合規(guī)管理框架下的《密碼法》

1、合規(guī)管理框架下的密碼法宋迎、吳院淵、韋飛2019年10月26日，第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十四次會(huì)議通過(guò)了中華人民共和國(guó)密碼法（以下簡(jiǎn)稱密碼法），2020年1月1日正式施行。密碼法的監(jiān)管對(duì)象是什么？對(duì)企業(yè)有什么影響？本文將進(jìn)行探討和分析。密碼法的“密碼”指什么？日常生活中提及“密碼”一詞，人們往往理解為銀行卡支付密碼、電子郵箱登陸密碼等這類由數(shù)字、字母或者符號(hào)組成的口令。這本身也是一種“密碼”，但只是非常簡(jiǎn)單、初級(jí)的驗(yàn)證方式。密碼法所規(guī)制的是“采用特定變換的方法對(duì)信息等進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù)?！彼裕懊艽a”既能提供安全認(rèn)證，也是加密保護(hù)的工具，例如常見(jiàn)的網(wǎng)銀USB

2、 Key即屬于這種“密碼”。換言之，其是通過(guò)加密使得原來(lái)可讀的信息變成不能識(shí)別的符號(hào)，并采用安全認(rèn)證的手段確認(rèn)信息是否被篡改、是否來(lái)自可靠信息源以及確認(rèn)使用行為是否真實(shí)的工具。密碼實(shí)施分類管理密碼法將密碼分為核心密碼、普通密碼和商用密碼。其中，核心密碼、普通密碼用于保護(hù)國(guó)家秘密信息，核心密碼保護(hù)信息的最高密級(jí)為絕密級(jí)，普通密碼保護(hù)信息的最高密級(jí)為機(jī)密級(jí)。請(qǐng)注意，核心密碼、普通密碼本身也屬于國(guó)家秘密。這兩種密碼均由國(guó)家實(shí)施統(tǒng)一管理。商用密碼用于保護(hù)不屬于國(guó)家秘密的信息，公民、企業(yè)和其他組織均可以依法使用商用密碼保護(hù)網(wǎng)絡(luò)與信息安全。密碼的分類管理并非密碼法首次提出。在此之前，核心密碼和普通密碼是由

3、國(guó)家密碼管理局依據(jù)發(fā)布的政策進(jìn)行管理，而商用密碼則是通過(guò)1999年國(guó)務(wù)院頒布的商用密碼管理?xiàng)l例進(jìn)行管理?？梢哉f(shuō)密碼法首次統(tǒng)一將三類密碼納入國(guó)家立法予以規(guī)范。國(guó)家及地方密碼管理局的角色與行政處罰國(guó)家密碼管理局與“中央密碼工作領(lǐng)導(dǎo)小組辦公室”是一個(gè)機(jī)構(gòu)兩塊牌子，屬于中共中央直屬機(jī)關(guān)下屬機(jī)構(gòu)，依據(jù)其信息公開(kāi)內(nèi)容，其履行的行政審批職能如下：項(xiàng)目名稱審批類別設(shè)定依據(jù)商用密碼科研成果審查鑒定行政許可商用密碼管理?xiàng)l例（國(guó)務(wù)院令第273號(hào)）第六條：“商用密碼的科研成果，由國(guó)家密碼管理機(jī)構(gòu)組織專家按照商用密碼技術(shù)標(biāo)準(zhǔn)和技術(shù)規(guī)范審查、鑒定。”商用密碼產(chǎn)品品種和型號(hào)審批行政許可商用密碼管理?xiàng)l例（國(guó)務(wù)院令第273號(hào)）

4、第八條：“商用密碼產(chǎn)品指定生產(chǎn)單位生產(chǎn)的商用密碼產(chǎn)品的品種和型號(hào)，必須經(jīng)國(guó)家密碼管理機(jī)構(gòu)批準(zhǔn)，并不得超過(guò)批準(zhǔn)范圍生產(chǎn)商用密碼產(chǎn)品?！鄙逃妹艽a產(chǎn)品質(zhì)量檢測(cè)機(jī)構(gòu)審批行政許可商用密碼管理?xiàng)l例（國(guó)務(wù)院令第273號(hào)）第九條：“商用密碼產(chǎn)品，必須經(jīng)國(guó)家密碼管理機(jī)構(gòu)指定的產(chǎn)品質(zhì)量檢測(cè)機(jī)構(gòu)檢測(cè)合格?！泵艽a產(chǎn)品和含有密碼技術(shù)的設(shè)備進(jìn)口許可行政許可商用密碼管理?xiàng)l例（國(guó)務(wù)院令第273號(hào)）第十三條：“進(jìn)口密碼產(chǎn)品以及含有密碼技術(shù)的設(shè)備或者出口商用密碼產(chǎn)品，必須報(bào)經(jīng)國(guó)家密碼管理機(jī)構(gòu)批準(zhǔn)。任何單位或者個(gè)人不得銷售境外的密碼產(chǎn)品?！鄙逃妹艽a產(chǎn)品出口許可行政許可商用密碼管理?xiàng)l例（國(guó)務(wù)院令第273號(hào)）第十三條：“進(jìn)口密碼產(chǎn)品以

5、及含有密碼技術(shù)的設(shè)備或者出口商用密碼產(chǎn)品，必須報(bào)經(jīng)國(guó)家密碼管理機(jī)構(gòu)批準(zhǔn)。任何單位或者個(gè)人不得銷售境外的密碼產(chǎn)品?！彪娮诱J(rèn)證服務(wù)使用密碼許可（包括3個(gè)子許可：1. 電子認(rèn)證服務(wù)使用密碼許可；2. 電子認(rèn)證服務(wù)系統(tǒng)技術(shù)改造審批；3. 電子認(rèn)證服務(wù)系統(tǒng)系統(tǒng)搬遷審批）行政許可中華人民共和國(guó)電子簽名法第十七條：“提供電子認(rèn)證服務(wù)，應(yīng)當(dāng)具備下列條件：（五）具有國(guó)家密碼管理機(jī)構(gòu)同意使用密碼的證明文件；”電子認(rèn)證服務(wù)密碼管理辦法（國(guó)家密碼管理局公告第17號(hào)）第一條：“為了規(guī)范電子認(rèn)證服務(wù)提供者使用密碼的行為，根據(jù)中華人民共和國(guó)電子簽名法、商用密碼管理?xiàng)l例和相關(guān)法律、行政法規(guī)的規(guī)定，制定本辦法?！钡谌龡l：“提供

6、電子認(rèn)證服務(wù)，應(yīng)當(dāng)依據(jù)本辦法申請(qǐng)電子認(rèn)證服務(wù)使用密碼許可證。”第九條第二款：“電子認(rèn)證服務(wù)系統(tǒng)通過(guò)安全性審查和互聯(lián)互通測(cè)試的，由國(guó)家密碼管理局發(fā)給電子認(rèn)證服務(wù)使用密碼許可證并予以公布；未通過(guò)安全性審查或者互聯(lián)互通測(cè)試的，不予許可，書(shū)面通知申請(qǐng)人并說(shuō)明理由。”第十五條：“電子認(rèn)證服務(wù)提供者對(duì)其電子認(rèn)證服務(wù)系統(tǒng)進(jìn)行技術(shù)改造或者進(jìn)行系統(tǒng)搬遷的，應(yīng)當(dāng)將有關(guān)情況書(shū)面報(bào)國(guó)家密碼管理局，經(jīng)國(guó)家密碼管理局同意后方可繼續(xù)運(yùn)行。必要時(shí)，國(guó)家密碼管理局可以組織對(duì)電子認(rèn)證服務(wù)系統(tǒng)進(jìn)行安全性審查和互聯(lián)互通測(cè)試?！毙畔踩燃?jí)保護(hù)商用密碼測(cè)評(píng)機(jī)構(gòu)審批非行政許可審批（正在履行新設(shè)行政許可程序）中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安

7、全保護(hù)條例（國(guó)務(wù)院令第147號(hào)）第九條：“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定?！毙畔踩燃?jí)保護(hù)管理辦法（公通字200743號(hào)）第一條：“為規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，根據(jù)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例等有關(guān)法律法規(guī)，制定本辦法?！钡谌藯l：“信息系統(tǒng)中的密碼及密碼設(shè)備的測(cè)評(píng)工作由國(guó)家密碼管理局認(rèn)可的測(cè)評(píng)機(jī)構(gòu)承擔(dān)，其他任何部門、單位和個(gè)人不得對(duì)密碼進(jìn)行評(píng)測(cè)和監(jiān)控?！毙畔踩燃?jí)保護(hù)商用密碼管理辦法（國(guó)密局發(fā)200711號(hào)）第十一條：“信

8、息安全等級(jí)保護(hù)商用密碼測(cè)評(píng)工作由國(guó)家密碼管理局指定的測(cè)評(píng)機(jī)構(gòu)承擔(dān)?！彪娮诱?wù)電子認(rèn)證服務(wù)機(jī)構(gòu)認(rèn)定非行政許可審批（正在履行新設(shè)行政許可程序）中華人民共和國(guó)電子簽名法第三十五條：“國(guó)務(wù)院或者國(guó)務(wù)院規(guī)定的部門可以依據(jù)本法制定政務(wù)活動(dòng)和其他社會(huì)活動(dòng)中使用電子簽名、數(shù)據(jù)電文的具體辦法?！彪娮诱?wù)電子認(rèn)證服務(wù)管理辦法（試行）（國(guó)密局發(fā)20097號(hào)）第一條：“為了規(guī)范電子政務(wù)電子認(rèn)證服務(wù)活動(dòng)，依據(jù)中華人民共和國(guó)電子簽名法、商用密碼管理?xiàng)l例和國(guó)務(wù)院有關(guān)文件，制定本辦法。”第十七條：“國(guó)家密碼管理局組織開(kāi)展認(rèn)證服務(wù)能力評(píng)估，發(fā)布電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)目錄。”第二十條：“國(guó)家密碼管理局組織對(duì)電子認(rèn)證服務(wù)機(jī)構(gòu)進(jìn)行

9、能力評(píng)估。通過(guò)評(píng)估的，由國(guó)家密碼管理局出具通過(guò)能力評(píng)估的證明文件，并將電子認(rèn)證服務(wù)機(jī)構(gòu)列入電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)目錄；未通過(guò)評(píng)估的，書(shū)面通知申請(qǐng)人并說(shuō)明理由?！泵艽a法進(jìn)一步為密碼管理局的行政審批事項(xiàng)提供了更為直接的法律依據(jù)。此外，密碼法還在商用密碼管理?xiàng)l例的基礎(chǔ)上增加了行政處罰的類型，具體如下：商用密碼檢測(cè)、認(rèn)證機(jī)構(gòu)無(wú)資質(zhì)開(kāi)展商用密碼檢測(cè)認(rèn)證的或未能對(duì)其在商用密碼檢測(cè)認(rèn)證中所知悉的國(guó)家秘密和商業(yè)秘密承擔(dān)保密義務(wù)的，由市場(chǎng)監(jiān)督管理部門會(huì)同密碼管理部門責(zé)令改正或者停止違法行為，給予警告，沒(méi)收違法所得；違法所得三十萬(wàn)元以上的，可以并處違法所得一倍以上三倍以下罰款；沒(méi)有違法所得或者違法所得不足三十萬(wàn)

10、元的，可以并處十萬(wàn)元以上三十萬(wàn)元以下罰款；情節(jié)嚴(yán)重的，依法吊銷相關(guān)資質(zhì)。涉及國(guó)家安全、國(guó)計(jì)民生、社會(huì)公共利益的商用密碼產(chǎn)品，應(yīng)當(dāng)依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，由具備資格的機(jī)構(gòu)檢測(cè)認(rèn)證合格后，方可銷售或者提供；商用密碼服務(wù)使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的，應(yīng)當(dāng)經(jīng)商用密碼認(rèn)證機(jī)構(gòu)對(duì)該商用密碼服務(wù)認(rèn)證合格。銷售或者提供未經(jīng)檢測(cè)認(rèn)證或者檢測(cè)認(rèn)證不合格的商用密碼產(chǎn)品，或者提供未經(jīng)認(rèn)證或者認(rèn)證不合格的商用密碼服務(wù)的，由市場(chǎng)監(jiān)督管理部門會(huì)同密碼管理部門責(zé)令改正或者停止違法行為，給予警告，沒(méi)收違法產(chǎn)品和違法所得；違法所得十萬(wàn)元以上的，可以并處違法所得一倍以上三倍以下罰款；沒(méi)有違法所得或者違法

11、所得不足十萬(wàn)元的，可以并處三萬(wàn)元以上十萬(wàn)元以下罰款。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展商用密碼應(yīng)用安全性評(píng)估，未按照要求使用商用密碼，或者未按照要求開(kāi)展商用密碼應(yīng)用安全性評(píng)估的，由密碼管理部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國(guó)家安全的，采購(gòu)涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國(guó)家安全的，使用未經(jīng)安全審查或者安全審查未通過(guò)的產(chǎn)品或者服務(wù)的，由有關(guān)主管部門責(zé)令停止使用，處采購(gòu)金額一倍以上十倍以下罰款；對(duì)直

12、接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。涉及國(guó)家安全、社會(huì)公共利益且具有加密保護(hù)功能的商用密碼實(shí)施進(jìn)口許可，涉及國(guó)家安全、社會(huì)公共利益或者中國(guó)承擔(dān)國(guó)際義務(wù)的商用密碼實(shí)施出口管制。違反進(jìn)口許可、出口管制的規(guī)定，進(jìn)出口商用密碼的，由國(guó)務(wù)院商務(wù)主管部門或者海關(guān)依法予以處罰。未經(jīng)國(guó)家密碼管理部門認(rèn)定從事電子政務(wù)電子認(rèn)證服務(wù)的，由密碼管理部門責(zé)令改正或者停止違法行為，給予警告，沒(méi)收違法產(chǎn)品和違法所得；違法所得三十萬(wàn)元以上的，可以并處違法所得一倍以上三倍以下罰款；沒(méi)有違法所得或者違法所得不足三十萬(wàn)元的，可以并處十萬(wàn)元以上三十萬(wàn)元以下罰款。合規(guī)管理的建議互聯(lián)網(wǎng)的發(fā)展和金融支付的進(jìn)步使得

13、大部分企業(yè)都會(huì)面臨收集、使用、存儲(chǔ)、傳輸客戶個(gè)人信息的情形。除了企業(yè)在銀行業(yè)務(wù)、稅務(wù)業(yè)務(wù)中對(duì)密碼的保護(hù)和管理，個(gè)人信息保護(hù)領(lǐng)域涉及使用密碼技術(shù)的要求將會(huì)日趨嚴(yán)格。國(guó)家標(biāo)準(zhǔn)文件信息安全技術(shù)個(gè)人信息安全規(guī)范（GB/T 352732017）明確要求控制個(gè)人信息的主體在傳輸和存儲(chǔ)個(gè)人敏感信息時(shí)，應(yīng)采用加密等安全措施，同時(shí)在收集、存儲(chǔ)、展示和傳輸中，應(yīng)該或者建議進(jìn)行“去標(biāo)識(shí)化”處理。所謂“去標(biāo)識(shí)化”便包括了采用加密技術(shù)。對(duì)于全國(guó)人大正在起草中的個(gè)人信息保護(hù)法草案，我們認(rèn)為，采用密碼保護(hù)個(gè)人信息也會(huì)成為未來(lái)立法中的一項(xiàng)要求。密碼法一個(gè)半月后將正式生效，盡管其行政處罰主要針對(duì)提供商用密碼產(chǎn)品和服務(wù)的廠商，對(duì)

14、于日常經(jīng)營(yíng)中使用密碼的企業(yè)，也應(yīng)盡快加強(qiáng)應(yīng)對(duì)，提高合規(guī)管理的要求。密碼法第二十七條規(guī)定：“法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展商用密碼應(yīng)用安全性評(píng)估。商用密碼應(yīng)用安全性評(píng)估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估、網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)制度相銜接，避免重復(fù)評(píng)估、測(cè)評(píng)。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國(guó)家安全的，應(yīng)當(dāng)按照中華人民共和國(guó)網(wǎng)絡(luò)安全法的規(guī)定，通過(guò)國(guó)家網(wǎng)信部門會(huì)同國(guó)家密碼管理部門等有關(guān)部門組織的國(guó)家安全審查?！本W(wǎng)絡(luò)安全法第三十一條對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施”作出了較為寬泛的解釋，即：“公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施”。雖然目前國(guó)務(wù)院尚未依據(jù)網(wǎng)絡(luò)安全法對(duì)“關(guān)鍵信