《密码法》要义梳理
文| 腾讯数据安全高级研究员 陈慧慧、杜大海、马惠民
CII 首席研究员 秦小伟
2019年10月26日第十三届全国人民代表大会常务委员会第十四次会议表决通过《中华人民共和国密码法》,将自2020年1月1日起生效施行。
《密码法》是国家基本法律,旨在规范和促进密码产业、技术、应用、生态创新与安全协同,实施密码分级分类管理,提升国家数据保护和信息安全能力水平。
《密码法》规定密码分为核心密码、商用密码和普通密码。
A:核心密码和普通密码分别用于保护国家绝密信息和机密信息。在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应依法使用核心密码、普通密码进行加密保护、安全认证。密码管理机构会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制。密码工作机构依法建立健全安全管理制度、安全审查制度和保密责任制。
国家推进商用密码检测认证体系建设,自愿检测认证为原则,强制检测认证为例外。涉及国家安全、国计民生、社会公共利益的商用密码产品,依法列入网络关键设备和网络安全专用产品目录,须经检测认证方可销售和提供;
商用密码服务使用网络关键设备和网络安全专用产品的,须经检测认证合格。
依法确定的关键信息基础设施须使用商用密码进行保护,须开展商用密码应用安全性评估。关键信息基础设施运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应通过国家安全审查。
对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可。对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。
密码管理部门和有关部门开展日常监管和随机抽查相结合的事中事后监管,建立统一监督管理信息平台,衔接社会信用体系,强化行业自律和社会监督。
《密码法》对于内外资企业、对于国内外的商用产品和服务一视同仁、同等适用、同等保护。
国家鼓励基于自愿原则和商业规则开展商用密码技术合作,不得利用行政手段强制转让商用密码技术。
商用密码检测、认证机构对其在检测认证中所知悉的国家秘密和商业秘密承担保密义务。(注:商用密码从业单位可与检测认证、认证机构工作人员签署保密协议,强化保密义务约束。)
密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履职中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。
国务院标准化行政主管部门和国家密码管理部门组织制定商用密码国家标准、行业标准;支持制定高于国家标准、行业标准的团体标准、企业标准。鼓励推动参与制定商用密码国际标准,推进国内外标准转化运用。商用密码从业单位开展商用密码活动,应符合强制性国家标准以及本单位公开技术标准的;鼓励采用推荐性国家标准、行业标准。
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。分析:
1. 由“法律、行政法规和国家有关规定”划定强制必须使用商用密码进行保护的关键信息基础设施范围。2. “自行或者委托商用密码检测机构开展商用密码应用安全性评估”给予企业自主落实评估主体责任的时间空间可根据产品设计研发需要自行机动开展评估。3. 商用密码应用性评估与关键信息基础设施检测评估、等保测评相衔接,减少资源浪费,减轻企业负担,提升检测评估权威性和效率。4. 根据《网络安全法》第三十五条,关键信息基础设施采购涉及商用密码的网络产品和服务,可能影响国家安全的,由有关部门联合组织开展国家安全审查。第二十六条 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。分析:
1. 重要商用密码产品纳入销售许可目录,此目录即网络关键设备和网络安全专用产品目录,由国家网信办、工信部、公安部、中国国家认证认可监督管理委员会联合制定发布。根据《网络安全法》第二十三条,涉国家安全、国计民生、社会公共利益的重要商用密码产品认证合格或者安全检测符合要求后方可销售或提供。 2. 根据《网络安全法》第二十三条,商用密码服务如使用目录产品,须通过检测认证。3. 规定商用密码检测认证适用《网络安全法》,推动安全认证和安全检测结果互认,避免重复认证、检测,与《网络安全法》第二十三条保持一致。第二十九条 国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。分析:
强化使用电子签名、数据电文等政务活动的密码管理,要求提供电子政务电子认证服务机构须通过密码主管机关的认定。
第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。分析:
对关键信息基础设施依法必须使用商用密码、开展商用密码应用性安全评估、开展国家安全审查的义务进一步强化,明确罚则,采取“单位+直接负责人”双罚制。
第四十条 密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的,依法给予处分。分析:
相比较公开征求意见稿,强化对主管部门、单位违反保密义务的处罚问责。