商用密碼相關政策法規的演變過程
互聯網是把雙刃劍,用得好,它是阿里巴巴的寶庫;用不好,它就是潘多拉的魔盒,小可殺人于無形,大可顛覆國家政權。推動互聯網安全互聯需要發揮密碼的基礎支撐作用。密碼是互聯網的基礎設施,是安全互聯互通的前提。人、機、物的可信互認、安全互通均依賴于密碼。在我國,密碼分為核心密碼、普通密碼、商用密碼。其中,商用密碼用于對不涉及國家秘密內容的信息進行加密保護或者安全認證,包括密碼技術、密碼產品和密碼服務。商用密碼技術是商用密碼的核心,是信息化時代社會團體、組織、企事業單位和個人用于保護自身權益的重要工具。
商用密碼廣泛用于金融、電子政務、通信、能源、交通等關鍵信息基礎設施的網絡和信息系統,用途非常廣泛,直接關系國家安全、社會公共利益以及公民、法人和其他組織的合法權益,應當依法進行管理。我國在互聯網發展初期就開始出臺相關法律法規以加強商用密碼管理。1999年10月,國務院頒布了我國密碼領域的第一部行政法規《商用密碼管理條例》,它首次以國家行政法規形式明確了商用密碼定義、管理機構和管理體制,同時對商用密碼科研、生產、銷售、使用、安全保密等方面做出了規定。
為了規范電子簽名行為,確立電子簽名的法律效力,維護有關各方的合法權益,2004年8月28日全國人大常務委員會會議通過了《中華人民共和國電子簽名法》,該法賦權國家密碼管理局對電子認證服務使用密碼的行為依法實施管理,明確規定“可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力”,為我國信息化建設提供了重要的法律制度保障。
隨后,為了完善《中華人民共和國電子簽名法》,2015年4月24日第十二屆全國人民代表大會常務委員會第十四次會議對《中華人民共和國電子簽名法》做出修正,將第十七條“提供電子認證服務,應當具備下列條件:”增加一項,作為第一項:“(一)取得企業法人資格”,這從源頭上就對電子認證服務進行規范和保障,確保該企業機構具有一定能力來辦理電子認證以及保障電子簽名的安全;我國電子認證機構的設立和管理是政府主導型,所以刪去第十八條第二款:“申請人應當持電子認證許可證書依法向工商行政管理部門辦理企業登記手續”。
2019年4月23日第十三屆全國人民代表大會常務委員會第十次會議再次對《中華人民共和國電子簽名法》做出修正,刪去第三條第三款第二項:“涉及土地、房屋等不動產權益轉讓的”;將第三項改為第二項,修改為:“(二)涉及停止供水、供熱、供氣等公用事業服務的”。房屋買賣產權轉讓是要在房管部門雙方當面簽訂書面合同為準,該書面合同不能以“數據電文”為表現形式,故“涉及土地、房屋等不動產權益轉讓的”不適用“電子簽名、數據電文”,將此項廢除。
為貫徹實施《電子簽名法》,正確履行《電子簽名法》賦予的密碼管理職責,方便電子認證服務提供者申請同意使用密碼的證明文件,規范電子認證服務提供者使用密碼行為,特制定《電子認證服務密碼管理辦法》,對相關事項做出明確規定。2005年3月國家密碼管理局發布《電子認證服務密碼管理辦法》,主要規定面向社會公眾提供電子認證服務應當使用商用密碼,明確了申請電子認證服務使用密碼許可應當具備的基本條件和程序,對電子認證服務系統的運行和技術改造等做出了規定。同時要求電子認證服務系統要由具有商用密碼產品生產和密碼服務能力的單位,按照GM/T 0034-2014《基于SM2密碼算法的證書認證系統密碼及其相關安全技術規范》的要求承建,并通過國家密碼管理局組織的安全性審查。
為了進一步規范電子認證服務使用密碼行為,2009年10月28日國家密碼管理局公布新修訂的《電子認證服務密碼管理辦法》,自2009年12月1日起施行,2005年3月31日國家密碼管理局發布的《電子認證服務密碼管理辦法》同時廢止。
新修訂的《電子認證服務密碼管理辦法》修正和完善的內容比較多,主要分為兩大類:一是對電子認證服務機構進行評估,是否具有商用密碼產品生產資質,以及要求承建單位提供安全性審查相關技術材料、互聯互通測試相關技術材料、物理環境符合電磁屏蔽、消防安全有關要求的證明文件、使用的信息安全產品符合有關法律規定的證明文件等更細化的要求,以規范電子認證服務系統;二是國家密碼管理局對電子認證服務系統進行安全性審查、互聯互通測試、信息技術變更、有效期限、監督檢查等具體管理條例進行了細化。新修訂的條例都是為了更好的規范電子認證服務,保障信息、密碼安全。對于新修訂法條施行前已經取得《電子認證服務使用密碼許可證》的電子認證服務提供者,也作出了相應的對策。
根據2009年《電子認證服務密碼管理辦法》的實踐效果,2017年國家密碼管理局再次對《電子認證服務密碼管理辦法》進行修訂。2017年12月6日公布的新版《電子認證服務密碼管理辦法》,增加了國家密碼管理局作為受理申請材料的機構,并對受理時間做出改動,使得該法在實施過程中更靈活。
為加快推進信息安全等級保護,規范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設,2007年6月22日,公安部、國家保密局、國家密碼管理局、原國務院信息化工作辦公室聯合印發了《信息安全等級保護管理辦法》。
《信息安全等級保護管理辦法》將信息系統的安全保護等級分為五級,第1、2級都是一般信息系統,第3-5級適用于涉及國家安全、社會秩序和公共利益的重要信息系統。將信息分成不同等級,按等級的影響程度做出相應的管理政策,保障國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益。
為規范信息安全等級保護中的密碼管理,國家密碼管理部門根據被保護對象在國家安全、社會穩定、經濟建設中的作用和重要程度,被保護對象的安全防護要求和涉密程度,被保護對象被破壞后的危害程度以及密碼使用部門的性質,確定密碼的等級保護準則。信息系統運營單位必須采用經國家密碼管理部門批準使用的密碼產品進行安全保護,不得使用國外引進或者擅自研制的密碼產品。“信息系統中的密碼及密碼設備的測評工作由國家密碼管理局認可的測評機構承擔”,“在監督檢查過程中,發現存在安全隱患或者違反密碼管理相關規定或者未達到密碼相關標準要求的,應當按照國家密碼管理的相關規定進行處置。”這些制度都表現了國家密碼局對密碼管理的重視,除了系統自身設計、實施、使用、運行維護和日常管理,還需要第三方由國家密碼局認定的測評機構來評測和監控,解除安全隱患。
為規范信息安全等級保護中使用商用密碼的行為,2007年11月27日國家密碼管理局依據《商用密碼管理條例》和《信息安全等級保護管理辦法》制定了《信息安全等級保護商用密碼管理辦法》,明確了“各級信息系統使用商用密碼應當符合《信息安全等級保護商用密碼技術要求》”,“信息系統運營、使用單位應當按照《商用密碼產品目錄》選用商用密碼產品”等要求。隨后,為配合《信息安全等級保護商用密碼管理辦法》的實施,進一步規范信息安全等級保護商用密碼工作,2009年10月29日國家密碼管理局印發《信息安全等級保護商用密碼管理辦法實施意見》,規定“第三級及以上信息系統的商用密碼應用系統建設方案應當通過密碼管理部門組織的評審后方可實施”,“第三級及以上信息系統的商用密碼應用系統,應當通過國家密碼管理部門指定測評機構的密碼測評后方可投入運行。密碼測評包括資料審查、系統分析、現場測評、綜合評估等”,《實施意見》更加深入地明確了信息安全等級保護第三級及以上信息系統的商用密碼應用要求。
為了推進網絡基礎設施建設和互聯互通,鼓勵網絡技術創新和應用,培養網絡安全人才,建立健全網絡安全保障體系,我國制定并不斷完善網絡安全戰略,2016年11月7日,全國人民代表大會常務委員會通過《中華人民共和國網絡安全法》,自2017年6月1日起施行。
《網絡安全法》提出制定網絡安全戰略,明確網絡空間治理目標,提高了我國網絡安全政策的透明度;進一步明確了政府各部門的職責權限,完善了網絡安全監管體制;強化了網絡運行安全,重點保護關鍵信息基礎設施;完善了網絡安全義務和責任,加大了違法懲處力度;將監測預警與應急處置措施制度化、法制化。《網絡安全法》對網絡運營者應該履行的安全保護義務做出了明確要求,而維護網絡數據的完整性、保密性、真實性及不可否認性,都需要發揮密碼技術的核心支撐作用。
2017年7月11日發布《關鍵信息基礎設施安全保護條例(征求意見稿)》。作為《網絡安全法》的重要配套法規,《關鍵信息基礎設施安全保護條例(征求意見稿)》明確了關鍵信息基礎設施的密碼應用要求,壓實了網絡安全運營者和主管部門有關密碼應用和密碼安全的主體責任,為密碼管理部門開展網絡空間密碼保護工作,尤其是網絡安全檢查和安全審查等工作提供了法律依據,同時也為開展密碼測評工作提供了強有力的支撐。
2021年8月17日,國務院總理李克強簽署國務院令,《關鍵信息基礎設施安全保護條例》正式公布。《關鍵信息基礎設施安全保護條例》明確了關鍵信息基礎設施范圍和保護工作原則目標、監督管理體制、運營者責任義務、保障和促進措施、法律責任,完善了關鍵信息基礎設施認定機制。
為了推進政務信息系統政府采購工作規范高效開展,2017年12月26日,財政部印發的《政務信息系統政府采購管理暫行辦法》,從源頭上明確了政務信息系統的密碼應用要求,其施行有力推動密碼在政務信息系統中的應用,有效提升政務信息系統的安全防護能力。
經過二十多年的發展,我國于1994年確立的計算機信息系統實行安全等級保護制度逐漸成熟,有力地保障了國家信息安全。前文提到的《中華人民共和國網絡安全法》,將國家網絡安全等級保護制度上升為法律要求。2018年6月27日,公安部發布《網絡安全等級保護條例(征求意見稿)》。作為《網絡安全法》的重要配套法規,《網絡安全等級保護條例(征求意見稿)》對網絡安全等級保護的適用范圍、各監管部門的職責、網絡運營者的安全保護義務以及網絡安全等級保護建設提出了更加具體、操作性也更強的要求,為開展等級保護工作提供了重要的法律支撐。
《網絡安全等級保護條例(征求意見稿)》設置了密碼管理專章,體現了密碼管理在網絡安全等級保護工作中的重要作用,明確了網絡安全等級保護密碼管理的主要思路、方式和手段,強調了網絡安全等級保護三級及以上系統使用密碼進行保護的義務,突出了商用密碼應用安全性評估作為等級保護密碼管理主要抓手的地位和作用,強化了密碼管理部門在等級保護技術標準制定、監督檢查、密碼應用安全性評估工作開展等方面的職權。
為規范重要領域網絡和信息系統商用密碼應用安全性評估工作,發揮密碼在保障網絡安全中的核心支持作用,國家密碼管理局頒布《商用密碼應用安全性評估管理辦法(試行)》,自2017年4月22日起施行,根據《中華人民共和國網絡安全法》、《商用密碼管理條例》以及國家關于網絡安全等級保護和重要領域密碼應用的有關要求制定。
密碼工作是黨和國家的一項特殊重要工作,直接關系國家政治安全、經濟安全、國防安全和信息安全,在我國革命、建設、改革各個歷史時期,都發揮了不可替代的重要作用。進入新時代,密碼工作面臨著許多新的機遇和挑戰,擔負著更加繁重的保障和管理任務,制定一部密碼領域綜合性、基礎性法律十分必要,2019年10月26日十三屆全國人大常委會第十四次會議表決通過《中華人民共和國密碼法》,這標志著我國在密碼的應用和管理等方面有了專門性的法律保障。
《密碼法》按照中央確定的密碼管理原則和應用政策,規定了密碼應用的主要制度和要求。其中明確了關鍵信息基礎設施使用密碼和進行密碼應用安全性評估的要求,并規定使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。
《密碼法》共五章四十四條,重點規范了三點內容:什么是密碼、誰來管密碼、怎么管密碼。其中關于商用密碼的主要管理制度,包括商用密碼標準化制度、檢測認證制度、市場準入管理制度、使用要求、進出口管理制度、電子政務電子認證服務管理制度以及商用密碼事中事后監管制度等。明確規定國家鼓勵商用密碼技術的研究開發、學術交流、成果轉化和推廣應用,健全統一、開放、競爭、有序的商用密碼市場體系,鼓勵和促進商用密碼產業發展。
為規范國家政務信息化建設管理,推動政務信息系統跨部門跨層級互聯互通、信息共享和業務協同,強化政務信息系統應用績效考核,根據《國務院關于印發政務信息資源共享管理暫行辦法的通知》等有關規定,2019年12月30日,國務院辦公廳發布了《國家政務信息化項目建設管理辦法》,對國家政務信息系統的規劃、審批、建設、共享和監管做出規定。其中明確了多項密碼應用有關要求。政務信息化項目建設單位“應同步規劃、同步建設、同步運行密碼保障系統并定期進行評估”;按要求向發展和改革委員會備案的備案文件應當包括密碼應用方案和密碼應用安全性評估報告;項目的密碼應用和安全審查情況應當作為項目驗收的重要內容之一,密碼應用安全性評估報告應當作為提交驗收申請的必要材料;“對于不符合密碼應用和網絡安全要求的政務信息系統,不安排運行維護經費,項目建設單位不得新建、改建、擴建政務信息系統”;國務院有關部門對密碼應用情況實施監督管理,如有違規操作,責令整改還不作為的,“項目審批部門可以對其進行通報批評、暫緩安排投資計劃、暫停項目建設直至終止項目”;國務院各部門要嚴格“按要求采用密碼技術,并定期開展密碼應用安全性評估”,落實密碼安全性應用才能確保政務信息系統運行安全和政務信息資源共享交換的數據安全。
由于《密碼法》對商用密碼管理制度進行了結構性重塑,現行《商用密碼管理條例》已無法適應《密碼法》的要求,2020年8月20日,國家密碼管理局發布《商用密碼管理條例(修訂草案征求意見稿)》,對1999年發布并生效的《商用密碼管理條例》進行全面修訂。
《條例(征求意見稿)》重點規定的檢測認證、電子認證、進出口管理制度也與《密碼法》相關內容相互呼應,進一步落實了《密碼法》的管理要求。在管理體制上,沿襲《密碼法》,實際上確定了“四級管理+專項管理”的體制。在商用密碼范圍界定上,沿襲《密碼法》的立法思路,不僅規制“商用密碼技術和商用密碼產品”,也將“商用密碼服務”納入規制范圍。《條例(征求意見稿)》規定了電子認證服務和電子政務電子認證服務的相關內容,還進一步強調“進口《商用密碼進口許可清單》或者出口《商用密碼出口管制清單》中的商用密碼,應當向國務院商務主管部門申請領取兩用物項進出口許可證”,與我國目前正在制定的《出口管制法》相互呼應。《條例(征求意見稿)》規定運營者應履行使用商用密碼進行保護、開展商用密碼應用安全性評估、使用列入商用密碼技術指導目錄的商用密碼技術、采購網絡產品和服務的國家安全審查等義務,強化密碼應用要求,突出對關鍵信息基礎設施和網絡安全等級保護第三級及以上信息系統的密碼應用監管,并實施商用密碼應用安全性評估和安全審查制度。
當前已經進入萬物互聯的時代,信息安全變得越來越重要,網絡安全與信息安全向全域安全發展,強信任、強安全、強可控、強防護成為必然要求,而密碼是解決網絡安全與信息安全最可靠、最有效的核心手段,隨著商用密碼相關政策法規的逐步完善,隨著商用密碼應用在各行各業的大力推進,隨著商用密碼應用安全性評估的全面普及,終將構建起堅實可靠的網絡空間安全密碼屏障。
