國家密碼管理局密碼政策系列問答（一）

1.問:《密碼法》施行后,商用密碼產品的管理方式有什么變化?

答:根據(jù)《密碼法》第二十五條、第二十六條的規(guī)定,商用密碼產品管理方式將由行政審批調整為檢測認證管理,國家密碼管理局不再實施“商用密碼產品品種和型號審批”。市場監(jiān)管總局會同國家密碼管理局建立國家統(tǒng)一推行的商用密碼認證制度,采取支持措施,鼓勵商用密碼產品獲得認證。對列入網絡關鍵設備和網絡安全專用產品目錄的商用密碼產品實施強制性檢測認證,由具備資質的機構檢測認證合格后,方可銷售或者提供。

2.問:《密碼法》施行后,已發(fā)放的《商用密碼產品型號證書》是否仍然有效?

答:《密碼法》施行后,市場監(jiān)管總局將會同國家密碼管理局建立國家統(tǒng)一推行的商用密碼認證制度,國家密碼管理局將不再受理商用密碼產品品種和型號申請,停止發(fā)放《商用密碼產品型號證書》,已發(fā)放的《商用密碼產品型號證書》自2020年7月1日起自動失效。本著便民利企原則,對于在有效期內的《商用密碼產品型號證書》,持證單位可于2020年6月30日前自愿申請轉換國推商用密碼產品認證證書,換發(fā)的認證證書有效期與原《商用密碼產品型號證書》有效期保持一致。同時,為方便證書轉換,持證單位可向所在地省(區(qū)、市)密碼管理部門提交轉換認證申請。

3.問:《密碼法》施行后,尚未完成商用密碼產品品種和型號審批的產品應該如何處理?

答:本著便民利企原則,對于尚未完成商用密碼產品品種和型號審批的,原產品品種和型號申請單位可于2020年6月30日前,自愿轉為認證申請;審批期間已經開展的審查及檢測,認證機構不再重復審查、檢測,切實減輕申請單位負擔,簡化辦事流程。

4.問:《密碼法》施行后,如何向具備資質的商用密碼認證機構提交認證申請?

答:市場監(jiān)管總局、國家密碼管理局正在抓緊制定國推商用密碼認證的產品目錄、認證規(guī)則和有關實施要求。待相關內容發(fā)布后,自認證規(guī)則實施之日起,商用密碼從業(yè)單位便可自愿向具備資質的商用密碼認證機構提交認證申請。有關認證的適用范圍、申請受理、基本流程、證書管理等內容將在認證規(guī)則中予以明確。

5.問:《密碼法》施行后,商用密碼進出口有哪些管理要求?

答:根據(jù)《密碼法》第二十八條的規(guī)定,《密碼法》施行后,商用密碼進出口將納入兩用物項進出口管理,由商務部、國家密碼管理局依法實施進口許可和出口管制。商務部、國家密碼管理局、海關總署正在抓緊制定商用密碼進口許可清單和出口管制清單。清單公布實施前,商用密碼進出口暫時按照目前公布的許可條件和程序實施進出口許可管理,保持現(xiàn)行工作方式不變。詳見國家密碼管理局、商務部、海關總署第38號公告。

6.問:《密碼法》中“密碼”的概念是什么?

答:《密碼法》中的密碼(cryptography),是指采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務。而人們日常接觸的計算機或手機開機“密碼”、微信“密碼”、QQ“密碼”、電子郵箱登錄“密碼”、銀行卡支付“密碼”等,實際上是口令(password)。口令是進入個人計算機、手機、電子郵箱或銀行賬戶的“通行證”,是一種簡單、初級的身份認證手段,“口令”不在《密碼法》的管理范圍之內。

7.問:《密碼法》有什么樣的法律地位?

答:密碼是國家重要戰(zhàn)略資源,是保障網絡與信息安全的核心技術和基礎支撐。密碼工作是黨和國家的一項特殊重要工作,直接關系國家政治安全、經濟安全、國防安全和信息安全,在我國革命、建設、改革各個歷史時期,都發(fā)揮了不可替代的重要作用。進入新時代,以習近平同志為核心的黨中央堅持總體國家安全觀,在完善國家安全體系的總體布局中對加強密碼工作和密碼立法作出了重要部署。

《密碼法》是我國國家安全法律制度體系的重要組成部分,是密碼領域的綜合性、基礎性法律,也是一部技術性、專業(yè)性較強的專門法律?！睹艽a法》以法律的形式明確了黨管密碼的根本原則,確立了密碼工作領導和管理體制,明確了密碼分類管理原則以及核心密碼、普通密碼、商用密碼管理的各項制度措施,為保障網絡與信息安全,維護國家安全、社會公共利益,以及公民、法人和其他組織的合法權益提供了堅實有力的法律保障,為構建系統(tǒng)完備、科學規(guī)范、運行高效的密碼法律制度體系奠定了基礎。

8.問:《密碼法》的立法目的是什么?

答:一、規(guī)范密碼應用和管理,促進密碼事業(yè)發(fā)展

目前,有關部門、單位和社會公眾對密碼的作用認識不夠全面,使用密碼保護網絡與信息安全的意識還不夠強,特別是重要網絡與信息系統(tǒng)密碼應用規(guī)范性、有效性不夠的問題還比較突出,嚴重威脅國家網絡與信息安全、企業(yè)商業(yè)秘密以及公民個人隱私保護。國家對涉密信息系統(tǒng)和關鍵信息基礎設施商用密碼的應用、基礎支撐能力的提升以及安全性評估、審查制度等不斷提出明確要求,需要上升為法律規(guī)范,為維護國家網絡與信息安全提供法治保障。在核心密碼、普通密碼方面,需要將現(xiàn)行有效的安全管理制度、特殊管理政策及保障措施法治化,增強核心密碼、普通密碼安全保障能力。在商用密碼方面,傳統(tǒng)上對商用密碼實行全環(huán)節(jié)許可管理,已經不適應政府職能轉變和“放管服”改革要求,亟需通過立法對現(xiàn)行的商用密碼管理制度作出調整,切實為企業(yè)松綁減負,促進密碼科技進步和創(chuàng)新,促進密碼產業(yè)健康有序發(fā)展。

二、保障網絡與信息安全,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益

在網絡與信息時代,每天都會產生大量涉密和敏感信息,網絡竊密、網絡詐騙、侵犯隱私等事件層出不窮,亟需有效的安全防護措施。密碼是保障網絡與信息安全的核心技術和基礎支撐。制定《密碼法》,就是要更好地促進密碼產業(yè)發(fā)展,營造良好的市場秩序,為社會提供更多優(yōu)質高效的密碼,引導全社會正確、合規(guī)、有效使用密碼,充分發(fā)揮密碼在網絡空間中信息加密、安全認證等方面的重要作用,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益。

9.問:《密碼法》經歷了怎樣的立法過程?

答:黨和國家高度重視密碼立法工作,2018年至2019年,全國人大常委會和國務院都將《密碼法》列入了立法工作規(guī)劃。

2014年12月,國家密碼管理局正式啟動《密碼法》的立法工作。

2017年4月至5月,《中華人民共和國密碼法(草案征求意見稿)》在國家密碼管理局商用密碼管理辦公室網站首次面向社會公開征求意見。

2017年6月,《中華人民共和國密碼法(草案送審稿)》正式報送國務院。

2019年6月10日,《中華人民共和國密碼法(草案)》(以下簡稱草案)經國務院第52次常務會議會討論通過。6月15日,李克強總理簽署議案,正式將草案提請全國人大常委會審議。

2019年6月25日至29日,十三屆全國人大常委會第十一次會議對草案進行了首次審議。

2019年7月5日至9月2日,草案在中國人大網面向社會公開征求意見。

2019年10月21日至26日,十三屆全國人大常委會第十四次會議對草案進行了二次審議。

10月26日,十三屆全國人大常委會第十四次會議表決通過《密碼法》,習近平主席簽署第三十五號主席令正式頒布,自2020年1月1日起施行。

10.問:密碼有哪些主要功能?

答:密碼的主要功能有兩個,一個是加密保護,另一個是安全認證。

加密保護是指采用特定變換的方法,將原來可讀的信息變成不能直接識別的符號序列。簡單地說,加密保護就是將明文變成密文。例如,古希臘軍隊使用一種叫做“斯巴達棒”的圓木棍來進行加密通信,使用方法是:把一根長帶狀羊皮紙纏繞在圓木棍上,然后在上面寫字;解下羊皮紙后,上面只有亂序的字符,只有再次以同樣的方式纏繞到同樣粗細的木棍上,才能看出所寫的內容。

安全認證是指采用特定變換的方法,確認信息是否完整、是否被篡改、是否可靠以及行為是否真實。簡單地說,安全認證就是確認主體和信息的真實可靠性。例如,增值稅防偽稅控系統(tǒng)采用商用密碼技術保護涉稅信息,增值稅發(fā)票信息經密碼算法進行加解密處理,確定該發(fā)票的明文信息是否真實,從而遏制增值稅犯罪,減少稅款流失。

11.問:《密碼法》的管理對象有哪些?

答:作為本法的管理對象,密碼包括密碼技術、密碼產品和密碼服務。

密碼技術,是指采用特定變換的方法對信息等進行加密保護、安全認證的技術,包括密碼編碼、實現(xiàn)、協(xié)議、安全防護、分析破譯,以及密鑰產生、分發(fā)、傳送、使用、銷毀等技術。分組密碼算法(如SM4算法)、公鑰密碼算法(如SM2算法)等是典型的密碼算法,密鑰交換協(xié)議、密鑰分發(fā)協(xié)議等是典型的密碼協(xié)議。

密碼產品,是指采用密碼技術并以加密保護、安全認證的產品,即承載密碼技術、實現(xiàn)密碼功能的實體。典型的密碼產品包括:密碼機,如鏈路密碼機、網絡密碼機、服務器密碼機、傳真密碼機、電話密碼機等;密碼芯片和模塊,如第二代居民身份證、智能電卡、社會保障卡、金融芯片卡中使用的密碼芯片、可信計算密碼模塊等。

密碼服務,是指基于密碼專業(yè)技術、技能和設施,為他人提供集成、運營、監(jiān)理等密碼支持和保障的活動,即基于密碼技術和產品,實現(xiàn)密碼功能,提供密碼保障的行為。典型的密碼服務包括:密碼保障系統(tǒng)集成(如數(shù)字證書認證系統(tǒng)集成),是指為他人集成建設實現(xiàn)密碼功能的系統(tǒng),保護他人網絡與信息系統(tǒng)的安全;密碼保障系統(tǒng)運營(如增值稅發(fā)票防偽稅控系統(tǒng)運營),是指為保證他人實現(xiàn)密碼功能系統(tǒng)的正常運行提供安全管理和維護。

12.問:密碼工作的基本原則是什么?

答:總體國家安全觀要求推動建立新的安全體制,在密碼工作中具體體現(xiàn)為統(tǒng)一領導、分級負責,創(chuàng)新發(fā)展、服務大局,依法管理、保障安全的基本原則,這是密碼工作歷史經驗和實踐的深刻總結。

13.問:密碼工作的基本原則中“統(tǒng)一領導、分級負責”是指什么?

答:“統(tǒng)一領導、分級負責”是密碼工作的首要原則。統(tǒng)一領導,是指全國密碼工作在黨中央領導下,由中央密碼工作領導機構統(tǒng)一領導?！睹艽a法》把“統(tǒng)一領導”作為密碼工作的一項基本原則,就是要堅持黨的絕對領導,這是密碼工作最重要、最根本、最核心的原則,也是密碼工作的優(yōu)良傳統(tǒng)和寶貴經驗。

分級負責,是指國家和省、市、縣四級密碼管理部門分別負責管理全國和本行政區(qū)域的密碼工作。根據(jù)密碼工作的現(xiàn)實需要,參考其他工作領域管理體制改革發(fā)展的經驗,《密碼法》明確了各級密碼管理部門的行政主體地位,確立了分級負責的密碼工作管理體制。

14.問:密碼工作的基本原則中“創(chuàng)新發(fā)展、服務大局”是指什么?

答:創(chuàng)新發(fā)展是密碼工作的發(fā)展之基、力量之源。黨的密碼工作從誕生的第一天起,正是憑借不斷地自主創(chuàng)新,走出了一條從無到有、從小到大、從弱到強的中國特色密碼發(fā)展之路。堅持創(chuàng)新發(fā)展,就是要以科技創(chuàng)新為核心,以管理創(chuàng)新為推動,以制度創(chuàng)新為保證,支持密碼科學技術研究,推動密碼產業(yè)發(fā)展,使密碼工作始終體現(xiàn)時代性、把握規(guī)律性、富于創(chuàng)造性,為保障網絡與信息安全、維護國家網絡空間主權提供有力的技術支撐。

服務大局是密碼工作的價值所在,更是其宗旨要求。密碼工作與黨和國家的事業(yè)血肉相連、命運休戚相關,在革命、建設和改革各個歷史時期,都緊緊圍繞黨和國家的中心任務和奮斗目標,發(fā)揮著不可替代的特殊重要作用。進入新時代,堅持服務大局,就是要緊緊圍繞國家創(chuàng)新驅動發(fā)展戰(zhàn)略,部署好密碼科技自主創(chuàng)新,實現(xiàn)密碼科技跨越式發(fā)展;要緊緊圍繞國家安全戰(zhàn)略,加大密碼核心關鍵技術攻關和密碼應用,充分發(fā)揮密碼在保安全促發(fā)展中的支撐作用;要緊緊圍繞中央全面深化改革的戰(zhàn)略部署,全面深化密碼管理體制改革,加快政府職能轉變;要緊緊圍繞經濟結構調整,加快推進密碼產業(yè)發(fā)展,為經濟社會持續(xù)健康發(fā)展,為實現(xiàn)“兩個一百年”奮斗目標、實現(xiàn)中華民族偉大復興的中國夢做出貢獻。

15.問:密碼工作的基本原則中“依法管理、保障安全”是指什么?

答:黨的十九大把堅持全面依法治國確立為習近平新時代中國特色社會主義思想和新時代堅持和發(fā)展中國特色社會主義的基本方略的重要內容,提出“必須堅持厲行法治,推進科學立法、嚴格執(zhí)法、公正司法、全民守法”。將密碼管理的各個方面納入法治軌道,是密碼工作的基本要求,是提高密碼工作科學化、規(guī)范化、制度化水平的必由之路。堅持依法管理,就是各級密碼管理部門要嚴格按照《密碼法》和有關法規(guī)、規(guī)章和規(guī)范性文件的規(guī)定,依法全面履行密碼行政管理職能。依法管理是核心密碼、普通密碼、商用密碼三類密碼管理的共同要求。

密碼安全關乎黨和國家的根本利益,是密碼工作的生命。堅持保障安全,就是要加強密碼安全制度建設,完善密碼安全管理措施,對密碼管理重點關鍵環(huán)節(jié)實施有效監(jiān)管,增強密碼安全保障能力;要加強關鍵信息基礎設施密碼應用監(jiān)管,建立完善密碼安全性評估和安全審查制度,有效預防和化解密碼安全風險;要加強密碼安全協(xié)作機制建設,確保密碼安全管理的協(xié)同聯(lián)動和有序高效。