浅析新规定下商用密码监管的几个方面.docx

浅析新规定下商用密码监管的几个方面自2017年10月至12月，国家密码管理局接连颁布了几个新的商用密码管理规定以及相应的指导性文件，对商用密码的监管政策规定做了较大调整。笔者通过学习分析这些新的变化，并结合相关已有的且继续有效的政策、法规、标准，试图较全面地理解这对商用密码（产品和技术）的生产者和应用者意味着什么。2017年10月国家密码管理局发布了国密局字2017336号文关于做好商用密码产品生产单位审批等4项行政许可取消后相关管理政策衔接工作的通知，2017年12月国家密码管理局颁布了第32号公告国家密码管理局关于废止和修改部分管理规定的决定。这期间，国家密码管理局还发布了相应的配套规定（含修订版）、措施、指南和模板等。下面就几个关心的方面予以阐述：一、 监管项目的变更废止了商用密码产品销售管理规定、商用密码产品使用管理规定和境外组织和个人在华使用密码产品管理办法，修改了商用密码科研管理规定、商用密码产品生产管理规定以及相应的流程管理和要求文件。这意味着：1、 从事商用密码科研的机构或企业，不再需要通过申请、审批取得“商用密码科研定点单位证书”（实际上，国家密码管理局已经于2015年6月按照国务院的要求取消了该项审批）；2、 从事商用密码产品生产的企业，不再需要通过申请、审批取得“商用密码产品生产定点单位证书”；3、 从事商用密码产品销售的企业，不再需要通过申请、审批取得“商用密码产品销售许可证”；4、 在国内的外资企业、境外机构或个人使用境外生产的密码产品（应该指没有通过中国检测并没有取得中国“商用密码产品型号证书”的），不再需要通过申请、审批取得“使用境外生产的密码产品准用证”，但仍需要通过申请、审批取得“密码产品和含有密码技术的设备进口许可证”；【注：国内的中资企业、政府机构和单位不允许使用境外生产的密码产品（应该指没有通过中国检测并没有取得中国“商用密码产品型号证书”）。】5、 在国内的境外机构或个人使用密码产品（主要指使用国内已获得“商用密码产品型号证书”的），不再需要通过申请、审批取得“境外组织或个人使用密码产品准用证”。二、 对于外资/境外商用密码生产企业和销售企业众所周知，商用密码管理条例于1999年颁布后，国家密码管理机构曾经限制外资企业获得商用密码产品生产资格和商用密码产品销售资格，所以至今只有极少数的外资企业获得了相应的证书。按照新规定，对国内的中资企业与国内的外资企业和境外的企业一视同仁，即新的规定中没有对这些企业区别对待的内容。因此：1、 外资和境外商用密码生产企业都可以通过规定的流程（审查、产品检测等），申请“商用密码产品型号证书”，规定中没有对企业资本构成、企业注册地、密码产品生产地、知识产权来源等限制条件；2、 外资和境外企业可在中国销售自己企业或其他企业生产的密码产品，只要该密码产品具有有效的“商用密码产品型号证书”。这里需要说明，按照商用密码管理条例第十三条规定，“进口密码产品以及含有密码技术的设备或者出口商用密码产品，必须报经国家密码管理机构批准。任何单位或者个人不得销售境外的密码产品。” 通常理解，这里所指进口的、境外生产的密码产品，没有取得中国的“商用密码产品型号证书”。那么境外生产的密码产品如果取得了中国的“商用密码产品型号证书”，是否就可以不按进口密码产品监管，即国内的中资企业、政府机构和单位可以使用，并且不需要取得“密码产品和含有密码技术的设备进口许可证”呢（假如无论是否取得“商用密码产品型号证书”结果都一样，都同样对待，似乎不符合监管原则）？这需要国家密码管理局进一步澄清，或在修订的商用密码管理条例中明确规定。三、 关于提供商用密码产品源代码的要求如同以前的规定，申请“商用密码产品型号证书”过程中，生产企业需要提供商用密码产品的源代码。商用密码产品生产管理规定第七条：“商用密码产品生产单位生产商用密码产品,应当在研制出产品样品后向国家密码管理局申请产品品种和型号。申请产品品种和型号应当向所在地的省、自治区、直辖市密码管理机构或者国家密码管理局提交下列材料:”；第九条规定：“国家密码管理局受理申请或者收到省、自治区、直辖市密码管理机构报送的材料后应当组织安全性审查(含产品样品测试,下同)”；商用密码产品品种和型号审批服务指南：“申请材料示范样本下载地址：国家密码管理局网站 /在线服务/下载服务/商用密码产品品种和型号申请材料”；商用密码产品品种和型号申请材料模板(通用产品类)：“程序清单 以表格形式描述提供的程序文件清单及其主要功能，并用光盘提供所有源程序的电子版。”也就是说，商用密码产品生产企业在申请“商用密码产品型号证书”时，需要向地方密码管理机构提供该商用密码产品的电子版的所有源代码，然后由地方密码管理机构进而将该源代码报送给国家密码管理局。应该说，对于商用密码产品的检测、审查，需要厂商提供产品的源代码无可厚非，国际上密码产品的FIPS检测认证也需要厂商提供源代码。笔者认为，密码产品的源代码是企业的核心机密，含有企业的重要知识产权，某种意义上关乎企业的生死存亡。作为行政管理机关的地方密码管理机构和国家密码管理局本身，其行政官员可能没有相应的技术能力分析这些源代码，机关本身也不一定有资源储存和管理这些源代码，并且处置源代码还要承担源代码可能泄露的风险，所以还是以依靠商用密码检测机构在检测商用密码产品的同时，来分析、审查、检测该密码产品的源代码为好。生产企业可以将商用密码产品的源代码直接提交给商用密码检测机构，双方签署保密协议，对双方的权力义务做出约定，如商用密码检测机构如何保障源代码的安全，使用或处置源代码时的必要流程，对接触源代码的检测机构工作人员有何要求，以及密码产品生产企业是否需要以及何时更新该密码产品的源代码等。四、 关于“密码产品”及相关描述的定义商用密码管理条例第二条：“本条例所称商用密码，是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。”条例颁布后，应社会的要求，国家密码管理委员会办公室于2000年3月对条例中“密码产品”的定义做了澄清：关于商用密码管理的有关问题：“纳入本条例管理范围的“密码产品及含有密码技术的设备”，只限于以加密解密操作为核心功能的专用硬件、软件，其他如无线手机、Windows软件、浏览器软件等都不在这个范围之内。”可以看出，所谓“密码产品”仅限于其核心功能为加密解密操作的产品，凡其核心功能不是加解密的，都不按“密码产品”对待和监管；因此，当今市场上我们见到的苹果手机、微软的操作系统、英特尔的CPU等，尽管其中都采用了密码技术，但都不需要按商用密码产品程序申报、审查、检测，也不需要取得“商用密码产品型号证书”或“密码产品和含有密码技术的设备进口许可证”。以上可以看出，“含有密码技术的设备”也是一个重要的术语，在商用密码管理条例和密码产品和含有密码技术的设备进口许可服务指南中都涉及到。按照关于商用密码管理的有关问题的澄清，“含有密码技术的设备”的定义也是其核心功能为加密解密，因此，在商用密码管理条例监管的范围内几乎等同于“密码产品”。现行监管制度下还有一个提法，即“含有密码技术的信息产品”。2008年1月，国家密码管理局、科学技术部、公安部、国家安全部、财政部、信息产业部、商务部、国家保密局、国务院信息化工作办公室联合发文（国密局联20081号）颁布含有密码技术的信息产品政府采购规定：第二条 本规定所称含有密码技术的信息产品，是指采用密码技术实现信息加解密、认证鉴别、授权管理、访问控制等安全功能的软件、硬件。第五条 国家对含有密码技术的信息产品采购实行目录管理。采购人采购含有密码技术的信息产品时，应当采购目录中的产品。第六条 国家密码管理局会同科技部、公安部、国家安全部、财政部、信息产业部、商务部、国家保密局、国务院信息化工作办公室，确定含有密码技术的信息产品的具体范围。财政部会同国家密码管理局在确定范围内制定含有密码技术的信息产品政府采购目录，在适当范围内公布并适时调整。笔者没有找到所提的“含有密码技术的信息产品政府采购目录”（应该不是密码产品和含有密码技术的设备进口管理目录，可能也不是国家密码管理局公布在网站上的取得“商用密码产品型号证书”的密码产品目录），不能判断在监管层面上“含有密码技术的信息产品”的准确定义，这也许需要国家密码管理局的澄清，或者在修订的商用密码管理条例予以明确规定。笔者认为，如果“含有密码技术的信息产品”等同于“密码产品”和“含有密码技术的设备”，那么在未来的新法规和监管体系中只用“密码产品”一个术语即可；如果指的是“密码产品”以外的、采用了“密码模块”的信息产品，那就是另外一种监管模式了。五、 关于对密码模块的监管要求在我国政府的管理体系中，对采用密码模块的信息技术产品的监管与对“密码产品”的监管是不同的。所谓密码模块，一般指在信息技术硬件或软件产品中有采用密码技术的部分，但该硬件或软件产品的核心功能不是加密解密操作。按目前的监管体系，“信息安全产品”中如果采用了密码模块，则该密码模块必须经过密码检测机构的检测合格后，才有可能取得该信息安全产品的认证或销售许可：计算机信息系统安全专用产品检测和销售许可证管理办法：送交安全专用产品检测时，应当向检测机构提交以下材料：（六）采用密码技术的安全专用产品必须提交国家密码管理部门的审批文件。计算机信息系统安全专用产品销售许可证办理须知：采用密码技术的产品，申请者须提交国家密码管理部门的审批文件。为此，国家密码管理局商用密码检测中心还于2009年6月以关于发布安全路由器等六种产品密码检测准则和密码检测指南的通告，发布了安全路由器、安全操作系统、安全数据库、防火墙、安全隔离与信息交换产品、智能卡COS这六种信息安全产品中密码模块的检测准则和检测指南规范。这些规范进一步明确了该项检测需要信息安全产品的厂商提供密码模块的源代码。这里需要特别说明，按照信息安全等级保护及与之相关的信息安全产品的法规和标准，信息安全产品通过检测、审批后，取得的是“计算机信息系统安全专用产品销售许可证”，而不是“信息安全产品销售许可证”。网络安全法颁布生效后，按照网络安全法及其配套细则的规定，“信息安全产品”的提法有可能逐步被“网络安全专用产品”所取代；“网络安全专用产品”中的密码模块如何通过密码检测机构检测合格后才能满足“网络安全专用产品”的“安全认证合格或者安全检测符合要求”，目前尚不清楚。有关信息安全产品监管的分析，可以见：/s/blog_4ee4e8170102x2xa.html但是，商用密码产品生产管理规定在这方面的规定不够清晰：第十一条 商用密码产品必须经国家指定的机构检测、认证合格,并加施强制性认证标志后方可出厂。暂未列入强制性认证目录的商用密码产品，必须经国家密码管理局指定的产品质量检测机构检测合格。这里的“强制性认证目录”应该不是密码产品和含有密码技术的设备进口管理目录，而国家密码管理局网站上的密码产品目录列出的是取得“商用密码产品型号证书”的具体产品名单，不是产品分类目录。按监管规定，只要属于商用密码产品，就需要经过申请、审批（当然包括对产品的检测）而取得“商用密码产品型号证书”后方可销售和使用，这本身就是强制性的。那么，“暂未列入强制性认证目录的商用密码产品，必须经国家密码管理局指定的产品质量检测机构检测合格”指的是什么呢？是指采用密码模块的信息安全产品吗（确实需要通过密码检测机构检测合格，并且不需取得“商用密码产品型号证书”）？希望国家密码管理局以后予以澄清。六、 关于国家密码管理局认可的算法商用密码产品生产管理规定第七条：商用密码产品所采用的密码算法应当是国家密码管理局认可的算法。众所周知，考虑到国家安全、网络安全和技术优势等因素，我国政府从几年前开始大力推广中国标准的密码算法（或称为国产算法，SM2、SM3、SM4等）的应用，首先在金融领域，如中国金融集成电路（IC）卡规范 第17部分：借记/贷记应用安全增强规范（PBOC 3.0）规定金融智能卡必须支持SM2、SM3和SM4密码算法，发布了国家发展改革委办公厅关于组织实施2012年金融领域安全IC卡和密码应用专项有关事项的通知（发改办高技20123096号）、中国人民银行关于推动移动金融技术创新健康发展的指导意见（银发201511号）、国务院办公厅转发密码局等部门关于金融领域密码应用指导意见的通知（国办发20146号）等文件。之后，中办、国办印发的关于加强重要领域密码应用的指导意见的通知（厅字20154号）推动了国产密码在更广泛的重要领域、行业中的应用。例如：/article_detail.aspx?tid=895/art/2016/11/10/art_112_31999.html/detail/78/1998但是，至今笔者没有见到官方的书面材料限定“国家密码管理局认可的算法”只是“国产密码算法”。我国不像有的国家那样给出了政府认可的密码算法列表（希望以后会有）。那该如何认识、理解这个问题呢？笔者认为，国家密码管理局网站上有全部的已经取得“商用密码产品型号证书”的商用密码产品的目录，且分为商用密码产品目录和支持SM2/3/4密码算法的商用密码产品目录两部分，支持SM2/3/4密码算法的密码产品还包含在总目录中，这样我们就有可能从目录的分析中得出结论。从两个目录的现状（“商用密码产品型号证书”在有效期的密码产品）看，支持SM2/3/4密码算法的密码产品的数目差不多是所有密码产品数目的一半；即便查询2017年内取得“商用密码产品型号证书”的密码产品，总目录中也有相当多的密码产品不在支持SM2/3/4密码算法的密码产品目录里。即便考虑到可能的统计误差和时间误差，已颁发“商用密码产品型号证书”的密码产品中也应该有相当的数量支持除国产密码算法外的其他密码算法。因此，有充足的理由相信，尽管国家密码管