2019年10月26日,《中华人民共和国密码法》正式颁布,自2020年1月1日起实施。
关于《密码法》的颁布实施,以及相关条款涉及的内容,相信大家一定还有一些疑问。这次小编国小密特意就关注度比较高的问题,咨询了国家密码管理局负责人。现将有关问题分上、下两篇为大家解答。
问:请介绍一下密码法在商用密码管理方面的立法思路。
答:密码法在商用密码管理方面的立法思路主要有以下三个方面:
一是坚决贯彻落实“放管服”改革要求,充分体现非歧视和公平竞争原则,进一步削减行政许可数量,放宽市场准入,更好地激发市场活力和社会创造力。
二是由商用密码管理条例规定的全环节严格管理调整为重点把控产品销售、服务提供、使用、进出口等关键环节,管理方式上由重事前审批更多地转为事中事后监管,重视发挥标准化和检测认证的支撑作用。
三是对于关系国家安全和社会公共利益,又难以通过市场机制或者事中事后监督方式进行有效监管的少数事项,本法规定了必要的行政许可和管制措施。
问:为什么密码法要对涉及国家安全、国计民生、社会公共利益的商用密码产品实行强制性检测认证制度?
答:密码法按照“放管服”改革要求,取消了商用密码管理条例设定的“商用密码产品品种和型号审批”,改为对特定商用密码产品实行强制性检测认证制度,主要有三个方面的考虑:
一是该制度是维护国家安全和社会公共利益的需要。商用密码产品是一种专业技术性很强的特殊产品,广泛应用于国民经济和社会发展各领域,应用于关键信息基础设施,其质量与安全性直接关系国家安全和社会公共利益,需要通过检测认证的方式对其质量与安全性进行技术把关,规范商用密码产品市场准入。
二是该制度与网络安全法规定的网络关键设备和网络安全专用产品强制性检测认证制度是衔接一致的。涉及国家安全、国计民生、社会公共利益的商用密码产品作为网络关键设备和网络安全专用产品的一部分,依法列入网络关键设备和网络安全专用产品目录,由国家密码管理局会同国家网信办、国家认监委等部门共同制定目录,共同认定检测、认证机构,共同开展检测认证。
三是强制性检测认证实施范围有限。强制性检测认证制度仅适用于涉及国家安全、国计民生、社会公共利益的商用密码产品,并通过制定产品目录明确界定管理范围,不会对市场和产业构成不必要的限制。
问:为什么密码法要对使用网络关键设备和网络安全专用产品的商用密码服务实行强制性认证制度?
答:密码法设立该制度主要有两个方面的考虑:
一是该制度是维护国家安全和社会公共利益的需要。商用密码服务主要包括密码保障系统集成、运营、监理等,是一种专业技术性很强的特殊服务,广泛应用于国民经济和社会发展各领域,应用于关键信息基础设施,其质量与安全性直接关系国家安全和社会公共利益。由于密码功能实现的特殊性,网络关键设备和网络安全专用产品本身合格,并不意味着使用这些产品的商用密码服务就一定是安全的,需要通过认证的方式对其质量与安全性进行技术把关,规范商用密码服务市场准入。
二是强制性认证实施范围有限。强制性认证制度仅适用于使用网络关键设备和网络安全专用产品的商用密码服务,并通过制定服务目录明确界定管理范围,不会对市场和产业构成不必要的限制。
问:密码法对商用密码使用提出了什么要求?
答:密码法规定公民、法人和其他组织可以依法使用商用密码保护网络与信息安全,对一般用户使用商用密码没有强制性要求。由于商用密码属于两用物项,密码法明确规定,任何组织或者个人不得窃取他人的加密保护的信息或者非法侵入他人的密码保障系统,不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
同时,为了保障关键信息基础设施安全稳定运行,维护国家安全、社会公共利益,密码法要求关键信息基础设施必须使用商用密码进行保护并开展商用密码应用安全性评估,要求关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当通过国家网信办会同国家密码管理局等有关部门组织的国家安全审查。
问:为什么密码法要求关键信息基础设施使用商用密码进行保护,开展商用密码应用安全性评估?
答:密码法规定的关键信息基础设施商用密码使用要求是网络安全法规定的关键信息基础设施安全保护义务的重要组成部分。密码是保障网络与信息安全的核心技术和基础支撑。关系国家安全、国计民生、社会公共利益的关键信息基础设施,必须使用商用密码进行保护,而且使用的商用密码必须是合规、正确、有效的。如果不使用或者不正确使用商用密码进行保护,将严重威胁关键信息基础设施的安全稳定运行,威胁国家安全和社会公共利益。
因此,有必要对关键信息基础设施使用商用密码提出明确要求,有效保障关键信息基础设施安全。
建立完善商用密码应用安全性评估制度,对关键信息基础设施商用密码应用的合规性、正确性和有效性进行评估,对于有效规范密码应用,切实保障国家网络与信息安全,具有重要作用。商用密码应用安全性评估同时也是网络安全等级保护和关键信息基础设施安全保护制度的重要内容和技术手段。商用密码应用安全性评估与关键信息基础设施网络安全检测评估、网络安全等级测评在内容上有所区分,在实施中统筹考虑、协调开展,相互衔接。
问:为什么密码法要对涉及国家安全、社会公共利益等的商用密码实行进口许可和出口管制制度?
答:密码法设立商用密码进口许可和出口管制制度,主要有三个方面的考虑:
一是该制度是维护国家安全和社会公共利益的需要。商用密码是一把双刃剑,既可以用于合法的信息保护,也可能被用来从事违法犯罪活动,有必要对其实行进口许可和出口管制,维护国家安全和社会公共利益。
二是该制度符合世贸组织规则,也是国际通行做法。商用密码是国际公认的两用物项,对其实行进口许可和出口管制,符合世贸组织“安全例外”原则和我国对外贸易法的规定,也是国际通行做法。
三是该制度实施范围有限。进口许可制度仅适用于涉及国家安全、社会公共利益且具有加密保护功能的商用密码,出口管制制度仅适用于涉及国家安全、社会公共利益或者中国承担国际义务的商用密码,对大众消费类产品所采用的商用密码不实行进口许可和出口管制,并通过制定清单明确界定管理范围,不会对贸易造成影响。
问:为什么密码法要对采用商用密码技术从事电子政务电子认证服务的机构进行认定?
答:密码法设立该制度是维护国家安全和社会公共利益的需要。电子政务电子认证服务是一种专业技术性很强的特殊服务,直接服务于政务部门的政务活动,涉及范围广,敏感信息多,其质量与安全性直接关系国家安全和社会公共利益,有必要采取行政许可的方式对服务机构的电子政务电子认证服务能力进行评估,加强对建设、运维、应用和服务等各环节的行政监管和技术把关,确保其质量与安全性。
责任编辑: 常晓梅