律师观点:《密码法》将如何适用于区块链企业?
作者:张凌,瀚一律师事务所合伙人
作者按:《密码法》不是为区块链而生,却能为区块链所用,并将规范和促进区块链行业的发展。对于区块链行业而言,刚刚过去的这一个周末,可能是今年入秋以来最激动人心的一个周末。
10月24日,习总书记在中央政治局第十八次集体学习时强调把区块链作为核心技术自主创新重要突破口、加快推动区块链技术和产业创新发展的话音刚落,10月26日,历经多年起草和征求意见的《密码法》正式出台,坊间有人认为《密码法》在此时间落地,本身即为区块链而生,将助力区块链行业的发展。
笔者理解,从《密码法》的历史沿革和出台背景可以看出,《密码法》并非专门为促进和规范区块链行业的密码技术而生。但是,由于加密技术是区块链技术中的关键和核心技术,密码与区块链具有天然的紧密共生关系,《密码法》因此也将自然适用于区块链行业,并将促进和规范区块链技术的发展。
如果说中央支持区块链技术革新的调子是原则性的方向和指引,选择在此时机出台《密码法》可以视作是政府表明支持和规范区块链行业发展的举措之一。在本文中,笔者拟结合《密码法》的出台背景和主要内容,简要分析这部通用的《密码法》将如何适用于区块链行业,供有兴趣的人士参考并讨论。
1.《密码法》的出台背景
早在九十年代,为了适应社会、经济活动信息化发展的需要,满足不涉及国家秘密的信息使用密码技术进行保护的要求,1999年,我国制定了《商用密码管理条例》,决定发展和管理商用密码。此后,针对商用密码的科研、生产、销售、使用等各个环节,国家制定了一系列规定(包括但不限于《商用密码产品生产管理规定》、《商用密码产品销售管理规定》、《商用密码产品使用管理规定》等),建立了一套对商业密码进行专控管理的法律制度。目前,商用密码已经广泛应用于金融、通信、交通、卫生健康、能源、公安、税务、社保、电子政务等社会生产及管理的众多领域。
随着密码技术在多领域的广泛应用,近年来对国家、社会和个人信息安全带来了一些新的问题和挑战,在密码领域制定一部综合性、基础性法律的必要性愈发显现。并且,随着政府职能的转变,为贯彻中央“简政放权、放管结合、优化服务”的改革部署,之前密码领域传统的专控管理制度也需要随之调整。2014年12月,国家密码管理局成立起草小组,着手密码法的起草工作;2016年10月形成草案征求意见稿;2017年4月至5月,国家密码管理局将草案征求意见稿向社会公开征求意见;2017年6月向国务院报送草案送审稿;2019年6月10日经国务院常务会议讨论通过,并于2019年10月26日正式发布。在此期间,国家陆续修改和废止了一些密码监管的原有规定(如在2017年12月修改了《商用密码产品科研管理规定》、《商用密码产品生产管理规定》,废止了《商用密码产品销售管理规定》、《商用密码产品使用管理规定》、《境外组织和个人在华使用密码产品管理办法》等)。
从《密码法》的以上立法背景及历程来看,《密码法》的起源、酝酿及落地与区块链本身并无直接关系,国家立法的初衷并非是为了促进和规范区块链技术的发展,而是基于密码对国家、社会和个人信息安全的重要性,而需要制定一部针对密码领域的统一的基础性法律。但是,由于密码技术是区块链技术的核心技术,《密码法》的出台必然将对区块链行业的规范发展产生深远影响。
2.《密码法》的主要内容及对区块链行业的相关影响
(1) 区块链企业涉及的主要是商用密码
根据《密码法》,“密码”是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
根据该定义和一般理解,(a)密码是一种技术,也可以是一种产品或服务;(b)密码的功能包括两大类:一是加密保护,是指使用数学变换,将原来可读的信息变成不能识别的符号序列。简言之,就是将明文变成密文;二是安全认证,是指使用数学变换,确认信息是否被篡改、是否来自可靠信息源以及确认行为是否真实。简言之,安全认证就是确认主体和信息的真实可靠性;(c)加密或认证所采用的方法是特定变化的;以及(d)加密或认证的对象包括信息等内容。
根据《密码法》,国家沿用了过去密码监管的规则和思路,仍然对密码实行分类管理。密码分为核心密码、普通密码和商用密码。核心密码、普通密码用于保护国家秘密信息,商用密码用于保护不属于国家秘密的信息。
笔者理解,在区块链技术的很多应用场景中(比如金融、物联网、智能制造、供应链管理、商品防伪溯源等)中,由于密码技术保护的多是个人信息或企业的商业秘密,而非国家秘密,因此多数情况下区块链行业中涉及的主要是商用密码。
(2) 国家支持商用密码产业的发展
为健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展,《密码法》规定了一系列支持措施,包括但不限于: (a)鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,保护密码领域的知识产权;(b)加强密码人才培养和队伍建设,对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励;(c)要求县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级财政预算;以及(d)要求各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位。
基于上述,在国家支持区块链技术发展和创新的大背景下,无论是内资、还是外商投资的区块链企业,其从事商用密码相关的业务活动的,都将受到国家一视同仁的支持和鼓励——区块链企业将处于更为健全、有序的营商环境中,其开发的商用密码知识产权将依法受到保护,并可获得更为充足的密码人才储备和财政支持。
(3) 推动商用密码标准化工作
根据《密码法》的规定,国家将建立和完善商用密码标准体系,组织制定商用密码国家标准、行业标准,并推动参与商用密码国际标准化活动。商用密码从业单位开展商用密码活动的,应当符合商用密码强制性国家标准以及从业单位公开标准的技术要求。此外,国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
笔者注意到,《密码法》中关于商用密码标准化工作的规定与2018年1月修订实施的《标准化法》相衔接,符合该法的精神和要求。目前,国家标准由全国信息安全标准化技术委员会归口管理,行业标准由密码行业标准化技术委员会负责制定。据统计,截至2018年6月,我国已发布的密码国家标准有16项,行业标准有68项。
对于新兴的区块链行业,目前还没有专门适用该行业的国家标准和行业标准出台,但是,根据笔者的观察,与区块链密码相关的标准化工作已经展开。根据北京市密码管理局今年年初发布的消息,2019年1月,密码行业标准化技术委员会就《区块链密码应用技术要求》等12项密码行业标准及研究报告报送了各省、直辖市密码管理局及其所辖商用密码从业单位征求意见。总书记在近日推动区块链技术和产业创新发展的讲话中也强调要加强区块链标准化研究。预计未来会有专门适用于区块链密码技术、产品、系统和管理等方面的国家标准、行业标准出台。
此外,鉴于国家支持社会团体、企业制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准,区块链企业如能抓住契机,自主创新,参与制定高于国家和行业标准的商用密码企业标准,不仅能为其自身的发展谋得更多的市场机会,客观上也将促进区块链行业的进一步发展。
(4) 建立商用密码检测认证制度
在之前的监管规定下,商用密码产品均需经指定的密码检测机构检测合格后方可投入市场。《密码法》改变了过去的强制检测认证制度,以自愿检测为主;但对于列入网络关键设备和网络安全专用产品目录的商用密码,适用《网络安全法》的规定,要求进行强制性检测认证,由具备资格的机构(为国家认证认可监督管理委员会、工业和信息化部、公安部、国家互联网信息办公室四个部门按照国家有关规定共同认定的机构)检测认证合格后,方可销售或者提供。
上述四部门在2017年6月联合发布了《网络关键设备和网络安全专用产品目录(第一批)》,在2018年3月联合发布了《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)》,明确了应进行安全认证或检测的15类网络关键设备和网络安全专用产品,并指定了承担认证检测任务的16家机构。
为进一步落实《网络安全法》的要求,给列入目录的设备和产品提供技术支撑,全国信息安全标准化技术委员会组织相关测评机构、厂商及相关专家研究提出了《网络关键设备和网络安全专用产品相关国家标准要求(征求意见稿)》,并在2019年5月至9月间两次向社会公开征求意见。
对于区块链企业而言,如其生产、销售的商业密码产品落入上述产品目录或四部门未来发布的其他产品目录的,企业需要在列入承担认证检测任务机构目录中的机构中选择认证检测机构,并在产品通过检测符合要求后方能投放市场销售。待《网络关键设备和网络安全专用产品相关国家标准要求》制定之后,区块链企业生产商业密码产品还需符合该等国家标准。
(5) 严禁非法活动
在鼓励商用密码产业发展的同时,《密码法》规定,任何组织或者个人不得窃取他人加密保护的信息、非法侵入他人的密码保障系统;不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
基于上述,对于区块链行业而言,无论是企业还是个人,无论企业的性质,在遵守法律的前提下,均可以使用商用密码保护其网络与信息安全,从事商用密码的生产、销售、服务或进出口。但是如果其中的任一环节损害国家安全、社会公共利益或他人合法权益的,则不为法律所允许。
笔者理解,区块链不等同于加密货币,国家支持区块链技术的发展和应用,不代表支持民间主体发币、进行代币交易等与加密货币有关的经营活动。在当前的监管环境下,由于政策并未放开,区块链企业仍然不得使用密码技术从事首次代币发行(包括ICO、STO等)、虚拟货币交易所等业务。该等业务的放开即使未来有可能,也还尚需时日,这不仅需要区块链技术和密码技术本身的完备性,也需要监管技术的适当性和有效性。
总体而言,《密码法》虽然不是为区块链而生,但其适用于从事商用密码相关业务的区块链企业,并将有利于区块链行业的规范和长远发展。
但是,目前无论是区块链技术本身的发展还是我国的相关立法,都还处于比较早期的阶段。《密码法》如何具体适用于各种类型的区块链企业,需要制定哪些配套规则和标准、如何实施有效监管等问题,还有继续探索的空间。可以肯定的是,随着应用需求的增加、区块链应用场景的多样化发展,将会刺激和催生更为安全、先进的密码技术;而作为区块链技术核心的密码技术的进一步发展,也将推动区块链技术的整体进步和创新。在密码技术与区块链技术相互促进的过程中,国内和国际的相关标准体系及监管框架也将同步建立并完善。
声明:本文仅代表作者个人观点,不代表所在机构意见。文中内容不构成法律意见和投资建议。如需转载或引用本文的任何内容,请列明作者姓名。
本文来源于巴比特