本报记者 杜丽娟 北京报道
随着商用密码在网络与信息系统中的广泛应用,其维护国家主权、安全和发展利益的作用逐渐凸显。
7月1日起,修订后的《商用密码管理条例》(以下简称《条例》)正式施行。相比原有内容,修订后的《条例》,重点对商用密码管理体制、商用密码科技创新与标准化建设、商用密码检测认证体系、商用密码进出口管理、电子认证服务使用密码和电子政务电子认证服务活动和管理商用密码应用等6个方面做了明确规定。
“2019年《密码法》出台后,商用密码的进出口许可管理变得尤其重要,之后相关部门对这项工作的管理逐渐常态化,提高了商用密码使用合规能力,在此基础上,《条例》进一步细化了商用密码进出口许可管理要求,对企业来说,明确的管制清单有利于降低合规风险。”一位网络安全人士告诉《中国经营报》记者。
商用密码,是指采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。
根据《密码法》的规定,密码分为核心密码、普通密码和商用密码。核心密码、普通密码用于保护国家秘密信息,主要用于党和国家的一些重大活动,或是抢险救灾等突发事件。
和核心密码、普通密码相比,商用密码与老百姓的生活息息相关,且涵盖广泛,比如生活中经常使用的手机移动支付、电子政务等服务,都是商用密码技术在实践中的应用。
基于此,规范商用密码的应用和管理,对于保障国家网络与信息安全、维护公共安全与利益、促进商用密码产业发展具有重大意义。
以商用密码进出口许可为例,目前我国对商用密码的进出口依据清单实施许可证管理。其中,对涉及国家安全、社会公共利益且具有加密保护功能的商用密码,列入商用密码进口许可清单,实施进口许可;对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码,列入商用密码出口管制清单,实施出口管制。
具体来看,在进口方面,根据2023年版《两用物项和技术进出口许可证管理目录》(以下简称《目录》),我国对加密电话机、加密传真机、高性能密码机(密码卡)和高性能加密VPN设备等4项商用密码商品实行进口许可。
在出口方面,2023年版《目录》的商用密码出口管制清单涵盖了安全芯片、密码机(密码卡)、加密VPN设备、密钥管理产品、专用密码设备、量子密码设备、密码分析设备等系统、设备和部件,密码研制生产设备、密码测试验证设备,以及与前述项目有关的软件和技术等。
为加强商用密码的进出口管理,2020年12月,商务部、国家密码管理局、海关总署联合发布商用密码进出口相关清单及管理措施。围绕进出口许可证的申请、审查、颁发和交验等环节,《条例》对各管理部门在商用密码进出口监管中的职能作出明确管理。
国务院商务主管部门,主要负责清单的制定与发布,进出口许可证的申请受理、审查和颁布,实践中主要由商务部下属产业安全与进出口管制局具体办理。
国家密码管理部门主要负责会同国务院商务主管部门、海关总署制定与发布清单,会同国务院商务主管部门审查商用密码进出口许可申请。
海关总署会同国务院商务主管部门、国家密码管理部门制定与发布清单;审核商用密码进出口经营者提交的进出口许可证,依法提出质疑、向国务院商务主管部门提出组织鉴别。
上述网络安全人士表示,近年来,国家对商用密码创新发展和行政审批制度改革提出了一系列要求,尤其是《密码法》实施后,政策对商用密码管理制度可谓是结构性重塑,因此,对于违反《条例》规定进出口商用密码的行为,相关主体也将受到处罚。
德勤税务与商务咨询团队认为,中国企业特别是电信、金融等行业领域的企业,在开展跨境业务或相关“走出去”技术服务过程中,有可能会面临商用密码的跨境合规挑战。
为了遵守有关的商用密码进出口许可管理制度,该团队建议,经营者首先应当识别拟进出口的项目是否在商用密码进口许可和出口管制清单中。此外,还要判断拟出口项目是否在出口管制清单中,从而降低合规风险。
受此影响,市场预测修订后的《条例》贯彻实施后,密码工作也会向着智能化发展,这或将迎来重大发展机遇。根据赛迪咨询的统计,2022年商用密码市场规模为707.64亿元,2023年市场规模预计将达937.5亿元,同比增长32%,并呈现高速增长态势。