密码法二审稿加入“安全风险评估” 商用密码将迎来“黄金时代”
曾经野蛮生长的密码使用,即将迎来正规化。
10月21日,《中华人民共和国密码法(草案)》(以下简称密码法草案)提请十三届全国人大常委会二次审议。按照“放管服”改革要求,草案二审稿明确要求实行密码“保密责任制”,并对商用密码产品强制检测认证制度、商用密码应用安全性评估和国家安全审查制度等进行修改。草案二审稿还加入“安全风险评估”机制,并完善了与网络安全法的衔接。
同时,为凸显密码工作中人才培养的重要性,密码法草案二审稿将一审稿中位于第二章的人才队伍培养、建设的内容移至总则。
“密码是国之重宝,是国家的重要战略资源,是保护网络与信息安全的基础、核心和支撑”,在向21世纪经济报道记者解读密码法草案时,中国互联网协会法治工作委员会副秘书长胡钢表示,“它事关国家安全和核心利益,关乎网络空间良好秩序,也关乎每一个人的财富、隐私和安宁。”
商用密码制度松绑
据了解,密码法草案一审稿将密码分为核心密码、普通密码和商用密码,并对密码进行分类管理。核心密码、普通密码属于国家秘密,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。商用密码用于保护不属于国家秘密的信息。
21世纪经济报道记者梳理发现,此前,密码法草案一审稿第三章规定了商用密码的主要制度,其第二十五条和第三十一条分别对商用密码检测、认证机构的职能和密码管理部门的监管职权作了规定。
规定指出,商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范和规则,开展商用密码检测认证。密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台。
有全国人大常委会组成人员提出,应明确对上述机构和部门的保密义务要求。对此,草案二审稿在第二十五条规定中增加一款作为第三款:商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。并在第三十一条规定中增加一款作为第二款:密码管理部门和有关部门及其工作人员应当对在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。
此外,草案一审稿第二十六条和第二十七条规定了对商用密码产品强制检测认证制度、商用密码应用安全性评估和国家安全审查制度。由于《网络安全法》中有类似规定,并且一些大型企业有能力对所运营的网络自行进行安全性评估,草案二审稿将一审稿中的相关规定修改为“其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估”。
同时,二审稿补充规定,“商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评”,完善了法律之间的衔接。
“密码法草案的重大突破之一,是给商用密码行业‘制度松绑’,”胡钢向21世纪经济报道记者解释道,“它令行业从固态僵化的全环节许可管理制度,一举改革为促进导向、标准牵引、特类规管的法治模式,使全行业迎来久违的春日甘霖,进入到‘黄金时代’。”
全国人大常委会法制工作委员会发言人臧铁伟亦表示,密码法立法主要是按照“放管服”改革要求,削减行政许可,放宽市场准入,进一步激发市场主体的活力和创造力。
他同时强调,密码法草案有关许可和检测认证体系相关规定,对于内外资企业、国内外产品和服务一视同仁,同等适用,同等保护外资企业的知识产权。密码法草案不会歧视外资企业及外资企业的产品和服务,不会对投资和贸易构成任何限制。
密码行业规范化
一方面是商用密码制度松绑,另一方面,随着密码法出台渐趋渐近,整个密码行业也将迎来规范化。
在互联网时代,个人用户几乎每天都要与密码打交道——手机和电脑开机、登录邮箱、微信、使用银行卡存取款、电子支付……不过,它与密码法草案中规定的“密码”尚有区别。
胡钢向21世纪经济报道记者解释道,普通人接触到且常用的“密码”多是自我设定的数字字母组合,而密码法草案将”密码”界定为“指使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务”,即法律意义下的“密码”内涵更为精准,外延更为宽泛,展现更为缤纷。
据了解,密码的主要功能有两个:一个是加密保护,另一个是安全认证。国家密码管理局局长李兆宗曾表示,密码在我国各个历史时期,都发挥了不可替代的重要作用。密码工作面临着许多新的机遇和挑战,担负着更加繁重的保障和管理任务,制定一部密码领域综合性、基础性法律,十分必要。
“密码法中多次提到密码服务,并提出对提供密码服务的企业进行许可和认定。”作为数字密码行业多年从业者,北京数字认证股份有限公司总经理林雪焰向21世纪经济报道记者表示,“从传统单一的密码产品交付,演进到密码服务,以及结合密码产品和密码服务的综合解决方案,是密码行业发展的重要趋势。密码法的相关条文,对促进、规范密码服务市场的发展,具有重要作用。”
“期待密码法能够进一步深入贯彻总体国家安全观,坚持以人民为中心发展思想,强化与《网络安全法》《保守国家秘密法》《电子签名法》《电子商务法》等有关法律的协调与衔接,坚持‘技术中立’原则,适度扩大密码领域改革开放的力度与广度,全力推动建设密码强国建设。”胡钢表示。
(文章来源:中国电子银行网)
注:内容均来源于互联网,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。