近日��,修訂后的《商用密碼管理條例》(以下簡稱《條例》)正式公布�����。這是《條例》自1999年10月7日發(fā)布和施行以來�����,首次迎來修訂����,也是貫徹實施2020年1月1日起施行的密碼法的重要舉措。近年來�����,我國加大網(wǎng)絡安全法治建設�����,相關法律法規(guī)密集出臺����,《條例》不是“+1”這樣簡單,具有特殊意義�����。
一�����、深刻反映“密碼是保障網(wǎng)絡安全的核心技術”定位
密碼是網(wǎng)絡安全技術的核心�����,這是一個廣泛的共識,也是符合科學規(guī)律的正確論斷�����。從其作用而言����,密碼不僅對保護信息保密性至關重要,而且對保護信息完整性����、真實性、不可否認性發(fā)揮著不可替代的作用�����;從其效果而言�����,密碼是最有效����、最可靠、最經(jīng)濟的網(wǎng)絡安全技術�����;從其影響而言��,盡管林林總總的網(wǎng)絡安全技術�����、產(chǎn)品門類不斷推陳出新�����,但相當多技術發(fā)源于密碼����,或以密碼為基礎,沒有密碼的支撐也就不會有這些技術的產(chǎn)生和發(fā)展����。
歷史車輪滾滾向前,今天的信息技術應用場景已經(jīng)十分復雜����,網(wǎng)絡安全需求更加多樣��,密碼需求更為迫切����,正應該是密碼迎來新的大發(fā)展的重要時刻��。但有兩種現(xiàn)象值得重視:
一是發(fā)生在網(wǎng)絡安全從業(yè)者中�����。很多人對密碼的“核心”定位不甚了解�����。我國的網(wǎng)絡安全學科發(fā)展起源于密碼學研究�����,當時學術界����、技術界對密碼重要性的認識自不待言�����。但今天的網(wǎng)絡安全從業(yè)者已經(jīng)是一個較為龐大的隊伍,新生代逐漸成長起來�����,技術人員的興趣更多地轉(zhuǎn)向“好看”的網(wǎng)絡攻防現(xiàn)場��。學科發(fā)展要開枝散葉��,但這絕不意味著密碼重要性的降低����,反而進一步凸顯了其核心作用:安全多方計算為隱私保護提供重要思路,以密碼為基礎的區(qū)塊鏈技術催生了數(shù)字貨幣……但網(wǎng)絡安全技術的繁榮也導致一些人“亂花迷眼”����,使其忘記了密碼在其中發(fā)揮的基礎性作用。一些高校網(wǎng)絡安全學院甚至將打擂臺����、奪旗作為教學導向,忽視了夯實密碼學基礎��,這對學科發(fā)展和人才培養(yǎng)都是有害的��。目前,我國網(wǎng)絡空間安全一級學科知識體系正在更新��,必須在其中加大密碼學課程的設置����,這是任何時候都不能動搖的大事。
二是發(fā)生在社會公眾之中�����。密碼不是“口令”��,這件事已經(jīng)強調(diào)了很多年����,但還沒有糾正過來。密碼是指采用特定變換的方法對信息等進行加密保護����、安全認證的技術、產(chǎn)品和服務��。簡言之��,密碼一定涉及到對信息進行變換��,使其成為與原始信息不同的另一信息,目的是為了對原始信息進行加密��,或者用于日后驗證原始信息是否經(jīng)過了改動�����。人們在銀行取款時輸入“密碼”�����,在線登錄賬號時輸入“密碼”����,開啟保險箱時輸入“密碼”等等�����,這實際上是在驗證“口令”����,而不是使用密碼?���!翱诹睢弊鳛橐环N身份認證措施����,雖然重要但的確不是“密碼”��。固然����,沒有必要改變社會中的約定俗成,但如果不使社會公眾意識到兩者的區(qū)別����,顯然不利于密碼事業(yè)的發(fā)展。
因此�����,讓密碼進一步從“王謝堂前”飛入“尋常百姓家”����,進一步明確和強化新時代密碼在網(wǎng)絡安全技術體系中的核心地位,為密碼發(fā)展應用創(chuàng)造厚實的社會土壤��,正是當務之急����?�!稐l例》的修訂可謂正逢其時�����,意義重大。
二����、積極應對網(wǎng)絡空間博弈斗爭形勢
密碼算法是什么?是數(shù)學����。密碼學家是什么人?是一批異于常人�����、絕頂聰明的數(shù)學家��。游離世外��,不問世事����,這是很多人對密碼和密碼學家的第一印象��。
但實際上��,自現(xiàn)代密碼學誕生時起��,它就是武器��、利劍��,是大國重器��。在涉及國家安全的國際談判中�����,密碼始終是一個關鍵議題��。當密碼開始商用后��,其更成為政治����、貿(mào)易����、司法����、文化等領域國際斗爭博弈的焦點����。可以說��,《條例》始終處在維護國家安全的第一線��。
《條例》關系國家IT供應鏈產(chǎn)業(yè)鏈安全�����?����!稐l例》的出臺意味著我國將商用密碼的科研����、生產(chǎn)����、銷售����、使用納入法治化軌道����。對于一項關系國家戰(zhàn)略安全、對網(wǎng)絡安全有核心基礎性支撐作用的技術����,立法進行規(guī)范是主權(quán)國家的必然之舉。但是鑒于現(xiàn)代信息技術軟硬件產(chǎn)品已經(jīng)普遍使用密碼����,部分西方國家擔心其對華產(chǎn)品銷售會受到《條例》的影響,頻頻在多種場合對《條例》出臺表示關注����。《條例》正是在這樣的國際環(huán)境中走了過來��,為提升我國IT供應鏈產(chǎn)業(yè)鏈安全保障能力�����、依法維護國家安全作出了重大貢獻。此次《條例》修訂����,更是順應全球政治經(jīng)濟形勢變化,積極借鑒國外IT供應鏈產(chǎn)業(yè)鏈安全保障經(jīng)驗��,對商用密碼科研�����、生產(chǎn)�����、銷售����、服務��、檢測��、認證��、進出口��、應用等活動作出了更加科學、全面的規(guī)定����。
《條例》關系信息對抗。信息對抗是信息時代國與國之間博弈斗爭的典型形式����,信息的加密與破譯、偽裝與反制等是信息對抗的主要手段����。為了極大地維持己方能力、削弱敵方能力�����,密碼往往被各國作為嚴格限制出口物項��?����!稐l例》在修訂時重點增加了“進出口”章節(jié)��,根據(jù)密碼法關于商用密碼進出口的規(guī)定��,以及國家出口管制、兩用物項進出口管理制度��,明確商用密碼進口許可和出口管制實行清單管理��。
《條例》關系國家主權(quán)與發(fā)展利益�����。密碼是把“雙刃劍”��,在有效維護國家安全��、公共利益和保護公民�����、組織合法權(quán)益的同時����,也可能被非法利用��。隨著國家大力推動商用密碼發(fā)展應用����,犯罪分子也可能藉此武裝犯罪工具、升級犯罪手段。典型如:對重要數(shù)據(jù)和批量個人信息加密后傳出境外����,規(guī)避數(shù)據(jù)出境安全管理制度;利用密碼進行勾連����、組織犯罪活動,或?qū)嵤╅g諜行為�����,竊取��、出賣國家秘密����;利用加密手段訪問境外非法網(wǎng)站,防止被發(fā)現(xiàn)和阻斷�����。而IPv6等技術發(fā)展�����,也使國家網(wǎng)絡空間治理體系面臨如何發(fā)現(xiàn)加密的非法有害信息難題,這直接涉及政府對新技術新應用的態(tài)度問題��。對這種“兩難”問題����,需要做出慎重抉擇。為此�����,《條例》專設“應用促進”章節(jié)����,鼓勵公民、法人和其他組織依法使用商用密碼保護網(wǎng)絡與信息安全�����,但同時規(guī)定�����,任何組織或者個人不得利用商用密碼從事危害國家安全�����、社會公共利益�����、他人合法權(quán)益等違法犯罪活動�����?����!稐l例》還強調(diào)�����,支持并規(guī)范商用密碼在信息領域新技術�����、新業(yè)態(tài)��、新模式中的應用����。這充分說明����,《條例》貫徹“以人民為中心”的發(fā)展思想����,正確處理發(fā)展與安全的關系,是運用馬克思辯證唯物主義的世界觀��、方法論分析解決我國網(wǎng)絡空間治理問題的重大成果��。
三�����、主動順應密碼社會化應用趨勢
密碼的發(fā)展已有數(shù)千年歷史����,最初主要用于軍事和外交領域。隨著計算機和網(wǎng)絡技術的發(fā)展�����,密碼迎來高速發(fā)展期��,現(xiàn)代密碼學應運而生。但即使到了上世紀下半葉�����,其依然是軍事�����、情報領域的?���?厥马?����,民間研究密碼仍受到嚴格限制��。甚至美國司法����、情報機構(gòu)曾為了保持對公民通信的監(jiān)聽能力,在上世紀90年代提出了密鑰托管方案�����,后以失敗告終����。
世界大勢浩浩蕩蕩����,如今密碼應用的社會化和個人化趨勢已經(jīng)不可阻擋�����,商用密碼管理要順勢而為��?����;仡櫭艽a在國外的發(fā)展歷史��,可以清晰看到各國管理思路的調(diào)整����。這是一個客觀的過程,符合技術發(fā)展規(guī)律和人類認識世界��、改造世界的規(guī)律����。
對我國而言����,積極探索和不斷優(yōu)化商用密碼管理體制�����,更是一項重要的歷史任務�����。密碼是黨政軍的“生命線”����,脫胎于烽火硝煙的戰(zhàn)爭年代�����,久經(jīng)戰(zhàn)火洗禮�����,自誕生時起便始終處在黨的堅強領導下��。
黨的十八大以來,黨中央����、國務院對商用密碼創(chuàng)新發(fā)展和行政審批制度改革提出了一系列要求,密碼法對商用密碼管理制度進行了結(jié)構(gòu)性重塑��?����!稐l例》的修訂深入貫徹上述思路��,堅持放寬準入與規(guī)范監(jiān)管相結(jié)合�����,按照行政審批制度改革要求�����,放寬市場準入����,由修訂前《條例》規(guī)定的全環(huán)節(jié)嚴格管控,調(diào)整為對關鍵環(huán)節(jié)進行重點把控�����,管理方式上由重事前審批轉(zhuǎn)為加強事前事中事后監(jiān)管,以更好地激發(fā)市場活力和社會創(chuàng)造力��。
在科技創(chuàng)新方面��,《條例》將此前的商用密碼科研成果鑒定審批調(diào)整為對法律��、行政法規(guī)和國家有關規(guī)定要求使用商用密碼保護的網(wǎng)絡與信息系統(tǒng)所使用的密碼算法��、密碼協(xié)議�����、密鑰管理機制等商用密碼技術進行審查鑒定��。
在檢測認證方面��,《條例》取消了商用密碼產(chǎn)品品種和型號審批�����,實行商用密碼產(chǎn)品����、服務、管理體系的自愿性檢測認證制度��。具體而言����,一是推進商用密碼檢測認證體系建設,鼓勵在商用密碼活動中自愿接受商用密碼檢測認證����。二是明確商用密碼檢測、認證機構(gòu)資質(zhì)審批條件����、程序及其從業(yè)規(guī)范。三是對涉及國家安全����、國計民生、社會公共利益的商用密碼產(chǎn)品與使用網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品的商用密碼服務實行強制性認證制度��。
四�����、深度融入國家網(wǎng)絡安全法律法規(guī)體系
習近平總書記強調(diào)����,網(wǎng)信事業(yè)要“總體布局��,統(tǒng)籌各方�����,創(chuàng)新發(fā)展”����。在構(gòu)建網(wǎng)信事業(yè)“四梁八柱”的過程中�����,各項制度相互協(xié)作����、緊密耦合��,共同擘畫網(wǎng)絡強國的宏偉藍圖��。此次《條例》修訂��,正值我國網(wǎng)絡安全制度體系日趨完善之際�����,商用密碼工作與其他方面的工作協(xié)同配合,充分體現(xiàn)了國家網(wǎng)絡安全工作的系統(tǒng)性��、整體性與協(xié)調(diào)性����。
在認證認可制度方面,《條例》專設“檢測認證”章節(jié)�����,與認證認可條例保持銜接��?����!稐l例》規(guī)定�����,國家推進商用密碼檢測認證體系建設����,國務院市場監(jiān)督管理部門會同國家密碼管理部門建立國家統(tǒng)一推行的商用密碼認證制度�����,實行商用密碼產(chǎn)品��、服務����、管理體系認證�����,制定并公布認證目錄和技術規(guī)范����、規(guī)則。
在網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品強制檢測�����、認證制度方面��,《條例》與網(wǎng)絡安全法保持銜接����,規(guī)定涉及國家安全、國計民生����、社會公共利益的商用密碼產(chǎn)品,應當依法列入網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄��,由具備資格的商用密碼檢測��、認證機構(gòu)檢測認證合格后�����,方可銷售或者提供����。
在網(wǎng)絡信任體系建設方面,《條例》專設“電子認證”章節(jié)�����,與電子簽名法保持銜接�����。《條例》明確了電子認證服務使用商用密碼要求����,規(guī)范了電子政務電子認證服務活動。
在出口管制制度方面����,《條例》專設“進出口”章節(jié),與出口管制法保持銜接����。《條例》規(guī)定����,涉及國家安全、社會公共利益且具有加密保護功能的商用密碼��,列入商用密碼進口許可清單�����,實施進口許可�����。涉及國家安全、社會公共利益或者中國承擔國際義務的商用密碼�����,列入商用密碼出口管制清單��,實施出口管制�����。
在網(wǎng)絡安全審查制度方面�����,《條例》與國家安全法和網(wǎng)絡安全法保持銜接�����,規(guī)定關鍵信息基礎設施的運營者采購涉及商用密碼的網(wǎng)絡產(chǎn)品和服務��,可能影響國家安全的�����,應當依法通過國家網(wǎng)信部門會同國家密碼管理部門等有關部門組織的國家安全審查��。
在網(wǎng)絡安全等級保護制度方面��,《條例》與網(wǎng)絡安全法保持銜接��,規(guī)定網(wǎng)絡運營者應當按照國家網(wǎng)絡安全等級保護制度要求����,使用商用密碼保護網(wǎng)絡安全。國家密碼管理部門根據(jù)網(wǎng)絡的安全保護等級����,確定商用密碼的使用、管理和應用安全性評估要求��,制定網(wǎng)絡安全等級保護密碼標準規(guī)范����。
在關鍵信息基礎安全保護制度方面,《條例》與網(wǎng)絡安全法和關鍵信息基礎設施安全保護條例保持銜接��,規(guī)定:法律��、行政法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的關鍵信息基礎設施����,其運營者應當使用商用密碼進行保護����,制定商用密碼應用方案�����,配備必要的資金和專業(yè)人員��,同步規(guī)劃�����、同步建設��、同步運行商用密碼保障系統(tǒng)�����,自行或者委托商用密碼檢測機構(gòu)開展商用密碼應用安全性評估��。
不僅如此��,《條例》還強調(diào)��,商用密碼應用安全性評估�����、關鍵信息基礎設施安全檢測評估����、網(wǎng)絡安全等級測評應當加強銜接,避免重復評估����、測評。
《條例》是一部成功的行政法規(guī)�����,其圍繞黨中央��、國務院對新時代商用密碼工作決策部署��,直面問題挑戰(zhàn)��,順應人民期盼�����,內(nèi)容全面��、重點突出,促進發(fā)展��、保障安全����,必將開創(chuàng)我國商用密碼工作“良法善治”新局面。
