那些密码高手不得不知的法律规定
前一阵子笔者的一位外籍计算机博士朋友跟笔者说,用市面上的加密软件加密的数据很容易被解密,为防止其中国合资公司的商业秘密泄露,他计划将自己在国外开发完成的加密产品应用到该合资公司的数据传输中。笔者提醒该博士朋友商用加密技术在中国属于商用密码,商用密码产品的科研、生产、销售、使用和进出口都有一系列法律规定,如果违反这些规定,轻者被罚款、重者被判刑。博士朋友大惊失色,希望笔者能大致介绍一下商用密码的法律规定。笔者因此写下此普法之文,以备各位密码高手参考。
一、商用密码的定义和管理的目的
根据《商用密码管理条例》(下称《条例》)第二条规定,“本条例所称商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品”。由此可见商用密码的管理对象是不涉及国家秘密内容的信息,区别于保护党和国家涉密信息所使用的密码。商用密码的功能是对信息进行加密保护与安全认证。
大力发展和严格管理商用密码,既是国民经济建设发展的需要,也是保护公民、法人和其他组织合法权益、维护国家安全和利益的需要,因此,《条例》第一条就将商用密码的管理目的予以明确。即“为了加强商用密码管理,保护信息安全,保护公民和组织的合法权益,维护国家的安全和利益,制定本条例”。
二、商用密码相关的法律法规
目前,中国的商用密码管理依据的法规主要包括一部法律和一部行政法规以及九个专项管理规定。
“一部法律”是指《电子签名法》,该法赋权国家密码管理局对电子认证服务使用密码的行为依法实施管理。
“一部行政法规”是指《商用密码管理条例》。1999年10月国务院颁布的《商用密码管理条例》,明确了商用密码的管理机构、管理体制以及商用密码管理工作的基本原则,对商用密码科研、生产、销售、使用、安全保密等方面的主要制度做出了规定。
“九个专项管理规定”是指《商用密码科研管理规定》、《商用密码产品生产管理规定》、《商用密码产品销售管理规定》、《商用密码产品使用管理规定》、《境外组织和个人在华使用密码产品管理办法》、《商用密码行政处罚实施办法(试行)》、《电子认证服务密码管理办法》、《信息安全等级保护商用密码管理办法》、《含有密码技术的信息产品政府采购规定》。这九个专项管理规定是国家密码管理局根据法律法规的授权,以及商用密码管理工作的现实需要制定的,分别对商用密码科研、生产、销售、使用、行政处罚等行为做出了详细规定。
三、商用密码管理的主要环节
下面主要根据《商用密码管理条例》,对商用密码科研、生产、销售、使用和进出口五个环节的管理进行逐一简要介绍。
(一)科研环节的管理
科研环节的管理主要包括两个方面:一是科研单位资质管理,二是科研成果管理。
关于科研单位资质管理,《条例》第五条规定,商用密码的科研任务由国家密码管理机构指定的单位承担。同时第五条也规定了商用密码科研单位应当具备的条件。按照《条例》规定,商用密码指定科研单位必须具有相应的技术力量和设备,能够采用先进的编码理论和技术,编制的商用密码算法具有较高的保密强度和抗攻击能力。
关于科研成果管理,《条例》第六条规定,商用密码的科研成果由国家密码管理机构组织专家,按照商用密码技术标准和技术规范审查、鉴定。
有关商用密码科研的更详细规定请参见《商用密码科研管理规定》。
(二)商用密码生产环节的管理
生产环节的管理主要包括三个方面:一是生产单位资质管理,二是商用密码产品品种和型号审批,三是商用密码产品质量检测。
关于生产单位资质管理,《条例》第七条规定,商用密码产品由国家密码管理机构指定的单位生产。只有指定的单位才能生产商用密码产品,未经指定,任何单位或者个人不得生产商用密码产品。同时《条例》第七条也规定了指定生产定点单位的条件,这就是:商用密码产品指定生产单位必须具有与生产商用密码产品相适应的技术力量,以及能确保商用密码产品质量的设备、生产工艺和质量保证体系等。
关于商用密码产品品种和型号审批,《条例》第八条规定,商用密码产品指定生产单位生产的商用密码产品的品种和型号,必须经国家密码管理机构批准,并不得超过批准范围生产商用密码产品。
关于商用密码产品质量检测,《条例》第九条规定,商用密码产品必须经国家密码管理机构指定的产品质量检测机构检测合格。也就是说,一款商用密码产品要想进入市场进行销售,不但要有批准的品种和型号,而且必须是经过质量检测合格的产品。
有关商用密码产品生产的更详细规定请参见《商用密码产品生产管理规定》。
(三)销售环节的管理
销售环节的管理主要包括两个方面:一是销售单位资质管理,二是商用密码产品销售登记备案制度。
关于销售单位资质管理,《条例》第十条、第十一条规定了商用密码产品销售许可制度以及销售许可的条件。只有取得国家密码管理机构许可的单位才能销售商用密码产品,未经许可,任何单位或者个人都不得从事商用密码产品销售活动。销售商用密码产品应当具备的条件包括:要有熟悉商用密码产品知识和承担售后服务的人员,有完善的销售服务和安全管理规章制度,有独立的法人资格,等等。
关于商用密码产品销售登记备案制度,《条例》第十二条规定,销售商用密码产品,必须如实登记直接用户的名称、地址和产品用途等,报国家密码管理局备案。
有关商用密码产品销售的更详细规定请参见《商用密码产品销售管理规定》。
(四)使用环节的管理
对中国的单位和个人有两个方面的要求:一是使用国家密码管理机构认可的商用密码产品,不得使用自行研制或者境外生产的密码产品;二是不得转让商用密码产品,维修、报废、销毁商用密码产品应遵守相应的规定。对境外组织和个人而言,《条例》第十五条设定了密码产品使用审批制度。除了外国驻华外交代表机构和领事机构,境外组织或者个人在中国境内使用密码产品或者含有密码技术的设备,都要报经国家密码管理机构批准,同时也应遵守相应的规定。
有关商用密码产品使用的更详细规定请参见《商用密码产品使用管理规定》和《境外组织和个人在华使用密码产品管理办法》。
(五)进出口环节的管理
进出口环节的管理主要包括两个方面:一是密码产品进口审批,二是商用密码产品出口审批。
《条例》第十三条规定,进口密码产品以及含有密码技术的设备或者出口商用密码产品,必须报经国家密码管理机构批准。任何单位和个人不得销售境外的密码产品。也就是说,商用密码产品是允许进出口的,但必须要经过批准。
四、违反商用密码管理法规的处罚措施
《条例》第六章集中规定了对违反商用密码管理法规的处罚措施。在这一章里,明确了国家密码管理机构与工商、公安、国家安全、海关、保密等部门会同执法的处罚机制。《条例》设定的行政处罚有警告、罚款、没收密码产品和违法所得、撤销资质和吊销许可证以及行政拘留共五种。这些处罚有的由国家密码管理机构单独实施处罚,有的由国家密码管理机构会同相关部门共同实施处罚,还有的由国家安全机关单独实施处罚。此外,《条例》还规定,商用密码管理机构工作人员滥用职权、玩忽职守、徇私舞弊,构成犯罪的,依法追究刑事责任。
综上所述,只有国家指定的机构,才能进行商用密码的科研、生产和销售,任何人不得使用未经国家认可的商用密码,商用密码产品的进出口需要国家审批。就前文提到的博士朋友的情况而言,如果其中国合资公司未经国家密码管理局的审批而擅自使用其在国外开发完成的加密产品,则会违反法律规定而导致出现企业受罚等被动局面。希望各位密码高手能够通过本文了解中国商用密码管理的概要,及早避免此类法律风险的出现。