时间:2021年07月29日 分类:经济论文 次数:
摘要:密码是信息网络安全保障的核心技术,是促进数字经济发展和保障数据安全的主要手段。在数字经济生态化背景下,数字法治建设需要确立安全与发展的系统思维。随着《密码法》的颁布实施,国家对其从严格管控逐步转向放管结合和推广应用;修订中的《商用密码管理条例》予以回应,凸显促进商用密码应用与保障安全相统一的价值导向。我国应建立商用密码分类分级保护制度,健全事中、事后监管体系,加强安全性评估和国家安全审查,明确相关主体安全义务及法律责任,并促进刑行衔接,构建商用密码应用安全保障的法律体系。
关键词:商用密码;数字法治;安全监管;数据安全
我国立法机关于2019年10月通过的《密码法》,规定商用密码不属于国家秘密,并从商用密码生命周期的各个方面放宽管制,体现了国家对密码管理实行“放管结合”的改革目标和价值导向。与之相应,2020年8月《商用密码管理条例》(简称“《条例》”)修订稿出台,目前处于向社会征求意见的过程中。《条例》修订稿对1999年的《条例》进行了较大幅度的修改,对商用密码的管理、认证和检测等方面都进行了较为具体的规定,由以前的严格把控转向“放管并重”。值得关注的是,我国正在推进人民币数字化改革,区块链是支撑数字货币运行的核心技术,商用密码则是保障区块链稳定运行的关键,能够为促进数字货币应用和保障安全提供基础支撑。
然而,目前我国有关商用密码应用安全保障的法律法规仍存在不足,缺乏体系性和完整性,不能完全适应数字生态发展和安全保障的法律需求。实践中,因网络数据服务提供商没有采用密码保护而导致数据“裸奔”的现象层出不穷,相关行政违法或刑事犯罪不断滋生,严重侵害公民个人的信息数据权利、社会公共利益和国家安全。在数字经济时代,数据安全已然成为关乎国家安全、行业发展以及公民切身利益的重要课题。在我国数字经济发展和《密码法》实施的背景下,如何基于安全与发展相融合的系统思维,完善商用密码应用的规范管理,构建商用密码应用安全法律体系,实现国家政府“放管并重”的改革目标,是我国数字法治建设中必须面对和研究解决的重要问题。本文对此加以探讨。
一、商用密码应用安全保障的理念与原则
(一)数字生态下发展与安全的系统思维
随着云计算、人工智能、物联网以及区块链新技术逐渐融入人类的生产生活,数据作为关键的生产要素,其价值不断凸显,成为驱动数字经济新形态的中坚力量。融合是数字经济的最大特点,海量主体参与市场竞争与合作,相关行业组织共生共荣,线上线下融合成为常态。有学者提出,基于生态系统科学理论,可将数字经济视为一种具有与自然生态系统相类似特征的生态系统;其具备多个亚系统和复杂要素,在结构与功能方面联系紧密,中枢企业、顾客种群和价值群落分别扮演着生产者、消费者和分解者的角色,各群落间形成了协同共生、动态运行的生态系统。a在信息化、数字化过程中,人、财、物等生产要素、人们的行为方式和生活方式都在发生着解组和重建,而跨行业、跨要素、跨区域的融合也会带来相应的监管风险。
b传统安全模式已经向传统与非传统安全交织模式转变,可预见与难以预见的各类风险数量都呈明显增长的态势,安全问题的广度与复杂程度前所未有。数据不正当竞争、数据垄断、平台侵权、算法歧视等问题频发。围绕数据泄露、数据权属纠纷、数据跨境流动展开的数据安全事件层出不穷,成为威胁公民个人信息安全、阻滞数据产业发展、引发国家安全风险的重大问题。发展和安全可谓数字经济的“一体两翼”。长期以来,我国采用“自上而下”的主导模式来实现对传统风险的规制,将重点放在国家公权力机关上,弱化了企业等其他主体的参与力度。
无形之中将企业与国家公权力机关置于对立面,容易出现政府规制失灵的现象。c对各类技术的严格管制,不仅会阻碍其进步,同时也会削弱公众使用各类技术保护信息安全的能力。过分强调技术的安全性,忽视技术的发展以及公民的私权利,不仅会影响社会秩序、经济秩序,还可能危及国家安全。目前,有关商用密码的配套法律法规并没有完全解决安全与发展这一难题。基于安全与发展相统一的系统思维,我国应当积极开展数字经济立法,优化市场环境,规范市场竞争,完善数字经济发展所需的各类规则体系。通过法律制度供给保障,促进实现数据安全与数据发展的融合共进,支持数字经济生态良性发展。
(二)商用密码应用“放管并重”的原则
近年来,区块链技术为数字经济发展带来了巨大的叠加效应和乘数效应。不同于以往的中心化信任体系,区块链提出了弱中心、多中心信任机制,在数据和价值驱动的网络时代和融合业务场景中发挥了巨大的应用价值。从性质上看,区块链就是通过利用密码技术,将系统内的有效交易进行编码的可附加账本。密码是人、机、物之间可信互认、安全互通的技术基础。通过对信息进行重新编码,在保证信息安全与完整的基础上,还要保证信息的机密性。
须指出,自2008年开始涌现的数字加密货币始终是执法部门的一大困扰。不仅产生了各类新型犯罪,犯罪分子还会利用数字加密货币进行洗钱、恐怖活动等传统犯罪活动。不断的技术创新能够推动社会进步,但技术创新必须要对社会的有序运转负责,符合技术伦理的要求。a在我国商用密码产业生态持续壮大繁荣,相关从业单位达2000家,累计产值超千亿元的背景下,更有必要推动密码技术的应用与健康发展。因此,我国制定并实施《密码法》,彰显了国家政府简政放权、转变职能、创新监管的改革目标,拓宽了市场准入的标准,减少了行政许可事项,注重事中、事后监管。
《条例》修订稿以专章规定商用密码的科技创新和应用促进的制度内容,进一步贯彻了《密码法》“放管并重”的立法原则。一方面,《密码法》对产品的应用、销售、进出口等关键问题和重要环节作出了具体规定,通过取消各类行政审批、行政许可来放宽市场准入,在立法层面上彻底改变了之前对商用密码严格管控的模式。
b另一方面,《密码法》对重点事项,如涉及国家安全、国计民生、社会公共利益等领域,规定了适度的管制措施;对商用密码应用的放开并非是彻底放开,而是将管控重点由之前的“管企业”转向为“管产品”。《密码法》中第21条规定了“非歧视原则”,对商用密码研、产、销等相关的单位(其中包含外资企业)都要平等地对待,标志着我国开始放开对商用密码运营主体的限制,倡导外商根据商业运行的规则和自由意愿在投资活动中进行商用密码方面的技术研讨与合作。为了与《密码法》紧密衔接,《条例》修订稿的立法导向亦从严加管制开始转向“放”与“管”的动态平衡,更加突出了促进商用密码发展的立法原意。现行《条例》对商用密码从最初的科研阶段到最后的保密管理阶段都作出了严格规定。然而,如此严格的规定已经无法适应密码技术和应用的需要。
从《条例》修订前后的内容来看,后者增加了“科技创新与标准化”“应用与促进”等专章,旨在实现我国商用密码自主创新,以及鼓励成果产业化。主要体现在:⑴商用密码进出口清单制度。这对涉及商用密码的企业,尤其是外资企业,无疑是一个利好消息。具有商用密码研发技术的外商投资企业,可以自由地参与到中国商用密码的市场中来。在我国境内发展的外商投资企业,使用境外的商用密码产品、服务不再需要通过繁琐的审批备案程序,自行使用即可。大量具有商用密码技术、服务的消费品将无需通过密码认证程序即可进入我国市场。
与此相应,《条例》修订稿对商用密码的进出口作出规定,被列入《商用密码进口许可清单》和《商用密码出口管制清单》的商用密码需要向国务院商务主管部门申请领取两用物项进出口许可证,再向海关交验两用物项进出口许可证,办理报关手续。实施进出口清单制度,一方面有利于商用密码技术的自由应用与技术进步,另一方面也在一定程度上阻断了其他各国借进出口商用密码之便对我国进行信息控制或者各类商用密码公司借由进出口商用密码进行违法犯罪活动的可能性。⑵商用密码检测认证制度。
《密码法》出台以后,我国商用密码的管理制度由之前的“审批制”改为“检测认证制”。只有涉及国家安全、国计民生、社会公共利益的,需强制检测,且只有检测合格的才能销售或提供;对于其他商用密码,国家鼓励其自愿接受检测认证;对于使用网络安全专用产品或关键设备的商用密码,都需要获得专门机构的认证,以证明商用密码有关的服务或产品合格。
《条例》修订稿在《密码法》的基础上,进一步对检测、认证机构的资质要求、申请程序、主管机构以及监督管理作出了具体规定。这种分类管理模式对涉及国家和社会公共安全、国计民生的商用密码坚持严格完善的管控制度,而对其他商用密码则在保障其安全使用的基础上给予了充分的自由空间。⑶科技创新与应用促进制度。
《条例》修订稿以专章的形式规定了一系列商用密码应用与促进的内容,采取激励手段促进商用密码技术研发和市场活动的发展,完善相关知识产权保护体系。另外,《条例》修订稿规定建立商用密码应用促进的协调机制,加强统筹指导工作;支持各类信息系统使用商用密码产品、服务以提升安全性等。
二、商用密码应用安全等级保护与安全监管
《条例》修订稿规定了国家安全审查、外商投资安全审查、进出口许可与管制等内容。值得注意的是,《密码法》对商用密码应用安全实行等级化保护,这是对商用密码应用实施监管、评估和审查的前提和基础。
三、商用密码应用安全保障法律义务与责任
(一)商用密码应用安全保障义务从国外商用密码立法来看,各国政府无不重视公权力介入和监管,以保障国家信息网络安全。同时,商用密码的应用也逐渐得到重视和法律保障。例如,美国政府曾要求在加密产品中加入密钥恢复机制,以便法律执行部门在需要时获取信息明文,否则该产品就不被允许投入市场使用。
然而,此规定一经发布就遭到业界人士以及公民自由团体的强烈反对,理由是将密码托管给执法机构的政策会导致公民隐私保护被削弱,最终美国政府在1999年放弃该政策。2001年施行的《爱国者法案》赋予了司法、情报部门很大程度的自由,允许其在不经批准的情况下监控手机用户的通讯信息,甚至是银行信用记录、互联网通讯记录。此规定大大扩张了国家公权力机关的权力范围,引发了不少争议。因此,2015年美国开始施行《自由法案》,全面禁止政府大规模收集公民个人信息的行为,并规定只有在涉及恐怖活动调查时,且有通讯运营商提供数据的需要时,司法机关才能在取得外国情报监督法庭许可后,向通讯运营商索要证据。在紧急情况下则无需获取许可,即可直接获取。a然而,仅依靠公权力机关不足以满足监管的需要。
数字技术论文:人工智能时代会计类大学生数字素养的培育探索
四、结语
目前,我国数字法治建设正在加紧进行,除了《商用密码管理条例》的修订之外,《数据安全法》《个人信息保护法》等重要法律也呼之欲出。值得关注的是,我国法定货币数字化改革加速推进,《中国人民银行法》修订草案正在征求意见过程中。《密码法》的实施与《商用密码管理条例》的修订,对于规范和保障区块链和密码技术的融合发展来说,无疑是重大利好,同时也为数字货币的发行提供了法律支撑。
然而,只有采用符合国家密码管理法律和政策的密码技术,遵循相关密码标准规范要求,维护网络数据安全、技术安全和应用安全,才能为保障数字经济生态系统的良性运行提供制度保障。从系统论角度,以数据安全为核心,相关民法、刑法、行政法及行业规范之间应当是衔接协调的,不同法律手段共同发挥作用。司法适用中应尽量避免不同法律规范之间的重复和冲突,从法秩序统一性角度,将某种违法犯罪行为放置在整个法律保护体系之中加以考量,进行违法性的层次性判断,形成刑民关系、刑行关系的衔接协调,形成商用密码应用促进和安全保障的法律规范体系,为我国数字生态良性运行提供“安全阀”和“协调器”,实现数字安全与发展的协调统一。
作者:张勇冯明昱