合規(guī)管理框架下的《密碼法》

1、合規(guī)管理框架下的密碼法宋迎、吳院淵、韋飛2019年10月26日，第十三屆全國人民代表大會常務(wù)委員會第十四次會議通過了中華人民共和國密碼法（以下簡稱密碼法），2020年1月1日正式施行。密碼法的監(jiān)管對象是什么？對企業(yè)有什么影響？本文將進(jìn)行探討和分析。密碼法的“密碼”指什么？日常生活中提及“密碼”一詞，人們往往理解為銀行卡支付密碼、電子郵箱登陸密碼等這類由數(shù)字、字母或者符號組成的口令。這本身也是一種“密碼”，但只是非常簡單、初級的驗(yàn)證方式。密碼法所規(guī)制的是“采用特定變換的方法對信息等進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù)?！彼?，“密碼”既能提供安全認(rèn)證，也是加密保護(hù)的工具，例如常見的網(wǎng)銀USB

2、 Key即屬于這種“密碼”。換言之，其是通過加密使得原來可讀的信息變成不能識別的符號，并采用安全認(rèn)證的手段確認(rèn)信息是否被篡改、是否來自可靠信息源以及確認(rèn)使用行為是否真實(shí)的工具。密碼實(shí)施分類管理密碼法將密碼分為核心密碼、普通密碼和商用密碼。其中，核心密碼、普通密碼用于保護(hù)國家秘密信息，核心密碼保護(hù)信息的最高密級為絕密級，普通密碼保護(hù)信息的最高密級為機(jī)密級。請注意，核心密碼、普通密碼本身也屬于國家秘密。這兩種密碼均由國家實(shí)施統(tǒng)一管理。商用密碼用于保護(hù)不屬于國家秘密的信息，公民、企業(yè)和其他組織均可以依法使用商用密碼保護(hù)網(wǎng)絡(luò)與信息安全。密碼的分類管理并非密碼法首次提出。在此之前，核心密碼和普通密碼是由

3、國家密碼管理局依據(jù)發(fā)布的政策進(jìn)行管理，而商用密碼則是通過1999年國務(wù)院頒布的商用密碼管理?xiàng)l例進(jìn)行管理?？梢哉f密碼法首次統(tǒng)一將三類密碼納入國家立法予以規(guī)范。國家及地方密碼管理局的角色與行政處罰國家密碼管理局與“中央密碼工作領(lǐng)導(dǎo)小組辦公室”是一個機(jī)構(gòu)兩塊牌子，屬于中共中央直屬機(jī)關(guān)下屬機(jī)構(gòu)，依據(jù)其信息公開內(nèi)容，其履行的行政審批職能如下：項(xiàng)目名稱審批類別設(shè)定依據(jù)商用密碼科研成果審查鑒定行政許可商用密碼管理?xiàng)l例（國務(wù)院令第273號）第六條：“商用密碼的科研成果，由國家密碼管理機(jī)構(gòu)組織專家按照商用密碼技術(shù)標(biāo)準(zhǔn)和技術(shù)規(guī)范審查、鑒定?！鄙逃妹艽a產(chǎn)品品種和型號審批行政許可商用密碼管理?xiàng)l例（國務(wù)院令第273號）

4、第八條：“商用密碼產(chǎn)品指定生產(chǎn)單位生產(chǎn)的商用密碼產(chǎn)品的品種和型號，必須經(jīng)國家密碼管理機(jī)構(gòu)批準(zhǔn)，并不得超過批準(zhǔn)范圍生產(chǎn)商用密碼產(chǎn)品。”商用密碼產(chǎn)品質(zhì)量檢測機(jī)構(gòu)審批行政許可商用密碼管理?xiàng)l例（國務(wù)院令第273號）第九條：“商用密碼產(chǎn)品，必須經(jīng)國家密碼管理機(jī)構(gòu)指定的產(chǎn)品質(zhì)量檢測機(jī)構(gòu)檢測合格?！泵艽a產(chǎn)品和含有密碼技術(shù)的設(shè)備進(jìn)口許可行政許可商用密碼管理?xiàng)l例（國務(wù)院令第273號）第十三條：“進(jìn)口密碼產(chǎn)品以及含有密碼技術(shù)的設(shè)備或者出口商用密碼產(chǎn)品，必須報經(jīng)國家密碼管理機(jī)構(gòu)批準(zhǔn)。任何單位或者個人不得銷售境外的密碼產(chǎn)品?！鄙逃妹艽a產(chǎn)品出口許可行政許可商用密碼管理?xiàng)l例（國務(wù)院令第273號）第十三條：“進(jìn)口密碼產(chǎn)品以

5、及含有密碼技術(shù)的設(shè)備或者出口商用密碼產(chǎn)品，必須報經(jīng)國家密碼管理機(jī)構(gòu)批準(zhǔn)。任何單位或者個人不得銷售境外的密碼產(chǎn)品?！彪娮诱J(rèn)證服務(wù)使用密碼許可（包括3個子許可：1. 電子認(rèn)證服務(wù)使用密碼許可；2. 電子認(rèn)證服務(wù)系統(tǒng)技術(shù)改造審批；3. 電子認(rèn)證服務(wù)系統(tǒng)系統(tǒng)搬遷審批）行政許可中華人民共和國電子簽名法第十七條：“提供電子認(rèn)證服務(wù)，應(yīng)當(dāng)具備下列條件：（五）具有國家密碼管理機(jī)構(gòu)同意使用密碼的證明文件；”電子認(rèn)證服務(wù)密碼管理辦法（國家密碼管理局公告第17號）第一條：“為了規(guī)范電子認(rèn)證服務(wù)提供者使用密碼的行為，根據(jù)中華人民共和國電子簽名法、商用密碼管理?xiàng)l例和相關(guān)法律、行政法規(guī)的規(guī)定，制定本辦法?！钡谌龡l：“提供

6、電子認(rèn)證服務(wù)，應(yīng)當(dāng)依據(jù)本辦法申請電子認(rèn)證服務(wù)使用密碼許可證?！钡诰艞l第二款：“電子認(rèn)證服務(wù)系統(tǒng)通過安全性審查和互聯(lián)互通測試的，由國家密碼管理局發(fā)給電子認(rèn)證服務(wù)使用密碼許可證并予以公布；未通過安全性審查或者互聯(lián)互通測試的，不予許可，書面通知申請人并說明理由?！钡谑鍡l：“電子認(rèn)證服務(wù)提供者對其電子認(rèn)證服務(wù)系統(tǒng)進(jìn)行技術(shù)改造或者進(jìn)行系統(tǒng)搬遷的，應(yīng)當(dāng)將有關(guān)情況書面報國家密碼管理局，經(jīng)國家密碼管理局同意后方可繼續(xù)運(yùn)行。必要時，國家密碼管理局可以組織對電子認(rèn)證服務(wù)系統(tǒng)進(jìn)行安全性審查和互聯(lián)互通測試?！毙畔踩燃壉Ｗo(hù)商用密碼測評機(jī)構(gòu)審批非行政許可審批（正在履行新設(shè)行政許可程序）中華人民共和國計(jì)算機(jī)信息系統(tǒng)安

7、全保護(hù)條例（國務(wù)院令第147號）第九條：“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)。安全等級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法，由公安部會同有關(guān)部門制定?！毙畔踩燃壉Ｗo(hù)管理辦法（公通字200743號）第一條：“為規(guī)范信息安全等級保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國家安全、社會穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，根據(jù)中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例等有關(guān)法律法規(guī)，制定本辦法。”第三十八條：“信息系統(tǒng)中的密碼及密碼設(shè)備的測評工作由國家密碼管理局認(rèn)可的測評機(jī)構(gòu)承擔(dān)，其他任何部門、單位和個人不得對密碼進(jìn)行評測和監(jiān)控?！毙畔踩燃壉Ｗo(hù)商用密碼管理辦法（國密局發(fā)200711號）第十一條：“信

8、息安全等級保護(hù)商用密碼測評工作由國家密碼管理局指定的測評機(jī)構(gòu)承擔(dān)?！彪娮诱?wù)電子認(rèn)證服務(wù)機(jī)構(gòu)認(rèn)定非行政許可審批（正在履行新設(shè)行政許可程序）中華人民共和國電子簽名法第三十五條：“國務(wù)院或者國務(wù)院規(guī)定的部門可以依據(jù)本法制定政務(wù)活動和其他社會活動中使用電子簽名、數(shù)據(jù)電文的具體辦法。”電子政務(wù)電子認(rèn)證服務(wù)管理辦法（試行）（國密局發(fā)20097號）第一條：“為了規(guī)范電子政務(wù)電子認(rèn)證服務(wù)活動，依據(jù)中華人民共和國電子簽名法、商用密碼管理?xiàng)l例和國務(wù)院有關(guān)文件，制定本辦法?！钡谑邨l：“國家密碼管理局組織開展認(rèn)證服務(wù)能力評估，發(fā)布電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)目錄?！钡诙畻l：“國家密碼管理局組織對電子認(rèn)證服務(wù)機(jī)構(gòu)進(jìn)行

9、能力評估。通過評估的，由國家密碼管理局出具通過能力評估的證明文件，并將電子認(rèn)證服務(wù)機(jī)構(gòu)列入電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)目錄；未通過評估的，書面通知申請人并說明理由?！泵艽a法進(jìn)一步為密碼管理局的行政審批事項(xiàng)提供了更為直接的法律依據(jù)。此外，密碼法還在商用密碼管理?xiàng)l例的基礎(chǔ)上增加了行政處罰的類型，具體如下：商用密碼檢測、認(rèn)證機(jī)構(gòu)無資質(zhì)開展商用密碼檢測認(rèn)證的或未能對其在商用密碼檢測認(rèn)證中所知悉的國家秘密和商業(yè)秘密承擔(dān)保密義務(wù)的，由市場監(jiān)督管理部門會同密碼管理部門責(zé)令改正或者停止違法行為，給予警告，沒收違法所得；違法所得三十萬元以上的，可以并處違法所得一倍以上三倍以下罰款；沒有違法所得或者違法所得不足三十萬

10、元的，可以并處十萬元以上三十萬元以下罰款；情節(jié)嚴(yán)重的，依法吊銷相關(guān)資質(zhì)。涉及國家安全、國計(jì)民生、社會公共利益的商用密碼產(chǎn)品，應(yīng)當(dāng)依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，由具備資格的機(jī)構(gòu)檢測認(rèn)證合格后，方可銷售或者提供；商用密碼服務(wù)使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的，應(yīng)當(dāng)經(jīng)商用密碼認(rèn)證機(jī)構(gòu)對該商用密碼服務(wù)認(rèn)證合格。銷售或者提供未經(jīng)檢測認(rèn)證或者檢測認(rèn)證不合格的商用密碼產(chǎn)品，或者提供未經(jīng)認(rèn)證或者認(rèn)證不合格的商用密碼服務(wù)的，由市場監(jiān)督管理部門會同密碼管理部門責(zé)令改正或者停止違法行為，給予警告，沒收違法產(chǎn)品和違法所得；違法所得十萬元以上的，可以并處違法所得一倍以上三倍以下罰款；沒有違法所得或者違法

11、所得不足十萬元的，可以并處三萬元以上十萬元以下罰款。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估，未按照要求使用商用密碼，或者未按照要求開展商用密碼應(yīng)用安全性評估的，由密碼管理部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款，對直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，采購涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，使用未經(jīng)安全審查或者安全審查未通過的產(chǎn)品或者服務(wù)的，由有關(guān)主管部門責(zé)令停止使用，處采購金額一倍以上十倍以下罰款；對直

12、接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。涉及國家安全、社會公共利益且具有加密保護(hù)功能的商用密碼實(shí)施進(jìn)口許可，涉及國家安全、社會公共利益或者中國承擔(dān)國際義務(wù)的商用密碼實(shí)施出口管制。違反進(jìn)口許可、出口管制的規(guī)定，進(jìn)出口商用密碼的，由國務(wù)院商務(wù)主管部門或者海關(guān)依法予以處罰。未經(jīng)國家密碼管理部門認(rèn)定從事電子政務(wù)電子認(rèn)證服務(wù)的，由密碼管理部門責(zé)令改正或者停止違法行為，給予警告，沒收違法產(chǎn)品和違法所得；違法所得三十萬元以上的，可以并處違法所得一倍以上三倍以下罰款；沒有違法所得或者違法所得不足三十萬元的，可以并處十萬元以上三十萬元以下罰款。合規(guī)管理的建議互聯(lián)網(wǎng)的發(fā)展和金融支付的進(jìn)步使得

13、大部分企業(yè)都會面臨收集、使用、存儲、傳輸客戶個人信息的情形。除了企業(yè)在銀行業(yè)務(wù)、稅務(wù)業(yè)務(wù)中對密碼的保護(hù)和管理，個人信息保護(hù)領(lǐng)域涉及使用密碼技術(shù)的要求將會日趨嚴(yán)格。國家標(biāo)準(zhǔn)文件信息安全技術(shù)個人信息安全規(guī)范（GB/T 352732017）明確要求控制個人信息的主體在傳輸和存儲個人敏感信息時，應(yīng)采用加密等安全措施，同時在收集、存儲、展示和傳輸中，應(yīng)該或者建議進(jìn)行“去標(biāo)識化”處理。所謂“去標(biāo)識化”便包括了采用加密技術(shù)。對于全國人大正在起草中的個人信息保護(hù)法草案，我們認(rèn)為，采用密碼保護(hù)個人信息也會成為未來立法中的一項(xiàng)要求。密碼法一個半月后將正式生效，盡管其行政處罰主要針對提供商用密碼產(chǎn)品和服務(wù)的廠商，對

14、于日常經(jīng)營中使用密碼的企業(yè)，也應(yīng)盡快加強(qiáng)應(yīng)對，提高合規(guī)管理的要求。密碼法第二十七條規(guī)定：“法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估。商用密碼應(yīng)用安全性評估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評制度相銜接，避免重復(fù)評估、測評。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當(dāng)按照中華人民共和國網(wǎng)絡(luò)安全法的規(guī)定，通過國家網(wǎng)信部門會同國家密碼管理部門等有關(guān)部門組織的國家安全審查?！本W(wǎng)絡(luò)安全法第三十一條對“關(guān)鍵信息基礎(chǔ)設(shè)施”作出了較為寬泛的解釋，即：“公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施”。雖然目前國務(wù)院尚未依據(jù)網(wǎng)絡(luò)安全法對“關(guān)鍵信