商用密碼管理條例新版解讀和企業(yè)未來發(fā)展建議

孫磊 尹琴 霍鈺 宋潔 李寧 郭晨萌

2023年5月，中華人民共和國中央人民政府網站公開《商用密碼管理條例》（以下簡稱《條例》）2023年修訂版正式稿全文?！稐l例自2023年7月1日起施行。

（一）新版《條例》簡介

新版《條例》共計九章六十七條，主要圍繞“科技創(chuàng)新與標準化、檢測認證、電子認證、進出口、應用促進、監(jiān)督管理”提出具體要求。

（1）總則

總則明確了管理原則、條例目的、適用范圍、監(jiān)管部門、人才培養(yǎng)、宣傳教育、學術和行業(yè)自律等方面。一是明確管理原則是堅持黨對商用密碼工作的領導，貫徹執(zhí)行總體國家安全觀。二是明確了目的是規(guī)范商用密碼應用和管理，鼓勵促進商用密碼產業(yè)發(fā)展。三是適用范圍是中華人民共和國境內的商用密碼科研、生產、銷售、服務、檢測、認證、進出口、應用等活動及監(jiān)督管理。四是監(jiān)管部門，即國家密碼管理部門負責全國商用密碼工作的管理。五是在人才培養(yǎng)方面，建立完善商用密碼人才發(fā)展體制機制和人才評價制度，鼓勵和支持密碼相關學科和專業(yè)建設，規(guī)范商用密碼社會化培訓，促進商用密碼人才交流。六是在宣傳教育方面，加強商用密碼的宣傳教育，提升公民、法人和其他組織的密碼安全意識。七是在學術和行業(yè)自律方面，商用密碼領域的學會、行業(yè)協(xié)會等社會組織應按照法律、行政法規(guī)及章程規(guī)定，進行學術交流、政策研究、公共服務等活動，加強學術和行業(yè)自律，推動誠信建設，促進行業(yè)的健康發(fā)展。

（2）科技創(chuàng)新與標準化

通過表彰和獎勵作出突出貢獻的組織和個人、依法保護知識產權、鼓勵密碼技術合作、鼓勵和支持技術成果轉化和產業(yè)化應用、審查堅定使用的密碼算法、密碼協(xié)議、密鑰管理機制等商用密碼技術、規(guī)范引導和監(jiān)督企業(yè)團體等制定商用密碼標準、推動參與商用密碼國際標準化活動、符合強制性鼓勵推薦性標準等多方，推動商用密碼科技創(chuàng)新和標準化工作。

（3）檢測認證

首先，明確了主體責任。商用密碼檢測技術規(guī)范、規(guī)則由國家密碼管理部門制定并公布。其次，明確了商用密碼檢測機構。商用密碼檢測機構，應當經國家密碼管理部門認定，依法取得商用密碼檢測機構資質。再次，明確了認證機構。從事商用密碼認證活動的機構，應當依法取得商用密碼認證機構資質。

（4）電子認證

一是明確了電子認證的主體責任。國家建立統(tǒng)一的電子認證信任機制。國家密碼管理部門負責電子認證信任源的規(guī)劃和管理，會同有關部門推動電子認證服務互信互認。二是明確了電子認證服務兩大要求。采用商用密碼技術提供電子認證服務，應依法取得國家密碼管理部門同意使用密碼的證明文件。三是明確了服務機構從業(yè)規(guī)范。電子政務電子認證服務機構應當按照法律法規(guī)，在批準范圍內提供認證服務，并定期報送服務實施情況。四是規(guī)范了政務活動中商用密碼的使用。密碼管理部門會同有關部門負責政務活動中使用電子簽名、數(shù)據(jù)電文的管理。

（5）進出口

一是明確進出口的主體責任，即商用密碼進口許可清單和商用密碼出口管制清單由國務院商務主管部門會同國家密碼管理部門和海關總署制定并公布。二是明確了進出口管制范圍，即涉及國家安全、社會公共利益且具有加密保護功能的商用密碼，列入商用密碼進口許可清單，實施進口許可。涉及國家安全、社會公共利益或者中國承擔國際義務的商用密碼，列入商用密碼出口管制清單，實施出口管制。

（6）應用促進

鼓勵支持商用密碼的應用落地、構建并加強商用密碼溝通協(xié)調機制、提高基于商用密碼保護關鍵信息基礎設施的要求、提高網絡運營者使用商用密碼的要求、加強商用密碼應用安全評估/關鍵信息基礎設施安全檢測評估/網絡安全等級測評工作的銜接性等，推動促進商用密碼的廣泛應用和快速健康發(fā)展。

（7）監(jiān)督管理

第一，加強監(jiān)督檢查，依法組織對商用密碼活動進行監(jiān)督檢查，指導和監(jiān)督商用密碼相關工作。第二，建立協(xié)作機制。建立商用密碼監(jiān)督管理協(xié)作機制，加強商用密碼監(jiān)督、檢查、指導等工作的協(xié)調配合；推進商用密碼監(jiān)督管理與社會信用體系相銜接，依法建立推行商用密碼經營主體信用記錄、信用分級分類監(jiān)管、失信懲戒以及信用修復等機制。第三，明確保密義務。商用密碼檢測、認證機構和電子政務電子認證服務機構及其工作人員，應當對其在商用密碼活動中所知悉的國家秘密和商業(yè)秘密承擔保密義務。

（8）法律責任

針對10種違法活動，分別明確了法律責任。

（二）新版《條例》修訂分析

《條例》是對《密碼法》的進一步細化闡述，也對我國商用密碼管理體系建設的系統(tǒng)性、整體性有具體的指導，更是我國商用密碼發(fā)展重要里程碑，極大促進我國商用密碼產業(yè)的蓬勃發(fā)展。這次修訂對已實施二十四年的原條例進行了全面修訂，針對商用密碼產品、服務以及關鍵信息基礎設施商用密碼應用等與國家安全、國計民生和社會公共利益相關的領域，提出了明確且嚴格的管控措施。

《條例》修訂中增加了一個專章，即原條例中未包含的“監(jiān)督管理”章節(jié)，旨在系統(tǒng)設計商用密碼監(jiān)督管理協(xié)作機制和商用密碼應用促進協(xié)調機制，并明確了監(jiān)督檢查的具體職權。此外，還建立了信用監(jiān)管的基本制度，構建了一個有效的法治監(jiān)督體系。

我們國家對商用密碼管理的制度進行了系統(tǒng)性設計，兼顧了創(chuàng)新發(fā)展和安全保障的雙重目標。總體而言，這次修訂是商用密碼管理法治化方面的一次重大飛躍。

（一）嚴格商用密碼管理

商用密碼企業(yè)首先應該加強商用密碼的管理。企業(yè)應當按照新修訂的《商用密碼管理條例》的要求，加強商用密碼的管理，確保商用密碼的安全性和保密性，保護商業(yè)信息的機密性和完整性。

（二）加強基于國產商用密碼算法的產品研發(fā)

企業(yè)應充分調研市場需求，加強基于國產商用密碼算法的產品研發(fā)，積極拓展商用密碼的應用領域，將商用密碼應用到更多的業(yè)務場景中，提高業(yè)務效率和安全性，推動商用密碼技術的應用，提高信息安全水平，保障企業(yè)信息安全和國家安全。

（三）加強信息安全意識

商用密碼企業(yè)應當不斷加強員工的信息安全意識，提高員工對商用密碼的認識和使用能力，確保商用密碼的安全使用。例如，非密設備嚴禁帶入涉密場所、涉密設備違規(guī)外聯(lián)、口令復雜度的設置等。

本文通過對新版《條例》進行分析和解讀，從總則、科技創(chuàng)新與標準化、檢測認證、電子認證、進出口、應用促進、監(jiān)督管理等方面分別介紹了相關規(guī)定，并對修訂內容進行整體分析。最后，從企業(yè)發(fā)展的角度，提出了嚴格密碼管理、加強基于國產商用密碼算法的產品研發(fā)、加強信息安全意識、加強合規(guī)性管理等建議，為企業(yè)在商用密碼的發(fā)展布局提供參考。