全国人大常委会委员审议密码法草案时建议
保密工作与处罚措施都要落实到人
□ 法制日报全媒体记者 蒲晓磊
6月29日上午,十三届全国人大常委会第十一次会议对密码法草案进行分组审议。
与会人员认为,密码工作是党和国家的一项特殊重要工作,在维护国家安全、促进经济社会发展、保护人民群众利益方面发挥着重要作用。进入新时代,密码工作面临着新的机遇和挑战,担负着更加繁重的保障和管理任务,制定一部密码领域综合性、基础性法律,十分必要。
围绕进一步提升密码保密工作、商用密码应用等问题,一些全国人大常委会组成人员与列席人员提出了相应的建议。
要更好地在“放管服”上下功夫
韩立平委员认为,密码法的制定,对保障网络与信息安全,保护公民、法人和其他组织的合法权益,维护国家安全和战略利益,具有重要的意义,非常必要且正当其时。草案设立的主要制度均已具备有效实施的条件和有利的环境,有3个鲜明的特点:
通过国家立法,把党对密码工作的集中统一领导和党管密码的重大原则、体制固定下来,使党的主张上升为国家的意志。
通过立法确立了密码在维护国家安全中的重要地位,把多年来密码管理行之有效的做法、经验和制度固定下来,密码管理的权威性、强制性进一步提升。
密码法确立了核心密码、普通密码和商用密码三类密码分类管理的原则,将有力促进密码技术的进步、产业发展和规范应用。同时,确保密码使用优质高效、密码管理安全可靠。
包信和委员认为,规范密码管理、避免混乱和垄断非常重要。草案明确把密码分成3类:核心密码、普通密码和商业密码,易于管理,能更好地用于服务国家经济发展以及个人切身利益。希望通过密码法的制定,更好地在“放管服”上下功夫,特别是商业密码,能够更好地服务于大众,服务于经济发展,希望密码管理部门在这方面要下功夫。
王超英委员指出,立法的关键问题在于是不是有利于行业的发展,这可能是这部法律立法当中一个最重要的价值判断。草案说明说得很好,体现了“放管服”的精神。
“但是,从商用密码这一章我们看到的大多是认证、许可、管制这些内容,是不是真的符合‘放管服’改革的要求,是不是真的有利于促进行业发展,有利于提高我们的核心竞争力,特别是在国际上的竞争力和行业地位,还需要认真研究。”王超英说。
对一些违法行为处罚力度不足
一些委员认为,应当进一步完善相关规定,提升密码保护的力度。
刘季幸委员建议,在第十五条规定中的“采取严格的保密措施”后增加“实行严格的保密责任制”。保密工作具有特殊性,必须落实到人,安全责任必须指定专人负责,既有党委的责任,也有具体负责人的责任,遵循严格的保密责任制,对确保密码安全至关重要。
张志军委员认为,检测和认证机构在密码推进工作中位居十分重要的位置,应在法律责任这方面提出一些保密要求,如不得透露受检测、受认证者的技术、秘密等信息。外商投资法也有类似的规定,这样的规定是有必要的。
草案规定了相应的法律责任。有委员认为,应当加大处罚力度,提升法律的震慑力。
李锐委员注意到,草案第三十六条规定了“违反本法第二十六条规定,销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的商用密码产品或者服务的”情形下相关单位的法律责任,但其中仅规定了市场监督管理部门对单位的处罚措施。
“因草案第二十六条规定的是涉及国家安全、国计民生、社会公共利益的商用密码产品需经安全认证、安全检测,该类产品如发生意外,可能会对国家安全及社会公共利益造成重大损失,但草案第三十六条中仅规定由市场监督管理部门对相关单位没收违反所得及罚款,显得处罚力度不足,建议参考草案第三十四条的规定,由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处理,并追究其法律责任。”李锐说。
App收集个人信息行为要监管
结合网络安全法中的相关规定,王刚委员认为,推动商用密码的应用或者强制应用,应该是密码法不可缺少的一个内容。
网络安全法规定,建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
王刚认为,网络安全法讲的技术设施关键的支撑,就是密码法里说的密码。因此,密码的技术标准、密码产品的安全性就显得很重要,密码尤其是商用密码的应用是一个更重要的问题。然而,密码法草案对一些通过网络及其设施提供服务的一般服务商没有明确提出要求。对商用密码的应用或者商用密码必须应用或者强制应用,也未作更多规定。
“一部密码法,除了密码标准和密码的安全性评价是这个法规定相关部门应该做的行为外,推动商业密码,特别是一些重要领域强制运用也是这部法应该规定的。比如现在很多App都在收集个人信息,要求权限,谁来管这个事?这样的App企业至少应该使用商业密码,谁来管、谁来监督这个事非常重要。”王刚说。
草案第二十六条第二款规定,用于网络关键设备和网络安全专用产品的商用密码服务,应当由商用密码认证、检测机构安全认证合格或者安全检测符合要求后,方可提供。
对此,列席会议的全国人大代表陈晓峰认为非常有必要,并提出了两个优化建议:
一方面,考虑加入适应期,让在立法前已在市场用了一段时间的商用密码产品有一个合理的适应期或升级完成认证及检测的程序。 另一方面,法律的规范范围也应当适用于已销售或者已提供后的改动,商家在推出软件升级前也必须通过认证或检测。因为事实上,很多开发手机App软件的公司往往在软件上架时安分守己,但之后的更新很多时候会加入其他未经检测的程序改动,令用户可能在不经意间掉入隐私外泄的陷阱。
声明:本文来自法制网,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。