《中华人民共和国密码法》已由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过,自2020年1月1日起施行。国家密码管理局于2020年1月6日至2020年5月6日陆续发布了关于密码政策的问答,现将相关问答进行汇总,方便大家了解。
根据《密码法》第二十五条、第二十六条的规定,商用密码产品管理方式将由行政审批调整为检验测试认证管理,国家密码管理局不再实施“商用密码产品品种和型号审批”。市场监管总局会同国家密码管理局建立国家统一推行的商用密码认证制度,采取支持措施,鼓励商用密码产品获得认证。对列入网络关键设备和网络安全专用产品目录的商用密码产品实施强制性检验测试认证,由具备资质的机构检验测试认证合格后,方可销售或者提供。
《密码法》施行后,市场监管总局将会同国家密码管理局建立国家统一推行的商用密码认证制度,国家密码管理局将不再受理商用密码产品品种和型号申请,停止发放《商用密码产品型号证书》,已发放的《商用密码产品型号证书》自2020年7月1日起自动失效。本着便民利企原则,对于在有效期内的《商用密码产品型号证书》,持证单位可于2020年6月30日前自愿申请转换国推商用密码产品认证证书,换发的认证证书有效期与原《商用密码产品型号证书》有效期保持一致。同时,为方便证书转换,持证单位可对所在地省(区、市)密码管理部门提交转换认证申请。
《密码法》施行后,还没完成商用密码产品品种和型号审批的产品该怎么样处理?
本着便民利企原则,对于还没完成商用密码产品品种和型号审批的,原产品品种和型号申请单位可于2020年6月30日前,自愿转为认证申请;审批期间已经开展的审查及检测,认证机构不再重复审查、检测,切实减轻申请单位负担,简化办事流程。
市场监管总局、国家密码管理局正在抓紧制定国推商用密码认证的产品目录、认证规则和有关实施要求。待相关联的内容发布后,自认证规则实施之日起,商用密码从业单位便可自愿向具备资质的商用密码认证机构提交认证申请。有关认证的适合使用的范围、申请受理、基本流程、证书管理等内容将在认证规则中予以明确。
根据《密码法》第二十八条的规定,《密码法》施行后,商用密码进出口将纳入两用物项进出口管理,由商务部、国家密码管理局依法实施进口许可和出口管制。商务部、国家密码管理局、海关总署正在抓紧制定商用密码进口许可清单和出口管制清单。清单公布实施前,商用密码进出口暂时按照目前公布的许可条件和程序实施进出口许可管理,保持现行工作方式不变。详见国家密码管理局、商务部、海关总署第38号公告。【注:已发布关于发布商用密码进口许可清单、出口管制清单和相关管理措施的公告】
《密码法》中的密码(cryptography),是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。而人们日常接触的计算机或手机开机“密码”、微信“密码”、QQ“密码”、电子邮箱登录“密码”、银行卡支付“密码”等,其实就是口令(password)。口令是进入个人计算机、手机、电子邮箱或银行账户的“通行证”,是一种简单、初级的身份认证手段,“口令”不在《密码法》的管理范围之内。
密码是国家重要战略资源,是保障网络与信息安全的核心技术和基础支撑。密码工作是党和国家的一项特殊重要工作,必然的联系国家政治安全、经济安全、国防安全和信息安全,在我国革命、建设、改革各个历史时期,都发挥了无法替代的及其重要的作用。进入新时代,以习同志为核心的党中央坚持总体国家安全观,在完善国家安全体系的总体布局中对加强密码工作和密码立法作出了重要部署。
《密码法》是我国国家安全法律制度体系的重要组成部分,是密码领域的综合性、基础性法律,也是一部技术性、专业性较强的专门法律。《密码法》以法律的形式明确了党管密码的根本原则,确立了密码工作领导和管理体制,明确了密码分类管理原则以及核心密码、普通密码、商用密码管理的各项制度措施,为保障网络与信息安全,维护国家安全、社会公共利益,以及公民、法人和其他组织的合法权益提供了坚实有力的法律保障,为构建系统完备、科学规范、运行高效的密码法律制度体系奠定了基础。
目前,有关部门、单位和社会公众对密码的作用认识不够全面,使用密码保护网络与信息安全的意识还不够强,特别是重要网络与信息系统密码应用规范性、有效性不够的问题还比较突出,严重威胁国家网络与信息安全、企业商业机密以及公民个人隐私保护。国家对涉密信息系统和关键信息基础设施商用密码的应用、基础支撑能力的提升以及安全性评估、审查制度等不断提出明确要求,需要上升为法律规范,为维护国家网络与信息安全提供法治保障。在核心密码、普通密码方面,需要将现行有效的安全管理制度、特殊管理政策及保障措施法治化,增强核心密码、普通密码安全保障能力。在商用密码方面,传统上对商用密码实行全环节许可管理,已经不适应政府职能转变和“放管服”改革要求,亟需通过立法对现行的商用密码管理制度作出调整,切实为企业松绑减负,促进密码科学技术进步和创新,促进密码产业健康有序发展。
二、保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益
在网络与信息时代,天天都会产生大量涉密和敏感信息,网络窃密、网络诈骗、侵犯隐私等事件层出不穷,亟需有效的安全保护措施。密码是保障网络与信息安全的核心技术和基础支撑。制定《密码法》,就是要更好地促进密码产业高质量发展,营造良好的市场秩序,为社会提供更多优质高效的密码,引导全社会正确、合规、有效使用密码,充分的发挥密码在互联网空间中信息加密、安全认证等方面的及其重要的作用,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。
党和国家格外的重视密码立法工作,2018年至2019年,全国人大常委会和国务院都将《密码法》列入了立法工作规划。
2017年4月至5月,《中华人民共和国密码法(草案征求意见稿)》在国家密码管理局商用密码管理办公室网站首次面向社会公开征求意见。
2019年6月10日,《中华人民共和国密码法(草案)》(以下简称草案)经国务院第52次常务会议会讨论通过。6月15日,总理签署议案,正式将草案提请全国人大常委会审议。
2019年6月25日至29日,十三届全国人大常委会第十一次会议对草案进行了首次审议。
2019年10月21日至26日,十三届全国人大常委会第十四次会议对草案进行了二次审议。
10月26日,十三届全国人大常委会第十四次会议表决通过《密码法》,习主席签署第三十五号主席令正式颁布,自2020年1月1日起施行。
加密保护是指采用特定变换的方法,将原来可读的信息变成不能直接识别的符号序列。简单地说,加密保护就是将明文变成密文。例如,古希腊军队使用一种叫做“斯巴达棒”的圆木棍来进行加密通信,使用方法是:把一根长带状羊皮纸缠绕在圆木棍上,然后在上面写字;解下羊皮纸后,上面只有乱序的字符,只有再次以同样的方式缠绕到同样粗细的木棍上,才能看出所写的内容。
安全认证是指采用特定变换的方法,确认信息是否完整、是否被篡改、可不可靠以及行为是否真实。简单地说,安全认证就是确认主体和信息的真实可靠性。例如,增值税防伪税控系统采用商用密码技术保护涉税信息,增值税发票信息经密码算法进行加解密处理,确定该发票的明文信息是否真实,从而遏制增值税犯罪,减少税款流失。
密码技术,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术,包括密码编码、实现、协议、安全防护、分析破译,以及密钥产生、分发、传送、使用、销毁等技术。分组密码算法(如SM4算法)、公钥密码算法(如SM2算法)等是典型的密码算法,密钥交换协议、密钥分发协议等是典型的密码协议。
密码产品,是指采用密码技术并以加密保护、安全认证的产品,即承载密码技术、实现密码功能的实体。典型的密码产品有:密码机,如链路密码机、网络密码机、服务器密码机、传真密码机、电话密码机等;密码芯片和模块,如第二代居民身份证、智能电卡、社会保障卡、金融芯片卡中使用的密码芯片、可信计算密码模块等。
密码服务,是指基于密码专业方面技术、技能和设施,为他人提供集成、运营、监理等密码支持和保障的活动,即基于密码技术和产品,实现密码功能,提供密码保障的行为。典型的密码服务包括:密码保障系统集成(如数字证书认证系统集成),是指为他人集成建设实现密码功能的系统,保护他人网络与信息系统的安全;密码保障系统运营(如增值税发票防伪税控系统运营),是指为保证他人实现密码功能系统的正常运行提供安全管理和维护。
总体国家安全观要求推动建立新的安全体制,在密码工作中具体体现为统一领导、分级负责,创新发展、服务大局,依法管理、保障安全的根本原则,这是密码工作历史经验和实践的深刻总结。
“统一领导、分级负责”是密码工作的首要原则。统一领导,是指全国密码工作在党下,由中央密码工作领导机构统一领导。《密码法》把“统一领导”作为密码工作的一项根本原则,就是要坚持党的绝对领导,这是密码工作最重要、最根本、最核心的原则,也是密码工作的优良传统和宝贵经验。
分级负责,是指国家和省、市、县四级密码管理部门分别负责管理全国和本行政区域的密码工作。根据密码工作的现实需要,参考其他工作领域管理体制改革发展的经验,《密码法》明确了各级密码管理部门的行政主体地位,确立了分级负责的密码工作管理体制。
创新发展是密码工作的发展之基、力量之源。党的密码工作从诞生的第一天起,正是凭借不断地自主创新,走出了一条从无到有、从小到大、从弱到强的中国特色密码发展之路。坚持创新发展,就是要以科学技术创新为核心,以管理创新为推动,以制度创新为保证,支持密码科学技术探讨研究,推动密码产业高质量发展,使密码工作始终体现时代性、把握规律性、富于创造性,为保障网络与信息安全、维护国家互联网空间主权提供有力的技术支撑。
服务大局是密码工作的价值所在,更是其宗旨要求。密码工作与党和国家的事业血肉相连、命运休戚相关,在革命、建设和改革各个历史时期,都紧紧围绕党和国家的中心任务和奋斗目标,发挥着无法替代的特殊及其重要的作用。进入新时代,坚持服务大局,就是要紧紧围绕国家创新驱动发展的策略,部署好密码科技自主创新,实现密码科技跨越式发展;要紧紧围绕国家安全战略,加大密码核心关键技术攻关和密码应用,充分的发挥密码在保安全促发展中的支撑作用;要紧紧围绕中央全面深化改革的战略部署,全面深化密码管理体制改革,加快政府职能转变;要紧紧围绕经济结构调整,快速推进密码产业高质量发展,为经济社会持续健康发展,为实现“两个一百年”奋斗目标、实现中华民族伟大复兴的中国梦做出贡献。
党的十九大把坚持全面依法治国确立为习新时代中国特色社会主义思想和新时代坚持和发展中国特色社会主义的基本方略的重要内容,提出“一定要坚持厉行法治,推进科学立法、严格执法、公正司法、全民守法”。将密码管理的每个方面纳入法治轨道,是密码工作的基础要求,是提高密码工作科学化、规范化、制度化水平的必由之路。坚持依法管理,就是各级密码管理部门要严格按照《密码法》和有关法规、规章和规范性文件的规定,依法全面履行密码行政管理职能。依法管理是核心密码、普通密码、商用密码三类密码管理的共同要求。
密码安全关乎党和国家的根本利益,是密码工作的生命。坚持保障安全,就是要加强密码安全制度建设,完善密码安全管理措施,对密码管理重点关键环节实施有效监管,增强密码安全保障能力;要加强关键信息基础设施密码应用监管,建立完善密码安全性评估和安全审查制度,有效预防和化解密码安全风险;要加强密码安全协作机制建设,确保密码安全管理的协同联动和有序高效。
坚持党对密码工作的绝对领导,是在任何一个时间里、任何情况下都必须毫不动摇坚持的根本原则。《密码法》规定,坚持中国对密码工作的领导,旗帜鲜明地把党管密码这一根本原则写入法律。党的密码工作创建于1930年,一直由党中央直接领导和管理,党管密码原则是密码工作长期实践和历史经验的深刻总结,是密码工作最重要、最根本、最核心的要求。
坚持党的绝对领导,大多数表现在:一是密码工作的重大事项向中央报告,密码工作的重大决策由中央决定。二是坚决贯彻执行中央关于密码工作的方针政策,落实中央确定的密码工作领导和管理体制。三是充分的发挥党的领导核心作用,各级党委(党组)和密码工作领导机构要认真履行党管密码的政治责任。
《密码法》明确规定,中央密码工作领导机构,即中央密码工作领导小组,对全国密码工作实行统一领导,把中央确定的密码工作领导体制,通过法律形式固化下来,为密码工作沿着正确方向发展提供根本保证。中央密码工作领导小组统一领导全国密码工作,负责制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。
根据密码工作依法管理的需要,参考其他工作领域管理体制改革发展的经验,《密码法》明确了密码工作管理体制,包括两个方面的内容:一是国家、省、市、县四级密码工作管理体制,二是国家机关和涉及密码工作的单位的密码工作职责。
国家密码管理部门是指国家密码管理局。为更好地履行对全国的密码管理职能,2005年1月,中央机构编制委员会批准成立国家密码管理局。2008年3月,国家密码管理局列入国务院部委管理的国家局序列。2018年3月,《国务院关于部委管理的国家局设置的通知》(国发〔2018〕7号)明确规定,国家密码管理局与中央密码工作领导小组办公室,一个机构两块牌子,列入中央直属机关的下属机构序列。
国家密码管理局的主要职责是:组织贯彻落实党和国家关于密码工作的方针政策和法律和法规,研究提出解决密码工作发展中重大问题的建议;拟订密码工作发展规划,起草密码工作法规并负责密码法规的解释,组织拟订密码有关标准;依法履行密码行政管理职能,管理密码科研、生产、装备(销售)、检测认证及使用,查处密码泄密事件和违法违规研制、使用密码行为,负责有关密码的涉外事宜;对密码工作机构实施业务领导;负责网络与信息系统中密码保障体系的规划和管理,规划、建设和管理国家密码基础设施;指导密码专业教育和密码学术交流,组织密码专业人才教育培训,对高等院校、科研机构、学术团体开展密码基础理论与应用技术探讨研究、交流进行指导;承办中央密码工作领导小组的日常工作。
县级以上地方各级密码管理部门是指省(自治区、直辖市)、市(地、州、盟)、县(市、区、旗)密码管理局。为规范和加强密码管理部门的行政管理职能,《密码法》明确了国家、省、市、县四级分级负责的密码工作管理体制,赋予了国家、省、市、县四级密码管理部门行政管理职责,从体制机制上为密码管理部门依法履行密码管理职能提供了坚实的法治保障。
各级密码管理部门要认真贯彻落实《密码法》的明确要求,依法确立行政主体地位,全面履行《密码法》赋予的行政管理职能,加快建立权力清单、责任清单和负面清单,完善监督执法机制,规范执法方式,推动管理职能转变和管理方式创新,自觉做到“职权法定”、“权依法使”。
国家机关和涉及密码工作的单位根据工作需要,承担对应的密码工作职责,是密码工作管理体制的重要组成部分。国家机关是指中央、省、市、县各级国家机关。涉及密码工作的单位是指除国家机关以外,承担密码管理职责的企业和事业单位等。这些机关、单位在其职责范围内负责本机关、本单位或本系统的密码工作。
