国家主席习近平10月26日签署了第35号、36号主席令。第35号主席令说,《中华人民共和国密码法》已由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过,现予公布,自2020年1月1日起施行。

  《中华人民共和国密码法》的通过,标志着我国在密码的应用和管理等方面有了专门性的法律保障。

  《中华人民共和国密码法》围绕“怎么用密码、谁来管密码、怎么管密码”,重点规范了5方面44条内容。明确立法目的是“为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益”,强调“坚持党对密码工作的领导”,规定“中央密码工作领导机构对全国密码工作实行统一领导”。国家密码管理部门——也就是国家密码管理局负责管理全国的密码工作。

  为什么要针对密码工作制定专门法律呢?国家密码管理局有关负责人介绍,在网络与信息时代,每天都有海量信息产生,社会公众使用密码保护网络与信息安全的意识还不够强,网络诈骗、个人隐私泄露等问题频发,特别是重要网络与信息系统密码应用的规范性、有效性不够等问题还比较突出,严重威胁国家网络与信息安全、企业商业秘密以及公民个人隐私保护。

  国家密码管理局新闻发言人 李国海: 密码是保障网络与信息安全的核心技术和基础支撑,直接关系国家的政治安全、经济安全、信息安全。它对国家安全和网络安全有重要的意义,制定《密码法》就是为了适应我国网络安全的新形势,提升密码工作的科学化、法治化、规范化水平,保障网络与信息安全。

  《密码法》将密码分为核心密码、普通密码和商用密码三类,实行分类管理。其中核心密码、普通密码用于保护国家秘密信息,属于国家秘密;商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。

  国家密码管理局新闻发言人 李国海:因为三类密码保护信息的对象不同,对其进行明确划分,是我们密码科学管理的一个经验总结,这样有利于确保密码安全保密,也有利于密码管理部门根据保护对象的不同进行科学管理,充分发挥三类密码在保障网络与信息安全方面的重要作用。

  什么是密码?

  《密码法》中所说的密码是什么?和我们老百姓常用的手机密码、银行密码这些有什么区别呢?我们一起来了解一下。

  《密码法》中的密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。举个例子,小张约小王去食堂吃饭,但是不想让别人知道,相互约定以“0”代表小张,“1”代表小王,“7”代表食堂,“9”代表吃饭,“0179”就代表了“小张约小王去食堂吃饭”这样的意思。这个过程中,数字和语义之间的替代就是最原始的一种“密码”。

  当然,在如今的信息社会,密码的形式变得数字化,也更加复杂。一般来说,密码技术有加密保护和安全认证两个功能。加密保护就是通过加密算法将明文变成密文。安全认证则是采用特定变换的方法,确认信息是否被篡改、是否来自可靠信息源以及确认行为是否真实。

  中国科学院院士 清华大学教授 王小云:安全认证,从简单理解就和你的身份证是差不多的,通过(密码技术)检测,它可以安全地认证你的身份。

  我们平时所说的手机密码、银行密码等等,实际上应该称为“口令”,是一种简单、初级的身份认证手段,属于最简易的密码。

  中国科学院院士 清华大学教授 王小云:口令安全级别比较低,有时候也可以称为密码,但是我们一般说的密码都是我们研究的数学密码技术,比如加密算法、签名算法,这类密码技术的安全性是非常高的。

  部分商用密码需强制检测认证

  商用密码覆盖了我们生活的方方面面,《密码法》秉持开放的态度,鼓励建设统一、开放、竞争、有序的商用密码市场体系。那么如何能保障商用密码在各领域使用的安全性呢?

  《密码法》中对部分商用密码产品规定了强制检测认证机制,强调“商用密码的科研、生产、销售、服务和进出口,不得损害国家安全、社会公共利益或者他人合法权益”,规定“涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供”。同时,“对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制”。

  国家密码管理局新闻发言人 李国海:(这些规定)主要考虑是维护国家安全、社会公共利益和人民群众的合法权益,这些也符合党中央、国务院放管服改革的有关精神和相关的法律法规,也是国际上的通行做法。

  强调保密义务 维护信息安全

  此外,《密码法》还强调了保密义务,规定:“商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务”;“密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供”。 同时对违反相关规定应当承担的法律后果等内容也进行了规定。(央视记者 宋琎 李志贵)