貫徹落實商用密碼管理條例 推動我國商用密碼事業高質量發展
《商用密碼管理條例》(以下簡稱《條例》)修訂堅持以習近平新時代中國特色社會主義思想為指導,深入貫徹落實黨中央決策部署,深化行政審批制度改革,全面細化落實密碼法精神。《條例》修訂對于推動我國商用密碼事業高質量發展,有效賦能數字經濟建設具有重要意義。
一、《條例》的修訂是優化完善我國網絡安全法律體系的重要舉措
黨的十八大以來,為貫徹落實總體國家安全觀,有效維護國家網絡與信息安全,我國相繼制定修訂了網絡安全法、電子簽名法、密碼法、數據安全法、個人信息保護法等多部網絡安全領域法律,構建了具有中國特色的網絡安全法律體系。
密碼法作為網絡安全法律體系的重要組成部分,2020年1月1日正式實施,這是我國新時代密碼事業發展進程中具有重要里程碑意義的大事。密碼法堅持黨管密碼和依法管理相統一,把現有的核心密碼和普通密碼在維護國家安全方面的基本制度及時上升為法律規范,對商用密碼管理制度進行了結構性重塑,并設專章對商用密碼的管理、應用和創新發展作了規定,引導全社會合規、正確、有效使用密碼。本次《條例》在密碼法框架下進行了全面修訂,修訂后的《條例》不僅與密碼法緊密銜接,而且充分吸納了1999年《條例》實施以來的成功經驗與實踐成果,有效地將商用密碼應用各領域、各環節、各要素納入法治化管理軌道,符合新時代商用密碼事業發展的根本需求。與此同時,《條例》的修訂還將有力地推動我國網絡安全領域其他法律法規的順利實施,促進網絡安全產業生態健康蓬勃發展。
二、《條例》的修訂將進一步推動商用密碼科技進步創新與標準體系建設
隨著我國信息化、網絡化、數字化建設的高速發展,商用密碼的應用已經滲透到經濟、社會生活的各個方面。《條例》在修訂的過程中,順應商用密碼科技創新和時代發展的需要,明確了較為完備的商用密碼科學技術創新促進機制,包括人才獎勵激勵、依法保護商用密碼知識產權、促進商用密碼科技成果轉化和產業化應用等。這些激勵機制必將充分調動各方面的積極性,為商用密碼科技創新、產業發展和應用推廣營造良好的發展環境。同時,《條例》堅持創新發展和確保安全相統一,明確國家密碼管理部門組織對法律、行政法規和國家有關規定要求使用商用密碼進行保護的網絡與信息系統所使用的密碼算法、密碼協議、密鑰管理機制等商用密碼技術進行審查鑒定,既保證商用密碼技術創新的權威性、可信性和先進性,又有利于推動我國自主創新商用密碼研究成果的應用轉化。
在商用密碼標準體系建設方面,《條例》明確推動密碼標準制定和國際標準化活動。我國商用密碼標準體系建設起步晚,但是發展勢頭強勁,取得了顯著成果。在密碼管理部門及專家學者們的共同努力下,已成功制定了43項商用密碼國家標準和141項商用密碼行業標準,積極推動了SM2、SM3、SM4、SM9、ZUC等國家密碼算法標準成功納入ISO/IEC國際密碼算法標準體系。《條例》明確規定了國家推動參與商用密碼國際標準化活動,參與制定商用密碼國際標準,推進商用密碼中國標準與國外標準之間的轉化運用,鼓勵企業、社會團體和教育、科技機構等參與商用密碼國際標準化活動,還特別提到商用密碼強制性國家標準等。以上內容既體現了改革開放的大原則、大方向,有助于吸納國際商用密碼領域科技創新成果與標準制定的成功經驗,又體現了中國特色,向世界展示中國密碼創新成果,貢獻中國密碼智慧與密碼方案,也為保障國家安全的商用密碼強制性國家標準預留了發展空間。
三、《條例》的修訂將進一步完善國家商用密碼檢測認證體系
過去20年,商用密碼產業不斷發展壯大,逐步建立了商用密碼產品檢測與密碼算法、協議的安全性評估體系,為我國商用密碼檢測認證體系建設奠定了重要的基礎。但是隨著商用密碼應用的不斷深入,區塊鏈、人工智能、數字貨幣等重要商用密碼應用領域面臨創新驅動發展的壓力,亟需建立更高水平的商用密碼檢測認證體系,開展商用密碼產品檢測及網絡與信息系統商用密碼應用安全性評估,滿足密碼創新和行業快速發展需求。
檢測認證工作學術性強,既需要高水平專業人才隊伍,又需要較為完備的檢測認證設備、配套基礎設施建設以及相應的技術標準體系建立等系統性工作。檢測與評估范圍既包括密碼算法,也包括協議與信息系統;既涵蓋了商用密碼軟件實現安全測評,又涵蓋了硬件實現安全測評甚至包括應用大系統與應用大平臺的全技術鏈條測評。其中密碼芯片安全檢測與評估認證難度大,亟需建設自主可控的密碼芯片攻擊路徑庫,以此為基礎徹底解決密碼芯片高等級檢測認證標準制定等問題,建立國際一流的檢測技術體系和產業生態。
檢測認證體系的建設高度依賴于國家密碼科技創新的能力與水平,需要做好頂層設計。《條例》的修訂貫徹了密碼法立法精神,明確建立國家統一推行的商用密碼產品、服務、管理體系實行自愿性與強制性相結合的檢測認證制度,并對商用密碼檢測機構和認證機構的條件、程序等提出了明確要求,強化了檢測認證活動監督管理。新《條例》的出臺將進一步發揮制度優勢,提升商用密碼檢測認證能力,夯實商用密碼檢測認證體系建設,為商用密碼產業健康有序發展保駕護航。
四、《條例》的修訂將進一步促進商用密碼在信息領域新技術、新業態、新模式中的應用
隨著信息領域新技術、新業態、新模式的不斷發展,商用密碼技術研究邊界與內涵不斷擴展,商用密碼覆蓋的數據要素市場越來越龐大,特別是人工智能、物聯網、區塊鏈、數字貨幣、大數據及云計算等眾多領域的發展,為密碼科技創新與產業化發展提供了巨大的發展機遇。
《條例》修訂過程中,把實踐中成熟的經驗上升為《條例》規定,促進并規范了商用密碼應用。一方面鼓勵公民、法人和其他組織依法使用商用密碼保護網絡與信息安全,支持網絡產品、服務使用商用密碼提升安全性,強調建立商用密碼應用促進協調機制;另一方面對涉及國家安全、國計民生、社會公共利益的商用密碼產品、服務以及關鍵信息基礎設施商用密碼應用明確了管控措施,如三十八條至四十條,明確了關鍵信息基礎設施的商用密碼使用要求,對可能影響國家安全的,需要通過相關部門組織的國家安全審查。這些規定的實施,必然要求關鍵信息基礎設施建設之初就謀劃部署商用密碼保障系統,切實做到重要領域、重大工程、重要應用的商用保障系統同步規劃、同步建設、同步運行。
考慮到商用密碼在眾多領域應用的共性技術問題,《條例》還明確了商用密碼應用安全性評估、關鍵信息基礎設施安全檢測評估、網絡安全等級測評應當加強銜接,避免重復評估、測評,為國家節約資源、為企業減輕負擔。
五、《條例》的修訂將進一步推動我國密碼學術繁榮和社會組織發展
《條例》的修訂首次納入了商用密碼領域社會組織的條款,明確了商用密碼領域的社會組織在國家密碼管理部門指導下應當履行的職責任務和使命擔當——開展學術交流、政策研究和公共服務,加強學術和行業自律,推動誠信建設,促進行業健康發展。
近年來,我國密碼領域的社會組織蓬勃發展,中國密碼學會和地方密碼協會在政治引領、學術交流、人才培養、科學普及、承接政府任務、服務密碼科技工作者等方面做了大量工作,有力地促進了我國密碼事業的發展。中國密碼學會及地方行業協會要珍惜難得的歷史發展機遇,以《條例》修訂出臺為契機,充分把握學會、協會等社會組織發展規律,發揮科技社團開放型、樞紐型、平臺型特色,促進商用密碼產學研用測深度融合,助力商用密碼科技創新發展,為構建統一、開放、競爭、有序的商用密碼市場體系貢獻力量。
中國密碼學會作為我國密碼領域唯一一家全國性社會組織,團結和凝聚了我國密碼領域最活躍、最具創造力的科技和智力資源。學會要以促進密碼學科發展為己任,以建設中國特色一流學會為目標,在政治引領力、學術影響力、公共服務力、國際競爭力上下功夫,加快構建有中國特色的密碼科技社團發展布局,激勵廣大密碼科技工作者心懷“國之大者”,為密碼高水平科技自立自強凝聚磅礴力量。
《條例》還對電子認證服務機構資質認定、要求、商用密碼進出口以及商用密碼監督管理、法律責任等內容做了明確規定。這些規定,一以貫之地體現了密碼法堅持創新發展與確保安全相統一、堅持放寬準入與規范監管相結合、堅持處理好與相關法律法規的關系的立法思路,為建立現代化商用密碼管理體系提供了強有力的法律保障和完備的工作體制機制。
法律法規的生命力在于實施,法律法規的權威性也在于實施。《條例》為推動商用密碼發展、加強商用密碼管理提供了有力的法律保障,需要認真學習與宣貫。特別是結合密碼法、網絡安全法等系列相關法律,加強商用密碼知識宣傳教育和社會化培訓,不斷增強公民、法人和其他組織的網絡和信息安全保護意識,提升全民數字素養,在全社會形成重視網絡安全、遵守網絡安全法律法規的良好氛圍,推動我國商用密碼事業高質量發展。
