一、密码和密码法概述
2019年10月26日,中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议通过了《中华人民共和国密码法》(以下简称“《密码法》”),自2020年1月1日起正式施行,2024年1月1日是《密码法》生效的四周年纪念日。
根据《密码法》第二条的规定,密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。国家对密码实行分类管理,《密码法》按照所保护信息的种类将密码分为三类:核心密码、普通密码和商用密码。
核心密码和普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。因此核心密码、普通密码属于国家密码,由密码管理部门依据《密码法》和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。
而商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全,但不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统,也不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
密码是保障国家安全和根本利益的重要方向,是国家的重要战略资源,密码工作是党和国家的一项特殊的、重要的事业,内含与密码相关的一切工作,包括但不限于密码的管理。国家密码管理局负责管理全国的密码工作,县级以上地方各级密码管理部门负责管理本行政区域的密码工作。此外,网信、商务、海关、市场监督管理部门在各自职责范围内各司其职,配合商用密码的管理工作。
《密码法》与《中华人民共和国网络安全法》(2017年6月1日起施行)、《中华人民共和国数据安全法》(2021年9月1日起施行)、《中华人民共和国个人信息保护法》(2021年11月1日起施行)一起构成了我国现行的数据安全和信息保护法律体系。上述四部法律均涉及对信息的保护,为了规范网络、数据、信息处理活动,为了保障网络安全、数据安全、信息安全,为了保护公民、法人、其他组织的合法权益以及社会公共利益,为了维护国家主权和国家安全,共同构成了一张有力的防护网。
二、商用密码应用
《密码法》与《商用密码管理条例》(以下简称“《条例》”)以及国际上关于商用密码的原则、惯例等构成了商用密码的法律制度体系,共同规范我国对于商用密码的应用与管理。密码的应用与测评目前是信息系统、关键信息基础设施和等级保护系统的标准配置。国家市场监督管理总局、国家标准化管理委员会发布的《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面对密码应用技术提出了要求,并提出了机密性、完整性、真实性和不可否认性四个功能维度。该国家标准使商用密码应用的实践性、合理性和完备性得到了充分地提升,在商用密码应用标准体系中具有重要的地位。
商用密码应用在《条例》中的体现:
1.关键信息基础设施
《条例》第三十八条规定:“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
前款所列关键信息基础设施通过商用密码应用安全性评估方可投入运行,运行后每年至少进行一次评估,评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案。”
本条是对保护规定的关键信息基础设施的商用密码应用的明确要求。商用密码的应用需要完备的全过程保障系统,为建设完善的保障体系,本条对商用密码应用的安全性评估作出了规定,要求初投入运行和运行过程中定期进行安全性评估,并按要求向相关部门报备,极大地增强了商用密码应用的稳定性,合理地保障了关键信息基础设施的运行安全。另外,上述按照要求应当商用密码进行保护的关键信息基础设施所使用的商用密码产品、服务应当经具有资质的商用密码检测机构进行检测认证并合格,所使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定。
2.网络安全等级保护
《条例》第四十一条规定:“网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。国家密码管理部门根据网络的安全保护等级,确定商用密码的使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范。”
安全等级保护是一种强制性的法律要求,本条规定了商用密码在网络安全等级保护中的使用。《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)规定了不涉及国家秘密的等级保护对象(主要包括信息系统、通信网络设施和数据资源等)的安全保护等级的定级方法和定级流程,为网络运营者开展不涉及国家秘密的等级保护对象的定级工作确定了标准、提供了便利、指引了方向。
GB/T 22240-2020根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级:
(1)第一级,会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益;
(2)第二级,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;
(3)第三级,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;
(4)第四级,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;
(5)第五级,会对国家安全造成特别严重危害。
其中,《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)第7、8、9条分别对第二级、第三级、第四级提出了等级安全要求,通过采取对应要求下的必要措施,防范对于网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,更好地使网络处于稳定可靠运行的状态,以便于保障网络数据的完整性、保密性、可用性。而由于第五级造成的影响最大、危害最严重,可能涉及保密事宜,因此该标准并未针对第五级提出对应的最高安全要求。
三、结语
从立法的角度来看,国家并非强制要求公民、法人和其他组织使用商用密码,而是鼓励其依法使用商用密码保护网络安全、数据安全与信息安全,并且鼓励使用经检测认证合格的商用密码。而由于并不具有强制性,因此不使用商用密码也不构成违法行为。
《条例》中规定应当适用商用密码进行保护的情形,本质上并非源自《密码法》的要求,而是来自于网络安全和数据安全等法律制度体系下相关文件、技术标准等对于安全问题的要求。
密码是作为一种安全工具而存在的。由于处于该体系中最上位的《密码法》没有强制性的规定,且国家对密码的使用秉持鼓励的态度,因此对于在日常生活中适用场景较多的商用密码,可以从规则层面进行推广,例如:(1)通过配置更完备、更具有实践操作性的倡导性、辅助性制度,来对密码的合理化、规范化的适用以及日常使用予以引导;(2)通过主管部门的呼吁、签署行业战略合作协议等具有倡议性的方式对密码的应用进行扩大化的宣传,号召各行各业乃至公民个人使用密码作为安全保障,为个人、集体、国家的安全添砖加瓦。
