密碼是國家戰(zhàn)略資源,密碼治理是網(wǎng)絡(luò)空間治理的重要組成部分���。隨著數(shù)字中國和數(shù)字社會建設(shè)步伐的加快����,新業(yè)態(tài)的不斷發(fā)展���,人工智能����、云計算��、區(qū)塊鏈����、量子計算等技術(shù)的廣泛應(yīng)用,以及世界格局的演變����,特別是新冠疫情這一國際公共事件進一步推動了人類社會的“線上”活動,新時代密碼工作面臨著許多新的機遇和挑戰(zhàn)���,也被賦予了更加繁重的保障和管理職責(zé)�?����?傮w國家安全觀作為新時代中國特色社會主義發(fā)展的基本方略�����,是我國全面推進依法治國的科學(xué)理論指導(dǎo)?!睹艽a法》堅持總體國家安全觀,為維護國家主權(quán)�、安全和發(fā)展利益,加強網(wǎng)絡(luò)空間密碼安全治理和密碼產(chǎn)業(yè)應(yīng)用����,重塑我國商用密碼管理體系,對1999年《商用密碼管理條例》的主要制度和內(nèi)容進行了重大制度創(chuàng)新�����。新修訂的《商用密碼管理條例》(以下簡稱《條例》)依據(jù)《密碼法》和其他相關(guān)法律法規(guī)��,完善了國家密碼法律體系和管理機制�,理順了與相關(guān)法律制度的關(guān)系,有助于提升國家商用密碼治理能力��,改變了商用密碼的??啬J剑瑸槊艽a科技進步創(chuàng)造了良好的法治環(huán)境����。
一、堅持商用密碼綜合管理的立法定位
面對新時代國家安全的新形勢和國家利益的安全發(fā)展需求���,堅持總體國家安全觀是發(fā)展社會主義安全法治必須遵循的基本原則��。我國《密碼法》堅持總體國家安全觀���,在密碼安全與發(fā)展、創(chuàng)新與應(yīng)用��、使用與服務(wù)等方面進行整體性的制度安排��。隨著密碼技術(shù)創(chuàng)新發(fā)展����、泛在化應(yīng)用和密碼安全事件的突發(fā)演變,亟需修訂1999年的《條例》�����,對商用密碼實施綜合統(tǒng)一管理��。
首先�����,堅持對商用密碼“生命周期”系統(tǒng)考量���。新修訂的《條例》調(diào)整商用密碼的科研�����、生產(chǎn)�����、銷售���、服務(wù)�����、檢測����、認(rèn)證�、進出口、應(yīng)用等活動及監(jiān)督管理����,貫徹落實行政審批制度改革要求,既要規(guī)范國內(nèi)資本秩序,又要規(guī)范國外資本的引進��;既要重視密碼技術(shù)的安全��,又要重視密碼服務(wù)和產(chǎn)品的安全�;既要把好進出口許可與管制,又要重視風(fēng)險管理���;既要重視電子認(rèn)證���,又要重視電子政務(wù)認(rèn)證���;既要重視密碼人才培養(yǎng)�����,又要重視密碼人才評價發(fā)展和學(xué)科建設(shè)���,鼓勵和支持密碼學(xué)科和專業(yè)建設(shè),特別重視商用密碼技術(shù)標(biāo)準(zhǔn)�����、成果應(yīng)用。
其次�,堅持安全與發(fā)展的統(tǒng)籌協(xié)調(diào)。按照《密碼法》的規(guī)定�����,我國對核心密碼���、普通密碼和商用密碼實施分類管理��。新修訂的《條例》落實《密碼法》精神����,明確建立進出口清單制���、密碼應(yīng)用安全性評估和國家安全審查等制度�����,明確支持網(wǎng)絡(luò)產(chǎn)品�����、服務(wù)使用商用密碼提升安全性����,支持并規(guī)范商用密碼在信息領(lǐng)域新技術(shù)、新業(yè)態(tài)��、新模式中的應(yīng)用�����,要求加強商用密碼應(yīng)用信息采集����、風(fēng)險評估、信息通報和重大事項會商��,并加強與網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報的銜接�����,既鼓勵和支持商用密碼科學(xué)技術(shù)成果轉(zhuǎn)化和產(chǎn)業(yè)化����,又要求依法組織對密碼算法�����、密碼協(xié)議、密鑰管理機制等商用密碼技術(shù)進行審查鑒定���。這些規(guī)定都很好地體現(xiàn)了安全與發(fā)展的統(tǒng)籌協(xié)調(diào)要求����。
第三��,堅持人民至上的宗旨要求�。總體國家安全觀要求安全工作考慮人民根本利益��,《密碼法》明確規(guī)定保護公民�����、法人和其他組織的合法權(quán)益��,強調(diào)對密碼知識產(chǎn)權(quán)的保護和商業(yè)秘密的保護�。新修訂的《條例》從商用密碼應(yīng)用和新技術(shù)發(fā)展格局出發(fā),對個人隱私保護作出了明確的規(guī)定�����。商用密碼泛在化應(yīng)用涉及到個人隱私的法律問題����。新修訂的《條例》明確規(guī)定密碼管理部門和有關(guān)部門及其工作人員不得要求商用密碼從業(yè)單位和商用密碼檢測�、認(rèn)證機構(gòu)向其披露源代碼等密碼相關(guān)專有信息����,并對其在履行職責(zé)中知悉的商業(yè)秘密和個人隱私嚴(yán)格保密,不得泄露或者非法向他人提供����。同時,對密碼管理部門和有關(guān)部門的工作人員在商用密碼工作中濫用職權(quán)���、玩忽職守��、徇私舞弊�����,或者泄露、非法向他人提供在履行職責(zé)中知悉的商業(yè)秘密�、個人隱私、舉報人信息的�,依法給予處分。這些規(guī)定都是完善密碼法律體系的基本要求�����。
二、強化商用密碼法律體系的制度建設(shè)
《密碼法》適應(yīng)國家安全和發(fā)展需要���,以貫徹落實總體國家安全觀為出發(fā)點��,新修訂的《條例》從重塑商用密碼管理制度等方面強化了密碼法律體系建設(shè)��。
首先��,新修訂的《條例》進一步完善了《密碼法》確立的法律制度�。堅持行政審批制度改革方向���,努力推進商用密碼檢測認(rèn)證體系建設(shè)��,明確產(chǎn)品檢測��、系統(tǒng)應(yīng)用安全性評估等檢測活動的資質(zhì)條件和申請程序����,明確國家密碼管理部門的認(rèn)定�、審批權(quán)限和職責(zé)。新修訂的《條例》明確了國家統(tǒng)一推行的商用密碼認(rèn)證制度�����,對商用密碼產(chǎn)品、服務(wù)和管理體系實行認(rèn)證����,重申商用密碼自愿認(rèn)證和強制認(rèn)證的管理格局;也明確了認(rèn)證資質(zhì)的取得程序和條件�,以及認(rèn)證機構(gòu)的法定義務(wù)和倫理責(zé)任;更為重要的是���,明確國務(wù)院市場監(jiān)督管理部門在審查認(rèn)證資質(zhì)申請時�,應(yīng)當(dāng)征求國家密碼管理部門的意見��。
其次��,新修訂的《條例》構(gòu)建了若干重要的管理制度����。電子政務(wù)采用電子簽名和數(shù)據(jù)電文已經(jīng)相當(dāng)普遍,其相關(guān)制度有待立法明確��。新修訂的《條例》規(guī)定了電子政務(wù)電子認(rèn)證服務(wù)機構(gòu)的資質(zhì)條件����、取得資質(zhì)的程序以及電子政務(wù)電子認(rèn)證服務(wù)的活動要求。特別明確了電子認(rèn)證服務(wù)機構(gòu)應(yīng)當(dāng)取得國家密碼管理部門同意使用密碼的證明文件�����,明確電子認(rèn)證服務(wù)機構(gòu)保證電子認(rèn)證服務(wù)使用密碼“持續(xù)符合”的合規(guī)遵從要求��。在進出口管理方面��,新修訂的《條例》重申清單制度��,明確大眾消費類產(chǎn)品所采用的商用密碼不實行進口許可和出口管制制度�����,同時明確了海關(guān)商密管理的交驗�����、鑒別制度��,很好地協(xié)調(diào)了海關(guān)�����、商務(wù)部門和國家密碼管理部門之間的責(zé)任范圍��。
第三,新修訂的《條例》明晰了相關(guān)法律制度的銜接�����,保障了制度的貫徹落實��。申請商用密碼認(rèn)證機構(gòu)資質(zhì)�����,應(yīng)當(dāng)符合法律���、行政法規(guī)和國家有關(guān)規(guī)定要求的認(rèn)證機構(gòu)基本條件�,還應(yīng)當(dāng)具備與從事商用密碼認(rèn)證活動相適應(yīng)的檢測���、檢查等技術(shù)能力��。商用密碼應(yīng)用安全性評估應(yīng)當(dāng)和關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估�����、網(wǎng)絡(luò)安全等級測評加強銜接���,減輕市場運營負(fù)擔(dān)成本��。商用密碼應(yīng)用信息收集、風(fēng)險評估等制度應(yīng)加強與網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度的銜接���。新修訂的《條例》特別明確了外商投資安全審查與國家安全審查的適用條件和要求��。
三��、推進商用密碼法律體系和治理能力建設(shè)
加強商用密碼管理體系與能力建設(shè)是國家治理能力建設(shè)的重要內(nèi)容�。
首先�,新修訂的《條例》明確國家、省��、市����、縣四級密碼管理部門的商用密碼管理職責(zé),以及網(wǎng)信�����、商務(wù)�����、海關(guān)、市場監(jiān)管等有關(guān)部門的職責(zé)范圍��,明確國家機關(guān)和密碼工作單位的商密管理職責(zé)�����,以及國家密碼管理部門的統(tǒng)籌指導(dǎo)責(zé)任�。關(guān)于建立統(tǒng)一的電子認(rèn)證信任機制,新修訂的《條例》明確國家密碼管理部門負(fù)責(zé)電子認(rèn)證信任源的規(guī)劃和管理���,推行電子認(rèn)證服務(wù)的互信互認(rèn)�����。新修訂的《條例》規(guī)定國家建立商用密碼應(yīng)用促進協(xié)調(diào)機制����,明確規(guī)定要與社會信用體系相銜接��,建立并推行市場主體信用記錄�、信用分級分類監(jiān)管、失信懲戒以及信用修復(fù)等機制�。
其次��,新修訂的《條例》將商用密碼產(chǎn)品管理機制從原來的行政審批轉(zhuǎn)為檢測認(rèn)證��,注重發(fā)揮檢測認(rèn)證和標(biāo)準(zhǔn)化的支撐作用����,通過技術(shù)賦能商用密碼法治體系和能力����?!睹艽a法》改變了過去商用密碼國家專控方式�����,調(diào)動社會與市場方式參與治理���,豐富了治理形式���,更重要的是提升了治理效果。面對密碼泛在化應(yīng)用��,新技術(shù)��、新應(yīng)用和新模式不斷涌現(xiàn),事前事中事后監(jiān)管已經(jīng)是商用密碼有效治理的重要內(nèi)容�����。密碼管理部門依法組織對商用密碼活動進行監(jiān)督檢查���,建立商用密碼監(jiān)督管理協(xié)作機制����,加強商用密碼檢查���、指導(dǎo)�、監(jiān)督等工作的協(xié)調(diào)配合��,明確規(guī)定密碼管理部門具有進入商用密碼活動場所實施現(xiàn)場檢查的職權(quán)�����。
第三�����,商用密碼治理能力建設(shè)需要積極參與國際密碼活動�����。《條例》明確規(guī)定了國家推動參與商用密碼國際標(biāo)準(zhǔn)化活動��,參與制定商用密碼國際標(biāo)準(zhǔn)��,推進商用密碼中國標(biāo)準(zhǔn)與國外標(biāo)準(zhǔn)之間的轉(zhuǎn)化運用���,鼓勵企業(yè)�����、社會團體和教育、科研機構(gòu)等參與商用密碼國際標(biāo)準(zhǔn)化活動���,規(guī)范商用密碼社會化培訓(xùn)�����,促進商用密碼人才交流�。
第四��,威脅態(tài)勢感知��,也要求強化密碼法律體系建設(shè)。當(dāng)前開源模式已經(jīng)成為IT業(yè)界的普遍產(chǎn)業(yè)形態(tài)�����,勒索攻擊作為一種非法服務(wù)模式已經(jīng)給商用密碼供應(yīng)鏈安全帶來了新的危機�。新修訂的《條例》鼓勵技術(shù)創(chuàng)新和應(yīng)用創(chuàng)新,為商用密碼建立了寬松開放的發(fā)展空間����。同時也要求對商用密碼發(fā)展的風(fēng)險威脅態(tài)勢進行監(jiān)測預(yù)警,發(fā)現(xiàn)商用密碼應(yīng)用重大問題�����、風(fēng)險隱患立即采取應(yīng)對措施����,并及時開展調(diào)查、處置��,及時消除安全隱患�。
應(yīng)該強調(diào)的是,系統(tǒng)性謀劃商用密碼管理中“商”和“密”����,兼顧開放和安全�����,是堅持總體國家安全觀的內(nèi)在要求�����。新修訂的《條例》重視商用密碼應(yīng)用安全性評估和出口管制�,明確對涉及國家安全����、社會公共利益或者中國承擔(dān)國際義務(wù)的商用密碼實施出口管制,并要求審查商用密碼的技術(shù)要求和最終用戶最終用途證明�����,這從“法律能力”上保證了商用密碼不能用于恐怖��、非法武裝等活動����,威脅國際安全�。
“法治興則民族興,法治強則國家強���?!必瀼芈鋵嵖傮w國家安全觀是一項長期的系統(tǒng)工程,商用密碼的立法��、司法����、執(zhí)法和守法需要協(xié)同推進,關(guān)注大數(shù)據(jù)���、人工智能�、區(qū)塊鏈等技術(shù)及其應(yīng)用對商用密碼管理的挑戰(zhàn)�,堅持以“重大需求”強化我國密碼法律體系和商用密碼治理能力建設(shè)。
