适用场景
适用于在中国境内运营、处理数据、或涉及密码产品及服务进出口的各类中国出海企业,尤其是在华设有分支机构、研发中心或供应链的企业,以及被认定为关键信息基础设施(CII)运营者的企业。无论企业规模大小,只要其业务活动涉及信息加密与认证,都需关注此法。
核心要点
1. 密码分类与应用范围
中国密码法将密码分为核心密码、普通密码和商用密码。前两者用于保护国家秘密信息,受严格管制;商用密码用于保护非国家秘密信息,企业和个人可依法自由使用,但需符合相关规定。
2. 关键信息基础设施(CII)运营者义务
CII运营者必须使用商用密码产品和服务来保护其信息,并进行安全评估。若采购的商用密码产品或服务可能影响国家安全,需进行国家安全审查。
3. 商用密码产品认证与使用
在中国境内使用的商用密码产品,即使是非CII运营者,也可能需要通过国家密码管理部门的认证。商用密码的研发、生产、销售、服务、进出口等经营者,部分涉及国家安全、国计民生或公共利益的产品需强制认证。
4. 商用密码进出口管理
涉及国家安全或公共利益的商用密码产品,其进口需办理许可,出口受国家管制。但消费级商用密码产品通常不受此限制,具体清单由相关部门联合发布。
5. 技术保护与法律责任
法律明确禁止行政机关强制披露商用密码产品的源代码或强制技术转让,以保护企业商业秘密。违反密码法可能面临行政处罚,严重者甚至承担刑事责任。
实务建议
- 建立内部信息分类与处理机制,明确区分是否涉及国家秘密,并针对性地制定加密和处理流程。
- CII运营者应评估自身是否属于CII,并确保所使用的商用密码产品和服务符合强制性要求,定期进行安全评估,并在必要时进行国家安全审查。
- 核查在中国境内使用的所有商用密码产品(包括自研或境外采购)是否已获得国家密码管理部门的认证或符合相关使用规定。
- 对于涉及商用密码产品或服务的进出口业务,应密切关注商务部、国家密码管理局和海关总署联合发布的管制清单,提前办理相关许可。
- 在与中国合作伙伴进行技术合作时,可援引密码法中关于技术保护的条款,拒绝不合理的强制技术转让要求。
- 定期对员工进行密码法及相关法规的培训,提高全员的数据安全和合规意识。
风险提示
- 误用密码类型:将涉及国家秘密的信息错误地使用商用密码加密,或将非国家秘密信息误用核心/普通密码,均可能引发法律风险。
- CII运营者合规缺失:未能履行CII运营者强制使用商用密码、安全评估及国家安全审查义务,将面临严重处罚。
- 使用未经认证的商用密码:在中国境内使用未经国家密码管理部门认证的商用密码产品,可能被认定为违法行为并受到处罚。
- 忽视进出口管制:未经许可进口或出口受管制的商用密码产品,可能导致货物被扣押、罚款甚至刑事责任。
- 泄露国家秘密或核心/普通密码信息:任何泄露国家秘密或核心/普通密码的行为都将承担严重的法律后果。