《中华人民共和国密码法》已经于2019年10月26日由第十三届全国人大常委会第十四次会议通过,并将于2020年1月1日起施行。《密码法》确立的商用密码法律制度,相较于1999年颁布的《商用密码管理条例》有着非常大的变化和十分明显的进步。2017年下半年国家密码管理局发布的几个商用密码监管文件已经对《商用密码管理条例》作了不小的修改,例如取消了商用密码产品的“商用密码科研定点单位证书”、“商用密码产品生产定点单位证书”、“商用密码产品销售许可证”、“使用境外生产的密码产品准用证”等;除此之外,《密码法》还对商用密码在以下几个方面作出重要的实质性规定:
一、商用密码标准
1、除国家标准和行业标准外,还可以制定商用密码团体标准和企业标准
《密码法》第二十二条规定,“国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。”
2、中国商用密码标准与国外商用密码标准之间的关系
第二十三条规定,“国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用”。我们知道,中国的商密算法SM2、SM3、SM4、SM9等在成为国际算法标准(ISO标准)中已经取得显著的成绩,国外的一些信息技术标准已经接纳了中国的商密算法,如TCG(Trusted Computing Group)的TPM(Trusted Platform Module)标准。第二十三条也意味着同时推进将国外或者国际包括密码算法在内的商用密码标准转化为中国商用密码标准,或者在中国标准中采用国外或者国际标准,这为中国企业或者中国跨国企业把支持国密算法和国际算法的密码产品推向国际市场铺平了道路,也给支持国密算法和国际算法密码产品的外国企业进入中国市场提供了机会。
二、商用密码产品的监管与市场准入制度
按照目前实施的《商用密码管理条例》及相关的规定,所有密码产品都必须经指定密码检测机构的检测合格,并且获得密码产品型号证书后,才能销售到市场、提供给用户。《密码法》第二十六条规定,“涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。”即,重要的密码产品会列入到“网络关键设备和网络安全专用产品目录”,按该目录对应的监管制度或者市场准入制度通过检测认证合格后才能销售;而没有列入该目录的商用密码产品则不要求经过此检测认证即可销售,但第二十五条“鼓励商用密码从业单位自愿接受商用密码检测认证”,商用密码产品厂商可以按照自己的意愿或者为满足具体用户的需求,自愿送检产品。
三、商用密码产品的定义与“核心功能”
《商用密码管理条例》没有明确规定怎样就算是“密码产品”,为此国家密码管理局于2000年3月发文《关于商用密码管理的有关问题》予以澄清:“纳入本条例管理范围的“密码产品及含有密码技术的设备”,只限于以加密解密操作为核心功能的专用硬件、软件,其他如无线手机、Windows软件、浏览器软件等都不在这个范围之内。”但是,“核心功能”的解释又众说纷纭,难下结论。《密码法》完美地终结了这一纠结,即凡列入“网络关键设备和网络安全专用产品目录”的密码产品都实行“强制性”检测认证,所有不在此目录内的,无论你是否称其为密码产品,都可以自愿申请检测认证或者不去检测认证。
四、作为密码产品检测认证与作为网络关键设备和网络安全专用产品(或者信息安全产品)检测认证
在现法律环境下,商用密码产品厂商往往将其产品,例如金融密码机,送密码产品检测机构检测认证,获得密码产品型号证书,同时也送检信息安全产品检测认证机构,获得计算机信息系统安全专用产品销售许可证或者信息安全产品强制性认证证书。按《密码法》这只需一次送检,并且按现网络关键设备和网络安全专用产品检测认证有关规定,产品检测认证合格后将在网站上公布,而不需要或者不一定需要证书或者许可证。但是,现密码产品检测认证时主要测试产品的加解密功能部分而非其他信息技术方面,而“信息安全产品”检测认证中不检测采用的密码技术组件,《密码法》实行后,相关的检测认证流程、检测认证标准和规范可能需要作较大调整。
另外,现网络关键设备和网络安全专用产品或者信息安全产品检测认证机构往往没有密码产品或者密码技术的检测认证资格,按现行有关法规规定,采用密码技术的网络关键设备和网络安全专用产品或者信息安全产品(注意不是密码产品),必须再送到密码产品检测机构对其密码部分或者密码组件进行检测,合格后,才可能完成网络关键设备和网络安全专用产品或者信息安全产品的检测认证流程。《密码法》的实行将可能解决这一问题,使产品生产厂商送检一次产品即可。
五、进口商用密码产品
按《商用密码管理条例》以及有关规定,国外/境外厂商生产的商用密码产品,如要提供给国内用户使用,必须获得相应的进口许可,并且只能提供给在中国的外资企业、境外机构和个人。《密码法》第二十八条规定:“国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,……商用密码进口许可清单……由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。”可见,凡是列入商用密码进口许可清单的产品,都可以在获得许可后进口,并且《密码法》没有进口商用密码产品使用者的限制,看来中资企业和外资企业都可以使用进口商用密码产品。看来,凡是没有列入商用密码进口许可清单的商用密码(技术、产品和服务),都不再需要进口许可。
六、密码产品的源代码
按中国现行法规,生产厂商在送检商用密码产品时,必须向密码产品检测认证机构提交(如光盘)产品的源代码,这引起国外厂商的忧虑。我们知道,在国际上和美国进行密码产品FIPS 140-2检测认证时,必须向检测认证机构提供密码产品的源代码。外国机构和外国企业往往认为,实施FIPS检测认证的第三方实验室都是独立的,而中国的密码产品检测认证机构都有很强的政府背景,有将产品源代码提供给政府的风险。《密码法》第三十一条规定,“密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。”这样,就用法律的形式在政府部门及其工作人员与密码检测认证机构之间竖立起“源代码等密码相关专有信息”屏障,应该可以打消国外厂商的这一忧虑。
同时,通过学习本人认为这部《密码法》尚有些遗憾、遗漏的地方,在此提出讨论一下,可能有理解不到位和理解错误之处:
一、有关商用密码的章节中没有对政府机构的要求
《密码法》全文中没有见到在商用密码方面对国家机构/政府机构的要求,第二十七条“开展商用密码应用安全性评估”和“国家安全审查”的规定只要求关键信息基础设施的运营者。这里的“国家机构/政府机构”可以包括行政机构、党团、政协、青工妇、社团协会以及国家科研机构等,这些机构除了使用核心密码和普通密码外,实际上还使用了大量的商用密码。将这些机构往往也很“关键”,将其排除在《密码法》规定的商用密码法律要求之外,是否其使用商用密码不需要监管?或是要在《密码法》框架之外另建一个体系?
二、谁来实施商用密码应用安全性评估
第二十七条规定,“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。”
1、其中的“商用密码检测机构”,从第二十五条看,应该是“商用密码检测、认证机构”中的“商用密码检测”机构,负责商用密码技术、产品和服务的检测认证。通常,负责产品安全检测认证的机构与负责系统安全评估的机构不同,机构的专业人员组成差别很大,例如负责信息安全产品检测认证的机构和人员,与负责网络安全等级保护测评的机构和人员往往不是一个单位或者不是一个团队。
2、第二十七条规定商用密码应用安全性评估可以由运营者“自行”评估,也可以由运营者委托他人评估,这就说明应该由运营者来承担评估的结果;从逻辑上讲,既然没有资质的运营者可以评估,那么就没有必要一定要求其委托的第三方也要获得什么资质,例如运营者也可以外聘几个专家一起来自行评估。《关键信息基础设施保护条例(征求意见稿)》规定,运营者应当自行或者委托网络安全服务机构每年至少进行一次网络安全检测和风险评估,并没有对被委托的网络安全服务机构提出资质要求。(网络安全等级保护的年度测评,主要的都必须委托具有资质的第三方机构进行。)而《密码法》中的“商用密码检测机构”按第二十五条规定则“应当依法取得相关资质”。
3、第二十七条还规定,“商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。”为达到此目的,运营者如果不进行自行评估的话,最好委托一个第三方评测/评估机构同时进行网络安全等级保护测评、关键信息基础设施保护检测评估和商用密码应用安全性评估,但是全国那么多网络安全等级保护测评机构以及以后确定的关键信息基础设施保护检测评估机构,是否能够同时也具备检测认证商用密码技术、产品和服务的能力并获得资质,还是个大问题。另外,《密码法》中没有规定商用密码应用安全性评估的频率,如果明确每年进行一次,就“与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接”了。
所以,也许改成“自行或者委托第三方评估机构(每年至少)开展(一次)商用密码应用安全性评估”更好。
三、“商用密码服务”及其认证
什么是“商用密码服务”?《密码法(草案)》第二十六条第二款表述,“用于网络关键设备和网络安全专用产品的商用密码服务,应当由商用密码认证、检测机构安全认证合格或者安全检测符合要求后,方可提供。”看上去,商用密码服务好像指网络关键设备和网络安全专用产品采用的密码技术或者组件所给网络关键设备和网络安全专用产品提供的密码“服务”,类似于信息安全产品中采用的密码技术部分必须经密码检测机构检测合格的制度。《密码法》第二十六条第二款修改为:“商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。”从这里看,意思是商用密码服务本身应当经过认证合格,而不是网络关键设备和网络安全专用产品或者其中的某部分。但“商用密码服务”究竟指什么,《密码法》文本没有给出,“全国人民代表大会宪法和法律委员会关于《中华人民共和国密码法(草案)》审议结果的报告”中也没有解释。
一般来说,“密码产品”包括密码芯片、密码模块、密码服务系统三个部分;而“密码服务系统”通常有CA(Certificate Authority)系统、电子签章系统、动态口令认证系统等。本人认为,狭义的“商用密码服务”,即指利用商用密码服务系统来提供的密码服务;广义上讲,还可能包括为用户提供密码系统集成服务、密码系统和产品的支撑维护服务,以及网络服务商(例如网站)为直接用户提供的SSL服务等。从《密码法》上下文和第三十六条来看,本人认为“商用密码服务”很有可能是指以上的狭义概念,并且目前这些服务的提供者也是需要资质的,即“商用密码服务”应当认证合格。但是,无论从广义含义还是狭义含义,“商用密码服务”的认证与否,与使用网络关键设备和网络安全专用产品都没有必然联系,理论上讲无论是否使用网络关键设备和网络安全专用产品,只要属于“商用密码服务”,都应当经过认证,尽管以后重要的密码产品将要列入网络关键设备和网络安全专用产品目录,且“商用密码服务”系统有可能或者有必要使用这些产品。所以,假如这一段改为“提供商用密码服务的,应当经商用密码认证机构对该商用密码服务认证合格”,以后再解释“商用密码服务”指什么,就足够清楚了,还不会导致误解。
另外,这里的“商用密码认证机构”应该是第二十五条“商用秘密检测、认证机构”中的“认证机构”吧。建议以后厘清服务认证与产品检测认证的关系,并且该“商用密码认证机构”不能只有一个,至少需要设置两个,否则将违反《认证认可条例》。
四、商用密码应用安全性评估报告
第三十一条规定,“密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督。”
《密码法》中没有商用密码应用安全性评估报告需提交(备案)给密码管理部门的要求,这使得密码管理部门的“日常监管和随机抽查”、“事中事后监管”工作缺失一个重要依据和启动点。网络安全等级保护要求测评报告的备案和提交,《关键信息基础设施保护条例(征求意见稿)》要求按保护工作部门的要求报送检测评估情况。据说下一步《商用密码管理条例》要进行修订,假如在条例或规章中增加《密码法》中没有规定、没有授权的商用密码应用安全性评估报告报送制度,可能有增加运营者责任、下位法超越上位法,以及与《立法法》要求不符的嫌疑。
另外,《密码法》中尚有些描述不严谨、不清晰之处,有待以后再斟酌。