前沿观察,

企业数字化转型过程中涉及境外商用密码产品的合规之道

中国 | 中文
所在网站 :    中国   |   中文
澳大利亚
中国香港特别行政区
德国
新加坡
西班牙
英国
美国
全球

标签:知识产权数字经济电信、传媒、娱乐与高科技-数据及隐私权保护

“密码”是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。随着网络和信息技术的不断发展,人们越来越关注网络和信息的安全建设,但网络攻击、数据泄露等事件层出不穷,亟需有效的安全防护措施,具备加密保护和安全认证功能的“密码”,便是保障网络与信息安全的核心技术和基础支撑。自《网络安全法》实施以来,我国对网络安全和数据合规的监管日渐加强,密码使用的合规性也开始被更多人关注。

近几年来,随着简化行政审批的“放管服”行政制度改革的持续深化,我国对商用密码产品生产、销售和使用相关的一批行政许可事项逐渐被取消,整体监管风格从面面俱到的“强监管”逐步放宽。2017年9月,国务院发布国发〔2017〕46号文《国务院关于取消一批行政许可事项的决定》,取消了商用密码产品生产单位审批、销售单位许可、外商投资企业使用境外密码产品审批、境外组织和个人在华使用密码产品或者含有密码技术的设备审批四件商用密码行政许可事项。2020年1月1日,我国第一部密码管理领域的综合性法律《密码法》开始实施,对我国商用密码管理制度进行了结构性重塑。《密码法》以“清单制”代替“批准制”,确立了强制检测认证和自愿检测认证相结合的商用密码监管机制。为适应《密码法》的要求,我国于2021年开始着手对《商用密码管理条例(1999)》的修订。目前修订通过的《商用密码管理条例(2023)》已于2023年7月1日开始实施,该条例在《密码法》设定的监管原则下进一步细化了监管要求。尽管商用密码的监管较之前变得更为宽松,对于使用境外的商用密码产品具体需要注意何种合规义务,大多数企业可能并不十分清楚。我们将在下文简要介绍境外商用密码产品使用相关的合规要点,以期给相关企业带来帮助。

一、数字化转型下使用境外商用密码的场景和需求

我国对密码实行分类管理,将密码分为核心密码、普通密码和商用密码。其中核心密码和普通密码均用于保护属于国家秘密的信息,并且其本身也属于国家秘密,绝大多数企业在日常经营中不会触及。商用密码用于保护不属于国家秘密的信息,包括但不限于企业商业秘密、公民个人隐私。例如,商用密码在网上银行、网上支付系统中已得到广泛应用。因此,绝大多数企业在日常经营中触及到的密码为商用密码,其中最为常见的是商用密码产品。商用密码产品,是指采用商用密码技术进行加密保护、安全认证的产品,可分为软件、芯片、模块、板卡、整机、系统六类。典型的商用密码产品包括密码机(比如网络密码机、电话密码机等)和密码芯片和模块(比如银行卡、社保卡中使用的密码芯片、可行计算密码模块等)。所谓“境外商用密码产品”,一般指在境外研发、制造的商用密码产品,其使用的算法一般未遵循我国的国家标准和行业标准。

随着我国加速推动数字经济建设,国内企业在数字化转型过程中为保障网络和数据安全很可能会使用到境外商用密码产品,比如境外制造的用于加密保护、安全认证的软件、芯片、模块等。尤其是一些外商投资企业可能出于境外集团公司的统一要求而需要使用境外集团公司统一采购或研发的境外商用密码产品(比如外资银行可能会使用境外总行统一配备的“U盾”、客户身份认证APP等)。随之而来的问题便是,国内企业进口、使用境外的商用密码产品是否需要取得相关的行政许可或备案,是否在使用过程中可能会引发隐藏的合规风险?

二、境外商用密码产品使用相关的合规要点

自2017年国务院发布国发〔2017〕46号文以来,使用境外商用密码产品监管态势逐步放松。据笔者了解,除少数例外情形,目前我国商用密码监管体系暂未对使用境外商用密码产品设置特别的合规要求。我们简要介绍如下。

1. 境外商用密码产品的进口合规要求

自商务部、国家密码管理局、海关总署发布2020年第63号《关于发布商用密码进口许可清单、出口管制清单和相关管理措施的公告》之后,商用密码进出口管理被纳入《出口管制法》下的两用物项进出口许可管制体系中,进口审批权限也从国家密码管理局挪至商务部。在该公告中,商务部会同国家密码管理局和海关总署制定了《商用密码进口许可清单》和《商用密码出口管制清单》,对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。对于落入前述清单中的商用密码,进口方(出口方)应向商务部申请办理两用物项和技术进口(出口)许可证。

尽管有前述规定,界定何为“进口商用密码产品”仍存在不确定性。《商用密码管理条例(2023)》第三十三条规定,进口商用密码进口许可清单中的商用密码或者出口商用密码出口管制清单中的商用密码时,应当向海关交验进出口许可证,并按照国家有关规定办理报关手续。也就是说,商用密码进口许可证适用于通过中国海关进口的场景,这也是我们通常所理解的 “进口”——经海关将境外产品带入境内使用、销售、加工、再出口等。

但商用密码产品有可能以非实物的形式存在(比如软件),国内用户可以直接从境外网站下载或者由境外厂商/销售商直接以电子形式提供,不以实物形式经过中国海关。此方式是否构成“进口”目前并无定论。根据笔者的实践经验,商务部及地方商委对该问题的理解并不一致:有观点认为此方式获取境外商用密码软件仍构成“进口”,但由于通过互联网获取境外商用密码软件本身不会通过海关,商务部门实操中难以施加监管;也有观点认为,使用境外商用密码软件并不属于“进口”,不需要获得进口许可证,理由是该软件并非有形产品,无法通过海关进口。此外,我们也注意到海关总署在其官方网站上明确,对于提供在线下载的软件等无形产品,不属于海关监管范围。总结而言,目前通过互联网获取境外商用密码软件在实践中定性尚不明确,但考虑到该等软件本身不会经由海关入境,实操中被纳入进口监管的可能性较低,有待监管部门进一步明确。

2. 境外商用密码产品的使用合规

(1) 关键信息基础设施运营者使用商用密码产品

《网络安全法》提出了关键信息基础设施运营者(以下简称“CIIO”)的概念并对其施加了高于一般网络运营者的合规义务。在商用密码监管体系下,若CIIO按照有关规定使用商用密码保护其运营的关键信息基础设施,应注意特别的合规要求:

  • 应通过商用密码应用安全性评估(“密评”):密评是指对采用商用密码技术、产品和服务集成建设的网络与信息系统密码应用的合规性、正确性、有效性进行评估。CIIO应自行或者委托商用密码检测机构开展密评,运行后每年至少进行一次评估,并报送国家密码局或者关键信息基础设施所在地省级密码管理部门备案。
  • 检测认证合格:关键信息基础设施上使用的商用密码产品、服务应当经检测认证合格,使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码局审查鉴定。
  • 可能触发国家安全审查:CIIO采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当依法通过国家安全审查。

上述合规要求表面上并未明确区分境内或境外的商用密码产品,但如果CIIO使用境外商用密码产品保护其关键信息基础设施,在技术层面有一定可能无法通过前述密评、检测认证或国家安全审查。

举例而言,国家标准GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》是开展密评的纲领性标准,其第5条“通用要求”明确提出:信息系统中使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求;信息系统中使用的密码技术应遵循密码相关国家标准和行业标准。而境外商用密码产品采用的密码算法有一定可能并不符合我国的国家标准和行业标准,进而可能导致无法通过密评。

在此前项目中我们也曾就此问题匿名咨询过密码管理部门、密码行业标准化技术委员会以及部分检测认证机构,被告知若未使用国密算法(如SM1算法、SM2算法等),确实有一定可能无法通过检测认证或密评(具体以实际技术评估、专家评议为准)。

(2) 网络安全等级保护相关的密码使用要求

信息网络系统的安全等级保护也与商用密码使用要求存在关联。《商用密码管理条例(2023)》第四十一条规定,网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。国家标准GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》规定了不同安全等级的网络应符合的安全要求。在第二级、第三级、第四级的安全通用要求中,该标准明确要求:应遵循密码相关国家标准和行业标准、应使用国家密码管理主管部门认证核准的密码技术和产品。类似本文第3.1部分讨论的场景,境外商用密码产品采用的密码技术有一定可能并不符合我国的国家标准和行业标准,进而可能导致网络系统无法满足网络安全等级保护的要求。

此外,《网络安全等级保护条例(征求意见稿)》第四十七条要求第三级以上网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务;第三级以上网络运营者应在网络规划、建设和运行阶段,按照密评管理办法和相关标准,委托密码应用安全性测评机构开展密评。如果该条例按当前文本正式生效,这意味着第三级以上网络将同时需要符合密评的要求——如我们在本文第3.1部分所介绍的,境外商用密码产品如未使用国密算法,将有一定可能导致第三级以上网络无法通过密评。

三、小节

相较于国产的商用密码产品,目前的商用密码监管体系并未对境外商用密码产品的使用提出特别的合规要求。国内的使用者如通过合法渠道从海关进口境外商用密码产品并在必要的情况下取得两用物项的进口许可证(通过互联网获取境外商用密码软件的进口合规要求尚不明确),后续使用该境外商用密码产品本身暂不需要取得特定的行政许可或备案要求。但考虑到相关法律法规对CIIO及网络安全等级保护设定的合规要求可能会在技术层面间接地对商用密码使用提出要求,我们建议相关企业在使用境外商用密码产品时结合自身实际情况加以判断,在必要的情况下可事先与密评机构、商用密码检测认证机构以及网络安全等级测评机构进行沟通,以评估使用境外商用密码产品的潜在影响。

扫码订阅“金杜律师事务所”,了解更多业务资讯

最新文章
前沿观察
2021年9月,承载着促进粤港澳地区金融市场互联互通期许的“跨境理财通1.0时代”正式上线,其中南向通资金净流出额上限以及北向通资金净流入额上限均设置为1500亿元人民币。然而根据中国人民银行广东省分行截至2024年1月23日24时的统计数据,跨境理财通南向通净流出500,519.66万元,已用额度500,519.66万元(占比3.34%);北向通净流入23,511.56万元,已用额度23,511.56万元(占比0.16%)。 为促进跨境理财通的试点便利化且提升投资额度的使用率,中国人民银行广东省分行、中国人民银行深圳市分行、国家金融监督管理总局广东监管局、国家金融监督管理总局深圳监管局、中国证券监督管理委员会广东监管局和中国证券监督管理委员会深圳监管局于2024年1月24日联合发布新修订的《粤港澳大湾区“跨境理财通”业务试点实施细则》(以下简称《实施细则2.0》),降低投资者准入门槛、扩大试点范围、优化营销以进一步推动粤港澳大湾区金融互联互通。《实施细则2.0》自2024年2月26日起施行。鉴往知来,方能曲突徙薪。《实施细则2.0》的施行昭示着投资更为便捷通畅的“跨境理财通2.0时代”的来临,在此背景下,本文将结合过往两年试点中的实务经验和市场观察,厘清跨境理财通的机制变迁、运行与业务合规要点,梳理实践中的遗留问题,以使委曲详尽,利害缕析。银行与融资,金融机构-银行

2024/02/29

前沿观察
Sora是OpenAI公布的全新的生成式人工智能模型,它是一个文生视频模型(Text to Video),能够根据输入的提示词,生成最长达60秒的逼真视频。Sora在发布后引起了广泛的关注和讨论,虽然其生成的视频仍有瑕疵,遭到一些专业人士以及竞争对手谷歌等的吐槽,但是其生成的视频质量高,包含了高度精细的背景、复杂的运镜、丰富的角色,以及多变的风格和微表情等,使得人们对其的应用前景充满期待。与此同时,Sora也引发了一些关于版权、商标和数据合规等法律问题的讨论。我们很有兴趣做一个假设,如果Sora在中国提供服务,应当遵守哪些法律指引呢?经过梳理分析,我们发现实际上Sora可能会用上我国所有的新技术新应用立法(目前我国新兴领域立法体系主要关注网络安全和数据安全问题,因此生成式人工智能的知识产权保护问题不在本文中讨论)。本文以此作为思想试验,以Sora为调整对象,分析解构我国新兴领域立法规定及合规概要,希望可以让我们更深入地认识大模型,也可借此了解和熟悉我国的新兴领域立法体系。合规业务-网络安全与数据合规,数字经济

2024/02/29

前沿观察
近年来,得益于基础设施和信息技术的快速发展和广泛应用,量化交易规模持续上升,已成为包括公私募基金在内投资者参与证券交易的重要方式之一。从市场实践来看,量化交易在促进价格发现、增强流动性及提升交易效率等方面具有积极作用,同时也因为量化机构在技术、信息方面形成的相对优势,特定市场环境下也出现了如因高频量化交易行为所导致的市场波动等风险。在此情况下,监管机构就量化交易陆续出台了系列监管措施。无论是公募基金还是私募基金,在开展量化交易活动时,都必须在中国证券投资基金业协会(“中基协”)、中国证券监督管理委员会(“中国证监会”)等监管部门设定的公募或私募基金常规性监管框架内规范运作,同时还需遵循特别针对包括量化交易在内的程序化交易制定的信息报告制度等专门监管要求。本文将从量化私募基金的角度出发,对其及其开展量化交易活动的监管要求进行梳理、分析。私募股权与基金-私募基金股权投资,金融机构-金融市场监管

2024/02/29