中华人民共和国密码法
(2019年10月26日第十三届全国人民代表大会
常务委员会第十四次会议通过 )
目 录第一章 总 则
第二章 核心密码、普通密码
第三章 商用密码
第四章 法律责任
第五章 附 则
第一章 总 则
第一条 为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定本法。
第二条 本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
第三条 密码工作坚持总体国家安全观,遵循统一领导、分级负责,创新发展、服务大局,依法管理、保障安全的原则。
第四条 坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导,制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。
第五条 国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。
国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。
第六条 国家对密码实行分类管理。
密码分为核心密码、普通密码和商用密码。
第七条 核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。
核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。
第八条 商用密码用于保护不属于国家秘密的信息。
公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
第九条 国家鼓励和支持密码科学技术研究和应用,依法保护密码领域的知识产权,促进密码科学技术进步和创新。
国家加强密码人才培养和队伍建设,对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。
第十条 国家采取多种形式加强密码安全教育,将密码安全教育纳入国民教育体系和公务员教育培训体系,增强公民、法人和其他组织的密码安全意识。
第十一条 县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级财政预算。
第十二条 任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。
任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
第二章 核心密码、普通密码
第十三条 国家加强核心密码、普通密码的科学规划、管理和使用,加强制度建设,完善管理措施,增强密码安全保障能力。
第十四条 在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。
第十五条 从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构(以下统称密码工作机构)应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全。
第十六条 密码管理部门依法对密码工作机构的核心密码、普通密码工作进行指导、监督和检查,密码工作机构应当配合。
第十七条 密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。
密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的,应当立即采取应对措施,并及时向保密行政管理部门、密码管理部门报告,由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置,并指导有关密码工作机构及时消除安全隐患。
第十八条 国家加强密码工作机构建设,保障其履行工作职责。
国家建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。
第十九条 密码管理部门因工作需要,按照国家有关规定,可以提请公安、交通运输、海关等部门对核心密码、普通密码有关物品和人员提供免检等便利,有关部门应当予以协助。
第二十条 密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度,对其工作人员遵守法律和纪律等情况进行监督,并依法采取必要措施,定期或者不定期组织开展安全审查。
第三章 商用密码
第二十一条 国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。
各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。
商用密码的科研、生产、销售、服务和进出口,不得损害国家安全、社会公共利益或者他人合法权益。
第二十二条 国家建立和完善商用密码标准体系。
国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。
国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
第二十三条 国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。
国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
第二十四条 商用密码从业单位开展商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。
国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。
第二十五条 国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。
商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。
商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。
第二十六条 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。
商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
第二十八条 国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。
大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
第二十九条 国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。
第三十条 商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。
第三十一条 密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督。
密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。
第四章 法律责任
第三十二条 违反本法第十二条规定,窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的,由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。
第三十三条 违反本法第十四条规定,未按照要求使用核心密码、普通密码的,由密码管理部门责令改正或者停止违法行为,给予警告;情节严重的,由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
第三十四条 违反本法规定,发生核心密码、普通密码泄密案件的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
违反本法第十七条第二款规定,发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未立即采取应对措施,或者未及时报告的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
第三十五条 商用密码检测、认证机构违反本法第二十五条第二款、第三款规定开展商用密码检测认证的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款;情节严重的,依法吊销相关资质。
第三十六条 违反本法第二十六条规定,销售或者提供未经检测认证或者检测认证不合格的商用密码产品,或者提供未经认证或者认证不合格的商用密码服务的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。
第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第三十八条 违反本法第二十八条实施进口许可、出口管制的规定,进出口商用密码的,由国务院商务主管部门或者海关依法予以处罚。
第三十九条 违反本法第二十九条规定,未经认定从事电子政务电子认证服务的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款。
第四十条 密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的,依法给予处分。
第四十一条 违反本法规定,构成犯罪的,依法追究刑事责任;给他人造成损害的,依法承担民事责任。
第五章 附 则
第四十二条 国家密码管理部门依照法律、行政法规的规定,制定密码管理规章。
第四十三条 中国人民解放军和中国人民武装警察部队的密码工作管理办法,由中央军事委员会根据本法制定。
第四十四条 本法自2020年1月1日起施行。
密码基础知识
一、密码的概念和内涵
什么是密码?《中华人民共和国密码法》(以下简称《密码法》)中的密码(cryptography)是指“采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务”。而现实生活中,大家经常接触到的“开机密码”、“登陆密码”“支付密码”等,实际上是口令(password),它只是进入计算机、邮箱、账户的“通行证”,是一种最简单、最初级的身份认证手段。口令≠密码,“口令”不在《密码法》的管理范围之内。
密码的主要功能有两个,一个是加密保护,另一个是安全认证。加密保护,简单地说就是将明文变成密文。例如,古希腊军队使用一种叫做“斯巴达棒”的圆木棍来进行加密通信,使用方法是:把一根长带状羊皮纸缠绕在圆木棍上,然后在上面写字;解下羊皮纸后,上面只有乱序的字符,只有再次以同样的方式缠绕到同样粗细的木棍上,才能看出所写的内容。安全认证,简单地说就是确认主体和信息的真实可靠性。例如,增值税防伪税控系统采用商用密码技术保护涉税信息,确定该发票的明文信息是否真实,从而遏制增值税犯罪。
密码技术,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术,包括密码编码、实现、协议,以及密钥产生、分发、传送等技术。密码产品,是指承载密码技术、实现密码功能的实体,典型的密码产品包括:密码机(网络密码机、服务器密码机等)、密码芯片和模块(如第二代居民身份证、智能电卡、社会保障卡、金融芯片卡中使用的密码芯片、可信计算密码模块)等。密码服务,是指基于密码技术和产品,实现密码功能,提供密码保障的行为,典型的密码服务包括:密码保障系统集成(如数字证书认证系统集成),密码保障系统运营(如增值税发票防伪税控系统运营)。
二、密码的重要作用
密码可实现信息的机密性、真实性、数据的完整性和行为的不可否认性,相比人力保护、物理隔离、防火墙、监控技术、生物技术等安全手段,密码技术是目前世界上公认的保障网络与信息安全最有效、最可靠、最经济的手段。
保证机密性:机密性是指保证信息不被泄漏给非授权的个人、计算机等实体的性质。通过密码技术进行加密,攻击者即使截取了密文,由于密码算法具有足够的强度,他也不能从密文中获取有效信息,只有拥有密钥的人才能解密。
保证真实性:真实性是指保证信息来源可靠、没有被伪造和篡改的性质。密码中的安全认证技术,包括数字签名、消息认证码、身份鉴别协议等,其基本思想是通过合法人各自的“秘密信息”对公开信息进行处理,得到一枚独特的“印章”,用它来证明公开信息的真实性,不掌握“秘密信息”的非法用户无法伪造“印章”。
保证完整性:完整性是指没有受到非授权的篡改或破坏的性质。可通过密码算法对文件计算出唯一的摘要,将其附在文件后,接收方用同样的算法对文件计算出新的摘要后,与附带的摘要进行比对,如果一样则文件没有被改动,反之则证明已被修改。
保证不可否认性:不可否认性也称抗抵赖性,是指一个已经发生的操作行为无法被否认的性质。使用基于密码算法的数字签名,用户一旦签署了数字签名,就不能抵赖、不可否认,对解决网络上的纠纷、电子商务纠纷等问题,是必不可少的工具。
三、密码的分类
《密码法》将密码分为核心密码、普通密码和商用密码,实行分类管理。
核心密码和普通密码:核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息。密码管理部门按照中央要求,对核心密码、普通密码实行全生命周期的严格统一管理。这是因为:第一,核心密码、普通密码用于保护国家秘密信息,直接关系国家安全和利益;第二,核心密码、普通密码本身也属于国家秘密,一旦泄密,将危害国家安全和利益。
商用密码:商用密码用于保护不属于国家秘密的信息。也就是说,商用密码可以用于保护除国家秘密之外的所有信息,既可以保护企业商业秘密、公民个人隐私,也可以保护政务领域中不属于国家秘密的工作信息。《密码法》规定公民、法人和其他组织可以依法使用商用密码保护网络与信息安全,对一般用户使用商用密码没有提出强制性要求,但第二十七条规定了关键信息基础设施的商用密码使用要求。
四、商用密码算法简介
商用密码算法体系包括对称密码算法、公钥密码算法和密码杂凑算法等类型。对称密码算法,即加、解密使用的密钥是相同或容易相互推导得出的,如同往一个上了锁的箱子里放物品,放入和取出物品时需要用同样的钥匙开锁。公钥密码算法,加密的时候用公开的密钥,解密的时候用只有自己知道的私钥,且从私钥可以推导出公钥,但从公钥不能推导出私钥,多用于身份认证、数字签名,可确保真实性和不可否认性。密码杂凑算法,是将任意长度的消息压缩成固定长度短消息的函数,其输出值为摘要,消息不同得到的摘要也不同,可检测消息的完整性。
常见的国外算法有DES、AES、RSA、ECC、MD5、SHA-1等。AES算法,是美国联邦政府在DES算法基础上研发的一种对称密码算法标准。RSA算法,1977年提出,基于大整数因子分解难题设计,是第一个投入使用,也是迄今为止应用最广泛的公钥密码算法,但当前已经很容易被计算机破解。ECC算法,即椭圆曲线密码算法,被国际公认为唯一成熟可替代RSA密码算法的公钥密码算法,具有资源占用少、运算效率高等优点,美国从2010年开始全面推广应用。MD5算法,是由美国麻省理工学院提出的杂凑算法,目前一部智能手机仅用30秒就可以破解。SHA-1算法,是1995年由美国国家安全局提出的杂凑算法,2017年国家密码管理局已公布了该算法的风险警示。
我国商用密码经过多年发展,形成了SM系列和祖冲之(ZUC)算法,其中SM2、SM3、SM9和ZUC算法已经正式成为ISO/IEC国际标准。SM4算法为对称算法,用于无线局域网加密,安全性高于DES算法。ZUC算法为对称算法,已成为4G移动通信密码算法国际标准,我国正推动256比特的ZUC算法进入5G通信安全标准,硬件实现开销小于AES算法。SM2算法为椭圆曲线公钥算法,比RSA算法加密强度更高、运算速度更快。SM9算法为公钥算法,用于身份认证等,加密强度高于RSA算法。SM3算法为杂凑算法,用于数字签名和完整性校验,安全性高于MD5和SHA-1算法。
商用密码应用案例
一、网络安全案例
(一)敏感数据缺乏密码保护
1.酒店入驻信息泄露案。2013年,如家、汉庭等酒店客户开房记录被第三方存储,并因漏洞导致开房信息泄露,原因是这些酒店全部或部分使用了某公司的Wi-Fi管理、认证管理系统,重要敏感信息全部明文传输,导致被攻击者截获。
2.韩国信用卡信息泄露案。2014年,韩国发生史上最大规模的信用卡个人信息泄露事件,信用评级公司职员利用用户敏感信息未加密的弱点,非法收集1.04亿条个人信息。此次海量信息泄露,使韩国政府保护公民隐私的能力受到严重质疑。
3.美国雅虎用户隐私信息泄露案。2016年,雅虎公布至少有5亿用户账号信息被黑客盗取,此事件导致其与威瑞森公司48.3亿美元的收购被取消。
(二)数据篡改和身份假冒
4.XcodeGhost事件。2015年,一些大公司使用非苹果公司官方渠道的Xcode工具开发手机软件,会向正常的苹果软件植入恶意代码,该代码具有信息窃取行为,并具有远程控制功能。由于苹果公司官方网站没有提供正版Xcode软件的“杂凑值”或“数字签名”,大多数程序员难以分辨真伪,导致病毒事件爆发,保守估计影响人数超过1亿。
5.钓鱼网站。2011年,山西省国税局发现两个仿冒该局发票真伪查询系统的网站,河北省国税局也发现类似问题,仿冒页面与真实页面相似度几乎达到100%,对纳税人起到迷惑作用。由于安全意识匮乏,我国相当数量的网站没有使用基于密码技术的HTTPS协议和域名证书,不仅会带来经济损失,还有可能因发布假消息造成社会恐慌。
(三)密码技术滥用
6.“魔哭”勒索软件。2017年,一款名为“魔哭”(WannaCry)的蠕虫勒索软件袭击全球网络,它对受害者电脑的重要文件进行加密,除非受害者支付比特币,否则加密文件无法恢复,全球150多个国家和地区,超过30万台设备受到感染和影响。
- 网络安全对抗逐步升级为网络战争
8.“火焰”病毒席卷中东。2012年,一款名为“火焰”的病毒在中东地区大范围传播,可以盗取计算机显示内容、存储的文件、联系人数据甚至音频对话记录等重要信息,其复杂性超过任何其它已知病毒。该病毒利用在Windows系统中普遍使用的MD5算法弱点,通过伪造数字证书进入受害者系统。
9.Dual_EC_DRBG算法后门。2013年9月,斯诺登披露美国国家安全局在Dual_EC_DRBG随机数生成算法中植入后门。虽然2014年美国迫于压力在相关标准中删除了该算法,但该算法已广泛应用于世界各地,其影响不能一朝一夕消除,美国长期以来凭借其密码强国地位一直致力于控制其他国家密码应用的事实不言自明。
二、我国商用密码应用案例
(一)金融领域应用案例
1.在银行业中的应用。近年来,商用密码的应用使银行业各项交易业务,包括线下交易、网银交易、跨行交易等都不断刷新历史交易规模,有效遏制了银行卡伪造、网上交易身份仿冒等违法犯罪活动,显著提升了敏感信息和交易数据的安全防护能力,有力保障了金融信息安全和金融系统安全稳定运行,保护了公民个人隐私和金融财产安全。目前,累计发行支持商用密码算法的金融IC卡逾亿张,已有多家银行机构接入银联跨行交易系统,形成银行业广泛的密码应用环境。
2.在非银行支付中的应用。商用密码的应用有效解决了用户因缺少安全认证方式导致的支付限额问题,促进了非银行支付业务的安全、健康发展,支付宝系统在线交易笔数在2016年就超过全球第二大信用卡支付机构万事达,并已推广数字证书应用以加强交易安全,目前日均基于数字证书实现交易验证近150万笔。商用密码成为非银行支付业务安全的重要组成部分。
3.在电子保单中的应用。电子保单是保险公司借助电子签名技术和数字证书为客户签发的具有法律效力的电子化保单,实现网上投保、在线支付、网上核保和电子保单发送等全流程的电子化。电子保单采用密码技术实现了保险业务过程各类电子单证的合法性,省去了保险单证印刷、发放、机构盖章等环节,简化了流程,降低了操作风险和营运费用,提升了用户使用体验和公司营销效率。
4.在网上证券中的应用。新股网下发行市场参与方使用EIPO平台可以大幅度提高网下发行的效率,有效避免新股申购过程中资金大规模跨行流动可能引发的金融风险,并最大限度实现资源共享。平台采用数字证书,实现业务操作电子化,采用数字签名技术,解决了网上业务的法律效力问题,大大提高了办理效率、节省了成本。
(二)基础信息网络应用案例
1.在移动通信中的应用。4G通信技术大规模商用以来,ZUC算法在移动通信领域得到广泛应用。中国移动、中国电信、中国联通三大运营商建设的300多万个基站系统全部支持ZUC算法,高通、华为、展讯、MTK等主流基带芯片厂商生产的产品都支持ZUC算法,基于这些基带芯片生产的数亿部移动智能手机默认支持ZUC算法。商用密码在VoLTE加密语音系统的应用,进一步提升了我国移动通信安全能力。
2.在广播电视中的应用。密码技术的使用可以有效满足广播电视行业在身份认证、数据防篡改、版权保护等方面的要求,已成为保障广播电视安全的基础核心技术。目前,广电行业正在部署基于商用密码的超高清节目数字版权保护系统。
3.在视频监控系统中的应用。《公共安全视频监控联网信息安全技术要求》作为国家标准,对密码应用作出了具体规范,可以预见,商用密码在视频监控系统中的应用将产生显著的安全效益和社会效益。
(三)重要信息系统应用案例
1.在税务领域中的应用。国家组织有关部门以密码技术为基础,研制了增值税防伪税控系统,有效遏制了以篡改发票票面信息进行骗税的行为。该系统仅在投入使用当年,即为国家挽回税收损失700亿元,每年为国家税收贡献在千亿元以上,20多年来税收累计贡献数万亿元,被誉为增值税的安全卫士和打击增值税犯罪的强力武器。
2.在社会保障卡中的应用。采用密码技术实现身份识别、权限控制、数据加密等安全机制,识别持卡人在人力资源和社会保障各项业务中的合法身份。2017年开始试点的第三代社会保障卡,使用经国家密码管理部门认可的算法,进一步提升社会保障卡应用的安全水平。
3.在电子病历系统中的应用。商用密码在电子病历系统中得到广泛应用,保护的信息包括病案首页、入院记录、病程记录、手术记录、会诊记录、查房记录、护理记录、知情同意书等,目前已有上千家医院在电子病历系统中使用商用密码,有效保证了电子病历数据的真实性和完整性。
(四)面向社会服务的政务信息系统应用案例
1.在电子证照中的应用。目前已有多个地区形成以身份证号、统一社会信用代码为标识的居民电子证照目录和法人电子证照目录,逐步实现政务服务“一号申请、一窗办理、一网通办、一库共享”。全国已发放超过1600万张电子营业执照,有效遏制网上无照经营和虚假主体经营的现象,为网络市场监管提供了有效手段,对优化政府服务水平、进一步激发市场活力具有重要意义。
2.在政务移动办公领域中的应用。采用商用密码的政务移动办公系统已在电子政务(办公管理、便民服务)、城市管理(市政、公安)、行政监管(税务)、应急安全(平安城市、应急指挥)等领域得到广泛应用。以移动警务为例,2011年以来,移动警务系统为全国32个省级公安机关100多万民警配备终端密码模块并签发数字证书,保障1000多种移动警务应用安全。
云南省按照国家要求积极推广商用密码在相关行业领域的应用。地方性商业银行积极落实试点工作任务,采用商用密码对行内重要信息系统进行保护,强化安全监控,保障相关系统的安全稳定运行。省级部门出台一系列政策规划,认真落实密码应用要求,有关部门在交通运输、政务信息、税务等重要网络信息系统中实现了身份认证、电子印章、电子签名、数据传输等方面的商用密码应用。
密码政策问答
1.问:《密码法》有什么样的法律地位?
答:密码是国家重要战略资源,是保障网络与信息安全的核心技术和基础支撑。密码工作是党和国家的一项特殊重要工作,直接关系国家政治安全、经济安全、国防安全和信息安全,在我国革命、建设、改革各个历史时期,都发挥了不可替代的重要作用。进入新时代,以习近平同志为核心的党中央坚持总体国家安全观,在完善国家安全体系的总体布局中对加强密码工作和密码立法作出了重要部署。
《密码法》是我国国家安全法律制度体系的重要组成部分,是密码领域的综合性、基础性法律,也是一部技术性、专业性较强的专门法律。《密码法》以法律的形式明确了党管密码的根本原则,确立了密码工作领导和管理体制,明确了密码分类管理原则以及核心密码、普通密码、商用密码管理的各项制度措施,为保障网络与信息安全,维护国家安全、社会公共利益,以及公民、法人和其他组织的合法权益提供了坚实有力的法律保障,为构建系统完备、科学规范、运行高效的密码法律制度体系奠定了基础。
2.问:密码工作坚持党的绝对领导体现在哪些方面?
答:坚持党对密码工作的绝对领导,是在任何时候、任何情况下都必须毫不动摇坚持的根本原则。《密码法》规定,坚持中国共产党对密码工作的领导,旗帜鲜明地把党管密码这一根本原则写入法律。党的密码工作创建于1930年,一直由党中央直接领导和管理,党管密码原则是密码工作长期实践和历史经验的深刻总结,是密码工作最重要、最根本、最核心的要求。
坚持党的绝对领导,主要体现在:一是密码工作的重大事项向中央报告,密码工作的重大决策由中央决定。二是坚决贯彻执行中央关于密码工作的方针政策,落实中央确定的密码工作领导和管理体制。三是充分发挥党的领导核心作用,各级党委(党组)和密码工作领导机构要认真履行党管密码的政治责任。
3.问:我国的密码工作领导体制是什么?
答:《密码法》明确规定,中央密码工作领导机构,即中央密码工作领导小组,对全国密码工作实行统一领导,把中央确定的密码工作领导体制,通过法律形式固化下来,为密码工作沿着正确方向发展提供根本保证。中央密码工作领导小组统一领导全国密码工作,负责制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。
4.问:我国的密码工作管理体制是什么?
答:根据密码工作依法管理的需要,参考其他工作领域管理体制改革发展的经验,《密码法》明确了密码工作管理体制,包括两个方面的内容:一是国家、省、市、县四级密码工作管理体制,二是国家机关和涉及密码工作的单位的密码工作职责。国家密码管理部门是指国家密码管理局,县级以上地方各级密码管理部门是指省(自治区、直辖市)、市(地、州、盟)、县(市、区、旗)密码管理局。
5.问:国家机关和涉及密码工作的单位的密码工作职责是什么?
答:国家机关和涉及密码工作的单位根据工作需要,承担相应的密码工作职责,是密码工作管理体制的重要组成部分。国家机关是指中央、省、市、县各级国家机关。涉及密码工作的单位是指除国家机关以外,承担密码管理职责的企事业单位等。这些机关、单位在其职责范围内负责本机关、本单位或本系统的密码工作。
6.问:为什么要加强密码安全教育?
答:密码安全事关国家安全,密码安全意识是国家安全意识的重要内容。密码安全教育是密码工作的重要组成部分,对密码工作高质量发展起着重要的导向和促进作用。做好密码安全教育工作,对于正确贯彻中央关于密码工作的方针政策,提高全民密码安全意识,引导全社会合规、正确、有效使用密码,确保密码使用优质高效、确保密码管理安全可靠,具有重要意义。
7.问:如何加强密码安全教育?
答:密码安全教育要与学习贯彻总体国家安全观紧密结合起来,以学习宣传贯彻《密码法》为重要抓手,面向不同人群,开展不同形式的密码安全教育,增强安全教育的针对性和实效性。
一是充分利用“全民国家安全教育日”“国家网络安全宣传周”等平台,深入开展《密码法》普及宣传活动,推动密码安全教育进社会、进课堂、进教材、进网络。
二是充分利用传统媒体和新兴媒体,充分发挥中国密码学会、商用密码领域的行业协会等社会团体和全国商用密码展览会、《密码学报》、全国密码技术竞赛等学术、产业交流平台的作用,创新宣传方式和手段,加大密码知识科普工作的力度,增强密码社会认知度和应用密码保护信息安全的意识。
三是各级教育主管部门和公务员主管部门将密码安全教育纳入国民教育体系和公务员教育培训体系,加强对大中小学生密码常识和密码安全意识的培养,加大对各级领导干部进行密码培训的力度,推动密码知识进校园,进党校(行政学院)、干部学院。
8.问:为什么要把密码安全教育纳入国民教育体系和公务员教育培训体系?
答:将密码安全教育纳入国民教育体系,在各阶段的教育过程中,开展密码常识、密码安全意识的教育,有利于提高全民密码安全意识,提高全社会自觉使用密码保护网络与信息安全、维护国家密码安全的意识。
在公务员培训中,密码安全教育主要是关于密码常识、密码安全意识和密码工作的教育,将密码安全教育纳入公务员教育培训体系,有利于公务员在履行职责过程中更好地贯彻总体国家安全观,提高密码安全意识与履职能力。
9.问:《密码法》对禁止利用密码从事违法犯罪活动做了什么样的规定?
答:密码是一把“双刃剑”,既可以用于合法的信息保护,也可能被用来从事违法犯罪活动。密码一旦被用来从事违法犯罪活动,将严重危害国家安全、社会公共利益和公民个人合法权益。因此,《密码法》第十二条明确规定:“任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。”
10.问:什么是“窃取他人加密保护的信息或者非法侵入他人的密码保障系统”?
答:窃取他人加密保护的信息,是指未经他人授权,采用非法攻击密码等方式获取他人加密保护的信息的违法行为。
非法侵入他人的密码保障系统,是指未经他人授权,采用非法攻击密码等方式进入他人的密码保障系统。这里的“密码保障系统”,是指采用密码技术、产品或者服务集成建设的,实现加密保护、安全认证功能的系统。
11.问:《密码法》为什么规定“任何组织和个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动”?
答:随着网络信息技术的不断发展,利用密码从事违法犯罪活动的案例屡见不鲜,造成了广泛的社会影响。例如,2017年5月,一款名为“魔哭”(WannaCry)的蠕虫勒索软件袭击全球网络。它加密受害者电脑内的重要文件,除非受害者通过比特币交出赎金,否则加密文件无法恢复。“魔哭”勒索软件的影响范围覆盖全球150多个国家和地区,超过30万台设备受到感染和影响。我国有3万多家机构、数十万台设备受到该软件袭击,给国家、社会和公民个人财产造成巨大损失,严重危害了国家安全和社会稳定。
此外,《密码法》关于不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动的规定也是与《刑法》、《治安管理处罚法》、《网络安全法》等有关法律、行政法规的规定相衔接的。
12.问:核心密码、普通密码泄密主要指哪些情形?
答:核心密码、普通密码泄密既包括核心密码、普通密码故意泄密,也包括核心密码、普通密码过失泄密,主要有以下三种情形:一是使核心密码、普通密码被不应知悉者知悉;二是使核心密码、普通密码超出了限定的接触范围,而不能证明未被不应知悉者知悉;三是核心密码、普通密码丢失,下落不明。
13.问:影响核心密码、普通密码安全的重大问题、风险隐患是指什么?
答:影响核心密码、普通密码安全的重大问题、风险隐患,是指核心密码、普通密码设备、部件、系统等发生损毁、中断、被攻击侵入等情况,已经或可能对密码安全构成威胁。
14.问:出现密码安全问题时,密码工作机构要立即采取什么样的应对措施?
答:采取应对措施是指为避免核心密码、普通密码泄密或减轻泄密后果而采取的一切合法和必要的措施。究竟如何采取应对措施以及采取何种应对措施,应根据当时的具体情况和现实条件作出决定。要求密码工作机构在发生核心密码、普通密码泄密等安全问题时及时报告,是为了让保密行政管理部门、密码管理部门及时了解情况,以便采取相应措施,及时组织查处,最大限度地减少可能造成的损害。
15.问:核心密码、普通密码泄密案件查处由哪些部门负责?
答:为规范和加强密码泄密案件等安全问题查处工作,参照《保守国家秘密法》的规定,同时考虑到密码工作的特性和密码管理部门的管理实践,《密码法》规定,由保密行政管理部门、密码管理部门会同有关部门组织开展核心密码、普通密码泄密案件等安全问题的调查、处置工作。
16.问:我国商用密码产业的基础怎么样?
答:经过多年发展,我国商用密码产业取得长足进步,满足网络空间条件下差异化、多样化应用需求的能力不断提升,产业支撑能力显著增强。
首先,商用密码产业队伍持续壮大。截至2019年12月,商用密码从业单位已达1000多家。随着信息化发展对密码需求的不断增长,以商用密码为主业的上市公司越来越多,一批具有国际影响力的旗舰企业,踊跃进入商用密码产业领域,按照商用密码管理政策法规和标准规范研制商用密码产品、提供商用密码服务。这些企业活跃在商用密码产业链条的各个领域,形成了分布合理、竞争有序、创新力强的商用密码产业队伍,创造了巨大的经济效益和社会效益。
其次,商用密码产品种类不断丰富。截至2019年12月,通过国家密码管理局审批的商用密码通用产品有2000余款。2019年,全年共销售商用密码产品19亿台/套。从产品形态上,覆盖芯片、板卡、整机、系统等全产业链;从功能性能上,一批关键、基础、高性能商用密码产品推向市场,基本形成层次分明、功能完善、性能优异的产品体系;从应用领域上,更多满足电力、公安、交通、税务、金融等领域密码应用需求的产品可供选择,也有一批针对移动互联网、物联网、云计算、大数据等新兴领域的特定商用密码产品研制成功并得到应用。
此外,商用密码检测和电子认证服务能力进一步增强。密码检测基础理论、技术平台建设、运行机制等方面都取得新突破,多项成果达到国际先进水平,较好地满足了商用密码管理和产业发展对检测评估的需求。电子认证服务正在逐步构建一个以国家电子认证根CA为认证源点,辐射全国各地区各行业、连接上亿用户的电子认证体系。
17.问:为什么要鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动?
答:《密码法》第二十三条第二款规定:国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
企业、社会团体和教育、科研机构等全面深入地参与商用密码国际标准的制修订等国际标准化活动,是全球化的必然趋势和要求,有利于提升商用密码技术的全球影响力,同时也为降低包括密码脆弱性在内的全球网络安全整体风险贡献中国智慧和提供中国方案。
18.问:关键信息基础设施必须使用商用密码进行保护吗?
答:《密码法》第二十七条规定:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护。
《密码法》规定的关键信息基础设施商用密码使用要求是《网络安全法》规定的关键信息基础设施安全保护义务的重要组成部分。密码是保障网络与信息安全的核心技术和基础支撑。法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者必须使用商用密码进行保护,而且使用的商用密码必须是合规、正确、有效的。
关键信息基础设施的运营者如果不使用或者不合规正确有效使用商用密码进行保护,将严重威胁关键信息基础设施的安全稳定运行,威胁国家安全和社会公共利益。因此,《密码法》对关键信息基础设施使用商用密码提出明确要求,有效保障关键信息基础设施安全。
19.问:商用密码应用安全性评估的目的是什么?
答:商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。
建立完善商用密码应用安全性评估制度,对关键信息基础设施商用密码应用的合规性、正确性和有效性进行评估,对于有效规范密码应用,切实保障国家网络和信息安全,具有重要作用。
商用密码应用安全性评估同时也是网络安全等级保护和关键信息基础设施安全保护制度的重要内容和技术手段。关键信息基础设施的运营者作为关键信息基础设施网络安全保护和密码使用的第一责任人,《密码法》要求其履行相应的义务,按照相关法律法规和标准规范对关键信息基础设施密码应用的合规性、正确性、有效性和运维管理人员基本能力进行评估。
为有效控制安全风险,关键信息基础设施的运营者应当在规划、建设等必要阶段进行评估,系统投入运行后,还应当定期开展评估。
20.问:为什么对关键信息基础设施的运营者采购涉及商用密码的网络产品和服务实行国家安全审查制度?
答:《密码法》第二十七条规定:关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
对关键信息基础设施的运营者采购涉及商用密码的网络产品和服务实行国家安全审查制度,主要有以下考虑:一是该制度是维护国家安全和社会公共利益的需要,符合世贸组织规则,也是国际通行做法。国家安全审查可以防止关键信息基础设施因使用的产品和服务存在安全缺陷或隐患而受到攻击、破坏,或者存储的数据资源被窃取、泄露,从而提高关键信息基础设施安全可控水平,有效保障关键信息基础设施安全。二是该制度是《国家安全法》《网络安全法》中明确规定的制度,与《网络安全法》关于网络安全审查制度的规定衔接一致。本条中的“国家安全审查”是网络安全审查的一部分,安全审查由国家互联网信息办公室会同国家密码管理局等有关部门共同组织开展,不存在制度交叉和重复审查问题。
21.问:《密码法》明确哪些未按照要求使用核心密码、普通密码的情形?
答:《密码法》明确了违反核心密码、普通密码使用要求的两种情形:一是在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,未使用核心密码、普通密码进行加密保护、安全认证。二是在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,虽然使用了核心密码、普通密码,但未能依照法律、行政法规和国家有关规定,合规、正确、有效地使用核心密码、普通密码进行加密保护、安全认证。
22.问:《密码法》对未按照要求使用核心密码、普通密码的行为,规定了什么样的法律责任?
答:《密码法》第三十三条规定:违反本法第十四条规定,未按照要求使用核心密码、普通密码的,由密码管理部门责令改正或者停止违法行为,给予警告;情节严重的,由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
此条规定的法律责任包括:
1.责令改正。所谓责令改正,是指有关主管部门依法要求违法行为人将其违法行为恢复到合法状态。
2.责令停止违法行为。所谓责令停止违法行为,是指有关主管部门依法要求违法行为人停止其实施的违法行为。
3.警告。所谓警告,是指有关主管部门对违法行为人进行训诫,使其认识到其行为的违法性。
4.处分。分为行政处分和党纪处分两种。本条中的“直接负责的主管人员”,是指在机关、单位实施的违法行为中起决定、批准、授意、指挥等作用的人员,一般是本机关、单位分管某一方面工作的负责人。“其他直接责任人员”,是指具体实施违法行为并起较大作用的人员,可以是机关、单位的管理人员、工作人员。
5.处理。所谓处理,是指对实施了相关违法行为,但不适用处分的人员,由有关主管部门依照有关法律、法规的规定作出的惩戒。这里所说的不适用处分的人员,主要是指在国家机关工作但不具有编制的聘任人员和企事业单位聘任的人员。
密码管理部门应当及时建议督促有关机关、单位对违法人员依法给予处分或者处理。
23.问:《密码法》明确哪些核心密码、普通密码泄密等安全问题的情形?
答:《密码法》明确了核心密码、普通密码泄密案件或者密码工作机构违反相关安全要求的具体情形:一是发生核心密码、普通密码泄密案件。二是发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未立即采取应对措施。三是发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未及时向保密行政管理部门、密码管理部门报告。
24.问:《密码法》明确的核心密码、普通密码泄密等安全问题的法律责任具体包括哪些?
答:《密码法》第三十四条规定:违反本法规定,发生核心密码、普通密码泄密案件的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。违反本法第十七条第二款规定,发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未立即采取应对措施,或者未及时报告的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
此条规定的法律责任包括:
1.处分。处分分为行政处分和党纪处分两种。本条中的“直接负责的主管人员”,是指在机关、单位实施的违法行为中起决定、批准、授意、指挥等作用的人员,一般是本机关、单位分管某一方面工作的负责人。“其他直接责任人员”,是指具体实施违法行为并起较大作用的人员,可以是机关、单位的管理人员、工作人员。
2.处理。所谓处理,是指对实施了相关违法行为,但不适用处分的人员,由有关主管部门依照有关法律、法规的规定作出的惩戒。这里所说的不适用处分的人员,主要是指在国家机关工作但不具有编制的聘任人员和企事业单位聘任的人员。
保密行政管理部门、密码管理部门应当及时建议督促有关机关、单位对违法人员依法给予处分或者处理。
25.问:《密码法》明确关键信息基础设施的运营者违反商用密码使用要求的情形有哪些?
答:《密码法》明确了关键信息基础设施的运营者违反商用密码使用要求的具体情形:一是关键信息基础设施的运营者未按照要求使用商用密码。二是关键信息基础设施的运营者未按照要求开展商用密码应用安全性评估。三是关键信息基础设施的运营者使用未经国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查或者国家安全审查未通过的涉及商用密码的网络产品或者服务。
26.问:《密码法》对关键信息基础设施的运营者未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估,规定了哪些法律责任?
答:《密码法》第三十七条规定:关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
此条规定的法律责任包括:
1.责令改正。所谓责令改正,是指有关主管部门依法要求违法行为人将其违法行为恢复到合法状态。
2.警告。所谓警告,是指有关主管部门对违法行为人进行训诫,使其认识到其行为的违法性。
3.罚款。所谓罚款,是指有关主管部门依法强制违法行为人在一定期限内向国家缴纳一定数额的金钱。对于关键信息基础设施的运营者拒不改正或者导致危害网络安全等后果的,对关键信息基础设施的运营者处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
27.问:《密码法》对关键信息基础设施的运营者使用未经国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查或者国家安全审查未通过的涉及商用密码的网络产品或者服务,规定了哪些法律责任?
答:《密码法》第三十七条第二款规定:关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
此条规定的法律责任包括:
1.责令停止使用。所谓责令停止使用,是指有关主管部门依法要求违法行为人停止使用未经安全审查或者安全审查未通过的产品或者服务。
2.罚款。所谓罚款,是指有关主管部门依法强制违法行为人在一定期限内向国家缴纳一定数额的金钱。对于关键信息基础设施的运营者违法使用未经安全审查或者安全审查未通过的产品或者服务的,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
