近日,修訂后的《商用密碼管理條例》(以下簡稱《條例》)正式公布。這是《條例》自1999年10月7日發(fā)布和施行以來��,首次迎來修訂�����,也是貫徹實施2020年1月1日起施行的密碼法的重要舉措�����。近年來�,我國加大網(wǎng)絡(luò)安全法治建設(shè)�,相關(guān)法律法規(guī)密集出臺,《條例》不是“+1”這樣簡單���,具有特殊意義����。
一�、深刻反映“密碼是保障網(wǎng)絡(luò)安全的核心技術(shù)”定位
密碼是網(wǎng)絡(luò)安全技術(shù)的核心����,這是一個廣泛的共識��,也是符合科學(xué)規(guī)律的正確論斷�����。從其作用而言���,密碼不僅對保護(hù)信息保密性至關(guān)重要�����,而且對保護(hù)信息完整性�����、真實性���、不可否認(rèn)性發(fā)揮著不可替代的作用;從其效果而言��,密碼是最有效�����、最可靠�、最經(jīng)濟(jì)的網(wǎng)絡(luò)安全技術(shù);從其影響而言�����,盡管林林總總的網(wǎng)絡(luò)安全技術(shù)����、產(chǎn)品門類不斷推陳出新,但相當(dāng)多技術(shù)發(fā)源于密碼��,或以密碼為基礎(chǔ)�����,沒有密碼的支撐也就不會有這些技術(shù)的產(chǎn)生和發(fā)展��。
歷史車輪滾滾向前���,今天的信息技術(shù)應(yīng)用場景已經(jīng)十分復(fù)雜�����,網(wǎng)絡(luò)安全需求更加多樣�,密碼需求更為迫切,正應(yīng)該是密碼迎來新的大發(fā)展的重要時刻��。但有兩種現(xiàn)象值得重視:
一是發(fā)生在網(wǎng)絡(luò)安全從業(yè)者中��。很多人對密碼的“核心”定位不甚了解���。我國的網(wǎng)絡(luò)安全學(xué)科發(fā)展起源于密碼學(xué)研究�,當(dāng)時學(xué)術(shù)界�����、技術(shù)界對密碼重要性的認(rèn)識自不待言�。但今天的網(wǎng)絡(luò)安全從業(yè)者已經(jīng)是一個較為龐大的隊伍,新生代逐漸成長起來��,技術(shù)人員的興趣更多地轉(zhuǎn)向“好看”的網(wǎng)絡(luò)攻防現(xiàn)場�����。學(xué)科發(fā)展要開枝散葉��,但這絕不意味著密碼重要性的降低,反而進(jìn)一步凸顯了其核心作用:安全多方計算為隱私保護(hù)提供重要思路�,以密碼為基礎(chǔ)的區(qū)塊鏈技術(shù)催生了數(shù)字貨幣……但網(wǎng)絡(luò)安全技術(shù)的繁榮也導(dǎo)致一些人“亂花迷眼”,使其忘記了密碼在其中發(fā)揮的基礎(chǔ)性作用���。一些高校網(wǎng)絡(luò)安全學(xué)院甚至將打擂臺、奪旗作為教學(xué)導(dǎo)向�,忽視了夯實密碼學(xué)基礎(chǔ),這對學(xué)科發(fā)展和人才培養(yǎng)都是有害的�。目前,我國網(wǎng)絡(luò)空間安全一級學(xué)科知識體系正在更新���,必須在其中加大密碼學(xué)課程的設(shè)置�����,這是任何時候都不能動搖的大事���。
二是發(fā)生在社會公眾之中。密碼不是“口令”��,這件事已經(jīng)強(qiáng)調(diào)了很多年����,但還沒有糾正過來。密碼是指采用特定變換的方法對信息等進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)����、產(chǎn)品和服務(wù)。簡言之�,密碼一定涉及到對信息進(jìn)行變換,使其成為與原始信息不同的另一信息����,目的是為了對原始信息進(jìn)行加密,或者用于日后驗證原始信息是否經(jīng)過了改動�。人們在銀行取款時輸入“密碼”,在線登錄賬號時輸入“密碼”��,開啟保險箱時輸入“密碼”等等��,這實際上是在驗證“口令”�����,而不是使用密碼���?!翱诹睢弊鳛橐环N身份認(rèn)證措施�����,雖然重要但的確不是“密碼”。固然����,沒有必要改變社會中的約定俗成,但如果不使社會公眾意識到兩者的區(qū)別���,顯然不利于密碼事業(yè)的發(fā)展。
因此��,讓密碼進(jìn)一步從“王謝堂前”飛入“尋常百姓家”�,進(jìn)一步明確和強(qiáng)化新時代密碼在網(wǎng)絡(luò)安全技術(shù)體系中的核心地位,為密碼發(fā)展應(yīng)用創(chuàng)造厚實的社會土壤�����,正是當(dāng)務(wù)之急�����?���!稐l例》的修訂可謂正逢其時����,意義重大����。
二、積極應(yīng)對網(wǎng)絡(luò)空間博弈斗爭形勢
密碼算法是什么����?是數(shù)學(xué)。密碼學(xué)家是什么人�����?是一批異于常人���、絕頂聰明的數(shù)學(xué)家����。游離世外��,不問世事����,這是很多人對密碼和密碼學(xué)家的第一印象����。
但實際上���,自現(xiàn)代密碼學(xué)誕生時起�����,它就是武器���、利劍,是大國重器���。在涉及國家安全的國際談判中,密碼始終是一個關(guān)鍵議題�����。當(dāng)密碼開始商用后���,其更成為政治����、貿(mào)易、司法���、文化等領(lǐng)域國際斗爭博弈的焦點�?��?梢哉f��,《條例》始終處在維護(hù)國家安全的第一線��。
《條例》關(guān)系國家IT供應(yīng)鏈產(chǎn)業(yè)鏈安全����?!稐l例》的出臺意味著我國將商用密碼的科研、生產(chǎn)��、銷售����、使用納入法治化軌道。對于一項關(guān)系國家戰(zhàn)略安全����、對網(wǎng)絡(luò)安全有核心基礎(chǔ)性支撐作用的技術(shù)�,立法進(jìn)行規(guī)范是主權(quán)國家的必然之舉�。但是鑒于現(xiàn)代信息技術(shù)軟硬件產(chǎn)品已經(jīng)普遍使用密碼,部分西方國家擔(dān)心其對華產(chǎn)品銷售會受到《條例》的影響����,頻頻在多種場合對《條例》出臺表示關(guān)注?����!稐l例》正是在這樣的國際環(huán)境中走了過來��,為提升我國IT供應(yīng)鏈產(chǎn)業(yè)鏈安全保障能力����、依法維護(hù)國家安全作出了重大貢獻(xiàn)。此次《條例》修訂����,更是順應(yīng)全球政治經(jīng)濟(jì)形勢變化�����,積極借鑒國外IT供應(yīng)鏈產(chǎn)業(yè)鏈安全保障經(jīng)驗��,對商用密碼科研、生產(chǎn)�、銷售、服務(wù)���、檢測��、認(rèn)證����、進(jìn)出口��、應(yīng)用等活動作出了更加科學(xué)���、全面的規(guī)定���。
《條例》關(guān)系信息對抗。信息對抗是信息時代國與國之間博弈斗爭的典型形式��,信息的加密與破譯���、偽裝與反制等是信息對抗的主要手段��。為了極大地維持己方能力���、削弱敵方能力�����,密碼往往被各國作為嚴(yán)格限制出口物項��?!稐l例》在修訂時重點增加了“進(jìn)出口”章節(jié)�����,根據(jù)密碼法關(guān)于商用密碼進(jìn)出口的規(guī)定�,以及國家出口管制、兩用物項進(jìn)出口管理制度�,明確商用密碼進(jìn)口許可和出口管制實行清單管理。
《條例》關(guān)系國家主權(quán)與發(fā)展利益�����。密碼是把“雙刃劍”�,在有效維護(hù)國家安全�、公共利益和保護(hù)公民、組織合法權(quán)益的同時���,也可能被非法利用����。隨著國家大力推動商用密碼發(fā)展應(yīng)用,犯罪分子也可能藉此武裝犯罪工具��、升級犯罪手段����。典型如:對重要數(shù)據(jù)和批量個人信息加密后傳出境外,規(guī)避數(shù)據(jù)出境安全管理制度�;利用密碼進(jìn)行勾連、組織犯罪活動��,或?qū)嵤╅g諜行為�����,竊取�、出賣國家秘密;利用加密手段訪問境外非法網(wǎng)站���,防止被發(fā)現(xiàn)和阻斷���。而IPv6等技術(shù)發(fā)展����,也使國家網(wǎng)絡(luò)空間治理體系面臨如何發(fā)現(xiàn)加密的非法有害信息難題�,這直接涉及政府對新技術(shù)新應(yīng)用的態(tài)度問題。對這種“兩難”問題����,需要做出慎重抉擇。為此�,《條例》專設(shè)“應(yīng)用促進(jìn)”章節(jié),鼓勵公民�����、法人和其他組織依法使用商用密碼保護(hù)網(wǎng)絡(luò)與信息安全�����,但同時規(guī)定��,任何組織或者個人不得利用商用密碼從事危害國家安全�、社會公共利益、他人合法權(quán)益等違法犯罪活動�?��!稐l例》還強(qiáng)調(diào)�����,支持并規(guī)范商用密碼在信息領(lǐng)域新技術(shù)��、新業(yè)態(tài)�、新模式中的應(yīng)用。這充分說明�����,《條例》貫徹“以人民為中心”的發(fā)展思想����,正確處理發(fā)展與安全的關(guān)系,是運(yùn)用馬克思辯證唯物主義的世界觀�、方法論分析解決我國網(wǎng)絡(luò)空間治理問題的重大成果。
三��、主動順應(yīng)密碼社會化應(yīng)用趨勢
密碼的發(fā)展已有數(shù)千年歷史���,最初主要用于軍事和外交領(lǐng)域�。隨著計算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展,密碼迎來高速發(fā)展期�����,現(xiàn)代密碼學(xué)應(yīng)運(yùn)而生��。但即使到了上世紀(jì)下半葉�,其依然是軍事、情報領(lǐng)域的?�?厥马?����,民間研究密碼仍受到嚴(yán)格限制���。甚至美國司法��、情報機(jī)構(gòu)曾為了保持對公民通信的監(jiān)聽能力���,在上世紀(jì)90年代提出了密鑰托管方案,后以失敗告終�����。
世界大勢浩浩蕩蕩,如今密碼應(yīng)用的社會化和個人化趨勢已經(jīng)不可阻擋��,商用密碼管理要順勢而為����?���;仡櫭艽a在國外的發(fā)展歷史,可以清晰看到各國管理思路的調(diào)整�����。這是一個客觀的過程����,符合技術(shù)發(fā)展規(guī)律和人類認(rèn)識世界、改造世界的規(guī)律��。
對我國而言�,積極探索和不斷優(yōu)化商用密碼管理體制,更是一項重要的歷史任務(wù)��。密碼是黨政軍的“生命線”����,脫胎于烽火硝煙的戰(zhàn)爭年代���,久經(jīng)戰(zhàn)火洗禮,自誕生時起便始終處在黨的堅強(qiáng)領(lǐng)導(dǎo)下����。
黨的十八大以來,黨中央��、國務(wù)院對商用密碼創(chuàng)新發(fā)展和行政審批制度改革提出了一系列要求�,密碼法對商用密碼管理制度進(jìn)行了結(jié)構(gòu)性重塑?���!稐l例》的修訂深入貫徹上述思路,堅持放寬準(zhǔn)入與規(guī)范監(jiān)管相結(jié)合��,按照行政審批制度改革要求���,放寬市場準(zhǔn)入����,由修訂前《條例》規(guī)定的全環(huán)節(jié)嚴(yán)格管控����,調(diào)整為對關(guān)鍵環(huán)節(jié)進(jìn)行重點把控��,管理方式上由重事前審批轉(zhuǎn)為加強(qiáng)事前事中事后監(jiān)管���,以更好地激發(fā)市場活力和社會創(chuàng)造力。
在科技創(chuàng)新方面��,《條例》將此前的商用密碼科研成果鑒定審批調(diào)整為對法律���、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)所使用的密碼算法、密碼協(xié)議�����、密鑰管理機(jī)制等商用密碼技術(shù)進(jìn)行審查鑒定����。
在檢測認(rèn)證方面,《條例》取消了商用密碼產(chǎn)品品種和型號審批����,實行商用密碼產(chǎn)品、服務(wù)��、管理體系的自愿性檢測認(rèn)證制度。具體而言����,一是推進(jìn)商用密碼檢測認(rèn)證體系建設(shè),鼓勵在商用密碼活動中自愿接受商用密碼檢測認(rèn)證���。二是明確商用密碼檢測���、認(rèn)證機(jī)構(gòu)資質(zhì)審批條件、程序及其從業(yè)規(guī)范��。三是對涉及國家安全��、國計民生��、社會公共利益的商用密碼產(chǎn)品與使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的商用密碼服務(wù)實行強(qiáng)制性認(rèn)證制度�����。
四�、深度融入國家網(wǎng)絡(luò)安全法律法規(guī)體系
習(xí)近平總書記強(qiáng)調(diào),網(wǎng)信事業(yè)要“總體布局��,統(tǒng)籌各方,創(chuàng)新發(fā)展”����。在構(gòu)建網(wǎng)信事業(yè)“四梁八柱”的過程中,各項制度相互協(xié)作����、緊密耦合,共同擘畫網(wǎng)絡(luò)強(qiáng)國的宏偉藍(lán)圖��。此次《條例》修訂����,正值我國網(wǎng)絡(luò)安全制度體系日趨完善之際,商用密碼工作與其他方面的工作協(xié)同配合����,充分體現(xiàn)了國家網(wǎng)絡(luò)安全工作的系統(tǒng)性��、整體性與協(xié)調(diào)性����。
在認(rèn)證認(rèn)可制度方面,《條例》專設(shè)“檢測認(rèn)證”章節(jié)�����,與認(rèn)證認(rèn)可條例保持銜接?�!稐l例》規(guī)定���,國家推進(jìn)商用密碼檢測認(rèn)證體系建設(shè)�,國務(wù)院市場監(jiān)督管理部門會同國家密碼管理部門建立國家統(tǒng)一推行的商用密碼認(rèn)證制度��,實行商用密碼產(chǎn)品����、服務(wù)、管理體系認(rèn)證�,制定并公布認(rèn)證目錄和技術(shù)規(guī)范、規(guī)則����。
在網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品強(qiáng)制檢測、認(rèn)證制度方面���,《條例》與網(wǎng)絡(luò)安全法保持銜接�����,規(guī)定涉及國家安全�、國計民生、社會公共利益的商用密碼產(chǎn)品�,應(yīng)當(dāng)依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄,由具備資格的商用密碼檢測�����、認(rèn)證機(jī)構(gòu)檢測認(rèn)證合格后�����,方可銷售或者提供���。
在網(wǎng)絡(luò)信任體系建設(shè)方面���,《條例》專設(shè)“電子認(rèn)證”章節(jié),與電子簽名法保持銜接��?��!稐l例》明確了電子認(rèn)證服務(wù)使用商用密碼要求,規(guī)范了電子政務(wù)電子認(rèn)證服務(wù)活動����。
在出口管制制度方面���,《條例》專設(shè)“進(jìn)出口”章節(jié),與出口管制法保持銜接���?!稐l例》規(guī)定��,涉及國家安全����、社會公共利益且具有加密保護(hù)功能的商用密碼,列入商用密碼進(jìn)口許可清單�����,實施進(jìn)口許可�。涉及國家安全、社會公共利益或者中國承擔(dān)國際義務(wù)的商用密碼��,列入商用密碼出口管制清單���,實施出口管制���。
在網(wǎng)絡(luò)安全審查制度方面�,《條例》與國家安全法和網(wǎng)絡(luò)安全法保持銜接��,規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù)�,可能影響國家安全的,應(yīng)當(dāng)依法通過國家網(wǎng)信部門會同國家密碼管理部門等有關(guān)部門組織的國家安全審查�。
在網(wǎng)絡(luò)安全等級保護(hù)制度方面,《條例》與網(wǎng)絡(luò)安全法保持銜接��,規(guī)定網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全等級保護(hù)制度要求���,使用商用密碼保護(hù)網(wǎng)絡(luò)安全�����。國家密碼管理部門根據(jù)網(wǎng)絡(luò)的安全保護(hù)等級����,確定商用密碼的使用��、管理和應(yīng)用安全性評估要求�,制定網(wǎng)絡(luò)安全等級保護(hù)密碼標(biāo)準(zhǔn)規(guī)范��。
在關(guān)鍵信息基礎(chǔ)安全保護(hù)制度方面,《條例》與網(wǎng)絡(luò)安全法和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例保持銜接����,規(guī)定:法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施���,其運(yùn)營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)�,制定商用密碼應(yīng)用方案�����,配備必要的資金和專業(yè)人員��,同步規(guī)劃���、同步建設(shè)��、同步運(yùn)行商用密碼保障系統(tǒng)����,自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估�。
不僅如此,《條例》還強(qiáng)調(diào)���,商用密碼應(yīng)用安全性評估��、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估��、網(wǎng)絡(luò)安全等級測評應(yīng)當(dāng)加強(qiáng)銜接����,避免重復(fù)評估、測評�����。
《條例》是一部成功的行政法規(guī)���,其圍繞黨中央�、國務(wù)院對新時代商用密碼工作決策部署�����,直面問題挑戰(zhàn)���,順應(yīng)人民期盼����,內(nèi)容全面、重點突出����,促進(jìn)發(fā)展�、保障安全,必將開創(chuàng)我國商用密碼工作“良法善治”新局面���。
