查看原文
其他

《密码法》正式颁布!商密君独家解析(上),带你揭开密码神秘面纱!

商密君 2022-05-04

商密君解读《密码法》——(上)

今日《密码法》正式颁布!密码产业迎来重大发展机遇!

十三届全国人大常委会第十四次会议26日下午表决通过密码法,将自2020年1月1日起施行。密码法旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,是我国密码领域的综合性、基础性法律。

泄密事件频发的今天,在《密码法》的出台震慑下,个人信息盗取、数据转卖、爬虫窃密等事件将不再肆意泛滥,每一个环节责任清晰,相关人员都将有法可依,有责可查!每一个公民的信息都将获得法律的保护!


密码是国家重要战略资源,关乎国家政治安全、经济安全、国防安全、信息安全,《密码法》坚持贯彻党管密码根本原则,落实中央指示批示精神;规范密码应用和管理,促进密码发展;走中国特色密码发展道路。

此次密码法到底有哪些亮点?全新《密码法》详细解读来了!


一、密码定义


什么是密码(cryptography)?

银行卡密码、支付宝密码、微信密码、支付密码、登录密码等等的生活化说法,使我们习惯性的将密码理解为个人设定的一串用于验证账户的字符。

然而,此密码非彼“密码”,为了更好地普及密码概念与应用,《密码法》明确定义:“本法所称密码,是指使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。  

人们生活中普遍的“密码”我们称之为口令(password),口令只是进入个人计算机、手机、电子邮箱或者个人银行账户的通行证,它是一种简单、初级身份认证手段。


二、密码分类管理


为了更高效的监管密码及其相关事宜进行,《密码法》将密码划分为3类,规定:“密码分为核心密码、普通密码和商用密码。国家对密码实行分类管理。”

《密码法》进一步规定了密码分类标准及密码管理部门责任,将核心密码与普通密码统一管理,深入贯彻总体国家安全观:“核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。


核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码的科研、生产、检测、装备、使用和销毁等实行严格统一管理。”


除了明确国家政府机构对应职责外,《密码法》重点强调了商用密码,包括其定义及管理政策“商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织均可依法使用商用密码保护网络与信息安全

商用密码为什么要实施管理?

商用密码直接关系国家安全、国计民生和社会公共利益,是国际公认的军民两用物项,对商用密码实施管理是国际通行做法,且广泛用于金融、通信等基础建设和信息系统。

《密码法》在立法体例上将“核心密码、普通密码”和“商用密码”分开专章监管,使立法体例及法律适用更加清晰科学。


三、密码人才队伍建设


此次《密码法》突出了密码人才队伍培养、建设的重要性,采取奖励机制来呼吁更多人参与到密码事业的建设发展之中,加速推进密码教育与普及。


规定:“国家鼓励和支持密码科学技术研究、交流,依法保护密码知识产权,促进密码科学技术进步和创新。

对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。”


随着国家对密码的重视,不断加强保密相关从业人员的工作规范,针对现状,法规明确指出要建设符合《密码法》最新规定的人才管理制度,从录入到退出全过程都要严格遵守执行。


国家加强密码工作机构建设,保障其履行工作职责。国家加强核心密码、普通密码人才队伍培养、建设,建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。”


四、密码“安全风险评估”机制


密码是保护网络安全的核心技术和基础支撑,密码安全风险评估机制规定政府部门新的协作机制:“密码管理部门根据工作需要会同有关部门建立核心密码、普通密码安全监测预警、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。”


此外商用密码规定则更贴近大众生活,与企业息息相关,仔细研读是每个人应尽的责任,企业应严格按照要求进行整改,积极接受商用密码检测认证。


“国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范和规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。

商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范和规则开展商用密码检测认证。”


在完善商用密码应用安全性评估和国家安全审查制度方面,规定:“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,商用密码应用安全性评估

关键信息基础设施的运营者和国家机关采购、使用涉及商用密码的网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。” 此条密码法有变动,请查看第二十七条。 


如果关键信息基础设施的运营者未按照上述条款的要求使用商用密码,或者未按照要求开展商用密码应用安全性评估,《密码法》明确规定法律责任及处罚。


为什么对商用密码产品实行强制性检测认证制度?

维护国家安全和社会化公共利益的需要,该制度与网络安全法规定的网络关键设备和网络安全专用产品强制性检测认证制度是衔接一致的、强制性检测认证实施范围有限,商用密码服务主要包括密码保障系统集成、运营、监理等,是一种专业技术很强的特殊服务。


习近平总书记指出:国家网络安全工作要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益。


坚持有法可依、有法必依的方针政策,在《密码法》的指导下,全面提高全民密码安全意识,助力密码产业发展!


更多精彩,敬请期待

明日商密君解读《密码法》——(下)


(参考资料:新华社 中国新闻网 《密码法》)

转载请明确标注本文转载自商密君,记得点击在看哦



喜欢文章,就给个好看哦

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存