摘要：密碼是信息網絡安全保障的核心技術，是促進數字經濟發展和保障數據安全的主要手段。在數字經濟生態化背景下，數字法治建設需要確立安全與發展的系統思維。隨著《密碼法》的頒布實施，國家對其從嚴格管控逐步轉向放管結合和推廣應用;修訂中的《商用密碼管理條例》予以回應，凸顯促進商用密碼應用與保障安全相統一的價值導向。我國應建立商用密碼分類分級保護制度，健全事中、事后監管體系，加強安全性評估和國家安全審查，明確相關主體安全義務及法律責任，并促進刑行銜接，構建商用密碼應用安全保障的法律體系。

　　關鍵詞：商用密碼;數字法治;安全監管;數據安全

　　我國立法機關于2019年10月通過的《密碼法》，規定商用密碼不屬于國家秘密，并從商用密碼生命周期的各個方面放寬管制，體現了國家對密碼管理實行“放管結合”的改革目標和價值導向。與之相應，2020年8月《商用密碼管理條例》(簡稱“《條例》”)修訂稿出臺，目前處于向社會征求意見的過程中。《條例》修訂稿對1999年的《條例》進行了較大幅度的修改，對商用密碼的管理、認證和檢測等方面都進行了較為具體的規定，由以前的嚴格把控轉向“放管并重”。值得關注的是，我國正在推進人民幣數字化改革，區塊鏈是支撐數字貨幣運行的核心技術，商用密碼則是保障區塊鏈穩定運行的關鍵，能夠為促進數字貨幣應用和保障安全提供基礎支撐。

　　然而，目前我國有關商用密碼應用安全保障的法律法規仍存在不足，缺乏體系性和完整性，不能完全適應數字生態發展和安全保障的法律需求。實踐中，因網絡數據服務提供商沒有采用密碼保護而導致數據“裸奔”的現象層出不窮，相關行政違法或刑事犯罪不斷滋生，嚴重侵害公民個人的信息數據權利、社會公共利益和國家安全。在數字經濟時代，數據安全已然成為關乎國家安全、行業發展以及公民切身利益的重要課題。在我國數字經濟發展和《密碼法》實施的背景下，如何基于安全與發展相融合的系統思維，完善商用密碼應用的規范管理，構建商用密碼應用安全法律體系，實現國家政府“放管并重”的改革目標，是我國數字法治建設中必須面對和研究解決的重要問題。本文對此加以探討。

　　一、商用密碼應用安全保障的理念與原則

　　(一)數字生態下發展與安全的系統思維

　　隨著云計算、人工智能、物聯網以及區塊鏈新技術逐漸融入人類的生產生活，數據作為關鍵的生產要素，其價值不斷凸顯，成為驅動數字經濟新形態的中堅力量。融合是數字經濟的最大特點，海量主體參與市場競爭與合作，相關行業組織共生共榮，線上線下融合成為常態。有學者提出，基于生態系統科學理論，可將數字經濟視為一種具有與自然生態系統相類似特征的生態系統;其具備多個亞系統和復雜要素，在結構與功能方面聯系緊密，中樞企業、顧客種群和價值群落分別扮演著生產者、消費者和分解者的角色，各群落間形成了協同共生、動態運行的生態系統。a在信息化、數字化過程中，人、財、物等生產要素、人們的行為方式和生活方式都在發生著解組和重建，而跨行業、跨要素、跨區域的融合也會帶來相應的監管風險。

　　b傳統安全模式已經向傳統與非傳統安全交織模式轉變，可預見與難以預見的各類風險數量都呈明顯增長的態勢，安全問題的廣度與復雜程度前所未有。數據不正當競爭、數據壟斷、平臺侵權、算法歧視等問題頻發。圍繞數據泄露、數據權屬糾紛、數據跨境流動展開的數據安全事件層出不窮，成為威脅公民個人信息安全、阻滯數據產業發展、引發國家安全風險的重大問題。發展和安全可謂數字經濟的“一體兩翼”。長期以來，我國采用“自上而下”的主導模式來實現對傳統風險的規制，將重點放在國家公權力機關上，弱化了企業等其他主體的參與力度。

　　無形之中將企業與國家公權力機關置于對立面，容易出現政府規制失靈的現象。c對各類技術的嚴格管制，不僅會阻礙其進步，同時也會削弱公眾使用各類技術保護信息安全的能力。過分強調技術的安全性，忽視技術的發展以及公民的私權利，不僅會影響社會秩序、經濟秩序，還可能危及國家安全。目前，有關商用密碼的配套法律法規并沒有完全解決安全與發展這一難題。基于安全與發展相統一的系統思維，我國應當積極開展數字經濟立法，優化市場環境，規范市場競爭，完善數字經濟發展所需的各類規則體系。通過法律制度供給保障，促進實現數據安全與數據發展的融合共進，支持數字經濟生態良性發展。

　　(二)商用密碼應用“放管并重”的原則

　　近年來，區塊鏈技術為數字經濟發展帶來了巨大的疊加效應和乘數效應。不同于以往的中心化信任體系，區塊鏈提出了弱中心、多中心信任機制，在數據和價值驅動的網絡時代和融合業務場景中發揮了巨大的應用價值。從性質上看，區塊鏈就是通過利用密碼技術，將系統內的有效交易進行編碼的可附加賬本。密碼是人、機、物之間可信互認、安全互通的技術基礎。通過對信息進行重新編碼，在保證信息安全與完整的基礎上，還要保證信息的機密性。

　　須指出，自2008年開始涌現的數字加密貨幣始終是執法部門的一大困擾。不僅產生了各類新型犯罪，犯罪分子還會利用數字加密貨幣進行洗錢、恐怖活動等傳統犯罪活動。不斷的技術創新能夠推動社會進步，但技術創新必須要對社會的有序運轉負責，符合技術倫理的要求。a在我國商用密碼產業生態持續壯大繁榮，相關從業單位達2000家，累計產值超千億元的背景下，更有必要推動密碼技術的應用與健康發展。因此，我國制定并實施《密碼法》，彰顯了國家政府簡政放權、轉變職能、創新監管的改革目標，拓寬了市場準入的標準，減少了行政許可事項，注重事中、事后監管。

　　《條例》修訂稿以專章規定商用密碼的科技創新和應用促進的制度內容，進一步貫徹了《密碼法》“放管并重”的立法原則。一方面，《密碼法》對產品的應用、銷售、進出口等關鍵問題和重要環節作出了具體規定，通過取消各類行政審批、行政許可來放寬市場準入，在立法層面上徹底改變了之前對商用密碼嚴格管控的模式。

　　b另一方面，《密碼法》對重點事項，如涉及國家安全、國計民生、社會公共利益等領域，規定了適度的管制措施;對商用密碼應用的放開并非是徹底放開，而是將管控重點由之前的“管企業”轉向為“管產品”。《密碼法》中第21條規定了“非歧視原則”，對商用密碼研、產、銷等相關的單位(其中包含外資企業)都要平等地對待，標志著我國開始放開對商用密碼運營主體的限制，倡導外商根據商業運行的規則和自由意愿在投資活動中進行商用密碼方面的技術研討與合作。為了與《密碼法》緊密銜接，《條例》修訂稿的立法導向亦從嚴加管制開始轉向“放”與“管”的動態平衡，更加突出了促進商用密碼發展的立法原意。現行《條例》對商用密碼從最初的科研階段到最后的保密管理階段都作出了嚴格規定。然而，如此嚴格的規定已經無法適應密碼技術和應用的需要。

　　從《條例》修訂前后的內容來看，后者增加了“科技創新與標準化”“應用與促進”等專章，旨在實現我國商用密碼自主創新，以及鼓勵成果產業化。主要體現在：⑴商用密碼進出口清單制度。這對涉及商用密碼的企業，尤其是外資企業，無疑是一個利好消息。具有商用密碼研發技術的外商投資企業，可以自由地參與到中國商用密碼的市場中來。在我國境內發展的外商投資企業，使用境外的商用密碼產品、服務不再需要通過繁瑣的審批備案程序，自行使用即可。大量具有商用密碼技術、服務的消費品將無需通過密碼認證程序即可進入我國市場。

　　與此相應，《條例》修訂稿對商用密碼的進出口作出規定，被列入《商用密碼進口許可清單》和《商用密碼出口管制清單》的商用密碼需要向國務院商務主管部門申請領取兩用物項進出口許可證，再向海關交驗兩用物項進出口許可證，辦理報關手續。實施進出口清單制度，一方面有利于商用密碼技術的自由應用與技術進步，另一方面也在一定程度上阻斷了其他各國借進出口商用密碼之便對我國進行信息控制或者各類商用密碼公司借由進出口商用密碼進行違法犯罪活動的可能性。⑵商用密碼檢測認證制度。

　　《密碼法》出臺以后，我國商用密碼的管理制度由之前的“審批制”改為“檢測認證制”。只有涉及國家安全、國計民生、社會公共利益的，需強制檢測，且只有檢測合格的才能銷售或提供;對于其他商用密碼，國家鼓勵其自愿接受檢測認證;對于使用網絡安全專用產品或關鍵設備的商用密碼，都需要獲得專門機構的認證，以證明商用密碼有關的服務或產品合格。

　　《條例》修訂稿在《密碼法》的基礎上，進一步對檢測、認證機構的資質要求、申請程序、主管機構以及監督管理作出了具體規定。這種分類管理模式對涉及國家和社會公共安全、國計民生的商用密碼堅持嚴格完善的管控制度，而對其他商用密碼則在保障其安全使用的基礎上給予了充分的自由空間。⑶科技創新與應用促進制度。

　　《條例》修訂稿以專章的形式規定了一系列商用密碼應用與促進的內容，采取激勵手段促進商用密碼技術研發和市場活動的發展，完善相關知識產權保護體系。另外，《條例》修訂稿規定建立商用密碼應用促進的協調機制，加強統籌指導工作;支持各類信息系統使用商用密碼產品、服務以提升安全性等。

　　二、商用密碼應用安全等級保護與安全監管

　　《條例》修訂稿規定了國家安全審查、外商投資安全審查、進出口許可與管制等內容。值得注意的是，《密碼法》對商用密碼應用安全實行等級化保護，這是對商用密碼應用實施監管、評估和審查的前提和基礎。

　　三、商用密碼應用安全保障法律義務與責任

　　(一)商用密碼應用安全保障義務從國外商用密碼立法來看，各國政府無不重視公權力介入和監管，以保障國家信息網絡安全。同時，商用密碼的應用也逐漸得到重視和法律保障。例如，美國政府曾要求在加密產品中加入密鑰恢復機制，以便法律執行部門在需要時獲取信息明文，否則該產品就不被允許投入市場使用。

　　然而，此規定一經發布就遭到業界人士以及公民自由團體的強烈反對，理由是將密碼托管給執法機構的政策會導致公民隱私保護被削弱，最終美國政府在1999年放棄該政策。2001年施行的《愛國者法案》賦予了司法、情報部門很大程度的自由，允許其在不經批準的情況下監控手機用戶的通訊信息，甚至是銀行信用記錄、互聯網通訊記錄。此規定大大擴張了國家公權力機關的權力范圍，引發了不少爭議。因此，2015年美國開始施行《自由法案》，全面禁止政府大規模收集公民個人信息的行為，并規定只有在涉及恐怖活動調查時，且有通訊運營商提供數據的需要時，司法機關才能在取得外國情報監督法庭許可后，向通訊運營商索要證據。在緊急情況下則無需獲取許可，即可直接獲取。a然而，僅依靠公權力機關不足以滿足監管的需要。

　　數字技術論文：人工智能時代會計類大學生數字素養的培育探索

　　四、結語

　　目前，我國數字法治建設正在加緊進行，除了《商用密碼管理條例》的修訂之外，《數據安全法》《個人信息保護法》等重要法律也呼之欲出。值得關注的是，我國法定貨幣數字化改革加速推進，《中國人民銀行法》修訂草案正在征求意見過程中。《密碼法》的實施與《商用密碼管理條例》的修訂，對于規范和保障區塊鏈和密碼技術的融合發展來說，無疑是重大利好，同時也為數字貨幣的發行提供了法律支撐。

　　然而，只有采用符合國家密碼管理法律和政策的密碼技術，遵循相關密碼標準規范要求，維護網絡數據安全、技術安全和應用安全，才能為保障數字經濟生態系統的良性運行提供制度保障。從系統論角度，以數據安全為核心，相關民法、刑法、行政法及行業規范之間應當是銜接協調的，不同法律手段共同發揮作用。司法適用中應盡量避免不同法律規范之間的重復和沖突，從法秩序統一性角度，將某種違法犯罪行為放置在整個法律保護體系之中加以考量，進行違法性的層次性判斷，形成刑民關系、刑行關系的銜接協調，形成商用密碼應用促進和安全保障的法律規范體系，為我國數字生態良性運行提供“安全閥”和“協調器”，實現數字安全與發展的協調統一。

　　作者：張勇馮明昱