取消部分審批許可后的商密管理合規與《網絡安全法》的若干問題

原 浩

(江蘇竹輝律師事務所 江蘇蘇州 215008) (laware@qq.com)

1 取消審批許可概述

2017年9月29日，國務院發布(國發〔2017〕46號)《關于取消一批行政許可事項的決定》(以下簡稱“《決定》”)，取消了商用密碼產品生產單位審批、商用密碼產品銷售單位許可、外商投資企業使用境外密碼產品審批、境外組織和個人在華使用密碼產品或者含有密碼技術的設備審批4項涉及商用密碼事項，被認為是對《商用密碼管理條例》上位法的《密碼法》(草案)第11條、第16條的提前調整[1].其中涉及外資企業、境外實體2類“涉外”主體在境內的3種行為：1)生產審批(含研發)；2)銷售許可；3)使用密碼(產品和技術)審批.事實上，除上述3種行為外，還包括各類主體的一種涉外行為，即出口許可.

2 監管模式調整與合規要求

2.1 從側重主體監管向行為監管遷移

按照《決定》和2017年10月12日國家密碼管理局發布(國密局字 〔2017〕336號)《關于做好商用密碼產品生產單位審批等4項行政許可取消后相關管理政策銜接工作的通知》[2](以下簡稱“《通知》”)的內容，對相關問題提出以下幾點要求：1)“生產、銷售商用密碼產品的單位無需再經國家密碼管理局批準”；2)“外商投資企業使用境外生產的密碼產品、境外組織和個人使用密碼產品或者含有密碼技術的設備，無需再經國家密碼管理局批準”.

基于以上理解，在《決定》和《通知》實施后，商用密碼對主體要求準用《商用密碼產品品種和型號審批服務指南》[3]規定的3項條件：1)具有獨立的法人資格；2)具有與開發、生產商用密碼產品相適應的技術力量和場所；3)具有確保商用密碼產品質量的設備、生產工藝和質量保證體系.即體現“從管企業改為重點管產品，加強密碼產品的標準規范和檢測認證體系建設，強化商用密碼產品許可審批，未經許可不準進入市場銷售，嚴把密碼產品市場準入關口”的指導思想，這也與《出口管制法》(草案)[4]體現的許可加清單監管模式趨于接近.

2.2 從注重事前控制轉向全程監管

在取消審批、許可等前置條件和程序后，如何實施事中、事后的全程監管，主要體現在以下4個方面：

第一是明確實質審查規定.按照《商用密碼產品品種和型號審批服務指南》，對商密產品：1)申請品種和型號的商用密碼產品由具有相應開發、生產能力的單位生產；2)商用密碼產品通過國家密碼管理局安全性審查；3)商用密碼產品應采用經國家密碼管理局認可的算法，并應符合相關密碼標準規范；4)符合國家相關法律法規和政策要求.其中的核心規定即在于“安全性”的實質審查和(國標)標準化的算法要素.

第二是質量檢測程序.按照《商用密碼管理條例》，商用密碼產品，必須經國家密碼管理機構指定的產品質量檢測機構檢測合格.據此檢測為合法合規生產、銷售的條件.這一規定將會按照《網絡安全法》第22條、第23條，《網絡關鍵設備和網絡安全專用產品目錄》(第一批目錄并未直接涉及密碼技術或產品范圍的技術屬性)，網絡安全等級保護(可參見2007年《信息安全等級保護管理辦法》第37條、第38條，起草中的網絡安全等級保護條例、《信息安全技術 網絡安全等級保護實施指南》(征求意見稿))進一步細化和銜接.例如按照《網絡安全法》第23條規定：“網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供.國家網信部門會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄，并推動安全認證和安全檢測結果互認，避免重復認證、檢測”，據此商用密碼產品(如作為網絡關鍵設備或安全專用產品的)經認證的，是否即可視為符合質量程序，在適用不同法律規定時就會出現分歧.因為檢測和認證所適用的法律路徑、過程要求和發起、報送機構均有不同.

第三是強化市場監管和建立黑名單制度.按照《決定》要求，國家密碼局應：1)強化市場監管措施，加大商用密碼產品“雙隨機、一公開”抽查力度；2)建立信用體系，實行“黑名單”制度，加強社會監督，對違法違規行為加大處罰力度，充分發揮行業組織作用.例如按照新近一期國家密碼管理局《關于開展2017年度商用密碼隨機抽查工作的通知》[5]，明確為加強商用密碼事中事后監管，促進商用密碼健康發展，其2017年商用密碼隨機抽查范圍包括商用密碼產品、進口密碼產品和含有密碼技術的設備的單位.抽查事項包括商用密碼產品的合法合規性以及進口密碼產品和含有密碼技術的設備合法合規性.

第四是實施銷售登記備案制度.《通知》要求，取得《商用密碼產品型號證書》的單位應當于每年1月31日前向所在地的省、自治區、直轄市密碼管理部門如實報送上一年度商用密碼產品銷售登記備案數據.除此之外，還包括投訴舉報、違法違規查處等常規的法律責任內容.

因此，整體而言盡管主體形式審查取消，但實質審查程序和過程監管仍然存在，并會隨著《網絡安全法》的施行增大力度和執法彈性.

2.3 統一《商用密碼產品型號證書》的取得

按照《決定》和《通知》的要求，生產、銷售商用密碼產品的單位無需再經國家密碼管理局批準，但生產、銷售的商用密碼產品仍應當依法辦理《商用密碼產品型號證書》.與此呼應的是，2017年11月3日在第55次ISOIEC聯合技術委員會信息安全技術分委員會(SC27)德國柏林會議上，含有我國SM2與SM9數字簽名算法的ISOIEC14888-3AMD1《帶附錄的數字簽名第3部分：基于離散對數的機制—補篇1》獲得一致通過成為ISOIEC國際標準，進入標準發布階段[6].可以預見，隨著我國在密碼技術和網絡空間安全領域的國際合作和交流的進一步深入，基于標準的密碼產品研發、生產和銷售的境內外主體差異將進一步縮小，統一《商用密碼產品型號證書》的取得有利于商用密碼和網絡安全產品、服務市場的彈性監管和創新繁榮.同時，從美國出口監管法和《出口監管規則》(EAR)的密碼監管政策立法看，2000年以來有的放矢的“適度放松”正是沿著標準化的路徑演化，密碼標準化無疑有利于進出口監管，今后也將持續成為各國的慣常措施.作為除外規定，EAR License Exceptions (Part 740)“ (b)登記、分類和自評估”中(2)非標準密碼(non-standard cryptography)”[7]，則對非標準密碼要求登記、分類和自評估的嚴格限制.

2.4 進口密碼產品的審批許可

按照《決定》和《通知》，國家密碼局規定：1)加強對進口密碼產品的審批，健全相關制度，未經許可不得進口；2)如需使用境外密碼產品和含有密碼技術的設備，必須是已取得國家密碼局進口許可的密碼產品和含有密碼技術的設備；3)外商投資企業、境外組織和個人使用的密碼產品或者含有密碼技術的設備需要從境外進口的，仍應當依法辦理《密碼產品和含有密碼技術的設備進口許可證》.

從目前來看，對密碼進口的監管(批準條件)主要涉及主體、最終用途和負面清單幾個方面，按照《密碼產品和含有密碼技術的設備進口許可服務指南》規定：1)進口申請人是外商投資企業、境外組織或個人；2)進口的產品供外商投資企業、境外組織或個人自用，不得轉讓；3)進口的產品不會危害或者可能危害國家安全、社會公共利益.對如何進行自用的最終用途和不會危害國家安全、社會公共利益的“技術審查”，《密碼產品和含有密碼技術的設備進口許可證》主要是從商品名稱、版本型號、商品編號、數量和計量單位進行統計，實際上則進一步涉及加密方法、類型、技術描述、性能指標、密鑰長度、協議、產品部署、最終用戶和產品最終用途(區分基礎信息網絡、重要信息系統)等審查.

值得注意的是：1)上述規定未將境內實體通過網絡下載等在線傳輸方式界定為進口；2)如符合《商用密碼管理條例》“任何單位或者個人不得銷售境外的密碼產品”要求的條件，境內銷售的(例如含有密碼技術或加密組件的智能手機等終端設備)，應考慮銷售協議、銷售記錄和信息的保留與報告，以符合抽查的要求；3)同時對“自用”而言，由于密碼產品和技術的應用主要在于加密傳輸(和認證)，則必然與《網絡安全法》所規定的數據本地化、數據跨境傳輸產生關聯(見下文).

2.5 出口許可

《商用密碼管理條例》第13條規定：“進口密碼產品以及含有密碼技術的設備或者出口商用密碼產品，必須報經國家密碼管理機構批準.”《商用密碼產品出口許可服務指南》進一步規定，出口許可的批準條件為：1)出口的產品不會危害或者可能危害國家安全、社會公共利益；2)出口的產品通過國家密碼管理局的審批；3)產品出口到境外最終用戶的過程中，如有多個中間方參與，申請人應當提供每個環節的合同或者協議.

值得注意的是：1)密碼出口對主體未作明確限制，內資實體與外資、境外實體的出口在實質上可能有所不同，例如前者可能涉及國家國際責任的問題，后者對進口密碼用于跨境數據傳輸的是否認定為出口的問題；2)對于非標準密碼，可能涉及嚴格的審批和技術審查程序，而隨著密碼標準化的推進，未來則可能有規范可行的快捷方式可循，在這種情況下，取得最終用戶承諾亦顯得更為重要，盡管承諾的協議方式歸為“軟法”，但在涉及國家安全、公眾利益等實質審查中，各國均視其為有效的監管和追責方式.

3 密碼監管的數據本地化與跨境傳輸問題

對于外資和境外實體而言，密碼產品和技術的用途除用于“含有加密功能的信息技術產品”、服務銷售外，還可能涉及《網絡安全法》所稱的個人信息、重要數據按照《個人信息和重要數據出境安全評估辦法》(征求意見稿)(“《辦法》”)所稱的數據存儲和數據向境外提供的情形(此需求一般理解為前述的“自用”，但應涉及不同主體之間的數據交換，故對“自用”的范圍理解可能會產生分歧和風險)，因此將按照《辦法》進行安全評估.按照通常理解：1)密碼產品和技術本身可能作為重要數據而進行評估；2)密碼技術的應用加劇了數據出境評估的難度(成本).

結合《商用密碼管理條例》和《辦法》第8條的規定，涉及密碼的出境評估應需要重點考慮：1)數據接收方的安全保護措施、能力和水平，以及所在國家和地區的網絡安全環境等，特別是其密碼分析能力、執法機關的協助要求(法律——例如有無要求運營商強制解密的規定，美國1994《通信協助執法法》(Communication Assistance for Law Enforcement Act)的規定即有別于我國《國家安全法》《網絡安全法》)[8]等；2)數據出境及出境數據匯聚可能對國家安全、社會公共利益、個人合法利益帶來的風險——此與前述《商用密碼管理條例》的技術審查條款直接對應.此外，《辦法》第12條規定網絡運營者應根據業務發展和網絡運營情況，每年對數據出境至少進行一次安全評估，及時將評估情況報行業主管或監管部門的規定也將適用于前述密碼進口和出口的情形.而對于行業主管或監管部門組織的安全評估，如何對加密數據進行重要數據的判定和評估，也將極具挑戰.

4 結 語

綜上，在密碼技術標準化和監管精細化的國際背景下，隨著《決定》具體落實和《網絡安全法》配套制度的制定與推進，在密碼監管領域將不可避免地對外資和境外實體產生沖擊，商用密碼技術屬于國家秘密，和“商用密碼用于保護不屬于國家秘密的信息”的特性，以及密碼產品和技術應用的普遍化加劇了這一趨勢，企業對密碼合規的需求應綜合《網絡安全法》(配套制度、標準)、《密碼法》(草案)、《出口管制法》(草案)等早日提上議程.

[1]國家密碼管理局. 關于《中華人民共和國密碼法(草案征求意見稿)》公開征求意見的通知[OL]. (2017-04-28) [2017-11-18].http:www.oscca.gov.cnscahdjl2017-0428content_1011759.shtml

[2]國家密碼管理局. 國家密碼管理局關于做好商用密碼產品生產單位審批等4項行政許可取消后相關管理政策銜接工作的通知[OL]. (2017-10-11) [2017-11-18].http:www.sca.gov.cnscaxwdt2017-1011content_1015813.shtml

[3]國家密碼管理局. 商用密碼產品品種和型號審批服務指南[OL]. (2017-12-05) [2018-01-05]. http:sca.gov.cnscac1000602016111002474filesa290fd28d5ad4c6ebe22d 89bdf8a2c70.pdf

[4]商務部條約法律司. 商務部關于就出口管制法(草案征求意見稿)公開征求意見的通知[OL]. (2017-06-20) [2017-11-08]. http:tfs.mofcom.gov.cnarticleas20170620170602594467.shtml

[5]國家密碼管理局. 關于開展2017年度商用密碼隨機抽查工作的通知(國密局字 〔2017〕292號)(含《2017年商用密碼隨機抽查事項清單》)[OL]. (2017-09-14) [2017-11-29]. http:www.oscca.gov.cnscaxwdt2017-0914content_1015811.shtml

[6]國家密碼管理局. 我國SM2和SM9數字簽名算法正式成為ISOIEC國際標準[OL]. (2017-11-17)[2017-12-19]. http:www.oscca.gov.cnscaxwdt2017-1117content_1019960.shtml

[7]BIS.《出口監管規則》 (EAR) License Exceptions (Part 740) (b)[OL].[2017-12-31]. https:www.bis.doc.govindex.phpdocumentsregulation-docs415-part-740-license-exceptionsfile

[8]全國信息安全標準化技術委員會.信息安全技術 數據出境安全評估指南(草案).5.2.6.2 重要數據：該國家或地區政府，包括執法、國防、國家安全等部門調取數據的法律權力[OL]. (2017-08-30) [2017-12-03]. http:www.tc260.org.cnfile20170830203000000004.docx

原浩

碩士研究生，主要研究方向為高新技術企業與信息網絡安全法律實務.

laware@qq.com