原 浩

(江蘇竹輝律師事務(wù)所 江蘇蘇州 215008) (laware@qq.com)

1 取消審批許可概述

2017年9月29日，國(guó)務(wù)院發(fā)布(國(guó)發(fā)〔2017〕46號(hào))《關(guān)于取消一批行政許可事項(xiàng)的決定》(以下簡(jiǎn)稱(chēng)“《決定》”)，取消了商用密碼產(chǎn)品生產(chǎn)單位審批、商用密碼產(chǎn)品銷(xiāo)售單位許可、外商投資企業(yè)使用境外密碼產(chǎn)品審批、境外組織和個(gè)人在華使用密碼產(chǎn)品或者含有密碼技術(shù)的設(shè)備審批4項(xiàng)涉及商用密碼事項(xiàng)，被認(rèn)為是對(duì)《商用密碼管理?xiàng)l例》上位法的《密碼法》(草案)第11條、第16條的提前調(diào)整[1].其中涉及外資企業(yè)、境外實(shí)體2類(lèi)“涉外”主體在境內(nèi)的3種行為：1)生產(chǎn)審批(含研發(fā))；2)銷(xiāo)售許可；3)使用密碼(產(chǎn)品和技術(shù))審批.事實(shí)上，除上述3種行為外，還包括各類(lèi)主體的一種涉外行為，即出口許可.

2 監(jiān)管模式調(diào)整與合規(guī)要求

2.1 從側(cè)重主體監(jiān)管向行為監(jiān)管遷移

按照《決定》和2017年10月12日國(guó)家密碼管理局發(fā)布(國(guó)密局字 〔2017〕336號(hào))《關(guān)于做好商用密碼產(chǎn)品生產(chǎn)單位審批等4項(xiàng)行政許可取消后相關(guān)管理政策銜接工作的通知》[2](以下簡(jiǎn)稱(chēng)“《通知》”)的內(nèi)容，對(duì)相關(guān)問(wèn)題提出以下幾點(diǎn)要求：1)“生產(chǎn)、銷(xiāo)售商用密碼產(chǎn)品的單位無(wú)需再經(jīng)國(guó)家密碼管理局批準(zhǔn)”；2)“外商投資企業(yè)使用境外生產(chǎn)的密碼產(chǎn)品、境外組織和個(gè)人使用密碼產(chǎn)品或者含有密碼技術(shù)的設(shè)備，無(wú)需再經(jīng)國(guó)家密碼管理局批準(zhǔn)”.

基于以上理解，在《決定》和《通知》實(shí)施后，商用密碼對(duì)主體要求準(zhǔn)用《商用密碼產(chǎn)品品種和型號(hào)審批服務(wù)指南》[3]規(guī)定的3項(xiàng)條件：1)具有獨(dú)立的法人資格；2)具有與開(kāi)發(fā)、生產(chǎn)商用密碼產(chǎn)品相適應(yīng)的技術(shù)力量和場(chǎng)所；3)具有確保商用密碼產(chǎn)品質(zhì)量的設(shè)備、生產(chǎn)工藝和質(zhì)量保證體系.即體現(xiàn)“從管企業(yè)改為重點(diǎn)管產(chǎn)品，加強(qiáng)密碼產(chǎn)品的標(biāo)準(zhǔn)規(guī)范和檢測(cè)認(rèn)證體系建設(shè)，強(qiáng)化商用密碼產(chǎn)品許可審批，未經(jīng)許可不準(zhǔn)進(jìn)入市場(chǎng)銷(xiāo)售，嚴(yán)把密碼產(chǎn)品市場(chǎng)準(zhǔn)入關(guān)口”的指導(dǎo)思想，這也與《出口管制法》(草案)[4]體現(xiàn)的許可加清單監(jiān)管模式趨于接近.

2.2 從注重事前控制轉(zhuǎn)向全程監(jiān)管

在取消審批、許可等前置條件和程序后，如何實(shí)施事中、事后的全程監(jiān)管，主要體現(xiàn)在以下4個(gè)方面：

第一是明確實(shí)質(zhì)審查規(guī)定.按照《商用密碼產(chǎn)品品種和型號(hào)審批服務(wù)指南》，對(duì)商密產(chǎn)品：1)申請(qǐng)品種和型號(hào)的商用密碼產(chǎn)品由具有相應(yīng)開(kāi)發(fā)、生產(chǎn)能力的單位生產(chǎn)；2)商用密碼產(chǎn)品通過(guò)國(guó)家密碼管理局安全性審查；3)商用密碼產(chǎn)品應(yīng)采用經(jīng)國(guó)家密碼管理局認(rèn)可的算法，并應(yīng)符合相關(guān)密碼標(biāo)準(zhǔn)規(guī)范；4)符合國(guó)家相關(guān)法律法規(guī)和政策要求.其中的核心規(guī)定即在于“安全性”的實(shí)質(zhì)審查和(國(guó)標(biāo))標(biāo)準(zhǔn)化的算法要素.

第二是質(zhì)量檢測(cè)程序.按照《商用密碼管理?xiàng)l例》，商用密碼產(chǎn)品，必須經(jīng)國(guó)家密碼管理機(jī)構(gòu)指定的產(chǎn)品質(zhì)量檢測(cè)機(jī)構(gòu)檢測(cè)合格.據(jù)此檢測(cè)為合法合規(guī)生產(chǎn)、銷(xiāo)售的條件.這一規(guī)定將會(huì)按照《網(wǎng)絡(luò)安全法》第22條、第23條，《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄》(第一批目錄并未直接涉及密碼技術(shù)或產(chǎn)品范圍的技術(shù)屬性)，網(wǎng)絡(luò)安全等級(jí)保護(hù)(可參見(jiàn)2007年《信息安全等級(jí)保護(hù)管理辦法》第37條、第38條，起草中的網(wǎng)絡(luò)安全等級(jí)保護(hù)條例、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》(征求意見(jiàn)稿))進(jìn)一步細(xì)化和銜接.例如按照《網(wǎng)絡(luò)安全法》第23條規(guī)定：“網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求，由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后，方可銷(xiāo)售或者提供.國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄，并推動(dòng)安全認(rèn)證和安全檢測(cè)結(jié)果互認(rèn)，避免重復(fù)認(rèn)證、檢測(cè)”，據(jù)此商用密碼產(chǎn)品(如作為網(wǎng)絡(luò)關(guān)鍵設(shè)備或安全專(zhuān)用產(chǎn)品的)經(jīng)認(rèn)證的，是否即可視為符合質(zhì)量程序，在適用不同法律規(guī)定時(shí)就會(huì)出現(xiàn)分歧.因?yàn)闄z測(cè)和認(rèn)證所適用的法律路徑、過(guò)程要求和發(fā)起、報(bào)送機(jī)構(gòu)均有不同.

第三是強(qiáng)化市場(chǎng)監(jiān)管和建立黑名單制度.按照《決定》要求，國(guó)家密碼局應(yīng)：1)強(qiáng)化市場(chǎng)監(jiān)管措施，加大商用密碼產(chǎn)品“雙隨機(jī)、一公開(kāi)”抽查力度；2)建立信用體系，實(shí)行“黑名單”制度，加強(qiáng)社會(huì)監(jiān)督，對(duì)違法違規(guī)行為加大處罰力度，充分發(fā)揮行業(yè)組織作用.例如按照新近一期國(guó)家密碼管理局《關(guān)于開(kāi)展2017年度商用密碼隨機(jī)抽查工作的通知》[5]，明確為加強(qiáng)商用密碼事中事后監(jiān)管，促進(jìn)商用密碼健康發(fā)展，其2017年商用密碼隨機(jī)抽查范圍包括商用密碼產(chǎn)品、進(jìn)口密碼產(chǎn)品和含有密碼技術(shù)的設(shè)備的單位.抽查事項(xiàng)包括商用密碼產(chǎn)品的合法合規(guī)性以及進(jìn)口密碼產(chǎn)品和含有密碼技術(shù)的設(shè)備合法合規(guī)性.

第四是實(shí)施銷(xiāo)售登記備案制度.《通知》要求，取得《商用密碼產(chǎn)品型號(hào)證書(shū)》的單位應(yīng)當(dāng)于每年1月31日前向所在地的省、自治區(qū)、直轄市密碼管理部門(mén)如實(shí)報(bào)送上一年度商用密碼產(chǎn)品銷(xiāo)售登記備案數(shù)據(jù).除此之外，還包括投訴舉報(bào)、違法違規(guī)查處等常規(guī)的法律責(zé)任內(nèi)容.

因此，整體而言盡管主體形式審查取消，但實(shí)質(zhì)審查程序和過(guò)程監(jiān)管仍然存在，并會(huì)隨著《網(wǎng)絡(luò)安全法》的施行增大力度和執(zhí)法彈性.

2.3 統(tǒng)一《商用密碼產(chǎn)品型號(hào)證書(shū)》的取得

按照《決定》和《通知》的要求，生產(chǎn)、銷(xiāo)售商用密碼產(chǎn)品的單位無(wú)需再經(jīng)國(guó)家密碼管理局批準(zhǔn)，但生產(chǎn)、銷(xiāo)售的商用密碼產(chǎn)品仍應(yīng)當(dāng)依法辦理《商用密碼產(chǎn)品型號(hào)證書(shū)》.與此呼應(yīng)的是，2017年11月3日在第55次ISOIEC聯(lián)合技術(shù)委員會(huì)信息安全技術(shù)分委員會(huì)(SC27)德國(guó)柏林會(huì)議上，含有我國(guó)SM2與SM9數(shù)字簽名算法的ISOIEC14888-3AMD1《帶附錄的數(shù)字簽名第3部分：基于離散對(duì)數(shù)的機(jī)制—補(bǔ)篇1》獲得一致通過(guò)成為ISOIEC國(guó)際標(biāo)準(zhǔn)，進(jìn)入標(biāo)準(zhǔn)發(fā)布階段[6].可以預(yù)見(jiàn)，隨著我國(guó)在密碼技術(shù)和網(wǎng)絡(luò)空間安全領(lǐng)域的國(guó)際合作和交流的進(jìn)一步深入，基于標(biāo)準(zhǔn)的密碼產(chǎn)品研發(fā)、生產(chǎn)和銷(xiāo)售的境內(nèi)外主體差異將進(jìn)一步縮小，統(tǒng)一《商用密碼產(chǎn)品型號(hào)證書(shū)》的取得有利于商用密碼和網(wǎng)絡(luò)安全產(chǎn)品、服務(wù)市場(chǎng)的彈性監(jiān)管和創(chuàng)新繁榮.同時(shí)，從美國(guó)出口監(jiān)管法和《出口監(jiān)管規(guī)則》(EAR)的密碼監(jiān)管政策立法看，2000年以來(lái)有的放矢的“適度放松”正是沿著標(biāo)準(zhǔn)化的路徑演化，密碼標(biāo)準(zhǔn)化無(wú)疑有利于進(jìn)出口監(jiān)管，今后也將持續(xù)成為各國(guó)的慣常措施.作為除外規(guī)定，EAR License Exceptions (Part 740)“ (b)登記、分類(lèi)和自評(píng)估”中(2)非標(biāo)準(zhǔn)密碼(non-standard cryptography)”[7]，則對(duì)非標(biāo)準(zhǔn)密碼要求登記、分類(lèi)和自評(píng)估的嚴(yán)格限制.

2.4 進(jìn)口密碼產(chǎn)品的審批許可

按照《決定》和《通知》，國(guó)家密碼局規(guī)定：1)加強(qiáng)對(duì)進(jìn)口密碼產(chǎn)品的審批，健全相關(guān)制度，未經(jīng)許可不得進(jìn)口；2)如需使用境外密碼產(chǎn)品和含有密碼技術(shù)的設(shè)備，必須是已取得國(guó)家密碼局進(jìn)口許可的密碼產(chǎn)品和含有密碼技術(shù)的設(shè)備；3)外商投資企業(yè)、境外組織和個(gè)人使用的密碼產(chǎn)品或者含有密碼技術(shù)的設(shè)備需要從境外進(jìn)口的，仍應(yīng)當(dāng)依法辦理《密碼產(chǎn)品和含有密碼技術(shù)的設(shè)備進(jìn)口許可證》.

從目前來(lái)看，對(duì)密碼進(jìn)口的監(jiān)管(批準(zhǔn)條件)主要涉及主體、最終用途和負(fù)面清單幾個(gè)方面，按照《密碼產(chǎn)品和含有密碼技術(shù)的設(shè)備進(jìn)口許可服務(wù)指南》規(guī)定：1)進(jìn)口申請(qǐng)人是外商投資企業(yè)、境外組織或個(gè)人；2)進(jìn)口的產(chǎn)品供外商投資企業(yè)、境外組織或個(gè)人自用，不得轉(zhuǎn)讓?zhuān)?)進(jìn)口的產(chǎn)品不會(huì)危害或者可能危害國(guó)家安全、社會(huì)公共利益.對(duì)如何進(jìn)行自用的最終用途和不會(huì)危害國(guó)家安全、社會(huì)公共利益的“技術(shù)審查”，《密碼產(chǎn)品和含有密碼技術(shù)的設(shè)備進(jìn)口許可證》主要是從商品名稱(chēng)、版本型號(hào)、商品編號(hào)、數(shù)量和計(jì)量單位進(jìn)行統(tǒng)計(jì)，實(shí)際上則進(jìn)一步涉及加密方法、類(lèi)型、技術(shù)描述、性能指標(biāo)、密鑰長(zhǎng)度、協(xié)議、產(chǎn)品部署、最終用戶和產(chǎn)品最終用途(區(qū)分基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng))等審查.

值得注意的是：1)上述規(guī)定未將境內(nèi)實(shí)體通過(guò)網(wǎng)絡(luò)下載等在線傳輸方式界定為進(jìn)口；2)如符合《商用密碼管理?xiàng)l例》“任何單位或者個(gè)人不得銷(xiāo)售境外的密碼產(chǎn)品”要求的條件，境內(nèi)銷(xiāo)售的(例如含有密碼技術(shù)或加密組件的智能手機(jī)等終端設(shè)備)，應(yīng)考慮銷(xiāo)售協(xié)議、銷(xiāo)售記錄和信息的保留與報(bào)告，以符合抽查的要求；3)同時(shí)對(duì)“自用”而言，由于密碼產(chǎn)品和技術(shù)的應(yīng)用主要在于加密傳輸(和認(rèn)證)，則必然與《網(wǎng)絡(luò)安全法》所規(guī)定的數(shù)據(jù)本地化、數(shù)據(jù)跨境傳輸產(chǎn)生關(guān)聯(lián)(見(jiàn)下文).

2.5 出口許可

《商用密碼管理?xiàng)l例》第13條規(guī)定：“進(jìn)口密碼產(chǎn)品以及含有密碼技術(shù)的設(shè)備或者出口商用密碼產(chǎn)品，必須報(bào)經(jīng)國(guó)家密碼管理機(jī)構(gòu)批準(zhǔn).”《商用密碼產(chǎn)品出口許可服務(wù)指南》進(jìn)一步規(guī)定，出口許可的批準(zhǔn)條件為：1)出口的產(chǎn)品不會(huì)危害或者可能危害國(guó)家安全、社會(huì)公共利益；2)出口的產(chǎn)品通過(guò)國(guó)家密碼管理局的審批；3)產(chǎn)品出口到境外最終用戶的過(guò)程中，如有多個(gè)中間方參與，申請(qǐng)人應(yīng)當(dāng)提供每個(gè)環(huán)節(jié)的合同或者協(xié)議.

值得注意的是：1)密碼出口對(duì)主體未作明確限制，內(nèi)資實(shí)體與外資、境外實(shí)體的出口在實(shí)質(zhì)上可能有所不同，例如前者可能涉及國(guó)家國(guó)際責(zé)任的問(wèn)題，后者對(duì)進(jìn)口密碼用于跨境數(shù)據(jù)傳輸?shù)氖欠裾J(rèn)定為出口的問(wèn)題；2)對(duì)于非標(biāo)準(zhǔn)密碼，可能涉及嚴(yán)格的審批和技術(shù)審查程序，而隨著密碼標(biāo)準(zhǔn)化的推進(jìn)，未來(lái)則可能有規(guī)范可行的快捷方式可循，在這種情況下，取得最終用戶承諾亦顯得更為重要，盡管承諾的協(xié)議方式歸為“軟法”，但在涉及國(guó)家安全、公眾利益等實(shí)質(zhì)審查中，各國(guó)均視其為有效的監(jiān)管和追責(zé)方式.

3 密碼監(jiān)管的數(shù)據(jù)本地化與跨境傳輸問(wèn)題

對(duì)于外資和境外實(shí)體而言，密碼產(chǎn)品和技術(shù)的用途除用于“含有加密功能的信息技術(shù)產(chǎn)品”、服務(wù)銷(xiāo)售外，還可能涉及《網(wǎng)絡(luò)安全法》所稱(chēng)的個(gè)人信息、重要數(shù)據(jù)按照《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》(征求意見(jiàn)稿)(“《辦法》”)所稱(chēng)的數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)向境外提供的情形(此需求一般理解為前述的“自用”，但應(yīng)涉及不同主體之間的數(shù)據(jù)交換，故對(duì)“自用”的范圍理解可能會(huì)產(chǎn)生分歧和風(fēng)險(xiǎn))，因此將按照《辦法》進(jìn)行安全評(píng)估.按照通常理解：1)密碼產(chǎn)品和技術(shù)本身可能作為重要數(shù)據(jù)而進(jìn)行評(píng)估；2)密碼技術(shù)的應(yīng)用加劇了數(shù)據(jù)出境評(píng)估的難度(成本).

結(jié)合《商用密碼管理?xiàng)l例》和《辦法》第8條的規(guī)定，涉及密碼的出境評(píng)估應(yīng)需要重點(diǎn)考慮：1)數(shù)據(jù)接收方的安全保護(hù)措施、能力和水平，以及所在國(guó)家和地區(qū)的網(wǎng)絡(luò)安全環(huán)境等，特別是其密碼分析能力、執(zhí)法機(jī)關(guān)的協(xié)助要求(法律——例如有無(wú)要求運(yùn)營(yíng)商強(qiáng)制解密的規(guī)定，美國(guó)1994《通信協(xié)助執(zhí)法法》(Communication Assistance for Law Enforcement Act)的規(guī)定即有別于我國(guó)《國(guó)家安全法》《網(wǎng)絡(luò)安全法》)[8]等；2)數(shù)據(jù)出境及出境數(shù)據(jù)匯聚可能對(duì)國(guó)家安全、社會(huì)公共利益、個(gè)人合法利益帶來(lái)的風(fēng)險(xiǎn)——此與前述《商用密碼管理?xiàng)l例》的技術(shù)審查條款直接對(duì)應(yīng).此外，《辦法》第12條規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)根據(jù)業(yè)務(wù)發(fā)展和網(wǎng)絡(luò)運(yùn)營(yíng)情況，每年對(duì)數(shù)據(jù)出境至少進(jìn)行一次安全評(píng)估，及時(shí)將評(píng)估情況報(bào)行業(yè)主管或監(jiān)管部門(mén)的規(guī)定也將適用于前述密碼進(jìn)口和出口的情形.而對(duì)于行業(yè)主管或監(jiān)管部門(mén)組織的安全評(píng)估，如何對(duì)加密數(shù)據(jù)進(jìn)行重要數(shù)據(jù)的判定和評(píng)估，也將極具挑戰(zhàn).

4 結(jié) 語(yǔ)

綜上，在密碼技術(shù)標(biāo)準(zhǔn)化和監(jiān)管精細(xì)化的國(guó)際背景下，隨著《決定》具體落實(shí)和《網(wǎng)絡(luò)安全法》配套制度的制定與推進(jìn)，在密碼監(jiān)管領(lǐng)域?qū)⒉豢杀苊獾貙?duì)外資和境外實(shí)體產(chǎn)生沖擊，商用密碼技術(shù)屬于國(guó)家秘密，和“商用密碼用于保護(hù)不屬于國(guó)家秘密的信息”的特性，以及密碼產(chǎn)品和技術(shù)應(yīng)用的普遍化加劇了這一趨勢(shì)，企業(yè)對(duì)密碼合規(guī)的需求應(yīng)綜合《網(wǎng)絡(luò)安全法》(配套制度、標(biāo)準(zhǔn))、《密碼法》(草案)、《出口管制法》(草案)等早日提上議程.

[1]國(guó)家密碼管理局. 關(guān)于《中華人民共和國(guó)密碼法(草案征求意見(jiàn)稿)》公開(kāi)征求意見(jiàn)的通知[OL]. (2017-04-28) [2017-11-18].http:www.oscca.gov.cnscahdjl2017-0428content_1011759.shtml

[2]國(guó)家密碼管理局. 國(guó)家密碼管理局關(guān)于做好商用密碼產(chǎn)品生產(chǎn)單位審批等4項(xiàng)行政許可取消后相關(guān)管理政策銜接工作的通知[OL]. (2017-10-11) [2017-11-18].http:www.sca.gov.cnscaxwdt2017-1011content_1015813.shtml

[3]國(guó)家密碼管理局. 商用密碼產(chǎn)品品種和型號(hào)審批服務(wù)指南[OL]. (2017-12-05) [2018-01-05]. http:sca.gov.cnscac1000602016111002474filesa290fd28d5ad4c6ebe22d 89bdf8a2c70.pdf

[4]商務(wù)部條約法律司. 商務(wù)部關(guān)于就出口管制法(草案征求意見(jiàn)稿)公開(kāi)征求意見(jiàn)的通知[OL]. (2017-06-20) [2017-11-08]. http:tfs.mofcom.gov.cnarticleas20170620170602594467.shtml

[5]國(guó)家密碼管理局. 關(guān)于開(kāi)展2017年度商用密碼隨機(jī)抽查工作的通知(國(guó)密局字 〔2017〕292號(hào))(含《2017年商用密碼隨機(jī)抽查事項(xiàng)清單》)[OL]. (2017-09-14) [2017-11-29]. http:www.oscca.gov.cnscaxwdt2017-0914content_1015811.shtml

[6]國(guó)家密碼管理局. 我國(guó)SM2和SM9數(shù)字簽名算法正式成為ISOIEC國(guó)際標(biāo)準(zhǔn)[OL]. (2017-11-17)[2017-12-19]. http:www.oscca.gov.cnscaxwdt2017-1117content_1019960.shtml

[7]BIS.《出口監(jiān)管規(guī)則》 (EAR) License Exceptions (Part 740) (b)[OL].[2017-12-31]. https:www.bis.doc.govindex.phpdocumentsregulation-docs415-part-740-license-exceptionsfile

[8]全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南(草案).5.2.6.2 重要數(shù)據(jù)：該國(guó)家或地區(qū)政府，包括執(zhí)法、國(guó)防、國(guó)家安全等部門(mén)調(diào)取數(shù)據(jù)的法律權(quán)力[OL]. (2017-08-30) [2017-12-03]. http:www.tc260.org.cnfile20170830203000000004.docx

原浩

碩士研究生，主要研究方向?yàn)楦咝录夹g(shù)企業(yè)與信息網(wǎng)絡(luò)安全法律實(shí)務(wù).

laware@qq.com