谢邀。
《中华人民共和国密码法》对不同领域相关人士的作用和影响都不太相同。为此,我分几个层次来尝试解读《中华人民共和国密码法》。我只是密码学技术的从业人员,而不是法务合规的从业人员,相关的解读偏向于技术层面而非法律层面。有关法律层面的解读,还希望有从事相关法律领域的知友们前来解答。
可从国家密码管理局网站阅读《中华人民共和国密码法》(以下简称《密码法》)。
2020年01月01日实施的《密码法》主要是从密码定义、密码管理、密码使用等方面进行了规定。《密码法》对我们生活的影响主要隐藏在了背后:日常生活中使用的密码服务具有了法律基础。
对于“密码泄露问题”这个具体问题,《密码法》不能从技术上解决密码泄露问题,但《密码法》能从法律层面说明“窃取他人加密保护的信息”是违法行为,明令禁止从事密码违法犯罪活动。
(《密码法》第十二条)
任何组织或者个人不得窃取他人加密保护的信息或者非法入侵他人的密码保障系统。
任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
这使得“密码泄露问题”的解决变得有法可依。
2019年10月26日,十三届全国人大常委会第十四次会议表决通过《密码法》之后,新华社新闻《我国制定密码法全面提升密码工作法治化水平》中的一张图非常清晰的解读了《密码法》的核心作用、核心规定。
2019年12月30日晚,《焦点访谈》播出密码法专题节目——《守护安全,密码在你身边》。此节目准确、清晰地对《密码法》进行了解读。
本来想把视频上传到知乎上,但是似乎不允许上传,因此感兴趣的知友们还是请通过链接观看视频吧。
《密码法》得到通过后,微信公众号等渠道发布了很多关于《密码法》的解读。在众多的解读中,我个人认为某位同事推荐给我的“TMT法律论坛”于2019年11月04日发布的文章《<密码法>的“放管”之道》解读的比较清晰。当然了,通过参与并聆听相应的学术论坛,我们也可以更加详细的学习《密码法》,对《密码法》进行更深入的了解。
下面的内容主要结合了《<密码法>的“放管”之道》与西安交通大学苏州信息安全法律研究中心主任马民虎教授在“第十届中国信息安全法律大会”上《智慧时代密码法的任务、原则和主要内容》的讲座内容。
正如前文所描述,马民虎教授指出,《密码法》主要解决了以下四个问题:
以下分别对这4个问题进行简单的讨论。
1、什么是密码:密码的定义
(《密码法》第二条)
本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
一提到“密码”,大多数知友想到的可能就是登录微信、QQ、邮箱等的“密码”。这些的确是日常生活中经常接触到的“密码”,但这些“密码”只是进入个人设备或软件的“口令”(Password),是一种身份认证手段。实际上,“密码”(Cryptography)指的是能对信息进行加密保护和安全认证的技术、产品和服务,而且必须采用特定变换的方法来实现。不过,“口令”的认证和管理过程一般涉及到哈希(Hash)、加密(Encryption)等密码学技术,因此“口令”的认证、使用和管理等技术与服务属于《密码法》中的密码。
这里有一个非常有趣的问题:人脸识别、虹膜识别等生物识别信息算是“密码”吗?目前的观点认为,虽然生物识别信息可以实现安全认证,但生物识别信息没有使用“特定变换的方法”,因此不属于“密码”。不过不用担心,虽然生物识别信息本身不属于密码,但是使用、管理生物识别信息需要密码技术,因此生物识别信息和《密码法》仍然有很强的关联性。
注意,生物识别信息还是需要所谓的编码等技术将信息转换成数据的,这种变换过程不属于“特定变换的方法”。
对于“什么是密码”,人们的认识也是逐渐深入的。在1999年10月07日生效的《商用密码管理条例》中给出了商用密码的定义:
商用密码,对不涉及国家秘密内容的信息进行加密服务或者安全认证所使用的密码技术和密码产品。
对比两个定义后会发现,《密码法》在此定义的基础上新增了“服务”这一概念。
1、什么是密码:密码的分类
(《密码法》第六条)
国家对密码进行分类管理。
密码分为核心密码、普通密码和商用密码。
(《密码法》第七条)
核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。
核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。
(《密码法》第八条)
商用密码用于保护不属于国家秘密的信息。
公民、法人和其他组织可以依法适用商用密码保护网络与信息安全。
如果了解过国家秘密分级的相应知识,会知道国家秘密分为三个等级:绝密、机密、秘密,在标注级别后还要在后面标注密级时间。例如,部分年份的高考试卷上会标识“绝密,启用前”,意味着高考试卷在考试开始之前都是绝密级信息。
当然,还有的高考试卷上标识的内容是“绝密,启用前,解密时间:XXXX年X月X日XX:XX”。这里有意思的内容是,如果打击了一个高考作弊团伙,则此团伙在解密时间之前看到并提前泄露了国家绝密信息,因此又会多了一项罪名…
《密码法》规定:核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。这就明确了何种国家秘密应该用何种级别的密码进行保护。同时,《密码法》规定公民、法人和其他组织可以合法使用商用密码。这无疑为商用密码,特别是国家商用密码的推广和使用建立法律基础。
2、谁来管密码:中国共产党、国家密码管理部门
(《密码法》第四条)
坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导,制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。
(《密码法》第五条)
国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。
国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。
《密码法》第四条明确了密码工作领导体制:中国共产党的领导。《密码法》第五条明确了密码工作管理体制。
信息安全领域有个有趣的原则(我忘记这个原则是在哪里提出的了,有知道的知友可以帮忙补充):信息安全三分靠技术、七分靠管理。再好的技术,如果没有健全的管理制度,作用也是有限的。
3、怎么管密码:各种各样的管理制度
《密码法》第二章:核心密码、普通密码(第十三条到第二十条),《密码法》第三章:商用密码(第二十一条到第三十一条)中,明确给出了相应密码的管理制度。这方面我的了解非常有限,还望专业的专家们进行解读。
作为密码学技术从业人员,这样几点内容非常重要:
(《密码法》第九条)国家鼓励和支持密码科学技术研究和应用,依法保护密码领域的知识产权,促进密码科学技术进步和创新。
国家加强密码人才培养和队伍建设,对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。
看来密码做到极致也可以拿到国家奖励,知友们加油呀!
(《密码法》第二十一条)国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。
各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。
国家鼓励密码技术的研究开发、学术交流、实际落地了,密码学真的迎来了春天!
4、怎么用密码:在不同场景下需要使用不同等级的密码
(《密码法》第十四条)
在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。
国家秘密需要使用核心密码、普通密码进行保护了。
(《密码法》第二十七条)
法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
这里有一个很重要的疑惑点:到底什么才是“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施”,到底什么才是“关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的”,这两部分需要进一步的明确。如果感觉可能涉及到相应的情况,就需要提前储备商用密码学的技术和服务了。
总的来说,《密码法》的出台让密码的使用、管理有法可依,这绝对是《网络安全法》出台后的另一记重拳。但是,落实到具体情况中,该如何使用《密码法》,可能还需要相应配套制度以及督查落实手段。后续的工作,拭目以待。
以上。