商用密码应用安全性评估拟放开。10月21日,密码法草案提交十三届全国人大常委会第十四次会议二次审议。草案拟明确要求核心密码、普通密码实行密码“保密责任制”,定期开展安全评估。同时,在商用密码安全性评估问题上,草案二审稿拟明确运营者可自行或者委托商用密码检测机构开展安全性评估。
草案一审稿规定,密码分为核心密码、普通密码和商用密码。其中,核心密码和普通密码用于保护国家秘密信息,商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。上述草案对核心密码、普通密码的管理使用作了专章规定。有的常委会组成人员和地方建议进一步强化管理,实行密码安全保密责任制,定期开展安全评估,发现安全隐患风险后应当立即采取相应措施。宪法和法律委员会经研究,建议在草案第十五条中明确要求实行密码“保密责任制”,并在草案第十七条第一款中增加“安全风险评估”机制;在第二款增加规定,发现影响核心密码、普通密码安全的“风险隐患”时,应当立即采取应对措施。比如,草案二审稿第十五条规定:从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构(以下统称密码工作机构)应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全。针对泄密等风险隐患的情形,草案二审稿第十七条规定:密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的,应当立即采取应对措施,并及时向保密行政管理部门、密码管理部门报告,由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置或者指导有关密码工作机构及时消除安全隐患。可自行开展商用密码安全性评估,检测机构应承担保密义务草案第二十七条规定了商用密码应用安全性评估和国家安全审查制度。有常委会组成人员和部门、企业、公众提出,网络安全法已对网络关键信息基础设施的安全检测评估和国家安全审查作了相关规定,建议本法与网络安全法做好衔接。有的企业提出,一些大型企业有能力对所运营的网络自行进行安全性评估。宪法和法律委员会经研究,建议将第二十七条修改为:“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。”草案二审稿还对商用密码检测、认证机构的职能和密码管理部门的监督职权作了规定。有的常委会组成人员建议进一步增加对上述机构和部门的保密义务要求。为此,二审稿建议在第二十五条增加一款:“商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。”同时还规定,“密码管理部门和有关部门及其工作人员应当对在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。”此外,草案二审稿还规定了违反密码法相关规定的法律责任,进一步明确了处罚主体、处罚对象、处罚依据和罚则。