修订版《商用密码管理条例》解读

5月24日《商用密码管理条例》重磅发布。修订后的《条例》与密码法紧密衔接，

第一条明确了《中华人民共和国密码法》（以下简称密码法）为《商用密码管理条例》（以下简称条例）的上位法。

第二条明确了《条例》的管理范围包括：商用密码科研、生产、销售、服务、检测、认证、进出口、应用。同时依据《密码法》中密码的定义，对商用密码进行了重新定义。

第三-六条明确了各方职责以及商用密码人才培养。

针对修订版《条例》的管理范围，其中：

1.   科研、生产、销售：

1999年发布的《条例》中，规定了商用密码产品的科研、生产、销售和使用由国家实行专控管理。--《商用密码产品科研、生产、销售及使用的有关事项》（1999年）。

科研：商用密码体制、协议、算法及其技术规范的科研活动

2005年发布的《商用密码科研管理规定》中，规定了商用密码科研由国家密码管理局指定的单位（以下称商用密码科研定点单位）承担，并颁发《商用密码科研定点单位证书》。

2017年修正稿中，规定了商用密码科研由具有独立法人资格的企业、事业单位、社会团体等单位(以下称商用密码科研单位)承担。

生产：商用密码产品生产活动，包括商用密码产品的研制开发

2005年发布的《商用密码产品生产管理规定》中，规定了商用密码产品由国家密码管理局指定的单位（商用密码产品生产定点单位）生产，并颁发《商用密码产品生产定点单位证书》。

2017年修正稿中，规定了商用密码产品的品种和型号必须经国家密码管理局批准，根据《国务院关于取消一批行政许可事项的决定》(国发〔2017〕46号),取消国家密码管理局负责实施的商用密码产品生产单位审批。

销售：商用密码产品销售活动

2005年发布的《商用密码产品销售管理规定》中，规定了单位销售商用密码产品应当取得《商用密码产品销售许可证》。2017年，根据《国务院关于取消一批行政许可事项的决定》(国发〔2017〕46号),取消国家密码管理局负责实施的商用密码产品销售单位许可。

2.   服务：典型服务-电子认证服务

2005年发布的《电子认证服务密码管理办法》中，规定了提供电子认证服务，应当申请《电子认证服务使用密码许可证》。2009年修订版中，规定了电子认证服务系统所需密钥服务由国家密码管理局和省、自治区、直辖市密码管理机构规划的密钥管理系统提供。

修订版《条例》中的第四章就是电子认证的相关规定。其中：

第二十二条明确了电子认证服务需通过相应检查和检测，并获得同意使用密码的证明文件。具体流程可参见《电子认证服务使用密码许可服务指南》。

第二十三条明确了电子认证服务机构应合规使用密码。

第二十四条明确了从事电子政务电子认证服务的机构需取得相应资质。具体流程可参见《电子政务电子认证服务机构认定服务指南》。

第二十五和二十六条明确了申请电子政务电子认证服务机构资质的条件和流程。

第二十七条明确了外商投资电子政务电子认证服务的安全性审查。

第二十八条明确了电子政务电子认证服务机构应合规提供电子认证服务。

第二十九条明确了推动电子认证服务互信互认。

第三十条明确了政务活动中的电子签名、数据电文，需要电子政务电子认证服务机构为其提供服务，常用的就是证书服务。

3.   检测、认证：商用密码产品型号-商用密码产品认证

2019年发布的《密码法》中规定了国家推进商用密码检测认证体系建设。2019年国家密码管理局会同市场监管总局发布了第39号文《关于调整商用密码产品管理方式的公告》，取消“商用密码产品品种和型号审批”，推行商用密码认证制度，鼓励商用密码产品获得认证。之后又联合发布了《关于开展商用密码检测认证工作的实施意见》，提出了商用密码认证目录、商用密码检测、认证机构，并发布了《商用密码产品认证目录（第一批）》和《商用密码产品认证规则》。2020年，商用密码检测中心依据认证规则制定发布了《商用密码产品认证实施细则》。

目前商用密码认证机构1家，为国家密码管理局商用密码检测中心，检测机构4家，分别为：国家密码管理局商用密码检测中心、鼎铉商用密码测评技术（深圳）有限公司、智巡密码（上海）检测技术有限公司、豪符密码检测技术（成都）有限责任公司。

修订版《条例》中的第三章就是检测认证的相关规定。其中：

第十二条明确了推进商用密码检测认证体系建设。

第十三-十六条明确了从事商用密码检测的机构需取得相应资质，申请资质的条件和流程，以及合规开展商用密码检测。

第十七条明确了商用密码认证制度以及认证目录发布。

第十八-十九条明确了从事商用密码认证的机构需取得相应资质，申请资质的条件，以及合规开展商用密码认证。

第二十条明确了列入网络关键设备和网络安全专用产品目录的商用密码产品经检测认证后方可销售或提供。

第二十一条明确了商用密码服务使用网络关键设备和网络安全专用产品应认证合格。

4.   进出口：《商用密码进口许可清单》和《商用密码出口管制清单》

1999年发布的《条例》中，规定了进口密码产品以及含有密码技术的设备或者出口商用密码产品，必须报经国家密码管理机构批准。

2019年发布的《密码法》中提出了《商用密码进口许可清单》和《商用密码出口管制清单》。2020年，商务部、国家密码管理局、海关总署发布第63号《关于发布商用密码进口许可清单、出口管制清单和相关管理措施的公告》中，明确了相关清单和管理措施。

修订版《条例》中的第五章就是进出口的相关规定。其中：

第三十一条明确了商用密码的《商用密码进口许可清单》和《商用密码出口管制清单》，责任单位为国务院商务主管部门会同国家密码管理部门和海关总署。

第三十二-三十四条明确了进口《商用密码进口许可清单》或者出口《商用密码出口管制清单》中的商用密码、商用密码产品以及申请商用密码进出口许可的流程。

5.   应用：商用密码应用安全性评估（简称密评）

《密码法》中规定了非涉密的关键信息基础设施要开展密评。

2019年，国务院办公厅发布的第57号《国务院办公厅关于印发国家政务信息化项目建设管理办法的通知》中，规定了国家政务信息化项目要开展密评。

2020年，公安部发布的第1960号《贯彻等保和关保保护制度指导意见》中，规定了网络安全等级保护第三级以上系统在等保测评中同步开展密评。

修订版《条例》中的第六章就是应用促进的相关规定。其中：

第三十五-三十六条明确了鼓励使用商用密码。

第三十七条明确了建立商用密码应用促进协调机制。

第三十八-三十九条明确了法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，要开展密评，通过密评后方可投入运行，运行后每年至少进行一次评估，同时要使用合规的商用密码产品、服务和技术。

第四十条明确了关键信息基础设施使用商用密码可能影响国家安全的要通过国家安全审查。

第四十一条明确了网络运营者应当按照等保要求，使用商用密码保护网络安全。

第四十二条明确了密评、关基测评、等保测评应当加强衔接，避免重复评估、测评。

另外修订版《条例》中第二章明确了科技创新与标准化，第七章明确了监督管理，第八章明确了法律责任，第九章明确了本条例从2023年7月1日起施行。