關(guān)于瑞術(shù)
黨建活動

密碼法背景下的商用密碼應用及挑戰(zhàn)

 二維碼
發(fā)表時間:2020-04-24 10:00作者:顧偉來源:國家密碼管理局網(wǎng)站

《商用密碼管理條例》于1999年10月7日施行,至今已逾二十年。對于一部技術(shù)導向的管控型立法而言確屬高齡,期間密碼技術(shù)發(fā)展、密碼產(chǎn)品應用已發(fā)生翻天覆地的變化,商用密碼管理有關(guān)部門先后放開商用密碼產(chǎn)品生產(chǎn)單位審批、商用密碼產(chǎn)品銷售單位許可等前置性的市場準入要求??梢哉f,當前密碼法的制定和頒布恰逢其時,整個科技行業(yè)翹首以待。

密碼法根據(jù)國際國內(nèi)網(wǎng)絡與信息安全法治與實踐環(huán)境的新變化、密碼工作的新情況,對密碼管理、應用、安全、發(fā)展及促進等問題進行了專門規(guī)定,為更好地落實密碼法的要求,以下從產(chǎn)業(yè)的視角理解其出臺背景、商用密碼管理創(chuàng)新及其對商用密碼應用的影響。

一、全球視野下的商用密碼管理變革

商用密碼產(chǎn)品的普及,是順應信息技術(shù)革命的必然結(jié)果,保障安全成為信息產(chǎn)品和信息服務的基本需求,密碼技術(shù)作為不可或缺的重要手段,密碼應用將不斷深入和拓展。隨著全球大數(shù)據(jù)、云計算、互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等信息技術(shù)的發(fā)展,以密碼算法、數(shù)據(jù)加解密、認證鑒別、密碼管理、密碼防偽等為核心功能的商用密碼產(chǎn)品實現(xiàn)了從“不好用、很少用”到“方便用、普遍用”的技術(shù)突破,迎來爆發(fā)式增長的新高潮。

同時,密碼技術(shù)的發(fā)展也對經(jīng)濟發(fā)展、社會進步乃至國際政治經(jīng)濟格局等方面產(chǎn)生重大而深遠的影響。典型的如以非對稱加密算法為核心要素的區(qū)塊鏈技術(shù)為各國經(jīng)濟社會發(fā)展帶來新機遇,但也來了一系列挑戰(zhàn),特別是對金融市場而言;先進加密技術(shù)的應用可以有效保護隱私,但是執(zhí)法部門在行政調(diào)查中也面臨解密困境。

國家利益的動態(tài)發(fā)展變化,引發(fā)了商用密碼管制法律理念的更新。國際上自上世紀90年代開始發(fā)達國家和發(fā)展中國家先后開始推進放松國內(nèi)密碼管制,放開本國居民生產(chǎn)、使用、銷售密碼的限制,放松對加密產(chǎn)品和加密技術(shù)控制。1997年,經(jīng)合組織發(fā)布《密碼政策指南》呼吁放松對密碼技術(shù)的控制,開發(fā)基于市場、使用者驅(qū)動的密碼產(chǎn)品和服務。

在商用密碼的出口管制領(lǐng)域,則問題相對更為復雜,且受政治因素影響非常大。密碼技術(shù)的應用領(lǐng)域廣泛,對國家信息安全起著重要的支撐作用,各個國家政府按照政策法律對密碼技術(shù)實行出口管制是必然選擇。然而,在中國為代表的主要發(fā)展中國家密碼研發(fā)與創(chuàng)新能力不斷取得突破,以及美歐密碼產(chǎn)品出口沖動的內(nèi)因驅(qū)動下,國際上以“瓦森納協(xié)議”為代表的限制密碼自由化的政策,也在呈現(xiàn)整體動態(tài)放松、聚焦重點管控的態(tài)勢。

可以說,密碼法的出臺,是適應全球商用密碼管理變革,落實中國密碼管理職能轉(zhuǎn)變的必然,也是中國統(tǒng)一、開放、競爭、有序的密碼市場體系建設的里程碑,是中國密碼技術(shù)與密碼產(chǎn)業(yè)開始邁向更高質(zhì)量發(fā)展的新開始。

二、密碼法對商用密碼管理的創(chuàng)新

密碼法重塑了全新的具有中國特色的商用密碼管理體系。當前的法律科學地回答了兩個重要問題,一是面對國內(nèi)外日益嚴峻的網(wǎng)絡安全態(tài)勢,如何進一步創(chuàng)新商用密碼管理體系,加強商用密碼應用事中事后管理,特別是關(guān)鍵信息基礎設施的商用密碼保護;二是面對數(shù)字經(jīng)濟的飛速發(fā)展,如何推進商用密碼產(chǎn)品管理的放管服,以釋放商用密碼市場活力,進一步激勵商用密碼產(chǎn)業(yè)發(fā)展。在商用密碼管理上密碼法實現(xiàn)了3個重要創(chuàng)新:

一是創(chuàng)新商用密碼使用環(huán)節(jié)監(jiān)管,提出商用密碼應用安全性評估。當前數(shù)據(jù)及其承載的信息系統(tǒng)的安全性、完整性和保密性已經(jīng)成為網(wǎng)絡運營者的基本需求,商用密碼技術(shù)在其中發(fā)揮不可替代的作用。鑒于商用密碼應用場景的多樣性、復雜性,密碼法創(chuàng)設了商用密碼應用安全性評估制度,且明確要求與網(wǎng)絡安全等級保護測評、關(guān)鍵信息基礎設施安全保護評估中的商用密碼安全評估機制相銜接。商用密碼應用安全性評估對規(guī)范商用密碼應用,提高網(wǎng)絡運營者商用密碼應用的前瞻性、統(tǒng)籌性、嚴謹性有重要意義。

二是統(tǒng)籌考慮商用密碼管理的市場導向與國家安全保障需要,實行商用密碼檢測認證自愿與強制相結(jié)合的雙軌機制。通常密碼從業(yè)單位可以從市場競爭的角度自主決定是否接受商用密碼檢測認證。當商用密碼的應用涉及涉及國家安全、國計民生、社會公共利益,被列入網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄的,需要按照相關(guān)國家標準的強制性要求,由具備資格的機構(gòu)安全認證合格后方可銷售。這樣的制度安排既尊重了市場在商用密碼應用領(lǐng)域的基礎性作用,也符合WTO的國家安全例外原則。

三是進一步推動商用密碼市場高水平開放,保護外資合法權(quán)益,促進內(nèi)外資企業(yè)公平競爭。《國務院關(guān)于取消一批行政許可事項的決定》(國發(fā)〔2017〕46號)已經(jīng)取消了外商投資企業(yè)使用境外生產(chǎn)的密碼產(chǎn)品、境外組織和個人使用密碼產(chǎn)品或者含有密碼技術(shù)的設備的事前審批。密碼法進一步將需要取得商用密碼進口許可的范圍從《商用密碼管理條例》中的“密碼產(chǎn)品以及含有密碼技術(shù)的設備”限縮為“對涉及國家安全、社會公共利益且具有加密保護功能的商用密碼”。同時,法律明確要求各級人民政府及其有關(guān)部門遵循非歧視原則,依法平等對待外商投資企業(yè),不得利用行政手段強制外商投資企業(yè)轉(zhuǎn)讓商用密碼技術(shù)。上述要求,彰顯了中國主動開放商用密碼市場的堅定意志和決心。

三、密碼法對商用密碼應用的主要影響

密碼法的實施,有利于進一步推動商用密碼應用的法治化、科學化、規(guī)范化,對建立以商用密碼從業(yè)單位為主體、商用密碼市場為導向、產(chǎn)學研深度融合的密碼技術(shù)創(chuàng)新體系有著重要促進作用。但是由于配套的網(wǎng)絡安全法律法規(guī)與國家標準、行業(yè)標準仍在陸續(xù)完善過程中,《商用密碼管理條例》尚未完成修訂工作,密碼法在實施過程中可能也需要更加關(guān)注以下方面的問題:

一是在網(wǎng)絡產(chǎn)品與信息服務的規(guī)劃、建設階段,網(wǎng)絡運營者可參照密碼應用安全性評估相關(guān)規(guī)則進行設計,但是商用密碼應用安全評估機制不能異化為對網(wǎng)絡運營者的事前審查機制。從制度統(tǒng)籌性的角度,可以考慮將商用密碼安全性的自評估或者第三方評估,作為一個獨立的評估模塊,在網(wǎng)絡運營者網(wǎng)絡安全等級保護測評,以及關(guān)鍵信息基礎設施運營者每年自行或者委托第三方評估中加以引用。

二是網(wǎng)絡安全新形勢下的商用密碼產(chǎn)品應用還處于起步階段,網(wǎng)絡運營者尚在規(guī)則換擋的磨合適應期,相關(guān)規(guī)則的解釋與執(zhí)行需要結(jié)合實際應用情況及時調(diào)整。當前網(wǎng)絡安全等級保護2.0系列標準對安全通信網(wǎng)絡中通信傳輸要求使用加密技術(shù),安全計算環(huán)境中身份鑒別、數(shù)據(jù)完整性、數(shù)據(jù)保密性使用密碼技術(shù),保證傳輸和存儲的加密,安全建設管理和安全運維管理中包括安全測試報告應包含密碼應用安全性測試相關(guān)內(nèi)容等。由于前期非涉密單位的網(wǎng)絡運營者并無明確強制性的密碼應用安全要求,網(wǎng)絡運營者面對陸續(xù)制定的國家密碼管理規(guī)定,可能會面臨觀念、管理、技術(shù)、成本等各種磨合適應,密碼管理部門及相關(guān)網(wǎng)絡安全管理部門需要根據(jù)實際商用密碼應用情況,對具體規(guī)則的解釋與執(zhí)行及時進行必要調(diào)整。

三是商用密碼應用需要納入網(wǎng)絡運營者的網(wǎng)絡安全總體工作統(tǒng)籌考慮。由于各種原因,網(wǎng)絡運營者關(guān)于商用密碼應用的決策有可能分散在具體網(wǎng)絡安全實踐的多個環(huán)節(jié),商用密碼的應用缺乏統(tǒng)籌安排,體系性不強。商用密碼應用的部署具有一定周期性,無法一蹴而就。對此,網(wǎng)絡運營者應當盡快根據(jù)密碼法以及相關(guān)網(wǎng)絡安全法律法規(guī)和標準的要求,審慎判斷自身的網(wǎng)絡安全態(tài)勢與風險,判斷網(wǎng)絡設施需要具備的安全安全能力,進而規(guī)劃足夠的人力物力財力,配置符合法律要求與自身需求的商用密碼產(chǎn)品。同時,鑒于國際形勢的不穩(wěn)定性不確定性更加突出,網(wǎng)絡運營者應當充分考慮全球供應鏈安全問題,包括密碼技術(shù)、密碼產(chǎn)品供應鏈可靠性。

四是當前商用密碼科技創(chuàng)新能力顯著提升,突破一批商用密碼重大基礎理論和關(guān)鍵核心技術(shù),但是商用密碼產(chǎn)品性能仍然有待提升。具有商用密碼產(chǎn)品研發(fā)與創(chuàng)新能力的企業(yè)要抓住機會,特別是要適應云計算、大數(shù)據(jù)的運行環(huán)境與快速迭代發(fā)展趨勢,加快提升密碼產(chǎn)品的安全性能和加密速度,為數(shù)字經(jīng)濟多元場景提供更靈活、更可控地密碼安全解決方案。

四、結(jié)語

5G的到來將開啟全新的物聯(lián)網(wǎng)時代,5G與大數(shù)據(jù),云計算,人工智能等諸多創(chuàng)新技術(shù)的新一輪耦合勢必將會對網(wǎng)絡產(chǎn)品與信息服務提出更高的安全性能要求,商用密碼應用水平將成為衡量各網(wǎng)絡運營者網(wǎng)絡安全能力的重要指標。網(wǎng)絡運營者應當抓住當前的技術(shù)換擋窗口期,加緊落實密碼相關(guān)法律法規(guī)及國家標準的要求,統(tǒng)籌安排商用密碼應用,筑牢自身網(wǎng)絡安全防線,提高網(wǎng)絡安全保障水平。