本文内容来源于国家密码管理局政策法规室二级调研员王伟在2021年12月31日“密码法实施两周年暨寰球密码法律政策发展动态高端座谈会”上的专题报告。
2019年10月26日,十三届全国人大常委会第十四次会议通过《中华人民共和国密码法》(以下简称《密码法》),习近平主席签署第35号主席令予以公布。《密码法》颁布以来,全国各级密码管理部门认真履行《密码法》赋予的法定职责,广泛凝聚政产学研各方面力量,推动全社会形成知密、用密的共识和合力,《密码法》落地实施取得良好开局,密码工作在法治轨道上稳步前行。
一、学习宣传活动有声有色
《密码法》的颁布推动神秘的密码走进公众视野。如何让社会公众正确地认识密码,了解密码的作用,合法地使用密码,增强密码安全意识,是《密码法》有效实施的“头等大事”。《密码法》一经颁布,全国人大常委会法工委和国家密码管理局就组织编写了《密码法释义》,由法律出版社出版发行,对《密码法》的法条进行逐条释义和深入阐释。人民日报、新华社等中央媒体发布《国家密码管理局负责人答记者问》等解读文章,《焦点访谈》《法律讲堂》制作播放专题宣传片,国家级主要新闻媒体都开展了深入解读,在全国上下掀起学习宣传《密码法》的热潮。
近两年,国家密码管理局在全国范围内组织开展全民国家安全教育日密码法治宣传教育和密码安全宣传教育活动,有效普及了密码政策法规和安全知识,进一步增强了党政机关、企事业单位和社会公众的密码安全意识。在宣传方式上,坚持线上与线下、传统媒体与新兴媒体相结合,灵活运用论坛研讨、专家访谈、百姓宣讲等多种形式,充分发挥密码管理部门门户网站、“密码视界”强国号、微信公众号等平台优势,制作播放宣传教育专题页面、权威宣传文章、短视频、音频、图解等内容,不断提高密码法治宣传和安全教育的传播力、吸引力和覆盖面。2021年4月15日,“密码视界”强国号转载了国家密码管理局和各地方、各部门的官方媒体权威文章,并在“全民国家安全教育日”专项答题中加入密码安全相关题目,吸引社会公众积极参与,有力增强宣传教育活动的影响力,推动密码安全宣传教育活动深入开展。
同时,利用《密码法》颁布周年纪念日,对《密码法》贯彻实施情况进行系统总结和梳理。2020年10月26日《密码法》颁布一周年时,人民日报、新华社等中央权威媒体刊载了“在法治的轨道上筑牢国家密码安全防线”等综述文章;2021年10月26日《密码法》颁布两周年时,人民日报、新华社刊载了“密码,让百姓生活更安全”等综述文章,生动展现了《密码法》颁布两年来我国密码事业蓬勃发展、密码工作在法治轨道上稳步前行的生动局面。
二、配套法规建设重点突破
加强密码法律制度建设,强化顶层设计,完善总体布局,为密码工作各领域、各环节提供有力法治保障。加快构建以《密码法》为核心,以《商用密码管理条例》等行政法规为主干,以若干核心密码、普通密码、商用密码以及明确密码管理部门行政管理职能等方面的规章和规范性文件为分支,权责明确、功能互补、协调一致的密码法律法规体系。
《密码法》作为最高位阶的法律规范,其规定相对宏观、原则,需要配套法规的支撑。《密码法》颁布后,国家密码管理局立即着手开展密码管理行政法规《商用密码管理条例》的修订工作。目前,《商用密码管理条例(修订草案送审稿)》已经按照行政法规制定程序报送国务院审查。国家密码管理局正积极配合国家有关部门做好对修订草案的审查修改工作,力争《条例》早日出台。《条例》的顺利修订出台,将有力推动《密码法》的深入贯彻实施。
《密码法》第四十二条明确规定“国家密码管理部门依照法律、行政法规的规定,制定密码管理规章”,赋予国家密码管理局规章制定权。为贯彻落实《立法法》《密码法》和《规章制定程序条例》等法律法规的规定,同时为新修订《商用密码管理条例》出台后的规章制定工作做好准备,2021年12月16日,刘东方局长签署国家密码管理局令(第1号),公布《国家密码管理局规章制定程序规定》。该《规定》是国家密码管理局单独制定的第一部部门规章,对于规范国家密码管理局规章制定工作,理顺规章制定工作流程,明晰工作职责,确保立法项目高质高效推进十分必要。
三、商用密码管理率先转型
商用密码管理作为密码面向社会、面向市场的主要阵地和领域,在落实《密码法》要求实现平稳过渡、转型升级方面责任重大。除加紧修订《商用密码管理条例》外,国家密码管理局聚焦商用密码依法管理,加快职能转变,狠抓法规制度落实,会同国家有关部门制定发布了一系列部门规章、规范性文件和管理目录,商用密码各项管理措施平稳衔接。目前,《密码法》确定的商用密码管理主要制度已经全部落实,各方面反映良好。
(一)坚持简政放权,依法规范商用密码行政审批
根据《密码法》等法律、行政法规的规定,公布新修订的《国家密码管理局行政审批事项公开目录》,将原有的8项行政审批事项精简为5项,做到该放则放、应管尽管。
优化调整商用密码进出口管理方式。2020年11月26日,商务部、国家密码管理局、海关总署联合发布《关于发布商用密码进口许可清单、出口管制清单和相关管理措施的公告》(商务部、国家密码管理局、海关总署公告2020年第63号),发布商用密码进口许可清单和出口管制清单,明确商用密码进出口许可程序,将事关国家安全、社会公共利益的商用密码产品和技术纳入两用物项,由商务部会同国家密码管理局实施统一管理和监督检查。依法设立电子政务电子认证服务机构认定行政许可,依法实施电子认证服务密码使用许可,进一步严格许可条件和程序,全面保障电子政务和电子商务安全。全国电子认证服务机构签发的数字证书,广泛应用于电子政务以及金融、税务、教育、电信、电子商务等领域,产生了巨大的社会效益和经济效益。
(二)激发市场活力,建设商用密码检测认证体系
根据《密码法》规定,取消商用密码产品品种和型号审批,会同市场监管总局建立和推行商用密码认证制度,对涉及国家安全、国计民生、社会公共利益的商用密码产品实施强制性认证,确保维护国家安全与满足社会需求有机统一。
2019年12月30日,国家密码管理局会同市场监管总局联合发布《国家密码管理局 市场监管总局关于调整商用密码产品管理方式的公告》(国家密码管理局、市场监管总局公告第39号),确保商用密码产品品种和型号审批调整为国推商用密码认证制度后商用密码产品管理工作的有序衔接和平稳过渡。2020年3月26日,市场监管总局会同国家密码管理局联合发布《市场监管总局 国家密码管理局关于开展商用密码检测认证工作的实施意见》(国市监认证〔2020〕50号),明确商用密码检测认证工作坚持“统一管理、共同实施、规范有序、保障安全”的基本原则,商用密码检测认证工作由市场监管总局会同国家密码管理局管理的工作机制,规定了商用密码检测认证实施的具体管理措施和监督管理事宜。2020年5月9日,市场监管总局会同国家密码管理局联合发布《市场监管总局 国家密码管理局关于发布〈商用密码产品认证目录(第一批)〉〈商用密码产品认证规则〉的公告》(市场监管总局、国家密码管理局公告2020年第23号)。
同时,根据《密码法》和《认证认可条例》,国家密码管理局、市场监管总局积极培育认定商用密码检测、认证机构,构建起较为完善的商用密码检测认证制度体系。商用密码从业单位数量和规模不断扩大,商用密码应用与创新发展示范基地、行业密码应用研究中心和产业园区建设蓬勃开展,商用密码检测认证体系不断健全,为推动商用密码科学化、规范化管理,促进商用密码产业健康有序发展提供了坚实支撑。
(三)落实法定责任,深入推进商用密码应用
《密码法》的颁布实施,将商用密码应用由政策要求上升到法定责任。各地区、各部门按照《密码法》要求,积极推进基础信息网络、重要信息系统、重要工业控制系统和政务信息系统等重要领域商用密码应用,利用商用密码护航5G、物联网、云计算、大数据、人工智能、区块链、量子通信、数字经济等新技术、新业态安全发展。在公安、社保、交通、能源、水利、教育、广电、税务等领域,密码应用不断向纵深拓展,充分发挥了在保障国家网络与信息安全中的核心作用。银行卡、网上银行、移动支付、条码支付及非银行支付等各类电子支付中的密码应用不断深化。采用密码的身份证件、社会保障卡、应急广播、数字电视、不停车收费(ETC)系统、交通一卡通、增值税发票系统等实现规模化部署,商用密码在一大批国家和地方政务网络与信息系统中得到广泛应用。特别是在2020年以来的抗击新冠肺炎疫情斗争中,通过采用密码技术,国家疾控数据直报、“防疫健康码”等实现了传输不中断、信息不泄露、数据无篡改,可靠电子签名及安全电子病历在医疗系统大量应用,为政府、社区、单位联防联控、复工复产提供了有力支撑。
2019年12月30日,国务院办公厅印发《国家政务信息化项目建设管理办法》(国办发〔2019〕57号),明确要求政务信息化项目应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。对于不符合密码应用和网络安全要求的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
2021年以来,国家网络安全立法加速推进,《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》密集出台,进一步落实《密码法》关于密码应用的相关要求,为充分发挥密码在网络安全保护中的关键作用提供了坚实法律依据。当前,为进一步依法规范密码应用,有效保障网络与信息安全,亟需制定具体规定,落实数据分类分级保护中的密码使用要求,明确核心数据和重要数据应依法使用密码进行保护,核心数据和重要数据所在的网络和信息系统应同步规划、同步建设、同步运行密码保障系统,并定期进行密码检测或应用安全性评估。
商用密码应用安全性评估是确保商用密码合规、正确、有效使用的关键手段。国家密码管理局组织开展两批密评试点,培育密评机构,推进密评体系建设。2020年4月,国家密码管理局组织编写出版《商用密码应用与安全性评估》一书。2020年9月,中国密码学会编制发布《政务信息系统密码应用与安全性评估工作指南》,引导政务信息系统依法使用密码保护网络与信息安全。2021年12月,中国密码学会更新发布《信息系统密码应用高风险判定指引》等4项密码应用与安全性评估指导性文件,为网络安全等级保护单位、关键信息基础设施运营者、商用密码从业单位和商用密码检测、认证机构准确理解商用密码应用与安全性评估制度提供了有力指导。
为落实《密码法》规定的涉及商用密码的国家安全审查制度,2020年4月13日,国家网信办会同国家密码管理局等12部门联合公布《网络安全审查办法》(国家网信办、国家密码管理局等12部门令第6号)。2021年12月28日,国家网信办会同中国证监会、国家密码管理局等13部门联合公布新修订的《网络安全审查办法》(国家网信办、国家密码管理局等13部门令第8号)。该《办法》明确规定,在中央网络安全和信息化委员会领导下,国家网信办会同国家密码管理局等13部门建立国家网络安全审查工作机制,为密码管理部门依照《网络安全法》和《密码法》开展涉及商用密码的国家安全审查提供了制度依据。
(四)注重放管结合,完善商用密码事中事后监管
《密码法》对建立日常监管和随机抽查相结合的商用密码事中事后监管制度作出了规定。近年来,国家密码管理局按照党中央、国务院统一部署,深入推进“放管服”改革,在取消行政审批事项的同时,把更多行政资源从事前审批转到事中事后监管,着力构建权责明确、公平公正、公开透明、简约高效的商用密码事中事后监管体系。以日常检查为主、专项整治为辅,连续6年对商用密码产品、电子政务电子认证服务等管理事项开展随机抽查,持续推进行政执法“三项制度”建设,严格规范商用密码行政执法行为,取得良好社会效果。
四、密码科技创新持续进步
按照《密码法》关于“建立和完善商用密码标准体系”的要求,国家密码管理局和国家标准化管理委员会抓紧推进商用密码标准化工作。商用密码标准体系包括商用密码国家标准、行业标准、团体标准和企业标准。其中,商用密码国家标准由国家标准化管理委员会组织制定,代号为GB。商用密码行业标准由国家密码管理局组织制定,代号为GM。商用密码团体标准由商用密码领域的学会、协会等社会团体制定,商用密码企业标准由商用密码企业制定或企业联合制定。截至2021年12月,国家标准化管理委员会已发布商用密码国家标准43项,国家密码管理局已发布商用密码行业标准129项,覆盖商用密码技术、产品、服务、应用、检测和管理等多个领域,形成了较为齐全完备的商用密码标准体系。
《密码法》还对商用密码国际标准化作出规定,要求参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。近年来,商用密码国际标准化活动取得重大突破,我国自主设计的祖冲之(ZUC)、SM2、SM3、SM4和SM9密码算法成为ISO/IEC国际标准,对于提升我国商用密码产业发展水平,推动商用密码更好服务“一带一路”建设具有重要意义。
密码事业的发展,关键在于自主创新,归根结底要靠密码人才的培养。国家密码管理局会同国家有关部门抓紧建立密码人才培养相关合作机制,积极支持高等院校设立密码学本科专业,密码人才培养加速推进。2021年2月10日,教育部发布《教育部关于公布2020年度普通高等学校本科专业备案和审批结果的通知》(教高函〔2021〕1号),正式将“密码科学与技术”列入普通高等学校本科专业目录,批准南开大学等7所高校新设“密码科学与技术”本科专业,9所高校成立密码学院(系)。2021年3月9日,人力资源社会保障部会同市场监管总局、国家统计局发布《人力资源社会保障部办公厅 市场监管总局办公厅 统计局办公室关于发布集成电路工程技术人员等职业信息的通知》(人社厅发〔2021〕17号),正式将“密码技术应用员”确定为新职业。2021年3月17日,教育部发布《教育部关于印发〈职业教育专业目录(2021年)〉的通知》(教职成〔2021〕2号),在高等职业教育专业中增加了“密码技术应用”专业。这些举措都将进一步提升密码专业人才培养质量,规范密码人才评价,有效满足社会的密码人才应用需求,为我国密码科技发展提供坚实的人才保障。
在密码学术研究领域,密码学术生态不断繁荣,各类密码学术研究活动活跃发展,学术交流平台持续完善,研讨、讲座、论坛等重大学术活动日益丰富,密码学术会议品牌影响力和密码学术期刊水平大幅提升。中国密码学会聚焦密码技术新成果和新方向,搭建产学研交流平台,举办密码国际学术会议,发布《中国密码学发展报告》。密码法治研究成果丰硕,涌现出一批密码法学专家和密码法治研究机构,密码法学论文、期刊等研究成果不断发表。在江苏省国家密码管理局、苏州市国家密码管理局和西安交通大学苏州研究院的大力支持下,位于苏州市的全国首个“密码法治实践创新基地”正在积极筹建中。基地建成后,将为我国密码法治建设和密码政策法规研究提供坚实的智力支撑。
“法者,治之端也。”《密码法》的贯彻实施,是一项长期的系统性工程,是各级党委、政府和全社会的共同职责。国家密码管理局将在党中央、国务院的坚强领导下,落实全面依法治国战略部署,坚持党管密码和依法管理有机统一,全面深入推进《密码法》的宣传、普及、实施、监督等各项工作,不断把密码工作的制度优势转化为治理效能,努力为维护国家安全、促进经济社会发展、保障人民群众利益构筑起牢不可破的密码防线!
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。