《中華人民共和國密碼法(草案)》十三屆全國人大常委會第十四次會議26日下午表決通過,將自2020年1月1日起施行。密碼法旨在規範密碼應用和管理,促進密碼事業發展,保障網絡與信息安全,提升密碼管理科學化、規範化、法治化水平,是我國密碼領域的綜合性、基礎性法律。
曾經野蠻生長的密碼使用,即將迎來正規化。
《中華人民共和國密碼法(草案)》(以下簡稱密碼法草案)提請十三屆全國人大常委會二次審議。按照“放管服”改革要求,草案二審稿明確要求實行密碼“保密責任制”,並對商用密碼產品強制檢測認證制度、商用密碼應用安全性評估和國家安全審查制度等進行修改。草案二審稿還加入“安全風險評估”機制,並完善了與網絡安全法的銜接。
同時,為凸顯密碼工作中人才培養的重要性,密碼法草案二審稿將一審稿中位於第二章的人才隊伍培養、建設的內容移至總則。
“密碼是國之重寶,是國家的重要戰略資源,是保護網絡與信息安全的基礎、核心和支撐”,中國互聯網協會法治工作委員會副秘書長鬍鋼表示“它事關國家安全和核心利益,關乎網絡空間良好秩序,也關乎每一個人的財富、隱私和安寧。”
商用密碼制度鬆綁
密碼法草案一審稿將密碼分為核心密碼、普通密碼和商用密碼,並對密碼進行分類管理。核心密碼、普通密碼屬於國家秘密,核心密碼保護信息的最高密級為絕密級,普通密碼保護信息的最高密級為機密級。商用密碼用於保護不屬於國家秘密的信息。
有全國人大常委會組成人員提出,應明確對上述機構和部門的保密義務要求。對此,草案二審稿在第二十五條規定中增加一款作為第三款:商用密碼檢測、認證機構應當對其在商用密碼檢測認證中所知悉的國家秘密和商業秘密承擔保密義務。並在第三十一條規定中增加一款作為第二款:密碼管理部門和有關部門及其工作人員應當對在履行職責中知悉的商業秘密和個人隱私嚴格保密,不得洩露或者非法向他人提供。此外,草案一審稿第二十六條和第二十七條規定了對商用密碼產品強制檢測認證制度、商用密碼應用安全性評估和國家安全審查制度。由於《網絡安全法》中有類似規定,並且一些大型企業有能力對所運營的網絡自行進行安全性評估,草案二審稿將一審稿中的相關規定修改為“其運營者應當使用商用密碼進行保護,自行或者委託商用密碼檢測機構開展商用密碼應用安全性評估”。
同時,二審稿補充規定,“商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接,避免重複評估、測評”,完善了法律之間的銜接。“密碼法草案的重大突破之一,是給商用密碼行業‘制度鬆綁’
全國人大常委會法制工作委員會發言人臧鐵偉亦表示,密碼法立法主要是按照“放管服”改革要求,削減行政許可,放寬市場準入,進一步激發市場主體的活力和創造力。
他同時強調,密碼法草案有關許可和檢測認證體系相關規定,對於內外資企業、國內外產品和服務一視同仁,同等適用,同等保護外資企業的知識產權。密碼法草案不會歧視外資企業及外資企業的產品和服務,不會對投資和貿易構成任何限制。
密碼行業規範化
一方面是商用密碼制度鬆綁,另一方面,隨著密碼法出臺漸趨漸近,整個密碼行業也將迎來規範化。
在互聯網時代,個人用戶幾乎每天都要與密碼打交道——手機和電腦開機、登錄郵箱、微信、使用銀行卡存取款、電子支付……不過,它與密碼法草案中規定的“密碼”尚有區別。
普通人接觸到且常用的“密碼”多是自我設定的數字字母組合,而密碼法草案將“密碼”界定為“指使用特定變換對信息等進行加密保護或者安全認證的產品、技術和服務”,即法律意義下的“密碼”內涵更為精準,外延更為寬泛,展現更為繽紛。
密碼的主要功能有兩個:一個是加密保護,另一個是安全認證。國家密碼管理局局長李兆宗曾表示,密碼在我國各個歷史時期,都發揮了不可替代的重要作用。密碼工作面臨著許多新的機遇和挑戰,擔負著更加繁重的保障和管理任務,制定一部密碼領域綜合性、基礎性法律,十分必要。“密碼法中多次提到密碼服務,並提出對提供密碼服務的企業進行許可和認定。”密碼法的相關條文,對促進、規範密碼服務市場的發展,具有重要作用。
閱讀更多 蘭州城關政法反邪教 的文章
