《密码法》是中国网络安全和信息化法制建设的重要组成部分,旨在规范和促进密码事业发展,保障国家网络空间主权安全。主要内容包括核心密码、普通密码和商用密码的管理,强调了强制性标准和检测认证制度,建立了商用密码进出口和使用制度,并规定了电子政务电子认证服务管理制度。此外,该法还倡导行业自律,加强事中事后监管,推动密码在关键信息基础设施中的应用,并通过行业协会促进行业发展。
《密码法》
《密码法》的重要意义
《中华人民共和国密码法》于2019年10月26日通过,自2020年1月1日起施行;
密码是我们党和国家“命脉”;密码工作是党和国家的重要工作;
第一,是构建国家安全法律制度体系的重要部分
第二,是维护国家网络控件主区安全的重要举措
第三,是推动密码事业高质量发展的重要举措
《密码法》的立法过程
起草阶段 2014年12月25日 启动立法
审查阶段 2017年06月05日 正式报送国务院
审议阶段 2019年6月25日至29日 人大常委初次审议
《密码法》基本原则
第一,坚持党管密码和依法管理相统一
第二,坚持创新发展和确保安全相统一
第三,坚持简政放权和加强监管相统一
《密码法》主要内容
密码法共五章44条
第一章 总则
第二章 核心密码、普通密码
第三章 商用密码
第四章 法律责任
第五章 附则
商用密码管理原则
商用密码标准化制度
《草案》第二十一条至二十三条表明国家将建立和完善商用密码标准体系,推动参与商用密码国际标准化活动。要求商用密码从业单位从事商用密码科研、生产、销售、服务、进出口等活动除遵守有关法律行政法规的规定外,还要求应当符合商用密码强制性国家标准以及从业单位公开标准的技术要求。鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。
2011年经国标委和国家密码管理局的批准,密码行业标准化技术委员会成立。目前,已发布商用密码行业标准80项,基本涵盖了基础和急需的标准,覆盖了密码算法、产品、技术、检测、应用指南的等方面。其中《随机性检测规范》、《密码应用标识规范》等已经上升为国家标准。
| 强制性标准 | 推荐性标准 | 企业公开标准 |
|---|---|---|
| 强制性国家保证 | 推荐标准等 | 企业公开标准 |
2018年国家密码管理局发布行业标准GM/T 0054-2018《信息系统密码应用基本要求》,并将标准升级为国家标准。2019年6月25日,信安标委发布《信息安全技术 信息系统密码应用基本要求征求意见稿》。该标准规定了信息系统密码应用的基本要求,从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面提出了第一级到第四级的密码应用技术要求,并从管理制度、人员管理、建设运行和应急处置四个方面提出了第一级到第四级的密码应用安全管理要求。标准将应用于金融、医疗、政务等重要领域及产业中,对建立一个统一的信息系统密码应用要求具有十分重要的意义。
商用密码检测认证制度
草案提出(密码法第26条),对列入网络关键设备和网络安全专用产品目录的商用密码产品,用于网络关键设备和网络安全专用产品的商用密码服务,实行强制性检测认证。此外,草案还规定,关键信息基础设施应当依法使用商用密码、开展安全性评估和国家安全审查。
对特定范围的商用密码,草案实行进口许可和出口管制制度。此外,草案规定了电子政务电子认证服务管理制度,支持商用密码行业协会积极发挥作用,加强行业自律,促进行业健康发展。草案还要求,密码管理部门和有关部门,建立商用密码事中事后监管制度。
商用密码产品、服务市场准入管理制度
| 产品类别 | 基础类 | 标准功能类 | 标准厂验类 | 标准认证材料 |
|---|
关键信息基础设施商用密码使用制度
草案明确,关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
商用密码进出口管理制度
根据《密码法》第二十八条的规定,《密码法》施行后,商用密码进出口将纳入两用物项进出口管理,由商务部、国家密码管理局依法实施进口许可和出口管制。商务部、国家密码管理局、海关总署正在抓紧制定商用密码进口许可清单和出口管制清单。清单公布实施前,商用密码进出口暂时按照目前公布的许可条件和程序实施进出口许可管理,保持现行工作方式不变。详见国家密码管理局、商务部、海关总署第38号公告。
电子政务认证
《中华人民共和国电子签名法》第三十五条:“国务院或者国务院规定的部门可以依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法。”
《电子政务电子认证服务管理办法(试行)》(国密局发〔2009〕7 号)第一条:“为了规范电子政务电子认证服务活动,依据《中华人民共和国电子签名法》、《商用密码管理条例》和国务院有关文件,制定本办法。”
商用密码领域的行业协会等组织
《密码法》第三十条规定:商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。
商用密码事中事后监管制度
商用密码事中事后监管以日常检查为主、专项整治为辅,日常监管又以随机抽查为主。商用密码日常监管全面实行随机抽取检查对象、随机选派执法检查人员、抽查情况及查处结果及时向社会公开,原则上所有日常行政检查都通过“双随机、一公开”的方式进行。下一步,密码管理部门和有关部门将不断完善商用密码随机抽查相关配套制度和工作机制,健全跨部门联合抽查机制,避免对同一商用密码市场主体多头、重复检查。将随机抽查的比例频次、被抽查概率与抽查对象的信用等级、风险程度挂钩,对有不良信用记录、风险高的加大抽查力度,对信用较好、风险较低的适当减少抽查。抽查结果分别通过国家企业信用信息公示系统、“信用中国”网站、国家“互联网+监管”系统等进行公示。
商用密码事中事后监管的重要手段是深入推进“互联网+监管”,依托国家“互联网+监管”系统,建设统一的商用密码监督管理信息平台。加强商用密码监管信息归集共享,将各类商用密码相关的行政检查、行政处罚、行政强制等信息以及司法判决、违法失信、抽查抽检等信息进行关联整合,并归集到相关商用密码市场主体名下。充分运用大数据等技术,加强对风险的跟踪预警。提升商用密码事中事后监管的精准化、智能化水平。
《密码法》的贯彻建议
…
扫一扫
1961
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
