4.15活动-密码政策问答六

发布时间:2021-04-13 09:26:51
问:《密码法》在对待外商投资企业方面遵循什么样的管理原则?
答:《密码法》第二十一条第二款规定:各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。
《密码法》充分体现非歧视和公平竞争原则,按照“放管服”改革要求,进一步削减行政许可数量,发挥标准引领作用,加强检测认证体系建设,激发市场主体活力和社会创造力,有关许可和检测认证体系对国内外产品、服务以及内外资企业一视同仁、同等适用。
知识产权保护也是《密码法》突出强调的内容。《密码法》对商用密码技术合作的知识产权保护进行具体规定,明确商用密码技术合作的前提是基于自愿原则和商业规则,行政机关及其工作人员不得利用行政手段强制转让商用密码技术。
《密码法》一方面回应了各有关方面对我国外商投资过程中知识产权保护尤其是技术合作、转让的关切,澄清问题,消除疑虑;另一方面,也表明了我国不利用行政强制手段强制转让商用密码技术的态度,依法平等保护包括外商投资企业在内所有市场主体的商用密码知识产权,切实健全统一、开放、竞争、有序的商用密码市场体系。
问:《密码法》关于商用密码标准体系的规定有哪些?
答:《密码法》第二十二条规定:国家建立和完善商用密码标准体系。国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
商用密码标准化是实现商用密码技术自主创新、促进商用密码产业发展、构建商用密码应用体系的重要支撑。《密码法》明确商用密码标准体系包括商用密码国家标准、行业标准、团体标准和企业标准。
商用密码国家标准、行业标准属于政府主导制定的标准,商用密码团体标准、企业标准属于市场主体自主制定的标准。其中,商用密码国家标准由国家标准化管理委员会组织制定,代号为GB。商用密码行业标准由国家密码管理局组织制定,报国家标准化管理委员会备案,代号为GM。商用密码团体标准由商用密码领域的学会、协会等社会团体制定,商用密码企业标准由商用密码企业制定或者企业联合制定。
问:什么是密码行业标准化技术委员会,它的主要职责是什么?
答:2011年10月,经国家标准化管理委员会批准,国家密码管理局设立了密码行业标准化技术委员会。密码行业标准化技术委员会作为我国密码行业唯一标准化组织,受国家密码管理局委托,主要职责包括:(1)提出密码行业标准规划和年度标准制定、修订计划的建议:(2)组织密码行业标准的编写、审查、复审等工作;(3)组织密码领域的国家和行业标准的宣传贯彻,推荐密码领域标准化成果申报科技进步奖励,或向国家标准化管理委员会提出项目奖励建议;(4)受国家标准化管理委员会委托,对相关国际标准文件进行表决、审查我国提案,并组织开展国际技术交流与合作等。
问:当前商用密码行业标准分为哪几类?
答:当前,商用密码的行业标准分为基础类标准、应用类标准、检测类标准和管理类标准。基础类标准为其他三类标准提供了底层、共性支撑(如术语、算法、协议、产品等);检测类标准为基础类标准和应用类标准提供了合法性检测的功能,保障商用密码使用的合法性;管理类标准为其他三类标准提供了管理功能;应用类标准为上层具体的密码产品、服务应用提供支持。
问:目前我国商用密码标准体系建设情况如何?
答:截至2019年12月,国家标准化管理委员会已发布商用密码国家标准29项,国家密码管理局已发布商用密码行业标准91项,覆盖商用密码技术、产品、服务、应用、检测和管理等多个领域,构建了较为齐全完备的商用密码标准体系,有效发挥了商用密码标准在引领科技进步、推动产业发展、促进互联互通、助力应用推进、优化管理服务等方面的重要作用。
问:我国商用密码国际标准化开展情况如何?
答:《密码法》第二十三条第一款规定:国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。
我国高度重视商用密码国际标准化工作,大力推进以我国自主设计研制的SM系列密码算法为代表的中国商用密码标准纳入国际标准,积极参与国际标准化活动,加强国际交流合作。2011年9月,我国设计的祖冲之(ZUC)算法纳入国际第三代合作伙伴计划组织(3GPP)的4G移动通信标准,用于移动通信系统空中传输信道的信息加密和完整性保护,这是我国密码算法首次成为国际标准。2015年5月起,我国陆续向ISO提出了将SM2、SM3、SM4和SM9算法纳入国际标准的提案。2017年,SM2和SM9算法正式成为ISO/IEC国际标准。2018年,SM3算法正式成为ISO/IEC国际标准。我国商用密码国际标准体系已初步成型,为密码在全球范围的发展与应用提供了中国方案,贡献了中国智慧。
在转化运用国际标准方面,商用密码行业标准GM/T0028《密码模块安全技术要求》和GM/T0039《密码模块安全检测要求》,分别参考国际标准ISO19790和ISO24759编制,为规范商用密码产品管理、提升商用密码产品安全防护能力发挥了重要作用,充分体现了商用密码标准制定的开放性。
问:为什么要鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动?
答:《密码法》第二十三条第二款规定:国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
企业、社会团体和教育、科研机构等全面深入地参与商用密码国际标准的制修订等国际标准化活动,是全球化的必然趋势和要求,有利于提升商用密码技术的全球影响力,同时也为降低包括密码脆弱性在内的全球网络安全整体风险贡献中国智慧和提供中国方案。
问:商用密码标准具备什么样的法律效力?
答:《密码法》第二十四条规定:商用密码从业单位开展商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。
商用密码从业单位开展商用密码活动应当依照有关法律、行政法规的规定行使权利和履行义务,是遵守法律的必然要求。商用密码从业单位开展商用密码活动,除了遵守法律、行政法规,还应当符合商用密码强制性国家标准以及该从业单位公开标准的技术要求。此外,国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准。
问:什么是商用密码强制性国家标准和推荐性国家标准、行业标准?
答:我国标准按照实施效力分为强制性标准和推荐性标准。强制性标准仅有国家标准一级。推荐性标准包括推荐性国家标准和行业标准。也就是说,商用密码行业标准都是推荐性标准。
强制性标准必须执行,不符合强制性标准的产品、服务,不得生产、销售、进口或者提供。违反强制性标准的,依法承担相应的法律责任。
国家鼓励采用推荐性标准,即从业单位自愿采用推荐性标准。同时国家还会采取一些正向激励措施,鼓励企业采用推荐性标准。但在有些情况下,推荐性标准的效力会发生转化,必须执行,例如:(1)推荐性标准被相关法律、法规、规章等引用,则该推荐性标准具有相应的强制约束力,应当按照法律、法规、规章的相关规定予以实施。(2)推荐性标准被企业进行了自我声明公开的,企业必须执行该推荐性标准。企业生产的产品与明示标准不一致的,根据《产品质量法》等法律法规承担相应的法律责任。(3)推荐性标准被合同双方作为产品或服务交付的质量依据的,该推荐性标准对合同双方具有约束力,双方必须执行该推荐性标准,并依据《合同法》的规定承担法律责任。
问:什么是商用密码从业单位公开标准的技术要求,它有什么作用?
答:《密码法》规定了企业标准自我声明公开和监督制度,调整的对象是企业生产的产品和提供的服务所执行的标准,这类标准规定了企业生产的产品和提供的服务所应达到的各类技术指标和要求,是企业对其产品和服务质量的硬承诺,应当公开并接受市场监督。
企业生产的商用密码产品和提供的商用密码服务,如果执行国家标准、行业标准和团体标准,企业应该公开相应的标准名称和标准编号;如果企业生产的产品和提供的服务所执行的标准是本企业制定的企业标准,企业除了公开相应的标准名称和标准编号,还应当公开企业产品、服务的技术指标。公开指标的类别和内容由企业根据自身特点自主确定,企业应对公开的产品和服务标准的真实性、准确性、合法性负责。
企业生产的产品和提供的服务应当符合企业自我声明公开标准提出的技术要求,不符合企业自我声明公开标准提出的技术要求的,应依法承担相应的责任。
问:建设商用密码检测认证体系的意义是什么?
答:商用密码检测认证是商用密码治理体系的重要基础,在商用密码市场准入、事中事后监管、应用推进等方面发挥着关键支撑作用:面向商用密码从业单位能够引导提质升级,增加市场有效供给;面向管理部门能够支持行政监管,提高市场监管效能;面向社会各方能够推动诚信建设,营造良好市场环境;面向国际市场能够促进规则对接,提升市场开放程度。《密码法》第二十五条第一款明确提出推进商用密码检测认证体系建设,这是深化商用密码行政审批制度改革的重要内容,是依法管理商用密码、规范和促进商用密码应用、加强密码监管、增强商用密码安全保障能力的重要支撑。同时《密码法》第二十五条还明确了在商用密码检测认证中,自愿检测认证是主要方式。
问:我国商用密码检测机构和认证机构现状如何?
答:截至2019年12月,通过审批的商用密码产品检测机构共有3家,开展了智能密码钥匙、智能IC卡、POS密码应用系统、PCI-E密码卡、IPSecVPN安全网关、SSLVPN安全网关、安全认证网关、密码键盘、金融数据密码机、服务器密码机、签名验签服务器、时间戳服务器、安全门禁系统、动态令牌认证系统、安全电子签章系统、电子文件密码应用系统、可信计算类密码产品等的检测工作,完成了近2000款产品的密码检测、数百个信息系统的安全性评估。
目前,商用密码领域已有1家专门认证机构。与此同时,有关部门通过建立跨领域、跨行业的网络关键设备和网络安全专用产品、信息安全产品和密码应用系统密码检测认证机制,加强与金融、电力、通信、社保、交通等重点领域、行业的检测与认证技术交流,联合金融领域检测认证机构开展金融系统密码测评和认证,共同推动商用密码检测认证能力提升。
问:商用密码检测、认证机构应取得什么资质?
答:《密码法》第二十五条规定:商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。
按照“放管服”改革要求,《密码法》将商用密码检测、认证机构资质纳入《认证认可条例》规定的认证认可制度体系中,由市场监管总局(国家认证认可监督管理委员会)会同国家密码管理局进行管理。商用密码检测、认证机构应当分别取得商用密码检测、认证机构资质。商用密码检测、认证机构依照《认证认可条例》等法律法规的规定和商用密码检测认证技术规范、规则开展检测认证活动。将商用密码检测认证制度纳入国家统一的检测认证制度体系,有利于增强商用密码检测认证制度的权威性、统一性。
问:商用密码检测、认证机构是否应承担保密义务?
答:在从事商用密码检测、认证活动的过程中,由于工作需要,商用密码检测、认证机构能够深入到所检测认证的商用密码产品、服务及其相关产品生产单位、服务提供单位中去,有可能接触到有关商业秘密乃至国家秘密。虽然商用密码检测、认证机构知悉国家秘密和商业秘密的途径是合法的,是在依法或依约定进行检测认证活动的过程中获取的,但是如果将这些秘密泄露给他人,就会损害国家安全和利益,或者损害商业秘密权利人的利益。因此,参照《认证认可条例》的规定,《密码法》第二十五条规定:商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。
问:商用密码产品的概念与范围是什么?
答:商用密码产品,是指采用商用密码技术进行加密保护、安全认证的产品。商用密码产品可分为软件、芯片、模块、板卡、整机、系统六类。典型的商用密码产品包括:密码机,如链路密码机、网络密码机、服务器密码机、传真密码机、电话密码机等;密码芯片和模块,如第二代居民身份证、智能电卡、社会保障卡、金融芯片卡中使用的密码芯片、可信计算密码模块等。
问:为什么要对特定商用密码产品实行强制性检测认证制度?
答:《密码法》第二十六条规定:涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。
对特定商用密码产品实行强制性检测认证,主要有三个方面的考虑:
一是该制度是维护国家安全和社会公共利益的需要。商用密码产品是一种专业技术性很强的特殊产品,广泛应用于国民经济和社会发展各领域,应用于关键信息基础设施,其质量与安全性直接关系国家安全和社会公共利益,需要通过检测认证的方式对其质量与安全性进行技术把关,规范商用密码产品市场准入。
二是该制度与《网络安全法》规定的网络关键设备和网络安全专用产品强制性检测认证制度衔接一致。涉及国家安全、国计民生、社会公共利益的商用密码产品作为网络关键设备和网络安全专用产品的一部分,依法列入网络关键设备和网络安全专用产品目录,由国家密码管理局会同国家互联网信息办公室、国家认证认可监督管理委员会等部门共同制定目录,共同认定检测、认证机构,共同开展检测认证。
三是强制性检测认证实施范围有限。强制性检测认证制度仅适用于涉及国家安全、国计民生、社会公共利益的商用密码产品,并通过制定产品目录明确界定管理范围,不会对市场和产业构成不必要的限制。
问:商用密码产品检测认证避免重复检测认证的做法有哪些?
答:为充分体现“放管服”改革精神,切实降低企业负担,节约检测认证资源,《密码法》第二十六条规定:商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。具体做法包括:一是制定并公布网络关键设备和网络安全专用产品目录,提高检测认证的透明度,避免适用检测认证制度的产品的重复。二是推动检测认证结果互认,减少某一类产品检测认证项目的重复。
问:商用密码服务的概念与范围是什么?
答:商用密码服务,是指基于商用密码专业技术、技能和设施,为他人提供集成、运营、监理等商用密码支持和保障的活动。典型的商用密码服务包括:密码保障系统集成(如数字证书认证系统集成),是指为他人集成建设实现密码功能的系统,保护他人网络与信息系统的安全。密码保障系统运营(如增值税发票防伪税控系统运营),是指为保证他人实现密码功能的系统的正常运行提供安全管理和维护。