专家解读｜姚晓敏：明确监管权力边界细化违法活动责任
北京市兰台律师事务所 高级合伙人 姚晓敏 

2023年5月24日，国务院发布新修订的《商用密码管理条例》（以下简称《条例》），对1999年《商用密码管理条例》（以下简称原《条例》）进行了全面的结构性修订。《条例》从旧到新的过程，缩影式体现了我国商用密码领域几十年来的发展进程。《条例》全面回应了商用密码监管活动中亟待解决的问题，明确了商用密码监管的原则和行政权力边界，并针对违法行为差异化地设置了处罚规定，从而变革性地提升我国商用密码管理工作的规范化、科学化与法治化水平，加速商用密码技术进步、产业发展和规范应用，切实维护国家安全、社会公共利益以及公民、法人和其他组织的合法权益。

一、《条例》系统规定了商用密码的监督管理原则与权责范围，为密码管理部门对商用密码实施有效的监督管理提供了强有力支撑

《条例》设立“监督管理”专章，一方面全面响应国务院行政审批制度改革要求，大幅削减商用密码行政审批事项，放宽市场准入，更好地激发市场活力和社会创造力；另一方面加强事前事中事后监管，确保既“放得开”，又“管得住”。

在制度设计方面，对商用密码活动的监管机构、行政执法权限、行政权力边界、密码管理部门与有关部门的管理协作及协调配合、商用密码监督管理与社会信用体系的衔接、举报制度等事项进行了系统化的原则性规定，不仅明确了密码管理部门有权对商用密码活动进行监管，还从可为与不可为两个方面明确了密码管理部门在商用密码监管工作中的执法权限及权力边界。《条例》明确，密码管理部门和有关部门依法组织对商用密码活动进行监督检查，有权进入商用密码活动场所实施现场检查，向当事人的法定代表人、主要负责人和其他有关人员调查、了解有关情况，查阅、复制有关合同、票据、账簿以及其他有关资料；但不得要求商用密码科研、生产、销售、服务、进出口等单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息；同时强调密码管理部门和有关部门及其工作人员对其在履行职责中知悉的商业秘密和个人隐私应严格保密，不得泄露或者非法向他人提供；并赋予了单位和个人对违反《条例》行为的举报权。

在监管范围方面，从原《条例》的全环节严格管理调整为重点把控关键环节，即对涉及国家安全、国计民生、社会公共利益的商用密码产品、技术、服务的提供、进出口、关键信息基础设施商用密码应用等关键环节进行重点管控。

在监管方式方面，由重事前审批转变为加强事前事中事后监管，重视发挥标准化和检测认证的支撑作用。《条例》落实《中华人民共和国密码法》（以下简称《密码法》）立法精神，进一步明确商用密码监督管理与社会信用体系相衔接，依法建立推行商用密码市场主体信用记录、信用分级分类监管、失信惩戒及信用修复等机制，从社会信用的角度呼应并强化对商用密码活动的监督与管理。

《条例》的以上种种变化，为国家密码管理部门的行政执法行为、行政相对人的权利保障、各有关部门监督管理机制的构建等提供了明确的法律依据，为规范商用密码监督管理奠定了坚实的法治基础。

二、《条例》细化了违法活动的法律责任，为惩处与规范商用密码违法行为提供了充分法律依据

“法律责任”一章共一十七条，对违反《条例》的违法行为进行详细规制，列明了具体的执法部门、责任人，并依据违规情节的严重程度设置了不同的法律责任。该章所占篇幅超过全文的四分之一，相较原《条例》“罚则”一章，条款数量更为丰富，质量极大提升，对保障《条例》的切实落地提供了全面且充分的支撑。

首先，针对商用密码的检测、认证活动，对未取得资质擅自开展商用密码检测、认证活动，及虽已取得资质但存在超批准范围、出具结论虚假或者失实、未履行保密义务等违法情形作出处罚规定。另外，还对违规销售或者提供涉及国家安全、国计民生、社会公共利益的商用密码产品，及违规提供使用网络关键设备和网络安全专用产品的商用密码服务之行为，作出特别规定。

其次，针对电子认证相关活动，对电子认证服务机构违法违规使用密码行为、电子政务电子认证服务机构的违法认证服务行为均作出具体处罚规定，并将电子政务电子认证服务机构面临索赔时的举证责任法定化。

再次，明确不同违法行为的行政执法主体和惩处职责，如《条例》第五十八条规定违法进出口商用密码行为的处罚部门为国务院商务主管部门或者海关；又如第五十条规定，未经批准从事商用密码认证活动的，应由市场监督管理部门会同密码管理部门予以处罚。

最后，区分责任主体的性质，对处罚作出了针对性规定。比如对关键信息基础设施运营者、网络运营者可能涉及的违法活动作出相应处罚规定；又如对一般主体及国家机关不接受商用密码管理监督的行为分别作出不同的处罚规定。针对一般主体，处罚措施以警告、罚款、责令停业整顿、吊销商用密码许可证件为主；针对国家机关，处罚措施以警告、对直接负责的主管人员和其他责任人员给予处分或者处理为主；再如特别规定密码管理部门和有关部门的工作人员在商用密码工作中出现滥用职权、玩忽职守、徇私舞弊等违规行为的，依法给予处分。

三、《条例》在现行法律框架下，进一步补强商用密码法律保护体系，并明晰了相关法律法规的衔接适用

《条例》根据《密码法》确定的密码领域职能转变和行政审批制度改革方向，突出商用密码事业的发展目的，呼应了《密码法》的立法宗旨；将维护国家和社会公共利益放在“保护公民、法人和其他组织的合法权益”之前，强调对国家安全和社会公共利益的保护，延续了《中华人民共和国国家安全法》的立法初衷；对关键信息基础设施运营者采购涉及商用密码的网络产品和服务的国家安全审查，遵循了《中华人民共和国网络安全法》及《网络安全审查办法》相关规定。《条例》与以上法律法规相互衔接、相互呼应。

此外，《条例》对商用密码科技创新、产业发展、安全应用和规范管理等事项作出了明确规定，有利于形成统一、开放、竞争、有序的商用密码市场体系，保护商用密码知识产权，提升商用密码产业竞争力，推动商用密码人才培养。

《条例》的修订实施，是适应新时代商用密码事业发展的内在需求，是构建与国家治理体系和治理能力相适应的法律制度体系的重要举措，是落实我国依法治国战略的题中之意。可以预见，随着《条例》的实施，我国商用密码法治能力必将实现质的飞跃，商用密码行业也定会迎来前所未有的重大发展机遇期。