《中华人民共和国密码法》分析

《中华人民共和国密码法》分析

文＼陈玓

北京岳成律师事务所律师助理

《中华人民共和国密码法》于2019年10月26日发布，自2020年1月1日起施行。该法全文共五章四十四条,是我国密码保护领域的基础性法律，旨在规范密码应用和管理，促进密码事业发展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益。

一、明确调整对象和管理体制

《密码法》规定，密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。密码的科研、生产、经营、进出口、检测、认证、使用和监督管理等活动，适用本法。对密码工作进行分级管理，由中央密码工作领导机构对全国密码工作实行统一领导；国家密码管理部门负责管理全国的密码工作；县级以上地方各级密码管理部门负责管理本行政区域的密码工作；国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。

二、明确密码分类管理原则 

根据《密码法》的规定，密码分为核心密码、普通密码和商用密码，实行分类管理，明确了密码的分类层级。核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级；核心密码、普通密码属于国家秘密，由密码管理部门依法实行严格统一管理。

商用密码用于不属于国家秘密的信息；公民、法人和其他组织均可依法使用商业密码保护网络与信息安全。根据《密码法》的规定，国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用，鼓励和促进商用密码产业发展。除对涉及网络安全的商用密码进行认证、评估或审查，以及对涉及国家安全、社会公共利益或国际义务的商用密码产品进行进出口许可/管制外，对一般的商用密码不采取许可或批准方式监管，只要求商用密码从业单位相关活动符合有关法律、行政法规、商用密码强制性国家标准以及该单位公开标准的技术要求。

三、与《网络安全法》的协调

《密码法》中进一步明确了商用密码与《网络安全法》项下对于网络关键设备和网络安全专用产品以及关键信息基础设施的运营者相关要求等交叉部分的适用衔接问题：

1. 涉及国家安全、国计民生、社会公共利益的商用密码产品，将列入《网络安全法》项下所规定的网络关键设备和网络安全专用产品目录，由具备资质的机构检测认证合格后，方可销售或者提供。

2. 关键信息基础设施运营者应依法使用商用密码进行保护，并自行或委托检测机构进行安全性评估，安全性评估与《网络安全法》所规定的关键信息基础设施安全检测评估及网络安全等级测评制度相衔接，避免重复评估、测评。

3. 关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

在《密码法》出台前，密码产品主要依据国务院的行政法规和部门规章监管，缺乏基本法律规范。《密码法》的出台，填补了法律层面长期的空白，其所确定的相关原则，对于商业领域中商用密码产品的发展和应用具有较大积极意义： 

1. 放宽对一般性商用密码产品的限制《密码法》出台前，我国依据1999年发布的《商用密码管理条例》及国家密码局后续出台的系列管理规定（以下统称“原有规定”）对商用密码进行监管。在原有规定下，任何商用密码产品均需获得密码主管部门的批准方可销售和使用。另外，企业原则上不得使用和销售境外生产的密码产品。作为例外情况，境外组织、个人和外商投资企业可在一定范围内使用境外生产的商用密码产品，但也需办理进口许可。

《密码法》的出台大幅放宽了对一般性商用密码产品、特别是境外生产的商用密码产品的限制。实践中，我们的很多客户并非专门生产、销售密码产品的企业，而仅在本企业所生产、销售的产品（例如汽车、家用电器等）中或经营活动中为安全目的使用了境外的密码产品或技术。原有规定禁止该等密码产品或技术的使用和销售（包括对包含该等产品或技术的非密码产品的销售）。在《密码法》正式生效后，除特殊情况外，大部分此类密码产品或技术的使用和销售将无需取得许可或批准，也不再受到限制，避免了相关的合规性问题。

2. 明确对外资的非歧视政策

除放宽一般性商用密码产品的限制外，《密码法》还进一步明确了针对外资的非歧视原则。这意味着外商投资企业所研发、使用、销售、进出口的商用密码产品或技术，在监管上将与境内的商用密码产品或技术同等对待，不再设置额外的限制。实践中，我们的一些外商投资企业客户，在国有企事业单位的采购招投标过程中有时会面临一些实际的障碍。在《密码法》正式生效后，上述情况预计将有所改善。

同时，基于非歧视原则，《密码法》还明确规定，行政机关不得利用行政手段强制转让商用密码技术，这也在一定程度上消除了此前一些外商投资企业关于是否必须向中国政府部门披露在中国境内所使用的自有密码技术的顾虑。

3. 与其他法规的衔接

《密码法》反复强调了在产品以及安全性审查方面应避免重复的认证、评估、测评，有效地将密码领域的监管与其他现有法律法规项下对于特定产品的监管进行了衔接，在为企业明确了合规方式的同时，也一定程度上降低了相关政府部门程序的成本或负担。