2019年7月5日,全国人大常委会经过审议正式发布《密码法(草案)》(简称“《草案》”),并启动征求意见程序。国家密码管理局局长李兆宗受国务院委托,在审阅会议上对《草案》作出说明。
密码作为保障网络与信息安全的核心技术和基础支撑,是解决安全问题最有效、最可靠、最经济的手段。特别是商用密码,广泛应用于国民经济发展和社会生产生活方方面面,涵盖通信、能源、金融、交通、税务、卫生健康、电子政务等重要领域[1],堪比维护网络与信息安全的“守夜人”。
根据“核心密码、普通密码、商用密码”的三级分类,《草案》制定了系统的监管框架,并对密码的科研、生产、销售、使用以及配套服务、检测认证、进出口等方面,提出了明确的法律义务和要求。面对“密码法时代”即将开启的大门,本文将对《草案》进行多方位解读,为读者梳理这一密码领域基础性法律的监管重点。
一、密码就是“123456”吗
《草案》所规定的密码,是指使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。换言之,密码法所规定的密码具有两类功能,一是加密保护,二是安全认证,并且不仅针对密码产品本身,还包括加密技术、加密服务等。
生活中常见的诸如一串数字或字母的登录密码、开机密码、银行卡密码等,本质上是用于身份认证的“口令”,是一种最简单、最初级的加密保护形式。
二、密码的三级分类:核心密码、普通密码、商用密码
《草案》提出了密码分类保护的原则要求,核心密码、普通密码用于保护国家秘密信息,由密码管理部门依法实行严格统一管理,商用密码用于保护不属于国家秘密的信息。三类密码保护信息的具体范围各有不同(如下图所示),具体而言:
1.核心密码保护信息的最高密级为绝密级,
2.普通密码保护信息的最高密级为机密级;
3.商用密码保护不属于国家秘密的信息,公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。
(密码三级分类示意图)
三、密码法与其他法律法规的关系
早于2017年4月,国家密码管理局就已公布《密码法(草案征求意见稿)》(简称“《意见稿》”),其后由司法部牵头就《意见稿》广泛征求各地各部门意见,并与国家密码管理局会同中央网信办、工信部、商务部等单位沟通协调,历经两年修改,最终形成本次的《草案》。
虽然《草案》尚未正式生效,我国密码领域的法律体系已具备初步框架:第一,《草案》将成为密码领域的综合性、基础性法律;第二,《国家安全法》等法律中包含的有关技术限制的规定,尽管并非专门针对密码技术,但同样可以适用于密码管理领域,《草案》与这些法律的规定有充分的衔接;第三,国务院与国家密码管理局制定了一系列的行政法规与部门规章;第四,国家密码管理局牵头制定了大量应用于密码领域的国家标准。
四、密码工作的领导与管理机构
《草案》第四条规定了密码工作的领导、决策机构:中央密码工作领导机构——即中央密码工作领导小组,对全国密码工作实行统一领导。同时,《草案》第五条明确了密码工作的管理部门和级别,即“密码管理部门管区域、涉密单位管内部”:
1. 国家密码管理部门负责管理全国的密码工作——即国家密码管理局;
2. 县级以上地方各级密码管理部门负责管理本行政区域的密码工作——如上海市密码管理局、深圳市密码管理局;
3. 国家机关和涉及密码的单位在其职责范围内负责本机关、本单位或者本系统的密码工作——如各级政府机关、军队、涉及国家秘密的企事业单位等。
根据2018年3月22日国务院发布的《国务院关于部委管理的国家局设置的通知》[2],国家密码管理局与中央密码工作领导小组办公室,一个机构两块牌子,列入中共中央直属机关的下属机构序列。
五、核心密码、普通密码的管理要求
根据《草案》对三类密码的分类管理要求,核心密码与普通密码的生产、使用、检测等程序应遵循一系列的规定。
1. 依据最高密级进行加密
在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当根据国家秘密信息的最高密级,依照规定使用核心密码、普通密码进行加密保护或者安全认证。
2. 密码工作机构的安全管理义务
核心密码、普通密码的科研、生产、检测、装备、使用和销毁单位(以下统称“密码工作机构”)应当按照法律、行政法规、国家有关规定以及国家密码管理部门的要求,建立健全安全管理制度,采取严格的保密措施,确保核心密码和普通密码的安全。
3. 重大安全问题报告义务
密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题的,应当立即采取应对措施,并及时向保密行政管理部门、密码管理部门报告,由保密与密码管理部门牵头组织调查、处置或者指导密码工作机构及时消除安全隐患。
六、商用密码的管理要求
商用密码是《草案》规定的三类密码中使用范围最广的一类,其科研、生产、销售、服务和进出口等程序,应当遵循《草案》的一系列规定。
1.商用密码的购买和使用
根据国家密码管理局于2005年12月发布的《商用密码产品生产管理规定》与《商用密码产品销售管理规定》,商用密码产品的生产与销售,需要经过行政审批。而《草案》取消了该审批要求,延续了2017年12月《国家密码管理局关于废止和修改部分管理规定的决定》的规定。
2.商用密码标准化工作
国家密码管理部门有关单位,负责组织制定商用密码国家标准、行业标准,包含强制性与非强制性两种效力形式。同时,社会团体、企业可制定高于国家标准、行业标准的商用密码团体标准、企业标准。
3.商用密码检测认证制度
《草案》鼓励商用密码从业单位接受商用密码检测认证,提升市场竞争力。商用密码检测、认证机构应当依法取得相关资质。目前,取得《商用密码产品检测机构资质证书》的机构共两家,即国家商用密码检测中心、鼎铉商用密码测评技术(深圳)有限公司。根据《草案》的要求:
1)对于一般的商用密码从业单位,可自愿接受商用密码检测认证;
2)对于列入《网络关键设备和网络安全专用产品目录》(定期更新)”的商用密码产品,以及用于网络关键设备和网络安全专用产品的商用密码服务,应当经过商用密码认证、检测机构的强制性安全认证或检测,达到合格后方可销售或提供。
4.商用密码的进口许可与出口管制制度
根据《草案》的规定,商务部、国家密码管理局对涉及国家安全、社会公共利益且具有加密保护功能的商用密码(不包括大众消费类产品所采用的商用密码),实施进口许可、出口管制制度。这一规定与国务院制定的《商用密码管理条例》相衔接,为实践中的进出口审批许可提供了法律基础,具体而言包括:
1)从境外进口商用密码,须向国家密码管理局申请办理《密码产品和含有密码技术设备进口许可证》,持证向海关办理通关手续,海关凭证验放。
2)向境外出口商用密码,须向国家密码管理局申请办理《商用密码产品出口许可证》,持证向海关办理通关手续,海关凭证验放。
七、商用密码与关键信息基础设施、等级保护制度的衔接
1.关键信息基础设施的商用密码要求
《关键信息基础设施安全保护条例(征求意见稿)》要求,关键信息基础设施中的密码使用和管理,还应当遵守密码法律法规的规定,而《草案》正好与此相衔接。
1) 对于依法应当使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,开展商用密码应用安全性评估。实践中,《GM/T 0054-2018信息系统密码应用基本要求》已被很多企业用于商用密码合规性评估,俗称“密评”。
2) 对于关键信息基础设施的运营者和国家机关,其采购、使用涉及商用密码的网络产品和服务,可能影响国家安全的,应当通过国家网信部门与国家密码管理局组织的国家安全审查。
2.等级保护制度的商用密码要求
根据《网络安全等级保护条例(征求意见稿)》的规定,对于安全保护等级为第三级以上的网络,应在网络规划、建设和运行阶段,委托密码应用安全性测评机构开展密码应用安全性评估,通过评估后方可上线运行。并且,该网络在上线后必须采用密码保护,使用国家密码管理部门认可的密码技术、产品和服务。这些规定与《草案》分级分类管理的思路相吻合。
八、法律责任
《草案》作为密码领域的基本法律,对密码的销售、使用、管理、保密安全、检测认证、安全审查、进出口、电子政务电子认证等方面,均制定了详细的法律责任,详见下表的总结。
九、结语
总体而言,《草案》的各项规定较为完整,全面建立起我国密码监管的法律框架。同时,《草案》的若干细节规定仍较为模糊,例如:
1.《草案》规定,对于关键信息基础设施的运营者和国家机关,其采购、使用涉及商用密码的网络产品和服务,可能需要进行国家安全审查,但是《草案》并未明确,该审查是否与国家网信办制定的《网络安全审查办法(征求意见稿)》中所指的国家安全审查为同一程序;
2.对于大众消费类产品所采用的商用密码,《草案》规定可不实施进口许可与出口管制,但《草案》没有明确“大众消费类产品所采用的商用密码”的内涵和外延,例如是否包括境外游客携带入境的自用商用密码产品。
《草案》自发布之日起向社会征求意见,截至2019年9月2日止。在未来的立法审议中,是否会对上述问题进行明确规定,以及是否会出台相应的配套细则,值得相关企业密切关注。
注释:
[1] 国家密码管理局:十三届全国人大常委会第十一次会议,首次审议密码法(草案),参见:http://www.oscca.gov.cn/sca/xwdt/2019-07/05/content_1051372.shtml
[2] 《国务院关于部委管理的国家局设置的通知》(国发〔2018〕7号),参见:http://www.gov.cn/zhengce/content/2018-03/24/content_5277123.htm
