《中华人民共和国密ζ码法》

  2019年10月26日,《中华人民共和国密码法》正式颁布,自2020年1月1日起实施。
  关于《密码法》的颁布实施,以ζ及相关条款涉及的内容,相信大家一定还有一些疑问。这次小编国小密特意就关注度比较高的问题,咨询了国家密码管理局负责人。现将有关问题♂分上、下两篇为大家∞解答。
 
  请介绍一下密码法在商用密码管理方ω 面的立法思路。
  密码法在商用密码管理方面的立法思路主要☆有以下三个方面:
  一是坚决贯彻落实♂“放管服”改革要求,充分体现非歧视和公平竞争原则,进一步削减』行政许可数量,放宽市场准入,更好地激发市场活力和※社会创造力。
  二是由商用密码管理条例规定的全环节严格管理调整为重点把控产品销售、服务提供、使用、进出口等关键环节,管理方式上由重事前审批更多地转为事中↙事后监管,重视发挥标准化和检测认证的支撑作用。
  三是对于关系国家安全和社会公共△利益,又难以通过市【场机制或者事中事后监督方式进行有效监管的少数事∑项,本法规定了必要的行政许可和管制措施。
  为什么密码法要对涉及国家安全、国计民生、社◥会公共利益的商用□密码产品实行强制性检测认证制度」?
  密码法按照“放管服”改革要求,取消了商用密码管理条例设定的“商用密码产品品种和型号审批”,改为对特定商用密码产品实行强制性检测认证制度,主要有三个方面的考㊣ 虑:
  一是该制度@是维护国家安○全和社会公共利益的需卐要▆。商用密码产品是一种专业技术性很强的特殊产品,广泛应用♀于国民经济和社会发展各领域,应用于关键信息╲基础设施,其质量与安全性直Ψ 接关系国家安全和社会公共利益,需要通过检测认证的方式对其质量与安全性进行技术把关,规范商用密码产品市场准入。
  二是该制〓度与网络安全法规定的网络关键设备和网络安全专用产品强制性检测认证制度①是衔接一致的。涉及国家安全、国计民生、社会公共利益的商用□ 密码产品作为网络关键设备和网络安全专用产品的一部分,依法列入网络关键设备和网络☉安全专用产品目录,由国家密◆码管理局会同国家网信办、国家认监委等部门共同制定目录,共同◆认定检测、认证机构,共同开展检测认证。
  三是强制性检测认证实施范围◆有限。强制性检测认证制度仅适用于涉及国家安全、国计民生、社会公共利益的商用密码※产品,并通过制定产品目录明确界定∴管理范围,不会〖对市场和产业构成不必要的限制。 
  为什么密码法要对使用网络关键设备和网络¤安全专用产品的商用密码服务实行强制▓性认证制度?
  密码法设立该制度主要有两个方面的考虑:
  一是该制度是维护国家安全和社会公共利益的需要。商用密码服务主要包括密码保卐障系统集成、运营、监理等,是一种专业技术→性很强的特殊服务,广泛应用于国民经济和社会发展各领域,应用于关键信息基础设施,其质量与安全性直接关系国家安全和社会公共利益。由于密码功能∑ 实现的特殊性,网络关键设备和网络安全专用产品本身合格,并不意味着使用这些产品的商用密码服务就一定是安◥全的,需要通过认证的方式对其质量与安全性进行技术把关,规范商用密码服务市场准入。
  二是强制性认⊙证实施范围有限。强制性认证制度▼仅适用于使用网络关键设备和网络安全专用产品的商用密码服务,并通过制定服务目录明确界定管理范围,不会对市场和产业构成不必要的限制。  
  密码法对商用密码使用提出了什么要求?
  密码〖法规定公民、法人和其他组织可以依法使用商用密码保㊣护网络与信息安全,对一般用户使用商用密码没有强制性要求。由于商用密码属于两ζ 用物项,密码法明确规定,任何组织或者个人不得窃取【他人的加密保护的信息或者非法侵入他人的】密码保障系统,不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
  同时,为了保障关键信息基础设○施安全稳定运①行,维护国家安全、社会公共利益,密码︼法要求关键信息基础设施必■须使用商用密码进行保护并开⊙展商用密码应用︽安全性评估,要求关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响〖国家安全的,应当通过国家网信办会同国家密码管理局等有关部门组织∩的国家安全审查。   
  为什么密码法要求关键信息基础设施使用商用密码进行保护,开展商用密码应用安全性评估?
  密码法规定※的关键信息基础设施商用密码使用◤要求是网络安全法规定的关键信息基础设施安全保护义务的重要组成部分。密码是保障网★络与信息安全的核心技术和基础支撑▆。关系国家安全、国计民生、社会公共利益的关键信息基础设施,必须使用商用密码进行保护,而◣且使用的商用密码必须是合规、正确、有效的。如果不使用或者不正确使用商用密码进行保护,将严重威胁关键信息基础设施的安全稳定运行,威胁国家安全和社会公共利益。
  因此,有必要对关键信息基础设施使用ㄨ商用密码提出明确要求,有效保障关键信息基础设施安全≡。
  建立完善商用密码应用安全性评估制度,对关键信息基础设施№商用密码应用的合规性、正确性和有效性进行评估,对于有效规范密♂码应用,切实保障国家网络与信息安全,具有重要〇作用。商用密码应用安全性评估同时也是网络安全等级保护和关键信息基础设施安全保护制度的重要内容和技术手段。商用密码应※用安全性评估与关键信息基础设施网络安全检测评估、网络安全等级测评在●内容上有所区分,在实施中统筹考虑、协调开展,相互衔接。 
  为什么密码法要对涉及国家安全、社会公共利益等的商用密码实行进口许可和出口管〗制制度?
  密码法设立商用密码进口许可︾和出口管制制度,主要有三个方面的考虑:
  一是该制度是维护国家安全和社会公共利益的需要。商用密码是一把双刃剑,既可以用于合法的信息保护,也可能被用来从事违法犯罪活々动,有必要对其实行进口许可和出口♀管制,维护国家安全和社会公共利益。
  二是该制度符合世贸组织规则,也是国际通行做♀法。商用密码是国际公◤认的两用物项,对其实行进口许可和出口管制,符合世贸组织“安全例外”原则和我国对外贸易法的规♀定,也是国际通行做法。
  三是该制度实施范围有限。进口许可制度仅适用于涉及国家安全、社会公共利益且具有加密保护功能的商用密码,出口管制制度仅适用于涉及国家安全、社会公共利益或者∮中国承担国际义务的商用密码,对大众消费类产品所采用的商用密码不实行进口许可和出口管制,并通过←制定清单明确界定管理范围,不会对贸易造成影响。
  为什么密码法要对采用商用密码技术从事电子政务电∮子认证服务的机构进行》认定?
  密码法设立该制度是维护国家安全和社会公共利益的需要。电子政务电子认证服务是一种专业技术性很强的特殊服务,直接服务于政务部门的政务活动,涉及№范围广,敏感信息多,其质量与安全性直接关系国家安全和社会公共利益,有必要采取行政许可的方式↓对服务机构的电子政务电子认证服务能力进行评估,加强对建▲设、运维、应用和服务等各环节的行政监管和技术把关,确保╱其质量与安全性。