现实生活中,我们每天都离不开密码——手机开机需要密码,登录电子邮箱需要密码,微信、QQ需要密码,银行卡支付也需要密码……
在刚刚结束的十三届全国人大常委会第十一次会议上,密码法草案提请审议。小小的密码为何需要制定专门的法律?法律草案又作出了哪些具体规定?请看记者带来的解答。
无处不在的密码
专家介绍,生活中我们常用的密码实际上是口令。口令只是进入个人计算机、手机、电子邮箱或者个人银行账户的通行证,它是一种简单、初级身份认证手段,是最简易的密码。
而密码法草案中的密码要“高级”多了。它是指使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。
密码的主要功能有两个:一个是加密保护,另一个是安全认证。
加密保护是指使用数学变换,将原来可读信息变成不能识别的符号序列。简单地说,加密保护就是将明文变成密文。
安全认证是指使用数学变换,确认信息是否被篡改、是否来自可靠信息源以及确认行为是否真实。简单地说,安全认证就是确认主体和信息的真实可靠性。这种应用很常见,比如,增值税防伪税控系统采用商用密码技术保护涉税信息,增值税发票信息经密码算法进行加密,并且把密文打印在发票上的密码区,在税额抵扣环节对密文进行解密,解密后的发票要素与发票明文进行比对,来确定该发票的明文信息是否真实,如果比对后没有通过,则税额不能抵扣,从而遏制增值税犯罪,减少税款流失。
专家表示,密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段。
密码的作用超出我们的想象。在金融领域,中国人民银行和国家密码管理局建立了商用密码与银行业务全面融合的技术体系和标准体系,大力加强和规范银行业密码应用,金融芯片卡累计发卡量超过5亿张,有效遏制了银行卡伪造、网上交易身份仿冒等违法犯罪活动。
在税收领域,增值税防伪税控系统采用商用密码技术保护涉税信息,有效遏制了通过篡改发票票面信息进行偷税、漏税等违法犯罪活动。仅在1996年投入使用当年,即为国家挽回税收损失700亿元。
在社会管理领域,公安部已累计发放使用商用密码芯片的第二代居民身份证超过18亿张,有效杜绝了伪造、变造身份证等违法犯罪行为。
可以说,“密码无处不在,密码时时刻刻守卫着安全”。
为何制定密码法
国家密码管理局局长李兆宗作草案说明时说,密码工作是党和国家的一项特殊重要工作,直接关系国家安全。密码在我国革命、建设、改革各个历史时期,都发挥了不可替代的重要作用。进入新时代,密码工作面临着新的机遇和挑战,担负着更加繁重的保障和管理任务,制定一部密码领域综合性、基础性法律,十分必要。
从三个方面看:首先,核心密码和普通密码维护国家安全方面的基本制度、密码管理部门和密码工作机构及其工作人员开展核心密码和普通密码工作的保障措施等,需要通过国家立法予以明确,进一步提升法治化保障水平。其次,近年来密码在维护国家安全、促进经济社会发展、保护人民群众利益方面发挥越来越重要的作用,国家对重要领域商用密码的应用、基础支撑能力的提升以及安全性评估、审查制度等不断提出明确要求,需要及时上升为法律规范。最后,传统对商用密码实行全环节许可管理的手段已不适应职能转变和“放管服”改革要求,亟需在立法层面重塑现行商用密码管理制度。
按照保护信息的种类,密码可以分为核心密码、普通密码和商用密码。此次草案明确提出了密码分类保护的原则要求:核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级;核心密码、普通密码属于国家秘密,由密码管理部门依法实行严格统一管理。商用密码用于保护不属于国家秘密的信息;公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。
“通过立法确立密码在维护国家安全中的重要地位,把这么多年来密码管理行之有效的做法、经验和制度固定下来,密码管理的权威性、强制性将进一步提升。”在十三届全国人大常委会第十一次会议对密码法草案分组审议时,韩立平委员说,密码法确立了核心密码、普通密码和商用密码三类密码分类管理的原则,将有力促进密码技术的进步、产业发展和规范应用。
三类密码分类管理
为了确保核心密码、普通密码安全,增强密码通信服务和网络空间密码保障能力,此次草案中规定了核心密码、普通密码的主要管理制度:明确了传递、存储、处理国家秘密信息时的核心密码、普通密码使用要求;规定密码工作机构应当依法建立健全安全管理制度,采取严格的保密措施;规定密码管理部门依法对核心密码、普通密码工作进行指导、监督和检查,会同有关部门建立核心密码、普通密码安全协同联动机制,明确了相关案事件处置程序;规定国家加强密码工作机构和核心密码、普通密码人才队伍建设;明确了核心密码、普通密码有关物品和人员享有免检等便利;规定了密码管理部门、密码工作机构对其工作人员的监督和安全审查机制。
为了贯彻落实职能转变和“放管服”改革要求,规范和促进商用密码产业发展,草案还对商用密码的主要制度进行了规定,包括:规定国家鼓励商用密码技术的研究开发和应用,健全商用密码市场体系,鼓励和促进商用密码产业发展;规定商用密码标准化制度;建立商用密码检测认证制度,并鼓励从业单位自愿接受商用密码检测认证;对列入网络关键设备和网络安全专用产品目录的商用密码产品、用于网络关键设备和网络安全专用产品的商用密码服务实行强制性检测认证;规定关键信息基础设施应当依法使用商用密码、开展安全性评估及国家安全审查;对特定范围的商用密码实行进口许可和出口管制制度;规定电子政务电子认证服务管理制度;支持商用密码行业协会积极发挥作用,加强行业自律,促进行业健康发展;规定密码管理部门和有关部门建立商用密码事中事后监管制度。
全国人大社会建设委员会委员王小云表示,核心密码与普通密码部分充分体现了总体国家安全观,商用密码部分则在鼓励商用密码技术产业发展,并在商用密码市场和技术标准引领方面提供了很好的法律保障。