《中华人民共和国密码法》解读

发布时间:2020-02-04
        一、《中华人民共和国密码法》出台的重要意义和主要内容

  密码是党和国家的重要战略资源,对于保障国家政治安全、经济安全、国防安全和信息安全具有重大的作用,为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,20191026日,十三届全国人大常委会第十四次会议审议通过《中华人民共和国密码法》(以下简称“密码法”),自202011日起施行。

  《密码法》共五章四十四条(第一章总则,第二章核心密码、普通密码,第三章商用密码,第四章法律责任和第五章附则),分别就什么是密码,如何管理密码、如何使用密码、法律责任等方面进行了规定。

  二、什么是密码

  1、什么是密码

  密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。

  密码的主要表现形式是技术、产品和服务;主要功能是加密保护和安全认证,保护的对象是信息等相关内容,密码的本质是特定变换的方法。

  银行取款密码、网站登录密码,实际上并不是密码法中规定的“密码”,取款密码和网站登录密码只是一种简单、初级的认证方式,原因就在于不具备“特定变换”的方法。

  2、密码的分类

  国家对于密码实行分类管理,密码分为核心密码、普通密码和商用密码,分别用来保护不同类型和等级的密码:

  核心密码,保护国家秘密,保护绝密级、机密级、秘密级的国家秘密;

  普通密码,保护国家秘密,保护机密级、秘密级的国家秘密;

  商用密码,保护不属于国家秘密的信息。

  三、密码的管理机构

  根据《中华人民共和国密码法》第四条和第五条的规定,密码工作要坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导,制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。

  在中央密码工作领导机构的领导下,国家密码管理部门负责管理全国的密码工作,县级以上地方各级密码管理部门负责管理本行政区域的密码工作。

  四、密码的管理制度

  对于核心密码、普通密码和商用秘密,国家实行分类管理,采取不同的管理制度。

  1、核心密码、普通密码的管理

  根据《中华人民共和国密码法》第七条第二款的规定,核心密码、普通密码属于国家秘密。密码管理部门对核心密码、普通密码实行严格统一管理,主要要求为:

  【建立健全核心密码、普通密码的安全管理制度】从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构(以下统称密码工作机构)应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全。(《密码法》第十五条)

  【建立核心密码、普通密码的安全预警等协作机制】密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。(《密码法》第十七条) 

  【建立核心密码、普通密码的监督和安全审查制度,开展安全审查】密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度,对其工作人员遵守法律和纪律等情况进行监督,并依法采取必要措施,定期或者不定期组织开展安全审查。(《密码法》第二十条) 

  2、商用密码的管理

  国家鼓励和促进商用密码产业发展,以非歧视的原则依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位。商用密码的管理制度,主要包括有商用密码标准化制度、检测认证制度、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。

  【商用密码标准化制度】国家建立和完善商用密码标准体系。国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。(《密码法》第二十二条、二十三条)

  【商用密码检测认证制度】对商用密码实行自主认证检测和强制认证相结合。国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。(密码法》第二十五条、二十六条)

  【进口许可和出口管制制度】国家依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

  【电子政务电子认证服务管理制度】国家对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。

  【日常监管和随机抽查相结合的事中事后监管制度】密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督。

  五、密码的使用

  (一)核心密码和普通密码的使用

  针对核心密码和普通密码的使用,提出了强制性的要求,在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照规定使用核心密码、普通密码进行加密保护、安全认证。(《密码法》第十四条)

  (二)商用密码的使用

  商用密码,对一般用户使用商用密码没有提出强制性要求,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。(《密码法》第八条)

  同时,为了保障关键信息基础设施安全稳定运行,维护国家安全和社会公共利益,关键信息基础设施必须依法使用商用密码进行保护,并开展商用密码应用安全性评估;要求关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当依法通过国家网信办会同国家密码管理局等有关部门组织的国家安全审查。(《密码法第二十七条》)

  密码法还突出了对于密码的保护,第十二条明确规定,任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统,不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。

  密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。