国务院总理李强日前签署国务院令,公布修订后的《商用密码管理条例》(以下简称《条例》),自 2023年7月1日 起施行。《条例》是对密码法的进一步细化,也是对我国商用密码管理体系系统性、整体性、长期性思考的体现。《条例》的颁布实施是商用密码发展新的里程碑,进一步完善了商用密码科技创新的体制机制,为加强商用密码科技自主创新、促进商用密码与新兴技术融合、推动商用密码产业发展和人才培养等提供了有力制度保障,将极大促进商用密码科技蓬勃发展。
《条例》发布带来六大重要变化
近年来,商用密码应用愈发广泛,在保障网络和信息安全、维护公民和法*权人**益方面的重要性日益凸显。随着《条例》的正式发布,将进一步规范密码应用市场,带来以下重要变化。
1.变“推荐性”为“强制化”,推进商用密码应用安全性评估
《条例》中明确规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施都被要求“自行或者委托商用密码检测机构开展商用密码应用安全性评估”。
2.鼓励使用商密保护网络安全,密评、等保和关保加强衔接
《条例》坚持总体国家安全观,统筹发展和安全,一方面规定网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。另一方面,明确商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接,避免重复评估、测评。
3.细化检测认证制度,鼓励自愿接受
修订后的《条例》取消了原《条例》设置的商用密码产品生产单位审批、商用密码产品销售单位许可、商用密码产品品种和型号审批,实行商用密码检测认证制度。《条例》修订为一是推进商用密码检测认证体系建设,鼓励在商用密码活动中自愿接受商用密码检测认证;二是明确商用密码检测、认证机构资质审批条件、程序及其从业规范。
4.加强电子认证管理,提升电子认证服务
《条例》规定,明确电子认证服务使用密码要求和使用规范;明确电子政务电子认证服务机构的资质审批条件、程序及其从业规范;明确建立电子认证信任机制,推动电子认证服务互信互认;明确政务活动中电子签名、电子印章、电子证照等涉及的电子认证服务要求。
5.“批准制”为“清单制”,放宽进出口管控要求
《条例》规定,涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可;国务院商务主管部门会同国家密码管理部门和海关总署制定商用密码进口许可清单和出口管制清单。
6.创新监督管理方式,聚焦监管检查内容
为了贯彻落实行政审批制度改革精神,加强事前事中事后监管,《条例》规定了密码管理部门和有关部门的商用密码监督管理职责权限;明确推进商用密码监督管理与社会信用体系相衔接;明确有关部门不得要求商用密码科研、生产、销售、服务、进出口等单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密。
密评应当与等保、关保加强衔接
《条例》直接体现了等保2.0的要求,网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。同时,《条例》也将商用密码应用安全性评估的范围予以扩展。《密码法》第27条仅规定使用商用密码进行保护的关键信息基础设施,自行或者委托商用密码检测机构开展商用密码应用安全性评估。而在《条例》中,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施都被要求“自行或者委托商用密码检测机构开展商用密码应用安全性评估”。
此外,《条例》明确规定,将商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接,避免重复评估、测评。
注重多规管理融合,一次测评多规满足
安全是整体,合规是基准。《条例》要求密评、关保、等保应当加强衔接,避免重复评估、测评。道普信息风险管控专家建议,可以借助专业的第三方风险管控服务,采取多规管理融合手段, 基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求,从“合规规划、合规实施、结果管理、合规跟踪”四个维度,开展等保、密码、关保测评 ,针对风险提出改进建议,帮助完成合规整改,响应《条例》要求,做到一次测评,多规满足,避免了重复测评带来的时间和经济额外成本。
本次《条例》的发布,进一步促进了我国商用密码应用安全保障的法律体系建设,保障商用密码在网络与信息系统中广泛应用,维护国家主权、安全和发展利益。道普信息作为国内具备关保、分保、等保、软测、密评(三保一测一评)综合能力的专业机构,在《条例》的指引下,将积极推进密评、关保、等保的融合实践,对商用密码相关研究及应用场景的持续探索与创新,更好地为我国数字经济保驾护航。