1、合规管理框架下的密码法宋迎、吴院渊、韦飞2019年10月26日,第十三届全国人民代表大会常务委员会第十四次会议通过了中华人民共和国密码法(以下简称密码法),2020年1月1日正式施行。密码法的监管对象是什么?对企业有什么影响?本文将进行探讨和分析。密码法的“密码”指什么?日常生活中提及“密码”一词,人们往往理解为银行卡支付密码、电子邮箱登陆密码等这类由数字、字母或者符号组成的口令。这本身也是一种“密码”,但只是非常简单、初级的验证方式。密码法所规制的是“采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。”所以,“密码”既能提供安全认证,也是加密保护的工具,例如常见的网银USB
2、 Key即属于这种“密码”。换言之,其是通过加密使得原来可读的信息变成不能识别的符号,并采用安全认证的手段确认信息是否被篡改、是否来自可靠信息源以及确认使用行为是否真实的工具。密码实施分类管理密码法将密码分为核心密码、普通密码和商用密码。其中,核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。请注意,核心密码、普通密码本身也属于国家秘密。这两种密码均由国家实施统一管理。商用密码用于保护不属于国家秘密的信息,公民、企业和其他组织均可以依法使用商用密码保护网络与信息安全。密码的分类管理并非密码法首次提出。在此之前,核心密码和普通密码是由
3、国家密码管理局依据发布的政策进行管理,而商用密码则是通过1999年国务院颁布的商用密码管理条例进行管理。可以说密码法首次统一将三类密码纳入国家立法予以规范。国家及地方密码管理局的角色与行政处罚国家密码管理局与“中央密码工作领导小组办公室”是一个机构两块牌子,属于中共中央直属机关下属机构,依据其信息公开内容,其履行的行政审批职能如下:项目名称审批类别设定依据商用密码科研成果审查鉴定行政许可商用密码管理条例(国务院令第273号)第六条:“商用密码的科研成果,由国家密码管理机构组织专家按照商用密码技术标准和技术规范审查、鉴定。”商用密码产品品种和型号审批行政许可商用密码管理条例(国务院令第273号)
4、第八条:“商用密码产品指定生产单位生产的商用密码产品的品种和型号,必须经国家密码管理机构批准,并不得超过批准范围生产商用密码产品。”商用密码产品质量检测机构审批行政许可商用密码管理条例(国务院令第273号)第九条:“商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格。”密码产品和含有密码技术的设备进口许可行政许可商用密码管理条例(国务院令第273号)第十三条:“进口密码产品以及含有密码技术的设备或者出口商用密码产品,必须报经国家密码管理机构批准。任何单位或者个人不得销售境外的密码产品。”商用密码产品出口许可行政许可商用密码管理条例(国务院令第273号)第十三条:“进口密码产品以
5、及含有密码技术的设备或者出口商用密码产品,必须报经国家密码管理机构批准。任何单位或者个人不得销售境外的密码产品。”电子认证服务使用密码许可(包括3个子许可:1. 电子认证服务使用密码许可;2. 电子认证服务系统技术改造审批;3. 电子认证服务系统系统搬迁审批)行政许可中华人民共和国电子签名法第十七条:“提供电子认证服务,应当具备下列条件:(五)具有国家密码管理机构同意使用密码的证明文件;”电子认证服务密码管理办法(国家密码管理局公告第17号)第一条:“为了规范电子认证服务提供者使用密码的行为,根据中华人民共和国电子签名法、商用密码管理条例和相关法律、行政法规的规定,制定本办法。”第三条:“提供
6、电子认证服务,应当依据本办法申请电子认证服务使用密码许可证。”第九条第二款:“电子认证服务系统通过安全性审查和互联互通测试的,由国家密码管理局发给电子认证服务使用密码许可证并予以公布;未通过安全性审查或者互联互通测试的,不予许可,书面通知申请人并说明理由。”第十五条:“电子认证服务提供者对其电子认证服务系统进行技术改造或者进行系统搬迁的,应当将有关情况书面报国家密码管理局,经国家密码管理局同意后方可继续运行。必要时,国家密码管理局可以组织对电子认证服务系统进行安全性审查和互联互通测试。”信息安全等级保护商用密码测评机构审批非行政许可审批(正在履行新设行政许可程序)中华人民共和国计算机信息系统安
7、全保护条例(国务院令第147号)第九条:“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”信息安全等级保护管理办法(公通字200743号)第一条:“为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据中华人民共和国计算机信息系统安全保护条例等有关法律法规,制定本办法。”第三十八条:“信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。”信息安全等级保护商用密码管理办法(国密局发200711号)第十一条:“信
8、息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担。”电子政务电子认证服务机构认定非行政许可审批(正在履行新设行政许可程序)中华人民共和国电子签名法第三十五条:“国务院或者国务院规定的部门可以依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法。”电子政务电子认证服务管理办法(试行)(国密局发20097号)第一条:“为了规范电子政务电子认证服务活动,依据中华人民共和国电子签名法、商用密码管理条例和国务院有关文件,制定本办法。”第十七条:“国家密码管理局组织开展认证服务能力评估,发布电子政务电子认证服务机构目录。”第二十条:“国家密码管理局组织对电子认证服务机构进行
9、能力评估。通过评估的,由国家密码管理局出具通过能力评估的证明文件,并将电子认证服务机构列入电子政务电子认证服务机构目录;未通过评估的,书面通知申请人并说明理由。”密码法进一步为密码管理局的行政审批事项提供了更为直接的法律依据。此外,密码法还在商用密码管理条例的基础上增加了行政处罚的类型,具体如下:1、 商用密码检测、认证机构无资质开展商用密码检测认证的或未能对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足
10、三十万元的,可以并处十万元以上三十万元以下罚款;情节严重的,依法吊销相关资质。2、 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供;商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。销售或者提供未经检测认证或者检测认证不合格的商用密码产品,或者提供未经认证或者认证不合格的商用密码服务的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法
11、所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。3、 关键信息基础设施的运营者应自行或者委托商用密码检测机构开展商用密码应用安全性评估,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。4、 关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,采购涉及商用密码的网络产品和服务,可能影响国家安全的,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一
12、倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。5、 涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。违反进口许可、出口管制的规定,进出口商用密码的,由国务院商务主管部门或者海关依法予以处罚。6、 未经国家密码管理部门认定从事电子政务电子认证服务的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款。合规管理的
13、建议互联网的发展和金融支付的进步使得大部分企业都会面临收集、使用、存储、传输客户个人信息的情形。除了企业在银行业务、税务业务中对密码的保护和管理,个人信息保护领域涉及使用密码技术的要求将会日趋严格。国家标准文件信息安全技术个人信息安全规范(GB/T 352732017)明确要求控制个人信息的主体在传输和存储个人敏感信息时,应采用加密等安全措施,同时在收集、存储、展示和传输中,应该或者建议进行“去标识化”处理。所谓“去标识化”便包括了采用加密技术。对于全国人大正在起草中的个人信息保护法草案,我们认为,采用密码保护个人信息也会成为未来立法中的一项要求。密码法一个半月后将正式生效,尽管其行政处罚主要
14、针对提供商用密码产品和服务的厂商,对于日常经营中使用密码的企业,也应尽快加强应对,提高合规管理的要求。密码法第二十七条规定:“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照中华人民共和国网络安全法的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。”网络安全法第三十一条
15、对“关键信息基础设施”作出了较为宽泛的解释,即:“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”。虽然目前国务院尚未依据网络安全法对“关键信息基础设施”的具体范围出台规定,但是考虑到使用密码并进行安全评估,一方面可以为有效降低信息安全事件发生的提供技术保障;另一方面,这一措施也体现了企业的数据安全能力,符合信息安全技术个人信息安全规范的要求,在发生数据泄露等信息安全事件时,可以作为减轻企业行政处罚或民事责任的重要证据。基于上述理由,我们建议运营关键信息基础设施的企业和其他涉及大数据和收集、处理大量个人信息的企业,及时使用商用密码并根据密码法的要求开展商用密码应用安全性评估或国家安全审查。
