就在华企业而言,如存在商用密码跨境业务或者活动,则需要注意采取四个方面的合规措施:其一,对自身经营物项是否落入商用密码进出口管制清单进行排查,以识别是否存在申请许可义务;其二,对商用密码类产品的海关商品编号进行合规归类,以免进出口受阻或者引发海关调查或者处罚风险;其三,建设符合监管要求的内部合规机制;其四,建立政府调查应对预案机制。对此,我们可以提供专业协助。
2023年4月27日,国务院颁布新修订的《商用密码管理条例》(“新条例”),该项修订将于2023年7月1日起正式施行,并将影响商用密码在华科研、生产、销售、服务、检测、认证、进出口、应用等活动。
一、修订概况
(一)商用密码的界定
在《商用密码管理条例》修订前,“商用密码”仅包括密码技术和密码产品。鉴于2019年出台的《密码法》将“密码”本身定义为采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务,该条例在修订后将“相关服务”也纳入商用密码的范畴,从而与《密码法》这一上位法保持一致。
(二)商用密码的性质
在本次修订前,商用密码技术被规定为“属于国家秘密”。但是,鉴于《密码法》项下已经区分用于保护国家秘密信息的核心密码、普通密码(《密码法》第7条)以及用于保护不属于国家秘密的信息的商用密码(《密码法》第8条),因而在本次修订后,商用密码技术本身已不再属于国家秘密。
(三)主管部门
新条例第3条指出国家密码管理部门(主要指国家密码管理局)负责管理全国的商用密码工作,县级以上地方各级密码管理部门负责管理本行政区域的商用密码工作。此外,网信、商务、海关、市场监督管理部门在各自职责范围内各司其职,配合商用密码的管理工作。
(四)检测认证
新条例第三章沿用了《密码法》对商用密码检测认证的分类要求,并在此基础上,具体规定了商用密码检测机构和认证机构各自对应的资质要求、申请流程、主管部门以及监督管理方式。
(五)电子政务电子认证
新条例第四章在《密码法》原则性规定的基础上,细化了电子政务电子认证服务机构的资质要求和服务规范。采用商用密码技术提供电子政务电子认证服务的机构,需向国家密码管理部门申领相应资质;涉及外商投资的,如影响或者可能影响国家安全,还需进行外商投资安全审查。
(六)关键信息基础设施
新条例承袭《密码法》对国家安全、网络安全的关注,在第六章中具体规定了关键信息基础设施使用安全密码的应用安全性评估、产品检测认证、技术审查鉴定、特定情况下的国家安全审查等监管要求,并授权国家密码管理部门根据网络安全保护等级制定商用密码的相关安全性评估要求和标准规范。
(七)监督管理
新条例明确规定了主管机关开展现场检查、询问和了解情况以及查阅和复制相关资料的职权,核实、处理举报的职责,以及工作中不得索取源代码等专有信息及其他保密义务。
(八)法律责任
新条例规定的法律责任覆盖了商用密码科研、生产、销售、服务、检测、认证、进出口、应用及监督管理等各个环节,处罚力度也显著增强。
二、商用密码跨境管理
商用密码跨境管理针对的对象是商用密码的“跨境流动”,即所谓商用密码的跨境输入、输出,或称为进出口活动。
(一)进出口密码清单管理
新条例第31条第1款规定对于商用密码实行进出口清单许可管理,许可管理的政策考量包括国家安全、社会公共利益或者履行国际义务。此处的进出口许可证,根据商务部、国家密码管理局和海关总署于2020年年底联合发布的第63号公告的规定,实际上就是两用物项和技术进出口许可证。在此基础上,第31条第3款补充指出,大众消费类产品所采用的商用密码不予进口许可和出口管制。
(二)许可部门
新条例第32条第1款规定了国务院商务主管部门负责商用密码进出口许可证颁布事宜,实践中该部门是指商务部下属产业安全与进出口管制局。
(三)受管制跨境活动
商用密码过境、转运、通运、再出口,在境外与综合保税区等海关特殊监管区域之间跨境活动,均适用许可证制度。
(四)海关监管
新条例第33条规定海关在商用密码进出口环节享有监管权。作为出口管制领域的主要执法机构之一,我国海关可对进出口经营者申报的货物是否属于受管制的商用密码提出质疑,也可以向国务院商务主管部门提出组织鉴别。实践中,海关缉私局还有权独立对涉嫌走私的行为发起调查。
(五)许可证申请
新条例第34条规定了在华企业申请商用密码进出口许可证应当提交的材料以及审查流程和时限。需提交的申请材料具体包括:(1)申请人的法定代表人、主要经营管理人以及经办人的身份证明;(2)合同或者协议的副本;(3)商用密码的技术说明;(4)最终用户和最终用途证明;以及(5)国务院商务主管部门规定提交的其他文件。申请审查时限一般为受理之日起45个工作日,但是对国家安全、社会公共利益或外交政策有重大影响的商用密码出口,需报国务院批准,不受前述时限限制。
(六)进出口管理清单
2020年年底,商务部、国家密码管理局和海关总署联合发布第63号公告,公布了我国《商用密码进口许可清单》和《商用密码出口管制清单》。同年年底,两份清单被并入《两用物项和技术进出口许可证管理目录》,成为该综合性管制目录的子目录之一,该清单通常于每年年底更新一次。两份管制清单上收录的商用密码物项如下表所示(略去具体描述)。
三、商用密码跨境合规问题
(一)大众消费类产品许可例外
大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。此为国际上的通行做法。[1]根据国家密码局密码政策问答,大众消费类产品所采用的商用密码,是指社会公众可以不受限制地通过常规零售渠道购买、供个人使用、不能轻易改变密码功能的产品或技术。[2]国家密码管理局和海关总署曾在2013年联合发布调整后的《密码产品和含有密码技术的设备进口管理目录》,该目录第9项列明了“密码机、密码卡”,但同时明确排除了“数字电视智能卡、蓝牙模块和用于知识产权保护的加密狗”这几类大众消费类产品所采用的商用密码,我们理解此即为大众消费类产品许可例外的一种情形。
(二)商用密码物项的识别
遵从商用密码进出口管制,需要首先识别拟进出口的物项是否落入商用密码清单。以《商用密码出口管制清单》第5项专用密码设备为例,该物项的受控条件描述中,除了有关参数之外,还要求该商用密码所使用的算法专门用于电力、税务、公安、金融等领域。对此,我国法律和政策层面并没有相应的具体指引。
(三)海关税号与许可
实践中,某产品内部含有受到出口管制的安全芯片,从海关商品编号的角度,该产品的海关商品编号可能与安全芯片的海关商品编号不同,若需出口该产品,是否需要申请出口许可证,亦是问题。
此外,出口管制的商用密码清单上的某些商用密码产品仅给出了产品描述,并没有给出海关商品编号,对这类物项是否也适用许可证管理制度,不少企业亦存有疑惑。对此,企业在判断某一商用密码是否落入管制清单时,应以清单的商品名称及描述为准,海关商品编号仅供通关申报参考。如果企业根据商品名称和描述认为自身经营物项落入管制清单,即便清单并未给出该物项的海关商品编号,也需相应申请许可证。
四、结语
就在华企业而言,如存在商用密码跨境业务或者活动,则需要注意采取四个方面的合规措施:其一,对自身经营物项是否落入商用密码进出口管制清单进行排查,以识别是否存在申请许可义务;其二,对商用密码类产品的海关商品编号进行合规归类,以免进出口受阻或者引发海关调查或者处罚风险;其三,建设符合监管要求的内部合规机制;其四,建立政府调查应对预案机制。对此,我们可以提供专业协助。
附表:《商用密码管理条例》新旧版本对比简表
注释:
[1] 例如,《欧盟两用物项清单》就明确指出,落入本清单内的物项,如属于大众消费类产品,适用后者的相关规定。
[2] 密码政策回答(八十七),参见:https://sca.gov.cn/sca/xxgk/2020-04/02/content_1060694.shtml。