2019年10月26日，《中華人民共和國密碼法》正式頒布，自2020年1月1日起實施。關於《密碼法》的頒布實施，以及相關條款涉及的內容，相信大家一定還有一些疑問。這次小編國小密特意就關注度比較高的問題，諮詢了國密局負責人。現將有關問題分上、下兩篇為大家解答。

問1：請介紹一下密碼法在商用密碼管理方面的立法思路。

密碼法在商用密碼管理方面的立法思路主要有以下三個方面：

• 一是堅決貫徹落實“放管服”改革要求，充分體現非歧視和公平競爭原則，進一步削減行政許可數量，放寬市場準入，更好地激發市場活力和社會創造力。
• 二是由商用密碼管理條例規定的全環節嚴格管理調整為重點把控產品銷售、服務提供、使用、進出口等關鍵環節，管理方式上由重事前審批更多地轉為事中事後監管，重視發揮標準化和檢測認證的支撐作用。
• 三是對於關系國家安全和社會公共利益，又難以通過市場機制或者事中事後監督方式進行有效監管的少數事項，本法規定了必要的行政許可和管制措施。

問2：為什麼密碼法要對涉及國家安全、國計民生、社會公共利益的商用密碼產品實行強制性檢測認證制度？

密碼法按照“放管服”改革要求，取消了商用密碼管理條例設定的“商用密碼產品品種和型號審批”，改為對特定商用密碼產品實行強制性檢測認證制度，主要有三個方面的考慮：

• 一是該制度是維護國家安全和社會公共利益的需要。商用密碼產品是一種專業技術性很強的特殊產品，廣泛應用於國民經濟和社會發展各領域，應用於關鍵信息基礎設施，其質量與安全性直接關系國家安全和社會公共利益，需要通過檢測認證的方式對其質量與安全性進行技術把關，規範商用密碼產品市場準入。

• 二是該制度與網絡安全法規定的網絡關鍵設備和網絡安全專用產品強制性檢測認證制度是銜接一致的。涉及國家安全、國計民生、社會公共利益的商用密碼產品作為網絡關鍵設備和網絡安全專用產品的一部分，依法列入網絡關鍵設備和網絡安全專用產品目錄，由國家密碼管理局會同國家網信辦、國家認監委等部門共同制定目錄，共同認定檢測、認證機構，共同開展檢測認證。

• 三是強制性檢測認證實施範圍有限。強制性檢測認證制度僅適用於涉及國家安全、國計民生、社會公共利益的商用密碼產品，並通過制定產品目錄明確界定管理範圍，不會對市場和產業構成不必要的限制。

問3：為什麼密碼法要對使用網絡關鍵設備和網絡安全專用產品的商用密碼服務實行強制性認證制度？

密碼法設立該制度主要有兩個方面的考慮：

• 一是該制度是維護國家安全和社會公共利益的需要。商用密碼服務主要包括密碼保障系統集成、運營、監理等，是一種專業技術性很強的特殊服務，廣泛應用於國民經濟和社會發展各領域，應用於關鍵信息基礎設施，其質量與安全性直接關系國家安全和社會公共利益。由於密碼功能實現的特殊性，網絡關鍵設備和網絡安全專用產品本身合格，並不意味著使用這些產品的商用密碼服務就一定是安全的，需要通過認證的方式對其質量與安全性進行技術把關，規範商用密碼服務市場準入。

• 二是強制性認證實施範圍有限。強制性認證制度僅適用於使用網絡關鍵設備和網絡安全專用產品的商用密碼服務，並通過制定服務目錄明確界定管理範圍，不會對市場和產業構成不必要的限制。

問4：密碼法對商用密碼使用提出了什麼要求？

密碼法規定公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全，對一般用戶使用商用密碼沒有強制性要求。由於商用密碼屬於兩用物項，密碼法明確規定，任何組織或者個人不得竊取他人的加密保護的信息或者非法侵入他人的密碼保障系統，不得利用密碼從事危害國家安全、社會公共利益、他人合法權益等違法犯罪活動。同時，為了保障關鍵信息基礎設施安全穩定運行，維護國家安全、社會公共利益，密碼法要求關鍵信息基礎設施必須使用商用密碼進行保護並開展商用密碼應用安全性評估，要求關鍵信息基礎設施的運營者采購涉及商用密碼的網絡產品和服務，可能影響國家安全的，應當通過國家網信辦會同國家密碼管理局等有關部門組織的國家安全審查。

問5：為什麼密碼法要求關鍵信息基礎設施使用商用密碼進行保護，開展商用密碼應用安全性評估？

密碼法規定的關鍵信息基礎設施商用密碼使用要求是網絡安全法規定的關鍵信息基礎設施安全保護義務的重要組成部分。密碼是保障網絡與信息安全的核心技術和基礎支撐。關系國家安全、國計民生、社會公共利益的關鍵信息基礎設施，必須使用商用密碼進行保護，而且使用的商用密碼必須是合規、正確、有效的。如果不使用或者不正確使用商用密碼進行保護，將嚴重威脅關鍵信息基礎設施的安全穩定運行，威脅國家安全和社會公共利益。因此，有必要對關鍵信息基礎設施使用商用密碼提出明確要求，有效保障關鍵信息基礎設施安全。建立完善商用密碼應用安全性評估制度，對關鍵信息基礎設施商用密碼應用的合規性、正確性和有效性進行評估，對於有效規範密碼應用，切實保障國家網絡與信息安全，具有重要作用。商用密碼應用安全性評估同時也是網絡安全等級保護和關鍵信息基礎設施安全保護制度的重要內容和技術手段。商用密碼應用安全性評估與關鍵信息基礎設施網絡安全檢測評估、網絡安全等級測評在內容上有所區分，在實施中統籌考慮、協調開展，相互銜接。

問6：為什麼密碼法要對涉及國家安全、社會公共利益等的商用密碼實行進口許可和出口管制制度？

密碼法設立商用密碼進口許可和出口管制制度，主要有三個方面的考慮：

• 一是該制度是維護國家安全和社會公共利益的需要。商用密碼是一把雙刃劍，既可以用於合法的信息保護，也可能被用來從事違法犯罪活動，有必要對其實行進口許可和出口管制，維護國家安全和社會公共利益。

• 二是該制度符合世貿組織規則，也是國際通行做法。商用密碼是國際公認的兩用物項，對其實行進口許可和出口管制，符合世貿組織“安全例外”原則和我國對外貿易法的規定，也是國際通行做法。

• 三是該制度實施範圍有限。進口許可制度僅適用於涉及國家安全、社會公共利益且具有加密保護功能的商用密碼，出口管制制度僅適用於涉及國家安全、社會公共利益或者中國承擔國際義務的商用密碼，對大眾消費類產品所采用的商用密碼不實行進口許可和出口管制，並通過制定清單明確界定管理範圍，不會對貿易造成影響。

問7：為什麼密碼法要對采用商用密碼技術從事電子政務電子認證服務的機構進行認定？

密碼法設立該制度是維護國家安全和社會公共利益的需要。電子政務電子認證服務是一種專業技術性很強的特殊服務，直接服務於政務部門的政務活動，涉及範圍廣，敏感信息多，其質量與安全性直接關系國家安全和社會公共利益，有必要采取行政許可的方式對服務機構的電子政務電子認證服務能力進行評估，加強對建設、運維、應用和服務等各環節的行政監管和技術把關，確保其質量與安全性。