密码法和密评工作资料整理

法文链接

一、重点解读

1、为什么要制定密码法？

密码是国家重要战略资源，直接关系国家政治安全、经济安全、国防安全和信息安全，制定一部密码领域综合性、基础性法律，十分必要。

核心密码和普通密码维护国家安全方面的基本制度、密码管理部门和密码工作机构及其工作人员开展密码工作的保障措施等，都需要通过国家立法予以明确。

近年来密码在维护国家安全、促进经济社会发展、保护人民群众利益方面发挥越来越重要的作用，国家对重要领域商用密码的应用、基础支撑能力的提升以及安全性评估、审查制度等不断提出明确要求，需要及时上升为法律规范。

• 商用密码的应用，参考GM/T 0054《信息系统密码应用基本要求》的要求：
  • 物理和环境安全
  • 网络和通信安全
  • 设备和计算安全
  • 应用和数据安全
• 基础支撑能力的提升。
• 安全性评估、审查制度。第二十七条　法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

传统对商用密码实行全环节许可管理的手段已不适应职能转变和“放管服”改革要求，亟需在立法层面重塑现行商用密码管理制度。

密码法的出台，将大大提升密码管理科学化、规范化、法治化水平，有力促进密码技术进步、产业发展和规范应用，切实维护国家安全、社会公共利益以及公民、法人和其他组织的合法权益。

2、密码法怎样保障和促进密码的发展？

法案总则对核心密码、普通密码和商用密码在发展促进和保障措施方面的共性内容作了规定。

规定国家鼓励和支持密码科学技术研究、交流，依法保护密码知识产权，促进密码科学技术进步和创新，建立密码工作表彰奖励制度（第九条）。

规定国家采取多种形式加强密码安全教育，将密码安全教育纳入国民教育体系和公务员教育培训体系，增强公民、法人和其他组织的密码安全意识（第十条）。

规定县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划，所需经费列入本级预算（第十一条）。

规定任何组织或者个人不得窃取或者非法侵入他人的加密信息或者密码保障系统，不得利用密码从事违法犯罪活动（第十二条）。

3、为什么密码法要对特定商用密码产品、服务实行强制性检测认证制度？

密码法设立该制度，是维护国家安全和社会公共利益的需要。

商用密码产品、服务是专业技术性很强的特殊产品和服务，广泛应用于国民经济和社会发展各领域，应用于关键信息基础设施，其质量与安全性直接关系国家安全和社会公共利益，需要通过检测认证的方式对其质量与安全性进行技术把关。

强制性检测认证制度仅适用于涉及国家安全、国计民生、社会公共利益的商用密码产品和使用网络关键设备和网络安全专用产品的商用密码服务，并通过制定产品、服务目录明确界定管理范围，不会对市场和产业构成不必要的限制。

密码模块，四级密码模块。

二、整体框架

密码法共五章四十四条，重点规范了以下内容：第一章总则部分，规定了本法的立法目的、密码工作的基本原则、领导和管理体制，以及密码发展促进和保障措施。第二章核心密码、普通密码部分，规定了核心密码、普通密码使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施。第三章商用密码部分，规定了商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。第四章法律责任部分，规定了违反本法相关规定应当承担的相应的法律后果。第五章附则部分，规定了国家密码管理部门的规章制定权，解放军和武警部队密码立法事宜以及本法的施行日期。