十三屆全國人大常委會第十四次會議2019年10月26日表決通過密碼法,將自2020年1月1日起施行,這標誌著我國在密碼的應用和管理等方面有了專門性的法律保障。密碼無處不在,密碼時時刻刻守衛著安全,關於密碼法,你應該知道這幾個問題。
一、什麼是密碼?
現實生活中提到“密碼”一詞,人們通常以為就是每天接觸的手機開機“密碼”、電子郵箱登錄“密碼”、微信“密碼”、銀行卡支付“密碼”等。實際上,生活中的這些“密碼”只是進入個人手機、電子郵箱或者個人銀行賬戶的口令、“通行證”,是一種簡單、初級的身份認證手段,是最簡易的密碼。
密碼法中的密碼,是指採用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務。它的主要功能有兩個:一個是加密保護,另一個是安全認證。前者是指將原來可讀的信息變成不能識別的符號序列,後者是指確認主體和信息的真實可靠性。
密碼可以按照不同的標準進行分類。按照保護信息的種類,可以將密碼分為核心密碼、普通密碼和商用密碼。
二、核心密碼、普通密碼和商用密碼分別指什麼?
核心密碼、普通密碼和商用密碼是按照要保護信息的種類來區分的。
核心密碼、普通密碼屬於國家秘密,用於保護國家秘密信息。核心密碼保護信息的最高密級為絕密級,普通密碼保護信息的最高密級為機密級,兩種密碼都由密碼管理部門依法實行嚴格統一管理。在有線、無線通信中傳遞的國家秘密信息,以及存儲、處理國家秘密信息的信息系統,應當依照法律、行政法規和國家有關規定使用核心密碼、普通密碼進行加密保護、安全認證。
商用密碼用於保護不屬於國家秘密的信息,公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全。國家鼓勵商用密碼技術的研究開發和應用,健全商用密碼市場體系,鼓勵和促進商用密碼產業發展,鼓勵從業單位自願接受商用密碼檢測認證。
三類密碼保護的對象不同,對其進行明確劃分,有利於確保密碼安全保密,有利於密碼管理部門根據不同信息等級和使用對象對密碼實行科學管理,充分發揮三類密碼在保護網絡與信息安全中的核心支撐作用。
三、為啥說密碼就像網絡空間的DNA?
密碼是保障網絡與信息安全的核心技術和基礎支撐,是解決網絡與信息安全問題最有效、最可靠、最經濟的手段。
密碼就像網絡空間的DNA,可以完整實現身份防假冒、信息防洩密、內容防篡改、行為抗抵賴等安全需求,依此構築起網絡信息系統免疫體系,實現從被動防禦向主動免疫轉變;
密碼就像信使,在網絡時代,主要依靠密碼算法和安全協議,解決人、機、物的身份標識和認證、信任傳遞、行為審計等問題,構建網絡信任體系,實現網絡價值傳遞;
密碼更像“撒手鐧”,直接關係國家政治安全、經濟安全、國防安全和信息安全,是保護黨和國家根本利益的戰略性資源,是國之重器。
尤其是商用密碼,廣泛應用於國民經濟發展和社會生產生活的方方面面。在金融領域,中國人民銀行、國家密碼管理局建立商用密碼與銀行業務全面融合的技術體系和標準體系,有效遏制了銀行卡偽造、網上交易身份仿冒等違法犯罪活動;在稅收領域,增值稅防偽稅控系統採用商用密碼技術保護涉稅信息,有效遏制了通過篡改發票票面信息進行偷稅、漏稅等違法犯罪活動;在社會管理領域,公安部已累計發放使用商用密碼芯片的第二代居民身份證超過18億張,有效杜絕了偽造、變造身份證等違法犯罪行為;除此之外,商用密碼還可以用於公民個人敏感信息、隱私和企業商業秘密的保護。
可以說,密碼在維護國家安全、促進經濟社會發展、保護公民、法人和社會組織合法權益方面發揮著重要作用。
四、為什麼要制定密碼法?
密碼是國家重要戰略資源,直接關係國家政治安全、經濟安全、國防安全和信息安全,制定一部密碼領域綜合性、基礎性法律,十分必要。
核心密碼和普通密碼維護國家安全方面的基本制度、密碼管理部門和密碼工作機構及其工作人員開展密碼工作的保障措施等,都需要通過國家立法予以明確。
近年來密碼在維護國家安全、促進經濟社會發展、保護人民群眾利益方面發揮越來越重要的作用,國家對重要領域商用密碼的應用、基礎支撐能力的提升以及安全性評估、審查制度等不斷提出明確要求,需要及時上升為法律規範。
傳統對商用密碼實行全環節許可管理的手段已不適應職能轉變和“放管服”改革要求,亟需在立法層面重塑現行商用密碼管理制度。
密碼法的出臺,將大大提升密碼管理科學化、規範化、法治化水平,有力促進密碼技術進步、產業發展和規範應用,切實維護國家安全、社會公共利益以及公民、法人和其他組織的合法權益。
五、密碼法怎樣保障和促進密碼的發展?
法案總則對核心密碼、普通密碼和商用密碼在發展促進和保障措施方面的共性內容作了規定。
規定國家鼓勵和支持密碼科學技術研究、交流,依法保護密碼知識產權,促進密碼科學技術進步和創新,建立密碼工作表彰獎勵制度(第九條)。
規定國家採取多種形式加強密碼安全教育,將密碼安全教育納入國民教育體系和公務員教育培訓體系,增強公民、法人和其他組織的密碼安全意識(第十條)。
規定縣級以上人民政府應當將密碼工作納入本級國民經濟和社會發展規劃,所需經費列入本級預算(第十一條)。
規定任何組織或者個人不得竊取或者非法侵入他人的加密信息或者密碼保障系統,不得利用密碼從事違法犯罪活動(第十二條)。
六、為什麼密碼法要對特定商用密碼產品、服務實行強制性檢測認證制度?
密碼法設立該制度,是維護國家安全和社會公共利益的需要。
商用密碼產品、服務是專業技術性很強的特殊產品和服務,廣泛應用於國民經濟和社會發展各領域,應用於關鍵信息基礎設施,其質量與安全性直接關係國家安全和社會公共利益,需要通過檢測認證的方式對其質量與安全性進行技術把關。
強制性檢測認證制度僅適用於涉及國家安全、國計民生、社會公共利益的商用密碼產品和使用網絡關鍵設備和網絡安全專用產品的商用密碼服務,並通過制定產品、服務目錄明確界定管理範圍,不會對市場和產業構成不必要的限制。
