2019年10月26日,13届全国人大常委第14次会议,通过《中华人民共和国密码法》,习近平主席签署第35号主席令予以公布。2020年1月1日起正式实行。
《密码法》是什么?
有什么内容呢?
下面和小布一起看看
Q:密码法立法的目的和重要意义。
A:密码是国家重要战略资源,密码工作是党和国家的一项特殊重要工作,直接关系国家政治安全、经济安全、国防安全和信息安全,在我国革命、建设、改革各个历史时期,都发挥了不可替代的重要作用。
进入新时代,密码工作面临着许多新的机遇和挑战,担负着更加繁重的保障和管理任务,制定一部密码领域综合性、基础性法律,十分必要。
密码法立法主要有三个方面的目的:
第一,坚决贯彻党管密码根本原则,落实中央指示批示精神。制定密码法,就是要以习近平新时代中国特色社会主义思想为指导,全面贯彻落实习近平总书记关于密码工作的系列重要指示批示精神,以及中央关于密码工作的方针政策,确保党的主张通过法定程序成为国家意志,立足我国国情,走中国特色密码发展道路。
第二,规范密码应用和管理,促进密码事业发展。目前社会公众使用密码保护网络与信息安全的意识还不够强,特别是重要网络与信息系统密码应用规范性、有效性不够的问题还比较突出,严重威胁国家网络与信息安全、企业商业秘密以及公民个人隐私保护。为此,国家对关键信息基础设施商用密码的应用、基础支撑能力的提升以及安全性评估、审查制度等不断提出明确要求,需要及时上升为法律规范。另外,传统上对商用密码实行全环节许可管理,已经不适应政府职能转变和“放管服”改革要求,亟需通过立法对现行的商用密码管理制度作出调整,切实为企业松绑减负,促进密码科技进步和创新,促进密码产业健康发展。
第三,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。当今网络与信息时代,每天都产生大量敏感信息,网络诈骗、侵犯隐私事件层出不穷,亟需有效的安全防护措施。密码是保障网络与信息安全的核心技术和基础支撑。制定密码法,就是要更好地促进密码产业发展,营造良好市场秩序,为社会提供更多优质高效的密码,充分发挥密码在网络空间中信息加密、安全认证等方面的重要作用,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。
总的来说,密码法立法是对党管密码根本原则的坚决贯彻,是适应我国国家安全新形势和密码广泛应用新挑战的时代需求,是构建与国家治理体系和治理能力现代化相适应的法律制度体系的重要举措,是确保密码使用优质高效、确保密码管理安全可靠的法治保障。密码法的颁布实施,将大大提升密码工作的科学化、规范化、法治化水平,有力促进密码技术进步、产业发展和规范应用,切实维护国家安全、社会公共利益以及公民、法人和其他组织的合法权益。
Q:密码法的主要内容。
A:密码法是总体国家安全观框架下,国家安全法律体系的重要组成部分,也是一部技术性、专业性较强的专门法律。本法注重把握“放管服”改革要求与保障国家安全的平衡,注意处理好与网络安全法、保守国家秘密法等有关法律的关系。
密码法共五章四十四条,围绕“怎么用密码、谁来管密码、怎么管密码”,重点规范了以下内容:
第一章总则部分,主要规定了本法的立法目的、密码工作的基本原则、密码工作的领导和管理体制,并对核心密码、普通密码和商用密码在发展促进和保障措施方面的共性内容作了规定。
第二章核心密码、普通密码部分,规定了核心密码、普通密码的主要管理制度,包括核心密码、普通密码使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施。
第三章商用密码部分,规定了商用密码的主要管理制度,包括商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。
第四章法律责任部分,规定了违反本法相关规定应当承担的相应的法律后果。
第五章附则部分,规定了国家密码管理部门的规章制定权,解放军和武警部队密码立法事宜以及本法的施行日期。
Q:密码的重要作用。
A:密码法中的密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段,在我国革命、建设、改革各个历史时期,都发挥了不可替代的重要作用。
密码就像网络空间的DNA,是构筑网络信息系统免疫体系和网络信任体系的基石,直接关系国家政治安全、经济安全、国防安全和信息安全,是保护党和国家根本利益的战略性资源,是国之重器。
核心密码、普通密码用于保护国家秘密信息和涉密信息系统,有力地保障了中央政令军令安全,为维护国家网络空间主权、安全和发展利益构筑起牢不可破的密码屏障。
商用密码广泛应用于国民经济发展和社会生产生活的方方面面,涵盖金融和通信、公安、税务、社保、交通、卫生健康、能源、电子政务等重要领域,积极服务“互联网 ”行动计划、智慧城市和大数据战略,在维护国家安全、促进经济社会发展、保护公民、法人和其他组织合法权益方面发挥着重要作用。
在金融领域,使用商用密码的金融芯片卡,有效遏制了银行卡伪造、网上交易身份仿冒等违法犯罪活动。
在税收领域,增值税防伪税控系统采用商用密码技术保护涉税信息,有效遏制了通过篡改发票票面信息进行偷税、漏税等违法犯罪活动。
在社会管理领域,公安部已累计发放使用商用密码芯片的第二代居民身份证超过18亿张,有效杜绝了伪造、变造身份证等违法犯罪行为。
Q:为什么要对密码实行分类管理?
A:将密码分为核心密码、普通密码和商用密码,实行分类管理,是党中央确定的密码管理根本原则,是保障密码安全的基本策略,也是长期以来密码工作经验的科学总结。
核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息,商用密码用于保护不属于国家秘密的信息。
三类密码保护的对象不同,对其进行明确划分,有利于确保密码安全保密,有利于密码管理部门根据不同信息等级和使用对象,对密码实行科学管理,充分发挥三类密码在保护网络与信息安全中的核心支撑作用。
Q:核心密码、普通密码属于国家秘密,主要规范党政机关内部管理的事项,为什么要通过制定法律予以规范?
A:核心密码、普通密码虽然主要规范党政机关内部管理的事项,仍然要通过制定法律予以规范。主要考虑包括:
一是核心密码、普通密码用于保护国家秘密信息,直接关系国家安全和社会公共利益,需要通过制定法律予以规范。
二是核心密码、普通密码虽然主要规范党政机关内部管理的事项,但也有必要纳入依法管理范畴。党政机关应当严格按照法律法规的有关规定使用核心密码、普通密码,在法律范围内从事相关活动。
三是核心密码、普通密码的管理措施以及密码管理部门、密码工作机构及其工作人员开展核心密码、普通密码工作的保障措施等,需要通过国家立法提供法律依据,把党的主张通过法定形式转化为国家意志,进一步提升密码工作的法治化保障水平。
Q:密码法对商用密码使用提出了什么要求?
A:密码法规定公民、法人和其他组织可以依法使用商用密码保护网络与信息安全,对一般用户使用商用密码没有强制性要求。由于商用密码属于两用物项,密码法明确规定,任何组织或者个人不得窃取他人的加密保护的信息或者非法侵入他人的密码保障系统,不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
同时,为了保障关键信息基础设施安全稳定运行,维护国家安全、社会公共利益,密码法要求关键信息基础设施必须使用商用密码进行保护并开展商用密码应用安全性评估,要求关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当通过国家网信办会同国家密码管理局等有关部门组织的国家安全审查。
Q:为什么密码法要对采用商用密码技术从事电子政务电子认证服务的机构进行认定?
A:密码法设立该制度是维护国家安全和社会公共利益的需要。电子政务电子认证服务是一种专业技术性很强的特殊服务,直接服务于政务部门的政务活动,涉及范围广,敏感信息多,其质量与安全性直接关系国家安全和社会公共利益,有必要采取行政许可的方式对服务机构的电子政务电子认证服务能力进行评估,加强对建设、运维、应用和服务等各环节的行政监管和技术把关,确保其质量与安全性。
其实,
《密码法》与老百姓生活息息相关
我们平时在银行存取款、购物时刷卡
密码时时刻刻都伴随在我们身边
密码法第2条作出了明确的定义,说本法所称密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术产品和服务。
这个定义包含了什么含义?
一是密码的主要表现形式是技术、产品和服务;二是密码的主要功能是加密保护、安全认证;三是密码保护的对象是信息等相关内容;四是法的本质属性是特定变换的方法。
举几个例子
银行转账
你在早上6点整向银行申请给朋友的账户转1万块钱,但银行怎么确认这个申请是你本人的真实意思,确认转账金额分毫不差呢?这就需要使用安全认证。在不使用密码产品的情况下,你在网上输入的姓名、银行卡号、身份证号、银行卡、口令等等信息,极易被不法分子获取。接下来这些不法分子可以用这些获取的信息,假冒你的名义,从你的银行卡里转钱了。为了确保网上银行交易的安全,银行为我们办理了U盾,或者动态令牌,就是用于安全认证的密码产品。
那么以动态令牌为例,你输定转账信息后,银行的信息系统会要求你输入令牌里的6位数或8位数。那么这几位数字是怎么产生的呢?这是使用特定密码算法,根据你的身份、账号、金额、申请时间等信息计算出来的,这个过程中只要任何一项信息变化,比如说转账金额变成了9999块,或者说转账时间变为了6:01,都会使令牌显示的数字完全不同。这样就通过动态令牌的认证,保证了你网上银行交易的安全。
刷卡消费
当我们利用银行卡刷卡消费时,先在商家POS机上刷卡,输入银行卡口令后,POS机会将此次交易的口令等信息加密,与银行后台数据库中的个人账户信息进行核对,确认持卡人是真实的,然后基于消费信息、流水号、金额等,使用密码技术计算出一串用于安全认证的数字,用密码术语讲就是交易信息的“数字签名”,通过网络传输给银行后台系统,后台收到信息及其数字签名后,会再用密码技术验证这个签名与发来的消费信息、金额等是否一致,核对通过后反馈交易成功。交易成功后,银行会将对应的金额从持卡人账户转到商家账户,交易完成。整个交易过程,利用密码技术,实现了“交易双方的身份真实有效”、“交易的账号、口令不被第三方非法获取”,“交易金额不被篡改”,“交易双方的行为事后不能抵赖”。
发票防伪
1994年我国开始使用增值税发票,由于当时发票只采用了类似人民币物理防伪的方法,出现了不法分子开具假票、大头小尾,也就是阴阳票等偷逃国家税款的行为,造成国家税款的大量流失。为此国家组织有关部门研制了增值税防伪税控系统。增值税防伪税控系统采用商用密码技术保护涉税信息,增值税发票上的所有票面信息都要经密码进行加密,产生密文,这一长串乱码以四个二维码的形式打印在发票右侧的密码区。在税额抵扣环节对密文进行解密,解密后的发票要素与发票明文进行比对,从而确定发票的明文信息是否真实。如果比对后没有通过,就可以认定是假发票,税额不能抵扣。这一防伪技术每年为国家减少税收流失1000亿元以上。
原来
我们输入的取款密码,
网站的登录密码,
实际上并不是密码法中规定的密码。
准确讲,应该称为口令,
只是一种最简单、最初级的认证方式。
而真正的密码藏在我们安全认证设备中,
藏在密码系统,
默默守护着国家秘密信息的安全,
守护着我们每个人的信息安全。
来源:摘选密码头条