二、密碼法對商用密碼管理的創新

密碼法重塑了全新的具有中國特色的商用密碼管理體系。當前的法律科學地回答了兩個重要問題，一是面對國內外日益嚴峻的網絡安全態勢，如何進一步創新商用密碼管理體系，加強商用密碼應用事中事后管理，特別是關鍵信息基礎設施的商用密碼保護;二是面對數字經濟的飛速發展，如何推進商用密碼產品管理的放管服，以釋放商用密碼市場活力，進一步激勵商用密碼產業發展。在商用密碼管理上密碼法實現了3個重要創新:

一是創新商用密碼使用環節監管，提出商用密碼應用安全性評估。當前數據及其承載的信息系統的安全性、完整性和保密性已經成為網絡運營者的基本需求，商用密碼技術在其中發揮不可替代的作用。鑒于商用密碼應用場景的多樣性、復雜性，密碼法創設了商用密碼應用安全性評估制度，且明確要求與網絡安全等級保護測評、關鍵信息基礎設施安全保護評估中的商用密碼安全評估機制相銜接。商用密碼應用安全性評估對規范商用密碼應用，提高網絡運營者商用密碼應用的前瞻性、統籌性、嚴謹性有重要意義。

二是統籌考慮商用密碼管理的市場導向與國家安全保障需要，實行商用密碼檢測認證自愿與強制相結合的雙軌機制。通常密碼從業單位可以從市場競爭的角度自主決定是否接受商用密碼檢測認證。當商用密碼的應用涉及涉及國家安全、國計民生、社會公共利益，被列入網絡關鍵設備和網絡安全專用產品目錄的，需要按照相關國家標準的強制性要求，由具備資格的機構安全認證合格后方可銷售。這樣的制度安排既尊重了市場在商用密碼應用領域的基礎性作用，也符合WTO的國家安全例外原則。

三是進一步推動商用密碼市場高水平開放，保護外資合法權益，促進內外資企業公平競爭?！秶鴦赵宏P于取消一批行政許可事項的決定》(國發〔2017〕46號)已經取消了外商投資企業使用境外生產的密碼產品、境外組織和個人使用密碼產品或者含有密碼技術的設備的事前審批。密碼法進一步將需要取得商用密碼進口許可的范圍從《商用密碼管理條例》中的“密碼產品以及含有密碼技術的設備”限縮為“對涉及國家安全、社會公共利益且具有加密保護功能的商用密碼”。同時，法律明確要求各級人民政府及其有關部門遵循非歧視原則，依法平等對待外商投資企業，不得利用行政手段強制外商投資企業轉讓商用密碼技術。上述要求，彰顯了中國主動開放商用密碼市場的堅定意志和決心。

三、密碼法對商用密碼應用的主要影響

密碼法的實施，有利于進一步推動商用密碼應用的法治化、科學化、規范化，對建立以商用密碼從業單位為主體、商用密碼市場為導向、產學研深度融合的密碼技術創新體系有著重要促進作用。但是由于配套的網絡安全法律法規與國家標準、行業標準仍在陸續完善過程中，《商用密碼管理條例》尚未完成修訂工作，密碼法在實施過程中可能也需要更加關注以下方面的問題:

一是在網絡產品與信息服務的規劃、建設階段，網絡運營者可參照密碼應用安全性評估相關規則進行設計，但是商用密碼應用安全評估機制不能異化為對網絡運營者的事前審查機制。從制度統籌性的角度，可以考慮將商用密碼安全性的自評估或者第三方評估，作為一個獨立的評估模塊，在網絡運營者網絡安全等級保護測評，以及關鍵信息基礎設施運營者每年自行或者委托第三方評估中加以引用。

二是網絡安全新形勢下的商用密碼產品應用還處于起步階段，網絡運營者尚在規則換擋的磨合適應期，相關規則的解釋與執行需要結合實際應用情況及時調整。當前網絡安全等級保護2.0系列標準對安全通信網絡中通信傳輸要求使用加密技術，安全計算環境中身份鑒別、數據完整性、數據保密性使用密碼技術，保證傳輸和存儲的加密，安全建設管理和安全運維管理中包括安全測試報告應包含密碼應用安全性測試相關內容等。由于前期非涉密單位的網絡運營者并無明確強制性的密碼應用安全要求，網絡運營者面對陸續制定的國家密碼管理規定，可能會面臨觀念、管理、技術、成本等各種磨合適應，密碼管理部門及相關網絡安全管理部門需要根據實際商用密碼應用情況，對具體規則的解釋與執行及時進行必要調整。

三是商用密碼應用需要納入網絡運營者的網絡安全總體工作統籌考慮。由于各種原因，網絡運營者關于商用密碼應用的決策有可能分散在具體網絡安全實踐的多個環節，商用密碼的應用缺乏統籌安排，體系性不強。商用密碼應用的部署具有一定周期性，無法一蹴而就。對此，網絡運營者應當盡快根據密碼法以及相關網絡安全法律法規和標準的要求，審慎判斷自身的網絡安全態勢與風險，判斷網絡設施需要具備的安全安全能力，進而規劃足夠的人力物力財力，配置符合法律要求與自身需求的商用密碼產品。同時，鑒于國際形勢的不穩定性不確定性更加突出，網絡運營者應當充分考慮全球供應鏈安全問題，包括密碼技術、密碼產品供應鏈可靠性。

四是當前商用密碼科技創新能力顯著提升，突破一批商用密碼重大基礎理論和關鍵核心技術，但是商用密碼產品性能仍然有待提升。具有商用密碼產品研發與創新能力的企業要抓住機會，特別是要適應云計算、大數據的運行環境與快速迭代發展趨勢，加快提升密碼產品的安全性能和加密速度，為數字經濟多元場景提供更靈活、更可控地密碼安全解決方案。

四、結語

5G的到來將開啟全新的物聯網時代，5G與大數據，云計算，人工智能等諸多創新技術的新一輪耦合勢必將會對網絡產品與信息服務提出更高的安全性能要求，商用密碼應用水平將成為衡量各網絡運營者網絡安全能力的重要指標。網絡運營者應當抓住當前的技術換擋窗口期，加緊落實密碼相關法律法規及國家標準的要求，統籌安排商用密碼應用，筑牢自身網絡安全防線，提高網絡安全保障水平。

（作者顧偉，工作單位：阿里巴巴集團法務部法律研究中心）