密码工作作为党和国家的一项特殊重要工作,具有“命门”、“命脉”的地位,在我国革命、建设、改革各个历史时期,都发挥了不可替代的重要作用。2019年10月26日,十三届全国人大常委会第十四次会议高票通过了我国密码领域的综合性、基础性法律——《中华人民共和国密码法》(以下简称《密码法》)。这部法律贯彻总体国家安全观,健全密码工作领导和管理体制,在规范密码应用和管理、促进密码事业发展、保障网络与信息安全等方面建立了一整套制度,成为我国国家安全法律制度体系构建的重要环节。 本文将围绕贯彻落实总体国家安全观和构建国家安全法制体系建设,就密码工作的重要作用、《密码法》的重要意义,以及如何妥善处理维护国家安全与促进产业发展的关系等《密码法》中为人关注的几个问题进行解读。 一、密码工作对于国家安全各领域的重要作用 进入新时代,国家安全的内涵和外延根据总体国家安全观的要求有了很大拓展。2015年7月1日,十二届全国人大常委会第十五次会议通过了《中华人民共和国国家安全法》(以下简称《国家安全法》),在法律中明确确立了总体国家安全观要求,规定:“国家安全工作应当坚持总体国家安全观,以人民安全为宗旨,以政治安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托,维护各领域国家安全,构建国家安全体系,走中国特色国家安全道路。”密码工作直接关系各领域国家安全,特别是在维护政治安全、经济安全、网络安全等方面均具有重要作用。 第二,密码是维护网络与信息安全的基础手段。在网络和信息技术深度融入我国经济社会各个方面的背景下,网络与信息安全已成为关系国家安全和发展,关系人民群众切身利益的重大问题。《国家安全法》第二十五条明确提出:“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。”在网络时代、信息时代、数字时代,密码是解决网络与信息安全最有效、最可靠、最经济的手段,在保障信息的机密性、真实性、完整性和不可否认性上具有独特优势,是网络与信息安全的核心技术和基础支撑。网络数据保护、身份认证、访问控制、授权管理、责任认定等,都可以采用密码技术解决。特别是在大数据、人工智能和区块链技术不断发展的今天,密码技术对于网络安全的重要意义愈发凸显。习近平总书记近期明确提出:“要加快推动区块链技术和产业创新发展,积极推进区块链和经济社会融合发展。”密码技术正是区块链得以实现的基石,不论是数据存储的加密还是区块之间数据传输的完整性和不可篡改,归根结底都需要通过密码技术来实现。 第三,密码是维护其他各领域安全的重要手段。《国家安全法》还对军事安全、能源安全、经济安全、金融安全、科技安全、社会安全等领域提出了明确要求。在实现上述领域安全的过程中,密码技术都扮演了不可或缺的重要作用。例如,加强和规范银行业密码应用,发行带有密码技术的芯片银行卡,遏制银行卡伪造、网上交易身份仿冒,有力维护金融安全;采用密码技术构建增值税防伪税控系统,有效遏制通过篡改发票票面信息进行偷税、漏税等违法犯罪活动,维护国家经济安全;在第二代居民身份证中采用密码芯片,有效防止伪造、变造身份证,维护社会安全等。此外,《国家安全法》提出的关于完善资源能源安全保护措施、加强科技保密能力建设、加强金融基础设施和基础能力建设等要求,都离不开密码技术的应用。 二、《密码法》坚决落实维护国家安全的各项要求 2019年10月26日,十三届全国人大常委会第十四次会议通过了《中华人民共和国密码法》,习近平总书记签署主席令予以公布,《密码法》将自2020年1月1日起正式施行。《密码法》的颁布和实施,是新时代维护国家安全、构建国家安全法律制度体系的重要举措,从推动国家安全法治建设、加快国家密码事业的发展等方面,均具有重要意义。 第一,明确党管密码的基本原则,为发挥密码在保障国家安全方面的作用提供根本遵循。党管密码原则是密码工作长期实践和历史经验的深刻总结,密码工作大权在党中央,密码工作大政方针必须由党中央决定,密码工作重大事项必须向党中央报告。《密码法》规定,坚持中国共产党对密码工作的领导,旗帜鲜明地把党管密码这一根本原则写入法律,同时明确中央密码工作领导机构统一领导全国密码工作,这是《密码法》最根本性的规定。只有坚持党管密码,才能保证密码管理沿着正确的方向不偏离、不走样,才能真正发挥密码在维护国家安全中的效能。 第二,确立分类管理的基本原则,对核心秘密、普通密码实行从严依法科学管理。将密码分为核心密码、普通密码和商用密码,实行分类管理,是党中央确定的密码管理原则,保障密码安全的基本策略,也是长期以来密码工作经验的科学总结。三类密码保护的对象不同,对其进行明确划分,有利于确保密码安全保密,有利于密码管理部门根据不同信息等级和使用对象,对密码实行科学管理,充分发挥三类密码在保护网络与信息安全中的核心支撑作用。核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。核心密码和普通密码涉及保密通信、军事指挥等关键领域,与政治安全、军事安全息息相关。因此《密码法》明确规定,核心密码、普通密码本身就属于国家秘密,密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。《密码法》要求密码工作机构建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全;具体规定了安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等机制,确保核心密码、普通密码安全管理的协同联动和有序高效。最后还要求密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的,应当立即采取应对措施,并及时向保密行政管理部门、密码管理部门报告,由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置,并指导有关密码工作机构及时消除安全隐患。 第三,区分不同情形对密码使用提出明确要求,为密码保障各领域国家安全提供法治支撑。考虑到密码在现代社会对于维护各领域国家安全的重要作用,《密码法》区分不同情况对密码使用提出了具体要求,推动相关领域普遍采用密码进行保护,有效维护国家安全。 具体包括: (1)核心密码、普通密码的强制使用。在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。 (2)商用密码的强制使用。法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护。 (3)商用密码的鼓励使用。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。 同时,密码法对使用密码时在维护国家安全方面的义务提出明确要求,规定任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。商用密码的科研、生产、销售、服务和进出口,不得损害国家安全、社会公共利益或者他人合法权益。 三、妥善处理维护国家安全与促进产业发展的关系 《国家安全法》第八条规定,维护国家安全,应当与经济社会发展相协调。安全是发展的前提,发展是安全的保障,《密码法》在立法中很好地处理了二者之间的辩证统一关系。在坚决维护国家安全的前提下,《密码法》依法确立了促进密码事业发展的一系列制度措施,努力为密码科技创新、产业发展和应用推广营造良好环境。 第一,明确密码发展促进和保障的各项措施。《密码法》在总则中明确规定,国家鼓励和支持密码科学技术研究和应用,依法保护密码领域的知识产权,促进密码科学技术进步和创新;国家加强密码人才培养和队伍建设,对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励;国家采取多种形式加强密码安全教育,将密码安全教育纳入国民教育体系和公务员教育培训体系,增强公民、法人和其他组织的密码安全意识;县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级财政预算。同时,《密码法》又进一步针对核心密码、普通密码和商用密码具体规定了不同的发展要求,包括:国家加强核心密码、普通密码的科学规划、管理和使用,加强制度建设,完善管理措施,增强密码安全保障能力。国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。 第二,强化相关从业单位各项权益保护。(1)《密码法》明确要求各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码从业单位。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。(2)《密码法》强调行业自律,通过行业组织为从业单位开展服务,规定商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。(3)《密码法》强化对监管部门和检测认证机构的保密责任要求,保护企业商业秘密。明确规定商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务;密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。 第三,在维护国家安全前提下,平衡“放”与“管”的关系,减轻企业负担。与商用密码条例相比,《密码法》按照“放管服”改革要求,转变监管思路,大幅度削减行政许可数量,放宽市场准入。从商用密码条例规定的全流程事前审批,改为侧重事中事后监管,以自愿检测认证和自行或者委托第三方评估为基本原则,同时在销售和提供、应用、进出口等几个重点环节的部分重点领域设置有关强制检测认证、许可和审查制度,包括:(1)涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。(2)商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。(3)关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。(4)对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。同时,在《密码法》审议过程中,一些常委会组成人员和企业、公众还提出了在《中华人民共和国网络安全法》(以下简称网络安全法》)中已经规定了上述强制检测认证和评估、审查等制度。许多密码产品和密码服务同时也是网络安全产品,应当进一步做好法律之间的衔接,避免重复。为此,《密码法》特别在这方面做了明确,规定商用密码产品检测认证适用《网络安全法》的有关规定,避免重复检测认证;商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评;国家安全审查应当按照《网络安全法》的规定进行等。 2020年1月1日,《中华人民共和国密码法》即将在党的密码事业创建90周年之际施行。从战火硝烟中走来的密码事业,从无到有、从传统到现代、从草创到科学,正迈步走向依法管理的新时代。《密码法》的出台和以《密码法》为龙头而逐步构建的一整套密码法律制度,必将不断提升密码管理的科学化、规范化、法治化水平,对于进一步推动密码事业进步,维护国家安全和社会公共利益,推进国家治理体系和治理能力现代化具有重大而深远的意义。 热门推荐: