2019年10月26日,《中华人民共和国密码法》正式颁布,自2020年1月1日起实施。
关于《密码法》的颁布实施,以及相关条款涉及的内容,相信大家一定还有一些疑问。这次小编国小密特意就关注度比较高的问题,咨询了国家密码管理局负责人。现将有关问题为大家解答。
QA
国小密:国家密码管理局微信公众号小编
国家密码管理局:国家密码管理局负责人
问:请介绍一下密码法立法的目的和重要意义。
答:
密码是国家重要战略资源,密码工作是党和国家的一项特殊重要工作,直接关系国家政治安全、经济安全、国防安全和信息安全,在我国革命、建设、改革各个历史时期,都发挥了不可替代的重要作用。
进入新时代,密码工作面临着许多新的机遇和挑战,担负着更加繁重的保障和管理任务,制定一部密码领域综合性、基础性法律,十分必要。
密码法立法主要有三个方面的目的:
第一,坚决贯彻党管密码根本原则,落实中央指示批示精神。制定密码法,就是要以习近平新时代中国特色社会主义思想为指导,全面贯彻落实习近平总书记关于密码工作的系列重要指示批示精神,以及中央关于密码工作的方针政策,确保党的主张通过法定程序成为国家意志,立足我国国情,走中国特色密码发展道路。
第二,规范密码应用和管理,促进密码事业发展。目前社会公众使用密码保护网络与信息安全的意识还不够强,特别是重要网络与信息系统密码应用规范性、有效性不够的问题还比较突出,严重威胁国家网络与信息安全、企业商业秘密以及公民个人隐私保护。为此,国家对关键信息基础设施商用密码的应用、基础支撑能力的提升以及安全性评估、审查制度等不断提出明确要求,需要及时上升为法律规范。另外,传统上对商用密码实行全环节许可管理,已经不适应政府职能转变和“放管服”改革要求,亟需通过立法对现行的商用密码管理制度作出调整,切实为企业松绑减负,促进密码科技进步和创新,促进密码产业健康发展。
第三,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。当今网络与信息时代,每天都产生大量敏感信息,网络诈骗、侵犯隐私事件层出不穷,亟需有效的安全防护措施。密码是保障网络与信息安全的核心技术和基础支撑。制定密码法,就是要更好地促进密码产业发展,营造良好市场秩序,为社会提供更多优质高效的密码,充分发挥密码在网络空间中信息加密、安全认证等方面的重要作用,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。
总的来说,密码法立法是对党管密码根本原则的坚决贯彻,是适应我国国家安全新形势和密码广泛应用新挑战的时代需求,是构建与国家治理体系和治理能力现代化相适应的法律制度体系的重要举措,是确保密码使用优质高效、确保密码管理安全可靠的法治保障。密码法的颁布实施,将大大提升密码工作的科学化、规范化、法治化水平,有力促进密码技术进步、产业发展和规范应用,切实维护国家安全、社会公共利益以及公民、法人和其他组织的合法权益。
问:请介绍一下密码法的立法过程。
答
2014年12月,国家密码管理局正式启动密码法立法工作。
2017年6月,密码法(草案送审稿)正式报送国务院。2019年6月15日,国务院正式将密码法(草案)提请全国人大常委会审议。
6月25日至29日,十三届全国人大常委会第十一次会议对密码法(草案)进行了首次审议。
7月5日至9月2日,密码法(草案)在中国人大网上面向社会公开征求意见。
10月21日至26日,十三届全国人大常委会第十四次会议对密码法(草案)进行了二次审议。
10月26日,十三届全国人大常委会第十四次会议通过《中华人民共和国密码法》,习近平主席签署主席令第35号正式颁布,自2020年1月1日起施行。
问:请介绍一下密码法的主要内容。
答
密码法是总体国家安全观框架下,国家安全法律体系的重要组成部分,也是一部技术性、专业性较强的专门法律。本法注重把握“放管服”改革要求与保障国家安全的平衡,注意处理好与网络安全法、保守国家秘密法等有关法律的关系。
密码法共五章四十四条,围绕“怎么用密码、谁来管密码、怎么管密码”,重点规范了以下内容:
第一章总则部分,主要规定了本法的立法目的、密码工作的基本原则、密码工作的领导和管理体制,并对核心密码、普通密码和商用密码在发展促进和保障措施方面的共性内容作了规定。
第二章核心密码、普通密码部分,规定了核心密码、普通密码的主要管理制度,包括核心密码、普通密码使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施。
第三章商用密码部分,规定了商用密码的主要管理制度,包括商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。
第四章法律责任部分,规定了违反本法相关规定应当承担的相应的法律后果。
第五章附则部分,规定了国家密码管理部门的规章制定权,解放军和武警部队密码立法事宜以及本法的施行日期。
问:请简要介绍一下密码的重要作用。
答
密码法中的密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段,在我国革命、建设、改革各个历史时期,都发挥了不可替代的重要作用。
密码就像网络空间的DNA,是构筑网络信息系统免疫体系和网络信任体系的基石,直接关系国家政治安全、经济安全、国防安全和信息安全,是保护党和国家根本利益的战略性资源,是国之重器。
核心密码、普通密码用于保护国家秘密信息和涉密信息系统,有力地保障了中央政令军令安全,为维护国家网络空间主权、安全和发展利益构筑起牢不可破的密码屏障。
商用密码广泛应用于国民经济发展和社会生产生活的方方面面,涵盖金融和通信、公安、税务、社保、交通、卫生健康、能源、电子政务等重要领域,积极服务“互联网+”行动计划、智慧城市和大数据战略,在维护国家安全、促进经济社会发展、保护公民、法人和其他组织合法权益方面发挥着重要作用。
在金融领域,使用商用密码的金融芯片卡,有效遏制了银行卡伪造、网上交易身份仿冒等违法犯罪活动。
在税收领域,增值税防伪税控系统采用商用密码技术保护涉税信息,有效遏制了通过篡改发票票面信息进行偷税、漏税等违法犯罪活动。
在社会管理领域,公安部已累计发放使用商用密码芯片的第二代居民身份证超过18亿张,有效杜绝了伪造、变造身份证等违法犯罪行为。
除此之外,商用密码还可以用于企业商业秘密、公民个人隐私的保护。例如,商用密码在网上银行、网上支付系统中的广泛应用,显著提高了交易数据的安全防护能力,降低了用户身份被仿冒、隐私信息被盗用等风险,有效保障了公民的信息安全和财产安全。
问:为什么要对密码实行分类管理?
答
将密码分为核心密码、普通密码和商用密码,实行分类管理,是党中央确定的密码管理根本原则,是保障密码安全的基本策略,也是长期以来密码工作经验的科学总结。
核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息,商用密码用于保护不属于国家秘密的信息。
三类密码保护的对象不同,对其进行明确划分,有利于确保密码安全保密,有利于密码管理部门根据不同信息等级和使用对象,对密码实行科学管理,充分发挥三类密码在保护网络与信息安全中的核心支撑作用。
问:核心密码、普通密码属于国家秘密,主要规范党政机关内部管理的事项,为什么要通过制定法律予以规范?
答
核心密码、普通密码虽然主要规范党政机关内部管理的事项,仍然要通过制定法律予以规范。主要考虑包括:
一是核心密码、普通密码用于保护国家秘密信息,直接关系国家安全和社会公共利益,需要通过制定法律予以规范。
二是核心密码、普通密码虽然主要规范党政机关内部管理的事项,但也有必要纳入依法管理范畴。党政机关应当严格按照法律法规的有关规定使用核心密码、普通密码,在法律范围内从事相关活动。
三是核心密码、普通密码的管理措施以及密码管理部门、密码工作机构及其工作人员开展核心密码、普通密码工作的保障措施等,需要通过国家立法提供法律依据,把党的主张通过法定形式转化为国家意志,进一步提升密码工作的法治化保障水平。
问:请介绍一下密码法在商用密码管理方面的立法思路。
答
密码法在商用密码管理方面的立法思路主要有以下三个方面:
一是坚决贯彻落实“放管服”改革要求,充分体现非歧视和公平竞争原则,进一步削减行政许可数量,放宽市场准入,更好地激发市场活力和社会创造力。
二是由商用密码管理条例规定的全环节严格管理调整为重点把控产品销售、服务提供、使用、进出口等关键环节,管理方式上由重事前审批更多地转为事中事后监管,重视发挥标准化和检测认证的支撑作用。
三是对于关系国家安全和社会公共利益,又难以通过市场机制或者事中事后监督方式进行有效监管的少数事项,本法规定了必要的行政许可和管制措施。
问:为什么密码法要对涉及国家安全、国计民生、社会公共利益的商用密码产品实行强制性检测认证制度?
答
密码法按照“放管服”改革要求,取消了商用密码管理条例设定的“商用密码产品品种和型号审批”,改为对特定商用密码产品实行强制性检测认证制度,主要有三个方面的考虑:
一是该制度是维护国家安全和社会公共利益的需要。商用密码产品是一种专业技术性很强的特殊产品,广泛应用于国民经济和社会发展各领域,应用于关键信息基础设施,其质量与安全性直接关系国家安全和社会公共利益,需要通过检测认证的方式对其质量与安全性进行技术把关,规范商用密码产品市场准入。
二是该制度与网络安全法规定的网络关键设备和网络安全专用产品强制性检测认证制度是衔接一致的。涉及国家安全、国计民生、社会公共利益的商用密码产品作为网络关键设备和网络安全专用产品的一部分,依法列入网络关键设备和网络安全专用产品目录,由国家密码管理局会同国家网信办、国家认监委等部门共同制定目录,共同认定检测、认证机构,共同开展检测认证。
三是强制性检测认证实施范围有限。强制性检测认证制度仅适用于涉及国家安全、国计民生、社会公共利益的商用密码产品,并通过制定产品目录明确界定管理范围,不会对市场和产业构成不必要的限制。
问:为什么密码法要对使用网络关键设备和网络安全专用产品的商用密码服务实行强制性认证制度?
答
密码法设立该制度主要有两个方面的考虑:
一是该制度是维护国家安全和社会公共利益的需要。商用密码服务主要包括密码保障系统集成、运营、监理等,是一种专业技术性很强的特殊服务,广泛应用于国民经济和社会发展各领域,应用于关键信息基础设施,其质量与安全性直接关系国家安全和社会公共利益。由于密码功能实现的特殊性,网络关键设备和网络安全专用产品本身合格,并不意味着使用这些产品的商用密码服务就一定是安全的,需要通过认证的方式对其质量与安全性进行技术把关,规范商用密码服务市场准入。
二是强制性认证实施范围有限。强制性认证制度仅适用于使用网络关键设备和网络安全专用产品的商用密码服务,并通过制定服务目录明确界定管理范围,不会对市场和产业构成不必要的限制。
问:密码法对商用密码使用提出了什么要求?
答
密码法规定公民、法人和其他组织可以依法使用商用密码保护网络与信息安全,对一般用户使用商用密码没有强制性要求。由于商用密码属于两用物项,密码法明确规定,任何组织或者个人不得窃取他人的加密保护的信息或者非法侵入他人的密码保障系统,不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
同时,为了保障关键信息基础设施安全稳定运行,维护国家安全、社会公共利益,密码法要求关键信息基础设施必须使用商用密码进行保护并开展商用密码应用安全性评估,要求关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当通过国家网信办会同国家密码管理局等有关部门组织的国家安全审查。
问:为什么密码法要求关键信息基础设施使用商用密码进行保护,开展商用密码应用安全性评估?
答
密码法规定的关键信息基础设施商用密码使用要求是网络安全法规定的关键信息基础设施安全保护义务的重要组成部分。密码是保障网络与信息安全的核心技术和基础支撑。关系国家安全、国计民生、社会公共利益的关键信息基础设施,必须使用商用密码进行保护,而且使用的商用密码必须是合规、正确、有效的。如果不使用或者不正确使用商用密码进行保护,将严重威胁关键信息基础设施的安全稳定运行,威胁国家安全和社会公共利益。
因此,有必要对关键信息基础设施使用商用密码提出明确要求,有效保障关键信息基础设施安全。
建立完善商用密码应用安全性评估制度,对关键信息基础设施商用密码应用的合规性、正确性和有效性进行评估,对于有效规范密码应用,切实保障国家网络与信息安全,具有重要作用。商用密码应用安全性评估同时也是网络安全等级保护和关键信息基础设施安全保护制度的重要内容和技术手段。商用密码应用安全性评估与关键信息基础设施网络安全检测评估、网络安全等级测评在内容上有所区分,在实施中统筹考虑、协调开展,相互衔接。
问:为什么密码法要对涉及国家安全、社会公共利益等的商用密码实行进口许可和出口管制制度?
答
密码法设立商用密码进口许可和出口管制制度,主要有三个方面的考虑:
一是该制度是维护国家安全和社会公共利益的需要。商用密码是一把双刃剑,既可以用于合法的信息保护,也可能被用来从事违法犯罪活动,有必要对其实行进口许可和出口管制,维护国家安全和社会公共利益。
二是该制度符合世贸组织规则,也是国际通行做法。商用密码是国际公认的两用物项,对其实行进口许可和出口管制,符合世贸组织“安全例外”原则和我国对外贸易法的规定,也是国际通行做法。
三是该制度实施范围有限。进口许可制度仅适用于涉及国家安全、社会公共利益且具有加密保护功能的商用密码,出口管制制度仅适用于涉及国家安全、社会公共利益或者中国承担国际义务的商用密码,对大众消费类产品所采用的商用密码不实行进口许可和出口管制,并通过制定清单明确界定管理范围,不会对贸易造成影响。
问:为什么密码法要对采用商用密码技术从事电子政务电子认证服务的机构进行认定?
答
密码法设立该制度是维护国家安全和社会公共利益的需要。电子政务电子认证服务是一种专业技术性很强的特殊服务,直接服务于政务部门的政务活动,涉及范围广,敏感信息多,其质量与安全性直接关系国家安全和社会公共利益,有必要采取行政许可的方式对服务机构的电子政务电子认证服务能力进行评估,加强对建设、运维、应用和服务等各环节的行政监管和技术把关,确保其质量与安全性。
声明:本文来自国家密码管理局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。