客服
二維碼
微信公眾號
1
《中華人民共和國密碼法》出臺的重要意義和主要內容
密碼是黨和國家的重要戰略資源,對于保障國家政治安全、經濟安全、國防安全和信息安全具有重大的作用,為了規范密碼應用和管理,促進密碼事業發展,保障網絡與信息安全,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益,2019年10月26日,十三屆全國人大常委會第十四次會議審議通過《中華人民共和國密碼法》(以下簡稱“密碼法”),自2020年1月1日起施行。
《密碼法》共五章四十四條(第一章總則,第二章核心密碼、普通密碼,第三章商用密碼,第四章法律責任和第五章附則),分別就什么是密碼,如何管理密碼、如何使用密碼、法律責任等方面進行了規定。
2
什么是密碼?
密碼的定義
密碼,是指采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務。
密碼的主要表現形式是技術、產品和服務;主要功能是加密保護和安全認證,保護的對象是信息等相關內容,密碼的本質是特定變換的方法。
銀行取款密碼、網站登錄密碼,實際上并不是密碼法中規定的“密碼”,取款密碼和網站登錄密碼只是一種簡單、初級的認證方式,原因就在于不具備“特定變換”的方法。
密碼的分類
國家對于密碼實行分類管理,密碼分為核心密碼、普通密碼和商用密碼,分別用來保護不同類型和等級的密碼:
核心密碼,保護國家秘密,保護絕密級、機密級、秘密級的國家秘密;
普通密碼,保護國家秘密,保護機密級、秘密級的國家秘密;
商用密碼,保護不屬于國家秘密的信息。
3
密碼的管理機構
根據《中華人民共和國密碼法》第四條和第五條的規定,密碼工作要堅持中國共產黨對密碼工作的領導。中央密碼工作領導機構對全國密碼工作實行統一領導,制定國家密碼工作重大方針政策,統籌協調國家密碼重大事項和重要工作,推進國家密碼法治建設。
在中央密碼工作領導機構的領導下,國家密碼管理部門負責管理全國的密碼工作,縣級以上地方各級密碼管理部門負責管理本行政區域的密碼工作。
4
密碼的管理制度
對于核心密碼、普通密碼和商用秘密,國家實行分類管理,采取不同的管理制度。
1
核心密碼、普通密碼的管理
根據《中華人民共和國密碼法》第七條第二款的規定,核心密碼、普通密碼屬于國家秘密。密碼管理部門對核心密碼、普通密碼實行嚴格統一管理,主要要求為:
建立健全核心密碼、普通密碼的安全管理制度
從事核心密碼、普通密碼科研、生產、服務、檢測、裝備、使用和銷毀等工作的機構(以下統稱密碼工作機構)應當按照法律、行政法規、國家有關規定以及核心密碼、普通密碼標準的要求,建立健全安全管理制度,采取嚴格的保密措施和保密責任制,確保核心密碼、普通密碼的安全。(《密碼法》第十五條)
建立核心密碼、普通密碼的安全預警等協作機制
密碼管理部門根據工作需要會同有關部門建立核心密碼、普通密碼的安全監測預警、安全風險評估、信息通報、重大事項會商和應急處置等協作機制,確保核心密碼、普通密碼安全管理的協同聯動和有序高效。(《密碼法》第十七條)
建立核心密碼、普通密碼的監督和安全審查制度,開展安全審查
密碼管理部門和密碼工作機構應當建立健全嚴格的監督和安全審查制度,對其工作人員遵守法律和紀律等情況進行監督,并依法采取必要措施,定期或者不定期組織開展安全審查。(《密碼法》第二十條)
2
商用密碼的管理
國家鼓勵和促進商用密碼產業發展,以非歧視的原則依法平等對待包括外商投資企業在內的商用密碼科研、生產、銷售、服務、進出口等單位。商用密碼的管理制度,主要包括有商用密碼標準化制度、檢測認證制度、進出口管理制度、電子政務電子認證服務管理制度以及商用密碼事中事后監管制度。
商用密碼標準化制度
國家建立和完善商用密碼標準體系。國家推動參與商用密碼國際標準化活動,參與制定商用密碼國際標準,推進商用密碼中國標準與國外標準之間的轉化運用。(《密碼法》第二十二條、二十三條)
商用密碼檢測認證制度
對商用密碼實行自主認證檢測和強制認證相結合。
國家推進商用密碼檢測認證體系建設,制定商用密碼檢測認證技術規范、規則,鼓勵商用密碼從業單位自愿接受商用密碼檢測認證,提升市場競爭力。
涉及國家安全、國計民生、社會公共利益的商用密碼產品,應當依法列入網絡關鍵設備和網絡安全專用產品目錄,由具備資格的機構檢測認證合格后,方可銷售或者提供。(密碼法》第二十五條、二十六條)
進口許可和出口管制制度
國家依法對涉及國家安全、社會公共利益且具有加密保護功能的商用密碼實施進口許可,對涉及國家安全、社會公共利益或者中國承擔國際義務的商用密碼實施出口管制。
大眾消費類產品所采用的商用密碼不實行進口許可和出口管制制度。
電子政務電子認證服務管理制度
國家對采用商用密碼技術從事電子政務電子認證服務的機構進行認定,會同有關部門負責政務活動中使用電子簽名、數據電文的管理。
日常監管和隨機抽查相結合的事中事后監管制度
密碼管理部門和有關部門建立日常監管和隨機抽查相結合的商用密碼事中事后監管制度,建立統一的商用密碼監督管理信息平臺,推進事中事后監管與社會信用體系相銜接,強化商用密碼從業單位自律和社會監督。
5
密碼的使用
1
核心密碼和普通密碼的使用
針對核心密碼和普通密碼的使用,提出了強制性的要求,在有線、無線通信中傳遞的國家秘密信息,以及存儲、處理國家秘密信息的信息系統,應當依照規定使用核心密碼、普通密碼進行加密保護、安全認證。(《密碼法》第十四條)
2
商用密碼的使用
商用密碼,對一般用戶使用商用密碼沒有提出強制性要求,公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全。(《密碼法》第八條)
同時,為了保障關鍵信息基礎設施安全穩定運行,維護國家安全和社會公共利益,關鍵信息基礎設施必須依法使用商用密碼進行保護,并開展商用密碼應用安全性評估;要求關鍵信息基礎設施的運營者采購涉及商用密碼的網絡產品和服務,可能影響國家安全的,應當依法通過國家網信辦會同國家密碼管理局等有關部門組織的國家安全審查。(《密碼法第二十七條》)
密碼法還突出了對于密碼的保護,第十二條明確規定,任何組織或者個人不得竊取他人加密保護的信息或者非法侵入他人的密碼保障系統,不得利用密碼從事危害國家安全、社會公共利益、他人合法權益等違法犯罪活動。
密碼管理部門和有關部門及其工作人員不得要求商用密碼從業單位和商用密碼檢測、認證機構向其披露源代碼等密碼相關專有信息,并對其在履行職責中知悉的商業秘密和個人隱私嚴格保密,不得泄露或者非法向他人提供。