電子簽章系統(tǒng)通過商用密碼檢測機構(gòu)和認證機構(gòu)檢測

問:商用密碼標準具備什么樣的法律效力？

答:《密碼法》第二十四條規(guī)定:商用密碼從業(yè)單位開展商用密碼活動，應(yīng)當符合有關(guān)法律、行政法規(guī)、商用密碼強制性國家標準以及該從業(yè)單位公開標準的技術(shù)要求。國家鼓勵商用密碼從業(yè)單位采用商用密碼推薦性國家標準、行業(yè)標準，提升商用密碼的防護能力，維護用戶的合法權(quán)益。

商用密碼從業(yè)單位開展商用密碼活動應(yīng)當依照有關(guān)法律、行政法規(guī)的規(guī)定行使權(quán)利和履行義務(wù)，是遵守法律的必然要求。商用密碼從業(yè)單位開展商用密碼活動，除了遵守法律、行政法規(guī)，還應(yīng)當符合商用密碼強制性國家標準以及該從業(yè)單位公開標準的技術(shù)要求。此外，國家鼓勵商用密碼從業(yè)單位采用商用密碼推薦性國家標準、行業(yè)標準。

問:建設(shè)商用密碼檢測認證體系的意義是什么？

答:商用密碼檢測認證是商用密碼治理體系的重要基礎(chǔ)，在商用密碼市場準入、事中事后監(jiān)管、應(yīng)用推進等方面發(fā)揮著關(guān)鍵支撐作用:面向商用密碼從業(yè)單位能夠引導提質(zhì)升級，增加市場有效供給;面向管理部門能夠支持行政監(jiān)管，提高市場監(jiān)管效能;面向社會各方能夠推動誠信建設(shè)，營造良好市場環(huán)境;面向國際市場能夠促進規(guī)則對接，提升市場開放程度。

《密碼法》第二十五條第一款明確提出推進商用密碼檢測認證體系建設(shè)，這是深化商用密碼行政審批制度改革的重要內(nèi)容，是依法管理商用密碼、規(guī)范和促進商用密碼應(yīng)用、加強密碼監(jiān)管、增強商用密碼安全保障能力的重要支撐。同時《密碼法》第二十五條還明確了在商用密碼檢測認證中，自愿檢測認證是主要方式。

問:我國商用密碼檢測機構(gòu)和認證機構(gòu)現(xiàn)狀如何？

答:截至2019年12月，通過審批的商用密碼產(chǎn)品檢測機構(gòu)共有3家，開展了智能密碼鑰匙、智能IC卡、POS密碼應(yīng)用系統(tǒng)、PCI-E密碼卡、IPSecVPN安全網(wǎng)關(guān)、SSLVPN安全網(wǎng)關(guān)、安全認證網(wǎng)關(guān)、密碼鍵盤、金融數(shù)據(jù)密碼機、服務(wù)器密碼機、簽名驗簽服務(wù)器、時間戳服務(wù)器、安全門禁系統(tǒng)、動態(tài)令牌認證系統(tǒng)、安全電子簽章系統(tǒng)、電子文件密碼應(yīng)用系統(tǒng)、可信計算類密碼產(chǎn)品等的檢測工作，完成了近2000款產(chǎn)品的密碼檢測、數(shù)百個信息系統(tǒng)的安全性評估。

目前，商用密碼領(lǐng)域已有1家專門認證機構(gòu)。與此同時，有關(guān)部門通過建立跨領(lǐng)域、跨行業(yè)的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品、信息安全產(chǎn)品和密碼應(yīng)用系統(tǒng)密碼檢測認證機制，加強與金融、電力、通信、社保、交通等重點領(lǐng)域、行業(yè)的檢測與認證技術(shù)交流，聯(lián)合金融領(lǐng)域檢測認證機構(gòu)開展金融系統(tǒng)密碼測評和認證，共同推動商用密碼檢測認證能力提升。

問:商用密碼檢測、認證機構(gòu)應(yīng)取得什么資質(zhì)？

答:《密碼法》第二十五條規(guī)定:商用密碼檢測、認證機構(gòu)應(yīng)當依法取得相關(guān)資質(zhì)，并依照法律、行政法規(guī)的規(guī)定和商用密碼檢測認證技術(shù)規(guī)范、規(guī)則開展商用密碼檢測認證。

按照“放管服”改革要求，《密碼法》將商用密碼檢測、認證機構(gòu)資質(zhì)納入《認證認可條例》規(guī)定的認證認可制度體系中，由市場監(jiān)管總局(國家認證認可監(jiān)督管理委員會)會同國家密碼管理局進行管理。商用密碼檢測、認證機構(gòu)應(yīng)當分別取得商用密碼檢測、認證機構(gòu)資質(zhì)。商用密碼檢測、認證機構(gòu)依照《認證認可條例》等法律法規(guī)的規(guī)定和商用密碼檢測認證技術(shù)規(guī)范、規(guī)則開展檢測認證活動。將商用密碼檢測認證制度納入國家統(tǒng)一的檢測認證制度體系，有利于增強商用密碼檢測認證制度的權(quán)威性、統(tǒng)一性。

問:商用密碼檢測、認證機構(gòu)是否應(yīng)承擔保密義務(wù)？

答:在從事商用密碼檢測、認證活動的過程中，由于工作需要，商用密碼檢測、認證機構(gòu)能夠深入到所檢測認證的商用密碼產(chǎn)品、服務(wù)及其相關(guān)產(chǎn)品生產(chǎn)單位、服務(wù)提供單位中去，有可能接觸到有關(guān)商業(yè)秘密乃至國家秘密。

雖然商用密碼檢測、認證機構(gòu)知悉國家秘密和商業(yè)秘密的途徑是合法的，是在依法或依約定進行檢測認證活動的過程中獲取的，但是如果將這些秘密泄露給他人，就會損害國家安全和利益，或者損害商業(yè)秘密權(quán)利人的利益。因此，參照《認證認可條例》的規(guī)定，《密碼法》第二十五條規(guī)定:商用密碼檢測、認證機構(gòu)應(yīng)當對其在商用密碼檢測認證中所知悉的國家秘密和商業(yè)秘密承擔保密義務(wù)。