适用场景
计划或正在将产品、服务或技术推向海外市场的中国企业,特别是产品中集成或使用了加密技术(如物联网设备、智能硬件、软件、通信产品)或日常运营涉及数据加密传输与存储的企业。
核心要点
1. 密码分类管理:明确监管边界
新法将密码分为核心密码、普通密码和商用密码三类。前两者用于保护国家秘密,受到严格统一管理。出海企业主要涉及的是商用密码,用于保护不属于国家秘密的商业信息,其监管政策相对宽松,以鼓励发展和应用为导向。
2. 一般商用密码限制放宽
新法大幅简化了对一般性商用密码产品的监管。对于大多数不涉及国家安全等特殊领域的商用密码产品(包括使用境外密码技术的产品),其销售和使用不再需要事前许可或批准,企业只需确保符合相关法律法规和标准即可。
3. 对外资实行非歧视原则
法律明确外商投资企业在商用密码的研发、使用、销售和进出口方面,享有与内资企业同等待遇。这有助于消除外资企业在市场准入、政府采购等方面可能面临的额外障碍,并规定行政机关不得强制转让商用密码技术。
4. 与网络安全法规的衔接
新法注重与《网络安全法》等现有法规的协调。对于列入网络关键设备目录的商用密码产品,需经安全认证;关键信息基础设施运营者必须使用商用密码进行保护并完成评估,但相关评估会与现有网络安全测评制度衔接,旨在避免重复评估。
实务建议
- 进行产品自查:梳理出海产品和服务中是否包含加密功能或技术,明确其属于一般商用密码还是可能涉及特殊监管领域。
- 关注标准符合性:确保所使用的商用密码技术符合中国的强制性国家标准以及企业公开声明的技术标准。
- 区分特殊场景:若产品可能用于关键信息基础设施,或属于网络关键设备,应提前规划相应的安全认证与评估流程。
- 利用非歧视原则:外商投资背景的出海企业,在密码技术应用和市场活动中,可依据法律主张平等权利。
- 跟踪细则出台:密切关注国家密码管理部门后续发布的配套规章,以获取更具体的操作指引。
风险提示
- 误区:认为所有密码监管都已放开。实际上,核心密码、普通密码及涉及国家安全、社会公共利益等特定领域的商用密码仍受严格管制。
- 注意:避免重复评估不等于无需评估。关键信息基础设施运营者等特定主体使用商用密码,仍需依法完成安全性评估。
- 注意:进出口涉及国家安全、国际义务等特定商用密码产品,仍需依法申请许可,不可一概而论。
- 误区:忽视技术标准的符合性。即使无需许可,商用密码从业单位也必须遵守强制性国标和自身公开标准。