《條例》1999年(nian)版(ban)的(de)頒布時間早(zao)于(yu)《密碼(ma)(ma)法(fa)(fa)》，因此并未明確規定上位(wei)法(fa)(fa)依據。由于(yu)《密碼(ma)(ma)法(fa)(fa)》的(de)頒布實施(shi)，商(shang)用密碼(ma)(ma)管理(li)(li)作為(wei)我國密碼(ma)(ma)管理(li)(li)中(zhong)的(de)組(zu)織部分，其管理(li)(li)規范以(yi)《密碼(ma)(ma)法(fa)(fa)》為(wei)上位(wei)法(fa)(fa)也(ye)是應有(you)之義。而且，《條例》（征求意(yi)見稿）重點規定的(de)檢(jian)測認證(zheng)、電子認證(zheng)、進出口管理(li)(li)制度也(ye)與《密碼(ma)(ma)法(fa)(fa)》相關(guan)內容相互呼(hu)應，進一(yi)步落實了《密碼(ma)(ma)法(fa)(fa)》的(de)管理(li)(li)要(yao)求。

根據《密碼法》確立的密碼領域職能轉變和“放管服”改革，在立法宗旨上，《條例》（征求意見稿）更加突出促進商用密碼事業發展的目的。我們可以看到《條例》（征求意見稿）以專章規定“科技創新與標準化”“應用與促進”等內容，體現了促進商用密碼事業發展的立法目的。同時，相較于《條例》1999年版，《條例》（征求意見稿）將“維護國家安全和社會公共利益”放在“保護公民、法人和其他組織的合法權益”之前，強調對國家安全和社會公共利益的保護，《條例(li)》（征求意見(jian)稿）中所規定的國家安全(quan)審查、外商投(tou)資安全(quan)審查、進口許可(ke)與出口管制(zhi)等內容均體現了這(zhe)一目的。

《條(tiao)例》1999年版對密(mi)碼(ma)管(guan)理(li)實行的(de)(de)(de)是(shi)國家(jia)(jia)和省級兩級管(guan)理(li)體制，第(di)4條(tiao)規定“國家(jia)(jia)密(mi)碼(ma)管(guan)理(li)委(wei)員會及其辦公室(以下簡稱國家(jia)(jia)密(mi)碼(ma)管(guan)理(li)機構(gou))主管(guan)全國的(de)(de)(de)商用密(mi)碼(ma)管(guan)理(li)工(gong)作。省、自治區、直轄(xia)市負責(ze)密(mi)碼(ma)管(guan)理(li)的(de)(de)(de)機構(gou)根據國家(jia)(jia)密(mi)碼(ma)管(guan)理(li)機構(gou)的(de)(de)(de)委(wei)托，承擔商用密(mi)碼(ma)的(de)(de)(de)有關管(guan)理(li)工(gong)作。”

《條例（征求意見稿）》沿襲《密碼法》，實際上確定了“四級管理+專項管理”的體制，即國家、省級、市、縣負責相應行政區域的商用密碼工作，國家網信、商務、海關、市場監督管理等有關部門在各自職責范圍內，負責商用密碼有關管理工作[1]。

在我國(guo)現行(xing)密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)管理體系下，密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)分(fen)為核心(xin)密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)、普通(tong)密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)和商用密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)。其(qi)中，核心(xin)密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)、普通(tong)密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)用于(yu)(yu)保護(hu)(hu)國(guo)家秘密(mi)(mi)(mi)(mi)信息，商用密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)用于(yu)(yu)保護(hu)(hu)不屬于(yu)(yu)國(guo)家秘密(mi)(mi)(mi)(mi)的信息。《條(tiao)例》1999年版第2條(tiao)規定，“本條(tiao)例所稱商用密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)，是指對不涉(she)及國(guo)家秘密(mi)(mi)(mi)(mi)內容的信息進行(xing)加密(mi)(mi)(mi)(mi)保護(hu)(hu)或者(zhe)安全認(ren)證(zheng)所使用的密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)技術和密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)產(chan)(chan)品。”這里的商用密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)主要是指商用密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)技術和商用密(mi)(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)產(chan)(chan)品。

《密碼法》進一步擴展了密碼的范圍與邊界，將“服務”納入密碼的范圍[2]，因此《條例》（征求意見稿）也沿襲《密碼法》的立法思路，不僅規制“商用密碼技術和商用密碼產品”，也將“商用密碼服務”納入規制范圍[3]。

在《條例》1999年版規定商用密碼技術屬于國家秘密，使用商用密碼技術的主體要遵守與國家秘密相關的所有法律規定。《密碼法》的出臺改變了上述狀況，不再規定商用密碼技術本身為國家秘密，不將商用秘密技術納入國家秘密的管理體系。公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全[4]。

而《條例》（征求意見稿）進一步規定商用密碼技術的安全性審查要求，規定“國家密碼管理部門根據商用密碼應用需求或者安全需要，組織對密碼算法、密碼協議、密鑰管理機制等商用密碼技術進行安全性審查，通過安全性審查的，列入商用密碼技術指導目錄。”[5]。而且，對于非涉密的關鍵信息基礎設施、網絡安全等級保護第三級以上網絡、國家政務信息系統等網絡與信息系統，還要求使用列入商用密碼技術指導目錄的商用密碼技術[6]。

隨著《密碼法》的出臺，我國商用密碼產品的管理制度經歷了“審批制”到“檢測認證制”的過程，具體如下：

在《密碼法》體系下，對商用密碼認證檢測可以分為三個部分：一是強制檢測、認證，對于涉及國家安全、國計民生、社會公共利益的商用密碼產品，應被依法列入網絡關鍵設備和網絡安全專用產品目錄，由具備資格的機構檢測認證合格后，方可銷售或者提供[8]；二是自愿檢測認證，對于不涉及國家安全、國計民生、社會公共利益的商用密碼產品，鼓勵商用密碼從業單位自愿接受商用密碼檢測認證，提升市場競爭力[9]；三是商用密碼服務使用網絡關鍵設備和網絡安全專用產品的，應當經商用密碼認證機構對該商用密碼服務認證合格[10]。

《條例》（征(zheng)求意見稿）除了沿(yan)襲《密碼法》上述要(yao)求，更(geng)為重要(yao)的(de)是對商用密碼產(chan)品檢測與認證機構的(de)資質要(yao)求、申請流程、主管機構、監督管理進行具(ju)體規(gui)定，具(ju)體如(ru)下：

《條(tiao)例》（征(zheng)求意見稿）規定了電(dian)子認(ren)證服務(wu)和電(dian)子政務(wu)電(dian)子認(ren)證服務(wu)的內容：

根據《中華人民共和國電子簽名法》（“《電子簽名法》”），可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力[11]。由于電子認證服務提供者在開展電子認證服務中會使用密碼，因此《電子簽名法》第17條[12]規(gui)定(ding)提供(gong)電子(zi)(zi)認證服務(wu)的條(tiao)件，其中之一就包括具(ju)有國(guo)家密(mi)碼(ma)(ma)管理機(ji)構(gou)同(tong)意使用(yong)(yong)密(mi)碼(ma)(ma)的證明文件。國(guo)家密(mi)碼(ma)(ma)管理局最早于2005年(nian)發(fa)布《電子(zi)(zi)認證密(mi)碼(ma)(ma)管理辦(ban)法(fa)》，要(yao)求提供(gong)電子(zi)(zi)認證服務(wu)，應當申請《電子(zi)(zi)認證服務(wu)使用(yong)(yong)密(mi)碼(ma)(ma)許可證》，該(gai)《許可證》即為(wei)《電子(zi)(zi)簽名法(fa)》第17條(tiao)規(gui)定(ding)的國(guo)家密(mi)碼(ma)(ma)管理機(ji)構(gou)同(tong)意使用(yong)(yong)密(mi)碼(ma)(ma)的證明文件。

《條例》（征求意(yi)(yi)見稿(gao)）相應規定采用(yong)(yong)商用(yong)(yong)密碼技(ji)術提供電子認證服務所應具備(bei)的(de)條件(jian)（同樣包括依法取得國(guo)家(jia)秘密管理部(bu)門同意(yi)(yi)使用(yong)(yong)密碼的(de)證明文件(jian)）。

電子政務電子認證服務指電子認證服務機構采用商用密碼技術，通過數據證書，為各級政務部門開展社會管理、公共服務等政務活動提供的電子認證服務[13]。《密(mi)(mi)碼法》第29條規定，“國家密(mi)(mi)碼管理部(bu)門對(dui)采用商用密(mi)(mi)碼技術從事電子(zi)政務(wu)電子(zi)認證服務(wu)的(de)機構進行認定，會同有關部(bu)門負(fu)責(ze)政務(wu)活動(dong)中使用電子(zi)簽(qian)名、數據電文的(de)管理。”

《條例》（征求意見稿）進一步落實《密碼法》的規定，電子政務電子認證服務機構應經國家密碼管理部門認定，并取得相應資質[14]；同時，《條例》（征求意見稿）也規定了取得電子政務電子認證服務機構資質應取得的條件、資質申請流程等[15]。如果外商投資電子政務電子認證服務，影響或可能影響國家安全的，還應當依法進行外商投資安全審查[16]，這也與《中華人民共和國外商投資法》（“《外商投資法》”）第35條規定的外商投資安全審查制度[17]相銜接。

隨著《密碼法》的出臺，我國對于商用密碼進出口從“批準制”轉變為“進口許可清單和出口管制清單制度”，具體如下：

《條例》（征求意見稿）進一步落實《密碼法》的要求，規定商用密碼進口許可和商用密碼出口管制的內容。同時，《條例》（征求意見稿）還增加規定了“進口《商用密碼進口許可清單》或者出口《商用密碼出口管制清單》中的商用密碼，應當向國務院商務主管部門申請領取兩用物項[18]進出口許可證”的內容，與我國目前正在制定的《出口管制法》相互呼應。在具體執法過程中，采取海關與國務院商務主管部門、國家密碼管理部門聯動執法的機制：未向海關交驗兩用物項進出口許可證，海關有證據表明進出口產品可能屬于商用密碼進口許可或者出口管制范圍的，應當向進出口經營者提出質疑；海關可以向國務院商務主管部門、國家密碼管理部門提出組織鑒別，并根據鑒別結論依法處置；海關還可以在鑒別或者質疑期間，對進出口產品不予放行[19]。

在等保2.0體系下，不同等級的網絡在使用密碼技術和密碼產品上有不同的要求。以等保三級為例（一般商業運營系統最為廣泛適用的級別），安全通用要求中規定必須使用國家密碼管理主管部門認證核準的密碼技術和產品[20]；《網絡安(an)全(quan)等級保護條例（征求意見稿）》第47條也規定，第三級以上(shang)網絡應當(dang)采用密(mi)碼(ma)保護，并(bing)使(shi)用國家密(mi)碼(ma)管(guan)理部(bu)門認(ren)可(ke)的密(mi)碼(ma)技術(shu)、產品和服務(wu)。

《條例》（征求意見稿）直接體現了上述等保2.0的要求，對于網絡安全等級保護第三級以上網絡，要求運營者應當使用商用密碼進行保護。但是由于等保2.0國家標準僅為推薦性標準，并不具備強制力，因此若《條例》（征求意見稿）生效，將會將網絡安全等級保護的推薦性的要求上升為具有強制力的國家規范。

同時，《條例》（征求意見稿）也將商用密碼應用安全性評估的范圍予以擴展，《密碼法》第27條僅規定使用商用密碼進行保護的關鍵信息基礎設施，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。而在《條例》（征求意見稿）中，非涉密的關鍵信息基礎設施、網絡安全等級保護第三級以上網絡、國家政務信息系統等網絡與信息系統都被要求“自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估”。此外，《條例》（征求意見稿）對于商用密碼保障系統的同步規劃、同步建設、同步運行也與《網絡安全等級保護條例（征求意見稿）》第4條的理念一致[21]。

對于非涉密的關鍵信息基礎設施，《條例》（征求意見稿）規定運營者應履行使用商用密碼進行保護、開展商用密碼應用安全性評估、使用列入商用密碼技術指導目錄的商用密碼技術、采購網絡產品和服務的國家安全審查等義務[22]。《網絡安(an)全法》規定關鍵信(xin)息(xi)基(ji)礎(chu)設施安(an)全檢(jian)測(ce)(ce)評(ping)(ping)估(gu)(gu)的內容，為了避免重復評(ping)(ping)估(gu)(gu)、測(ce)(ce)評(ping)(ping)，《條(tiao)例》（征求意見稿(gao)）也要求商(shang)用密碼應用安(an)全性評(ping)(ping)估(gu)(gu)、關鍵信(xin)息(xi)基(ji)礎(chu)設施安(an)全檢(jian)測(ce)(ce)評(ping)(ping)估(gu)(gu)、網絡安(an)全等級測(ce)(ce)評(ping)(ping)應當(dang)加強銜接。但是，對于是否開展(zhan)某一(yi)項(xiang)評(ping)(ping)估(gu)(gu)就無須開展(zhan)其他兩(liang)項(xiang)評(ping)(ping)估(gu)(gu)、測(ce)(ce)評(ping)(ping)，仍有待(dai)主(zhu)管機構的進一(yi)步(bu)澄清。

《條(tiao)例》（征求意見稿）沿襲《密(mi)碼法》規定關(guan)(guan)鍵(jian)信(xin)息(xi)基礎設施(shi)運(yun)營(ying)(ying)者(zhe)的(de)(de)國(guo)家(jia)(jia)安(an)全審(shen)查內容，即關(guan)(guan)鍵(jian)信(xin)息(xi)基礎設施(shi)的(de)(de)運(yun)營(ying)(ying)者(zhe)采(cai)購(gou)涉及商(shang)用密(mi)碼的(de)(de)網(wang)絡產品和服務，可能(neng)影響國(guo)家(jia)(jia)安(an)全的(de)(de)，應(ying)當(dang)依(yi)法通(tong)過(guo)國(guo)家(jia)(jia)網(wang)信(xin)部(bu)門會同(tong)國(guo)家(jia)(jia)密(mi)碼管(guan)理部(bu)門等有關(guan)(guan)部(bu)門組織(zhi)的(de)(de)國(guo)家(jia)(jia)安(an)全審(shen)查。

2020年4月13日，國家網(wang)信辦等12部(bu)門聯合發布《網(wang)絡(luo)安全審(shen)(shen)查(cha)辦法》，對(dui)(dui)(dui)于網(wang)絡(luo)安全審(shen)(shen)查(cha)的(de)(de)(de)適用對(dui)(dui)(dui)象、審(shen)(shen)查(cha)機構、審(shen)(shen)查(cha)程序、審(shen)(shen)查(cha)要(yao)素等進(jin)行規定，因此對(dui)(dui)(dui)于關鍵信息基礎設施運營者采購涉及(ji)商用密碼的(de)(de)(de)網(wang)絡(luo)產品和(he)服務的(de)(de)(de)國家安全審(shen)(shen)查(cha)，應與《網(wang)絡(luo)安全審(shen)(shen)查(cha)辦法》相互銜接(jie)，遵循《網(wang)絡(luo)安全審(shen)(shen)查(cha)辦法》的(de)(de)(de)要(yao)求。

如上文(wen)所(suo)述，《條例(li)》（征求(qiu)意(yi)見稿）將促進(jin)商用密(mi)碼事業(ye)發展(zhan)作(zuo)為立法宗(zong)旨(zhi)，因此規定了一系列商用密(mi)碼應用與促進(jin)的內容，例(li)如：

1. 建立健全商用密碼科學技術創新促進機制[23]；

   
   

2. 保護商用密碼領域的知識產權[24]；

   
   

3. 建立商用密碼標準實施信息反饋和評估機制，對商用密碼標準實施進行監督檢查[25]；

   
   

4. 推動參與商用密碼國際標準化活動，參與制定商用密碼國際標準，推進商用密碼中國標準與國外標準之間的轉化運用，鼓勵企業、社會團體和教育、科研機構等參與商用密碼國際標準化活動[26]；

   
   

5. 建立商用密碼應用促進協調機制，加強對商用密碼應用的統籌指導[27]；

   
   

6. 支持網絡產品、服務使用商用密碼提升安全性，支持并規范商用密碼在信息領域新技術、新業態、新模式中的應用等[28]。

如果(guo)《條例》（征求(qiu)意(yi)見稿）生(sheng)效，預計(ji)上(shang)述應(ying)用與促進措(cuo)施也會有(you)相應(ying)的細化規則和落地機制，我們也將持續關(guan)注。

相較于《條例》1999年版注重事前審批的管理，《條例》（征求意見稿）順應“放管服”、普遍性取消審批的要求，轉化監管思路，更加注重商用密碼的全生命周期管理，而不是放松監管。監管思路的轉變的突出標志之一就是加強監管檢查的內容，《條例》（征求意見稿）第43條賦予密碼管理部門和有關部門豐富的監督檢查職權，包括現場檢查、查閱或復制有關資料、查封或者扣押等[29]。而且，《條例》（征求意見稿）也著力推進商用密碼監督管理與社會信用體系相銜接，要求依法建立推行商用密碼市場主體信息記錄、信用分類分級監管、失信懲戒以及信用修復等機制[30]。

總體(ti)上(shang)，由于《密(mi)(mi)碼(ma)法(fa)(fa)》對(dui)《條(tiao)例》1999年版進(jin)行(xing)了結構(gou)性的重塑，《條(tiao)例》（征求意見稿(gao)）與《條(tiao)例》1999年版相(xiang)比，在(zai)結構(gou)、內容上(shang)均有大幅(fu)度(du)的變化(hua)，以貫徹落實(shi)《密(mi)(mi)碼(ma)法(fa)(fa)》中的有關商用(yong)密(mi)(mi)碼(ma)管理(li)具體(ti)制(zhi)度(du)。而且，《條(tiao)例》（征求意見稿(gao)）也與《網絡安全(quan)法(fa)(fa)》《電子簽名法(fa)(fa)》《外(wai)商投(tou)資(zi)法(fa)(fa)》《網絡安全(quan)審查辦法(fa)(fa)》及正在(zai)制(zhi)定(ding)的《出(chu)口管制(zhi)法(fa)(fa)》等(deng)相(xiang)互鏈接、相(xiang)互呼應。由于《條(tiao)例》（征求意見稿(gao)）是商用(yong)密(mi)(mi)碼(ma)管理(li)制(zhi)度(du)的基本制(zhi)度(du)，有著重要影響，因此(ci)我們也將持(chi)續關注(zhu)《條(tiao)例》（征求意見稿(gao)）的立(li)法(fa)(fa)進(jin)展，幫助(zhu)相(xiang)關企業及時了解商用(yong)密(mi)(mi)碼(ma)管理(li)的最新趨勢。