查看原文
其他

密码法将于2020年1月1日起施行 | 法宝关注

密码法是我国密码领域的第一部法律,是党的十九大以来我国制定出台的维护国家安全的又一部重要法律。密码法的颁布实施,是密码工作历史上具有里程碑意义的大事,必将对密码事业发展产生重大而深远的影响。10月26日,十三届全国人大常委会第十四次会议在北京人民大会堂闭幕。会议经表决,通过了密码法,将自2020年1月1日起施行。


【法宝引证码】CLI.1.336908

什么是密码



国家密码管理局相关负责人解释,现实生活中提到“密码”一词,人们通常以为就是每天接触的计算机或手机开机“密码”、电子邮箱登录“密码”、微信“密码”、QQ“密码”、银行卡支付“密码”等。


然而,生活中的这些“密码”实际上是口令。口令只是进入个人计算机、手机、电子邮箱或者个人银行账户的“通行证”,它是一种简单、初级的身份认证手段,是最简易的密码。


密码法的“密码”是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。根据本法,密码分为核心密码、普通密码和商用密码,核心密码、普通密码用于保护国家秘密信息,商用密码用于保护不属于国家秘密的信息。


密码法明确,从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构,应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全。


涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。


根据密码法规定,国家鼓励和促进商用密码产业发展,依法保护密码领域的知识产权,加强密码人才培养和队伍建设,将密码安全教育纳入国民教育体系和公务员教育培训体系。县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划。


值得注意的是,在密码法草案公开征求意见期间,一些国家和组织的驻华机构通过不同的渠道向法工委表达了关切,法工委发言人在此前的记者会上也明确表示将一视同仁、同等适用。


根据密码法规定,各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。


密码能够发挥什么作用?


密码也被形象地比喻为网络空间的DNA。它是构筑网络信息系统免疫体系和网络信任体系的基石,直接关系国家政治安全、经济安全、国防安全和信息安全,是保护党和国家根本利益的战略性资源,是国之重器。


核心密码、普通密码用于保护国家秘密信息和涉密信息系统,有力地保障了中央政令军令安全,为维护国家网络空间主权、安全和发展利益构筑起牢不可破的密码屏障。


商用密码广泛应用于国民经济发展和社会生产生活的方方面面。比如说在金融领域,使用商用密码的金融芯片卡,有效遏制了银行卡伪造、网上交易身份仿冒等违法犯罪活动。


在税收领域,增值税防伪税控系统采用商用密码技术保护涉税信息,有效遏制了通过篡改发票票面信息进行偷税、漏税等违法犯罪活动。


在社会管理领域,公安部已累计发放使用商用密码芯片的第二代居民身份证超过18亿张,有效杜绝了伪造、变造身份证等违法犯罪行为。


除此之外,商用密码还可以用于企业商业秘密、公民个人隐私的保护。例如,商用密码在网上银行、网上支付系统中的广泛应用。


为什么要制定密码法?


国家密码管理局相关负责人解释,密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段。


据介绍,在社会管理领域,公安部已累计发放使用商用密码芯片的第二代居民身份证超过18亿张,有效杜绝了伪造、变造身份证等违法犯罪行为。


此外,商用密码还可用于公民个人敏感信息、隐私和企业商业秘密保护。例如,商用密码在网上银行、支付宝系统中的广泛应用,显著提高了交易数据的安全防护能力,降低了用户身份被仿冒、敏感信息被盗用等风险。


总之,《密码法》的立法目的是规范密码应用和管理,保障网络与信息安全,保护公民、法人和其他组织的合法权益,维护国家安全和利益。


密码法立法的主要内容是什么?


密码法共五章四十四条,围绕“怎么用密码、谁来管密码、怎么管密码”,重点规范了以下内容:


第一章总则部分,主要规定了本法的立法目的、密码工作的基本原则、密码工作的领导和管理体制,并对核心密码、普通密码和商用密码在发展促进和保障措施方面的共性内容作了规定。


第二章核心密码、普通密码部分,规定了核心密码、普通密码的主要管理制度,包括核心密码、普通密码使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施。


第三章商用密码部分,规定了商用密码的主要制度,包括商用密码的标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。


第四章法律责任部分,规定了违反本法相关规定应当承担的相应的法律后果。


第五章附则部分,规定了国家密码管理部门的规章制定权,解放军和武警部队密码立法事宜以及本法的施行日期。


值得一提的是,密码作为一种典型的“两用物项”,用得好会造福社会,用得不好或者被坏人利用,它就可能成为潘多拉魔盒中的魔鬼,给党和国家以及人民群众的利益带来不可估量的损失,这样的教训在战争年代有,在今天的和平时期也依然存在。因此,密码法明令禁止任何组织或者个人窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。


密码法为什么要对密码实行分类管理呢?


因为这是党中央确定的密码管理根本原则,是保障密码安全的基本策略,也是长期以来密码工作经验的科学总结。核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息,商用密码用于保护不属于国家秘密的信息。三类密码保护的对象不同,对其进行明确划分,有利于确保密码安全保密,有利于密码管理部门根据不同信息等级和使用对象,充分发挥三类密码在保护网络与信息安全中的核心支撑作用。


既然核心密码、普通密码属于国家秘密,主要规范党政机关内部管理的事项,为什么还要通过制定法律予以规范?


答:首先,这两种密码是用于保护国家秘密信息的,直接关系国家安全和社会公共利益,需要通过制定法律予以规范。其次,两者虽然主要规范党政机关内部管理的事项,但也有必要纳入依法管理范畴。党政机关应当严格按照法律法规的有关规定使用核心密码、普通密码,在法律范围内从事相关活动。此外,核心密码、普通密码的管理措施以及密码管理部门、密码工作机构及其工作人员开展工作也需要有法律依据。


为什么要对涉及国家安全、国计民生、社会公共利益的商用密码产品实行强制性检测认证制度?


答:商用密码产品其质量与安全性直接关系国家安全和社会公共利益,需要通过检测认证的方式对其质量与安全性进行技术把关。该制度与网络安全法规定的网络关键设备和网络安全专用产品强制性检测认证制度是衔接一致的。此外,强制性检测认证实施范围有限,不会对市场和产业构成不必要的限制。


为什么要对使用网络关键设备和网络安全专用产品的商用密码服务实行强制性认证制度?


答:由于密码功能实现的特殊性,网络关键设备和网络安全专用产品本身合格,并不意味着使用这些产品的商用密码服务就一定是安全的,需要通过认证的方式对其质量与安全性进行技术把关,规范商用密码服务市场准入。而且强制性认证制度仅适用于使用网络关键设备和网络安全专用产品的商用密码服务,并通过制定服务目录明确界定管理范围,管理范围有限,不会对市场和产业构成不必要的限制。


为什么要对涉及国家安全、社会公共利益等的商用密码实行进口许可和出口管制制度?


答:商用密码是一把双刃剑,既可以用于合法的信息保护,也可能被用来从事违法犯罪活动,有必要对其实行进口许可和出口管制,维护国家安全和社会公共利益。该制度符合世贸组织规则,也是国际通行做法。该制度实施范围有限,对大众消费类产品所采用的商用密码不实行进口许可和出口管制,并通过制定清单明确界定管理范围,不会对贸易造成影响。


责任编辑:李泽鹏
审核人员:张文硕
来源:法制日报、北大法宝法律法规库
往期精彩回顾
百万法律人都在用的北大法宝详细介绍!
《优化营商环境条例》出台(附答记者问)
重磅!认罪认罚从宽制度的指导意见(附典型案例)
全国扫黑办再发布4个法律政策文件!(附答记者问)


—更多内容—


欢迎扫码获取法宝介绍和试用



OUR VISION

爱法律,有未来

为法律人打造美好的工作体验

北大法律信息网
北大法宝

北大法宝学堂
法宝智能

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存