1. 暗号の定義
(1) 本法の「暗号」とは、特定の変換方法を用いて情報等を暗号化して保護するか、またはセキュリティ認証を行う技術、製品、サービスを指すとした。(2 条)
(2) 暗号は「核心暗号」、「普通暗号」、「商用暗号」に分類、管理するとしており、このうち核心暗号と普通暗号は国家機密の保護に使われるとした。商用暗号は国家機密に属さない情報の保護に用いられるとしている。(6 条、7 条、8 条)
2. 商用暗号に関する規定
(1) 各レベルの人民政府および関連部門に対し、外資企業を含む暗号の科学研究、生産、販売、サービス、輸出入に関わる事業者(商用暗号事業者)を平等に扱うよう求めた。さらに行政手段を用いて商用暗号技術の強制的な移転を求めることを禁止した。(21 条)
(2) 国がサイバーセキュリティ法の関連規定を適用した商用暗号の試験認証制度を設けることを明らかにした。商用暗号事業者が自主的に試験、認証を受けることを推奨すると同時に、試験認証機関にはソースコードなど暗号にかかわる情報の開示を求めることを禁止した。また国家の安全、経済、生活、社会公共の利益に関する商用暗号商品は、「ネットワーク基幹設備およびネットワークセキュリティ専用製品リスト」に収載し、販売提供には試験認証制度への合格が必要だとした。(25 条、26 条、31 条)
(3) 法令で商用暗号による保護を定めている重要情報インフラは、運営者自身あるいは試験機関に委託して商用暗号のセキュリティ評価を実施することを義務付けている。(27 条)
(4) 国家の安全、社会公共の利益に関係し、かつ暗号化保護機能を持つ商用暗号は、商務主管部門と国家暗号管理部門が輸入許可、輸出制限を行うとし、それぞれのリストを公布するとした。なお、コンシューマー向け製品で用いられる商用暗号は、輸入許可および輸出制限の対象外となっている。(28 条)
3. 法的責任
(1) 本法 26 条の規定に違反し、認証を得ていないか不合格となった商用暗号製品を販売、提供した場合、市場監督管理部門と暗号管理部門が改善命令や違法行為の停止命令、警告を行い、違法に得た所得を没収し、罰金を科す。(36 条)
(2) 重要情報インフラの運営者が本法 27 条の規定に違反し、セキュリティ審査に合格していない製品やサービスを提供した場合、関連主管部門は使用の停止を命じ罰金を科すとした。(37 条)
●原文(中国語)
