2019年7月5日，全国人大常委会审议并正式发布了《密码法（草案）》（下称“草案”）。在此之前，2014年底，国家密码管理局开始着手密码法起草工作；2017年4月，国家密码管理局正式对外发布了了《密码法(草案征求意见稿)》（下称“意见稿”）。

由于密码法起草过程中，我国密码（尤其是商用密码）监管制度发生了较大变化，因此2019版《草案》吸收了国务院行政许可事项改革及商密国标制定过程中的一些制度创新，最终内容相较于2017版《意见稿》就更加科学精细和包容审慎。

汇业黄春林律师团队结合我国商用密码立法的历史沿革及监管实务口径，详细解读《密码法（草案）》背景下的我国商用密码监管的放管之道。

尽管条文数量差距不大，但从立法体例到具体制度，2019版《草案》相较于2017年版《意见稿》都发生了较大变化，主要体现在：

尽管两版都坚持密码分类管理这一基础逻辑，但2017年版《意见稿》是按照密码应用、安全、促进及监管这一纵深逻辑构建立法体例，该体例的缺点是不同分类密码的法律适用及合规要求相对混乱；2019版《草案》完全贯彻了分类管理思想，从立法体例上就将“核心密码、普通密码”和“商用密码”分开专章监管，立法体例及法律适用更加清晰科学。

2019版《草案》专章规定了核心密码、普通密码的合规要求，例如明确密级适用，安全管理制度要求，监测预警及应急处置要求，人员录用及用工管理要求，等等。

2019版《草案》删除了2017年版《意见稿》中争议极大的条文：“因国家安全或者追查刑事犯罪的需要，人民检察院、公安机关、国家安全机关可以依法要求电信业务经营者、互联网服务提供者提供解密技术支持。电信业务经营者、互联网服务提供者应当配合，并对有关情况予以保密。”

尽管如此，但电信、互联网企业仍应当按照《反恐怖主义法》、《网络安全法》等规定履行有关协助、支持义务。

此外，2019版《草案》还调整了部分违法行为查处机关，例如销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的商用密码产品或者服务的，由市场监督管理部门查处。其他变化如删除了商用密码产品销售、使用及进出口许可有关条文，增强了横向立法的兼容性等，详见下文部分。

与我国近期商用密码监管实践一脉相承，相较于2017年版《意见稿》及国务院273号令，2019版《草案》监管思路从“管企业”到“管产品”，很好的体现了立法的包容审慎性，具体体现在：

在国发〔2017〕46号等规定的基础上，《草案》从立法层面取消了商用密码产品生产单位审批、商用密码产品销售单位许可、外商投资企业使用境外密码产品审批、境外组织和个人在华使用密码产品或者含有密码技术的设备审批。

但实践中，根据汇业黄春林律师团队经验，仍然对商用密码产品销售企业实行登记备案制度，且会登记审核进口密码产品的最终用户和最终用途。

2017年版《意见稿》沿袭国务院273号令的监管思路，明确规定销售、使用及进出口商用密码产品以及从事商用密码服务的机构实行许可；但2019版《草案》删除了前述条文，仅规定该等行为应当符合有关法律、行政法规（例如国务院273号令、国发〔2017〕46号文等），在法律层面保持了未来立法、修法的灵活性。

监管实践中，按照国务院273号令、国密局字 〔2017〕336号文、国密2005第5号文等规定：（1）境内企业生产、销售商用密码产品的，产品本身仍应当办理《商用密码产品型号证书》；（2）外商投资企业、境外组织和个人需要从境外进口密码产品或者含有密码技术的设备自用的,该产品或设备仍应当办理《密码产品和含有密码技术的设备进口许可证》。上述证书、许可证的办理及法律咨询，可以联系汇业律师事务所黄春林律师团队。

2019版《草案》并非一味的“放”，在商用密码产品准入、安全评估、安全审查、检测认证、进出口管制清单、事中事后监管等方面也实现了“管”，具体体现在：

首先，依法要求使用商用密码进行保护的关键信息基础设施的运营者，应当开展商用密码应用安全性评估。汇业黄春林律师团队了解，实践中，很多企业已经开始按照GM/T 0054-2018等要求开展商用密码应用的合规性、正确性及有效性评估，俗称“密评”。

其次，《草案》规定了商用密码检测、认证制度。对用于网络关键设备和网络安全专用产品的商用密码服务实行强制检测、认证制度；其他商用密码从业单位实行自愿检测、认证制度。

再次，《草案》规定，商务部、国家密码管理局对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可、出口管制清单制度。

最后，《草案》还规定密码管理部门和有关部门建立日常监管与双随机抽查相结合的商用密码事中事后监管制度。

2019版《草案》没有求大求全，而是增强了横向立法的兼容性，有效衔接了《网络安全法》规定的等保制度、CII制度、网络关键设备和网络安全专用产品目录管理等制度。

首先，2019版《草案》分级分类管理的整体思路，与《网络安全等级保护条例（征求意见稿）》（下称“等保条例”）有关规定衔接。例如，《等保条例》明确规定企业应当根据网络安全等级定级情况采取不同的密码合规要求，其中，三级以上网络只能使用国家密码管理部门许可/批准的密码产品，且必须强制开展密码应用安全性评估并依法办理备案。而作为密评主要依据的GM/T 0054-2018，也很好的贯彻了网络安全等级分级管理的要求。

其次，《关键信息基础设施安全保护条例（征求意见稿）》也有关于密码使用、管理的指引性规定。

最后，根据《网络安全法》等规定，一旦商用密码产品因涉及国家安全、国计民生、社会公共利益被列入网络关键设备和网络安全专用产品目录（定期更新）后，应当开展强制性监测及认证后方可提供或销售。

（文章来源：LCOUNCIL）
注：内容均来源于互联网，版权归作者所有，如有侵权，请联系告知，我们将尽快处理。