修订版《商用密码管理条例》CA电子认证条例解读
2023/05/26
2023年5月24日,中国政府网正式发布《商用密码管理条例》修订版全文(以下简称“《条例》修订版”),《条例》修订版于2023年4月14日国务院第4次常务会议修订通过,自2023年7月1日起正式施行。商用密码在电子认证中发挥重要作用,《条例》修订版明确了电子认证服务使用密码的要求和电子政务电子认证服务活动管理规范。
《条例》产生背景及发展历程
1999年10月7日《商用密码管理条例》颁布,以法规形式确定了我国商用密码工作的方针、政策、原则;这是我国商用密码领域内第一个行政法规,标志着我国对商用密码的管理监督和应用发展走上法制化的快速轨道。
近年来,商用密码应用愈发广泛,在维护国家主权、安全和发展利益以及保障网络和信息安全方面的作用越来越凸显。党的十八大以来,党中央、国务院对商用密码创新发展和行政审批制度改革提出了一系列要求。
《中华人民共和国密码法》(以下简称《密码法》),自2020年1月1日起正式施行,是我国密码领域的第一部法律,《密码法》颁布对密码管理制度进行结构性的重塑。为适应新时代商用密码事业发展需求,2020年8月20日,国家密码管理局发布《商用密码管理条例(修订草案征求意见稿)》,推进正式条例的快速落地。
2023年5月24日《商用密码管理条例》修订版正式发布,进一步规范和完善检测认证、应用安全性评估、进出口管理、电子服务认证等。
到目前为止,我国在法律法规、算法标准、产品应用、监督管理、法律责任等多方面形成了密码产业的基础框架,更好地鼓励和促进商用密码产业发展。
《条例》修订版整体思路
一是坚持创新发展与保障安全相结合。在促进商用密码科技创新和科技成果转化的同时,对涉及国家安全、国计民生、社会公共利益的商用密码产品、服务以及关键信息基础设施商用密码应用实施管控。
二是坚持放宽准入与规范监管相结合。按照行政审批制度改革要求,放宽市场准入,由原《条例》规定的全环节严格管控,调整为对关键环节进行重点把控,管理方式由重事前审批转为加强事前事中事后监管,更好激发市场活力和社会创造力。
三是处理好条例与相关法律法规的关系。注重与密码法、网络安全法、出口管制法、电子签名法、认证认可条例、关键信息基础设施安全保护条例等做好衔接,并将实践中成熟有效的做法上升为条例规定。
《条例》修订版对电子认证有哪些规定?
为加强电子认证服务使用密码和电子政务电子认证服务活动管理,《条例》一是明确电子认证服务使用密码要求和使用规范;二是明确电子政务电子认证服务机构的资质审批条件、程序及其从业规范;三是明确建立电子认证信任机制,推动电子认证服务互信互认;四是明确政务活动中电子签名、电子印章、电子证照等涉及的电子认证服务要求。
(1)明确电子认证服务使用密码要求和使用规范
采用商用密码技术提供电子认证服务,应当具有与使用密码相适应的场所、设备设施、专业人员、专业能力和管理体系,依法取得国家密码管理部门同意使用密码的证明文件。
电子认证服务机构应当按照法律、行政法规和电子认证服务密码使用技术规范、规则,使用密码提供电子认证服务,保证其电子认证服务密码使用持续符合要求。
(2)明确电子政务电子认证服务机构的资质管理规范
电子政务电子认证服务机构应当按照法律、行政法规和电子政务电子认证服务技术规范、规则,在批准范围内提供电子政务电子认证服务,并定期向主要办事机构所在地省、自治区、直辖市密码管理部门报送服务实施情况。
外商投资电子政务电子认证服务,影响或者可能影响国家安全的,应当依法进行外商投资安全审查。
(3)明确建立电子认证信任机制
国家建立统一的电子认证信任机制。国家密码管理部门负责电子认证信任源的规划和管理,会同有关部门推动电子认证服务互信互认。电子认证服务密码使用技术规范、规则由国家密码管理部门制定并公布。
(4)明确政务活动中涉及的电子认证服务要求。
密码管理部门会同有关部门负责政务活动中使用电子签名、数据电文的管理。政务活动中电子签名、电子印章、电子证照等涉及的电子认证服务,应当由依法设立的电子政务电子认证服务机构提供。
沃通CA具备合规资质及商密应用产品能力
沃通CA是依法设立的第三方电子认证服务机构,获得国密局颁发《电子认证使用密码许可证》、工信部颁发《电子认证服务许可证》,获批电子政务电子认证服务资质。
自2002年成立以来,沃通CA深耕密码技术领域二十余年,提供自主研发且获得《商用密码产品认证证书》资质的数字证书认证系统(CA)、证书认证密钥管理系统(KM)、服务器密码机、时间戳服务器、安全电子签章系统、智能密码钥匙等商用密码应用产品;以国密证书产品为基础,结合PKI服务设施及商用密码应用产品,为企业及政务活动中的商用密码应用提供可靠的电子认证产品及解决方案,涉及网络安全通信、身份认证、电子签名等多种应用场景,覆盖政府、金融、教育、医疗等多个行业领域。