新闻中心

刘平:《中华人民共和国密码法》解读

时间:2019-11-18 来源:国家密码管理局

2019年10月26日,十三届全国人大常委会第十四次会议通过《中华人民共和国密码法》,习近平主席签署第35号主席令予以公布,将自2020年1月1日起正式施行。出台密码法是几代密码人的梦想,是密码事业发展的现实需要,是密码工作历史上具有里程碑意义的重大事件。密码法的颁布和实施,是构建国家安全法律制度体系的重要举措,是维护国家网络空间主权安全的重要举措,是推动密码事业高质量发展的重要举措,是密码守好党和国家“命门”、“命脉”的重要法律保障。

一、密码法的立法过程

党中央、国务院高度重视密码立法工作,将密码法作为国家安全法律制度体系的重要组成部分。2018年以来,密码法相继列入十三届全国人大常委会立法规划和全国人大常委会、国务院年度立法工作计划。2014年12月,国家密码管理局正式启动密码法立法工作。2016年12月,密码法(草案)经中央密码工作领导机构审议并原则通过。2017年4月至5月,密码法(草案征求意见稿)在国家密码管理局商用密码管理办公室网站首次面向社会公开征求意见。2017年6月,密码法(草案送审稿)正式报送国务院。2019年6月10日,密码法(草案)经国务院第52次常务会议会讨论通过。随后,李克强总理签署议案,正式将密码法(草案)提请全国人大常委会审议。6月25日至29日,十三届全国人大常委会第十一次会议初次审议密码法(草案)。7月5日至9月2日,密码法(草案)在中国人大网上面向社会公开征求意见。10月21日至26日,十三届全国人大常委会第十四次会议对密码法(草案)进行了二次审议并表决通过,习近平主席签署第35号主席令正式颁布,自2020年1月1日起施行。

回顾整个立法过程,密码法的出台来之不易,是党中央高度重视、亲切关怀的结果,是中央密码工作领导机构关心厚爱、正确领导的结果,是各地区各有关部门理解支持、大力帮助的结果,是全国密码战线的同志们团结奋斗、共同努力的结果。

二、密码法的主要内容

密码法是总体国家安全观框架下,国家安全法律体系的重要组成部分,也是一部技术性、专业性较强的专门法律。本法注重把握“放管服”改革要求与保障国家安全的平衡,注意处理好与网络安全法、保守国家秘密法等有关法律的关系。密码法共五章四十四条,重点规范了以下内容:

(一) 什么是密码?

根据密码法第二条的规定,本法中的密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段,在我国革命、建设、改革各个历史时期,都发挥了不可替代的重要作用。密码就像网络空间的DNA,是构筑网络信息系统免疫体系和网络信任体系的基石,直接关系国家政治安全、经济安全、国防安全和信息安全,是保护党和国家根本利益的战略性资源,是国之重器。

密码法第六条至第八条按照保护信息的种类不同,将密码分为核心密码、普通密码和商用密码。核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息,商用密码用于保护不属于国家秘密的信息。将密码分为核心密码、普通密码和商用密码,实行分类管理,是党中央确定的密码管理根本原则,是保障密码安全的基本策略,也是长期以来密码工作经验的科学总结。

(二) 谁来管密码?

密码法第四条坚持党管密码根本原则,依法确立密码工作领导体制,明确中央密码工作领导机构,对全国密码工作实行统一领导,就是要把中央确定的领导管理体制,通过法律形式固定下来,变成国家意志,为密码工作沿着正确方向发展提供根本保证。中央密码工作领导机构统一领导全国密码工作,负责制定国家密码重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。密码法第五条依法确立国家、省、市、县四级密码工作管理体制,明确国家密码管理部门,即国家密码管理局负责管理全国的密码工作;县级以上地方各级密码管理部门,即省、市、县级密码管理局负责管理本行政区域的密码工作;国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。

(三) 怎么管密码?

密码法第二章(第十三条至第二十条)规定了核心密码、普通密码的主要管理制度。核心密码、普通密码用于保护国家秘密信息和涉密信息系统,有力地保障了中央政令军令安全,为维护国家网络空间主权、安全和发展利益构筑起牢不可破的密码屏障。密码法明确规定,密码管理部门依法对核心密码、普通密码实行严格统一管理,并规定了核心密码、普通密码使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施。核心密码、普通密码本身就是国家秘密,一旦泄密,将危害国家安全和利益。因此,有必要对核心密码、普通密码的科研、生产、服务、检测、装备、使用和销毁等各个环节实行严格统一管理,确保核心密码、普通密码的安全。

密码法第三章(第二十一条至第三十一条)规定了商用密码的主要管理制度。商用密码广泛应用于国民经济发展和社会生产生活的方方面面,涵盖金融和通信、公安、税务、社保、交通、卫生健康、能源、电子政务等重要领域,积极服务“互联网+”行动计划、智慧城市和大数据战略,在维护国家安全、促进经济社会发展、保护公民、法人和其他组织合法权益方面发挥着重要作用。密码法明确规定,国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。一是坚决贯彻落实“放管服”改革要求,充分体现非歧视和公平竞争原则,进一步削减行政许可数量,放宽市场准入,更好地激发市场活力和社会创造力。二是由商用密码管理条例规定的全环节严格管理调整为重点把控产品销售、服务提供、使用、进出口等关键环节,管理方式上由重事前审批更多地转为事中事后监管,重视发挥标准化和检测认证的支撑作用。三是对于关系国家安全和社会公共利益,又难以通过市场机制或者事中事后监督方式进行有效监管的少数事项,本法规定了必要的行政许可和管制措施。按照上述立法思路,密码法规定了商用密码的主要管理制度,包括商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。

(四) 怎么用密码?

在核心密码、普通密码使用方面,密码法第十四条要求在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依法使用核心密码、普通密码进行加密保护、安全认证。在商用密码使用方面,一方面,为了保障关键信息基础设施安全稳定运行,维护国家安全和社会公共利益,密码法第二十七条要求关键信息基础设施必须依法使用商用密码进行保护并开展商用密码应用安全性评估,要求关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当依法通过国家网信办会同国家密码管理局等有关部门组织的国家安全审查。另一方面,密码法第八条规定公民、法人和其他组织可以依法使用商用密码保护网络与信息安全,对一般用户使用商用密码没有提出强制性要求。党政机关存在大量的涉密信息、信息系统和关键信息基础设施,都必须依法使用密码进行保护。此外,由于密码属于两用物项,密码法第十二条还明确规定,任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统,不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。

法律的生命力在于实施,法律的权威也在于实施。密码法的出台为我们加强新时代机要密码工作提供了强大的法律武器。各级密码管理部门要坚决贯彻落实密码法,确保密码法各项制度规定落到实处。

(作者刘平系国家密码管理局副局长)