贯彻实施《商用密码管理条例》 推动商用密码高质量发展

2023年7月1日，新修订的《商用密码管理条例》（以下简称《条例》）正式施行，商用密码管理制度重塑与实践变革迈出坚实步伐。

一、《条例》修订出台的背景

支撑网络空间治理、实现科技自立自强的现实需要。当下全球网络空间正在加速演变，并对现实世界产生深远影响。网络空间在国家安全和经济社会发展中的基础性、全局性、战略性作用日益凸显。实现中华民族伟大复兴，必须加强网络空间治理。商用密码是保障网络空间安全的基础支撑技术，因其部署使用广泛、管理运维方便、融合创新活跃等特点，已成为服务高水平对外开放，实现科技自立自强的重要支撑。站在新的历史起点，系统谋划商用密码在维护安全、推动发展，服务国家重大战略方面的职责使命，建立健全符合时代要求的商用密码法规制度势在必行。

适应数字变革机遇，建设网络强国、数字中国的时代要求。数字时代，密码是网络空间中身份认证、数据加密、完整性保护和抗抵赖方面的核心技术，是强化数字经济安全体系、提升数据安全保障水平的必要手段，更是畅通数据资源流动循环、推动公共数据汇聚利用、释放商业数据价值潜能的关键依托，密码技术正在加速向数字经济社会的各领域渗透融合。近年来，随着数字化发展浪潮席卷全球，驱动生产生活和治理方式发生深刻变革，促使商用密码应用领域不断深化、数据资源保护作用更加突出、泛在化应用需求更加迫切、法治建设引领地位更加突出。《条例》的修订出台，适应信息数字变革要求，契合商用密码发展趋势，有利于支撑网络强国、数字中国战略顺利实施。

贯彻依法治国方略，实现商用密码治理体系和治理能力现代化的重要举措。2019 年颁布的《密码法》对商用密码管理制度进行了结构性重塑。贯彻《密码法》精神，细化相关管理制度，更好适应新时代商用密码高质量发展要求，亟需对 1999 年《条例》进行全面修订，清晰界定商用密码管理范围，合理设置管理环节，明确管理条件和程序，将近年来密码管理部门在管理实践中形成的一系列成熟有效的管理措施，通过行政法规固化下来。细化落实国家对重要领域商用密码应用、安全性评估等提出的系列要求，规范商用密码使用和监管，更好发挥商用密码维护国家主权、安全和发展利益的重要作用。

二、《条例》的主要内容

落实党管密码根本原则，健全商用密码管理体制。党管密码原则是密码工作长期实践和历史经验的深刻总结，是密码工作最重要、最根本、最核心的要求。《条例》明确坚持中国共产党对商用密码工作的领导，贯彻落实总体国家安全观，对此作出一系列体制变革与制度安排，改变 1999 年《条例》确立的国家和省两级委托管理体制，明确国家、省、市、县四级分级负责的管理体制，规范和加强密码管理部门行政管理职能，更好适应商用密码管理的现实需要。深化商用密码行政审批制度改革，放宽市场准入，简化优化审批流程，在充分保障安全的基础上更好激发市场活力。明确网信、商务、海关、市场监管等有关部门商用密码管理职责，做好与认证认可、关键信息基础设施安全保护、网络安全等级保护、国家安全审查等方面制度要求衔接，推动构建系统完备、协调有序的商用密码管理新格局。

树立应用牵引根本导向，提升商用密码服务水平。在国民经济发展和社会生产生活各方面的广泛应用，是当前商用密码的重要任务。以应用为牵引，不断提升商用密码服务水平，一方面，鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全，支持网络产品和服务使用商用密码提升安全性，规范商用密码在信息领域新技术、新业态、新模式中的应用；另一方面，明确关键信息基础设施的商用密码使用要求，确立网络安全等级保护商用密码使用原则和落实机制，加强网络安全制度衔接，强化涉及国家安全、公共利益领域的密码应用刚性约束。

坚持创新驱动发展方向，激发商用密码创新活力创新是商用密码发展的源动力。《条例》重点解决商用密码科技创新与产业发展不平衡不充分的问题，明确加强商用密码人才培养，建立健全商用密码人才发展体制机制和人才评价制度，鼓励和支持密码相关学科和专业建设；建立健全商用密码科学技术创新促进机制，支持商用密码科学技术自主创新；鼓励支持商用密码科学技术成果转化和产业化应用；优化现行商用密码科研成果审查鉴定审批的适用范围，依法保护商用密码领域的知识产权；规范商用密码标准的制定、实施、监督、国际化及法律效力，有助于持续激发社会创造力，更好满足新时代商用密码高质量发展需求。

确立检测认证制度体系，支撑商用密码现代治理。《条例》全面取消了商用密码产品生产、销售、型号等审批，细化落实检测认证制度。一是明确国家推进商用密码检测认证体系建设，鼓励在商用密码活动中自愿接受商用密码检测认证；二是明确商用密码检测、认证机构资质审批条件、程序及其从业规范；三是对涉及国家安全、国计民生、社会公共利益的商用密码产品与使用网络关键设备和网络安全专用产品的商用密码服务实行强制性检测认证制度。通过建立国家统一推行的商用密码检测认证制度，有利于更好发挥标准化和检测认证的支撑作用，更好激发经营主体内生动力，提升商用密码现代化治理能力。

完善监督处罚机制手段，保障商用密码制度落实。树立法律权威，需要良好的监督机制和有效的处罚手段。《条例》单设监督管理专章，把更多行政资源从事前审批转到事前、事中、事后监管。明确规定密码管理部门和有关部门的商用密码监督管理职责权限；明确建立商用密码监督管理协作机制，推进商用密码监督管理与社会信用体系相衔接；明确密码管理部门和有关部门开展商用密码监督管理中的源代码保护、保密义务、投诉举报等制度机制。同时，针对主要管理制度，细化明确违法情形，细分完善法律责任，保障《条例》实施的实际效果。

三、深入贯彻落实《条例》

法律的生命力在于实施，法律的权威也在于实施。《条例》为商用密码依法管理提供了清晰路径，接下来，关键是立足当前基础，抓好贯彻落实。

抓好法规制度建设，优化商用密码现代化治理体系。近年来，商用密码领域全面贯彻党中央决策部署、落实国务院改革要求，认真总结商用密码管理工作成功经验，深入研究商用密码发展新形势、新任务，积极借鉴国外密码管理有益做法，逐步形成以《密码法》为基础，一部行政法规、多部规章和规范性文件构成的新一代商用密码管理法规体系。下一步，要继续抓好法规制度建设，对已有政策法规进行系统修订，同时针对标准化管理、检测机构资质管理、商用密码应用与安全性评估、电子政务电子认证、监督检查等方面抓紧制修订配套规章制度，将党管密码的根本原则更好转化为推进商用密码现代化治理的国家意志，为推动商用密码高质量发展提供重要法律保障。

抓好应用手段牵引，深化商用密码融合应用效果。随着金融和重要领域密码应用的深入推进，各地区各部门商用密码应用取得长足进步。金融领域基本实现商用密码规模部署、体系应用，国家关键信息基础设施商用密码保障体系建设取得重点突破，数字中国建设密码安全基座持续夯实，信息惠民商用密码应用全面铺开。下一步，要坚持抓好应用手段牵引，分类落实《条例》关于密码应用的制度规定，着力强化国家数字化发展商用密码安全保障，加强国家核心数据和重要数据商用密码保护与依法利用；着力推进国家关键信息基础设施密码体系化应用，系统构建金融、公共通信和信息服务、能源交通水利、公共服务和电子政务、工业控制和国防科技等重点领域商用密码防护体系；着力深化商用密码与网络化信息化融合发展，推进商用密码与国家重大战略、通用信息技术、重要网络系统内生融合。

抓好创新要素驱动，提升商用密码创新供给实力。党的十八大以来，商用密码科技创新水平和产业供给能力持续提升。SM 系列密码算法全体系推进成为 ISO/IEC 国际标准，系列关键核心技术取得突破，多款自主可控、指标先进的密码产品实现量产，新设覆盖研究生、本科、高等职业教育的密码学科专业。下一步，要充分抓好创新要素驱动，以实施《条例》为依托，从科研、产业、人才等各方面综合发力，加大对密码理论研究和关键技术攻关支持力度，组织攻克一批抗量子计算等新形态密码基础前沿重大问题；加强企业主导的产学研深度融合，强化企业科技创新主体地位；在密码领域探索构建新型举国体制，建设任务型、体系化密码科技创新平台；强化商用密码产业链供应链，夯实密码产业基础能力；强化密码标准建设与实施，加强密码专业人才培养评价。

抓好检测认证实施，夯实商用密码战略支撑能力。经过持续努力，我国商用密码检测认证体系建设取得积极进展，基本建立了权责明确、功能互补、协调一致的制度体系，形成具备一定质量和规模基础的标准体系，初步建立起“行政监管、行业自律、社会监督”三位一体的监管体系，督促指导认证机构、产品检测机构和应用安全性评估机构尽快形成与实际需求相匹配的能力水平。下一步，要深入抓好检测认证实施，壮大商用密码检测认证市场主体，加强密码产品检测认证力量布局，推动开展密码服务认证和密码管理体系认证，强化检测认证全流程管理，开展检测机构能力验证与评估。

抓好监督执法，提升商用密码依法监管水平。近年来，商用密码领域持续加强监管体制机制建设，加大执法监督力度，全面推行“双随机、一公开”监管，改革成效得以迅速体现。下一步，要压实抓好监督执法，深入落实以《密码法》《条例》为主体的商用密码法规制度要求，加快建设商用密码运行安全保障体系，加强商用密码资源安全管控；加强商用密码监管手段和能力建设，健全统一的智慧监管平台；配齐配强商用密码行政执法队伍和执法装备，健全跨部门监督执法联动机制；切实加强商用密码行政执法，构建以信用监管为基础、以“双随机、一公开”监管和“互联网+监管”为手段的新型商用密码监管体系；着力加强关键信息基础设施、互联网服务平台密码应用和检测机构违规问题查处。全面提升商用密码依法监管水平，为提高商用密码治理能力提供坚实保障。

原文来源：中国信息安全

“