适用场景
涉及产品研发、生产、销售或服务包含加密技术,并计划进行跨境业务(进出口、数据传输、境外部署)的中国出海企业,尤其在科技、通信、金融科技、物联网、云计算及涉及关键信息基础设施的行业。
核心要点
1. 商用密码定义与范围扩大
新规将“商用密码”的定义从技术和产品,扩展至包含相关服务,与《密码法》保持一致。其性质明确为保护非国家秘密信息,本身不再属于国家秘密,但跨境流动受到严格管制。
2. 进出口实行清单许可管理
商用密码进出口受《两用物项和技术进出口许可证管理目录》下的专门清单管制,需向商务部申请许可证。但大众消费类产品(如数字电视智能卡、蓝牙模块)所采用的商用密码享有许可例外。
3. 多部门协同监管与海关关键角色
国家密码管理局主管,商务、海关、网信等多部门协同。海关在进出口环节有直接监管权,可对货物提出质疑、组织鉴别,并对涉嫌走私行为独立调查,商品编号归类错误可能导致通关受阻或处罚。
4. 许可证申请与审查流程
申请需提交身份证明、合同、技术说明、最终用户证明等材料。审查时限一般为45个工作日,但对国家安全等有重大影响的出口,需报国务院批准,时限不定。
5. 关键信息基础设施的特别要求
涉及关键信息基础设施的商用密码应用,需满足更严格的安全性评估、产品检测认证和技术审查鉴定要求,并可能面临国家安全审查。
实务建议
- 立即开展物项排查:对照最新版《商用密码进口许可清单》和《出口管制清单》,逐一核查企业拟跨境流动的产品、技术和服务是否落入管制范围。
- 准确进行海关归类:为相关产品确定正确的海关商品编号,避免因归类错误引发通关延误或调查。注意清单描述优先于编号,即使无对应编号也可能需要许可。
- 建立内部合规机制:设立流程确保跨境前完成必要的许可证申请,并妥善保管申请材料(如合同、技术说明、最终用户证明)。
- 识别并利用例外情形:判断产品是否属于“大众消费类产品”,若符合定义可免于许可,但需准备证据材料以备核查。
- 制定政府调查应对预案:明确内部对接人、外部法律顾问联系流程,以及资料调取和现场检查的应对程序。
- 关注供应链合规:对采购的含加密功能的元器件(如安全芯片)进行溯源,确认其进出口已获合法许可,避免连带风险。
风险提示
- 误区:认为只有完整“密码机”才受管制。风险:安全芯片、加密VPN设备、特定软件和技术同样受控,忽略嵌入式或软件形式的密码功能会导致违规。
- 误区:仅凭海关商品编号判断是否需要许可。风险:管制以清单商品名称和描述为准,编号仅为参考,依赖编号归类可能漏报。
- 误区:认为技术出口或跨境远程服务无需许可。风险:商用密码“技术”的跨境提供同样受出口管制清单约束。
- 注意事项:许可证申请中的“最终用户和最终用途证明”至关重要,提供不实信息将导致许可无效并承担法律责任。
- 注意事项:法律责任全面加强,处罚覆盖科研、生产、销售、进出口、应用等全环节,企业需系统性合规,而非仅关注通关节点。