10月26日,十三届全国人大常委会第十四次会议表决通过密码法。通过立法,中国对密码实行分类管理,推进国家密码法治建设。新通过的密码法分总则,核心密码、普通密码,商用密码,法律责任和附则,共五章合计44条,《密码法》将于2020年1月1日起施行。
密码法的来临预示着中国密码法合规新时代的开启,这对于电子签名行业来说,对于不合规的企业将是一个重大打击。
————————————
其实,对于《密码法》制定、修改的过程,签小侠一直密切关注,2019年6月26日公众号文章《密码法出台倒计时,e签宝为电子签章安全化保驾护航》我们介绍了《密码法(草案)》的立法过程与核心条款,2019年7月17日,公众号文章《从“管企业”到“管产品”,商密三证究竟有怎样的前世今生?》我们介绍了《密码法》对于《商用密码产品生产定点单位证书》、《商用密码产品型号证书》、《å商用密码产品销售许可证》的影响。
相较于之前的草案,《密码法》(正式稿)明确要求实行密码“保密责任制”,并对商用密码产品强制检测认证制度、商用密码应用安全性评估和国家安全审查制度等进行修改。此外,《密码法》(正式稿)还加入“安全风险评估”机制,并完善了与网络安全法的衔接。
《密码法(正式稿)》
与《密码法(草案)》的比对
第七条
《密码法(正式稿)》:
……核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。
《密码法(草案)》:
……核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码的科研、生产、检测、装备、使用和销毁等实行严格统一管理
第十条
《密码法(正式稿)》:
国家采取多种形式加强密码,将密码安全教育纳入国民教育体系和公务员教育培训体系,增强公民、法人和其他组织的密码安全意识
《密码法(草案)》:
国家采取多种形式加强密码宣传教育,将密码安全教育纳入国民教育体系和公务员教育培训体系,鼓励和支持社会团体、公众开展和参与密码知识的普及、推广
第十三条
《密码法(正式稿)》:
国家加强核心密码、普通密码的科学规划、管理和使用,加强制度建设,完善管理措施,增强密码安全保障能力
《密码法(草案)》:
国家加强核心密码、普通密码的科学规划和使用,加强制度建设,完善管理措施,增强密码通信服务和网络空间密码保障能力
第十五条
《密码法(正式稿)》:
从事核心密码、普通密码的科研、生产、服务、检测、装备、使用和销毁等工作的机构(以下统称密码工作机构)应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全
《密码法(草案)》:
核心密码、普通密码的科研、生产、检测、装备、使用和销毁单位(以下统称密码工作机构)应当按照法律、行政法规、国家有关规定及国家密码管理部门的要求,建立健全安全管理制度,采取严格的保密措施,确保核心密码、普通密码的安全
《密码法(正式稿)》新增第二十一条第二款
《密码法(正式稿)》:
各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术
《密码法(正式稿)》新增第二十五条第三款
《密码法(正式稿)》:
商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务
《密码法(正式稿)》新增第二十六条
《密码法(正式稿)》:
……商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证
第二十七条
《密码法(正式稿)》:
自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评
《密码法(草案)》:
开展商用密码应用安全性评估
《密码法(正式稿)》新增第三十一条第二款
《密码法(正式稿)》:
……密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供
第三十二条
《密码法(正式稿)》:
违反本法第十二条规定,窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的,由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任
《密码法(草案)》:
违反本法第十二条或者有关法律、行政法规规定,窃取他人的加密信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益的活动或者其他违法犯罪活动的,依法追究法律责任
《密码法(正式稿)》新增第三十四条第二款
《密码法(正式稿)》:
违反本法第十七条第二款规定,发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未立即采取应对措施,或者未及时报告的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理
第三十七条
《密码法(正式稿)》:
关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款
《密码法(草案)》:
违反本法第二十七条第一款规定使用商用密码,违反本法第二十七条第二款规定采购、使用未经安全审查或者安全审查未通过的产品或者服务的,依照《中华人民共和国网络安全法》的规定处罚
《密码法》正式出台
必将开启我国密码合规新时代
1、《密码法》对于密码概念的确定使“密码”有了法律层面的内涵和外延。
根据《密码法》第二条“本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务”。密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段。
密码的主要功能有两个,一个是加密保护,另一个是安全认证。显然,前述《密码法》语境下的密码并不等同于普通人接触到且常用的自我设定数字字母组合的“密码”,比如,网银密码,qq密码。
2、《密码法》(正式稿)加入了很多网络安全法衔接的表述。
从《密码法》(正式稿)与《密码法》(草案)的对比即可看出,《密码法》(正式稿)加入了很多网络安全法衔接的表述。
显然,《密码法》(正式稿)出台强化了与《网络安全法》《保守国家秘密法》《电子签名法》《电子商务法》等有关法律的协调与衔接,反映了我国立法水平的统一与进步。
3、从传统单一的密码产品交付到综合解决方案,是密码行业发展的重要趋势。
《密码法》全文共有13初提到“服务”,这表明,我国密码领域从传统单一的密码产品交付,演进到密码服务,以及结合密码产品和密码服务的综合解决方案,是密码行业发展的重要趋势。
4、《密码法》的出台很好的反映出新时代密码工作面临的新机遇和挑战。
一方面,核心密码和普通密码维护国家安全方面的基本制度、密码管理部门和密码工作机构及其工作人员开展核心密码和普通密码工作的保障措施等,需要通过国家立法予以明确。另一方面,传统对商用密码实行全环节许可管理的手段已不适应职能转变和“放管服”改革要求,亟需在立法层面重塑现行商用密码管理制度。
而《密码法》的出台体现了国家监管机构对于核心密码和普通密码分类管理以及重视服务、依靠市场的态度。对未来密码服务市场的发展具有极其重要的意义。
5、此外,《密码法》的出台并不是我国密码监管的终点。
显然,随着物联网时代的到来,密码的形式愈发多样了,包括指纹识别、人脸识别、虹膜识别等多种带有个人信息的新型密码如何规范和保护仍需要后续监管规定出台加以规制。对于电子签名行业来说,《密码法》的出现,更加促进业内的规范化,有法可依。
完善信息立即免费体验!
提交成功!
我们的顾问会在1个工作日内与您取得联系
完善信息立即免费体验!