6月25日,十三届全国人大常委会第十一次会议初次审议密码法草案,草案提出,密码分为核心密码、普通密码和商用密码,实行分类管理;特定范围的商用密码实行进口许可和出口管制。
拟按核心密码、普通密码和商用密码管理
受国务院委托,6月25日,国家密码管理局局长李兆宗向十三届全国人大常委会第十一次会议作密码法草案说明。
李兆宗介绍,草案共五章四十四条,其中提出了密码分类保护的原则要求:核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级;核心密码、普通密码属于国家秘密,由密码管理部门依法实行严格统一管理。
商用密码用于保护不属于国家秘密的信息;公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。
特定商用密码实行进口许可和出口管制
对于公民、法人和其他组织均可使用的商用密码,草案提出建立商用密码检测认证制度, 同时要求对特定范围的商用密码实行进口许可和出口管制制度,“对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制”,并明确“大众消费类产品所采用的商用密码不实行进口许可和出口管制制度”。
草案还对电子政务电子认证服务管理制度作出规定:“国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理”。
同时要求,“未经认定从事电子政务电子认证服务的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得30万元以上的,可并处违法所得一倍以上三倍以下罚款;没有违法所得的违法所得不足30万元的,可并处违法所得10万元以上30万元以下罚款“。
释疑1
密码法管哪些“密码”?
国家密码管理局相关负责人解释,现实生活中提到“密码”一词,人们通常以为就是每天接触的计算机或手机开机“密码”、电子邮箱登录“密码”、微信“密码”、QQ“密码”、银行卡支付“密码”等。
生活中的这些“密码”实际上是口令。口令只是进入个人计算机、手机、电子邮箱或者个人银行账户的“通行证”,它是一种简单、初级的身份认证手段,是最简易的密码。
《密码法(草案)》中的密码,是指使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。密码主要功能有两个:一个是加密保护,另一个是安全认证。
加密保护是指使用数学变换,将原来可读的信息变成不能识别的符号序列。简单地说,加密保护就是将明文变成密文。
安全认证是指使用数学变换,确认信息是否被篡改、是否来自可靠信息源以及确认行为是否真实。简单地说,安全认证就是确认主体和信息的真实可靠性。
密码可按照不同标准分类。按功能形态可将密码分为密码技术、密码产品和密码服务。按保护信息种类,可将密码分为核心密码、普通密码和商用密码。核心密码是用于保护国家绝密级、机密级、秘密级信息的密码。
普通密码是用于保护国家机密级、秘密级信息的密码。商用密码是用于保护不属于国家秘密的信息的密码,公民、法人和其他组织均可依法使用。
释疑2
为什么要立密码法?
李兆宗表示,密码是国家重要战略资源,密码工作是党和国家的一项特殊重要工作,直接关系国家政治安全、经济安全、国防安全和信息安全,在我国革命、建设、改革各个历史时期,都发挥了不可替代的重要作用。
进入新时代,密码工作面临着许多新的机遇和挑战,担负着更加繁重的保障和管理任务,制定一部密码领域综合性、基础性法律,十分必要。
国家密码管理局相关负责人解释,密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段。
特别是商用密码,广泛应用于国民经济发展和社会生产生活方方面面,涵盖金融和通信、公安、税务、社保、交通、卫生健康、能源、电子政务等重要领域,在维护国家安全、促进经济社会发展、保护公民、法人和社会组织合法权益方面发挥着重要作用。
据介绍,在社会管理领域,公安部已累计发放使用商用密码芯片的第二代居民身份证超过18亿张,有效杜绝了伪造、变造身份证等违法犯罪行为。
此外,商用密码还可用于公民个人敏感信息、隐私和企业商业秘密保护。例如,商用密码在网上银行、支付宝系统中的广泛应用,显著提高了交易数据的安全防护能力,降低了用户身份被仿冒、敏感信息被盗用等风险。
来源 | 新京报
责编 | 卢永城