2023年7月1日,新修订的《商用密码管理条例》(以下简称《条例》)将正式施行。《条例》深入贯彻习近平法治思想,贯彻全面依法治国基本方略,全面落实《中华人民共和国密码法》(以下简称《密码法》)要求,为推进新时代商用密码高质量发展、保障网络与信息安全、维护国家安全和社会公共利益、保护公民合法权益提供了有力法治保障。
作为网络安全领军企业,天融信深度剖析《条例》的发展背景、主要内容和施行意义,认真贯彻落实国家密码政策有关要求,加强密码科技自主创新研究,积极参与密码标准编制,大力强化密码人才培养,推动商用密码科技成果转化和产业化应用,护航中国数字经济高质量安全发展。
《商用密码管理条例》的发展背景
党中央、国务院高度重视商用密码工作。原《条例》由国务院于1999年10月7日发布之日起实施,目的是加强商用密码管理,保护信息安全,保护公民和组织的合法权益,维护国家的安全和利益。近年来,商用密码应用愈发广泛,在维护国家主权、安全和发展利益以及保障网络和信息安全方面的作用越来越凸显。党的十八大以来,党中央、国务院对商用密码创新发展和“放管服”改革提出了系列要求。随着《密码法》的颁布实施,对商用密码管理制度进行了结构性重塑。
为了贯彻落实行政审批制度改革精神,细化《密码法》相关制度,适应新时代商用密码事业发展需求,2020年8月,国家密码管理局发布《商用密码管理条例(修订草案征求意见稿)》,启动对商用密码管理制度的全面修订升级工作。2023年4月27日,国务院总理李强签署第760号国务院令,并于5月24日公布了新修订的《条例》,要求自2023年7月1日起施行。
《商用密码管理条例》的内容解读
新修订的《条例》坚持创新发展、保障安全,放宽准入、规范监管,依法立法、衔接有序的立法思路,共9章67条。与原《条例》相比,修订变化较大,由原来的的总则、科研生产管理、销售管理、使用管理、安全保密管理、罚则、附则等七个章节,变更为总则、科技创新与标准化、检测认证、电子认证、进出口、应用促进、监督管理、法律责任、附则等九个章节。
修订内容充分总结商用密码管理工作成功经验,深入研究商用密码发展形势任务,积极借鉴国外密码管理有益做法,全面落实《密码法》规定的推进商用密码检测认证体系建设要求,促使商用密码、产品、服务、管理体系由审批制向检测认证制发展,进一步明确电子认证服务使用密码要求和使用规范,细化商用密码进出口管控要求,促进商用密码使用,规范监管责任和法律义务,符合当代商用密码管理发展要求。
第一章 总则 包括六条内容,明确指出《密码法》为《条例》的上位法;管理范围包括商用密码科研、生产、销售、服务、检测、认证、进出口、应用等,同时依据《密码法》中密码的定义,对商用密码进行了重新定义;明确指出坚持中国共产党对商用密码工作的领导,密码管理部门分级负责管理全国各地的商用密码工作,网信、商务、海关、市场监督管理等有关部门在各自职责范围内负责商用密码有关管理工作;鼓励商用密码人才培养、商用密码宣传教育和商用密码社会组织健康发展。
第二章 科技创新与标准化 包括五条内容,要求国家建立健全商用密码科学技术创新促进机制;鼓励和支持商用密码科学技术成果转化和产业化应用;依法对要求使用商用密码进行保护的网络与信息系统进行商用密码技术审查鉴定;全面推动商用密码国家标准、行业标准、团体标准的规范化发展和使用。
第三章 检测认证 包括十条内容,提出在国家层面推进商用密码检测认证体系建设,鼓励在商用密码活动中自愿接受商用密码检测认证;在检测体系方面,明确了从事商用密码检测的机构需取得相应资质,申请资质的条件和流程,以及合规开展商用密码检测的要求;在认证体系方面,明确了商用密码认证制度以及认证目录发布规定,提出了从事商用密码认证的机构需取得相应资质,申请资质的条件,以及合规开展商用密码认证的要求;特别提出属于网络关键设备和网络安全专用产品目录的商用密码产品,应当依法通过商用密码产品检测和服务认证。
第四章 电子认证 包括九条内容,对电子认证服务机构及电子政务电子认证服务机构应该遵循的要求分别作出了规定,明确电子认证服务需通过相应检查和检测,并获得同意使用密码的证明文件;要求电子政务电子认证服务机构应当依法合规提供电子政务电子认证服务;由国家建立统一的电子认证信任机制,推动电子认证服务互信互认;对外商投资电子政务电子认证服务进行必要的安全性审查要求;进一步加强政务活动中使用电子签名、数据电文的电子认证服务提供和管控。
第五章 进出口 包括四条内容,推动商用密码进出口从“批准制”到“清单制”,明确涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制;国务院商务主管部门会同国家密码管理部门和海关总署制定商用密码进口许可清单和出口管制清单;大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
第六章 应用促进 包括八条内容,一方面,鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全,支持网络产品和服务使用商用密码提升安全性,规范商用密码在信息领域新技术、新业态、新模式中的应用。另一方面,明确关键信息基础设施的商用密码使用要求,并加强与国家安全审查、网络安全等级保护制度的衔接。
第七章 监督管理 包括七条内容,规定了密码管理部门和有关部门的商用密码监督管理职责权限;明确建立商用密码监督管理协作机制,推进商用密码监督管理与社会信用体系相衔接,依法开展商用密码监督检查;明确了商用密码活动中的各级机构、单位和个人的保密责任和配合义务。
第八章 法律责任 包括十七条内容,从立法技术上对《网络安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《认证认可条例》对应内容进行援引使用,对涉及商用密码的违法行为责任进行多方面、多维度、系统性整体梳理,进一步完善商用密码活动各方有关违法行为行政处罚规定。
第九章 附则 包括一条内容,明示《条例》正式施行时间。
《商用密码管理条例》的施行意义
《条例》坚持以习近平新时代中国特色社会主义思想为指导,深入贯彻落实党中央决策部署,深化行政审批制度改革,全面细化落实《密码法》精神。《条例》施行是优化完善我国网络安全法律体系的重要举措,将进一步推动商用密码科技自主创新与标准体系建设,完善国家商用密码检测认证体系,促进商用密码在信息领域新技术、新业态、新模式中的数字融合创新应用,推动我国密码学术繁荣和社会组织发展,对于推动我国商用密码事业高质量发展,强化商用密码产业发展和人才培养,有效赋能数字经济建设具有重要意义。
1、优化落实网络安全及密码法律法规
党的十八大以来,我国相继制定出台了《网络安全法》《密码法》《数据安全法》《个人信息保护法》等多部网络安全领域法律,构建了具有中国特色的网络安全法律体系。2020年1月1日,《密码法》正式实施。《密码法》坚持党管密码和依法管理相统一,对商用密码管理制度进行了结构性重塑,并设专章对商用密码的管理、应用和创新发展作了规定,引导全社会合规、正确、有效使用密码。《条例》在密码法律框架下进行了全面修订,修订后的《条例》不仅与《密码法》紧密衔接,而且充分吸纳了原《条例》实施以来的成功经验与实践成果,有效地将商用密码应用各领域、各环节、各要素纳入法治化管理轨道,符合新时代商用密码事业发展的根本需求。
2、推动商用密码科技创新与标准建设
《条例》顺应商用密码科技创新和时代发展的需要,坚持创新发展和确保安全相统一,明确了较为完备的商用密码科学技术创新促进机制,既保证商用密码技术创新的权威性、可信性和先进性,又有利于推动我国自主创新商用密码研究成果的应用转化。在标准体系建设方面,《条例》明确推动密码标准制定和国际标准化活动,鼓励在现行商用密码国家标准和商用密码行业标准基础上,积极推动sm2、sm3、sm4、sm9、zuc等国家密码算法标准成功纳入iso/iec国际密码算法标准体系,向世界展示了中国密码创新成果,贡献了中国密码智慧与密码方案。
3、完善国家商用密码检测认证体系
随着商用密码应用的不断深入,区块链、人工智能、数字货币等重要商用密码应用领域面临创新驱动发展的压力,亟需建立更高水平的商用密码检测认证体系。《条例》贯彻了《密码法》立法精神,顶层设计检测认证体系,明确建立国家统一推行的商用密码产品、服务、管理体系,实行自愿性与强制性相结合的检测认证制度,进一步提升商用密码检测认证能力,夯实商用密码检测认证体系建设,为商用密码产业健康有序发展保驾护航。
4、促进商用密码数字融合创新应用
随着信息领域新技术、新业态、新模式的不断发展,商用密码技术研究边界与内涵不断扩展,商用密码覆盖的数据要素市场越来越庞大,为密码科技创新与产业化发展提供了巨大的发展机遇。《条例》把实践中成熟的经验上升为规定,强调建立商用密码应用促进协调机,为商用密码技术的应用创新和产业化提供交流平台,支持并规范商用密码在信息领域新技术、新业态、新模式中的应用,鼓励和支持商用密码科学技术成果和产业转化,实现商用密码产业与信息产业的深度融合,促进并规范了商用密码应用。
5、推动密码学术繁荣和社会组织发展
法律法规的生命力在于实施,《条例》首次纳入了商用密码领域社会组织的条款,明确了商用密码领域的社会组织在国家密码管理部门指导下应当履行的职责任务和使命担当——开展学术交流、政策研究和公共服务,加强学术和行业自律,推动诚信建设,促进行业健康发展。这将大大促进密码领域社会组织在学术交流、人才培养、科学普及、承接政府任务、服务密码科技工作者等方面的影响和作用,为构建统一、开放、竞争、有序的商用密码市场体系贡献力量。
天融信:贯彻执行密码政策,引领密码安全实践
作为中国领先的网络安全、大数据与云服务提供商,天融信持续深耕密码安全领域,科学推动商用密码技术与新兴技术的融合,形成了完整的商用密码支撑体系,从产品、方案、服务三方面推动商用密码应用安全性评估(以下简称密评)建设落地。天融信积极参与商用密码标准研制和科技创新,促进商用密码科技创新与标准化建设,通过密码标准研制、密码产品开发、密码方案设计、密评建设落地、密码人才挖掘五方面密码安全实践,不断引领国家商用密码事业的蓬勃发展。
1、密码标准研制
天融信参与了《信息安全技术传输层密码协议(tlcp)》《信息安全技术 ipsec vpn技术规范》和《ssl vpn技术规范》等10余项密码领域国家、行业标准的研制,持续推进密码技术的研究与实践应用,积极推进信息系统安全建设工作。
2、密码产品开发
作为网络安全企业,天融信于2000年研制并发布了sjw11网络密码机,以高标准通过国家主管部门的技术鉴定,成为国内首批商用密码产品,获得包含省部级科技进步一等奖在内的多个密码类荣誉奖项,并持续发力推出加密机、服务器密码机、签名验签服务器、安全认证网关等一系列商用密码产品和整体凯发官网入口首页的解决方案。
3、密码方案设计
天融信推出了安全合规、全面可靠的密评凯发官网入口首页的解决方案,涉及政府、运营商、金融、能源、医疗、教育、交通、制造等行业。方案根据标准从“物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理、安全管理体系”六个维度展开充分的论证与设计,覆盖行业客户的各类商用密码需求,并搭建了商用密码应用测试环境,为解决各行业业务系统与商用密码应用融合的各类问题,成功落地了一系列可控、可管、可靠的商用密码应用案例。
4、密评建设落地
天融信拥有专业的商用密码技术专家团队,能为客户提供现状分析、差距分析、风险评估、安全规划、方案设计、集成建设、制度编写、辅助测评、运维支撑等全流程的商用密码应用安全性评估服务。自2021年3月,《信息安全技术 信息系统密码应用基本要求》gb/t 39786-2021正式发布,信息系统需按照标准要求开展密评。天融信从梳理密评场景、合理性评估、建章立制、密码能力建设、协助开展测评5个步骤帮助客户完成密评工作,并提供不同级别的密评整改服务。
5、密码人才挖掘
在密码人才储备与培养方面,天融信连续7届联合主办全国高校密码数学挑战赛,积极承办国际公钥密码会议(pkc2019)、安全协议进展国际会议(psp2019)等活动,同时也是北京商用密码行业协会监事长单位,持续与国内外密码领域专家学者进行交流合作,不断加大密码领域科技投入,坚持自主创新,为精准发现和培养跨学科综合型人才,促进密码领域的创新研究与成果应用,积极推动商用密码领域的发展,提供了良好平台。
商用密码在保障网络和信息安全、维护公民权益方面的重要性日益凸显,加快推动商用密码应用刻不容缓。天融信将持续深耕密码安全领域,推动商用密码与信息领域新技术、新业态深度融合,为密码产业的高质量发展保驾护航!