《商用密码管理条例》修订为维护国家
网络安全提供坚强法治保障
近日,修订后的《商用密码管理条例》(以下简称《条例》)正式公布。这是《条例》自1999年10月7日发布和施行以来,首次迎来修订,也是贯彻实施2020年1月1日起施行的密码法的重要举措。近年来,我国加大网络安全法治建设,相关法律法规密集出台,《条例》不是“+1”这样简单,具有特殊意义。
一、深刻反映“密码是保障网络安全的核心技术”定位
密码是网络安全技术的核心,这是一个广泛的共识,也是符合科学规律的正确论断。从其作用而言,密码不仅对保护信息保密性至关重要,而且对保护信息完整性、真实性、不可否认性发挥着不可替代的作用;从其效果而言,密码是最有效、最可靠、最经济的网络安全技术;从其影响而言,尽管林林总总的网络安全技术、产品门类不断推陈出新,但相当多技术发源于密码,或以密码为基础,没有密码的支撑也就不会有这些技术的产生和发展。
历史车轮滚滚向前,今天的信息技术应用场景已经十分复杂,网络安全需求更加多样,密码需求更为迫切,正应该是密码迎来新的大发展的重要时刻。但有两种现象值得重视:
一是发生在网络安全从业者中。很多人对密码的“核心”定位不甚了解。我国的网络安全学科发展起源于密码学研究,当时学术界、技术界对密码重要性的认识自不待言。但今天的网络安全从业者已经是一个较为庞大的队伍,新生代逐渐成长起来,技术人员的兴趣更多地转向“好看”的网络攻防现场。学科发展要开枝散叶,但这绝不意味着密码重要性的降低,反而进一步凸显了其核心作用:安全多方计算为隐私保护提供重要思路,以密码为基础的区块链技术催生了数字货币……但网络安全技术的繁荣也导致一些人“乱花迷眼”,使其忘记了密码在其中发挥的基础性作用。一些高校网络安全学院甚至将打擂台、夺旗作为教学导向,忽视了夯实密码学基础,这对学科发展和人才培养都是有害的。目前,我国网络空间安全一级学科知识体系正在更新,必须在其中加大密码学课程的设置,这是任何时候都不能动摇的大事。
二是发生在社会公众之中。密码不是“口令”,这件事已经强调了很多年,但还没有纠正过来。密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。简言之,密码一定涉及到对信息进行变换,使其成为与原始信息不同的另一信息,目的是为了对原始信息进行加密,或者用于日后验证原始信息是否经过了改动。人们在银行取款时输入“密码”,在线登录账号时输入“密码”,开启保险箱时输入“密码”等等,这实际上是在验证“口令”,而不是使用密码。“口令”作为一种身份认证措施,虽然重要但的确不是“密码”。固然,没有必要改变社会中的约定俗成,但如果不使社会公众意识到两者的区别,显然不利于密码事业的发展。
因此,让密码进一步从“王谢堂前”飞入“寻常百姓家”,进一步明确和强化新时代密码在网络安全技术体系中的核心地位,为密码发展应用创造厚实的社会土壤,正是当务之急。《条例》的修订可谓正逢其时,意义重大。
二、积极应对网络空间博弈斗争形势
密码算法是什么?是数学。密码学家是什么人?是一批异于常人、绝顶聪明的数学家。游离世外,不问世事,这是很多人对密码和密码学家的第一印象。
但实际上,自现代密码学诞生时起,它就是武器、利剑,是大国重器。在涉及国家安全的国际谈判中,密码始终是一个关键议题。当密码开始商用后,其更成为政治、贸易、司法、文化等领域国际斗争博弈的焦点。可以说,《条例》始终处在维护国家安全的第一线。
《条例》关系国家IT供应链产业链安全。《条例》的出台意味着我国将商用密码的科研、生产、销售、使用纳入法治化轨道。对于一项关系国家战略安全、对网络安全有核心基础性支撑作用的技术,立法进行规范是主权国家的必然之举。但是鉴于现代信息技术软硬件产品已经普遍使用密码,部分西方国家担心其对华产品销售会受到《条例》的影响,频频在多种场合对《条例》出台表示关注。《条例》正是在这样的国际环境中走了过来,为提升我国IT供应链产业链安全保障能力、依法维护国家安全作出了重大贡献。此次《条例》修订,更是顺应全球政治经济形势变化,积极借鉴国外IT供应链产业链安全保障经验,对商用密码科研、生产、销售、服务、检测、认证、进出口、应用等活动作出了更加科学、全面的规定。
《条例》关系信息对抗。信息对抗是信息时代国与国之间博弈斗争的典型形式,信息的加密与破译、伪装与反制等是信息对抗的主要手段。为了极大地维持己方能力、削弱敌方能力,密码往往被各国作为严格限制出口物项。《条例》在修订时重点增加了“进出口”章节,根据密码法关于商用密码进出口的规定,以及国家出口管制、两用物项进出口管理制度,明确商用密码进口许可和出口管制实行清单管理。
《条例》关系国家主权与发展利益。密码是把“双刃剑”,在有效维护国家安全、公共利益和保护公民、组织合法权益的同时,也可能被非法利用。随着国家大力推动商用密码发展应用,犯罪分子也可能藉此武装犯罪工具、升级犯罪手段。典型如:对重要数据和批量个人信息加密后传出境外,规避数据出境安全管理制度;利用密码进行勾连、组织犯罪活动,或实施间谍行为,窃取、出卖国家秘密;利用加密手段访问境外非法网站,防止被发现和阻断。而IPv6等技术发展,也使国家网络空间治理体系面临如何发现加密的非法有害信息难题,这直接涉及政府对新技术新应用的态度问题。对这种“两难”问题,需要做出慎重抉择。为此,《条例》专设“应用促进”章节,鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全,但同时规定,任何组织或者个人不得利用商用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。《条例》还强调,支持并规范商用密码在信息领域新技术、新业态、新模式中的应用。这充分说明,《条例》贯彻“以人民为中心”的发展思想,正确处理发展与安全的关系,是运用马克思辩证唯物主义的世界观、方法论分析解决我国网络空间治理问题的重大成果。
三、主动顺应密码社会化应用趋势
密码的发展已有数千年历史,最初主要用于军事和外交领域。随着计算机和网络技术的发展,密码迎来高速发展期,现代密码学应运而生。但即使到了上世纪下半叶,其依然是军事、情报领域的专控事项,民间研究密码仍受到严格限制。甚至美国司法、情报机构曾为了保持对公民通信的监听能力,在上世纪90年代提出了密钥托管方案,后以失败告终。
世界大势浩浩荡荡,如今密码应用的社会化和个人化趋势已经不可阻挡,商用密码管理要顺势而为。回顾密码在国外的发展历史,可以清晰看到各国管理思路的调整。这是一个客观的过程,符合技术发展规律和人类认识世界、改造世界的规律。
对我国而言,积极探索和不断优化商用密码管理体制,更是一项重要的历史任务。密码是党政军的“生命线”,脱胎于烽火硝烟的战争年代,久经战火洗礼,自诞生时起便始终处在党的坚强领导下。
党的十八大以来,党中央、国务院对商用密码创新发展和行政审批制度改革提出了一系列要求,密码法对商用密码管理制度进行了结构性重塑。《条例》的修订深入贯彻上述思路,坚持放宽准入与规范监管相结合,按照行政审批制度改革要求,放宽市场准入,由修订前《条例》规定的全环节严格管控,调整为对关键环节进行重点把控,管理方式上由重事前审批转为加强事前事中事后监管,以更好地激发市场活力和社会创造力。
在科技创新方面,《条例》将此前的商用密码科研成果鉴定审批调整为对法律、行政法规和国家有关规定要求使用商用密码保护的网络与信息系统所使用的密码算法、密码协议、密钥管理机制等商用密码技术进行审查鉴定。
在检测认证方面,《条例》取消了商用密码产品品种和型号审批,实行商用密码产品、服务、管理体系的自愿性检测认证制度。具体而言,一是推进商用密码检测认证体系建设,鼓励在商用密码活动中自愿接受商用密码检测认证。二是明确商用密码检测、认证机构资质审批条件、程序及其从业规范。三是对涉及国家安全、国计民生、社会公共利益的商用密码产品与使用网络关键设备和网络安全专用产品的商用密码服务实行强制性认证制度。
四、深度融入国家网络安全法律法规体系
习近平总书记强调,网信事业要“总体布局,统筹各方,创新发展”。在构建网信事业“四梁八柱”的过程中,各项制度相互协作、紧密耦合,共同擘画网络强国的宏伟蓝图。此次《条例》修订,正值我国网络安全制度体系日趋完善之际,商用密码工作与其他方面的工作协同配合,充分体现了国家网络安全工作的系统性、整体性与协调性。
在认证认可制度方面,《条例》专设“检测认证”章节,与认证认可条例保持衔接。《条例》规定,国家推进商用密码检测认证体系建设,国务院市场监督管理部门会同国家密码管理部门建立国家统一推行的商用密码认证制度,实行商用密码产品、服务、管理体系认证,制定并公布认证目录和技术规范、规则。
在网络关键设备和网络安全专用产品强制检测、认证制度方面,《条例》与网络安全法保持衔接,规定涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的商用密码检测、认证机构检测认证合格后,方可销售或者提供。
在网络信任体系建设方面,《条例》专设“电子认证”章节,与电子签名法保持衔接。《条例》明确了电子认证服务使用商用密码要求,规范了电子政务电子认证服务活动。
在出口管制制度方面,《条例》专设“进出口”章节,与出口管制法保持衔接。《条例》规定,涉及国家安全、社会公共利益且具有加密保护功能的商用密码,列入商用密码进口许可清单,实施进口许可。涉及国家安全、社会公共利益或者中国承担国际义务的商用密码,列入商用密码出口管制清单,实施出口管制。
在网络安全审查制度方面,《条例》与国家安全法和网络安全法保持衔接,规定关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当依法通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
在网络安全等级保护制度方面,《条例》与网络安全法保持衔接,规定网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。国家密码管理部门根据网络的安全保护等级,确定商用密码的使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范。
在关键信息基础安全保护制度方面,《条例》与网络安全法和关键信息基础设施安全保护条例保持衔接,规定:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
不仅如此,《条例》还强调,商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接,避免重复评估、测评。
《条例》是一部成功的行政法规,其围绕党中央、国务院对新时代商用密码工作决策部署,直面问题挑战,顺应人民期盼,内容全面、重点突出,促进发展、保障安全,必将开创我国商用密码工作“良法善治”新局面。(中国科学技术大学公共事务学院教授 左晓栋)