新闻第64期 | 《商用密码管理条例》修订草案公布

     作者| 曹哲远 华东政法大学本科

             顾希薇 西南政法大学本科

             吴海瑜 暨南大学本科

             邵元宁 上海师范大学法学硕士

             银  杏 中国人民大学硕士

             任彦锦 中央财经大学硕士

     编辑| 徐睿晨 北京外国语大学本科

             于杰 上海对外经贸大学本科

     责编| 戚琳颖 大连海事大学本科

一、新闻简介

2023年4月14日，国务院常务会议审议通过了《商用密码条例》修订草案。5月24日公布修订稿全文，并于2023年7月1日起施行。1999年，该条例出台，时隔24年修改，展现了我国对于商用密码的重视，鼓励密码技术研究和开发。

生活中我们也离不开密码，如家门门禁、账号密码、手机锁屏、银行卡、门禁卡等等，因此密码对于我们来说并不陌生。但是网络却缺乏密码，个人信息泄漏十分常见——网站主动或者被动泄漏注册、登记的信息，用户勾选了隐私保护协议却仍能见到许多垃圾信息、接到诈骗电话等等。对于企业而言，信息是重要组成部分。企业决策文件、内部沟通、交易细则等等一旦泄漏将成为公开信息，得不偿失，所以企业也需为信息“设置密码”。

信息化时代下，泄漏行为太过频发反而使人们忽视了个人隐私保护。如杭州动物园野生动物园人脸识别第一案，动物园将入园方式由指纹更换为了人脸识别。技术变革过快，人们通常关注到的是事物的新奇与进步性，无法预料脸部特征作为生物信息也有被泄漏、被非法运用的可能。其次，密码的运用不仅可以体现在个人信息的加密，还可以在各类知识产权、数据库、电子证书等等领域使用。有些影视作品、创作视频被二次搬运，创作者的知识产权被侵犯，而作为商用密码可以对于视频平台进行加密，禁止运用爬虫等等数据抓取方式侵犯他人权益。

商业密码是信息自由流通时代的一道保护关卡。在数据权益仍然争议不断的情况下，加强密码保护是在技术上的解决方式。

二、商用密码介绍

依照我国《密码法》：密码，是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。这里所说的密码与我们日常生活所说的密码并非同一含义：此密码非彼密码。我们每天都接触手机的开机“密码”或是微信、支付宝、银行卡的支付“密码”等都是由若干个字符或数字组成，这些数字和字符的组合只是作为个人取款的一个凭证，它是一种简单、初级的身份认证手段，并不是真正意义上的密码。而《商用密码管理条例》中的“密码”与《密码法》中的定义是一致的。

图片来源于网络

密码又分为核心密码、普通密码和商用密码。商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证，所使用的密码技术和密码产品。其具有四大特性：真实性、完整性、机密性、不可否认性。这其实是真实对应着信息需要所保护的内容的：真实性是为了防假冒（已授权用户可以正常访问使用，未授权用户禁止访问），完整性是为了防篡改（保证信息不被未经允许的授权改动），机密性是为了防泄漏（已授权用户可以正常查看，未授权用户无法查看），不可否认性为了防止抵赖情况发生（用户不可否认之前针对资源的任何操作，包括访问、修改、删除等）。

而商用密码技术和商用密码产品是商用密码的主要表现形式。商用密码技术指能够实现商用密码算法的加密、解密和认证等功能的技术。（包括密码算法编程技术和密码算法芯片、加密卡等的实现技术）。商用密码产品是指实现密码运算、密钥管理等密码相关功能的硬件、软件、固件或其组合。按形态可以划分为六类：软件、芯片、模块、板卡、整机、系统。

三、《商用密码管理条例》的出台背景与目的

本次《条例》在密码法框架下进行了全面修订，不仅与密码法紧密衔接，而且充分吸纳了1999年《条例》实施以来的成功经验与实践成果，有效地将商用密码应用各领域、各环节、各要素纳入法治化管理轨道，符合新时代商用密码事业发展的根本需求。与此同时，《条例》的修订还将有力地推动我国网络与数据安全领域其他法律法规的顺利实施，促进网络与数据安全产业生态健康蓬勃发展，有效赋能数字经济建设。

新时代商用密码提出新要求。《条例》修订在总体思路上主要把握了以下三点：一是坚持创新发展与保障安全相结合。在促进商用密码科技创新和科技成果转化的同时，对涉及国家安全、国计民生、社会公共利益的商用密码产品、服务以及关键信息基础设施商用密码应用实施管控。二是坚持放宽准入与规范监管相结合。按照行政审批制度改革要求，放宽市场准入，由原《条例》规定的全环节严格管控，调整为对关键环节进行重点把控，管理方式由重事前审批转为加强事前事中事后监管，更好激发市场活力和社会创造力。三是处理好条例与相关法律法规的关系。注重与密码法、网络安全法、出口管制法、电子签名法、认证认可条例、关键信息基础设施安全保护条例等做好衔接，并将实践中成熟有效的做法上升为条例规定。

为国家安全提供法治保障。《条例》坚持总体国家安全观，统筹发展和安全，一方面，鼓励公民、法人和其他组织依法使用商用密码保护网络与数据安全，支持网络产品和服务使用商用密码提升安全性，规范商用密码在信息领域新技术、新业态、新模式中的应用。另一方面，明确关键信息基础设施的商用密码使用要求，并加强与国家安全审查、网络安全等级保护制度的衔接。

四、《商用密码管理条例》要点解读

（一）《商用密码管理条例》的总体思路

一是坚持创新发展与保障安全相结合。在促进商用密码科技创新和科技成果转化的同时，对涉及国家安全、国计民生、社会公共利益的商用密码产品、服务以及关键信息基础设施商用密码应用实施管控。

二是坚持放宽准入与规范监管相结合。按照行政审批制度改革要求，放宽市场准入，由原《条例》规定的全环节严格管控，调整为对关键环节进行重点把控，管理方式由重事前审批转为加强事前事中事后监管，更好激发市场活力和社会创造力。

三是处理好条例与相关法律法规的关系。注重与密码法、网络安全法、出口管制法、电子签名法、认证认可条例、关键信息基础设施安全保护条例等做好衔接，并将实践中成熟有效的做法上升为条例规定。

（二）内容解读

1.  促进商用密码科技创新

国家高度重视商用密码科技发展，积极促进商用密码科技进步和创新。《商用密码管理条例》明确加强商用密码人才培养，建立健全商用密码人才发展体制机制和人才评价制度，鼓励和支持密码相关学科和专业建设；建立健全商用密码科学技术创新促进机制，支持商用密码科学技术自主创新，对作出突出贡献的组织和个人按照国家有关规定予以表彰和奖励；鼓励支持商用密码科学技术成果转化和产业化应用，建立和完善商用密码科学技术成果信息汇交、发布和应用情况反馈机制；优化现行商用密码科研成果审查鉴定审批的适用范围，依法保护商用密码领域的知识产权；规范商用密码标准的制定、实施、监督、国际化以及法律效力。

2.  商用密码的检测、认证

修订后的《商用密码管理条例》取消了原《条例》设置的商用密码产品生产单位审批、商用密码产品销售单位许可、商用密码产品品种和型号审批，实行商用密码检测认证制度。《商用密码管理条例》规定：一是推进商用密码检测认证体系建设，鼓励在商用密码活动中自愿接受商用密码检测认证；二是明确商用密码检测、认证机构资质审批条件、程序及其从业规范；三是对涉及国家安全、国计民生、社会公共利益的商用密码产品与使用网络关键设备和网络安全专用产品的商用密码服务实行强制性检测认证制度。

3.  商用密码的进出口管理

为规范商用密码进出口管理，根据密码法关于商用密码进出口的规定以及国家出口管制、两用物项进出口管理制度，《商用密码管理条例》明确涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可，涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制；国务院商务主管部门会同国家密码管理部门和海关总署制定商用密码进口许可清单和出口管制清单；大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

4.  促进商用密码应用的相关规定

《商用密码管理条例》坚持总体国家安全观，统筹发展和安全，一方面，鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全，支持网络产品和服务使用商用密码提升安全性，规范商用密码在信息领域新技术、新业态、新模式中的应用。另一方面，明确关键信息基础设施的商用密码使用要求，并加强与国家安全审查、网络安全等级保护制度的衔接。

5.  商用密码监管

为了贯彻落实行政审批制度改革精神，加强事前事中事后监管，《商用密码管理条例》规定了密码管理部门和有关部门的商用密码监督管理职责权限；明确建立商用密码监督管理协作机制，推进商用密码监督管理与社会信用体系相衔接；明确密码管理部门和有关部门及其工作人员不得要求商用密码科研、生产、销售、服务、进出口等单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息，并对其在履行职责中知悉的商业秘密和个人隐私严格保密。

图片来源于网络

五、《商用密码管理条例》颁布释放潜力

随着我国信息化、网络化、数字化建设的高速发展，商用密码的应用已经渗透到经济、社会生活的各个方面。《商用密码管理条例》的发布为商用密码行业带来了机遇与挑战。与此相关，商业密码行业在技术创新、数据保护和国际方面引起的改变，既是机遇也是挑战。

机遇1：创新驱动，激发科技活力

《商用密码管理条例》明确了商用密码科技创新的促进机制，为行业的创新发展注入强大动力。商用密码行业将通过人才奖励激励、知识产权保护和科技成果转化等措施，积极调动各方积极性，推动科技成果向实际应用转化。这将促进商用密码行业的技术水平提升，推动产业升级，并为经济社会发展注入新的活力。

机遇2：数据安全，保障信息系统

《商用密码管理条例》对商用密码技术的安全性评估和管理提出了明确要求。商用密码行业将加强对关键信息基础设施的保护，通过安全性评估和审查鉴定，提升信息系统和网络的安全性。这一举措将有助于商用密码行业应对日益增长的网络安全挑战，保障用户的数据和信息安全，为社会提供更加可靠的服务。

机遇3：国际合作，拓展全球市场

《商用密码管理条例》推动了商用密码标准的建设和国际化合作。商用密码行业将积极参与国际标准化活动和制定商用密码国际标准，以拓展全球市场。这将提升我国商用密码行业的国际影响力，促进与国际同行的合作与竞争，进一步推动我国商用密码行业在全球范围内的发展。

挑战1：技术创新能力提高的压力

商用密码行业面临着日新月异的技术创新和竞争，要不断提升自身的技术实力和创新能力，以适应快速变化的市场需求。随着科技的不断进步，攻击者的黑客技术也在不断演进，商用密码行业需要不断研发更加安全可靠的密码技术，以应对新兴的网络安全威胁。

挑战2：数据隐私保护的合规压力

随着数据在商业活动中的广泛应用，数据隐私保护成为商用密码行业面临的重要挑战。商用密码行业需要遵守各项数据隐私保护法规和合规要求，确保用户的个人信息和商业数据得到充分的保护。同时，商用密码行业还需要与各行各业的法律法规保持一致，确保密码技术的合法性和合规性。

挑战3：行业全球市场的竞争压力

商用密码行业不仅面临国内竞争，还要应对来自国际市场的竞争压力。随着全球经济一体化的加深，国外厂商和技术企业也在加大对商用密码市场的布局和竞争力提升。商用密码行业需要与国际同行进行技术交流和合作，提高自身的国际竞争力，以在全球市场中占据有利地位。

参考文献

[1] 司法部、国家密码管理局负责人就《商用密码管理条例》修订答记者问，中华人民共和国司法部，

http://www.moj.gov.cn/pub/sfbgw/zcjd/202305/t20230519_479178.html

[2] 信息安全国家工程研究中心：密评科普1|商用密码是什么你真的知道吗？

https://mp.weixin.qq.com/s/ecQQRGv-nD-IGAeXFyutiQ