2024年3月4日发(作者:)
根据工作安排,今天由我来向大家宣讲密码法。十三届全国人大常委会第十四次会议于2019年10月26日表决通过《中华人民共和国密码法》(以下简称《密码法》),将自2020年1月1日起施行,这是我国密码领域首部综合性、基础性法律,标志着我国在密码的应用和管理等方面有了专门性的法律保障。
一、 需要讲清的几个问题。
在正式宣讲前,我想和大家一起来搞清楚几个问题:首先是搞清楚什么是密码?其次要明白密码的作用有哪些?最后要知道为什么要制定密码法?搞清楚这几个问题后,我在跟大家一起学习《密码法》。
(一)什么是密码?
密码一词源于源于希腊语kryptós和gráphein,表示“隐藏的”和“书写”的意思。密码是一门科学,有着悠久的历史,最早在古希腊与波斯帝国的战争中就被用于传递秘密消息。
现实生活中提到“密码”一词,人们通常以为就是每天接触的手机开机“密码”、电子邮箱登录“密码”、微信“密码”、银行卡支付“密码”等。实际上,生活中的这些“密码”只是进入个人手机、电子邮箱或者个人银行账户的“口令”、“通行证”,是一种简单、初级的身份认证手段,严格意义讲这都不算是密码,因为它不是本来意义上的"加密代码",但是也可以称为秘密的号码。
1
在我国的《辞海》(1999年版)中对密码是这样释意的:“按特定法则编成,用以对通信双方的信息进行明密变换的符号”。换而言之,密码是隐蔽了真实内容的符号序列。就是把用公开的、标准的信息编码表示的信息通过一种变换手段,将其变为除通信双方以外其他人所不能读懂的信息编码,这种独特的信息编码就是密码。
在百度百科和360百科中这样解释到:密码是一种用来混淆的技术,把用公开的、标准的信息编码表示的信息通过一种变换手段,将其变为除通信双方以外其他人所不能读懂的信息编码,这种独特的信息编码就是密码。
《密码法》中的密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。它的主要功能有两个:一是加密保护,二是安全认证。前者是指将原来可读的信息变成不能识别的符号序列,后者是指确认主体和信息的真实可靠性。
(二)密码的作用
随着计算机和信息技术的发展,密码技术的发展也非常迅速,应用领域不断扩展,密码的应用也不再只局限于为军事、外交斗争服务,它也广泛应用在社会和经济活动。
一是从技术层面来看。密码的作用:信息加密,身份识别,数字验证,信息完整性,信息不可否认性。(需要对每个作用进行口头解释)
二是从应用层面来看。当今世界已经出现了密码应用的社会化和个人化趋势。1.将密码技术应用在电子商务中,对2
网上交易双方的身份和商业信用进行识别,防止网上电子商务中的“黑客”和欺诈行为;2.应用于增值税发票中,可以防伪、防篡改,杜绝了各种利用增值税发票偷、漏、逃、骗国家税收的行为,并大大方便了税务稽查;3.应用于银行支票鉴别中,可以大大降低利用假支票进行金融诈骗的金融犯罪行为;4.应用于个人移动通信中,大大增强了通信信息的保密性等等。
三是从政治军事层面来看。在近代和现代战争中,传递情报和指挥战争均离不开密码,外交斗争中也离不开密码。密码在政治军事领域主要用于传递政党、军队和政府的秘密信息。我们党的密码工作诞生于烽火硝烟的1930年1月,是毛泽东、周恩来等老一辈无产阶级革命家亲自领导创建的,已经走过了近90年的光辉历程。在指挥四渡赤水、组织解放战争三大战役、领导抗美援朝战争等过程中,党中央通过密码通信这一重要渠道洞悉态势,运筹帷幄,决胜千里。仅在指挥三大战役期间,毛泽东同志就亲自起草密码电报197份,批签密码电报上千份。因此我们党对于密码工作的重要性有着清醒的认识。
(三)为什么要制定《密码法》
国家密码管理局局长李兆宗表示“密码在我国各个历史时期,都发挥了不可替代的重要作用。密码工作面临着许多新的机遇和挑战,担负着更加繁重的保障和管理任务,制定一部密码领域综合性、基础性法律,十分必要。”
3
一是密码是国家重要战略资源必须用法律来保护。战略资源是指对战争全局起重要作用的人力资源、自然资源和人工资源的统称。密码技术、核技术和航天技术被称为是国家重要战略资源。密码是保障网络与信息安全的核心技术和基础支撑,直接关系国家政治安全、经济安全、国防安全和信息安全,因此十分有必要制定一部法律来保护密码。
二是密码应用普遍性要求必须有法律来规范密码应用。近年来密码在维护国家安全、促进经济社会发展、保护人民群众利益方面发挥越来越重要的作用,国家对重要领域商用密码的应用、基础支撑能力的提升以及安全性评估、审查制度等不断提出明确要求,传统对商用密码实行全环节许可管理的手段已不适应职能转变和“放管服”改革要求,亟需在立法层面重塑现行商用密码管理制度,上升为法律规范。
三是为使密码发展更好地服务经济社会发展。新时代密码工作面临许多新的机遇和挑战,担负更加繁重的保障和管理任务。1.制定密码法,能更好地促进密码产业发展,营造良好市场秩序,为社会提供更多优质高效的密码,充分发挥密码在网络空间中信息加密、安全认证等方面的重要作用。2.制定密码法,能将国家对关键信息基础设施商用密码的应用要求及时上升为法律规范,并对现行商用密码管理制度作出调整,切实为企业松绑减负,促进密码科技进步和创新,促进密码产业健康发展。3.制定密码法,将大大提升密码管4
理科学化、规范化、法治化水平,有力促进密码技术进步、产业发展和规范应用,切实维护国家安全、社会公共利益以及公民、法人和其他组织的合法权益。
二、《密码法》的主要内容
密码法设置了“总则”、“核心密码、普通密码”、“商用密码”、“法律责任”及“附则”五章,共44条。现在我和大家一起进行全文学习,之后在做解读。
第一章 总则
第一条 为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定本法。
第二条 本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
第三条 密码工作坚持总体国家安全观,遵循统一领导、分级负责,创新发展、服务大局,依法管理、保障安全的原则。
第四条 坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导,制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。
第五条 国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密5
码工作。国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。
第六条 国家对密码实行分类管理。密码分为核心密码、普通密码和商用密码。
第七条 核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。
第八条 商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
第九条 国家鼓励和支持密码科学技术研究和应用,依法保护密码领域的知识产权,促进密码科学技术进步和创新。国家加强密码人才培养和队伍建设,对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。
第十条 国家采取多种形式加强密码安全教育,将密码安全教育纳入国民教育体系和公务员教育培训体系,增强公民、法人和其他组织的密码安全意识。
第十一条 县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级财政预算。
6
第十二条 任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
第二章 核心密码、普通密码
第十三条 国家加强核心密码、普通密码的科学规划、管理和使用,加强制度建设,完善管理措施,增强密码安全保障能力。
第十四条 在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。
第十五条 从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构(以下统称密码工作机构)应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全。
第十六条 密码管理部门依法对密码工作机构的核心密码、普通密码工作进行指导、监督和检查,密码工作机构应当配合。
7
第十七条 密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。
密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的,应当立即采取应对措施,并及时向保密行政管理部门、密码管理部门报告,由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置,并指导有关密码工作机构及时消除安全隐患。
第十八条 国家加强密码工作机构建设,保障其履行工作职责。
国家建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。
第十九条 密码管理部门因工作需要,按照国家有关规定,可以提请公安、交通运输、海关等部门对核心密码、普通密码有关物品和人员提供免检等便利,有关部门应当予以协助。
第二十条 密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度,对其工作人员遵守法律和纪8
律等情况进行监督,并依法采取必要措施,定期或者不定期组织开展安全审查。
第三章 商用密码
第二十一条 国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。
各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。
商用密码的科研、生产、销售、服务和进出口,不得损害国家安全、社会公共利益或者他人合法权益。
第二十二条 国家建立和完善商用密码标准体系。
国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。
国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
9
第二十三条 国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。
国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
第二十四条 商用密码从业单位开展商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。
国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。
第二十五条 国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。
商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。
商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。
第二十六条 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售10
或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。
商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
第二十八条 国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。
大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
11
第二十九条 国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。
第三十条 商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。
第三十一条 密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督。
密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。
第四章 法律责任
第三十二条 违反本法第十二条规定,窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的,由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。
12
第三十三条 违反本法第十四条规定,未按照要求使用核心密码、普通密码的,由密码管理部门责令改正或者停止违法行为,给予警告;情节严重的,由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
第三十四条 违反本法规定,发生核心密码、普通密码泄密案件的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
违反本法第十七条第二款规定,发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未立即采取应对措施,或者未及时报告的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
第三十五条 商用密码检测、认证机构违反本法第二十五条第二款、第三款规定开展商用密码检测认证的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款;情节严重的,依法吊销相关资质。
13
第三十六条 违反本法第二十六条规定,销售或者提供未经检测认证或者检测认证不合格的商用密码产品,或者提供未经认证或者认证不合格的商用密码服务的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。
第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第三十八条 违反本法第二十八条实施进口许可、出口管制的规定,进出口商用密码的,由国务院商务主管部门或者海关依法予以处罚。
14
第三十九条 违反本法第二十九条规定,未经认定从事电子政务电子认证服务的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款。
第四十条 密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的,依法给予处分。
第四十一条 违反本法规定,构成犯罪的,依法追究刑事责任;给他人造成损害的,依法承担民事责任。
第五章 附则
第四十二条 国家密码管理部门依照法律、行政法规的规定,制定密码管理规章。
第四十三条 中国人民解放军和中国人民武装警察部队的密码工作管理办法,由中央军事委员会根据本法制定。
第四十四条 本法自2020年1月1日起施行。
三、《密码法》内容解读
(一)密码法解读应注意以下两点
一是学习掌握密码法应把握以下原则。密码法立法既注意总结我国密码管理中形成的一系列好传统、好经验、好做15
法,又适应新情况、新问题、新挑战,改革重塑了现行相关管理制度,体现了继承发展、守正创新精神。①坚持党管密码和依法管理相统一。党管密码原则是密码工作长期实践和历史经验的深刻总结,密码工作大权在党中央,密码工作大政方针必须由党中央决定,密码工作重大事项必须向党中央报告。密码法规定,坚持中国共产党对密码工作的领导,旗帜鲜明地把党管密码这一根本原则写入法律,同时明确中央密码工作领导机构统一领导全国密码工作,这是密码法最根本性的规定。随着全面依法治国基本方略的深入实施,依法管理已经成为党管密码的基本方式和内在要求。只有坚持党管密码,才能保证密码管理沿着正确的方向不偏离、不走样。只有依靠依法管理,才能将党管密码的具体制度纳入法治化轨道。②坚持创新发展和确保安全相统一。安全是发展的前提,发展是安全的保障。密码法依法确立了促进密码事业发展的一系列制度措施,努力为密码科技创新、产业发展和应用推广营造良好环境。同时要看到,密码作为一种典型的“两用物项”,用得好会造福社会,用得不好或者被坏人利用,就可能给党和国家利益带来不可估量的损失。因此,密码法明令禁止任何组织或者个人窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。③坚持简政放权和加强监管相统一。党的十九大报告指出,转变政府职能,深化简政放权,创新监管方式。密码法明确了密码分类管理原则,规定核心密码、普通密码用于保护国家秘密16
信息,由密码管理部门实行严格统一管理。在商用密码管理方面,充分体现职能转变和“放管服”改革要求,充分体现非歧视原则,大幅削减行政许可事项,进一步放宽市场准入,对国内外产品、服务以及内外资企业一视同仁,规范和加强事中事后监管,切实为商用密码从业单位松绑减负。
二是要理清内容编排思路。整部密码法是围绕“怎么用密码、谁来管密码、怎么管密码”的思路来编排的。①核心密码、普通密码部分,深入贯彻总体国家安全观,将密码使用、安全保密、监督检查、协同联动等现行有效的基本制度、特殊管理政策及保障措施法治化,明确由密码管理部门实行严格统一管理。规定了核心密码、普通密码的主要管理制度,包括核心密码、普通密码使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施。②在商用密码部分,规定了商用密码的主要制度,包括商用密码的标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。充分体现职能转变和“放管服”改革要求,以及非歧视、公开透明、自由贸易和公平竞争原则,大幅削减行政许可事项,进一步放宽市场准入,规范和加强事中事后监管,切实为商用密码从业单位松绑减负,对国内外产品、服务以及内外资企业一视同仁、同等适用。同时,重视发挥密码标准引领作用和检测认证支撑作用,对于涉及国家安全、国计民生、社会公共利益又难以通过市场机制或者事中事后监督方式进行有效监管的少数17
事项,规定了必要的行政许可和管制措施,由此实现了对商用密码管理制度的科学重塑。③在法律责任部分,规定了违反本法相关规定应当承担的相应法律后果,为处理好与网络安全法、保守国家秘密法等有关法律的关系,作出衔接性规定。首先在商用密码管理和相应法律责任设定方面与网络安全法的有关制度,如强制检测认证、安全性评估、国家安全审查等作了衔接;其次,鉴于核心密码、普通密码属于国家秘密,在核心密码、普通密码的管理方面与保守国家秘密法作了衔接。
(二)密码法的主要内容解读
一是总则的解读
总则里规定了制定密码法的目的意义,明确了密码法的定义和密码工作的主要原则,以及密码的管理体系,并对密码进行分类,对每类密码的范围给出了明确的定义,表明了国家支持密码科研,对突出贡献的给予奖励。此外,还规范了密码的教育、经费保障、使用方式和使用范围等问题。
1.目的意义:为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。
2.密码的定义:密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
3.密码工作的原则:密码工作坚持总体国家安全观,遵循统一领导、分级负责,创新发展、服务大局,依法管理、18
保障安全的原则。
4.密码的分类:密码分为核心密码、普通密码和商用密码。分类的目的是为了便于管理。明确了每类密码的用途。
5.密码的领导管理体系:坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导,制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。
6.密码科研:国家鼓励和支持密码科学技术研究和应用,依法保护密码领域的知识产权,促进密码科学技术进步和创新。国家加强密码人才培养和队伍建设,对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。
7.密码安全教育:国家采取多种形式加强密码安全教育,将密码安全教育纳入国民教育体系和公务员教育培训体系,增强公民、法人和其他组织的密码安全意识。
8.经费保障体系:县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级财政预算。
9.密码的使用范围:任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。任何组织19
或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
二是核心密码、普通密码解读
这一章从13条到20条,共8条,主要明确有关核心密码和普通密码的相关内容,下面从以下几个方面进行解读:
1.解决了谁管谁用的问题:国家加强核心密码、普通密码的科学规划、管理和使用,加强制度建设,完善管理措施,增强密码安全保障能力。
2.规定了使用范围:在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。
3.定义了密码工作机构:从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构(以下统称密码工作机构)
4.规定了密码工作机构职责:应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全。
5.明确了密码管理部门的工作范围:密码管理部门依法对密码工作机构的核心密码、普通密码工作进行指导、监督和检查。
20
6.明确了密码管理部门和密码工作机构的关系:密码工作机构配合密码管理部门工作。
7.明确了密码管理部门和密码工作机构在核心密码和普通密码风险管理中的职责和工作:
密码管理部门:根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。
密码工作机构:密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的,应当立即采取应对措施,并及时向保密行政管理部门、密码管理部门报告,由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置,并指导有关密码工作机构及时消除安全隐患。
8.明确了密码工作机构建设问题。
国家加强密码工作机构建设,保障其履行工作职责。
9.明确了密码工作人员问题。
要建立从录用到退出的整套机制:国家建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。
确保人员忠实可靠:密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度,对其工作人员遵守法21
律和纪律等情况进行监督,并依法采取必要措施,定期或者不定期组织开展安全审查。
10.为确保安全明确关于运输中相关问题。
密码管理部门因工作需要,按照国家有关规定,可以提请公安、交通运输、海关等部门对核心密码、普通密码有关物品和人员提供免检等便利,有关部门应当予以协助。
三是商用密码的解读
这一章从21条到31条,共11条,主要明确有关商用密码的相关内容,下面从以下几个方面进行解读:
1.国家支持商用密码发展,但是前提是不得损害国家安全、社会公共利益或者他人合法权益。国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。商用密码的科研、生产、销售、服务和进出口,不得损害国家安全、社会公共利益或者他人合法权益。
22
2.商用密码国家标准和行业标准,由国务院标准化行政主管部门和国家密码管理部门,支持在使用过程中高于国家标准。国家建立和完善商用密码标准体系。国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
3.明确了中国标准与国际标准的问题。国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
4.规定了商用密码从业单位的行为要求。商用密码从业单位开展商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。
5.规定了商用密码检测认证的相关问题。国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。商用密码检测、认证机构应当依法取得相23
关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。
6.明确了关键基础设施要使用商用密码进行保护。法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
24
7.规定了商用密码的进出口问题。国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
8.明确了商用密码在政务中的使用问题。国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。
9.规定了商用密码行业协会的活动内容。商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。
10.明确了商用密码的监督管理问题。密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督。密码管理部门和有关部门及其工作人25
员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。
四是法规责任的解读
这一章从32条到41条,共10条,主要明确有关商用密码的相关内容,下面从以下几个方面进行解读:
1.规定哪些行为是违法犯罪。窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等活动违法,会受到相关处罚。
2.规定了在使用核心密码和普通密码过程中,哪些是违法行为,如何处罚,遇到特殊情况如何处置。①未按照要求使用核心密码、普通密码的,由密码管理部门责令改正或者停止违法行为,给予警告;情节严重的,由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。②发生核心密码、普通密码泄密案件的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。③发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未立即采取应对措施,或者未及时报告的,由保密行政管理部26
门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
3.明确了商用密码检测、认证机构违法的处理办法:①由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款;情节严重的,依法吊销相关资质。②销售或者提供未经检测认证或者检测认证不合格的商用密码产品,或者提供未经认证或者认证不合格的商用密码服务的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。③实施进口许可、出口管制的规定,进出口商用密码的,由国务院商务主管部门或者海关依法予以处罚。
4.明确了对关键基础设施运营者违法的处罚:①未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚27
款。②使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
5.明确了未经认定提供密码以服务的处罚:未经认定从事电子政务电子认证服务的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款。
6.明确了管理机构和人员违法的处罚:密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的,依法给予处分。
7.对于违法严重可以追求刑事责任和民事责任。违反本法规定,构成犯罪的,依法追究刑事责任;给他人造成损害的,依法承担民事责任。
以上就是我对密码法学习的心得体会,不足之处请大家批评指正,有问题欢迎大家下来交流。
28
