《中华人民共和国密码法》解读
党的十九届四中全会通过了《中共中央关于坚持和完善中国特色社会主义制度、推进国家治理体系和治理能力现代化若干重大问题的决定》,指出要“坚持和完善中国特色社会主义法治体系”。2019年10月26日,十三届全国人大常委会第十四次会议审议通过《中华人民共和国密码法》,自2020年1月1日起施行。
密码法是总体国家安全观框架下,国家安全法律体系的重要组成部分,其颁布实施将极大提升密码工作的科学化、规范化、法治化水平,有力促进密码技术进步、产业发展和规范应用,切实维护国家安全、社会公共利益以及公民、法人和其他组织的合法权益,同时也将为密码部门提高“三服务”能力提供坚实的法治保障。
立法背景和必要性。密码是我们党和国家的“命门”、“命脉”,是国家重要战略资源。密码工作是党和国家的一项特殊重要工作,直接关系国家政治安全、经济安全、国防安全和信息安全,在我国革命、建设、改革各个历史时期,都发挥了不可替代的重要作用。进入新时代,密码工作面临着许多新的机遇和挑战,担负着更加繁重的保障和管理任务,制定一部密码领域综合性、基础性法律十分必要。
其一,核心密码和普通密码维护国家安全方面的基本制度、密码管理部门和密码工作机构及其工作人员开展核心密码和普通密码工作的保障措施等,需要通过国家立法予以明确,进一步提升法治化保障水平。其二,近年来密码在维护国家安全、促进经济社会发展、保护人民群众利益方面发挥越来越重要的作用,国家对重要领域商用密码的应用、基础支撑能力的提升以及安全性评估、审查制度等不断提出明确要求,需要及时上升为法律规范。其三,传统对商用密码实行全环节许可管理的手段已不适应职能转变和“放管服”改革要求,急需在立法层面重塑现行商用密码管理制度。
党中央、国务院高度重视密码立法工作,将密码法作为国家安全法律制度体系的重要组成部分。2018年以来,密码法相继被列入十三届全国人大常委会立法规划和全国人大常委会、国务院年度立法工作计划。2019年6月,密码法(草案)经国务院第五十二次常务会议讨论通过,随后李克强总理签署议案,正式将密码法(草案)提请全国人大常委会审议。2019年10月,十三届全国人大常委会第十四次会议对密码法(草案)进行二次审议并表决通过,习近平主席签署第三十五号主席令正式颁布。
立法思路密码法立法过程中,重点把握以下三个原则。
明确对核心密码、普通密码与商用密码实行分类管理的原则。在核心密码、普通密码方面,深入贯彻总体国家安全观,将现行有效的基本制度、特殊管理政策及保障措施法治化;在商用密码方面,充分体现职能转变和“放管服”改革要求,明确公民、法人和其他组织均可依法使用。
注重把握职能转变和“放管服”要求与保障国家安全的平衡。在明确鼓励商用密码产业发展、突出标准引领作用的基础上,对涉及国家安全、国计民生、社会公共利益,列入网络关键设备和网络安全专用产品目录的产品,以及关键信息基础设施的运营者采购等部分,规定了适度的管制措施。
注意处理好密码法与网络安全法、保守国家秘密法等有关法律的关系。在商用密码管理和相应法律责任设定方面,与网络安全法的有关制度,如强制检测认证、安全性评估、国家安全审查等作了衔接;同时,鉴于核心密码、普通密码属于国家秘密,在核心密码、普通密码的管理方面与保守国家秘密法作了衔接。
主要内容密码法共五章四十四条,重点规范了以下内容。
什么是密码。第二条规定,密码法中的密码,“是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务”。密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段;它就像网络空间的DNA,是构筑网络信息系统免疫体系和网络信任体系的基石,是保护党和国家根本利益的战略性资源,是国之重器。第六条至第八条明确了密码的种类及其适用范围,规定核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息,商用密码用于保护不属于国家秘密的信息。对密码实行分类管理,是党中央确定的密码管理根本原则,是保障密码安全的基本策略,也是长期以来密码工作经验的科学总结。
谁来管密码。第四条规定,要坚持党管密码根本原则,依法确立密码工作领导体制,并明确中央密码工作领导机构,即中央密码工作领导小组(国家密码管理委员会),对全国密码工作实行统一领导;要把中央确定的领导管理体制,通过法律形式固定下来,变成国家意志,为密码工作沿着正确方向发展提供根本保证。中央密码工作领导小组负责制定国家密码重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。第五条确立了国家、省、市、县四级密码工作管理体制。国家密码管理部门,即国家密码管理局,负责管理全国的密码工作;县级以上地方各级密码管理部门,即省、市、县级密码管理局,负责管理本行政区域的密码工作;国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。
怎么管密码。第二章(第十三条至第二十条)规定了核心密码、普通密码的主要管理制度。核心密码、普通密码用于保护国家秘密信息和涉密信息系统,有力地保障了中央政令军令安全,为维护国家网络空间主权、安全和发展利益构筑起牢不可破的密码屏障。密码法明确规定,密码管理部门依法对核心密码、普通密码实行严格统一管理,并规定了核心密码、普通密码使用要求,安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施。核心密码、普通密码本身就是国家秘密,一旦泄密,将危害国家安全和利益。因此,有必要对核心密码、普通密码的科研、生产、服务、检测、装备、使用和销毁等各个环节实行严格统一管理,确保核心密码、普通密码的安全。
第三章(第二十一条至第三十一条)规定了商用密码的主要管理制度。商用密码广泛应用于国民经济发展和社会生产生活的方方面面,涵盖金融和通信、公安、税务、社保、交通、卫生健康、能源、电子政务等重要领域,积极服务“互联网+”行动计划、智慧城市和大数据战略,在维护国家安全、促进经济社会发展以及保护公民、法人和其他组织合法权益等方面发挥着重要作用。密码法明确规定,国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。一是坚决贯彻落实“放管服”改革要求,充分体现非歧视和公平竞争原则,进一步削减行政许可数量,放宽市场准入,更好地激发市场活力和社会创造力。二是由商用密码管理条例规定的全环节严格管理调整为重点把控产品销售、服务提供、使用、进出口等关键环节,管理方式上由重事前审批转为重事中事后监管,重视发挥标准化和检测认证的支撑作用。三是对于关系国家安全和社会公共利益,又难以通过市场机制或者事中事后监管方式进行有效监管的少数事项,规定了必要的行政许可和管制措施。按照上述立法思路,密码法规定了商用密码的主要管理制度,包括商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。
怎么用密码。对于核心密码、普通密码的使用,第十四条要求在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依法使用核心密码、普通密码进行加密保护、安全认证。对于商用密码的使用,一方面,第八条规定公民、法人和其他组织可以依法使用商用密码保护网络与信息安全,对一般用户使用商用密码没有提出强制性要求;另一方面,为了保障关键信息基础设施安全稳定运行,维护国家安全和社会公共利益,第二十七条要求关键信息基础设施必须依法使用商用密码进行保护,并开展商用密码应用安全性评估,要求关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当依法通过国家网信办会同国家密码管理局等有关部门组织的国家安全审查。党政机关存在大量的涉密信息、信息系统和关键信息基础设施,都必须依法使用密码进行保护。此外,由于密码属于两用物项,第十二条还明确规定,任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统,不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
切实抓好贯彻落实法律的生命力在于实施,法律的权威也在于实施。密码法的出台为我们加强新时代密码工作提供了强大的法律武器。国家密码管理局将坚决贯彻落实密码法,确保各项制度规定落到实处。一是迅速组织学习宣传。广泛采取宣讲、培训、研讨等形式,切实增强宣传的针对性和实效性,不断提高党员领导干部和密码工作人员依法从事密码工作的能力和水平,增强公民、法人和其他组织的密码安全意识。二是切实抓好贯彻落实。国家、省、市、县四级密码管理部门将依法确立行政主体地位,全面履行密码法赋予的行政管理职能,加快推动管理职能转变和管理方式创新,确保密码法落地见效。三是大力加强指导督查。加强对密码法贯彻落实情况的工作指导和监督检查,认真总结和大力推广各地区各部门的好经验好做法,及时解决执法、守法过程中的新情况新问题,推动密码法的全面贯彻落实。
(作者:国家密码管理局政策法规室)
链接:https://www.oscca.gov.cn/sca/c100236/2019-12/25/content_1057308.shtml