十三届全国人大常委会第十四次会议26日表决通过密码法,将自2020年1月1日起施行,这标志着我国在密码的应用和管理等方面有了专门性的法律保障。密码无处不在,密码时时刻刻守卫着安全,关于密码法,你应该知道这几个问题。

  一、什么是密码?

  现实生活中提到“密码”一词,人们通常以为就是每天接触的手机开机“密码”、电子邮箱登录“密码”、微信“密码”、银行卡支付“密码”等。实际上,生活中的这些“密码”只是进入个人手机、电子邮箱或者个人银行账户的口令、“通行证”,是一种简单、初级的身份认证手段,是最简易的密码。

  密码法中的密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。它的主要功能有两个:一个是加密保护,另一个是安全认证。前者是指将原来可读的信息变成不能识别的符号序列,后者是指确认主体和信息的真实可靠性。

  密码可以按照不同的标准进行分类。按照保护信息的种类,可以将密码分为核心密码、普通密码和商用密码。

  二、核心密码、普通密码和商用密码分别指什么?

  核心密码、普通密码和商用密码是按照要保护信息的种类来区分的。

  核心密码、普通密码属于国家秘密,用于保护国家秘密信息。核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级,两种密码都由密码管理部门依法实行严格统一管理。在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。

  商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。国家鼓励商用密码技术的研究开发和应用,健全商用密码市场体系,鼓励和促进商用密码产业发展,鼓励从业单位自愿接受商用密码检测认证。

  三类密码保护的对象不同,对其进行明确划分,有利于确保密码安全保密,有利于密码管理部门根据不同信息等级和使用对象对密码实行科学管理,充分发挥三类密码在保护网络与信息安全中的核心支撑作用。 

  三、为啥说密码就像网络空间的DNA

  密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段。

  密码就像网络空间的DNA,可以完整实现身份防假冒、信息防泄密、内容防篡改、行为抗抵赖等安全需求,依此构筑起网络信息系统免疫体系,实现从被动防御向主动免疫转变;

  密码就像信使,在网络时代,主要依靠密码算法和安全协议,解决人、机、物的身份标识和认证、信任传递、行为审计等问题,构建网络信任体系,实现网络价值传递;

  密码更像“撒手锏”,直接关系国家政治安全、经济安全、国防安全和信息安全,是保护党和国家根本利益的战略性资源,是国之重器。

  尤其是商用密码,广泛应用于国民经济发展和社会生产生活的方方面面。在金融领域,中国人民银行、国家密码管理局建立商用密码与银行业务全面融合的技术体系和标准体系,有效遏制了银行卡伪造、网上交易身份仿冒等违法犯罪活动;在税收领域,增值税防伪税控系统采用商用密码技术保护涉税信息,有效遏制了通过篡改发票票面信息进行偷税、漏税等违法犯罪活动;在社会管理领域,公安部已累计发放使用商用密码芯片的第二代居民身份证超过18亿张,有效杜绝了伪造、变造身份证等违法犯罪行为;除此之外,商用密码还可以用于公民个人敏感信息、隐私和企业商业秘密的保护。

  可以说,密码在维护国家安全、促进经济社会发展、保护公民、法人和社会组织合法权益方面发挥着重要作用。

  四、为什么要制定密码法?

  密码是国家重要战略资源,直接关系国家政治安全、经济安全、国防安全和信息安全,制定一部密码领域综合性、基础性法律,十分必要。

  核心密码和普通密码维护国家安全方面的基本制度、密码管理部门和密码工作机构及其工作人员开展密码工作的保障措施等,都需要通过国家立法予以明确。

  近年来密码在维护国家安全、促进经济社会发展、保护人民群众利益方面发挥越来越重要的作用,国家对重要领域商用密码的应用、基础支撑能力的提升以及安全性评估、审查制度等不断提出明确要求,需要及时上升为法律规范。

  传统对商用密码实行全环节许可管理的手段已不适应职能转变和“放管服”改革要求,亟需在立法层面重塑现行商用密码管理制度。

  密码法的出台,将大大提升密码管理科学化、规范化、法治化水平,有力促进密码技术进步、产业发展和规范应用,切实维护国家安全、社会公共利益以及公民、法人和其他组织的合法权益。

  五、密码法怎样保障和促进密码的发展?

  法案总则对核心密码、普通密码和商用密码在发展促进和保障措施方面的共性内容作了规定。

  规定国家鼓励和支持密码科学技术研究、交流,依法保护密码知识产权,促进密码科学技术进步和创新,建立密码工作表彰奖励制度(第九条)。

  规定国家采取多种形式加强密码安全教育,将密码安全教育纳入国民教育体系和公务员教育培训体系,增强公民、法人和其他组织的密码安全意识(第十条)。

  规定县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级预算(第十一条)。

  规定任何组织或者个人不得窃取或者非法侵入他人的加密信息或者密码保障系统,不得利用密码从事违法犯罪活动(第十二条)。

  六、为什么密码法要对特定商用密码产品、服务实行强制性检测认证制度?

  密码法设立该制度,是维护国家安全和社会公共利益的需要。

  商用密码产品、服务是专业技术性很强的特殊产品和服务,广泛应用于国民经济和社会发展各领域,应用于关键信息基础设施,其质量与安全性直接关系国家安全和社会公共利益,需要通过检测认证的方式对其质量与安全性进行技术把关。

  强制性检测认证制度仅适用于涉及国家安全、国计民生、社会公共利益的商用密码产品和使用网络关键设备和网络安全专用产品的商用密码服务,并通过制定产品、服务目录明确界定管理范围,不会对市场和产业构成不必要的限制。