摘要：密碼是信息網(wǎng)絡(luò)安全保障的核心技術(shù)，是促進數(shù)字經(jīng)濟發(fā)展和保障數(shù)據(jù)安全的主要手段。在數(shù)字經(jīng)濟生態(tài)化背景下，數(shù)字法治建設(shè)需要確立安全與發(fā)展的系統(tǒng)思維。隨著《密碼法》的頒布實施，國家對其從嚴格管控逐步轉(zhuǎn)向放管結(jié)合和推廣應(yīng)用;修訂中的《商用密碼管理條例》予以回應(yīng)，凸顯促進商用密碼應(yīng)用與保障安全相統(tǒng)一的價值導(dǎo)向。我國應(yīng)建立商用密碼分類分級保護制度，健全事中、事后監(jiān)管體系，加強安全性評估和國家安全審查，明確相關(guān)主體安全義務(wù)及法律責任，并促進刑行銜接，構(gòu)建商用密碼應(yīng)用安全保障的法律體系。

　　關(guān)鍵詞：商用密碼;數(shù)字法治;安全監(jiān)管;數(shù)據(jù)安全

　　我國立法機關(guān)于2019年10月通過的《密碼法》，規(guī)定商用密碼不屬于國家秘密，并從商用密碼生命周期的各個方面放寬管制，體現(xiàn)了國家對密碼管理實行“放管結(jié)合”的改革目標和價值導(dǎo)向。與之相應(yīng)，2020年8月《商用密碼管理條例》(簡稱“《條例》”)修訂稿出臺，目前處于向社會征求意見的過程中。《條例》修訂稿對1999年的《條例》進行了較大幅度的修改，對商用密碼的管理、認證和檢測等方面都進行了較為具體的規(guī)定，由以前的嚴格把控轉(zhuǎn)向“放管并重”。值得關(guān)注的是，我國正在推進人民幣數(shù)字化改革，區(qū)塊鏈是支撐數(shù)字貨幣運行的核心技術(shù)，商用密碼則是保障區(qū)塊鏈穩(wěn)定運行的關(guān)鍵，能夠為促進數(shù)字貨幣應(yīng)用和保障安全提供基礎(chǔ)支撐。

　　然而，目前我國有關(guān)商用密碼應(yīng)用安全保障的法律法規(guī)仍存在不足，缺乏體系性和完整性，不能完全適應(yīng)數(shù)字生態(tài)發(fā)展和安全保障的法律需求。實踐中，因網(wǎng)絡(luò)數(shù)據(jù)服務(wù)提供商沒有采用密碼保護而導(dǎo)致數(shù)據(jù)“裸奔”的現(xiàn)象層出不窮，相關(guān)行政違法或刑事犯罪不斷滋生，嚴重侵害公民個人的信息數(shù)據(jù)權(quán)利、社會公共利益和國家安全。在數(shù)字經(jīng)濟時代，數(shù)據(jù)安全已然成為關(guān)乎國家安全、行業(yè)發(fā)展以及公民切身利益的重要課題。在我國數(shù)字經(jīng)濟發(fā)展和《密碼法》實施的背景下，如何基于安全與發(fā)展相融合的系統(tǒng)思維，完善商用密碼應(yīng)用的規(guī)范管理，構(gòu)建商用密碼應(yīng)用安全法律體系，實現(xiàn)國家政府“放管并重”的改革目標，是我國數(shù)字法治建設(shè)中必須面對和研究解決的重要問題。本文對此加以探討。

　　一、商用密碼應(yīng)用安全保障的理念與原則

　　(一)數(shù)字生態(tài)下發(fā)展與安全的系統(tǒng)思維

　　隨著云計算、人工智能、物聯(lián)網(wǎng)以及區(qū)塊鏈新技術(shù)逐漸融入人類的生產(chǎn)生活，數(shù)據(jù)作為關(guān)鍵的生產(chǎn)要素，其價值不斷凸顯，成為驅(qū)動數(shù)字經(jīng)濟新形態(tài)的中堅力量。融合是數(shù)字經(jīng)濟的最大特點，海量主體參與市場競爭與合作，相關(guān)行業(yè)組織共生共榮，線上線下融合成為常態(tài)。有學者提出，基于生態(tài)系統(tǒng)科學理論，可將數(shù)字經(jīng)濟視為一種具有與自然生態(tài)系統(tǒng)相類似特征的生態(tài)系統(tǒng);其具備多個亞系統(tǒng)和復(fù)雜要素，在結(jié)構(gòu)與功能方面聯(lián)系緊密，中樞企業(yè)、顧客種群和價值群落分別扮演著生產(chǎn)者、消費者和分解者的角色，各群落間形成了協(xié)同共生、動態(tài)運行的生態(tài)系統(tǒng)。a在信息化、數(shù)字化過程中，人、財、物等生產(chǎn)要素、人們的行為方式和生活方式都在發(fā)生著解組和重建，而跨行業(yè)、跨要素、跨區(qū)域的融合也會帶來相應(yīng)的監(jiān)管風險。

　　b傳統(tǒng)安全模式已經(jīng)向傳統(tǒng)與非傳統(tǒng)安全交織模式轉(zhuǎn)變，可預(yù)見與難以預(yù)見的各類風險數(shù)量都呈明顯增長的態(tài)勢，安全問題的廣度與復(fù)雜程度前所未有。數(shù)據(jù)不正當競爭、數(shù)據(jù)壟斷、平臺侵權(quán)、算法歧視等問題頻發(fā)。圍繞數(shù)據(jù)泄露、數(shù)據(jù)權(quán)屬糾紛、數(shù)據(jù)跨境流動展開的數(shù)據(jù)安全事件層出不窮，成為威脅公民個人信息安全、阻滯數(shù)據(jù)產(chǎn)業(yè)發(fā)展、引發(fā)國家安全風險的重大問題。發(fā)展和安全可謂數(shù)字經(jīng)濟的“一體兩翼”。長期以來，我國采用“自上而下”的主導(dǎo)模式來實現(xiàn)對傳統(tǒng)風險的規(guī)制，將重點放在國家公權(quán)力機關(guān)上，弱化了企業(yè)等其他主體的參與力度。

　　無形之中將企業(yè)與國家公權(quán)力機關(guān)置于對立面，容易出現(xiàn)政府規(guī)制失靈的現(xiàn)象。c對各類技術(shù)的嚴格管制，不僅會阻礙其進步，同時也會削弱公眾使用各類技術(shù)保護信息安全的能力。過分強調(diào)技術(shù)的安全性，忽視技術(shù)的發(fā)展以及公民的私權(quán)利，不僅會影響社會秩序、經(jīng)濟秩序，還可能危及國家安全。目前，有關(guān)商用密碼的配套法律法規(guī)并沒有完全解決安全與發(fā)展這一難題。基于安全與發(fā)展相統(tǒng)一的系統(tǒng)思維，我國應(yīng)當積極開展數(shù)字經(jīng)濟立法，優(yōu)化市場環(huán)境，規(guī)范市場競爭，完善數(shù)字經(jīng)濟發(fā)展所需的各類規(guī)則體系。通過法律制度供給保障，促進實現(xiàn)數(shù)據(jù)安全與數(shù)據(jù)發(fā)展的融合共進，支持數(shù)字經(jīng)濟生態(tài)良性發(fā)展。

　　(二)商用密碼應(yīng)用“放管并重”的原則

　　近年來，區(qū)塊鏈技術(shù)為數(shù)字經(jīng)濟發(fā)展帶來了巨大的疊加效應(yīng)和乘數(shù)效應(yīng)。不同于以往的中心化信任體系，區(qū)塊鏈提出了弱中心、多中心信任機制，在數(shù)據(jù)和價值驅(qū)動的網(wǎng)絡(luò)時代和融合業(yè)務(wù)場景中發(fā)揮了巨大的應(yīng)用價值。從性質(zhì)上看，區(qū)塊鏈就是通過利用密碼技術(shù)，將系統(tǒng)內(nèi)的有效交易進行編碼的可附加賬本。密碼是人、機、物之間可信互認、安全互通的技術(shù)基礎(chǔ)。通過對信息進行重新編碼，在保證信息安全與完整的基礎(chǔ)上，還要保證信息的機密性。

　　須指出，自2008年開始涌現(xiàn)的數(shù)字加密貨幣始終是執(zhí)法部門的一大困擾。不僅產(chǎn)生了各類新型犯罪，犯罪分子還會利用數(shù)字加密貨幣進行洗錢、恐怖活動等傳統(tǒng)犯罪活動。不斷的技術(shù)創(chuàng)新能夠推動社會進步，但技術(shù)創(chuàng)新必須要對社會的有序運轉(zhuǎn)負責，符合技術(shù)倫理的要求。a在我國商用密碼產(chǎn)業(yè)生態(tài)持續(xù)壯大繁榮，相關(guān)從業(yè)單位達2000家，累計產(chǎn)值超千億元的背景下，更有必要推動密碼技術(shù)的應(yīng)用與健康發(fā)展。因此，我國制定并實施《密碼法》，彰顯了國家政府簡政放權(quán)、轉(zhuǎn)變職能、創(chuàng)新監(jiān)管的改革目標，拓寬了市場準入的標準，減少了行政許可事項，注重事中、事后監(jiān)管。

　　《條例》修訂稿以專章規(guī)定商用密碼的科技創(chuàng)新和應(yīng)用促進的制度內(nèi)容，進一步貫徹了《密碼法》“放管并重”的立法原則。一方面，《密碼法》對產(chǎn)品的應(yīng)用、銷售、進出口等關(guān)鍵問題和重要環(huán)節(jié)作出了具體規(guī)定，通過取消各類行政審批、行政許可來放寬市場準入，在立法層面上徹底改變了之前對商用密碼嚴格管控的模式。

　　b另一方面，《密碼法》對重點事項，如涉及國家安全、國計民生、社會公共利益等領(lǐng)域，規(guī)定了適度的管制措施;對商用密碼應(yīng)用的放開并非是徹底放開，而是將管控重點由之前的“管企業(yè)”轉(zhuǎn)向為“管產(chǎn)品”。《密碼法》中第21條規(guī)定了“非歧視原則”，對商用密碼研、產(chǎn)、銷等相關(guān)的單位(其中包含外資企業(yè))都要平等地對待，標志著我國開始放開對商用密碼運營主體的限制，倡導(dǎo)外商根據(jù)商業(yè)運行的規(guī)則和自由意愿在投資活動中進行商用密碼方面的技術(shù)研討與合作。為了與《密碼法》緊密銜接，《條例》修訂稿的立法導(dǎo)向亦從嚴加管制開始轉(zhuǎn)向“放”與“管”的動態(tài)平衡，更加突出了促進商用密碼發(fā)展的立法原意。現(xiàn)行《條例》對商用密碼從最初的科研階段到最后的保密管理階段都作出了嚴格規(guī)定。然而，如此嚴格的規(guī)定已經(jīng)無法適應(yīng)密碼技術(shù)和應(yīng)用的需要。

　　從《條例》修訂前后的內(nèi)容來看，后者增加了“科技創(chuàng)新與標準化”“應(yīng)用與促進”等專章，旨在實現(xiàn)我國商用密碼自主創(chuàng)新，以及鼓勵成果產(chǎn)業(yè)化。主要體現(xiàn)在：⑴商用密碼進出口清單制度。這對涉及商用密碼的企業(yè)，尤其是外資企業(yè)，無疑是一個利好消息。具有商用密碼研發(fā)技術(shù)的外商投資企業(yè)，可以自由地參與到中國商用密碼的市場中來。在我國境內(nèi)發(fā)展的外商投資企業(yè)，使用境外的商用密碼產(chǎn)品、服務(wù)不再需要通過繁瑣的審批備案程序，自行使用即可。大量具有商用密碼技術(shù)、服務(wù)的消費品將無需通過密碼認證程序即可進入我國市場。

　　與此相應(yīng)，《條例》修訂稿對商用密碼的進出口作出規(guī)定，被列入《商用密碼進口許可清單》和《商用密碼出口管制清單》的商用密碼需要向國務(wù)院商務(wù)主管部門申請領(lǐng)取兩用物項進出口許可證，再向海關(guān)交驗兩用物項進出口許可證，辦理報關(guān)手續(xù)。實施進出口清單制度，一方面有利于商用密碼技術(shù)的自由應(yīng)用與技術(shù)進步，另一方面也在一定程度上阻斷了其他各國借進出口商用密碼之便對我國進行信息控制或者各類商用密碼公司借由進出口商用密碼進行違法犯罪活動的可能性。⑵商用密碼檢測認證制度。

　　《密碼法》出臺以后，我國商用密碼的管理制度由之前的“審批制”改為“檢測認證制”。只有涉及國家安全、國計民生、社會公共利益的，需強制檢測，且只有檢測合格的才能銷售或提供;對于其他商用密碼，國家鼓勵其自愿接受檢測認證;對于使用網(wǎng)絡(luò)安全專用產(chǎn)品或關(guān)鍵設(shè)備的商用密碼，都需要獲得專門機構(gòu)的認證，以證明商用密碼有關(guān)的服務(wù)或產(chǎn)品合格。

　　《條例》修訂稿在《密碼法》的基礎(chǔ)上，進一步對檢測、認證機構(gòu)的資質(zhì)要求、申請程序、主管機構(gòu)以及監(jiān)督管理作出了具體規(guī)定。這種分類管理模式對涉及國家和社會公共安全、國計民生的商用密碼堅持嚴格完善的管控制度，而對其他商用密碼則在保障其安全使用的基礎(chǔ)上給予了充分的自由空間。⑶科技創(chuàng)新與應(yīng)用促進制度。

　　《條例》修訂稿以專章的形式規(guī)定了一系列商用密碼應(yīng)用與促進的內(nèi)容，采取激勵手段促進商用密碼技術(shù)研發(fā)和市場活動的發(fā)展，完善相關(guān)知識產(chǎn)權(quán)保護體系。另外，《條例》修訂稿規(guī)定建立商用密碼應(yīng)用促進的協(xié)調(diào)機制，加強統(tǒng)籌指導(dǎo)工作;支持各類信息系統(tǒng)使用商用密碼產(chǎn)品、服務(wù)以提升安全性等。

　　二、商用密碼應(yīng)用安全等級保護與安全監(jiān)管

　　《條例》修訂稿規(guī)定了國家安全審查、外商投資安全審查、進出口許可與管制等內(nèi)容。值得注意的是，《密碼法》對商用密碼應(yīng)用安全實行等級化保護，這是對商用密碼應(yīng)用實施監(jiān)管、評估和審查的前提和基礎(chǔ)。

　　三、商用密碼應(yīng)用安全保障法律義務(wù)與責任

　　(一)商用密碼應(yīng)用安全保障義務(wù)從國外商用密碼立法來看，各國政府無不重視公權(quán)力介入和監(jiān)管，以保障國家信息網(wǎng)絡(luò)安全。同時，商用密碼的應(yīng)用也逐漸得到重視和法律保障。例如，美國政府曾要求在加密產(chǎn)品中加入密鑰恢復(fù)機制，以便法律執(zhí)行部門在需要時獲取信息明文，否則該產(chǎn)品就不被允許投入市場使用。

　　然而，此規(guī)定一經(jīng)發(fā)布就遭到業(yè)界人士以及公民自由團體的強烈反對，理由是將密碼托管給執(zhí)法機構(gòu)的政策會導(dǎo)致公民隱私保護被削弱，最終美國政府在1999年放棄該政策。2001年施行的《愛國者法案》賦予了司法、情報部門很大程度的自由，允許其在不經(jīng)批準的情況下監(jiān)控手機用戶的通訊信息，甚至是銀行信用記錄、互聯(lián)網(wǎng)通訊記錄。此規(guī)定大大擴張了國家公權(quán)力機關(guān)的權(quán)力范圍，引發(fā)了不少爭議。因此，2015年美國開始施行《自由法案》，全面禁止政府大規(guī)模收集公民個人信息的行為，并規(guī)定只有在涉及恐怖活動調(diào)查時，且有通訊運營商提供數(shù)據(jù)的需要時，司法機關(guān)才能在取得外國情報監(jiān)督法庭許可后，向通訊運營商索要證據(jù)。在緊急情況下則無需獲取許可，即可直接獲取。a然而，僅依靠公權(quán)力機關(guān)不足以滿足監(jiān)管的需要。

　　數(shù)字技術(shù)論文：人工智能時代會計類大學生數(shù)字素養(yǎng)的培育探索

　　四、結(jié)語

　　目前，我國數(shù)字法治建設(shè)正在加緊進行，除了《商用密碼管理條例》的修訂之外，《數(shù)據(jù)安全法》《個人信息保護法》等重要法律也呼之欲出。值得關(guān)注的是，我國法定貨幣數(shù)字化改革加速推進，《中國人民銀行法》修訂草案正在征求意見過程中。《密碼法》的實施與《商用密碼管理條例》的修訂，對于規(guī)范和保障區(qū)塊鏈和密碼技術(shù)的融合發(fā)展來說，無疑是重大利好，同時也為數(shù)字貨幣的發(fā)行提供了法律支撐。

　　然而，只有采用符合國家密碼管理法律和政策的密碼技術(shù)，遵循相關(guān)密碼標準規(guī)范要求，維護網(wǎng)絡(luò)數(shù)據(jù)安全、技術(shù)安全和應(yīng)用安全，才能為保障數(shù)字經(jīng)濟生態(tài)系統(tǒng)的良性運行提供制度保障。從系統(tǒng)論角度，以數(shù)據(jù)安全為核心，相關(guān)民法、刑法、行政法及行業(yè)規(guī)范之間應(yīng)當是銜接協(xié)調(diào)的，不同法律手段共同發(fā)揮作用。司法適用中應(yīng)盡量避免不同法律規(guī)范之間的重復(fù)和沖突，從法秩序統(tǒng)一性角度，將某種違法犯罪行為放置在整個法律保護體系之中加以考量，進行違法性的層次性判斷，形成刑民關(guān)系、刑行關(guān)系的銜接協(xié)調(diào)，形成商用密碼應(yīng)用促進和安全保障的法律規(guī)范體系，為我國數(shù)字生態(tài)良性運行提供“安全閥”和“協(xié)調(diào)器”，實現(xiàn)數(shù)字安全與發(fā)展的協(xié)調(diào)統(tǒng)一。

　　作者：張勇馮明昱