文《李婉萍、陳宏志》

行政院國家資通安全會報技術服務中心

前言

隨著科技進步，現已可透過指紋解鎖智慧型手機、使用數字或人臉辨識開啟門禁系統、加密傳輸訊息等；這些涉及加密技術的產品或服務，讓我們的生活更加便利與安全，也在資通安全領域扮演重要角色。而透過法規對此類加密技術之研發、相關產品或服務之提供等進行規範，也就成為各國政府可能採取的資安與相關產業政策方向。這些規範的內容或其改變，對密碼技術或其產品、服務相關產業的研發商、製造商等，均會造成一定程度的影響。

為使中國大陸臺商更能掌握近來當地政府在商用密碼領域的規範調整，以利因應並評估、決定後續商業發展方向，特就中國大陸近年來對商用密碼之管制規定，進行重點介紹與分析；而2020年甫施行之《密碼法》對商用密碼的規定及對相關產業的潛在影響，尤為本文關注之重點。

在進入相關規定的分析之前，本文須再強調，雖然《密碼法》此一名稱容易讓人誤以為是對通行碼（password）加以規範，但事實上，依該法第2條定義，所謂密碼是指「採用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務」；而中國大陸在《密碼法》施行之前，依1999年頒行的《商用密碼管理條例》規定，所謂密碼是「對…信息進行加密保護或安全認證所使用的密碼技術和密碼產品」，惟參考國家密碼管理局於2020年8月針對上開條例發布之修正草案，對密碼的定義則已調整使用與《密碼法》幾乎相同之文字。

換言之，中國大陸與密碼相關法規所指的「密碼」，並非一般人生活中提款或登入網站時輸入的密碼，而是指對電子資訊進行加密，或認證該資訊未受竄改之技術、產品或服務，例如：加密軟體、PKI憑證或區塊鏈技術等。

此外，密碼因其用途與所保護資訊之屬性差異，本即可加以分類；《密碼法》的規定中，也將密碼區分為核心密碼、普通密碼和商用密碼，前兩類用來保護國家機密，商用密碼則保護其他資訊。本文考量一般臺商之需求，討論時將以商用密碼的情形為主。

中國大陸近年與商用密碼相關規範之演變   

一、1999年《商用密碼管理條例》

1999年10月開始施行的《商用密碼管理條例》與相關配套規範，是中國大陸近年對商用密碼的重要規範之一。《商用密碼管理條例》雖然只是行政法規，但卻是《密碼法》頒行之前管理商用密碼的重要法源，其規範重點摘要如下：

（一）許可制：依《商用密碼管理條例》規定，商用密碼之研發、生產、銷售與貿易，僅限經中國大陸官方權責單位指定或許可之組織，方得為之。惟此部分的管理規定在2017年後有所調整；調整後，須經許可之對象，改為以密碼為主，依大陸國務院之說法，即「由管企業改為重點管產品」。

（二）禁用未經核准之密碼：依該條例規定，個人或組織均不得使用未經核可之密碼。

（三）對密碼之安全維護要求：雖然商用密碼係被用來保護國家機密以外之資訊，但商用密碼本身則被當作國家機密，而這就帶出《商用密碼管理條例》對廠商就密碼進行保護與資安管理的各項要求規定。

（四）處罰規定：廠商或個人如違反上述各項內容，除可能被吊銷許可證，也將面臨罰款或沒收相關設備的後果，依具體情節，還可能受到其他行政處分或刑事追訴。

（五）其他：例如，申請許可之組織所應符合之條件等。

二、2020年《密碼法》與《商用密碼管理條例》修正草案

中國大陸為使密碼相關規定能符合其監管需求，並考量與2017年6月已施行之《網絡（路）安全法》之協調，除如前述，先於2017年對商用密碼管理政策作出調整，取消部分規定之許可審查；亦於2020年開始施行《密碼法》。另其國務院刻正配合《密碼法》內容，進行《商用密碼管理條例》修正草案之意見徵求及後續作業。

《密碼法》對商用密碼帶來的重要改變與影響如下：

（一）進一步刪減許可制之規定：《密碼法》除於第26條至28條中，要求涉及國家安全、社會公益或關鍵資訊基礎設施之商用密碼仍須於列入「網絡關鍵設備和網絡安全專用產品目錄」，通過檢測認證方可銷售或提供，以及維持此類產品之進口許可與出口管制外，《密碼法》原則已不再以許可制規範商用密碼；並於第21及24條，揭示中國大陸改採鼓勵其本國及境外組織發展商用密碼之態度，惟仍要求與密碼相關之研發、產銷、貿易等不得損害其國家安全，且須符合相關之強制性國家密碼標準。

（二）鼓勵標準與檢測認證體系之建立與推展：《密碼法》第22至25條，除鼓勵建立商用密碼之相關標準與檢測認證體系，並推展其國際化之外；亦鼓勵廠商自願接受相關標準之檢測認證，以提高市場競爭力。

（三）搭配《網絡（路）安全法》進行檢測認證與合規評估，避免重複：《密碼法》第26與27條亦規定，涉及國家安全、社會公益或關鍵資訊基礎設施之商用密碼，其按《密碼法》規定進行檢測認證與合規評估時，應依《網絡（路）安全法》相關規定為之，無須重複辦理。

（四）強化相關罰則之內容：《密碼法》第四章針對違反關於商用密碼及其他密碼相關規定之行為，定有包括罰款在內的諸多罰則規定；且部分罰則之處罰對象除了廠商外，更擴及廠商之相關主管或權責人員；處罰之金額亦不低。

（五）其他：《商用密碼管理條例》修正草案為配合《密碼法》之要求，對《密碼法》關於商用密碼之規定提出執行細項，例如：「商用密碼進口許可清單」與「商用密碼出口管制清單」規定、針對標準與檢測認證機構之要求，以及其他透過實地或文件方式監督檢查之規定等。

除了《密碼法》與《商用業密碼管理條例》之外，針對電子商務涉及之簽章與認證等需求，中國大陸在2004年8月亦發布《電子簽名法》（最近一次於2019年4月修正）及《電子認證服務密碼管理辦法》等配套規定。相關規範亦以許可制為主，處理電子認證服務提供者（類似臺灣之憑證機構）、服務系統等事務。本文考量《電子簽名法》相關規定與一般臺商所從事之業務類型關聯較低，於此不予贅述。

臺商宜有的認知與應對

一、受管制商用密碼之檢測與許可

觀察《密碼法》的內容，可推知其重點即是前述「管企業改為重點管產品」原則的持續實踐。然而，商用密碼之研發、產製或貿易，仍有部分情形須經過檢測或許可。

以列入「網絡關鍵設備和網絡安全專用產品目錄」之產品為例，《密碼法》的配套規定《商用密碼產品認證規則》第2點即規定，相關產品認證依序包括：(1)型式試驗、(2)初始工廠檢查，以及(3)獲證後之監督等階段。於型式試驗階段，認證機構將依據廠商提出之文件資料，制定試驗方案，包含型式試驗的樣品要求和數量、檢測標準項目等，並由檢測機構依方案進行檢測；於初始工廠檢查此一階段，認證機構將檢查生產能力、質量保障能力、安全保障能力與產品一致性控制能力等；於獲證後監督階段，認證機構在認證效期內，可不預先通知生產企業，至工廠檢查，必要時可在生產現場或市場抽樣檢測。

臺商發展商用密碼前宜先確認所欲發展之密碼的屬性，如可能涉及中國大陸所認定之國家安全等議題，則必須考量進行檢測或取得許可之成本。

二、商用密碼相關標準之遵循

商用密碼除少數情形須經檢測或許可外，其餘多改為以符合標準為主。因此，了解相關標準的內容並評估其所需資源，是在陸臺商欲發展商用密碼時，須特別費心與留意的。

商用密碼依其性質，可能須適用不同標準。依中國大陸《標準化法》第2條及相關規定，國家標準可區分為強制性標準（參該法第10條，代號如GB）與推薦性標準（參該法第11條，為強制性標準之配套，代號如GB/T）二大類；其他還有行業標準（以密碼行業為例，代號為GM/T）、地方標準等。商用密碼主要適用國家標準與行業標準，商用密碼是否欲符合推薦性標準，可由廠商依需求衡酌；但依《密碼法》之規定，強制性標準則必須遵循。

上述標準項目繁多，不同的產品或技術，可能有不同的對應標準，且於研發及生產的不同階段，亦可能有不同標準，臺商在投入資源之前有必要先進行了解。例如：本年5月，中國大陸市場監管總局及國家密碼管理局聯名發布之《商用密碼產品認證目錄（第一批）》 內，包含22類產品及各自對應之行業標準，以智能密碼鑰匙為例，臺商如擬產製智能密碼鑰匙，即宜留意、考量工廠是否符合「商用密碼產品生產和保障能力建設規範」（GM/T 0065），及產品是否符合「智能密碼鑰匙技術規範」（GM/T 0027）等標準。

結語

中國大陸建立商用密碼相關規範已有相當時間，而《密碼法》與《網絡（路）安全法》及相關的配套規範與標準，都是臺商發展商用密碼前須先瞭解評估的。惟中國大陸之規定內容有其自身獨特的考量，與其他國家或區域之規定未必相容；如以區域或全球佈局的觀點，釐清中國大陸之規範與其他欲拓展商務之國家或區域間重要規範(例如，為官方提供技術支援之要求、其具體內容與應遵循之法律程序規定)之差異，應是臺商在衡量是否及如何投入資源，或是否應區別地域分別發展技術或產品的重要前提。