适用场景
研发、生产或在业务中使用加密技术(如密码芯片、电子签章、身份认证等)的科技出海企业,在产品出口、跨境数据传输及海外业务拓展阶段需重点关注。
核心要点
1. 商用密码的界定与应用场景
商用密码专门用于保护不属于国家秘密的信息,涵盖密码芯片、动态口令、电子签章及数字证书管理系统等典型产品。出海企业在金融、电商、通信及交通等领域的出海业务若涉及上述加密与认证技术,均需纳入商用密码合规管理范畴。
2. 多部门交叉监管机制
商用密码不仅受密码管理部门的专项监管,还涉及多部门协同联动。例如,涉及关键信息基础设施(CII)的密码应用需符合网信部门的网络安全规定;属于网络关键设备和网络安全专用产品的密码产品,则需满足工信与公安部门的监管要求。
3. 进出口环节的严格管控
商用密码产品及技术的跨境转移受国家商务主管部门的严格管控。企业在进出口相关密码产品或技术时,必须依法申请并取得“两用物项和技术进出口许可证”,以满足国家出口管制与通关要求。
4. 资质认证与安全评估体系
涉及商用密码的企业需关注多类法定资质,包括产品安全认证、电子认证服务许可及电子政务认证机构认定等。同时,提供商用密码检测、认证或应用安全性评估的第三方机构,也必须具备国家法定的专门资质。
实务建议
- 在产品出海前全面盘点技术栈,明确是否包含密码芯片、数字证书等商用密码技术,并对照《两用物项和技术进出口许可证管理目录》排查进出口资质需求。
- 建立跨部门合规小组,统筹协调网信、工信、公安及商务部门的监管要求,确保网络安全审查与出口管制的双重合规。
- 若企业在海外业务中提供电子签章或身份认证服务,应提前向国内相关部门申请电子认证服务使用密码许可等必要资质。
- 在委托第三方进行商用密码产品检测或安全评估时,务必严格核实该机构是否具备国家认可的商用密码检测或评估资质。
风险提示
- 误将商用密码产品作为普通电子产品直接出口,未办理两用物项出口许可证,导致违反国家出口管制及海关法律。
- 忽视关键信息基础设施(CII)的特殊要求,在涉及CII的跨境项目中违规使用未经安全认证的商用密码产品。
- 混淆核心密码、普通密码与商用密码的界限,未能准确识别自身产品属性,从而适用错误的合规标准或遗漏关键资质。