密码法草案
2019年7月5日,全国人民代表大会常务委员会正式通过并发布。
————
关于《密码法》的立法沿革以及体例,可以参考本号6月26日发布的《密码法出台倒计时,e签宝为电子签章安全化保驾护航》一文里面的分析。
其实,早在2017年9月,国务院便通过《国务院关于取消一批行政许可事项的决定》(国发[2017]46号,以下简称“国务院46号令”),将商业密码领域的监管重点从“管企业”转向为“管产品”。
而本次《密码法(草案)》的出台与前述商用密码监管一脉相承,很好的体现了监管重点的转型与立法的包容审慎性。
(一)
“商密三证”的起源
早在1999年,国务院出台了《商用密码管理条例》(国务院令第273号,以下简称“国务院273号令”),其中第七条、第八条、第十一条规定了国家对商用密码产品的科研、生产、销售和使用实行专控管理,需要办理相关许可证书。
这里所指的证书这也就是我们惯常所说的“商密三证”,分别是:
1、《商用密码产品生产定点单位证书》
法律依据:
第七条 商用密码产品由国家密码管理机构指定的单位生产。未经指定,任何单位或者个人不得生产商用密码产品。
2、《商用密码产品型号证书》
法律依据:
第八条 商用密码产品指定生产单位生产的商用密码产品的品种和型号,必须经国家密码管理机构批准,并不得超过批准范围生产商用密码产品
3、《商用密码产品销售许可证》
法律依据:
第十一条 销售商用密码产品,应当向国家密码管理机构提出申请,并应当具备下列条件:
(一)有熟悉商用密码产品知识和承担售后服务的人员;
(二)有完善的销售服务和安全管理规章制度;
(三)有独立的法人资格。经审查合格的单位,由国家密码管理机构发给《商用密码产品销售许可证》。
(二)
“管企业”转向为“管产品”
根据《国务院46号令》的规定,国务院取消了商用密码产品生产单位审批、商用密码产品销售单位许可的行政审批。
并且,为保持立法层面的统一性,2019年出台的《密码法(草案)》取消了在销售、使用商用密码产品领域的行政许可。具体比对如下:
2017年的《密码法(征求意见稿)》
第十一条 国家密码管理部门对销售或者在经营活动中使用的商用密码产品,以及从事商用密码服务的机构实施许可。商用密码产品、服务管理目录由国家密码管理部门制定并公布。
2019年出台的《密码法(草案)》
第二十四条 商用密码从业单位从事商用密码科研、生产、销售、服务、进出口等活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及从业单位公开标准的技术要求。
鉴于《密码法(草案)》第二十四条规定销售、使用商用密码产品行为应当符合有关法律、行政法规的要求。
因此,实践操作中,国家密码管理部门仍保留对于密码产品的监管:
1、境内企业生产、销售商用密码产品的,产品本身仍应当办理《商用密码产品型号证书》;
2、外商投资企业、境外组织和个人需要从境外进口密码产品或者含有密码技术的设备自用的,该产品或设备仍应当办理《密码产品和含有密码技术的设备进口许可证》。
(三)
“管企业”并未松懈
虽然国家密码管理局取消了“商用密码产品生产单位审批”、“商用密码产品销售单位许可”及“外商投资企业使用境外密码产品审批”等事前审批。
但是,根据《国家密码管理局关于做好商用密码产品生产单位审批等4项行政许可取消后相关管理政策衔接工作的通知》(国密局字[2017]336号)附件一及附加二的规定,国家密码管理局决定对公用密码生产单位及销售单位采取以下措施加强事中事后监管:
1、强化商用密码产品品种型号审批
加强商用密码产品审批管理,强化对商用密码产品生产企业生产能力和质量保证能力核查,确保审批的商用密码产品的质量。修订完善商用密码产品标准规范,公开发布标准规范文本。
2、加大商用密码产品“双随机”抽查力度
全面落实“双随机一公开”制度,完善抽查内容和方式,及时向社会公开发布抽查情况和抽查结果,对抽查中发现的问题提出整改要求,并对整改情况进行跟踪核查。
3、充分发挥行业组织自律作用
积极推进商用密码行业协会/联盟建设,引导、鼓励商用密码产品生产企业自愿加入行业协会/联盟,推行诚信公约,发挥行业自律作用,探索实行商用密码产品生产企业承诺制度。
4、建立信用体系,实行“黑名单”制度,加强社会监督
将行政审批结果、监督检查情况等情况及时向社会公示,同时将经查实的失信企业列入“黑名单”,进行重点监控,并将信用信息推送至国家企业信用信息公示系统,与相关部门实现信息共享。
5、健全完善投诉举报制度
完善投诉举报制度,畅通投诉举报渠道,明确投诉举报处理流程。对群众的投诉举报,属于职权范围的,及时受理,认真调查核实,并在法定期限内处理、答复。
6、加大违法违规查处力度
对商用密码产品生产企业违反商用密码管理法规行为的,依照相关法律法规予以处理,公开处理结果,增强执法威慑力。
7、加强政策宣传解读
通过门户网站发布政策法规,列明示范文本、服务指南、常见问题等。通过电话、网络等多种途径,解答疑难问题,引导商用密码产品生产企业依法依规生产商用密码产品。
(四)
“管产品”更要合规
根据《密码法(草案)》第二十五条、第二十七条、第二十八条的规定,商用密码进行保护关键信息基础设施的运营者应当开展商用密码应用安全性评估,并且网络关键设备和网络安全专用产品的商用密码服务需要实行强制检测、认证制度。
密码产品的监管要求具体如下:
1、使用网络关键设备和网络安全专用产品的商用密码服务实行强制检测、认证制度;其他商用密码从业单位实行自愿检测、认证制度。
法律依据:
《密码法(草案)》第二十五条、第二十六条
2、使用商用密码进行保护的关键信息基础设施的运营者,应当依照《信息系统密码应用基本要求》(GM/T 0054-2018)开展商用密码应用安全性评估。
法律依据:
《密码法(草案)》第二十七条
3、商务部、国家密码管理局对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可、出口管制清单制度。
法律依据:
《密码法(草案)》第二十八条
4、密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督。
法律依据:
《密码法(草案)》第三十一条
(五)
网上查询更方便
此外,我们提醒大家注意,目前国家密码管理局已经开通了商用密码产品品种和型号审批的查询入口,在国家密码管理局官网(www.sca.gov.cn)→在线服务→行政审批结果查询栏目中,用户可以方便的通过企业名称查询到企业是否已经取得商用密码产品型号证书。
▲查询入口
▲证书示例:
根据前述规定,一方面国家密码管理局取消了“商用密码产品生产单位审批”、“商用密码产品销售单位许可”及“外商投资企业使用境外密码产品审批”等事前审批,体现了国家简政放权的治理理念。
不过,取消行政许可并不代表已取得的证书就失效了,已取得的证书仍代表了国家对企业的技术能力、管理水平的肯定。
但是另一方面,国家密码管理局又通过“双随机”、“黑名单”等制度加强了对公用密码生产单位及销售单位的事中、事后监管。
另外,国家密码管理局对于商用密码产品型号监管并未放松,企业生产、销售的商用密码产品仍应依法办理《商用密码产品型号证书》。
e签宝是业内产品型号证书最齐全的电子签名企业,覆盖公有云、混合云全系列产品。支持行业合规化发展,为推进行业快速进入合规化新阶段助力。
完善信息立即免费体验!
提交成功!
我们的顾问会在1个工作日内与您取得联系
完善信息立即免费体验!