《中華人民共和國密碼法》已經於2019年10月26日由第十三屆全國人大常委會第十四次會議通過,並將於2020年1月1日起施行。《密碼法》確立的商用密碼法律制度,相較於1999年頒佈的《商用密碼管理條例》有着非常大的變化和十分明顯的進步。2017年下半年國家密碼管理局發佈的幾個商用密碼監管文件已經對《商用密碼管理條例》作了不小的修改,例如取消了商用密碼產品的“商用密碼科研定點單位證書”、“商用密碼產品生產定點單位證書”、“商用密碼產品銷售許可證”、“使用境外生產的密碼產品準用證”等;除此之外,《密碼法》還對商用密碼在以下幾個方面作出重要的實質性規定:
一、商用密碼標準
1、除國家標準和行業標準外,還可以制定商用密碼團體標準和企業標準
《密碼法》第二十二條規定,“國家支持社會團體、企業利用自主創新技術制定高於國家標準、行業標準相關技術要求的商用密碼團體標準、企業標準。”
2、中國商用密碼標準與國外商用密碼標準之間的關係
第二十三條規定,“國家推動參與商用密碼國際標準化活動,參與制定商用密碼國際標準,推進商用密碼中國標準與國外標準之間的轉化運用”。我們知道,中國的商密算法SM2、SM3、SM4、SM9等在成爲國際算法標準(ISO標準)中已經取得顯著的成績,國外的一些信息技術標準已經接納了中國的商密算法,如TCG(Trusted Computing Group)的TPM(Trusted Platform Module)標準。第二十三條也意味着同時推進將國外或者國際包括密碼算法在內的商用密碼標準轉化爲中國商用密碼標準,或者在中國標準中採用國外或者國際標準,這爲中國企業或者中國跨國企業把支持國密算法和國際算法的密碼產品推向國際市場鋪平了道路,也給支持國密算法和國際算法密碼產品的外國企業進入中國市場提供了機會。
二、商用密碼產品的監管與市場準入制度
按照目前實施的《商用密碼管理條例》及相關的規定,所有密碼產品都必須經指定密碼檢測機構的檢測合格,並且獲得密碼產品型號證書後,才能銷售到市場、提供給用戶。《密碼法》第二十六條規定,“涉及國家安全、國計民生、社會公共利益的商用密碼產品,應當依法列入網絡關鍵設備和網絡安全專用產品目錄,由具備資格的機構檢測認證合格後,方可銷售或者提供。”即,重要的密碼產品會列入到“網絡關鍵設備和網絡安全專用產品目錄”,按該目錄對應的監管制度或者市場準入制度通過檢測認證合格後才能銷售;而沒有列入該目錄的商用密碼產品則不要求經過此檢測認證即可銷售,但第二十五條“鼓勵商用密碼從業單位自願接受商用密碼檢測認證”,商用密碼產品廠商可以按照自己的意願或者爲滿足具體用戶的需求,自願送檢產品。
三、商用密碼產品的定義與“核心功能”
《商用密碼管理條例》沒有明確規定怎樣就算是“密碼產品”,爲此國家密碼管理局於2000年3月發文《關於商用密碼管理的有關問題》予以澄清:“納入本條例管理範圍的“密碼產品及含有密碼技術的設備”,只限於以加密解密操作爲核心功能的專用硬件、軟件,其他如無線手機、Windows軟件、瀏覽器軟件等都不在這個範圍之內。”但是,“核心功能”的解釋又衆說紛紜,難下結論。《密碼法》完美地終結了這一糾結,即凡列入“網絡關鍵設備和網絡安全專用產品目錄”的密碼產品都實行“強制性”檢測認證,所有不在此目錄內的,無論你是否稱其爲密碼產品,都可以自願申請檢測認證或者不去檢測認證。
四、作爲密碼產品檢測認證與作爲網絡關鍵設備和網絡安全專用產品(或者信息安全產品)檢測認證
在現法律環境下,商用密碼產品廠商往往將其產品,例如金融密碼機,送密碼產品檢測機構檢測認證,獲得密碼產品型號證書,同時也送檢信息安全產品檢測認證機構,獲得計算機信息系統安全專用產品銷售許可證或者信息安全產品強制性認證證書。按《密碼法》這隻需一次送檢,並且按現網絡關鍵設備和網絡安全專用產品檢測認證有關規定,產品檢測認證合格後將在網站上公佈,而不需要或者不一定需要證書或者許可證。但是,現密碼產品檢測認證時主要測試產品的加解密功能部分而非其他信息技術方面,而“信息安全產品”檢測認證中不檢測採用的密碼技術組件,《密碼法》實行後,相關的檢測認證流程、檢測認證標準和規範可能需要作較大調整。
另外,現網絡關鍵設備和網絡安全專用產品或者信息安全產品檢測認證機構往往沒有密碼產品或者密碼技術的檢測認證資格,按現行有關法規規定,採用密碼技術的網絡關鍵設備和網絡安全專用產品或者信息安全產品(注意不是密碼產品),必須再送到密碼產品檢測機構對其密碼部分或者密碼組件進行檢測,合格後,纔可能完成網絡關鍵設備和網絡安全專用產品或者信息安全產品的檢測認證流程。《密碼法》的實行將可能解決這一問題,使產品生產廠商送檢一次產品即可。
五、進口商用密碼產品
按《商用密碼管理條例》以及有關規定,國外/境外廠商生產的商用密碼產品,如要提供給國內用戶使用,必須獲得相應的進口許可,並且只能提供給在中國的外資企業、境外機構和個人。《密碼法》第二十八條規定:“國務院商務主管部門、國家密碼管理部門依法對涉及國家安全、社會公共利益且具有加密保護功能的商用密碼實施進口許可,……商用密碼進口許可清單……由國務院商務主管部門會同國家密碼管理部門和海關總署制定並公佈。大衆消費類產品所採用的商用密碼不實行進口許可和出口管制制度。”可見,凡是列入商用密碼進口許可清單的產品,都可以在獲得許可後進口,並且《密碼法》沒有進口商用密碼產品使用者的限制,看來中資企業和外資企業都可以使用進口商用密碼產品。看來,凡是沒有列入商用密碼進口許可清單的商用密碼(技術、產品和服務),都不再需要進口許可。
六、密碼產品的源代碼
按中國現行法規,生產廠商在送檢商用密碼產品時,必須向密碼產品檢測認證機構提交(如光盤)產品的源代碼,這引起國外廠商的憂慮。我們知道,在國際上和美國進行密碼產品FIPS 140-2檢測認證時,必須向檢測認證機構提供密碼產品的源代碼。外國機構和外國企業往往認爲,實施FIPS檢測認證的第三方實驗室都是獨立的,而中國的密碼產品檢測認證機構都有很強的政府背景,有將產品源代碼提供給政府的風險。《密碼法》第三十一條規定,“密碼管理部門和有關部門及其工作人員不得要求商用密碼從業單位和商用密碼檢測、認證機構向其披露源代碼等密碼相關專有信息,並對其在履行職責中知悉的商業祕密和個人隱私嚴格保密,不得泄露或者非法向他人提供。”這樣,就用法律的形式在政府部門及其工作人員與密碼檢測認證機構之間豎立起“源代碼等密碼相關專有信息”屏障,應該可以打消國外廠商的這一憂慮。
同時,通過學習本人認爲這部《密碼法》尚有些遺憾、遺漏的地方,在此提出討論一下,可能有理解不到位和理解錯誤之處:
一、有關商用密碼的章節中沒有對政府機構的要求
《密碼法》全文中沒有見到在商用密碼方面對國家機構/政府機構的要求,第二十七條“開展商用密碼應用安全性評估”和“國家安全審查”的規定只要求關鍵信息基礎設施的運營者。這裏的“國家機構/政府機構”可以包括行政機構、黨團、政協、青工婦、社團協會以及國家科研機構等,這些機構除了使用核心密碼和普通密碼外,實際上還使用了大量的商用密碼。將這些機構往往也很“關鍵”,將其排除在《密碼法》規定的商用密碼法律要求之外,是否其使用商用密碼不需要監管?或是要在《密碼法》框架之外另建一個體系?
二、誰來實施商用密碼應用安全性評估
第二十七條規定,“法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委託商用密碼檢測機構開展商用密碼應用安全性評估。”
1、其中的“商用密碼檢測機構”,從第二十五條看,應該是“商用密碼檢測、認證機構”中的“商用密碼檢測”機構,負責商用密碼技術、產品和服務的檢測認證。通常,負責產品安全檢測認證的機構與負責系統安全評估的機構不同,機構的專業人員組成差別很大,例如負責信息安全產品檢測認證的機構和人員,與負責網絡安全等級保護測評的機構和人員往往不是一個單位或者不是一個團隊。
2、第二十七條規定商用密碼應用安全性評估可以由運營者“自行”評估,也可以由運營者委託他人評估,這就說明應該由運營者來承擔評估的結果;從邏輯上講,既然沒有資質的運營者可以評估,那麼就沒有必要一定要求其委託的第三方也要獲得什麼資質,例如運營者也可以外聘幾個專家一起來自行評估。《關鍵信息基礎設施保護條例(徵求意見稿)》規定,運營者應當自行或者委託網絡安全服務機構每年至少進行一次網絡安全檢測和風險評估,並沒有對被委託的網絡安全服務機構提出資質要求。(網絡安全等級保護的年度測評,主要的都必須委託具有資質的第三方機構進行。)而《密碼法》中的“商用密碼檢測機構”按第二十五條規定則“應當依法取得相關資質”。
3、第二十七條還規定,“商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接,避免重複評估、測評。”爲達到此目的,運營者如果不進行自行評估的話,最好委託一個第三方評測/評估機構同時進行網絡安全等級保護測評、關鍵信息基礎設施保護檢測評估和商用密碼應用安全性評估,但是全國那麼多網絡安全等級保護測評機構以及以後確定的關鍵信息基礎設施保護檢測評估機構,是否能夠同時也具備檢測認證商用密碼技術、產品和服務的能力並獲得資質,還是個大問題。另外,《密碼法》中沒有規定商用密碼應用安全性評估的頻率,如果明確每年進行一次,就“與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接”了。
所以,也許改成“自行或者委託第三方評估機構(每年至少)開展(一次)商用密碼應用安全性評估”更好。
三、“商用密碼服務”及其認證
什麼是“商用密碼服務”?《密碼法(草案)》第二十六條第二款表述,“用於網絡關鍵設備和網絡安全專用產品的商用密碼服務,應當由商用密碼認證、檢測機構安全認證合格或者安全檢測符合要求後,方可提供。”看上去,商用密碼服務好像指網絡關鍵設備和網絡安全專用產品採用的密碼技術或者組件所給網絡關鍵設備和網絡安全專用產品提供的密碼“服務”,類似於信息安全產品中採用的密碼技術部分必須經密碼檢測機構檢測合格的制度。《密碼法》第二十六條第二款修改爲:“商用密碼服務使用網絡關鍵設備和網絡安全專用產品的,應當經商用密碼認證機構對該商用密碼服務認證合格。”從這裏看,意思是商用密碼服務本身應當經過認證合格,而不是網絡關鍵設備和網絡安全專用產品或者其中的某部分。但“商用密碼服務”究竟指什麼,《密碼法》文本沒有給出,“全國人民代表大會憲法和法律委員會關於《中華人民共和國密碼法(草案)》審議結果的報告”中也沒有解釋。
一般來說,“密碼產品”包括密碼芯片、密碼模塊、密碼服務系統三個部分;而“密碼服務系統”通常有CA(Certificate Authority)系統、電子簽章系統、動態口令認證系統等。本人認爲,狹義的“商用密碼服務”,即指利用商用密碼服務系統來提供的密碼服務;廣義上講,還可能包括爲用戶提供密碼系統集成服務、密碼系統和產品的支撐維護服務,以及網絡服務商(例如網站)爲直接用戶提供的SSL服務等。從《密碼法》上下文和第三十六條來看,本人認爲“商用密碼服務”很有可能是指以上的狹義概念,並且目前這些服務的提供者也是需要資質的,即“商用密碼服務”應當認證合格。但是,無論從廣義含義還是狹義含義,“商用密碼服務”的認證與否,與使用網絡關鍵設備和網絡安全專用產品都沒有必然聯繫,理論上講無論是否使用網絡關鍵設備和網絡安全專用產品,只要屬於“商用密碼服務”,都應當經過認證,儘管以後重要的密碼產品將要列入網絡關鍵設備和網絡安全專用產品目錄,且“商用密碼服務”系統有可能或者有必要使用這些產品。所以,假如這一段改爲“提供商用密碼服務的,應當經商用密碼認證機構對該商用密碼服務認證合格”,以後再解釋“商用密碼服務”指什麼,就足夠清楚了,還不會導致誤解。
另外,這裏的“商用密碼認證機構”應該是第二十五條“商用祕密檢測、認證機構”中的“認證機構”吧。建議以後釐清服務認證與產品檢測認證的關係,並且該“商用密碼認證機構”不能只有一個,至少需要設置兩個,否則將違反《認證認可條例》。
四、商用密碼應用安全性評估報告
第三十一條規定,“密碼管理部門和有關部門建立日常監管和隨機抽查相結合的商用密碼事中事後監管制度,建立統一的商用密碼監督管理信息平臺,推進事中事後監管與社會信用體系相銜接,強化商用密碼從業單位自律和社會監督。”
《密碼法》中沒有商用密碼應用安全性評估報告需提交(備案)給密碼管理部門的要求,這使得密碼管理部門的“日常監管和隨機抽查”、“事中事後監管”工作缺失一個重要依據和啓動點。網絡安全等級保護要求測評報告的備案和提交,《關鍵信息基礎設施保護條例(徵求意見稿)》要求按保護工作部門的要求報送檢測評估情況。據說下一步《商用密碼管理條例》要進行修訂,假如在條例或規章中增加《密碼法》中沒有規定、沒有授權的商用密碼應用安全性評估報告報送制度,可能有增加運營者責任、下位法超越上位法,以及與《立法法》要求不符的嫌疑。
另外,《密碼法》中尚有些描述不嚴謹、不清晰之處,有待以後再斟酌。