全民国家安全教育日|《密码法》权威解读

《密码法》正式颁布!

图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科全民国家安全教育日|《密码法》权威解读

2019年10月26日,国家主席习近平签署第三十五号主席令,宣布《中华人民共和国密码法》由中华人民共和国第十三届全国人大常委会第十四次会议正式通过!将自2020年1月1日起施行。

《密码法》旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,是我国密码领域的综合性、基础性法律。

泄密事件频发的今天,在《密码法》的出台震慑下,个人信息盗取、数据转卖、爬虫窃密等事件将不再肆意泛滥,每一个环节责任清晰,相关人员都将有法可依,有责可查!每一个公民的信息都将获得法律的保护!

《密码法》通篇贯穿改革精神和法治意识,从传统的全环节许可管理,一举改为分类施策、产业促进、市场导向、应用牵引、标准规制、产品检测、系统评估、认证认可的法治模式。密码行业迎来久违的春日甘霖,进入到黄金时代。

此次密码法到底有哪些亮点?全新《密码法》详细解读来了!

一、密码定义

什么是密码(cryptography)?

银行卡密码、支付宝密码、微信密码、支付密码、登录密码等等的生活化说法,使我们习惯性的将密码理解为个人设定的一串用于验证账户的字符。

然而,此密码非彼“密码”,为了更好地普及密码概念与应用,《密码法》明确定义:“本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。”  

密码技术有加密保护和安全认证。

加密保护就是通过加密算法,将明文变成密文。

安全认证则是采用特定变换的方法,确认信息是否被篡改,是否来自可靠信息源,以及确认行为是否真实。

人们生活中普遍的“密码”我们称之为口令(password),口令是一种简单、初级身份认证手段,属于最简易的密码。

王小云院士于央视新闻讲解到:“口令安全级别比较低,它有时候也可以称作是密码,但是我们一般说的密码,都是我们研究的数学密码这种技术,比如说加密算法、签名算法。这一类密码技术他的安全性是非常高的。”

“密码是保障网络与信息安全的核心技术和基础支撑,直接关系国家的政治安全、经济安全、信息安全,它对国家安全和网络安全有着重要的意义,制定《密码法》就是为了适应我国网络安全新形势,提升密码工作的科学化、法治化和规范化水平,保障网络与信息安全”国家密码管理局新闻发言人李国海。

二、密码分类管理

为了更高效的监管密码及其相关事宜进行,《密码法》将密码划分为3类,规定:“国家对密码实行分类管理。密码分为核心密码、普通密码和商用密码。”

《密码法》进一步规定了密码分类标准及密码管理部门责任,将核心密码与普通密码统一管理,深入贯彻总体国家安全观:“核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。

核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。”

除了明确国家政府机构对应职责外,《密码法》重点强调了商用密码,包括其定义及管理政策“商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。”

《密码法》在立法体例上将“核心密码、普通密码”和“商用密码”分开专章监管,使立法体例及法律适用更加清晰科学。  

三、密码人才队伍建设

此次《密码法》突出了密码人才队伍培养、建设的重要性,采取奖励机制来呼吁更多人参与到密码事业的建设发展之中,加速推进密码教育与普及。

规定:“国家鼓励和支持密码科学技术研究和应用,依法保护密码领域的知识产权,促进密码科学技术进步和创新。

国家加强密码人才培养和队伍建设,对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。”

“国家采取多种形式加强密码安全教育,将密码安全教育纳入国民教育体系和公务员教育培训体系,增强公民、法人和其他组织的密码安全意识。”

随着国家对密码的重视,不断加强保密相关从业人员的工作规范,针对现状,法规明确指出要建设符合《密码法》最新规定的人才管理制度,从录入到退出全过程都要严格遵守执行。

“国家加强密码工作机构建设,保障其履行工作职责。

国家建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。”

四、密码“安全风险评估”机制

密码是保护网络安全的核心技术和基础支撑,密码安全风险评估机制规定政府部门新的协作机制:

“密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。

密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的,应当立即采取应对措施,并及时向保密行政管理部门、密码管理部门报告,由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置,并指导有关密码工作机构及时消除安全隐患。”

此外商用密码规定则更贴近大众生活,与企业息息相关,仔细研读是每个人应有的责任,企业应严格按照要求进行整改,积极接受商用密码检测认证。

“国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。

商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。

商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。”

“涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。

商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。”

在完善商用密码应用安全性评估和国家安全审查制度方面,规定:“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。”(新增)

如果关键信息基础设施的运营者未按照上述条款的要求使用商用密码,或者未按照要求开展商用密码应用安全性评估,《密码法》明确规定法律责任及处罚。

“关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”

在线Say:遵纪守法,人人有责~

为什么对商用密码产品实行强制性检测认证制度?

密码法设立该制度,是维护国家安全和社会公共利益的需要。商用密码产品、服务是专业技术性很强的特殊产品和服务,广泛应用于国民经济和社会发展各领域,应用于关键信息基础设施,其质量与安全性直接关系国家安全和社会公共利益,需要通过检测认证的方式对其质量与安全性进行技术把关。强制性检测认证制度仅适用于涉及国家安全、国计民生、社会公共利益的商用密码产品和使用网络关键设备和网络安全专用产品的商用密码服务,并通过制定产品、服务目录明确界定管理范围,不会对市场和产业构成不必要的限制。

你知道中国为什么要制定《密码法》吗?

中国制定《密码法》是为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。

它事关国家安全和核心利益,关乎网络空间良好秩序,也关乎每一个人的财富、隐私和安宁。

五、密码保密责任制

《密码法》进一步增加对商用密码检测、认证机构的保密义务要求。规定:“商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。”

新增:“密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。”

规定:“从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构(以下统称密码工作机构)应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全。”

六、对外资企业一视同仁

密码法出台后会不会限制外资企业以及外国产品和服务进入中国市场?

《密码法》的“立法目的主要是按照“放管服”改革的要求,削减行政许可、放宽市场准入、进一步激发市场主体的活力和创造力。” 

《密码法》有关许可和检测认证体系的相关规定

“国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。

各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。

商用密码的科研、生产、销售、服务和进出口,不得损害国家安全、社会公共利益或者他人合法权益。”(新增)

全国人大常委会法制工作委员会举行第二次记者会时也明确回答:对于内外资企业、对于国内外的产品和服务是一视同仁、同等适用的,对外资企业的知识产权也要实行同等的保护,《密码法》不会歧视外资企业以及外资企业的产品和服务,不会对投资和贸易构成任何的限制。

七、密码安全—八项行政审批、三项许可

(三项许可:商用密码进口、出口、电子政务电子认证服务机构认定)

1.   商用密码科研成果审查鉴定

2.   商用密码产品品种和型号审批

3.   商用密码产品质量检测机构审批

4.   密码产品和含有密码技术的设备进口许可

5.   商用密码产品出口许可

6.   电子认证服务使用密码许可:

(1)电子认证服务使用密码许可

(2)电子认证服务系统技术改造审批

(3)电子认证服务系统系统搬迁审批

7.   信息安全等级保护商用密码测评机构审批:

8.   电子政务电子认证服务机构认定许可 

最后:

推动密码应用与创新发展,时不我待,责无旁贷!该法还在法律责任一章,明确违法行为及其惩戒措施。法律规定,违反本法规定,发生核心密码、普通密码泄密案件的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的,依法给予处分。违反本法规定,构成犯罪的,依法追究刑事责任;给他人造成损害的,依法承担民事责任。

来源地址:https://mp.weixin.qq.com/s?__biz=MzIwNTkxMjU3Nw==&mid=2247484222&idx=5&sn=fcb29438a16c01a4e93406c508532d34&chksm=9728ec50a05f65461a3e0406319bdde0c596392fbe97549597c5e0ee2b6056b6ff021f5272b3&scene=27

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞8 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容