取消部分审批许可后的商密管理合规与《网络安全法》的若干问题
2018-04-02原浩
原 浩
(江苏竹辉律师事务所 江苏苏州 215008) (laware@qq.com)
1 取消审批许可概述
2017年9月29日,国务院发布(国发〔2017〕46号)《关于取消一批行政许可事项的决定》(以下简称“《决定》”),取消了商用密码产品生产单位审批、商用密码产品销售单位许可、外商投资企业使用境外密码产品审批、境外组织和个人在华使用密码产品或者含有密码技术的设备审批4项涉及商用密码事项,被认为是对《商用密码管理条例》上位法的《密码法》(草案)第11条、第16条的提前调整[1].其中涉及外资企业、境外实体2类“涉外”主体在境内的3种行为:1)生产审批(含研发);2)销售许可;3)使用密码(产品和技术)审批.事实上,除上述3种行为外,还包括各类主体的一种涉外行为,即出口许可.
2 监管模式调整与合规要求
2.1 从侧重主体监管向行为监管迁移
按照《决定》和2017年10月12日国家密码管理局发布(国密局字 〔2017〕336号)《关于做好商用密码产品生产单位审批等4项行政许可取消后相关管理政策衔接工作的通知》[2](以下简称“《通知》”)的内容,对相关问题提出以下几点要求:1)“生产、销售商用密码产品的单位无需再经国家密码管理局批准”;2)“外商投资企业使用境外生产的密码产品、境外组织和个人使用密码产品或者含有密码技术的设备,无需再经国家密码管理局批准”.
基于以上理解,在《决定》和《通知》实施后,商用密码对主体要求准用《商用密码产品品种和型号审批服务指南》[3]规定的3项条件:1)具有独立的法人资格;2)具有与开发、生产商用密码产品相适应的技术力量和场所;3)具有确保商用密码产品质量的设备、生产工艺和质量保证体系.即体现“从管企业改为重点管产品,加强密码产品的标准规范和检测认证体系建设,强化商用密码产品许可审批,未经许可不准进入市场销售,严把密码产品市场准入关口”的指导思想,这也与《出口管制法》(草案)[4]体现的许可加清单监管模式趋于接近.
2.2 从注重事前控制转向全程监管
在取消审批、许可等前置条件和程序后,如何实施事中、事后的全程监管,主要体现在以下4个方面:
第一是明确实质审查规定.按照《商用密码产品品种和型号审批服务指南》,对商密产品:1)申请品种和型号的商用密码产品由具有相应开发、生产能力的单位生产;2)商用密码产品通过国家密码管理局安全性审查;3)商用密码产品应采用经国家密码管理局认可的算法,并应符合相关密码标准规范;4)符合国家相关法律法规和政策要求.其中的核心规定即在于“安全性”的实质审查和(国标)标准化的算法要素.
第二是质量检测程序.按照《商用密码管理条例》,商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格.据此检测为合法合规生产、销售的条件.这一规定将会按照《网络安全法》第22条、第23条,《网络关键设备和网络安全专用产品目录》(第一批目录并未直接涉及密码技术或产品范围的技术属性),网络安全等级保护(可参见2007年《信息安全等级保护管理办法》第37条、第38条,起草中的网络安全等级保护条例、《信息安全技术 网络安全等级保护实施指南》(征求意见稿))进一步细化和衔接.例如按照《网络安全法》第23条规定:“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供.国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测”,据此商用密码产品(如作为网络关键设备或安全专用产品的)经认证的,是否即可视为符合质量程序,在适用不同法律规定时就会出现分歧.因为检测和认证所适用的法律路径、过程要求和发起、报送机构均有不同.
第三是强化市场监管和建立黑名单制度.按照《决定》要求,国家密码局应:1)强化市场监管措施,加大商用密码产品“双随机、一公开”抽查力度;2)建立信用体系,实行“黑名单”制度,加强社会监督,对违法违规行为加大处罚力度,充分发挥行业组织作用.例如按照新近一期国家密码管理局《关于开展2017年度商用密码随机抽查工作的通知》[5],明确为加强商用密码事中事后监管,促进商用密码健康发展,其2017年商用密码随机抽查范围包括商用密码产品、进口密码产品和含有密码技术的设备的单位.抽查事项包括商用密码产品的合法合规性以及进口密码产品和含有密码技术的设备合法合规性.
第四是实施销售登记备案制度.《通知》要求,取得《商用密码产品型号证书》的单位应当于每年1月31日前向所在地的省、自治区、直辖市密码管理部门如实报送上一年度商用密码产品销售登记备案数据.除此之外,还包括投诉举报、违法违规查处等常规的法律责任内容.
因此,整体而言尽管主体形式审查取消,但实质审查程序和过程监管仍然存在,并会随着《网络安全法》的施行增大力度和执法弹性.
2.3 统一《商用密码产品型号证书》的取得
按照《决定》和《通知》的要求,生产、销售商用密码产品的单位无需再经国家密码管理局批准,但生产、销售的商用密码产品仍应当依法办理《商用密码产品型号证书》.与此呼应的是,2017年11月3日在第55次ISOIEC联合技术委员会信息安全技术分委员会(SC27)德国柏林会议上,含有我国SM2与SM9数字签名算法的ISOIEC14888-3AMD1《带附录的数字签名第3部分:基于离散对数的机制—补篇1》获得一致通过成为ISOIEC国际标准,进入标准发布阶段[6].可以预见,随着我国在密码技术和网络空间安全领域的国际合作和交流的进一步深入,基于标准的密码产品研发、生产和销售的境内外主体差异将进一步缩小,统一《商用密码产品型号证书》的取得有利于商用密码和网络安全产品、服务市场的弹性监管和创新繁荣.同时,从美国出口监管法和《出口监管规则》(EAR)的密码监管政策立法看,2000年以来有的放矢的“适度放松”正是沿着标准化的路径演化,密码标准化无疑有利于进出口监管,今后也将持续成为各国的惯常措施.作为除外规定,EAR License Exceptions (Part 740)“ (b)登记、分类和自评估”中(2)非标准密码(non-standard cryptography)”[7],则对非标准密码要求登记、分类和自评估的严格限制.
2.4 进口密码产品的审批许可
按照《决定》和《通知》,国家密码局规定:1)加强对进口密码产品的审批,健全相关制度,未经许可不得进口;2)如需使用境外密码产品和含有密码技术的设备,必须是已取得国家密码局进口许可的密码产品和含有密码技术的设备;3)外商投资企业、境外组织和个人使用的密码产品或者含有密码技术的设备需要从境外进口的,仍应当依法办理《密码产品和含有密码技术的设备进口许可证》.
从目前来看,对密码进口的监管(批准条件)主要涉及主体、最终用途和负面清单几个方面,按照《密码产品和含有密码技术的设备进口许可服务指南》规定:1)进口申请人是外商投资企业、境外组织或个人;2)进口的产品供外商投资企业、境外组织或个人自用,不得转让;3)进口的产品不会危害或者可能危害国家安全、社会公共利益.对如何进行自用的最终用途和不会危害国家安全、社会公共利益的“技术审查”,《密码产品和含有密码技术的设备进口许可证》主要是从商品名称、版本型号、商品编号、数量和计量单位进行统计,实际上则进一步涉及加密方法、类型、技术描述、性能指标、密钥长度、协议、产品部署、最终用户和产品最终用途(区分基础信息网络、重要信息系统)等审查.
值得注意的是:1)上述规定未将境内实体通过网络下载等在线传输方式界定为进口;2)如符合《商用密码管理条例》“任何单位或者个人不得销售境外的密码产品”要求的条件,境内销售的(例如含有密码技术或加密组件的智能手机等终端设备),应考虑销售协议、销售记录和信息的保留与报告,以符合抽查的要求;3)同时对“自用”而言,由于密码产品和技术的应用主要在于加密传输(和认证),则必然与《网络安全法》所规定的数据本地化、数据跨境传输产生关联(见下文).
2.5 出口许可
《商用密码管理条例》第13条规定:“进口密码产品以及含有密码技术的设备或者出口商用密码产品,必须报经国家密码管理机构批准.”《商用密码产品出口许可服务指南》进一步规定,出口许可的批准条件为:1)出口的产品不会危害或者可能危害国家安全、社会公共利益;2)出口的产品通过国家密码管理局的审批;3)产品出口到境外最终用户的过程中,如有多个中间方参与,申请人应当提供每个环节的合同或者协议.
值得注意的是:1)密码出口对主体未作明确限制,内资实体与外资、境外实体的出口在实质上可能有所不同,例如前者可能涉及国家国际责任的问题,后者对进口密码用于跨境数据传输的是否认定为出口的问题;2)对于非标准密码,可能涉及严格的审批和技术审查程序,而随着密码标准化的推进,未来则可能有规范可行的快捷方式可循,在这种情况下,取得最终用户承诺亦显得更为重要,尽管承诺的协议方式归为“软法”,但在涉及国家安全、公众利益等实质审查中,各国均视其为有效的监管和追责方式.
3 密码监管的数据本地化与跨境传输问题
对于外资和境外实体而言,密码产品和技术的用途除用于“含有加密功能的信息技术产品”、服务销售外,还可能涉及《网络安全法》所称的个人信息、重要数据按照《个人信息和重要数据出境安全评估办法》(征求意见稿)(“《办法》”)所称的数据存储和数据向境外提供的情形(此需求一般理解为前述的“自用”,但应涉及不同主体之间的数据交换,故对“自用”的范围理解可能会产生分歧和风险),因此将按照《办法》进行安全评估.按照通常理解:1)密码产品和技术本身可能作为重要数据而进行评估;2)密码技术的应用加剧了数据出境评估的难度(成本).
结合《商用密码管理条例》和《办法》第8条的规定,涉及密码的出境评估应需要重点考虑:1)数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等,特别是其密码分析能力、执法机关的协助要求(法律——例如有无要求运营商强制解密的规定,美国1994《通信协助执法法》(Communication Assistance for Law Enforcement Act)的规定即有别于我国《国家安全法》《网络安全法》)[8]等;2)数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险——此与前述《商用密码管理条例》的技术审查条款直接对应.此外,《办法》第12条规定网络运营者应根据业务发展和网络运营情况,每年对数据出境至少进行一次安全评估,及时将评估情况报行业主管或监管部门的规定也将适用于前述密码进口和出口的情形.而对于行业主管或监管部门组织的安全评估,如何对加密数据进行重要数据的判定和评估,也将极具挑战.
4 结 语
综上,在密码技术标准化和监管精细化的国际背景下,随着《决定》具体落实和《网络安全法》配套制度的制定与推进,在密码监管领域将不可避免地对外资和境外实体产生冲击,商用密码技术属于国家秘密,和“商用密码用于保护不属于国家秘密的信息”的特性,以及密码产品和技术应用的普遍化加剧了这一趋势,企业对密码合规的需求应综合《网络安全法》(配套制度、标准)、《密码法》(草案)、《出口管制法》(草案)等早日提上议程.
[1]国家密码管理局. 关于《中华人民共和国密码法(草案征求意见稿)》公开征求意见的通知[OL]. (2017-04-28) [2017-11-18].http:www.oscca.gov.cnscahdjl2017-0428content_1011759.shtml
[2]国家密码管理局. 国家密码管理局关于做好商用密码产品生产单位审批等4项行政许可取消后相关管理政策衔接工作的通知[OL]. (2017-10-11) [2017-11-18].http:www.sca.gov.cnscaxwdt2017-1011content_1015813.shtml
[3]国家密码管理局. 商用密码产品品种和型号审批服务指南[OL]. (2017-12-05) [2018-01-05]. http:sca.gov.cnscac1000602016111002474filesa290fd28d5ad4c6ebe22d 89bdf8a2c70.pdf
[4]商务部条约法律司. 商务部关于就出口管制法(草案征求意见稿)公开征求意见的通知[OL]. (2017-06-20) [2017-11-08]. http:tfs.mofcom.gov.cnarticleas20170620170602594467.shtml
[5]国家密码管理局. 关于开展2017年度商用密码随机抽查工作的通知(国密局字 〔2017〕292号)(含《2017年商用密码随机抽查事项清单》)[OL]. (2017-09-14) [2017-11-29]. http:www.oscca.gov.cnscaxwdt2017-0914content_1015811.shtml
[6]国家密码管理局. 我国SM2和SM9数字签名算法正式成为ISOIEC国际标准[OL]. (2017-11-17)[2017-12-19]. http:www.oscca.gov.cnscaxwdt2017-1117content_1019960.shtml
[7]BIS.《出口监管规则》 (EAR) License Exceptions (Part 740) (b)[OL].[2017-12-31]. https:www.bis.doc.govindex.phpdocumentsregulation-docs415-part-740-license-exceptionsfile
[8]全国信息安全标准化技术委员会.信息安全技术 数据出境安全评估指南(草案).5.2.6.2 重要数据:该国家或地区政府,包括执法、国防、国家安全等部门调取数据的法律权力[OL]. (2017-08-30) [2017-12-03]. http:www.tc260.org.cnfile20170830203000000004.docx
原浩
硕士研究生,主要研究方向为高新技术企业与信息网络安全法律实务.
laware@qq.com