中华人民共和国密码法
提到“密码”,人们通常以为是我们每天接触的计算机或手机开机密码、银行卡支付密码等。生活中的这些“密码”实际上是口令,是一种简单、初级的身份认证手段,是最简易的密码。而密码法草案中的“密码”,是指使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段。密码的主要功能有两个,一个是加密保护,另一个是安全认证。
密码技术是保障网络安全的核心技术,密码算法和密码产品的自主可控是确保我国信息安全的重中之重。当前我国大多采用国外制定的加密算法,存在着大量的不可控因素,一旦被不法分子利用攻击,所产生的损失将不可估量。实现密码产品自主可控软硬件全国产化替换,是防止后门漏洞的最有效方法,是保障网络安全的终极举措。国密算法具备自主知识产权,符合国家信息产品国产化战略。我们认为随着国产替代趋势的进一步加强,存量市场上,国密算法将有望实现对 RSA 等国际算法的加速替代。
国家将密码分为核心密码、普通密码、商用密码,实行分类管理。以商用密码 SM2 算法为例,SM2 拥有更高的安全性能和更快加密速度。目前主流的 RSA 算法是基于大整数因子分解数学难题 (IFP) 进行设计,其数学原理相对简单,单位安全强度相对较低。SM2 是基于 ECC,单位安全强度相对较高。基于 ECC 的 SM2 证书普遍采用 256 位密钥长度,加密强度等同于 3072 位 RSA 证书,高于业界普遍采用的 2048 位 RSA 证书。更长的密钥意味着必须来回发送更多的数据以验证连接,产生更大的性能损耗和时间延迟。SM2 算法能够以较小的密钥和较少的数据传递建立 HTTPS 连接,在确保相同安全强度的前提下提升连接速度。
应网络安全形式、国家网络战略及密码领域法律建设所需,建立国产自主商用密码体系迫在眉睫。随着商用密码技术不断创新,我国商用密码产业蓬勃发展,预计到 2020 年商密行业规模可突破 400 亿。PKI(公钥基础设 Public Key Infrastructure) 相关领域作为国产商用密码体系中的重要组成部分,在国产通用算法全面推广的关键时期,未来有望进一步应用于“云大物智移”等新兴领域。
密码法分总则,核心密码、普通密码,商用密码,法律责任,附则五章四十四条。对密码分类、商用密码制度、密码发展促进和保障措施、相应的法律责任等方面作出规定,旨在通过立法提升密码管理科学化、规范化、法治化水平,促进我国密码事业稳步健康发展。
提升密码工作法治化保障水平
密码法明确对密码实行分类管理原则。按照保护信息的种类这一分类标准,明确规定密码分为核心密码、普通密码和商用密码,实行分类管理。
核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级;核心密码、普通密码属于国家秘密,由密码管理部门依法实行严格统一管理。商用密码用于保护不属于国家秘密的信息;公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。
在核心密码、普通密码方面,深入贯彻总体国家安全观 , 将现行有效的基本制度、特殊管理政策及保障措施法治化;在商用密码方面,明确公民、法人和其他组织均可依法使用。
为贯彻落实职能转变和“放管服”改革要求,规范和促进商用密码产业发展,密码法规定了商用密码的主要制度:规定国家鼓励商用密码技术的研究开发和应用,健全商用密码市场体系 , 鼓励和促进商用密码产业发展;规定了商用密码标准化制度;建立了商用密码检测认证制度,并鼓励从业单位自愿接受商用密码检测认证;对列入网络关键设备和网络安全专用产品目录的商用密码产品、用于网络关键设备和网络安全专用产品的商用密码服务实行强制性检测认证;规定关键信息基础设施应当依法使用商用密码、开展安全性评估及国家安全审查;对特定范围的商用密码实行进口许可和出口管制制度;规定了电子政务电子认证服务管理制度;支持商用密码行业协会积极发挥作用,加强行业自律,促进行业健康发展;规定了密码管理部门和有关部门建立商用密码事中事后监管制度。
在密码发展促进和保障措施方面,按照规定,国家鼓励和支持密码科学技术研究、交流,依法保护密码知识产权,促进密码科学技术进步和创新,建立密码工作表彰奖励制度;国家加强密码宣传教育,任何组织或者个人不得窃取他人的加密信息,不得非法侵入他人的密码保障系统,不得利用密码从事危害国家安全、社会公共利益、他人合法权益的活动或者其他违法犯罪活动。
密码转换中的“降密、解密”问题
常委会会议对密码法草案进行分组审议审议时,部分与会人员谈到了核心密码、普通密码和商用密码的转换问题。密码是一种技术产品,现在是核心密码,过一段时间随着技术的进步,可能已经不能满足核心密码的要求,就会降密了。再比如,某一台服务器设置的密码,本来是商用密码,但是用到核心密码的空间,或者普通密码的空间以后,就不能再按照商用密码来管理,而是要按照普通密码甚至核心密码来管理,因为它已成为一个体系的一部分。密码不管是核心密码、普通密码还是商用密码,都有一个特点,就是时间、空间上会转换。密码法应把握和处理好核心密码、普通密码、商用密码的关系和转化问题。有些核心密码、普通密码随着时间的推移和形势的发展会解密,什么时候解密,要及时向社会公布,便于大家共享。
密码法的制定还应准确把握和处理好国家秘密的保护与商用秘密和个人信息保护的关系。现在随着信息社会的发展,特别是互联网的发展,商业秘密越来越多。在国家安全和商业秘密以及个人信息保护发生冲突的情况下,怎样处理好这种关系?法律上怎样去界定?这是密码法制定中需要很好考虑和把握的问题。不然的话,两种情况都可能出现:一种是以保护商业秘密、保护个人信息为由危害到国家安全;另一种是个别部门以国家安全为由对互联网公司和个人信息保护造成侵害。这方面也涉及一些应当征求网信部门或者密码部门的鉴定和认证的情况,在密码法制定中还要考虑得更具体和细致一些。
生物特征密码应纳入密码法监管范围
关于密码形式,早期基本上都是数字加密,现在密码的形式已经多种多样了,包括指纹识别、人脸识别、虹膜识别等,有很多种方法,建议在密码法里给予规定。生物特征密码指的是将指纹、人脸、虹膜等人体生物特征进行抽象表达,提取出密码字符串,实现了人体自身与密码的绑定,用户无需再记忆密码口令或携带认证证件,从而减少了传统密码手段存在的泄露盗用等问题。生物特征密码技术在近 20 年得到了蓬勃发展,该技术既可以保护人体生物特征模板的安全与隐私,也可以在生物特征中提取密码,是一种具备更高安全性的密码生成、管理技术。但涉及的人体生物特征安全性需要得到重视。人体生物特征是特别敏感的隐私信息,可能会在使用与存储的过程中泄露,并且一旦泄露无法撤销和更新,严重影响用户的数据隐私。
行业主管部门应在生物密码相关领域加大技术投入,对形式多样的生物密码技术进行安全性分析,建立安全性检测标准,并对生物密码应用进行监管。新技术的发展会促进密码技术与密码系统的改进与完善,同时密码管理部门也需要支持新型密码技术的发展应用,推进相关新型密码技术的标准化工作,完善密码检测认证体系以及新型密码技术的推广应用。
另外,“App 收集个人信息”“解码软件”“网上支付安全”等互联网领域存在的问题。现在密码市场上有很多解码软件,如盾;解码属于矛,是鼓励还是不鼓励?对市场上解码软件如何管理需要研究。密码法应对推动商用密码的应用或者强制应用作出规定,现在很多 App 都在收集个人信息,要求权限,不给就用不了。谁来管这个事?这样的 App 企业至少应该使用商用密码,谁来管、谁来监督这个事都是非常重要的。作为密码法应该在商用密码一节里规定一些必须使用的范围,如除了重大基础设施以外,能不能增加涉及收集公民个人信息的应该使用商用密码的规定?
PKI 应用及密码行业大有可为
PKI 系统构建网络安全防线。在网络安全中,身份认证作为第一道,甚至是最重要的一道防线。身份认证就是在网络系统中通过某种手段确认操作者身份的过程,其目的在于判明和确认通信双方和信息内容的真实性。基于公共密钥的认证机制拥有 Kerberos 的认证机制的优点,同时使用非对称加密技术,拥有极高的安全性,也解决了用户过多时密钥管理的问题,是目前应用中最为安全可靠的方法,但是实现起来较为复杂,需要建设相应的配套设施,目前较为流行和完善的是以 PKI 为核心的一套信息安全系统。当前网络技术快速升级迭代,建设基于 PKI 的网络安全系统是网络安全面临的一项紧迫任务。
受益等保 2.0,PKI 应用领域将得到极大推广,在物联网时代极具市场前景。PKI 中核心载体为数字证书,即由具有公信力的机构(CA)为个人颁发的身份证明,其可看作个人在虚拟网络世界的身份证。PKI 产品广泛应用于平时生活中,使用 PKI 技术的应用包括安全认证网管关(保证远程连接安全)、网银(Usb Key 证书或文件证书)、安全电子交易(数字签名和验签)等。目前,国内设计高等级安全性应用的相关领域,均不同程度的采用了 PKI 技术。受益等保 2.0,在金融领域、移动支付领域、云计算领域、电子政务领域都对 PKI 技术有强需求。且未来物联网有巨大市场空间,密码应用产业将是一片蓝海。
密码应用大有可为,密码相关企业将充分受益。卫士通作为我国网络安全国家队,深耕密码行业,已经围绕密码体系构建了非常完整的安全系统。新任董事长卿昱上任后管理风格变化明显,目前已经与各业务线主管签订年度目标责任书,提出奋战二季度。格尔软件作为 PKI 系统基础设施提供商,为我国政府多个部门提供产品,是 PKI 行业领军企业。数字认证作为 PKI 系统应用方,是电子认证技术优势企业,可提供一体化的电子认证解决方案,充分受益电子认证行业快速发展。
中华人民共和国密码法
(2019年10月26日第十三届全国人民代表大会常务委员会第十四次会议通过)
目录
第一章 总则
第二章 核心密码、普通密码
第三章 商用密码
第四章 法律责任
第五章 附则
第一章 总则
第一条 为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定本法。
第二条 本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
第三条 密码工作坚持总体国家安全观,遵循统一领导、分级负责,创新发展、服务大局,依法管理、保障安全的原则。
第四条 坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导,制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。
第五条 国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。
国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。
第六条 国家对密码实行分类管理。
密码分为核心密码、普通密码和商用密码。
第七条 核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。
核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。
第八条 商用密码用于保护不属于国家秘密的信息。
公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
第九条 国家鼓励和支持密码科学技术研究和应用,依法保护密码领域的知识产权,促进密码科学技术进步和创新。
国家加强密码人才培养和队伍建设,对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。
第十条 国家采取多种形式加强密码安全教育,将密码安全教育纳入国民教育体系和公务员教育培训体系,增强公民、法人和其他组织的密码安全意识。
第十一条 县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级财政预算。
第十二条 任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。
任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
第二章 核心密码、普通密码
第十三条 国家加强核心密码、普通密码的科学规划、管理和使用,加强制度建设,完善管理措施,增强密码安全保障能力。
第十四条 在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。
第十五条 从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构(以下统称密码工作机构)应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全。
第十六条 密码管理部门依法对密码工作机构的核心密码、普通密码工作进行指导、监督和检查,密码工作机构应当配合。
第十七条 密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。
密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的,应当立即采取应对措施,并及时向保密行政管理部门、密码管理部门报告,由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置,并指导有关密码工作机构及时消除安全隐患。
第十八条 国家加强密码工作机构建设,保障其履行工作职责。
国家建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。
第十九条 密码管理部门因工作需要,按照国家有关规定,可以提请公安、交通运输、海关等部门对核心密码、普通密码有关物品和人员提供免检等便利,有关部门应当予以协助。
第二十条 密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度,对其工作人员遵守法律和纪律等情况进行监督,并依法采取必要措施,定期或者不定期组织开展安全审查。
第三章 商用密码
第二十一条 国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。
各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。
商用密码的科研、生产、销售、服务和进出口,不得损害国家安全、社会公共利益或者他人合法权益。
第二十二条 国家建立和完善商用密码标准体系。
国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。
国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
第二十三条 国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。
国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
第二十四条 商用密码从业单位开展商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。
国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。
第二十五条 国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。
商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。
商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。
第二十六条 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。
商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
第二十八条 国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。