1
《中華人民共和國密碼法》出臺的重要意義和主要內(nèi)容
密碼是黨和國家的重要戰(zhàn)略資源,對于保障國家政治安全、經(jīng)濟安全、國防安全和信息安全具有重大的作用,為了規(guī)范密碼應(yīng)用和管理,促進密碼事業(yè)發(fā)展,保障網(wǎng)絡(luò)與信息安全,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權(quán)益,2019年10月26日,十三屆全國人大常委會第十四次會議審議通過《中華人民共和國密碼法》(以下簡稱“密碼法”),自2020年1月1日起施行。
《密碼法》共五章四十四條(第一章總則,第二章核心密碼、普通密碼,第三章商用密碼,第四章法律責任和第五章附則),分別就什么是密碼,如何管理密碼、如何使用密碼、法律責任等方面進行了規(guī)定。
2
什么是密碼?
密碼的定義
密碼,是指采用特定變換的方法對信息等進行加密保護、安全認證的技術(shù)、產(chǎn)品和服務(wù)。
密碼的主要表現(xiàn)形式是技術(shù)、產(chǎn)品和服務(wù);主要功能是加密保護和安全認證,保護的對象是信息等相關(guān)內(nèi)容,密碼的本質(zhì)是特定變換的方法。
銀行取款密碼、網(wǎng)站登錄密碼,實際上并不是密碼法中規(guī)定的“密碼”,取款密碼和網(wǎng)站登錄密碼只是一種簡單、初級的認證方式,原因就在于不具備“特定變換”的方法。
密碼的分類
國家對于密碼實行分類管理,密碼分為核心密碼、普通密碼和商用密碼,分別用來保護不同類型和等級的密碼:
核心密碼,保護國家秘密,保護絕密級、機密級、秘密級的國家秘密;
普通密碼,保護國家秘密,保護機密級、秘密級的國家秘密;
商用密碼,保護不屬于國家秘密的信息。
3
密碼的管理機構(gòu)
根據(jù)《中華人民共和國密碼法》第四條和第五條的規(guī)定,密碼工作要堅持中國共產(chǎn)黨對密碼工作的領(lǐng)導。中央密碼工作領(lǐng)導機構(gòu)對全國密碼工作實行統(tǒng)一領(lǐng)導,制定國家密碼工作重大方針政策,統(tǒng)籌協(xié)調(diào)國家密碼重大事項和重要工作,推進國家密碼法治建設(shè)。
在中央密碼工作領(lǐng)導機構(gòu)的領(lǐng)導下,國家密碼管理部門負責管理全國的密碼工作,縣級以上地方各級密碼管理部門負責管理本行政區(qū)域的密碼工作。
4
密碼的管理制度
對于核心密碼、普通密碼和商用秘密,國家實行分類管理,采取不同的管理制度。
1
核心密碼、普通密碼的管理
根據(jù)《中華人民共和國密碼法》第七條第二款的規(guī)定,核心密碼、普通密碼屬于國家秘密。密碼管理部門對核心密碼、普通密碼實行嚴格統(tǒng)一管理,主要要求為:
建立健全核心密碼、普通密碼的安全管理制度
從事核心密碼、普通密碼科研、生產(chǎn)、服務(wù)、檢測、裝備、使用和銷毀等工作的機構(gòu)(以下統(tǒng)稱密碼工作機構(gòu))應(yīng)當按照法律、行政法規(guī)、國家有關(guān)規(guī)定以及核心密碼、普通密碼標準的要求,建立健全安全管理制度,采取嚴格的保密措施和保密責任制,確保核心密碼、普通密碼的安全。(《密碼法》第十五條)
建立核心密碼、普通密碼的安全預警等協(xié)作機制
密碼管理部門根據(jù)工作需要會同有關(guān)部門建立核心密碼、普通密碼的安全監(jiān)測預警、安全風險評估、信息通報、重大事項會商和應(yīng)急處置等協(xié)作機制,確保核心密碼、普通密碼安全管理的協(xié)同聯(lián)動和有序高效。(《密碼法》第十七條)
建立核心密碼、普通密碼的監(jiān)督和安全審查制度,開展安全審查
密碼管理部門和密碼工作機構(gòu)應(yīng)當建立健全嚴格的監(jiān)督和安全審查制度,對其工作人員遵守法律和紀律等情況進行監(jiān)督,并依法采取必要措施,定期或者不定期組織開展安全審查。(《密碼法》第二十條)
2
商用密碼的管理
國家鼓勵和促進商用密碼產(chǎn)業(yè)發(fā)展,以非歧視的原則依法平等對待包括外商投資企業(yè)在內(nèi)的商用密碼科研、生產(chǎn)、銷售、服務(wù)、進出口等單位。商用密碼的管理制度,主要包括有商用密碼標準化制度、檢測認證制度、進出口管理制度、電子政務(wù)電子認證服務(wù)管理制度以及商用密碼事中事后監(jiān)管制度。
商用密碼標準化制度
國家建立和完善商用密碼標準體系。國家推動參與商用密碼國際標準化活動,參與制定商用密碼國際標準,推進商用密碼中國標準與國外標準之間的轉(zhuǎn)化運用。(《密碼法》第二十二條、二十三條)
商用密碼檢測認證制度
對商用密碼實行自主認證檢測和強制認證相結(jié)合。
國家推進商用密碼檢測認證體系建設(shè),制定商用密碼檢測認證技術(shù)規(guī)范、規(guī)則,鼓勵商用密碼從業(yè)單位自愿接受商用密碼檢測認證,提升市場競爭力。
涉及國家安全、國計民生、社會公共利益的商用密碼產(chǎn)品,應(yīng)當依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄,由具備資格的機構(gòu)檢測認證合格后,方可銷售或者提供。(密碼法》第二十五條、二十六條)
進口許可和出口管制制度
國家依法對涉及國家安全、社會公共利益且具有加密保護功能的商用密碼實施進口許可,對涉及國家安全、社會公共利益或者中國承擔國際義務(wù)的商用密碼實施出口管制。
大眾消費類產(chǎn)品所采用的商用密碼不實行進口許可和出口管制制度。
電子政務(wù)電子認證服務(wù)管理制度
國家對采用商用密碼技術(shù)從事電子政務(wù)電子認證服務(wù)的機構(gòu)進行認定,會同有關(guān)部門負責政務(wù)活動中使用電子簽名、數(shù)據(jù)電文的管理。
日常監(jiān)管和隨機抽查相結(jié)合的事中事后監(jiān)管制度
密碼管理部門和有關(guān)部門建立日常監(jiān)管和隨機抽查相結(jié)合的商用密碼事中事后監(jiān)管制度,建立統(tǒng)一的商用密碼監(jiān)督管理信息平臺,推進事中事后監(jiān)管與社會信用體系相銜接,強化商用密碼從業(yè)單位自律和社會監(jiān)督。
5
密碼的使用
1
核心密碼和普通密碼的使用
針對核心密碼和普通密碼的使用,提出了強制性的要求,在有線、無線通信中傳遞的國家秘密信息,以及存儲、處理國家秘密信息的信息系統(tǒng),應(yīng)當依照規(guī)定使用核心密碼、普通密碼進行加密保護、安全認證。(《密碼法》第十四條)
2
商用密碼的使用
商用密碼,對一般用戶使用商用密碼沒有提出強制性要求,公民、法人和其他組織可以依法使用商用密碼保護網(wǎng)絡(luò)與信息安全。(《密碼法》第八條)
同時,為了保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運行,維護國家安全和社會公共利益,關(guān)鍵信息基礎(chǔ)設(shè)施必須依法使用商用密碼進行保護,并開展商用密碼應(yīng)用安全性評估;要求關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國家安全的,應(yīng)當依法通過國家網(wǎng)信辦會同國家密碼管理局等有關(guān)部門組織的國家安全審查。(《密碼法第二十七條》)
密碼法還突出了對于密碼的保護,第十二條明確規(guī)定,任何組織或者個人不得竊取他人加密保護的信息或者非法侵入他人的密碼保障系統(tǒng),不得利用密碼從事危害國家安全、社會公共利益、他人合法權(quán)益等違法犯罪活動。
密碼管理部門和有關(guān)部門及其工作人員不得要求商用密碼從業(yè)單位和商用密碼檢測、認證機構(gòu)向其披露源代碼等密碼相關(guān)專有信息,并對其在履行職責中知悉的商業(yè)秘密和個人隱私嚴格保密,不得泄露或者非法向他人提供。