“密码”是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。随着网络和信息技术的不断发展,人们越来越关注网络和信息的安全建设,但网络攻击、数据泄露等事件层出不穷,亟需有效的安全防护措施,具备加密保护和安全认证功能的“密码”,便是保障网络与信息安全的核心技术和基础支撑。自《网络安全法》实施以来,我国对网络安全和数据合规的监管日渐加强,密码使用的合规性也开始被更多人关注。
近几年来,随着简化行政审批的“放管服”行政制度改革的持续深化,我国对商用密码产品生产、销售和使用相关的一批行政许可事项逐渐被取消,整体监管风格从面面俱到的“强监管”逐步放宽。2017年9月,国务院发布国发〔2017〕46号文《国务院关于取消一批行政许可事项的决定》,取消了商用密码产品生产单位审批、销售单位许可、外商投资企业使用境外密码产品审批、境外组织和个人在华使用密码产品或者含有密码技术的设备审批四件商用密码行政许可事项。2020年1月1日,我国第一部密码管理领域的综合性法律《密码法》开始实施,对我国商用密码管理制度进行了结构性重塑。《密码法》以“清单制”代替“批准制”,确立了强制检测认证和自愿检测认证相结合的商用密码监管机制。为适应《密码法》的要求,我国于2021年开始着手对《商用密码管理条例(1999)》的修订。目前修订通过的《商用密码管理条例(2023)》已于2023年7月1日开始实施,该条例在《密码法》设定的监管原则下进一步细化了监管要求。尽管商用密码的监管较之前变得更为宽松,对于使用境外的商用密码产品具体需要注意何种合规义务,大多数企业可能并不十分清楚。我们将在下文简要介绍境外商用密码产品使用相关的合规要点,以期给相关企业带来帮助。
我国对密码实行分类管理,将密码分为核心密码、普通密码和商用密码。其中核心密码和普通密码均用于保护属于国家秘密的信息,并且其本身也属于国家秘密,绝大多数企业在日常经营中不会触及。商用密码用于保护不属于国家秘密的信息,包括但不限于企业商业秘密、公民个人隐私。例如,商用密码在网上银行、网上支付系统中已得到广泛应用。因此,绝大多数企业在日常经营中触及到的密码为商用密码,其中最为常见的是商用密码产品。商用密码产品,是指采用商用密码技术进行加密保护、安全认证的产品,可分为软件、芯片、模块、板卡、整机、系统六类。典型的商用密码产品包括密码机(比如网络密码机、电话密码机等)和密码芯片和模块(比如银行卡、社保卡中使用的密码芯片、可行计算密码模块等)。所谓“境外商用密码产品”,一般指在境外研发、制造的商用密码产品,其使用的算法一般未遵循我国的国家标准和行业标准。
随着我国加速推动数字经济建设,国内企业在数字化转型过程中为保障网络和数据安全很可能会使用到境外商用密码产品,比如境外制造的用于加密保护、安全认证的软件、芯片、模块等。尤其是一些外商投资企业可能出于境外集团公司的统一要求而需要使用境外集团公司统一采购或研发的境外商用密码产品(比如外资银行可能会使用境外总行统一配备的“U盾”、客户身份认证APP等)。随之而来的问题便是,国内企业进口、使用境外的商用密码产品是否需要取得相关的行政许可或备案,是否在使用过程中可能会引发隐藏的合规风险?
自2017年国务院发布国发〔2017〕46号文以来,使用境外商用密码产品监管态势逐步放松。据笔者了解,除少数例外情形,目前我国商用密码监管体系暂未对使用境外商用密码产品设置特别的合规要求。我们简要介绍如下。
1. 境外商用密码产品的进口合规要求
自商务部、国家密码管理局、海关总署发布2020年第63号《关于发布商用密码进口许可清单、出口管制清单和相关管理措施的公告》之后,商用密码进出口管理被纳入《出口管制法》下的两用物项进出口许可管制体系中,进口审批权限也从国家密码管理局挪至商务部。在该公告中,商务部会同国家密码管理局和海关总署制定了《商用密码进口许可清单》和《商用密码出口管制清单》,对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。对于落入前述清单中的商用密码,进口方(出口方)应向商务部申请办理两用物项和技术进口(出口)许可证。
尽管有前述规定,界定何为“进口商用密码产品”仍存在不确定性。《商用密码管理条例(2023)》第三十三条规定,进口商用密码进口许可清单中的商用密码或者出口商用密码出口管制清单中的商用密码时,应当向海关交验进出口许可证,并按照国家有关规定办理报关手续。也就是说,商用密码进口许可证适用于通过中国海关进口的场景,这也是我们通常所理解的 “进口”——经海关将境外产品带入境内使用、销售、加工、再出口等。
但商用密码产品有可能以非实物的形式存在(比如软件),国内用户可以直接从境外网站下载或者由境外厂商/销售商直接以电子形式提供,不以实物形式经过中国海关。此方式是否构成“进口”目前并无定论。根据笔者的实践经验,商务部及地方商委对该问题的理解并不一致:有观点认为此方式获取境外商用密码软件仍构成“进口”,但由于通过互联网获取境外商用密码软件本身不会通过海关,商务部门实操中难以施加监管;也有观点认为,使用境外商用密码软件并不属于“进口”,不需要获得进口许可证,理由是该软件并非有形产品,无法通过海关进口。此外,我们也注意到海关总署在其官方网站上明确,对于提供在线下载的软件等无形产品,不属于海关监管范围。总结而言,目前通过互联网获取境外商用密码软件在实践中定性尚不明确,但考虑到该等软件本身不会经由海关入境,实操中被纳入进口监管的可能性较低,有待监管部门进一步明确。
2. 境外商用密码产品的使用合规
(1)关键信息基础设施运营者使用商用密码产品
《网络安全法》提出了关键信息基础设施运营者(以下简称“CIIO”)的概念并对其施加了高于一般网络运营者的合规义务。在商用密码监管体系下,若CIIO按照有关规定使用商用密码保护其运营的关键信息基础设施,应注意特别的合规要求:
(1)应通过商用密码应用安全性评估(“密评”):密评是指对采用商用密码技术、产品和服务集成建设的网络与信息系统密码应用的合规性、正确性、有效性进行评估。CIIO应自行或者委托商用密码检测机构开展密评,运行后每年至少进行一次评估,并报送国家密码局或者关键信息基础设施所在地省级密码管理部门备案。
(2)检测认证合格:关键信息基础设施上使用的商用密码产品、服务应当经检测认证合格,使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码局审查鉴定。
(3)可能触发国家安全审查:CIIO采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当依法通过国家安全审查。
上述合规要求表面上并未明确区分境内或境外的商用密码产品,但如果CIIO使用境外商用密码产品保护其关键信息基础设施,在技术层面有一定可能无法通过前述密评、检测认证或国家安全审查。
举例而言,国家标准GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》是开展密评的纲领性标准,其第5条“通用要求”明确提出:信息系统中使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求;信息系统中使用的密码技术应遵循密码相关国家标准和行业标准。而境外商用密码产品采用的密码算法有一定可能并不符合我国的国家标准和行业标准,进而可能导致无法通过密评。
在此前项目中我们也曾就此问题匿名咨询过密码管理部门、密码行业标准化技术委员会以及部分检测认证机构,被告知若未使用国密算法(如SM1算法、SM2算法等),确实有一定可能无法通过检测认证或密评(具体以实际技术评估、专家评议为准)。
(2)网络安全等级保护相关的密码使用要求
信息网络系统的安全等级保护也与商用密码使用要求存在关联。《商用密码管理条例(2023)》第四十一条规定,网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。国家标准GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》规定了不同安全等级的网络应符合的安全要求。在第二级、第三级、第四级的安全通用要求中,该标准明确要求:应遵循密码相关国家标准和行业标准、应使用国家密码管理主管部门认证核准的密码技术和产品。类似本文第2.1部分讨论的场景,境外商用密码产品采用的密码技术有一定可能并不符合我国的国家标准和行业标准,进而可能导致网络系统无法满足网络安全等级保护的要求。
此外,《网络安全等级保护条例(征求意见稿)》第四十七条要求第三级以上网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务;第三级以上网络运营者应在网络规划、建设和运行阶段,按照密评管理办法和相关标准,委托密码应用安全性测评机构开展密评。如果该条例按当前文本正式生效,这意味着第三级以上网络将同时需要符合密评的要求——如我们在本文第2.1部分所介绍的,境外商用密码产品如未使用国密算法,将有一定可能导致第三级以上网络无法通过密评。
相较于国产的商用密码产品,目前的商用密码监管体系并未对境外商用密码产品的使用提出特别的合规要求。国内的使用者如通过合法渠道从海关进口境外商用密码产品并在必要的情况下取得两用物项的进口许可证(通过互联网获取境外商用密码软件的进口合规要求尚不明确),后续使用该境外商用密码产品本身暂不需要取得特定的行政许可或备案要求。但考虑到相关法律法规对CIIO及网络安全等级保护设定的合规要求可能会在技术层面间接地对商用密码使用提出要求,我们建议相关企业在使用境外商用密码产品时结合自身实际情况加以判断,在必要的情况下可事先与密评机构、商用密码检测认证机构以及网络安全等级测评机构进行沟通,以评估使用境外商用密码产品的潜在影响。
本文作者
傅广锐
声明:本文来自金杜研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表沃通CA立场,转载目的在于传递更多信息。如有侵权,请联系删除。