中國加密法規與 WSC 原則之差異分析

有關於前揭所提之中國法令，其內容與在運作上是否有與 WSC 原則相異之 處，說明如下：

一、技術中立

商用密碼管理條例、網絡安全法、網絡安全等級保護條例草案及密碼法草案 未提及特定密碼技術。但值得注意的是，密碼產品所採用之演算法須為國家密碼 管理局認可之演算法，故此部似有隱含支持或偏場某特定技術之意，蓋演算法或 可謂密碼之核心元素之一。

商用密碼管理條例中規定，任何單位或者個人只能使用經國家密碼管理局認 可的商用密碼產品；密碼法草案中，亦規定對於涉及國安、民生、社會公益的商 用密碼產品列入網路關鍵設備和網路安全專用產品目錄，須經安全認證合格或者

安全檢測符合要求後，方可銷售或者提供；用於網路關鍵設備和網路安全專用產 品的商用密碼服務，應經安全認證合格或者安全檢測符合要求後，方可提供；就 此觀之，商用密碼管理條例及密碼法草案此類規定將形成進入市場門檻。

二、無歧視

商用密碼管理條例、網絡安全法、網絡安全等級保護條例草案及密碼法草案 未有特別提及國外產品之待遇。按商用密碼管理條例之規定，取得國家密碼管理 機構核發商用密碼產品銷售許可證者方得進行商用密碼產品之銷售，又，進口密 碼產品以及含有密碼技術的設備，必須報經國家密碼管理機構批准。同時，只能 使用經國家密碼管理機構認可的商用密碼產品，不得使用自行研製的或者境外生 產的密碼產品。是以，不論是本國或外國商用密碼產品皆受到管制，不可以任意 在市場流通或使用，惟許可或批准程序是否有別，係待確認。另，除外國駐華外 交代表機構、領事機構外，境外組織或者個人在中國境內使用密碼產品或者含有 密碼技術的設備時，必須報經國家密碼管理機構批准，此部分則須注意。

三、尊重智慧財產權

商用密碼管理條例、網絡安全法、網絡安全等級保護條例草案未有相關規定。

但是，密碼法草案中則有規定依法保護密碼智慧財產權。

四、透明化

商用密碼管理條例及其子法敍明許可或批准之程序，且有關於商用密碼各項 許可或核准之申請程序及其流程等事項資訊，國家密碼管理局訂有相關指令，包 括：商用密碼科研成果審查鑑定服務指南、商用密碼產品品種和型號審批服務指 南、商用密碼產品質量檢測機構審批服務指南、密碼產品和含有密碼技術的設備 進口許可服務指南、商用密碼產品出口許可服務指南等，可以於國家密碼管理局 網站取得。惟，部分規定乃於草案中，如：網路關鍵設備安全檢測實施辦法草案，

故仍待未來持續觀察。

表 10 中國法規落實 WSC 加密原則之情形

WSC 加密原則 商 用 密 碼 管 理 條

例 網絡安全法 網 絡 安 全 等 級 保

護條例草案⁶¹ 密碼法草案⁶²

技 術 中 立

除 合 理 情 況 外 ， 不 應 對 具 加 密 功 能 之 產 品進行監管

為 保 護 資 訊 安 全 、 人 民 權 益 、 國 安 所 進 行 之 必 要管理

未 對 加 密 功 能 產 品進行監管

為 加 強 網 路 安 全 等 級 保 護 工 作 所 進行必要監管

為 規 範 密 碼 應 用 和 管 理 ， 保 障 網 路 資 訊 安 全 、 人 民 權 益 、 國 安 和 社 會 公 益 所 進 行 之 必要監管

技術中立

未 偏 袒 或 支 持 特 定 技 術 ， 但 須 採 用 國 家 密 碼 管 理 局認可之演算法

未 偏 袒 或 支 持 特 定技術

未 偏 袒 或 支 持 特 定技術

鼓 勵 商 用 密 碼 技 術 的 研 究 開 發 和 應 用 ， 未 偏袒或支持特定技術

技 術 命 令 或 要 求

無 技 術 命 令 或 要 求

無 技 術 命 令 或 要 求

無 技 術 命 令 或 要 求

無技術命令或要求

無 歧 視

無 歧 視 （ 對 國 內 和 非 國 內 生 產 商 要 求 相 同）

無歧視 未有相關規定 未有相關規定 無歧視

尊 重 智 慧 財 產

權 尊 重 智 慧 財 產 權

未有相關規定 未有相關規定 未有相關規定 尊重智慧財產權⁶³

透 明 化

法 規 透 明 及 具 可 預 測 性 ， 並 與 國 際 規 範 和 慣例一致

「 商 用 密 碼 條 例 」 及 相 關 行 政 程 序 規 定 已 公 告 於 官 網 ， 具 透 明 及可預測性

已 公 告 於 官 網 ， 具 透 明 及 可 預 測 性

仍為草案階段 仍為草案階段

使用國際標準 不 涉 及 特 定 技 術 與標準

不 涉 及 特 定 技 術 與標準

不 涉 及 特 定 技 術 與標準

不 涉 及 特 定 技 術 與 標 準

認 證 和 檢 測 程 序 應 透 明 、 無 歧 視 、 保 護 智 慧 財 產 權 ， 並 由 具 資 格 的 獨 立實驗室進行

法 規 直 接 規 範 密 碼 產 品 之 生 產 、 銷 售 與 使 用 規 定 ， 並 規 範 商 用 密 碼 產 品 ， 須 經 指 定 的 檢 測 機 構 檢測合格⁶⁴。

不 涉 及 密 碼 產 品 之 管 制 流 程 與 許 可

不 涉 及 密 碼 產 品 之 管 制 流 程 與 許 可

法 規 雖 未 直 接 規 範 密 碼 產 品 之 管 制 流 程 與 許 可 ， 然 有 規 範 建 設 商 用 密 碼 檢 測 認 證 體 系 ， 制 定 檢 測 認 證 技 術 規 範 和 規 則 ； 檢 測 認 證 機 構 須 符 合 法 規 資 格 要 求 ， 並 依 相 關 技 術 規 範 和 規 則 進 行 檢測和認證⁶⁵

61 法規正式通過後，仍須確認監管是否符合 WSC 加密原則。

62 法規正式通過後，仍須確認監管是否符合 WSC 加密原則。

63 前揭註 56，第 9 条。

64 前揭註 11，第 9 条。

65 前揭註 56，第 25 条。

資料來源：本研究自行整理

第三節 小結

根據前揭之資料，有關網絡安全法、網絡安全等級保護條例草案並不涉及密 碼產品之生產、銷售與使用的管制與許可。商用密碼管理條例規範商用密碼產品 的科研、生產、銷售均須由國家密碼管理局指定或許可的單位進行⁶⁶，並規範任 何單位或者個人只能使用經國家密碼管理局認可的商用密碼產品⁶⁷；而密碼法草 案中雖未直接對於密碼認證及檢測標準做出規範，亦未訂定認證及檢測流程、方 式等管制與許可程序，然該草案亦規定商用密碼從業單位從事商用密碼生產、銷 售等相關活動時，需符合國家標準；涉及國安、公益的商用密碼產品列入網路關 鍵設備和網路安全專用產品目錄，需經認證合格或檢測合標後，方可銷售；用於 網路關鍵設備和網路安全專用產品的商用密碼服務，應經認證合格或檢測合標後，

方可提供；此外，對於涉及國家安全、社會公共利益且具有加密保護功能的商用 密碼，由國務院商務主管部門、國家密碼管理部門實施進口許可；商用密碼管理 條例及密碼法草案此類規定似將形成進入市場之限制，包括政府市場與商用用市 場在內。

66 前揭註 11，第 5 条、第 7 条、第 10 条。

67 同前註，第 14 条。