密码法释义（九）商用密码的进口许可和出口管制

2022-11-24

中华人民共和国密码法

——————————————————————————————————————————————————————————————————————

第二十八条国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可，对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。

大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

——————————————————————————————————————————————————————————————————

释义：本条是关于商用密码进口许可和出口管制的规定。

——————————————————————————————————————————————————————————————————

一、商用密码进口许可和出口管制制度

1999年颁布的《商用密码管理条例》设定了“密码产品和含有密码技术的设备进口许可”和“商用密码产品出口许可”两项行政许可，要求商用密码产品进出口必须报经国家密码管理机构批准。《密码法》按照“放管服”改革要求，将商用密码进口许可和出口管制纳入《对外贸易法》规定的两用物项进出口许可管制制度体系中，由商务部会同国家密码管理局就进行审批。

之所以对商用密码实行进口许可和出口管制，主要有三个方面的考虑：一是该制度是维护国家安全和社会公共利益的需要。商用密码是一把“双刃剑”,既可以用于合法的信息保护,也可能被用来从事违法犯罪活动,应当对其实行进口许可和出口管制,维护国家安全和社会公共利益。二是该制度符合世贸组织规则,也是国际通行做法。商用密码是国际公认的两用物项,对其实行进口许可和出口管制,符合世贸组织“安全例外”原则和我国《对外贸易法》的规定,也是国际通行做法。三是该制度实施范围有限。进口许可制度仅适用于涉及国家安全、社会公共利益且具有加密保护功能的商用密码,出口管制制度仅适用于涉及国家安全、社会公共利益或者中国承担国际义务的商用密码,对大众消费类产品所采用的商用密码不实行进口许可和出口管制,并通过制定清单明确界定管理范围,不会对贸易造成影响。自1999年《商用密码管理条例》颁布实施以来，国家密码管理局一直对商用密码产品的进出口实施许可制度，制度执行效果良好。特别是在进口方面，2009年12月，国家密码管理局与海关总署联合发布《密码产品和含有密码技术的设备进口管理目录》（2013年12月进行了调整），公布了5类9种实行进口许可制度的密码产品，包括加密传真机、加密电话机、密码机、密码卡等，与目前在我国市场上流通的1000多款商用密码产品相比，目录中的产品的数量及其应用领域都非常有限。

二、大众消费类产品所采用的商用密码的进出口管理

大众消费类产品所采用的商用密码,是指社会公众可以不受限制地通过常规零售渠道购买、供个人使用、不能轻易改变密码功能的产品或技术。大众消费类产品所采用的商用密码对国家安全、社会公共利益带来的风险较小且可控,对大众消费类产品所采用的商用密码不实行进口许可和出口管制制度,可最大限度减少对贸易的影响。这既是国际社会的通行做法,也符合我国现有商用密码进出口管理实践。2013年，国家密码管理局和海关总署联合发布调整后的《密码产品和含有密码技术的设备进口管理目录》，该目录明确将大众消费类产品所采用的商用密码，包括数字电视智能卡、蓝牙模块和用于知识产权保护的加密狗等，排除在目录之外。

——————————————————————————————————————————————————————————————————

相关新闻动态

2020年8月28日，商务部、科技部调整发布《中国禁止出口限制出口技术目录》（商务部科技部公告2020年第38号，以下简称《目录》）。

本次《目录》调整先后征求了相关部门、行业协会、业界学界和社会公众意见，共涉及53项技术条目：一是删除了4项禁止出口的技术条目；二是删除5项限制出口的技术条目；三是新增23项限制出口的技术条目；四是对21项技术条目的控制要点和技术参数进行了修改。其中新增部分增加了对于出口密码技术相关的控制要点。

根据《中华人民共和国技术进出口管理条例》，凡是涉及向境外转移技术，无论是采用贸易还是投资或是其他方式，均要严格遵守《中华人民共和国技术进出口管理条例》的规定，其中限制类技术出口必须到省级商务主管部门申请技术出口许可，获得批准后方可对外进行实质性谈判，签订技术出口合同。

商用密码进口许可

商用密码

内容来源：《中华人民共和国密码法释义》童卫东李兆宗主编

————————————————————————— 网安检测公司主营业务介绍 —————————————————————————

商用密码应用安全性评估服务：对采用商用密码算法、技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估，帮助关键信息基础设施等相关信息系统密码应用符合法律法规和标准规范要求。

ISO27001体系建设咨询服务：基于ISO/IEC27001体系框架和标准，帮助客户在其组织内部建立一套适当、可落地、全局性和可视化的信息安全政策、管理制度、操作流程和执行记录的信息安全管理体系，并协助通过ISO 27001认证。

网络安全等级保护测评服务：依据公安部关于网络安全等级保护的有关法律法规和要求，对用户方的重要二/三/四级信息系统的网络安全等级保护状况进行评估、咨询和评测，全面、完整地了解网络安全等级保护要求的基本安全控制在信息系统中的实施配置情况以及系统的整体安全性，出具安全等级测评的结论；指出该系统存在的安全问题并提出相应的整改建议，出具《网络安全等级保护测评报告》。

信息系统审计服务：依据国家法律法规和行业监管，客观独立地审查和评价信息系统规划设计、开发、运营等生命周期中涉及的设施、流程、技术、管理和资源存在的风险、控制和价值实现，为高级管理层实施治理决策提供重要依据，满足监管合规要求。

ICP/EDI评测服务：包含符合性评测与风险评估。符合性评测根据相关规范的要求，针对物理环境安全、基础网络安全、设备与系统安全、业务与应用安全、安全管理等领域16个层面进行标准符合性评测，查找差距，提出整改建议，促进信息系统符合通信行业标准要求。风险评估内容包含技术风险评估与管理风险评估，评估和分析在基础网络架构、信息系统上存在的安全技术风险与管理组织存在的这些脆弱性，指导用户方的信息安全保障建设，促进用户方安全管理水平和安全技术保护能力的提高，增强用户方的信息安全风险管理意识，降低用户方信息系统安全风险，确保信息系统的安全稳定运行。

APP个人信息安全合规评估服务：在隐私政策文本检测、APP收集使用个人信息行为检测、APP用户权利保障等方面，为APP开发者和运营者提供全面、准确和快捷的隐私合规检测支持，确保APP个人信息保护满足监管要求。

信息安全风险评估服务：立足于全局观角度，根据行业与业务特点、信息系统生命周期过程，并融合多项安全标准规范，开展安全风险识别和安全能力评估，识别信息安全隐患、威胁以及所形成的安全风险，提出整改和优化建议，全面提高安全管理水平并落实监管要求。

安证云第三方电子数据保全服务：提供面向重点行业（政府行政服务、医疗卫生、教育、互联网金融、游戏、直播、众筹等）行为存证的电子数据证据保管、取证、鉴定、出证和高级安全防护的一体化支撑服务，加强数据的属地化管理，帮助客户一站式解决诉讼前和诉讼中的“取证难，举证难，出证难”等问题。

安全培训：提供CISP攻防领域渗透测试⽅向PTE/PTS（注册信息专业⼈员渗透测试⼯程师/专家），应急响应⽅向IRE/IRS（注册信息安全专业⼈员应急响应⼯程师/专家）等培训服务。