密码是实现信息安全保密、认证认可,以及数据完整性、不可抵赖性的根本手段。2004年、2016年,我国先后出台了《中华人民共和国电子签名法》和《中华人民共和国网络安全法》,2019年又出台了《中华人民共和国密码法》,一系列法律的颁布实施,标志着我国网络空间安全治理驶入法治化轨道。
Q
密码法有什么样的法律地位?
A
密码法是我国国家安全法律制度体系的重要组成部分,是密码领域的综合性、基础性法律,也是一部技术性、专业性较强的专门法律。密码法以法律的形式明确了党管密码的根本原则,确立了密码工作领导和管理体制,明确了密码分类管理原则以及核心密码、普通密码、商用密码管理的各项管理制度措施,为保障网络与信息安全,维护国家安全、社会公共利益,以及公民、法人和其他组织的合法权益提供了坚实有力的法律保障,为构建系统完备、科学规范、运行高效的密码法律制度体系奠定了基础。
Q
密码法的主要内容有哪些?
A
密码法共五章四十四条,重点规范了以下内容:第一章总则部分,规定了本法的立法目的、密码工作的基本原则、领导和管理体制,以及密码发展促进和保障措施。第二章核心密码、普通密码部分,规定了核心密码、普通密码的使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施。第三章商用密码部分,规定了商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。第四章法律责任部分,规定了国家密码管理部门的规章制定权,解放军和武警部队密码立法事宜以及本法的施行日期。
Q
密码法中“密码”的概念是什么?
A
密码法中的密码(cryptography),是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。而人们日常接触的计算机或手机开机“密码”、微信“密码”、QQ“密码”、电子邮箱登录“密码”、银行卡支付“密码”等,实际上是口令(passport)。口令是进入个人计算机、手机、电子邮箱或银行账户的“通行证”,是一种简单、初级的身份认证手段,“口令”不在密码法的管理范围之内。
Q
密码有哪些重要作用?
A
密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段,在我国革命、建设、改革各个历史时期,都发挥了不可替代的重要作用。
密码就像网络空间的DNA,是构筑网络信息系统免疫体系和网络信任体系的基石,直接关系国家政治安全、经济安全、国防安全和信息安全,是保护党和国家根本利益的战略性资源,是国之重器。
Q
密码是如何分类的?
A
密码分为核心密码、普通密码和商用密码。核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息,商用密码用于保护不属于国家秘密的信息。
将密码实行分类管理,是党中央确定的密码管理根本原则,保障密码安全的基本策略,也是长期以来密码工作经验的科学总结。三类密码保护的对象不同,对其进行明确划分,有利于确保密码安全保密,有利于密码管理部门根据不同信息等级和使用对象,对密码实行科学管理,充分发挥三类密码在保护网络与信息安全中的核心支撑作用。
Q
请简要介绍一下商用密码的重要作用?
A
商用密码广泛应用于国民经济发展和社会生产生活的方方面面,涵盖金融和通信、公安、税务、社保、交通、卫生健康、能源、电子政务等重要领域,积极服务“互联网 ”行动计划、智慧城市和大数据战略,在维护国家安全、促进经济社会发展、保护公民、法人和其他组织合法权益方面发挥着重要作用。
在金融领域,使用商用密码的金融芯片卡,有效遏制了银行卡伪造、网上交易身份仿冒等违法犯罪活动。
在税收领域,增值税防伪税控系统采用商用密码技术保护涉税信息,有效遏制了通过篡改发票票面信息进行偷税、漏税等违法犯罪活动。
在社会管理领域,公安部已累计发放使用商用密码芯片的第二代居民身份证超过18亿张,有效杜绝了伪造、变造身份证等违法犯罪行为。
除此之外,商用密码还可以用于企业商业秘密、公民个人隐私的保护。例如,商用密码在网上银行、网上支付系统中的广泛应用,显著提高了交易数据的安全防护能力,降低了用户身份被仿冒、隐私信息被盗用等风险,有效保障了公民的信息安全和财产安全。
Q
密码法在商用密码使用方面提出了什么样的要求?
A
密码法规定公民、法人和其他组织可以依法使用商用密码保护网络与信息安全,对一般用户使用商用密码没有提出强制性要求。同时,为了保障关键信息基础设施安全稳定运行,维护国家安全和社会公共利益,密码法要求关键信息基础设施应当依法使用商用密码进行保护并开展商用密码安全性评估。
Q
密码法施行后,商用密码产品的管理方式有什么变化?
A
按照国家“放管服”改革要求,充分体现非歧视和公平竞争原则,更好地激发市场活力和社会创造力,密码法将商用密码产品管理方式由行政审批调整为检测认证管理,取消了“商用密码产品品种和型号审批”,改为对商用密码产品实行检测认证制度。这意味着国家对商用密码的监管重点从全环节严格管理调整为重点把控产品销售、服务提供、使用、进出口等关键环节,管理方式上由重事前审批更多地转为事中事后监管,重视发挥标准化和检测认证的支撑作用。
Q
请简要介绍一下商用密码产品和服务的检测、认证制度?
A
密码法规定,商用密码从业单位自愿接受商用密码检测认证。但是,涉及国家安全、国计民生、社会公共利益的商用密码产品及使用网络关键设备和网络安全专用产品的商用密码服务,实行强制性检测和认证。商用密码产品检测认证适用《中华人民共和国网络安全法》(以下简称《网络安全法》)的有关规定,体现了与《网络安全法》的衔接和协调。
Q
什么是商用密码应用安全性评估?
A
商用密码应用安全性评估,是指在商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。
商用密码应用安全性评估的专业性很强,应当由“商用密码应用安全性评估试点机构”,或者“可在本地区、本行业(领域)或者受委托面向社会开展试点工作的机构”进行评估。
密码法颁布一年来,辽宁省国家密码管理局积极培育我省商用密码应用安全性评估机构,经过国家密码管理局的考核,目前,我省已有一家机构具备开展商用密码应用安全性评估试点工作的资质。
