说到密码,你会想到什么?是每天接触的计算机或手机开机密码、电子邮箱登录密码、银行卡支付密码?还是谍战剧中神秘的军事密码?
2019年6月25日,在第十三届全国人大常委会第十一次会议上,国家密码管理局局长李兆宗作了关于《中华人民共和国密码法(草案)》的说明。
这是密码法草案首次提请全国人大常委会会议审议。为什么要对密码专门立法?这部法律草案规制的密码,和公众通常理解的密码一样吗?
你所不了解的密码体系
人们每天接触的开机密码、支付密码等等,实际上是口令。口令只是进入个人计算机、手机、电子邮箱或者个人银行账户的“通行证”,它是一种简单、初级的身份认证手段,是最简易的密码。
密码法规制的对象,可没有这么简单。密码法草案第二条规定,本法所称密码,是指使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。
按照这一定义,可以将密码分为密码技术、密码产品和密码服务。密码技术,是指使用数学变换对信息等进行加密保护或者安全认证的技术。密码产品,在日常生活中我们能接触到很多。比如密码芯片,最常见的是第二代居民身份证安全芯片。还有密码板卡,常见的如智能电卡、社会保障卡、金融芯片卡等等。密码服务是基于密码技术和产品,为保证他人实现密码功能的系统的正常运行提供安全管理和维护。
因此,密码不是简单的口令,而是技术、服务和安全保障。密码法草案明确规定,密码分为核心密码、普通密码和商用密码。核心密码、普通密码用于保护国家秘密信息,属于国家秘密。按照分类管理原则,核心密码、普通密码的科研、生产、检测、装备、使用和销毁等由密码管理部门实行严格统一管理。
无处不在的商用密码
商用密码和我们的日常生活更紧密。
商用密码广泛应用于国民经济发展和社会生产生活的方方面面,涵盖金融和通信、公安、税务、社保、交通、卫生健康、能源、电子政务等重要领域。
试举两例。在金融领域,中国人民银行、国家密码管理局建立商用密码与银行业务全面融合的技术体系和标准体系,大力加强和规范银行业密码应用,金融芯片卡累计发卡量超过5亿张,有效遏制了银行卡伪造、网上交易身份仿冒等违法犯罪活动。在社会管理领域,公安部已累计发放使用商用密码芯片的第二代居民身份证超过18亿张,有效杜绝了伪造、变造身份证等违法犯罪行为。
除此之外,商用密码还可以用于公民个人敏感信息、隐私和企业商业秘密的保护,公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。
商用密码用于保护不属于国家秘密的信息,所以国家对商用密码持鼓励和支持的态度。密码法草案明确规定,国家鼓励商用密码技术的研究开发和应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。
但是对于涉及国家安全、国计民生、社会公共利益的商用密码产品和服务,密码法草案提出了强制检测认证要求。按照草案规定,列入网络关键设备和网络安全专用产品目录的商用密码产品,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。用于网络关键设备和网络安全专用产品的商用密码服务,应当由商用密码认证、检测机构安全认证合格或者安全检测符合要求后,方可提供。
为什么要制定密码法
“密码工作是党和国家的一项特殊重要工作,直接关系国家安全。”李兆宗在作草案说明时说,“进入新时代,密码工作面临着许多新的机遇和挑战,担负着更加繁重的保障和管理任务,制定一部密码领域综合性、基础性法律,十分必要。”
在介绍立法的必要性时,李兆宗表示,核心密码和普通密码维护国家安全方面的基本制度、密码管理部门和密码工作机构及其工作人员开展核心密码和普通密码工作的保障措施等,需要通过国家立法予以明确,进一步提升法治化保障水平。国家对重要领域商用密码的应用、基础支撑能力的提升以及安全性评估、审查制度等不断提出明确要求,需要及时上升为法律规范。传统对商用密码实行全环节许可管理的手段已不适应职能转变和“放管服”改革要求,亟须在立法层面重塑现行商用密码管理制度。
“密码管理、保障和发展面临新的机遇和挑战,需要将现行有效的基本制度、特殊管理政策及保障措施通过国家立法予以规范。”全国人大宪法和法律委员会在审议意见中表示。(文/郑博超)