依据我国相关法律的规定,国家密码管理局主管全国的商用密码产品生产管理工作,省、自治区、直辖市密码管理机构依法承担有关管理工作。
《商用密码产品生产管理规定》
第四条 商用密码产品的品种和型号必须经国家密码管理局批准,未经批准的商用密码产品不得生产或者销售。第
五条 国家密码管理局主管全国的商用密码产品生产管理工作。
省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。
《网络安全法》第二条开宗明义,将其适用范围确定为“在中华人民共和国境内建设、运营、维护和使用网络”。
网络安全法》第七十六条第(一)项将“网络”定义为“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”,可见网络必须以一定的物理形式存在。
据此,我们理解,在我国“境内”使用“网络”至少意味着,相关的使用行为(包括企业为自身业务经营目的而使用网络)必须依托位于我国境内的网络物理设施。
换言之,如果一个主体完全在中国境外、利用位于境外的网络设施在线提供服务,即使由于互联网的互联互通性使得在我国境内也可获取该等服务,《网络安全法》的前述定义似乎并不规范该等主体的行为。
但是,这并不意味着《网络安全法》对该类主体的行为可能在中国境内造成的影响完全放任不管。
特别值得注意的是,《网络安全法》的适用对象并无内外商之别,只要是在我国境内通过网络提供服务,不论是内资还是外资企业,都同等受制于《网络安全法》的各项规定和要求。但如下文所指出的,《网络安全法》的某些规定因其特殊性,可能会对在华运营的外资企业产生比内资企业更为显著的影响,因此外资企业需要格外关注《网络安全法》及其后续实施。