2019年10月26日,第十三届全国人民代表大会常务委员会第十四次会议表决通过《中华人民共和国密码法》,习近平主席签署主席令予以公布,填补了我国密码领域长期存在的法律空白,为新时代密码工作提供了坚强的法律保障。
密码法出台之前,密码领域规范性法律文件只有国务院颁布的《商用密码管理条例》,对核心密码、普通密码的管理办法和使用规则仅存在系统内部的规章制度之中,但是系统内部规章制度效力范围和效力层级不能满足新时代密码工作需求,稳定性较法律也存在明显不足。《商用密码管理条例》属于行政法规,在效力层级上不如法律,加上颁布时间较早,规定条款存在诸多滞后。
密码法是密码领域第一部综合性、基础性的法律。密码法共5章44条,重点规范了以下内容:第一章总则部分明确了立法目的、密码概念、密码工作基本原则、领导管理体制、密码分类管理使用、密码发展促进保障措施等内容。用法律完整的勾勒出了整个密码工作的基本轮廓。第二章核心密码、普通密码部分,进一步规定了核心密码、普通密码的使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊制度保障,并以法律的形式确立了密码管理部门的行政主体地位,赋予了行政管理职能和责任。第三章商用密码部分,规定了商用密码标准化制度、强制认证、市场准入和进出口制度以及对商用密码的监管制度。此章对《商用密码管理条例》的相关内容进行了补充、改进和完善,同时对涉及《网络安全法》的内容作出了体系性的衔接。第四章法律责任部分,规定了违反本法相关规定应承担的法律后果。同一行为可能触犯多部法律或多个法律条文,此章对同时触犯其他法律也作出了衔接性规定。第五章附则部分,赋予了密码管理部门密码管理规章制定权。这是密码管理部门的行政主体地位的延伸,密码管理部门可根据法律和国务院的行政法规、决定、命令,在本部门的权限内,发布命令、指示和规章。
李兆宗同志署名文章指出“密码法是总体国家安全观框架下,国家安全法律体系的重要组成部分。”从内容中不难看出,密码法作为国家安全法律体系的重要组成部分与相关法律存在诸多交集。要想依法做好新时代密码工作,作为行政主体的密码管理部门,需要理顺密码法与其他相关法律之间的关系,做好密码法与相关法律的衔接。与密码法联系较为密切的法律、行政法规包括《网络安全法》《保守国家秘密法》《商用密码管理条例》等。
密码法和《网络安全法》《保守国家秘密法》一样由全国人民代表大会常务委员会审议通过,属于同一法律位阶。
密码法与网络安全法在商用密码强制检测认证、安全性评估、国家安全审查以及非法侵入他人密码系统等方面作出了衔接性规定。一是密码法规定商用密码产品检测认证适用《网络安全法》有关规定。二是商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级评测制度相衔接,避免重复评估、测评。三是关键信息基础设施的运营商采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当参照《网络安全法》规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。法律责任部分,窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的,由有关部门依照《网络安全法》和其他有关法律、行政法规的规定追究法律责任。
密码法与《保守国家秘密法》的衔接主要在于核心、普通密码属于国家秘密。《保守国家秘密法》将国家秘密的密级分为绝密、机密、秘密三级。密码法对密码实行分类管理,规定:“核心密码、普通密码用于保护国家秘密信息,核心密码保护的最高密级为绝密级,普通密码保护信息的最高密级为机密级。”一定程度上,对密码本身的保护要高于密码所保护的信息。按照举轻以明重的原理,核心密码应按照绝密级国家秘密在《保守国家秘密法》范畴内予以保护。普通密码应按照机密级或以上在《保守国家秘密法》范畴内予以保护。
密码法还明确了发生核心密码、普通密码失泄密案件或者影响核心密码、普通密码安全问题,应由保密行政部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
密码法在法律层级上高于行政法规《商用密码管理条例》,原有《商用密码管理条例》中与密码法冲突部分,应按照密码法执行。
(作者王立,工作单位:公安部)