中國在2019年10月26日的第十三屆全國人大常委會第十四次會議審議通過《密碼法》，共五章四十四條，並訂於2020年1月1日起施行，新聞一出，引發輿論譁然，一則是多家媒體誤解中國將全面管控民眾的帳戶密碼，二則是，各界紛紛揣度中國此舉立法的真正用意何在。本文試簡要介紹密碼法的規範內容，供各界參考與釋疑。

規範重點

中國國家密碼管理局表示，《密碼法》涵蓋「密碼應用」、「管理機構」、「密碼管理」等規範重點，按各章分述下列規定[1]：

第一章 總則

包括立法目的、密碼工作基本原則、密碼工作之領導與管理體制，以及核心密碼、普通密碼與商用密碼在發展促進與保障措施上之共通性規範。

第二章 核心密碼、普通密碼

包括使用要求、安全管理制度、加強密碼工作之一系列特殊保障制度與措施等規範。

第三章 商用密碼

包括標準化制度、檢測認證制度 、市場准入管理制度、使用要求、進出口管理制度、電子政務電子認證服務管理制度、事中事後監管制度等規範。

第四章 法律責任

規定違反本法相關規定之法律後果。

第五章 附則

包括國家密碼管理部門之規章制定權、解放軍與武警部隊密碼立法事宜，以及本法施行日期。

規範對象為「加密技術」

《密碼法》規範的對象並非多家媒體報導所稱之一般帳戶密碼。查其法律名稱英譯，該「密碼」係指「cryptography」而非「password」，亦即將明文資訊變為密文內容的加密手段；再者，根據第2條，此處規範之密碼包括「採用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務」，範圍較1999年《商用密碼管理條例》（以下簡稱《條例》）為廣，已延伸至密碼服務。

台灣《政府機關密碼統合辦法》第2條第1款，將密碼定義為「利用演算法或其他方法，對資訊進行保護、隱匿或安全認證之技術或作為」，同樣採用「cryptography」之涵義。惟應注意的是，無論台灣或中國，「密碼」一詞在法律上仍具有普羅大眾理解的意義，亦即用以驗證身分的字符串，例如台灣《刑法》第358條、中國《商業銀行信用卡業務監督管理辦法》第34條等皆是。

作為密碼管理領域之綜合性、基礎性法律

中國以往主要透過政策性文件管理核心密碼與普通密碼[2]，商用密碼則是由國務院、國家密碼管理局訂定的行政法規、部門規章加以管理，惟為適應現代密碼事業發展需求，中國認為在密碼管理領域亟需一部具法律層級的基礎性規範，以統整密碼工作之各個環節，促進密碼事業發展，並且保障網路與資訊安全，因而制定《密碼法》，藉此建構密碼管理規範體系，如下圖所示[3]：

密碼按分類管理

根據第6至8條，密碼分為核心密碼、普通密碼及商用密碼三類，前兩者用於保護國家秘密資訊，須依法受嚴格統一管理，核心密碼用以保護絕密級、機密級、秘密級資訊，普通密碼則用以保護機密級、秘密級資訊。至於商用密碼，係用於保護非國家秘密資訊，公民、法人及其他組織可依法使用，以保護網路與資訊安全。

核心密碼與普通密碼除保護國家秘密資訊外，本身亦屬於國家秘密，而商用密碼技術根據《條例》第3條，原本亦屬於國家秘密，但在《密碼法》通過後，已非國家秘密。

商用密碼之管理變革

《密碼法》不僅是從國家層級及戰略高度建構密碼管理體系，規範密碼工作，最大亮點且影響產業甚深的便是針對《條例》之規範鬆綁，大幅體現中國在2013年提出的「放管服」（簡政放權、加強監管、優化服務）經濟改革政策。國家密碼管理局指出，《密碼法》係從下列三大方向，革新商用密碼管理制度[4]：

落實「放管服」改革要求

體現非歧視與公平競爭原則，減少行政許可數量，放寬市場准入，藉此激發市場活力與社會創造力。例如：

1. 在公平競爭方面：根據第21條，政府機關應平等對待從事商用密碼科研、生產、銷售、服務、進出口等業務的本地及外資企業，為外資企業確立平等參與市場的地位，同時也鼓勵外資企業推動商用密碼技術合作。
2. 在技術保密方面[5]：包括禁止政府機關利用行政手段強制轉讓商用密碼技術（第21條）；檢測認證機構應保密在檢測認證過程中知悉之國家秘密與商業秘密（第25條）；密碼管理及相關部門不得要求從業單位與檢測認證機構揭露原始碼等專有資訊，並且嚴格保密在履行職責時知悉之商業秘密與個人隱私（第31條）。
3. 在放寬審批方面：根據《條例》第3條，過去係由國家全面嚴格控管商用密碼產品的科研、生產、銷售與使用，惟至2107年，國務院46號令取消「商密三證」中屬於「管企業」的兩項許可（亦即「商用密碼產品生產單位審批」與「商用密碼產品銷售單位許可」），開始轉向「管產品」的規範方針。乃至《密碼法》通過，在法律層級上明確刪去以往要求的繁複審批與許可[6]，而「商密三證」中屬於「管產品」的「商用密碼產品型號證書」，也自此走入歷史[7]。

鬆綁《條例》的全環節嚴格管理

僅著重在管控產品銷售、服務提供、使用、進出口等關鍵環節，由事前審批改為事中事後監管方式，並且建立標準化與檢測認證制度。例如：

1. 在進出口方面—根據《條例》第13條，進口密碼產品及含有密碼技術的設備、或出口商用密碼產品，必須報經批准方可為之，惟《密碼法》第28條放寬為僅針對涉及國安、社會公益且具加密保護功能的商用密碼實施進口許可，涉及國安、社會公益或由中國承擔國際義務的商用密碼實施出口管制，至於大眾消費類產品採用的商用密碼，則不實行進口許可與出口管制。
2. 在標準化方面—根據第22至24條，商用密碼標準體系包括由國家相關部門制定的國家標準、行業標準，以及由社會團體與企業制定且技術要求較高的團體標準、企業標準；其中包括必須遵守的強制性國家標準、從業單位公開標準的技術要求，以及國家鼓勵採用的推薦性國家標準、行業標準。同時，國家也鼓勵各界參與制定商用密碼國際標準。
3. 在檢測認證方面[8]—根據第25條，由國家建立商用密碼檢測認證制度，訂定相關技術規範，並以自願檢測認證為原則，鼓勵從業單位取得認證，藉此提升市場競爭力；惟如涉及國安與社會公益，則須遵守強制性認證。

管制特定重大事項

針對涉及國安與社會公益，且難以透過市場機制或事中事後監督有效管理的少數事項，設置必要的行政許可與管制措施。例如：

1. 在強制性認證方面—《密碼法》雖取消《條例》要求之「商用密碼產品品種與型號審批」，但於第26條規定，涉及國安、社會公益、國計民生的商用密碼產品須列入網絡關鍵設備與網絡安全專用產品目錄，經檢測認證合格後方可銷售或提供；同樣地，為維護國安與社會公益，使用網絡關鍵設備與網絡安全專用產品的商用密碼服務，亦應列入服務目錄並經認證合格。鑑於兩者制度皆以目錄明確界定管理範圍，不致對市場與產業造成不必要限制。
2. 在安全性評估方面—涉及國安、社會公益、國計民生的關鍵信息基礎設施必須使用商用密碼保護，根據第27條，為確保該密碼的合規性、正確性、有效性，保障國家網路與資訊安全，該基礎設施的運營者須自行或委託檢測機構進行安全性評估。倘若運營者採購涉及商用密碼的網絡產品與服務，且有影響國家安全之虞，另應按照《網絡安全法》規定，由相關部門組織進行國家安全審查。

結語

儘管不少新聞媒體質疑《密碼法》意在箝制言論與資訊流通，創造「偽區塊鏈」，但本文認為，鑑於密碼具備軍民兩用之敏感性質（即中國所稱之「兩用物項」），國家施以各種管制手段並非罕事。畢竟，任何國家若要為惡，其實毋須任何法律理由，外界猜測法律實踐的現實固然無妨，但亦應重視規範所蘊涵的政策思維與布局。

以產業觀點觀察，《密碼法》可說是充分展現中國推動密碼事業及標準化體系的野心，極具戰略意義。再加上中國5G技術大幅領先，同時掌握量子密碼國際標準制定之主導權，顯然在新一輪的資訊科技競賽中，中國占有相當優勢，對於未來世界經濟與產業發展必然有極大影響力。

備註：

【本文僅反映專家作者意見，不代表本報立場。】

Facebook 在北美智權報粉絲團上追踪我們