问:《密码法》的立法目的是什么?
答:一、规范密码应用和管理,促进密码事业发展
目前,有关部门、单位和社会公众对密码的作用认识不够全面,使用密码保护网络与信息安全的意识还不够强,特别是重要网络与信息系统密码应用规范性、有效性不够的问题还比较突出,严重威胁国家网络与信息安全、企业商业秘密以及公民个人隐私保护。国家对涉密信息系统和关键信息基础设施商用密码的应用、基础支撑能力的提升以及安全性评估、审查制度等不断提出明确要求,需要上升为法律规范,为维护国家网络与信息安全提供法治保障。在核心密码、普通密码方面,需要将现行有效的安全管理制度、特殊管理政策及保障措施法治化,增强核心密码、普通密码安全保障能力。在商用密码方面,传统上对商用密码实行全环节许可管理,已经不适应政府职能转变和“放管服”改革要求,亟需通过立法对现行的商用密码管理制度作出调整,切实为企业松绑减负,促进密码科技进步和创新,促进密码产业健康有序发展。
二、保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益
在网络与信息时代,每天都会产生大量涉密和敏感信息,网络窃密、网络诈骗、侵犯隐私等事件层出不穷,亟需有效的安全防护措施。密码是保障网络与信息安全的核心技术和基础支撑。制定《密码法》,就是要更好地促进密码产业发展,营造良好的市场秩序,为社会提供更多优质高效的密码,引导全社会正确、合规、有效使用密码,充分发挥密码在网络空间中信息加密、安全认证等方面的重要作用,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。
问:《密码法》经历了怎样的立法过程?
答:党和国家高度重视密码立法工作,2018年至2019年,全国人大常委会和国务院都将《密码法》列入了立法工作规划。
2014年12月,国家密码管理局正式启动《密码法》的立法工作。
2017年4月至5月,《中华人民共和国密码法(草案征求意见稿)》在国家密码管理局商用密码管理办公室网站首次面向社会公开征求意见。
2017年6月,《中华人民共和国密码法(草案送审稿)》正式报送国务院。
2019年6月10日,《中华人民共和国密码法(草案)》(以下简称草案)经国务院第52次常务会议会讨论通过。6月15日,李克强总理签署议案,正式将草案提请全国人大常委会审议。
2019年6月25日至29日,十三届全国人大常委会第十一次会议对草案进行了首次审议。
2019年7月5日至9月2日,草案在中国人大网面向社会公开征求意见。
2019年10月21日至26日,十三届全国人大常委会第十四次会议对草案进行了二次审议。
10月26日,十三届全国人大常委会第十四次会议表决通过《密码法》,习近平主席签署第三十五号主席令正式颁布,自2020年1月1日起施行。
问:《密码法》中“密码”的概念是什么?
答:《密码法》中的密码(cryptography),是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。而人们日常接触的计算机或手机开机“密码”、微信“密码”、QQ“密码”、电子邮箱登录“密码”、银行卡支付“密码”等,实际上是口令(password)。口令是进入个人计算机、手机、电子邮箱或银行账户的“通行证”,是一种简单、初级的身份认证手段,“口令”不在《密码法》的管理范围之内。
问:密码有哪些主要功能?
答:密码的主要功能有两个,一个是加密保护,另一个是安全认证。
加密保护是指采用特定变换的方法,将原来可读的信息变成不能直接识别的符号序列。简单地说,加密保护就是将明文变成密文。例如,古希腊军队使用一种叫做“斯巴达棒”的圆木棍来进行加密通信,使用方法是:把一根长带状羊皮纸缠绕在圆木棍上,然后在上面写字;解下羊皮纸后,上面只有乱序的字符,只有再次以同样的方式缠绕到同样粗细的木棍上,才能看出所写的内容。
安全认证是指采用特定变换的方法,确认信息是否完整、是否被篡改、是否可靠以及行为是否真实。简单地说,安全认证就是确认主体和信息的真实可靠性。例如,增值税防伪税控系统采用商用密码技术保护涉税信息,增值税发票信息经密码算法进行加解密处理,确定该发票的明文信息是否真实,从而遏制增值税犯罪,减少税款流失。
问:《密码法》的管理对象有哪些?
答:作为本法的管理对象,密码包括密码技术、密码产品和密码服务。
密码技术,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术,包括密码编码、实现、协议、安全防护、分析破译,以及密钥产生、分发、传送、使用、销毁等技术。分组密码算法(如SM4算法)、公钥密码算法(如SM2算法)等是典型的密码算法,密钥交换协议、密钥分发协议等是典型的密码协议。
密码产品,是指采用密码技术并以加密保护、安全认证的产品,即承载密码技术、实现密码功能的实体。典型的密码产品包括:密码机,如链路密码机、网络密码机、服务器密码机、传真密码机、电话密码机等;密码芯片和模块,如第二代居民身份证、智能电卡、社会保障卡、金融芯片卡中使用的密码芯片、可信计算密码模块等。
密码服务,是指基于密码专业技术、技能和设施,为他人提供集成、运营、监理等密码支持和保障的活动,即基于密码技术和产品,实现密码功能,提供密码保障的行为。典型的密码服务包括:密码保障系统集成(如数字证书认证系统集成),是指为他人集成建设实现密码功能的系统,保护他人网络与信息系统的安全;密码保障系统运营(如增值税发票防伪税控系统运营),是指为保证他人实现密码功能系统的正常运行提供安全管理和维护。
问:密码工作的基本原则是什么?
答:总体国家安全观要求推动建立新的安全体制,在密码工作中具体体现为统一领导、分级负责,创新发展、服务大局,依法管理、保障安全的基本原则,这是密码工作历史经验和实践的深刻总结。
问:密码是如何分类的?
答:《密码法》将密码分为核心密码、普通密码和商用密码,实行分类管理。核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息,商用密码用于保护不属于国家秘密的信息。