密码是国家战略资源,密码治理是网络空间治理的重要组成部分。随着数字中国和数字社会建设步伐的加快,新业态的不断发展,人工智能、云计算、区块链、量子计算等技术的广泛应用,以及世界格局的演变,特别是新冠疫情这一国际公共事件进一步推动了人类社会的“线上”活动,新时代密码工作面临着许多新的机遇和挑战,也被赋予了更加繁重的保障和管理职责。总体国家安全观作为新时代中国特色社会主义发展的基本方略,是我国全面推进依法治国的科学理论指导。《密码法》坚持总体国家安全观,为维护国家主权、安全和发展利益,加强网络空间密码安全治理和密码产业应用,重塑我国商用密码管理体系,对1999年《商用密码管理条例》的主要制度和内容进行了重大制度创新。新修订的《商用密码管理条例》(以下简称《条例》)依据《密码法》和其他相关法律法规,完善了国家密码法律体系和管理机制,理顺了与相关法律制度的关系,有助于提升国家商用密码治理能力,改变了商用密码的专控模式,为密码科技进步创造了良好的法治环境。
一、坚持商用密码综合管理的立法定位
面对新时代国家安全的新形势和国家利益的安全发展需求,坚持总体国家安全观是发展社会主义安全法治必须遵循的基本原则。我国《密码法》坚持总体国家安全观,在密码安全与发展、创新与应用、使用与服务等方面进行整体性的制度安排。随着密码技术创新发展、泛在化应用和密码安全事件的突发演变,亟需修订1999年的《条例》,对商用密码实施综合统一管理。
首先,坚持对商用密码“生命周期”系统考量。新修订的《条例》调整商用密码的科研、生产、销售、服务、检测、认证、进出口、应用等活动及监督管理,贯彻落实行政审批制度改革要求,既要规范国内资本秩序,又要规范国外资本的引进;既要重视密码技术的安全,又要重视密码服务和产品的安全;既要把好进出口许可与管制,又要重视风险管理;既要重视电子认证,又要重视电子政务认证;既要重视密码人才培养,又要重视密码人才评价发展和学科建设,鼓励和支持密码学科和专业建设,特别重视商用密码技术标准、成果应用。
其次,坚持安全与发展的统筹协调。按照《密码法》的规定,我国对核心密码、普通密码和商用密码实施分类管理。新修订的《条例》落实《密码法》精神,明确建立进出口清单制、密码应用安全性评估和国家安全审查等制度,明确支持网络产品、服务使用商用密码提升安全性,支持并规范商用密码在信息领域新技术、新业态、新模式中的应用,要求加强商用密码应用信息采集、风险评估、信息通报和重大事项会商,并加强与网络安全监测预警和信息通报的衔接,既鼓励和支持商用密码科学技术成果转化和产业化,又要求依法组织对密码算法、密码协议、密钥管理机制等商用密码技术进行审查鉴定。这些规定都很好地体现了安全与发展的统筹协调要求。
第三,坚持人民至上的宗旨要求。总体国家安全观要求安全工作考虑人民根本利益,《密码法》明确规定保护公民、法人和其他组织的合法权益,强调对密码知识产权的保护和商业秘密的保护。新修订的《条例》从商用密码应用和新技术发展格局出发,对个人隐私保护作出了明确的规定。商用密码泛在化应用涉及到个人隐私的法律问题。新修订的《条例》明确规定密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。同时,对密码管理部门和有关部门的工作人员在商用密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的,依法给予处分。这些规定都是完善密码法律体系的基本要求。
二、强化商用密码法律体系的制度建设
《密码法》适应国家安全和发展需要,以贯彻落实总体国家安全观为出发点,新修订的《条例》从重塑商用密码管理制度等方面强化了密码法律体系建设。
首先,新修订的《条例》进一步完善了《密码法》确立的法律制度。坚持行政审批制度改革方向,努力推进商用密码检测认证体系建设,明确产品检测、系统应用安全性评估等检测活动的资质条件和申请程序,明确国家密码管理部门的认定、审批权限和职责。新修订的《条例》明确了国家统一推行的商用密码认证制度,对商用密码产品、服务和管理体系实行认证,重申商用密码自愿认证和强制认证的管理格局;也明确了认证资质的取得程序和条件,以及认证机构的法定义务和伦理责任;更为重要的是,明确国务院市场监督管理部门在审查认证资质申请时,应当征求国家密码管理部门的意见。
其次,新修订的《条例》构建了若干重要的管理制度。电子政务采用电子签名和数据电文已经相当普遍,其相关制度有待立法明确。新修订的《条例》规定了电子政务电子认证服务机构的资质条件、取得资质的程序以及电子政务电子认证服务的活动要求。特别明确了电子认证服务机构应当取得国家密码管理部门同意使用密码的证明文件,明确电子认证服务机构保证电子认证服务使用密码“持续符合”的合规遵从要求。在进出口管理方面,新修订的《条例》重申清单制度,明确大众消费类产品所采用的商用密码不实行进口许可和出口管制制度,同时明确了海关商密管理的交验、鉴别制度,很好地协调了海关、商务部门和国家密码管理部门之间的责任范围。
第三,新修订的《条例》明晰了相关法律制度的衔接,保障了制度的贯彻落实。申请商用密码认证机构资质,应当符合法律、行政法规和国家有关规定要求的认证机构基本条件,还应当具备与从事商用密码认证活动相适应的检测、检查等技术能力。商用密码应用安全性评估应当和关键信息基础设施安全检测评估、网络安全等级测评加强衔接,减轻市场运营负担成本。商用密码应用信息收集、风险评估等制度应加强与网络安全监测预警和信息通报制度的衔接。新修订的《条例》特别明确了外商投资安全审查与国家安全审查的适用条件和要求。
三、推进商用密码法律体系和治理能力建设
加强商用密码管理体系与能力建设是国家治理能力建设的重要内容。
首先,新修订的《条例》明确国家、省、市、县四级密码管理部门的商用密码管理职责,以及网信、商务、海关、市场监管等有关部门的职责范围,明确国家机关和密码工作单位的商密管理职责,以及国家密码管理部门的统筹指导责任。关于建立统一的电子认证信任机制,新修订的《条例》明确国家密码管理部门负责电子认证信任源的规划和管理,推行电子认证服务的互信互认。新修订的《条例》规定国家建立商用密码应用促进协调机制,明确规定要与社会信用体系相衔接,建立并推行市场主体信用记录、信用分级分类监管、失信惩戒以及信用修复等机制。
其次,新修订的《条例》将商用密码产品管理机制从原来的行政审批转为检测认证,注重发挥检测认证和标准化的支撑作用,通过技术赋能商用密码法治体系和能力。《密码法》改变了过去商用密码国家专控方式,调动社会与市场方式参与治理,丰富了治理形式,更重要的是提升了治理效果。面对密码泛在化应用,新技术、新应用和新模式不断涌现,事前事中事后监管已经是商用密码有效治理的重要内容。密码管理部门依法组织对商用密码活动进行监督检查,建立商用密码监督管理协作机制,加强商用密码检查、指导、监督等工作的协调配合,明确规定密码管理部门具有进入商用密码活动场所实施现场检查的职权。
第三,商用密码治理能力建设需要积极参与国际密码活动。《条例》明确规定了国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用,鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动,规范商用密码社会化培训,促进商用密码人才交流。
第四,威胁态势感知,也要求强化密码法律体系建设。当前开源模式已经成为it业界的普遍产业形态,勒索攻击作为一种非法服务模式已经给商用密码供应链安全带来了新的危机。新修订的《条例》鼓励技术创新和应用创新,为商用密码建立了宽松开放的发展空间。同时也要求对商用密码发展的风险威胁态势进行监测预警,发现商用密码应用重大问题、风险隐患立即采取应对措施,并及时开展调查、处置,及时消除安全隐患。
应该强调的是,系统性谋划商用密码管理中“商”和“密”,兼顾开放和安全,是坚持总体国家安全观的内在要求。新修订的《条例》重视商用密码应用安全性评估和出口管制,明确对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制,并要求审查商用密码的技术要求和最终用户最终用途证明,这从“法律能力”上保证了商用密码不能用于恐怖、非法武装等活动,威胁国际安全。
“法治兴则民族兴,法治强则国家强。”贯彻落实总体国家安全观是一项长期的系统工程,商用密码的立法、司法、执法和守法需要协同推进,关注大数据、人工智能、区块链等技术及其应用对商用密码管理的挑战,坚持以“重大需求”强化我国密码法律体系和商用密码治理能力建设。
本文作者:马民虎,系西安交通大学教授