取消部分審批許可后的商密管理合規(guī)與《網(wǎng)絡(luò)安全法》的若干問題

原 浩

(江蘇竹輝律師事務(wù)所 江蘇蘇州 215008) (laware@qq.com)

1 取消審批許可概述

2017年9月29日，國務(wù)院發(fā)布(國發(fā)〔2017〕46號)《關(guān)于取消一批行政許可事項(xiàng)的決定》(以下簡稱“《決定》”)，取消了商用密碼產(chǎn)品生產(chǎn)單位審批、商用密碼產(chǎn)品銷售單位許可、外商投資企業(yè)使用境外密碼產(chǎn)品審批、境外組織和個(gè)人在華使用密碼產(chǎn)品或者含有密碼技術(shù)的設(shè)備審批4項(xiàng)涉及商用密碼事項(xiàng)，被認(rèn)為是對《商用密碼管理?xiàng)l例》上位法的《密碼法》(草案)第11條、第16條的提前調(diào)整[1].其中涉及外資企業(yè)、境外實(shí)體2類“涉外”主體在境內(nèi)的3種行為：1)生產(chǎn)審批(含研發(fā))；2)銷售許可；3)使用密碼(產(chǎn)品和技術(shù))審批.事實(shí)上，除上述3種行為外，還包括各類主體的一種涉外行為，即出口許可.

2 監(jiān)管模式調(diào)整與合規(guī)要求

2.1 從側(cè)重主體監(jiān)管向行為監(jiān)管遷移

按照《決定》和2017年10月12日國家密碼管理局發(fā)布(國密局字 〔2017〕336號)《關(guān)于做好商用密碼產(chǎn)品生產(chǎn)單位審批等4項(xiàng)行政許可取消后相關(guān)管理政策銜接工作的通知》[2](以下簡稱“《通知》”)的內(nèi)容，對相關(guān)問題提出以下幾點(diǎn)要求：1)“生產(chǎn)、銷售商用密碼產(chǎn)品的單位無需再經(jīng)國家密碼管理局批準(zhǔn)”；2)“外商投資企業(yè)使用境外生產(chǎn)的密碼產(chǎn)品、境外組織和個(gè)人使用密碼產(chǎn)品或者含有密碼技術(shù)的設(shè)備，無需再經(jīng)國家密碼管理局批準(zhǔn)”.

基于以上理解，在《決定》和《通知》實(shí)施后，商用密碼對主體要求準(zhǔn)用《商用密碼產(chǎn)品品種和型號審批服務(wù)指南》[3]規(guī)定的3項(xiàng)條件：1)具有獨(dú)立的法人資格；2)具有與開發(fā)、生產(chǎn)商用密碼產(chǎn)品相適應(yīng)的技術(shù)力量和場所；3)具有確保商用密碼產(chǎn)品質(zhì)量的設(shè)備、生產(chǎn)工藝和質(zhì)量保證體系.即體現(xiàn)“從管企業(yè)改為重點(diǎn)管產(chǎn)品，加強(qiáng)密碼產(chǎn)品的標(biāo)準(zhǔn)規(guī)范和檢測認(rèn)證體系建設(shè)，強(qiáng)化商用密碼產(chǎn)品許可審批，未經(jīng)許可不準(zhǔn)進(jìn)入市場銷售，嚴(yán)把密碼產(chǎn)品市場準(zhǔn)入關(guān)口”的指導(dǎo)思想，這也與《出口管制法》(草案)[4]體現(xiàn)的許可加清單監(jiān)管模式趨于接近.

2.2 從注重事前控制轉(zhuǎn)向全程監(jiān)管

在取消審批、許可等前置條件和程序后，如何實(shí)施事中、事后的全程監(jiān)管，主要體現(xiàn)在以下4個(gè)方面：

第一是明確實(shí)質(zhì)審查規(guī)定.按照《商用密碼產(chǎn)品品種和型號審批服務(wù)指南》，對商密產(chǎn)品：1)申請品種和型號的商用密碼產(chǎn)品由具有相應(yīng)開發(fā)、生產(chǎn)能力的單位生產(chǎn)；2)商用密碼產(chǎn)品通過國家密碼管理局安全性審查；3)商用密碼產(chǎn)品應(yīng)采用經(jīng)國家密碼管理局認(rèn)可的算法，并應(yīng)符合相關(guān)密碼標(biāo)準(zhǔn)規(guī)范；4)符合國家相關(guān)法律法規(guī)和政策要求.其中的核心規(guī)定即在于“安全性”的實(shí)質(zhì)審查和(國標(biāo))標(biāo)準(zhǔn)化的算法要素.

第二是質(zhì)量檢測程序.按照《商用密碼管理?xiàng)l例》，商用密碼產(chǎn)品，必須經(jīng)國家密碼管理機(jī)構(gòu)指定的產(chǎn)品質(zhì)量檢測機(jī)構(gòu)檢測合格.據(jù)此檢測為合法合規(guī)生產(chǎn)、銷售的條件.這一規(guī)定將會(huì)按照《網(wǎng)絡(luò)安全法》第22條、第23條，《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》(第一批目錄并未直接涉及密碼技術(shù)或產(chǎn)品范圍的技術(shù)屬性)，網(wǎng)絡(luò)安全等級保護(hù)(可參見2007年《信息安全等級保護(hù)管理辦法》第37條、第38條，起草中的網(wǎng)絡(luò)安全等級保護(hù)條例、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指南》(征求意見稿))進(jìn)一步細(xì)化和銜接.例如按照《網(wǎng)絡(luò)安全法》第23條規(guī)定：“網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求，由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測符合要求后，方可銷售或者提供.國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，并推動(dòng)安全認(rèn)證和安全檢測結(jié)果互認(rèn)，避免重復(fù)認(rèn)證、檢測”，據(jù)此商用密碼產(chǎn)品(如作為網(wǎng)絡(luò)關(guān)鍵設(shè)備或安全專用產(chǎn)品的)經(jīng)認(rèn)證的，是否即可視為符合質(zhì)量程序，在適用不同法律規(guī)定時(shí)就會(huì)出現(xiàn)分歧.因?yàn)闄z測和認(rèn)證所適用的法律路徑、過程要求和發(fā)起、報(bào)送機(jī)構(gòu)均有不同.

第三是強(qiáng)化市場監(jiān)管和建立黑名單制度.按照《決定》要求，國家密碼局應(yīng)：1)強(qiáng)化市場監(jiān)管措施，加大商用密碼產(chǎn)品“雙隨機(jī)、一公開”抽查力度；2)建立信用體系，實(shí)行“黑名單”制度，加強(qiáng)社會(huì)監(jiān)督，對違法違規(guī)行為加大處罰力度，充分發(fā)揮行業(yè)組織作用.例如按照新近一期國家密碼管理局《關(guān)于開展2017年度商用密碼隨機(jī)抽查工作的通知》[5]，明確為加強(qiáng)商用密碼事中事后監(jiān)管，促進(jìn)商用密碼健康發(fā)展，其2017年商用密碼隨機(jī)抽查范圍包括商用密碼產(chǎn)品、進(jìn)口密碼產(chǎn)品和含有密碼技術(shù)的設(shè)備的單位.抽查事項(xiàng)包括商用密碼產(chǎn)品的合法合規(guī)性以及進(jìn)口密碼產(chǎn)品和含有密碼技術(shù)的設(shè)備合法合規(guī)性.

第四是實(shí)施銷售登記備案制度.《通知》要求，取得《商用密碼產(chǎn)品型號證書》的單位應(yīng)當(dāng)于每年1月31日前向所在地的省、自治區(qū)、直轄市密碼管理部門如實(shí)報(bào)送上一年度商用密碼產(chǎn)品銷售登記備案數(shù)據(jù).除此之外，還包括投訴舉報(bào)、違法違規(guī)查處等常規(guī)的法律責(zé)任內(nèi)容.

因此，整體而言盡管主體形式審查取消，但實(shí)質(zhì)審查程序和過程監(jiān)管仍然存在，并會(huì)隨著《網(wǎng)絡(luò)安全法》的施行增大力度和執(zhí)法彈性.

2.3 統(tǒng)一《商用密碼產(chǎn)品型號證書》的取得

按照《決定》和《通知》的要求，生產(chǎn)、銷售商用密碼產(chǎn)品的單位無需再經(jīng)國家密碼管理局批準(zhǔn)，但生產(chǎn)、銷售的商用密碼產(chǎn)品仍應(yīng)當(dāng)依法辦理《商用密碼產(chǎn)品型號證書》.與此呼應(yīng)的是，2017年11月3日在第55次ISOIEC聯(lián)合技術(shù)委員會(huì)信息安全技術(shù)分委員會(huì)(SC27)德國柏林會(huì)議上，含有我國SM2與SM9數(shù)字簽名算法的ISOIEC14888-3AMD1《帶附錄的數(shù)字簽名第3部分：基于離散對數(shù)的機(jī)制—補(bǔ)篇1》獲得一致通過成為ISOIEC國際標(biāo)準(zhǔn)，進(jìn)入標(biāo)準(zhǔn)發(fā)布階段[6].可以預(yù)見，隨著我國在密碼技術(shù)和網(wǎng)絡(luò)空間安全領(lǐng)域的國際合作和交流的進(jìn)一步深入，基于標(biāo)準(zhǔn)的密碼產(chǎn)品研發(fā)、生產(chǎn)和銷售的境內(nèi)外主體差異將進(jìn)一步縮小，統(tǒng)一《商用密碼產(chǎn)品型號證書》的取得有利于商用密碼和網(wǎng)絡(luò)安全產(chǎn)品、服務(wù)市場的彈性監(jiān)管和創(chuàng)新繁榮.同時(shí)，從美國出口監(jiān)管法和《出口監(jiān)管規(guī)則》(EAR)的密碼監(jiān)管政策立法看，2000年以來有的放矢的“適度放松”正是沿著標(biāo)準(zhǔn)化的路徑演化，密碼標(biāo)準(zhǔn)化無疑有利于進(jìn)出口監(jiān)管，今后也將持續(xù)成為各國的慣常措施.作為除外規(guī)定，EAR License Exceptions (Part 740)“ (b)登記、分類和自評估”中(2)非標(biāo)準(zhǔn)密碼(non-standard cryptography)”[7]，則對非標(biāo)準(zhǔn)密碼要求登記、分類和自評估的嚴(yán)格限制.

2.4 進(jìn)口密碼產(chǎn)品的審批許可

按照《決定》和《通知》，國家密碼局規(guī)定：1)加強(qiáng)對進(jìn)口密碼產(chǎn)品的審批，健全相關(guān)制度，未經(jīng)許可不得進(jìn)口；2)如需使用境外密碼產(chǎn)品和含有密碼技術(shù)的設(shè)備，必須是已取得國家密碼局進(jìn)口許可的密碼產(chǎn)品和含有密碼技術(shù)的設(shè)備；3)外商投資企業(yè)、境外組織和個(gè)人使用的密碼產(chǎn)品或者含有密碼技術(shù)的設(shè)備需要從境外進(jìn)口的，仍應(yīng)當(dāng)依法辦理《密碼產(chǎn)品和含有密碼技術(shù)的設(shè)備進(jìn)口許可證》.

從目前來看，對密碼進(jìn)口的監(jiān)管(批準(zhǔn)條件)主要涉及主體、最終用途和負(fù)面清單幾個(gè)方面，按照《密碼產(chǎn)品和含有密碼技術(shù)的設(shè)備進(jìn)口許可服務(wù)指南》規(guī)定：1)進(jìn)口申請人是外商投資企業(yè)、境外組織或個(gè)人；2)進(jìn)口的產(chǎn)品供外商投資企業(yè)、境外組織或個(gè)人自用，不得轉(zhuǎn)讓；3)進(jìn)口的產(chǎn)品不會(huì)危害或者可能危害國家安全、社會(huì)公共利益.對如何進(jìn)行自用的最終用途和不會(huì)危害國家安全、社會(huì)公共利益的“技術(shù)審查”，《密碼產(chǎn)品和含有密碼技術(shù)的設(shè)備進(jìn)口許可證》主要是從商品名稱、版本型號、商品編號、數(shù)量和計(jì)量單位進(jìn)行統(tǒng)計(jì)，實(shí)際上則進(jìn)一步涉及加密方法、類型、技術(shù)描述、性能指標(biāo)、密鑰長度、協(xié)議、產(chǎn)品部署、最終用戶和產(chǎn)品最終用途(區(qū)分基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng))等審查.

值得注意的是：1)上述規(guī)定未將境內(nèi)實(shí)體通過網(wǎng)絡(luò)下載等在線傳輸方式界定為進(jìn)口；2)如符合《商用密碼管理?xiàng)l例》“任何單位或者個(gè)人不得銷售境外的密碼產(chǎn)品”要求的條件，境內(nèi)銷售的(例如含有密碼技術(shù)或加密組件的智能手機(jī)等終端設(shè)備)，應(yīng)考慮銷售協(xié)議、銷售記錄和信息的保留與報(bào)告，以符合抽查的要求；3)同時(shí)對“自用”而言，由于密碼產(chǎn)品和技術(shù)的應(yīng)用主要在于加密傳輸(和認(rèn)證)，則必然與《網(wǎng)絡(luò)安全法》所規(guī)定的數(shù)據(jù)本地化、數(shù)據(jù)跨境傳輸產(chǎn)生關(guān)聯(lián)(見下文).

2.5 出口許可

《商用密碼管理?xiàng)l例》第13條規(guī)定：“進(jìn)口密碼產(chǎn)品以及含有密碼技術(shù)的設(shè)備或者出口商用密碼產(chǎn)品，必須報(bào)經(jīng)國家密碼管理機(jī)構(gòu)批準(zhǔn).”《商用密碼產(chǎn)品出口許可服務(wù)指南》進(jìn)一步規(guī)定，出口許可的批準(zhǔn)條件為：1)出口的產(chǎn)品不會(huì)危害或者可能危害國家安全、社會(huì)公共利益；2)出口的產(chǎn)品通過國家密碼管理局的審批；3)產(chǎn)品出口到境外最終用戶的過程中，如有多個(gè)中間方參與，申請人應(yīng)當(dāng)提供每個(gè)環(huán)節(jié)的合同或者協(xié)議.

值得注意的是：1)密碼出口對主體未作明確限制，內(nèi)資實(shí)體與外資、境外實(shí)體的出口在實(shí)質(zhì)上可能有所不同，例如前者可能涉及國家國際責(zé)任的問題，后者對進(jìn)口密碼用于跨境數(shù)據(jù)傳輸?shù)氖欠裾J(rèn)定為出口的問題；2)對于非標(biāo)準(zhǔn)密碼，可能涉及嚴(yán)格的審批和技術(shù)審查程序，而隨著密碼標(biāo)準(zhǔn)化的推進(jìn)，未來則可能有規(guī)范可行的快捷方式可循，在這種情況下，取得最終用戶承諾亦顯得更為重要，盡管承諾的協(xié)議方式歸為“軟法”，但在涉及國家安全、公眾利益等實(shí)質(zhì)審查中，各國均視其為有效的監(jiān)管和追責(zé)方式.

3 密碼監(jiān)管的數(shù)據(jù)本地化與跨境傳輸問題

對于外資和境外實(shí)體而言，密碼產(chǎn)品和技術(shù)的用途除用于“含有加密功能的信息技術(shù)產(chǎn)品”、服務(wù)銷售外，還可能涉及《網(wǎng)絡(luò)安全法》所稱的個(gè)人信息、重要數(shù)據(jù)按照《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法》(征求意見稿)(“《辦法》”)所稱的數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)向境外提供的情形(此需求一般理解為前述的“自用”，但應(yīng)涉及不同主體之間的數(shù)據(jù)交換，故對“自用”的范圍理解可能會(huì)產(chǎn)生分歧和風(fēng)險(xiǎn))，因此將按照《辦法》進(jìn)行安全評估.按照通常理解：1)密碼產(chǎn)品和技術(shù)本身可能作為重要數(shù)據(jù)而進(jìn)行評估；2)密碼技術(shù)的應(yīng)用加劇了數(shù)據(jù)出境評估的難度(成本).

結(jié)合《商用密碼管理?xiàng)l例》和《辦法》第8條的規(guī)定，涉及密碼的出境評估應(yīng)需要重點(diǎn)考慮：1)數(shù)據(jù)接收方的安全保護(hù)措施、能力和水平，以及所在國家和地區(qū)的網(wǎng)絡(luò)安全環(huán)境等，特別是其密碼分析能力、執(zhí)法機(jī)關(guān)的協(xié)助要求(法律——例如有無要求運(yùn)營商強(qiáng)制解密的規(guī)定，美國1994《通信協(xié)助執(zhí)法法》(Communication Assistance for Law Enforcement Act)的規(guī)定即有別于我國《國家安全法》《網(wǎng)絡(luò)安全法》)[8]等；2)數(shù)據(jù)出境及出境數(shù)據(jù)匯聚可能對國家安全、社會(huì)公共利益、個(gè)人合法利益帶來的風(fēng)險(xiǎn)——此與前述《商用密碼管理?xiàng)l例》的技術(shù)審查條款直接對應(yīng).此外，《辦法》第12條規(guī)定網(wǎng)絡(luò)運(yùn)營者應(yīng)根據(jù)業(yè)務(wù)發(fā)展和網(wǎng)絡(luò)運(yùn)營情況，每年對數(shù)據(jù)出境至少進(jìn)行一次安全評估，及時(shí)將評估情況報(bào)行業(yè)主管或監(jiān)管部門的規(guī)定也將適用于前述密碼進(jìn)口和出口的情形.而對于行業(yè)主管或監(jiān)管部門組織的安全評估，如何對加密數(shù)據(jù)進(jìn)行重要數(shù)據(jù)的判定和評估，也將極具挑戰(zhàn).

4 結(jié) 語

綜上，在密碼技術(shù)標(biāo)準(zhǔn)化和監(jiān)管精細(xì)化的國際背景下，隨著《決定》具體落實(shí)和《網(wǎng)絡(luò)安全法》配套制度的制定與推進(jìn)，在密碼監(jiān)管領(lǐng)域?qū)⒉豢杀苊獾貙ν赓Y和境外實(shí)體產(chǎn)生沖擊，商用密碼技術(shù)屬于國家秘密，和“商用密碼用于保護(hù)不屬于國家秘密的信息”的特性，以及密碼產(chǎn)品和技術(shù)應(yīng)用的普遍化加劇了這一趨勢，企業(yè)對密碼合規(guī)的需求應(yīng)綜合《網(wǎng)絡(luò)安全法》(配套制度、標(biāo)準(zhǔn))、《密碼法》(草案)、《出口管制法》(草案)等早日提上議程.

[1]國家密碼管理局. 關(guān)于《中華人民共和國密碼法(草案征求意見稿)》公開征求意見的通知[OL]. (2017-04-28) [2017-11-18].http:www.oscca.gov.cnscahdjl2017-0428content_1011759.shtml

[2]國家密碼管理局. 國家密碼管理局關(guān)于做好商用密碼產(chǎn)品生產(chǎn)單位審批等4項(xiàng)行政許可取消后相關(guān)管理政策銜接工作的通知[OL]. (2017-10-11) [2017-11-18].http:www.sca.gov.cnscaxwdt2017-1011content_1015813.shtml

[3]國家密碼管理局. 商用密碼產(chǎn)品品種和型號審批服務(wù)指南[OL]. (2017-12-05) [2018-01-05]. http:sca.gov.cnscac1000602016111002474filesa290fd28d5ad4c6ebe22d 89bdf8a2c70.pdf

[4]商務(wù)部條約法律司. 商務(wù)部關(guān)于就出口管制法(草案征求意見稿)公開征求意見的通知[OL]. (2017-06-20) [2017-11-08]. http:tfs.mofcom.gov.cnarticleas20170620170602594467.shtml

[5]國家密碼管理局. 關(guān)于開展2017年度商用密碼隨機(jī)抽查工作的通知(國密局字 〔2017〕292號)(含《2017年商用密碼隨機(jī)抽查事項(xiàng)清單》)[OL]. (2017-09-14) [2017-11-29]. http:www.oscca.gov.cnscaxwdt2017-0914content_1015811.shtml

[6]國家密碼管理局. 我國SM2和SM9數(shù)字簽名算法正式成為ISOIEC國際標(biāo)準(zhǔn)[OL]. (2017-11-17)[2017-12-19]. http:www.oscca.gov.cnscaxwdt2017-1117content_1019960.shtml

[7]BIS.《出口監(jiān)管規(guī)則》 (EAR) License Exceptions (Part 740) (b)[OL].[2017-12-31]. https:www.bis.doc.govindex.phpdocumentsregulation-docs415-part-740-license-exceptionsfile

[8]全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).信息安全技術(shù) 數(shù)據(jù)出境安全評估指南(草案).5.2.6.2 重要數(shù)據(jù)：該國家或地區(qū)政府，包括執(zhí)法、國防、國家安全等部門調(diào)取數(shù)據(jù)的法律權(quán)力[OL]. (2017-08-30) [2017-12-03]. http:www.tc260.org.cnfile20170830203000000004.docx

原浩

碩士研究生，主要研究方向?yàn)楦咝录夹g(shù)企業(yè)與信息網(wǎng)絡(luò)安全法律實(shí)務(wù).

laware@qq.com