近日,修訂后的《商用密碼管理條例》(以下簡(jiǎn)稱(chēng)《條例》)正式公布。這是《條例》自1999年10月7日發(fā)布和施行以來(lái),首次迎來(lái)修訂,也是貫徹實(shí)施2020年1月1日起施行的密碼法的重要舉措。近年來(lái),我國加大網(wǎng)絡(luò )安全法治建設,相關(guān)法律法規密集出臺,《條例》不是“+1”這樣簡(jiǎn)單,具有特殊意義。
一、深刻反映“密碼是保障網(wǎng)絡(luò )安全的核心技術(shù)”定位
密碼是網(wǎng)絡(luò )安全技術(shù)的核心,這是一個(gè)廣泛的共識,也是符合科學(xué)規律的正確論斷。從其作用而言,密碼不僅對保護信息保密性至關(guān)重要,而且對保護信息完整性、真實(shí)性、不可否認性發(fā)揮著(zhù)不可替代的作用;從其效果而言,密碼是最有效、最可靠、最經(jīng)濟的網(wǎng)絡(luò )安全技術(shù);從其影響而言,盡管林林總總的網(wǎng)絡(luò )安全技術(shù)、產(chǎn)品門(mén)類(lèi)不斷推陳出新,但相當多技術(shù)發(fā)源于密碼,或以密碼為基礎,沒(méi)有密碼的支撐也就不會(huì )有這些技術(shù)的產(chǎn)生和發(fā)展。
歷史車(chē)輪滾滾向前,今天的信息技術(shù)應用場(chǎng)景已經(jīng)十分復雜,網(wǎng)絡(luò )安全需求更加多樣,密碼需求更為迫切,正應該是密碼迎來(lái)新的大發(fā)展的重要時(shí)刻。但有兩種現象值得重視:
一是發(fā)生在網(wǎng)絡(luò )安全從業(yè)者中。很多人對密碼的“核心”定位不甚了解。我國的網(wǎng)絡(luò )安全學(xué)科發(fā)展起源于密碼學(xué)研究,當時(shí)學(xué)術(shù)界、技術(shù)界對密碼重要性的認識自不待言。但今天的網(wǎng)絡(luò )安全從業(yè)者已經(jīng)是一個(gè)較為龐大的隊伍,新生代逐漸成長(cháng)起來(lái),技術(shù)人員的興趣更多地轉向“好看”的網(wǎng)絡(luò )攻防現場(chǎng)。學(xué)科發(fā)展要開(kāi)枝散葉,但這絕不意味著(zhù)密碼重要性的降低,反而進(jìn)一步凸顯了其核心作用:安全多方計算為隱私保護提供重要思路,以密碼為基礎的區塊鏈技術(shù)催生了數字貨幣……但網(wǎng)絡(luò )安全技術(shù)的繁榮也導致一些人“亂花迷眼”,使其忘記了密碼在其中發(fā)揮的基礎性作用。一些高校網(wǎng)絡(luò )安全學(xué)院甚至將打擂臺、奪旗作為教學(xué)導向,忽視了夯實(shí)密碼學(xué)基礎,這對學(xué)科發(fā)展和人才培養都是有害的。目前,我國網(wǎng)絡(luò )空間安全一級學(xué)科知識體系正在更新,必須在其中加大密碼學(xué)課程的設置,這是任何時(shí)候都不能動(dòng)搖的大事。
二是發(fā)生在社會(huì )公眾之中。密碼不是“口令”,這件事已經(jīng)強調了很多年,但還沒(méi)有糾正過(guò)來(lái)。密碼是指采用特定變換的方法對信息等進(jìn)行加密保護、安全認證的技術(shù)、產(chǎn)品和服務(wù)。簡(jiǎn)言之,密碼一定涉及到對信息進(jìn)行變換,使其成為與原始信息不同的另一信息,目的是為了對原始信息進(jìn)行加密,或者用于日后驗證原始信息是否經(jīng)過(guò)了改動(dòng)。人們在銀行取款時(shí)輸入“密碼”,在線(xiàn)登錄賬號時(shí)輸入“密碼”,開(kāi)啟保險箱時(shí)輸入“密碼”等等,這實(shí)際上是在驗證“口令”,而不是使用密碼。“口令”作為一種身份認證措施,雖然重要但的確不是“密碼”。固然,沒(méi)有必要改變社會(huì )中的約定俗成,但如果不使社會(huì )公眾意識到兩者的區別,顯然不利于密碼事業(yè)的發(fā)展。
因此,讓密碼進(jìn)一步從“王謝堂前”飛入“尋常百姓家”,進(jìn)一步明確和強化新時(shí)代密碼在網(wǎng)絡(luò )安全技術(shù)體系中的核心地位,為密碼發(fā)展應用創(chuàng )造厚實(shí)的社會(huì )土壤,正是當務(wù)之急。《條例》的修訂可謂正逢其時(shí),意義重大。
二、積極應對網(wǎng)絡(luò )空間博弈斗爭形勢
密碼算法是什么?是數學(xué)。密碼學(xué)家是什么人?是一批異于常人、絕頂聰明的數學(xué)家。游離世外,不問(wèn)世事,這是很多人對密碼和密碼學(xué)家的第一印象。
但實(shí)際上,自現代密碼學(xué)誕生時(shí)起,它就是武器、利劍,是大國重器。在涉及國家安全的國際談判中,密碼始終是一個(gè)關(guān)鍵議題。當密碼開(kāi)始商用后,其更成為政治、貿易、司法、文化等領(lǐng)域國際斗爭博弈的焦點(diǎn)。可以說(shuō),《條例》始終處在維護國家安全的第一線(xiàn)。
《條例》關(guān)系國家IT供應鏈產(chǎn)業(yè)鏈安全。《條例》的出臺意味著(zhù)我國將商用密碼的科研、生產(chǎn)、銷(xiāo)售、使用納入法治化軌道。對于一項關(guān)系國家戰略安全、對網(wǎng)絡(luò )安全有核心基礎性支撐作用的技術(shù),立法進(jìn)行規范是主權國家的必然之舉。但是鑒于現代信息技術(shù)軟硬件產(chǎn)品已經(jīng)普遍使用密碼,部分西方國家擔心其對華產(chǎn)品銷(xiāo)售會(huì )受到《條例》的影響,頻頻在多種場(chǎng)合對《條例》出臺表示關(guān)注。《條例》正是在這樣的國際環(huán)境中走了過(guò)來(lái),為提升我國IT供應鏈產(chǎn)業(yè)鏈安全保障能力、依法維護國家安全作出了重大貢獻。此次《條例》修訂,更是順應全球政治經(jīng)濟形勢變化,積極借鑒國外IT供應鏈產(chǎn)業(yè)鏈安全保障經(jīng)驗,對商用密碼科研、生產(chǎn)、銷(xiāo)售、服務(wù)、檢測、認證、進(jìn)出口、應用等活動(dòng)作出了更加科學(xué)、全面的規定。
《條例》關(guān)系信息對抗。信息對抗是信息時(shí)代國與國之間博弈斗爭的典型形式,信息的加密與破譯、偽裝與反制等是信息對抗的主要手段。為了極大地維持己方能力、削弱敵方能力,密碼往往被各國作為嚴格限制出口物項。《條例》在修訂時(shí)重點(diǎn)增加了“進(jìn)出口”章節,根據密碼法關(guān)于商用密碼進(jìn)出口的規定,以及國家出口管制、兩用物項進(jìn)出口管理制度,明確商用密碼進(jìn)口許可和出口管制實(shí)行清單管理。
《條例》關(guān)系國家主權與發(fā)展利益。密碼是把“雙刃劍”,在有效維護國家安全、公共利益和保護公民、組織合法權益的同時(shí),也可能被非法利用。隨著(zhù)國家大力推動(dòng)商用密碼發(fā)展應用,犯罪分子也可能藉此武裝犯罪工具、升級犯罪手段。典型如:對重要數據和批量個(gè)人信息加密后傳出境外,規避數據出境安全管理制度;利用密碼進(jìn)行勾連、組織犯罪活動(dòng),或實(shí)施間諜行為,竊取、出賣(mài)國家秘密;利用加密手段訪(fǎng)問(wèn)境外非法網(wǎng)站,防止被發(fā)現和阻斷。而IPv6等技術(shù)發(fā)展,也使國家網(wǎng)絡(luò )空間治理體系面臨如何發(fā)現加密的非法有害信息難題,這直接涉及政府對新技術(shù)新應用的態(tài)度問(wèn)題。對這種“兩難”問(wèn)題,需要做出慎重抉擇。為此,《條例》專(zhuān)設“應用促進(jìn)”章節,鼓勵公民、法人和其他組織依法使用商用密碼保護網(wǎng)絡(luò )與信息安全,但同時(shí)規定,任何組織或者個(gè)人不得利用商用密碼從事危害國家安全、社會(huì )公共利益、他人合法權益等違法犯罪活動(dòng)。《條例》還強調,支持并規范商用密碼在信息領(lǐng)域新技術(shù)、新業(yè)態(tài)、新模式中的應用。這充分說(shuō)明,《條例》貫徹“以人民為中心”的發(fā)展思想,正確處理發(fā)展與安全的關(guān)系,是運用馬克思辯證唯物主義的世界觀(guān)、方法論分析解決我國網(wǎng)絡(luò )空間治理問(wèn)題的重大成果。
三、主動(dòng)順應密碼社會(huì )化應用趨勢
密碼的發(fā)展已有數千年歷史,最初主要用于軍事和外交領(lǐng)域。隨著(zhù)計算機和網(wǎng)絡(luò )技術(shù)的發(fā)展,密碼迎來(lái)高速發(fā)展期,現代密碼學(xué)應運而生。但即使到了上世紀下半葉,其依然是軍事、情報領(lǐng)域的專(zhuān)控事項,民間研究密碼仍受到嚴格限制。甚至美國司法、情報機構曾為了保持對公民通信的監聽(tīng)能力,在上世紀90年代提出了密鑰托管方案,后以失敗告終。
世界大勢浩浩蕩蕩,如今密碼應用的社會(huì )化和個(gè)人化趨勢已經(jīng)不可阻擋,商用密碼管理要順勢而為。回顧密碼在國外的發(fā)展歷史,可以清晰看到各國管理思路的調整。這是一個(gè)客觀(guān)的過(guò)程,符合技術(shù)發(fā)展規律和人類(lèi)認識世界、改造世界的規律。
對我國而言,積極探索和不斷優(yōu)化商用密碼管理體制,更是一項重要的歷史任務(wù)。密碼是黨政軍的“生命線(xiàn)”,脫胎于烽火硝煙的戰爭年代,久經(jīng)戰火洗禮,自誕生時(shí)起便始終處在黨的堅強領(lǐng)導下。
黨的十八大以來(lái),黨中央、國務(wù)院對商用密碼創(chuàng )新發(fā)展和行政審批制度改革提出了一系列要求,密碼法對商用密碼管理制度進(jìn)行了結構性重塑。《條例》的修訂深入貫徹上述思路,堅持放寬準入與規范監管相結合,按照行政審批制度改革要求,放寬市場(chǎng)準入,由修訂前《條例》規定的全環(huán)節嚴格管控,調整為對關(guān)鍵環(huán)節進(jìn)行重點(diǎn)把控,管理方式上由重事前審批轉為加強事前事中事后監管,以更好地激發(fā)市場(chǎng)活力和社會(huì )創(chuàng )造力。
在科技創(chuàng )新方面,《條例》將此前的商用密碼科研成果鑒定審批調整為對法律、行政法規和國家有關(guān)規定要求使用商用密碼保護的網(wǎng)絡(luò )與信息系統所使用的密碼算法、密碼協(xié)議、密鑰管理機制等商用密碼技術(shù)進(jìn)行審查鑒定。
在檢測認證方面,《條例》取消了商用密碼產(chǎn)品品種和型號審批,實(shí)行商用密碼產(chǎn)品、服務(wù)、管理體系的自愿性檢測認證制度。具體而言,一是推進(jìn)商用密碼檢測認證體系建設,鼓勵在商用密碼活動(dòng)中自愿接受商用密碼檢測認證。二是明確商用密碼檢測、認證機構資質(zhì)審批條件、程序及其從業(yè)規范。三是對涉及國家安全、國計民生、社會(huì )公共利益的商用密碼產(chǎn)品與使用網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品的商用密碼服務(wù)實(shí)行強制性認證制度。
四、深度融入國家網(wǎng)絡(luò )安全法律法規體系
習近平總書(shū)記強調,網(wǎng)信事業(yè)要“總體布局,統籌各方,創(chuàng )新發(fā)展”。在構建網(wǎng)信事業(yè)“四梁八柱”的過(guò)程中,各項制度相互協(xié)作、緊密耦合,共同擘畫(huà)網(wǎng)絡(luò )強國的宏偉藍圖。此次《條例》修訂,正值我國網(wǎng)絡(luò )安全制度體系日趨完善之際,商用密碼工作與其他方面的工作協(xié)同配合,充分體現了國家網(wǎng)絡(luò )安全工作的系統性、整體性與協(xié)調性。
在認證認可制度方面,《條例》專(zhuān)設“檢測認證”章節,與認證認可條例保持銜接。《條例》規定,國家推進(jìn)商用密碼檢測認證體系建設,國務(wù)院市場(chǎng)監督管理部門(mén)會(huì )同國家密碼管理部門(mén)建立國家統一推行的商用密碼認證制度,實(shí)行商用密碼產(chǎn)品、服務(wù)、管理體系認證,制定并公布認證目錄和技術(shù)規范、規則。
在網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品強制檢測、認證制度方面,《條例》與網(wǎng)絡(luò )安全法保持銜接,規定涉及國家安全、國計民生、社會(huì )公共利益的商用密碼產(chǎn)品,應當依法列入網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄,由具備資格的商用密碼檢測、認證機構檢測認證合格后,方可銷(xiāo)售或者提供。
在網(wǎng)絡(luò )信任體系建設方面,《條例》專(zhuān)設“電子認證”章節,與電子簽名法保持銜接。《條例》明確了電子認證服務(wù)使用商用密碼要求,規范了電子政務(wù)電子認證服務(wù)活動(dòng)。
在出口管制制度方面,《條例》專(zhuān)設“進(jìn)出口”章節,與出口管制法保持銜接。《條例》規定,涉及國家安全、社會(huì )公共利益且具有加密保護功能的商用密碼,列入商用密碼進(jìn)口許可清單,實(shí)施進(jìn)口許可。涉及國家安全、社會(huì )公共利益或者中國承擔國際義務(wù)的商用密碼,列入商用密碼出口管制清單,實(shí)施出口管制。
在網(wǎng)絡(luò )安全審查制度方面,《條例》與國家安全法和網(wǎng)絡(luò )安全法保持銜接,規定關(guān)鍵信息基礎設施的運營(yíng)者采購涉及商用密碼的網(wǎng)絡(luò )產(chǎn)品和服務(wù),可能影響國家安全的,應當依法通過(guò)國家網(wǎng)信部門(mén)會(huì )同國家密碼管理部門(mén)等有關(guān)部門(mén)組織的國家安全審查。
在網(wǎng)絡(luò )安全等級保護制度方面,《條例》與網(wǎng)絡(luò )安全法保持銜接,規定網(wǎng)絡(luò )運營(yíng)者應當按照國家網(wǎng)絡(luò )安全等級保護制度要求,使用商用密碼保護網(wǎng)絡(luò )安全。國家密碼管理部門(mén)根據網(wǎng)絡(luò )的安全保護等級,確定商用密碼的使用、管理和應用安全性評估要求,制定網(wǎng)絡(luò )安全等級保護密碼標準規范。
在關(guān)鍵信息基礎安全保護制度方面,《條例》與網(wǎng)絡(luò )安全法和關(guān)鍵信息基礎設施安全保護條例保持銜接,規定:法律、行政法規和國家有關(guān)規定要求使用商用密碼進(jìn)行保護的關(guān)鍵信息基礎設施,其運營(yíng)者應當使用商用密碼進(jìn)行保護,制定商用密碼應用方案,配備必要的資金和專(zhuān)業(yè)人員,同步規劃、同步建設、同步運行商用密碼保障系統,自行或者委托商用密碼檢測機構開(kāi)展商用密碼應用安全性評估。
不僅如此,《條例》還強調,商用密碼應用安全性評估、關(guān)鍵信息基礎設施安全檢測評估、網(wǎng)絡(luò )安全等級測評應當加強銜接,避免重復評估、測評。
《條例》是一部成功的行政法規,其圍繞黨中央、國務(wù)院對新時(shí)代商用密碼工作決策部署,直面問(wèn)題挑戰,順應人民期盼,內容全面、重點(diǎn)突出,促進(jìn)發(fā)展、保障安全,必將開(kāi)創(chuàng )我國商用密碼工作“良法善治”新局面。
