(guó)家安全審查等制度���,明確支持網(wǎng)絡(luò)產(chǎn)品、服務(wù)使用商用密碼提升安全性���,支持并規(guī)范商用密碼在信息領(lǐng)域新技術(shù)、新業(yè)態(tài)����、新模式中的應(yīng)用,要求加強(qiáng)商用密碼應(yīng)用信息采集�、風(fēng)險(xiǎn)評(píng)估、信息通報(bào)和重大事項(xiàng)會(huì)商����,并加強(qiáng)與網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)的銜接,既鼓勵(lì)和支持商用密碼科學(xué)技術(shù)成果轉(zhuǎn)化和產(chǎn)業(yè)化����,又要求依法組織對(duì)密碼算法����、密碼協(xié)議�、密鑰管理機(jī)制等商用密碼技術(shù)進(jìn)行審查鑒定。這些規(guī)定都很好地體現(xiàn)了安全與發(fā)展的統(tǒng)籌協(xié)調(diào)要求�����。
第三���,堅(jiān)持人民至上的宗旨要求�����?����?傮w國(guó)家安全觀要求安全工作考慮人民根本利益���,《密碼法》明確規(guī)定保護(hù)公民、法人和其他組織的合法權(quán)益�,強(qiáng)調(diào)對(duì)密碼知識(shí)產(chǎn)權(quán)的保護(hù)和商業(yè)秘密的保護(hù)�。新修訂的《條例》從商用密碼應(yīng)用和新技術(shù)發(fā)展格局出發(fā)��,對(duì)個(gè)人隱私保護(hù)作出了明確的規(guī)定�。商用密碼泛在化應(yīng)用涉及到個(gè)人隱私的法律問(wèn)題。新修訂的《條例》明確規(guī)定密碼管理部門(mén)和有關(guān)部門(mén)及其工作人員不得要求商用密碼從業(yè)單位和商用密碼檢測(cè)�、認(rèn)證機(jī)構(gòu)向其披露源代碼等密碼相關(guān)專(zhuān)有信息,并對(duì)其在履行職責(zé)中知悉的商業(yè)秘密和個(gè)人隱私嚴(yán)格保密����,不得泄露或者非法向他人提供。同時(shí),對(duì)密碼管理部門(mén)和有關(guān)部門(mén)的工作人員在商用密碼工作中濫用職權(quán)、玩忽職守��、徇私舞弊,或者泄露���、非法向他人提供在履行職責(zé)中知悉的商業(yè)秘密、個(gè)人隱私����、舉報(bào)人信息的,依法給予處分�。這些規(guī)定都是完善密碼法律體系的基本要求。
二���、強(qiáng)化商用密碼法律體系的制度建設(shè)
《密碼法》適應(yīng)國(guó)家安全和發(fā)展需要�����,以貫徹落實(shí)總體國(guó)家安全觀為出發(fā)點(diǎn)�,新修訂的《條例》從重塑商用密碼管理制度等方面強(qiáng)化了密碼法律體系建設(shè)。
首先���,新修訂的《條例》進(jìn)一步完善了《密碼法》確立的法律制度���。堅(jiān)持行政審批制度改革方向,努力推進(jìn)商用密碼檢測(cè)認(rèn)證體系建設(shè)��,明確產(chǎn)品檢測(cè)����、系統(tǒng)應(yīng)用安全性評(píng)估等檢測(cè)活動(dòng)的資質(zhì)條件和申請(qǐng)程序,明確國(guó)家密碼管理部門(mén)的認(rèn)定��、審批權(quán)限和職責(zé)�。新修訂的《條例》明確了國(guó)家統(tǒng)一推行的商用密碼認(rèn)證制度,對(duì)商用密碼產(chǎn)品�����、服務(wù)和管理體系實(shí)行認(rèn)證,重申商用密碼自愿認(rèn)證和強(qiáng)制認(rèn)證的管理格局�����;也明確了認(rèn)證資質(zhì)的取得程序和條件����,以及認(rèn)證機(jī)構(gòu)的法定義務(wù)和倫理責(zé)任;更為重要的是��,明確國(guó)務(wù)院市場(chǎng)監(jiān)督管理部門(mén)在審查認(rèn)證資質(zhì)申請(qǐng)時(shí)����,應(yīng)當(dāng)征求國(guó)家密碼管理部門(mén)的意見(jiàn)。
其次���,新修訂的《條例》構(gòu)建了若干重要的管理制度�����。電子政務(wù)采用電子簽名和數(shù)據(jù)電文已經(jīng)相當(dāng)普遍,其相關(guān)制度有待立法明確�����。新修訂的《條例》規(guī)定了電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)的資質(zhì)條件、取得資質(zhì)的程序以及電子政務(wù)電子認(rèn)證服務(wù)的活動(dòng)要求�����。特別明確了電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)取得國(guó)家密碼管理部門(mén)同意使用密碼的證明文件�,明確電子認(rèn)證服務(wù)機(jī)構(gòu)保證電子認(rèn)證服務(wù)使用密碼“持續(xù)符合”的合規(guī)遵從要求。在進(jìn)出口管理方面����,新修訂的《條例》重申清單制度,明確大眾消費(fèi)類(lèi)產(chǎn)品所采用的商用密碼不實(shí)行進(jìn)口許可和出口管制制度�����,同時(shí)明確了海關(guān)商密管理的交驗(yàn)�����、鑒別制度��,很好地協(xié)調(diào)了海關(guān)���、商務(wù)部門(mén)和國(guó)家密碼管理部門(mén)之間的責(zé)任范圍��。
第三����,新修訂的《條例》明晰了相關(guān)法律制度的銜接,保障了制度的貫徹落實(shí)����。申請(qǐng)商用密碼認(rèn)證機(jī)構(gòu)資質(zhì),應(yīng)當(dāng)符合法律��、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求的認(rèn)證機(jī)構(gòu)基本條件���,還應(yīng)當(dāng)具備與從事商用密碼認(rèn)證活動(dòng)相適應(yīng)的檢測(cè)���、檢查等技術(shù)能力。商用密碼應(yīng)用安全性評(píng)估應(yīng)當(dāng)和關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估�、網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)加強(qiáng)銜接,減輕市場(chǎng)運(yùn)營(yíng)負(fù)擔(dān)成本�。商用密碼應(yīng)用信息收集、風(fēng)險(xiǎn)評(píng)估等制度應(yīng)加強(qiáng)與網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度的銜接����。新修訂的《條例》特別明確了外商投資安全審查與國(guó)家安全審查的適用條件和要求。
三����、推進(jìn)商用密碼法律體系和治理能力建設(shè)
加強(qiáng)商用密碼管理體系與能力建設(shè)是國(guó)家治理能力建設(shè)的重要內(nèi)容。
首先�����,新修訂的《條例》明確國(guó)家�、省、市�����、縣四級(jí)密碼管理部門(mén)的商用密碼管理職責(zé)�����,以及網(wǎng)信�、商務(wù)、海關(guān)�����、市場(chǎng)監(jiān)管等有關(guān)部門(mén)的職責(zé)范圍�����,明確國(guó)家機(jī)關(guān)和密碼工作單位的商密管理職責(zé),以及國(guó)家密碼管理部門(mén)的統(tǒng)籌指導(dǎo)責(zé)任��。關(guān)于建立統(tǒng)一的電子認(rèn)證信任機(jī)制��,新修訂的《條例》明確國(guó)家密碼管理部門(mén)負(fù)責(zé)電子認(rèn)證信任源的規(guī)劃和管理��,推行電子認(rèn)證服務(wù)的互信互認(rèn)��。新修訂的《條例》規(guī)定國(guó)家建立商用密碼應(yīng)用促進(jìn)協(xié)調(diào)機(jī)制��,明確規(guī)定要與社會(huì)信用體系相銜接�����,建立并推行市場(chǎng)主體信用記錄��、信用分級(jí)分類(lèi)監(jiān)管�、失信懲戒以及信用修復(fù)等機(jī)制。
其次���,新修訂的《條例》將商用密碼產(chǎn)品管理機(jī)制從原來(lái)的行政審批轉(zhuǎn)為檢測(cè)認(rèn)證�,注重發(fā)揮檢測(cè)認(rèn)證和標(biāo)準(zhǔn)化的支撐作用��,通過(guò)技術(shù)賦能商用密碼法治體系和能力�?��!睹艽a法》改變了過(guò)去商用密碼國(guó)家專(zhuān)控方式,調(diào)動(dòng)社會(huì)與市場(chǎng)方式參與治理�����,豐富了治理形式���,更重要的是提升了治理效果。面對(duì)密碼泛在化應(yīng)用�����,新技術(shù)�、新應(yīng)用和新模式不斷涌現(xiàn),事前事中事后監(jiān)管已經(jīng)是商用密碼有效治理的重要內(nèi)容�����。密碼管理部門(mén)依法組織對(duì)商用密碼活動(dòng)進(jìn)行監(jiān)督檢查�����,建立商用密碼監(jiān)督管理協(xié)作機(jī)制��,加強(qiáng)商用密碼檢查、指導(dǎo)��、監(jiān)督等工作的協(xié)調(diào)配合�����,明確規(guī)定密碼管理部門(mén)具有進(jìn)入商用密碼活動(dòng)場(chǎng)所實(shí)施現(xiàn)場(chǎng)檢查的職權(quán)��。
第三�,商用密碼治理能力建設(shè)需要積極參與國(guó)際密碼活動(dòng)?!稐l例》明確規(guī)定了國(guó)家推動(dòng)參與商用密碼國(guó)際標(biāo)準(zhǔn)化活動(dòng),參與制定商用密碼國(guó)際標(biāo)準(zhǔn)��,推進(jìn)商用密碼中國(guó)標(biāo)準(zhǔn)與國(guó)外標(biāo)準(zhǔn)之間的轉(zhuǎn)化運(yùn)用���,鼓勵(lì)企業(yè)�、社會(huì)團(tuán)體和教育�����、科研機(jī)構(gòu)等參與商用密碼國(guó)際標(biāo)準(zhǔn)化活動(dòng)����,規(guī)范商用密碼社會(huì)化培訓(xùn)����,促進(jìn)商用密碼人才交流�����。
第四��,威脅態(tài)勢(shì)感知�����,也要求強(qiáng)化密碼法律體系建設(shè)��。當(dāng)前開(kāi)源模式已經(jīng)成為IT業(yè)界的普遍產(chǎn)業(yè)形態(tài)�����,勒索攻擊作為一種非法服務(wù)模式已經(jīng)給商用密碼供應(yīng)鏈安全帶來(lái)了新的危機(jī)�。新修訂的《條例》鼓勵(lì)技術(shù)創(chuàng)新和應(yīng)用創(chuàng)新�,為商用密碼建立了寬松開(kāi)放的發(fā)展空間。同時(shí)也要求對(duì)商用密碼發(fā)展的風(fēng)險(xiǎn)威脅態(tài)勢(shì)進(jìn)行監(jiān)測(cè)預(yù)警����,發(fā)現(xiàn)商用密碼應(yīng)用重大問(wèn)題��、風(fēng)險(xiǎn)隱患立即采取應(yīng)對(duì)措施�,并及時(shí)開(kāi)展調(diào)查�����、處置�����,及時(shí)消除安全隱患��。
應(yīng)該強(qiáng)調(diào)的是�,系統(tǒng)性謀劃商用密碼管理中“商”和“密”,兼顧開(kāi)放和安全����,是堅(jiān)持總體國(guó)家安全觀的內(nèi)在要求。新修訂的《條例》重視商用密碼應(yīng)用安全性評(píng)估和出口管制����,明確對(duì)涉及國(guó)家安全、社會(huì)公共利益或者中國(guó)承擔(dān)國(guó)際義務(wù)的商用密碼實(shí)施出口管制�,并要求審查商用密碼的技術(shù)要求和最終用戶最終用途證明,這從“法律能力”上保證了商用密碼不能用于恐怖���、非法武裝等活動(dòng)���,威脅國(guó)際安全�。
“法治興則民族興�����,法治強(qiáng)則國(guó)家強(qiáng)����。”貫徹落實(shí)總體國(guó)家安全觀是一項(xiàng)長(zhǎng)期的系統(tǒng)工程��,商用密碼的立法�����、司法�����、執(zhí)法和守法需要協(xié)同推進(jìn)��,關(guān)注大數(shù)據(jù)��、人工智能�����、區(qū)塊鏈等技術(shù)及其應(yīng)用對(duì)商用密碼管理的挑戰(zhàn)���,堅(jiān)持以“重大需求”強(qiáng)化我國(guó)密碼法律體系和商用密碼治理能力建設(shè)���。
