法规红线
朋友们,一谈密码产品,很多人第一时间想到的是比特币或者区块链,但在中国,首先得搞清楚一个核心概念:密码产品,尤其是商用密码产品,是受到《中华人民共和国密码法》严格管控的。这条法规可不是说说而已,它直接划定了外资的禁区。根据《密码法》及相关实施条例,境外组织或个人在中国境内生产、销售、进出口商用密码产品,原则上是被限制甚至禁止的。这背后的逻辑很简单:密码技术事关国家安全和社会公共利益。
我举个例子,2019年我们帮一家德国公司做咨询,他们想在中国推一款基于硬件加密的U盘,用于企业数据保护。按他们的设想,这是个纯商业产品,安全级别也不高。结果一查目录,发现这款产品涉及的加密算法需要国家密码管理局的型号审批,而外资企业或个人根本拿不到这个批准。折腾了半年,他们只能退而求把硬件部分外包给一家有资质的中资企业,自己只做软件层面的外围服务。这个案例让我深刻认识到,法规红线是硬约束,不是靠律师函或者PR就能逾越的。
从实际操作来看,外资想参与密码产品生产,最核心的障碍就是“主体资格”。按照《商用密码产品管理办法》,生产商用密码产品的单位必须“在中国境内依法设立”,且不能是外商独资企业或中外合资企业(除非有特殊豁免)。这意味着,如果你是个纯外资背景的投资者,连生产许可证都申请不下来。就算你想通过VIE架构或者代持去变通,监管机构现在对这类“曲线救国”的手法也盯得很紧,工商备案和税务登记环节经常会卡壳。在法规层面,中国的态度是明确且一贯的:密码产品的核心生产和销售,必须掌握在自己人手里。
目录分类
法规是宏观的,但要搞清实际操作,必须理解一个关键文件——《商用密码产品目录》。这个目录把密码产品分成了几大类,每一类的管控力度差别很大。很多投资者,尤其是技术背景的,容易犯一个错误:以为只要不碰“核心密码”或者“绝密级”的东西,普通的商业加密就没问题。其实不然,目录里明确列出了“安全认证网关”、“密码模块”、“数字证书认证系统”等等,这些看上去很普通的东西,只要涉及到国家的SM2、SM3、SM4算法,管控级别立马飙升。
我记得有一回,一个硅谷回来的华人团队,带着一款“端到端加密通信”软件来找我。他们觉得这个技术很成熟,主攻企业内部通信,不涉及金融、政务,应该能过关。但他们软件里用了一个自定义的加密协议,为了兼容性,底层调用了国家密码算法库。这一下就触发了“密码产品”定义的边界。我们去国家密码管理局咨询,工作人员明确告知,只要产品包含密码算法,不论是用在什么场景,哪怕只是本地手机通讯,都得按密码产品来管。而且,外资背景的主体,连申请测试认证的资格都没有。
这还没完,除了目录,还有一个“密码应用安全性评估”体系。也就是说,就算你绕过生产限制,通过某种方式进口了密码产品,但在具体落地使用时,还必须通过等保测评。这里面变数很大,测评标准会参考产品的算法强度、密钥管理方式、是否与国产标准互认等等。对于外资企业来说,因为缺乏本土的技术文档和本地化适配,测评过程往往被拖延,甚至被要求整改。目录分类是基础,但在具体实践中,边界是动态的,需要靠专业人士反复研判。
生产资质
讲了法规和目录,咱们得聊聊最具体的生产资质问题。很多外资公司老板一开口就问:“老刘,我能不能在中国建厂生产加密路由器?” 我的回答通常是:“很难,但不是完全没有路。” 根据现行规定,设立商用密码产品生产单位,必须先获得《商用密码产品生产定点单位证书》。而这张证书的申请者必须是“中国公民或者法人”,且企业的股权结构里不能有外资股份(哪怕是间接持股)。我见过最夸张的情况,一家合资公司,外资只占了5%,但就因为这5%,申请就被打回来了。
是不是所有密码产品都不行?也不尽然。对于不涉及核心算法、纯粹是硬件封装的“普通密码产品”(比如某些工业控制系统的加密芯片),有些地方政策会有微调。比如在海南自贸港,对“鼓励类产业”的外资企业,在确保安全可控的前提下,允许通过“合资且中方控股”的模式来申请资质。2021年,我们帮一家日本企业落户海南,他们做的是低功耗物联网加密模组,不包含独立密码算法,只是做物理层封装。通过和中方合作伙伴组成合资公司(中方占65%),最终拿到了生产备案。但注意,这仍然是案,不是普适性规则。
生产环节还有一个“物理安全”要求。监管机构会实地考察生产车间,要求有独立的加密隔离区,并且不得有外资背景的人员进入核心区域。这对于很多国际化公司来说是个不小的挑战。我曾经陪同一位客户去苏州的工厂做现场检查,当检查员问及“外籍技术专家是否可以进入生产车间”时,客户支支吾吾。最后是让专家以“远程顾问”的身份签署了保密协议,并承诺不接触核心过程,才勉强通过。生产资质的获取,是一场关于“身份”和“技术边界”的复杂博弈,没有标准答案,只能靠精细化操作。
销售壁垒
生产搞定了,销售端还有一堆坑。很多外资企业以为,只要产品不在国内卖,直接出口到海外,就不受限制。这个想法不全对。根据《商用密码产品出口许可管理办法》,出口商用密码产品,同样需要向国家密码管理局申请出口许可。除非产品是纯商业用途,且不涉及国家秘密,否则很容易被卡。更麻烦的是,如果产品在生产过程中接触了受控算法(比如SM系列),即便只是在国内组装的,出口时也必须申请,而且审核周期通常需要3-6个月。
再说说国内销售。原则上,商用密码产品的销售实行“备案制”加“许可制”。对于在目录内的产品,销售商必须向所在地密码管理部门备案。但这只是表面。实际操作中,很多大型采购项目(如金融、政务、国企)都要求供应商必须持有《商用密码产品销售许可证》,而这个许可证又和生产资质绑定。换句话说,你一个外资背景的企业,根本拿不到销售许可证,也就进不了那些体量最大的市场。这导致很多外资密码产品只能走“代理商”模式,也就是把产品卖给有资质的中资代理商,由他们去投标、签合同。但这样做,不仅利润被大幅压缩,而且知识产权保护也存在风险。
我有个客户是做企业级VPN的,技术非常成熟。他们本想通过全资子公司在中国销售,结果发现,客户(一家国有银行)的采购清单里明确要求供应商“必须为内资或内资控股”。最后他们只能找了个外资控股的渠道商来运作,但银行风控部门一查股权结构,直接否决了。这个单子丢得很可惜。销售壁垒的核心不仅仅是法律,更是“市场准入的潜规则”——钱不一定能解决问题,身份才是关键。
外资VC困境
刚才我主要讲的是生产型企业和销售企业,但还有一类投资者很特殊——外资风险投资(VC)。很多硅谷的基金想投中国的区块链/加密技术初创公司,觉得这是高增长赛道。但现实很骨感。按照《网络安全法》和《外商投资准入特别管理措施(负面清单)》,增值电信业务(包括互联网信息服务、数据中心等)对外资是有限制的。而很多密码产品公司,本质上既是软件公司,又可能涉及云服务。VC投钱进去,一旦企业做大,想在境外上市,就会面临VIE架构的合规性审查。
2020年,一家新加坡基金想投中国的“隐私计算”赛道,标的公司是一家做联邦学习的初创企业。技术上没问题,但产品底层用了加密协议,而且他们还打算做“数据安全交易平台”,这就涉及了“数据处理和交易”环节。按照当时的法规,这类平台需要取得“EDI资质”,而外资股东是无法直接持有的。基金最后只能通过“人民币基金”绕道投进去,但回报周期拉长了,退出路径也很模糊。而且,现在监管层对VIE的态度越来越严,像“滴滴事件”之后,很多外资VC都在收缩对中国加密相关项目的投资。
还有个更实际的挑战:退出。如果外资VC投的是一家纯内资的密码公司,被投企业未来想在内地上市(科创板),证监会会审查股东的穿透结构。如果有外资背景的股东,哪怕只是LP层面,都会被视为“外资持股”,需要做专项说明。我见过一个项目,就是因为穿透后外资比例超过30%,被要求整改,最后只能被迫转让老股,投资人血亏。对于外资VC来说,投这类项目不仅要看技术前景,更要评估合规成本,本质上是在“赌政策微调空间”,风险极高。
替代路径
说了这么多限制,是不是外资就完全没机会了?当然不是。我在这行干了这么多年,发现聪明钱总能找到缝隙。第一种路径是“软件即服务(SaaS)”,很多密码产品的生产端被卡,但纯软件层面的加密服务(比如SDK授权、API接口)并没有被完全禁止。如果你不涉及硬件制造,只是提供加密算法库或安全解决方案,可以尝试和国内有资质的厂商合作,以“技术服务商”的身份出现。前提是,算法必须符合国家标准,并且通过国家密码管理局的安全审查。
第二种路径是“开源与社区模式”。有些加密算法(比如基于椭圆曲线的某些变种)本身是开源的,中国法规并未禁止外资企业参与开源社区贡献或使用开源代码。你可以基于这些开源算法开发上层应用,比如数字签名、身份认证工具。只要不直接销售“密码产品”本身,而是以“解决方案提供商”的名义卖咨询和服务,就能绕开不少限制。合作方要求你提供资质证明时,还是要小心被认定为“实质生产”。
第三种,也是我最推荐的,就是“技术授权+本地化运营”。具体说,将核心技术(如算法)放在境外,在中国只做“定制化封装”和“测试验证”。这种模式下,你的中国子公司只是一个“技术接收方”,而不是“生产者”。但要注意,技术授权合同必须报商务部备案,而且不能涉及“技术秘密”的实质性转移。2019年,我们帮一家以色列公司这么操作,他们在香港注册IP公司,然后授权给深圳的合资公司做产品本地化,严格分割生产和测试权限,最终合规落地。虽然流程复杂,但至少是能走通的。
说到这个,我得提一个真实的“坑”。有个客户想走“贴牌”模式,把核心硬件在境外生产,然后在中国组装,打上“国内品牌”的标签。结果被海关查扣,理由是“进口电子产品”在境内二次组装,必须申请CCC认证,而这个认证又需要生产厂家资质。最后罚了款,产品还被没收。替代路径一定要在法务和海关方面做足功课,不能想当然。
实战避坑
我以十几年踩过的坑,给各位分享几个实战避坑指南。第一,别信“能搞定关系”的承诺。密码产品领域,行政壁垒远高于商业关系。我见过一些客户高价聘请所谓的“老领导”去跑关系,结果钱花了,批文没下来,还耽误了项目时间。第二,一定要提前做“政策体检”。在决定投资前,找一家熟悉国内密码管理法规的律所,把你的产品图纸、技术文档、源代码架构都拿出来,做一份详细的“合规评估报告”。很多客户觉得这是小题大做,但往往是这一步最能发现问题。
第三,股权架构设计要前置。很多外资公司来中国是先注册一个全资子公司,然后才想起来报批。这顺序错了。应该先确定合规路径,再设计股权结构。比如,如果你确定要走“中方控股”的路径,那就得在谈判时就谈好股权比例,并且在中方的选择上要非常谨慎(最好找有密码资质的国资企业)。第四,注意“一事一议”的陷阱。有些地方欢迎外资,但中央法规是统一的。你听到的“特事特办”可能只是招商局的口头承诺,到落地时,国家密码管理局的一纸公文就能把所有承诺推翻。我客遇到过这类纠纷,最后是走仲裁才解决的。
第五,别忽略“数据出境”的问题。密码产品如果涉及用户数据(比如加密后的数据流),当这些数据需要传输回总部做分析时,就必须通过《数据安全法》和《个人信息保护法》的评估。这个评估周期长,费用高,而且结果不确定。去年一个欧洲客户的产品,就因为数据出境合规没通过,升级版本在中国完全被禁用。在项目启动前,把数据流图画出来,评估各方责任,能省去后续很多麻烦。密码产品领域外资受限是常态,但如果你能理解法规的底层逻辑,把风险前置,还是有空间做点事情的。
说了这么多,我想大家对中国密码产品领域的外资限制有了更立体的理解。从法规红线到目录分类,再到生产与销售壁垒,每一步都布满了“隐形门槛”。但这并不代表投资机会完全消失。关键在于,我们是否愿意调整策略,从“单打独斗”转变为“与中方伙伴共舞”,从“卖产品”转变为“卖技术和服务”。未来几年,随着中国对数据安全和个人信息保护的强监管,密码技术需求会越来越大,但合规的代价也会越来越高。我个人的观察是,短期内外资很难直接进入生产环节,但在SaaS服务、安全咨询、技术授权等领域,会有结构性机会。投资者必须密切关注政策动态,比如“数据跨境流动新规”、“粤港澳大湾区密码试点”等,这些可能是未来的突破口。
我代表嘉熙税务会计事务所,给各位做个小结。我们深耕外资服务领域多年,针对“密码产品”这个特殊赛道,我们的核心建议是:绝对不要试图挑战法律底线,但一定要学会在法律框架内寻找最优解。 我们见过太多因为急功近利而导致项目失败的案例。中国市场不是没有机会,而是需要你花时间去理解它的运行逻辑。从股权架构设计、技术合规备案,到税务筹划、出口许可申请,我们都能提供一站式服务。如果你手头正有一个密码相关的项目想落地中国,不妨先约我们做个风险评估,我们会基于真实案例和最新政策,给你一份切实可行的路径图。记住,合规是最大的红利,耐心是最好的策略。
好了,今天就聊到这儿。如果各位读者朋友有任何具体问题,欢迎随时来嘉熙找我喝茶,咱们边喝边聊。下期话题,我打算聊聊新能源领域的外资并购雷区,感兴趣的朋友点个关注。
