《商用密码管理条例》解读
2023年7月1日起,经国务院修订通过的《商用密码管理条例》将正式生效。
1. 什么是密码
(1)密码的概念
现实生活中提到“密码”一词,人们通常以为就是每天接触的手机开机“密码”、电子邮箱登录“密码”、微信支付“密码”、银行卡支付“密码”等。实际上,生活中的这些“密码”只是进入个人手机、电子邮箱或者个人银行账户的口令(password)、“通行证”。因此,上述场合输入的password更确切的翻译应该为“通行字”,是一种基本的、较为初级的身份认证手段。
根据《中华人民共和国密码法》,密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。《密码法》管理的是cryptography,即通过密码学方式实现的加密保护与安全认证,而password之类的口令,不属于的管理范畴。
更多关于密码学的概念和技术介绍可以通过密码学专栏进行了解。
(2)密码的分类
根据《中华人民共和国密码法》,密码分为核心密码、普通密码和商用密码。
- 核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。
- 商用密码,是指采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
2. 《商用密码管理条例》解读
商用密码管理条例 (全文)已经2023年4月14日国务院第4次常务会议修订通过,自2023年7月1日起施行,包括总则、科技创新与标准化、检测认证、电子认证、进出口、应用促进、监督管理、法律责任、附则九章,共六十七条。
(1)为什么制定《商用密码管理条例》
《条例》第一条明确:“为了规范商用密码应用和管理,鼓励和促进商用密码产业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国密码法》等法律,制定本条例。“
(2)《商用密码管理条例》适用范围是什么
《条例》第二条明确:“在中华人民共和国境内的商用密码科研、生产、销售、服务、检测、认证、进出口、应用等活动及监督管理,适用本条例。本条例所称商用密码,是指采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。”
(3)谁负责管理商用密码
《条例》第三条明确:“坚持中国共产党对商用密码工作的领导,贯彻落实总体国家安全观。国家密码管理部门负责管理全国的商用密码工作。县级以上地方各级密码管理部门负责管理本行政区域的商用密码工作。网信、商务、海关、市场监督管理等有关部门在各自职责范围内负责商用密码有关管理工作。”
(4)检测认证制度的范围是什么
《条例》第十二条规定了“自愿”的一般原则:“国家推进商用密码检测认证体系建设,鼓励在商用密码活动中自愿接受商用密码检测认证。”,第二十条还规定了“应当”检测认证的例外原则,即:“涉及国家安全、国计民生、社会公共利益的商用密码产品和服务,必须检测认证合格后,方可销售或者提供“。
(5)检测认证的范围是什么
《条例》第十二条规定:“商用密码认证机构应当对其认证的商用密码产品、服务、管理体系实施有效的跟踪调查,以保证通过认证的商用密码产品、服务、管理体系持续符合认证要求。”
(6)电子认证制度的适用对象是什么
《条例》第二十二条规定,“采用商用密码技术提供电子认证服务,应当具有与使用密码相适应的场所、设备设施、专业人员、专业能力和管理体系,依法取得国家密码管理部门同意使用密码的证明文件。”在实践中,该证明文件指的就是《电子认证服务使用密码许可证》。
采用商用密码技术从事电子政务电子认证服务的机构,应当经国家密码管理部门认定,依法取得电子政务电子认证服务机构资质。
(7)电子政务电子认证制度的适用对象是什么
《条例》第二十四条规定:“采用商用密码技术从事电子政务电子认证服务的机构,应当经国家密码管理部门认定,依法取得电子政务电子认证服务机构资质。”
相比《电子认证服务使用密码许可证》而言,电子政务电子认证具有较强独立性,是一项独立的机构资质。从服务对象上看,电子认证服务分为两类:一类是为各级政务部门开展社会管理、公共服务等政务活动提供的电子认证服务;另一类是面向企事业单位、社会团体、社会公众提供的电子认证服务。按照国家密码管理局《电子政务电子认证服务管理办法》,此处指第一类。
(8)从事电子政务电子认证服务的机构有什么要求
《条例》第二十四条规定:“采用商用密码技术从事电子政务电子认证服务的机构,应当经国家密码管理部门认定,依法取得电子政务电子认证服务机构资质。”
《条例》第二十四条规定:
取得电子政务电子认证服务机构资质,应当符合下列条件:
- (一)具有企业法人或者事业单位法人资格;
- (二)具有与从事电子政务电子认证服务活动及其使用密码相适应的资金、场所、设备设施和专业人员;
- (三)具有为政务活动提供长期电子政务电子认证服务的能力;
- (四)具有保证电子政务电子认证服务活动及其使用密码安全运行的管理体系。
(9)商用密码应用安全性评估有哪些要求
《条例》第三十八条规定:
“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。”
“前款所列关键信息基础设施通过商用密码应用安全性评估方可投入运行,运行后每年至少进行一次评估,评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案。”
《条例》第第三十九条规定:“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,使用的商用密码产品、服务应当经检测认证合格,使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定。”
3. 《商用密码管理条例》的重要意义
(1)规范商用密码应用,守护公民数据安全
商用密码技术与我们的社会生活密切相关。我们日常使用的移动支付、身份证、社保卡等各类电子证件、各类通信手段都运用了商用密码技术,以实现对信息交互、身份认证、数据存储等过程进行保护。
新修订的《商用密码管理条例》规定:“国家鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全”,强调“任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的商用密码保障系统,不得利用商用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动”。
新修订的《商用密码管理条例》出台后,将为推进新时代商用密码高质量发展、保障网络与信息安全、维护国家安全和社会公共利益、保护公民合法权益提供有力法治保障。
(2)推进检测认证体系建设 激发市场活力
商用密码应用日益广泛,为了更好激发市场活力,《商用密码管理条例》修订过程中,也对行政审批等流程进行了简化优化。
《商用密码管理条例》在修订过程中,取消了商用密码产品生产单位审批、销售单位许可、品种和型号审批,取消了商用密码科研机构指定审批。同时明确,国家推进商用密码检测认证体系建设,鼓励在商用密码活动中自愿接受商用密码检测认证;要求建立国家统一推行的商用密码认证制度,实行商用密码产品、服务、管理体系认证;强调要规范检测机构活动,依法依规对商用密码进行审查。
新修订的《商用密码管理条例》贯彻《密码法》的基本制度框架,并对商用密码管理制度进行了体系化的完善和细化,无论是对于规范发展、或是赋能行业等方面,都具有重要实际价值,也将为推进新时代商用密码高质量发展、保障网络与信息安全、维护国家安全和社会公共利益、保护公民合法权益提供有力法治保障。