如何看待《中华人民共和国密码法》的颁布,该法的颁布会对当前学术界和工业界产生什么样的影响?

使用CN2/CN2GIA顶级线路,支持Shadowsocks/V2ray科学上网,支持支付宝付款,每月仅需 5 美元
## 加入品葱精选 Telegram Channel ##

知乎用户 Mr.X 发表

“密码”这个词有多种含义。在日常生活中 “密码” 比较狭义,一般指一串只有自己知道的字符,在取钱、登录网站等情况下使用,目的是保护自己的信息、数据和财产安全。就像自己拿的家里的钥匙一样。对应的英文是“password”,。

而《中华人民共和国密码法》中的 “密码”,给了一个非常广泛的定义,是指 “采用特点变换的方法对信息等进行加密保护、安全认证的技术、产品和服务”。简单理解就是对信息进行加密、解密的技术和产品。就像是全社会的造锁行业一样。对应的英文是 “cryptography”。

这部法律的主要内容,用日常用语来解释就是:

  • 信息加密技术涉及国家安全,不仅仅是技术问题,必须接受党和国家的领导。(造锁行业必须按朝廷规矩办事)
  • 加密技术分为核心、普通、商用三级。(锁分为军机、府衙、民用三级)
  • 核心和普通加密用来保护国家安全,由政府各级加密管理部门严格和统一管理。(朝廷军机和各级府衙库仓上的锁,必须严格统一管理)
  • 商用加密用于商业和个人。商用加密要标准化,参与国际化。(民间用锁要标准化制造,要积极参与国际造锁事业)
  • 国家鼓励加密技术研究。(朝廷鼓励研制新型锁具)
  • 不得利用加密技术危害国家安全、社会公益和他人合法权益。(民间造锁开锁等行业不得危害国家、违抗朝廷、损害百姓利益)
  • 涉及国家安全和社会公益的加密技术,进口要许可,出口要管制。(不得随意进口和使用国外的锁,不得随意出口国内的高级锁和图纸)

《密码法》的颁布,说明党和政府对信息加密这一技术领域的重视,将其提高到国家安全的高度,专门制定法律来进行管理。这与美国、俄国和欧盟等在这一方面的管理类似。美国在克林顿时代之前就有了对加解密技术进行出口管制等方面的的法律要求,之后不断进行调整和升级。我们现在出台这部法律,不仅与我们在赛博空间的大国地位相称,也为即将到来的量子计算时代加密技术的进一步发展和博弈奠定了法律基础。

知乎用户 甄昊元 发表

好像没人发这个法律的全文?我转一个:

中华人民共和国密码法
(2019 年 10 月 26 日第十三届全国人民代表大会常务委员会第十四次会议通过)
目录
第一章 总则
第二章 核心密码、普通密码
第三章 商用密码
第四章 法律责任
第五章 附则
第一章 总则
第一条 为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定本法。
第二条 本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
第三条 密码工作坚持总体国家安全观,遵循统一领导、分级负责,创新发展、服务大局,依法管理、保障安全的原则。
第四条 坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导,制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。
第五条 国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。
第六条 国家对密码实行分类管理。密码分为核心密码、普通密码和商用密码。
第七条 核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。
第八条 商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
第九条 国家鼓励和支持密码科学技术研究和应用,依法保护密码领域的知识产权,促进密码科学技术进步和创新。国家加强密码人才培养和队伍建设,对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。
第十条 国家采取多种形式加强密码安全教育,将密码安全教育纳入国民教育体系和公务员教育培训体系,增强公民、法人和其他组织的密码安全意识。
第十一条 县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级财政预算。
第十二条 任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
第二章 核心密码、普通密码
第十三条 国家加强核心密码、普通密码的科学规划、管理和使用,加强制度建设,完善管理措施,增强密码安全保障能力。
第十四条 在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。
第十五条 从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构(以下统称密码工作机构)应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全。
第十六条 密码管理部门依法对密码工作机构的核心密码、普通密码工作进行指导、监督和检查,密码工作机构应当配合。
第十七条 密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的,应当立即采取应对措施,并及时向保密行政管理部门、密码管理部门报告,由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置,并指导有关密码工作机构及时消除安全隐患。
第十八条 国家加强密码工作机构建设,保障其履行工作职责。国家建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。
第十九条 密码管理部门因工作需要,按照国家有关规定,可以提请公安、交通运输、海关等部门对核心密码、普通密码有关物品和人员提供免检等便利,有关部门应当予以协助。
第二十条 密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度,对其工作人员遵守法律和纪律等情况进行监督,并依法采取必要措施,定期或者不定期组织开展安全审查。
第三章 商用密码
第二十一条 国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。商用密码的科研、生产、销售、服务和进出口,不得损害国家安全、社会公共利益或者他人合法权益。
第二十二条 国家建立和完善商用密码标准体系。国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
第二十三条 国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
第二十四条 商用密码从业单位开展商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。
第二十五条 国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。
第二十六条 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
第二十八条 国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
第二十九条 国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。
第三十条 商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。
第三十一条 密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督。密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。
第四章 法律责任
第三十二条 违反本法第十二条规定,窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的,由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。
第三十三条 违反本法第十四条规定,未按照要求使用核心密码、普通密码的,由密码管理部门责令改正或者停止违法行为,给予警告;情节严重的,由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
第三十四条 违反本法规定,发生核心密码、普通密码泄密案件的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。违反本法第十七条第二款规定,发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未立即采取应对措施,或者未及时报告的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
第三十五条 商用密码检测、认证机构违反本法第二十五条第二款、第三款规定开展商用密码检测认证的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款;情节严重的,依法吊销相关资质。
第三十六条 违反本法第二十六条规定,销售或者提供未经检测认证或者检测认证不合格的商用密码产品,或者提供未经认证或者认证不合格的商用密码服务的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。
第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第三十八条 违反本法第二十八条实施进口许可、出口管制的规定,进出口商用密码的,由国务院商务主管部门或者海关依法予以处罚。
第三十九条 违反本法第二十九条规定,未经认定从事电子政务电子认证服务的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款。
第四十条 密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的,依法给予处分。
第四十一条 违反本法规定,构成犯罪的,依法追究刑事责任;给他人造成损害的,依法承担民事责任。
第五章 附则
第四十二条 国家密码管理部门依照法律、行政法规的规定,制定密码管理规章。
第四十三条 中国人民解放军和中国人民武装警察部队的密码工作管理办法,由中央军事委员会根据本法制定。
第四十四条 本法自 2020 年 1 月 1 日起施行。

密码法其实要和领导最近谈 “区块链” 的讲话放在一起研究。意味着加密领域要出现很大的变化。更重要的是,金融、文件领域的 “留痕” 成为常态,对反洗钱、知识产权保护等方面都有大影响。

知乎用户 Qian Chen 发表

有点疑惑 核心密码,普通密码和商用密码有什么区别。。是三套不同的标准么?但是 现代密码学发展的经验来看如果核心密码和普通密码算法不公开的话反而会比商用密码更不安全。

最好咱们也学 NIST 搞一个对 post-quantum 的算法的标准制定征求意见。毕竟现在已经过了 自己闭门造车也能构造出安全的密码算法的年代了。

知乎用户 艾征霸 发表

> 第二条 本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。

> 第四条 坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导,制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。

> 第八条 商用密码用于保护不属于国家秘密的信息。

> 第二十六条 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。

> 第三十六条 违反本法第二十六条规定,销售或者提供未经检测认证或者检测认证不合格的商用密码产品,或者提供未经认证或者认证不合格的商用密码服务的,布拉布拉。

> 第四十一条 违反本法规定,构成犯罪的,依法追究刑事责任;给他人造成损害的,依法承担民事责任。

网络安全法出来时也有人说那是物理信道。

“去和法官说,看他让不让你做好人”

知乎用户 船长 发表

希望能对 ssh 这类产品出一个明确的司法解释

知乎用户 掌控安全学院​ 发表

谢邀

作为安全行业从业者。给出一个不同角度的专业理解吧。

中华人民共和国密码法
第一章 第一条
为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定本法。

一、为了规范密码应用和管理

在渗透测试时,最喜闻乐见的是 “弱口令”

哪怕现在互联网大厂及政府机关都已经明文要求了(字母 + 数字 or 密码必须 6 至 8 位以上)

但仍然有层出不穷的弱口令导致网络安全灾害案例:

政企事业单位内网弱口令、域密码通杀(一密多用或域名 + 123456)

腾讯某分站到腾讯内网漫游(新上线业务的弱口令)

至于某核弹发射器密码 00000 以及全视界弱口令调查之 123456、888888 的梗就不再提了。

因此为保护各层级各生产区各功能单位,设置、规范化密码的应用及管理是非常有必要的。

二、促进事业发展

新法中明确的提及:

1、谁必须做认证、谁需要进行密码规范以及谁能够进行认证、谁能够做密码相关服务、密码相关产品需要什么才能做。

相关条例:

国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则。

商用密码检测、认证机构应当依法取得相关资质。

从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构(以下统称密码工作机构)应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全。

 关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

还有很多不一一列举,既然国家给出了规范,就多出了甲方,后面勿需提,大家懂。

2、相关部门应该会给出学术上、研发上、优秀个体上的扶持

相关条例:

国家鼓励和支持密码科学技术研究和应用,依法保护密码领域的知识产权,促进密码科学技术进步和创新。国家加强密码人才培养和队伍建设,对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。

三、网络与信息安全(完善密码相关法律条例)

完善明确了泄密、密码保管不完善、黑客入侵相关事件的法律条例。

完善明确了密码的标准化、管理化规范,

相关条例:

 违反本法第十二条规定,窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的,由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。

 违反本法第十四条规定,未按照要求使用核心密码、普通密码的,由密码管理部门责令改正或者停止违法行为,给予警告;情节严重的,由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

 违反本法规定,发生核心密码、普通密码泄密案件的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。违反本法第十七条第二款规定,发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未立即采取应对措施,或者未及时报告的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

文末还有很多,不一一举例了。

四、维护合法权益(题主提及的学术界和工业界影响)

其实和前三大块讲的已经很明确了。

学术上支持研发鼓励申报相关政策,大力维护密码相关的知识产权。

工业上增添了许多条条框框的守则,相关管理怕是要犯愁,但是对安全是好事情。

细节上,看起来没有太多和学术、工业落地的条例。

应该要等到相关部门联动,基于上述三点再出台相关政策才行吧。

知乎用户 小白排排坐 发表

学术圈可能会掀起一波小高潮,可能会促进密码相关理论与应用技术的发展,譬如 mpc、白盒密码以及边信道等

不过国产密码应该提高下知名度了,密码学三大顶会基本没有国产密码相关文章,其实真没有

但也有可能一波币圈大佬摇身一变知名密码学家,毕竟比特币算是集密码学之大成者

业界的话,倒是有几点小疑问,不晓得会咋样

  1. 历史原因现网设备基本不支持或者未使用国产密码,毕竟 mmj 九几年才成立,当时 AES 都出现了,互联互通是一个大问题,为了支持现有设备,也许会不得不支持 AES 等国际密码,但密钥协商时,有可能依旧使用国际密码算法
  2. 密码法第 25 条至 27 条规定了密码检测的相关事宜,其中包括了网络关键设备和网络安全专用产品、关键信息基础设施,不晓得 mmj、四院、三所、信通院、认证中心等机构会不会打起来,毕竟大家都吃这口饭,去哪儿拿证书,拿什么证书可能会让厂商比较头疼
  3. 不知道密码法施行后,和现有的 bm 体系如何兼容,感觉有重叠的部分
  4. 进出口原因,各国的进口政策不一致,加入非国际标准算法,会不会增大出口难度,这个还有待调研,没仔细研究过 cc 和 fips 等

最后,密码大法好!

知乎用户 匿名用户 发表

嘿嘿,涉及梯子的软件一般都涉及加密…

知乎用户 姜政伟 发表

加密算法研究、测评认证产业等会掀起高潮,结合区块链也是重要方向。

知乎用户 北京浩云律师事务所​ 发表

10 月 26 日十三届全国人大常委会第十四次会议 26 日表决通过密码法。通过立法,中国将对密码实行分类管理,推进国家密码法治建设。

那么制定密码法到底有什么用?主要是保护什么内容呢? ​

现实生活中人们经常接触的计算机或手机开机密码、电子邮箱登录密码、银行卡支付密码等,这些 “密码” 实际上是口令,是进入电子设备或账号的通行证,是最简易的密码。

这次制定的**密码法所称的密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务,分为核心密码、普通密码和商用密码。**核心密码、普通密码用于保护国家秘密信息,更多是对国家安全和公共安全的维护,商用密码跟我们的生活更贴近一些。

在网络与信息时代,每天都有海量信息产生,社会公众使用密码保护网络与信息安全的意识还不够强,网络诈骗、个人隐私泄露等问题频发,严重威胁国家网络与信息安全、企业商业秘密以及公民个人隐私保护。

这次制定《密码法》就是要将商用密码的应用要求上升为法律规范,保护公民、法人和其他组织的合法权益。

特别是商用密码部分,规定了商用密码标准化、检测认证、市场准入管理、电子政务电子认证服务管理制度以及商用密码事中事后监管制度等一系列制度,其目的就是为了规范密码应用和管理,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。

知乎用户 papa pa 发表

第二十八条 国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。
大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

知乎用户 葫芦娃集团 发表

1. 密码之于中国

同志们,永别了!我想念你们!

10 月 13 日下午,演员胡歌突然在微博账号上发了这样一段文字。随后,出人意料的是,众多网友都毫不犹豫地在这条微博下面点了 “赞”。

这句话,其实是 1958 年引发全国轰动的中国第一部谍战片《永不消逝的电波》的结尾片段。电影中,孙道临扮演的地下工作者李侠在敌人冲向秘密电台的最后一秒,一口吞咽了电文,在特务枪口的包围下发送出了最后一份情报后,他向千里之外的战友敲下 “同志们,永别了! 我想念你们!”

这一幕,不仅让几亿观众哭成了泪人,更成为中国影史一个经典画面。前不久,胡歌、刘涛在央视舞台上再次带大家重温这个故事,很多观众又是从头哭到尾。

电影《永不消逝的电波》主人公李侠的人物原型,是上海中共地下党李白。1949 年 5 月 7 日,李白被秘密杀害,年仅 39 岁。他牺牲 20 天后,上海,迎来解放。1948 年 12 月 30 日凌晨,李白用生命发出的最后的电波终于在近些年解密——敌人的长江布防计划。

李白、被誉为 “龙潭三杰” 的钱壮飞等革命烈士,都是万万千千密码战线的优秀代表。他们的一生,就像一根火柴,一直潜伏在黑夜里。在黎明拂晓即将到来时,他们选择将自己燃烧,将更多的人推向光明。

密码是国家的 “命门”、“命脉”,是国家重要战略资源。密码工作直接关系国家政治安全、经济安全、国防安全和信息安全。

今年是新中国成立 70 周年,也是李白烈士牺牲 70 周年。

**10 月 26 日,十三届全国人大常委会第十四次会议通过《中华人民共和国密码法》,将于 2020 年 1 月 1 日起正式施行。**标志着我国在密码的应用和管理等方面有了专门性的法律保障。今后,我们国家将以法之名保障密码工作。

密码法是我国密码领域的第一部法律,是党的十九大以来我国制定出台的维护国家安全的又一部重要法律。密码法的颁布实施,是密码工作历史上具有里程碑意义的大事,必将对密码事业发展产生重大而深远的影响。

2. 关于密码和密码法,你得知道这些

1)什么是密码?

现实生活中,提到 “密码” 一词,人们通常以为就是每天接触的计算机或手机开机 “密码”、电子邮箱登录“密码”、微信“密码”、QQ“密码”、银行卡支付“密码” 等。

然而,生活中的这些 “密码” 实际上是口令,并不是密码法中所说的“密码”,并非“密码”。口令只是进入个人计算机、手机、电子邮箱或者个人银行账户的“通行证”,它是一种简单、初级的身份认证手段,是最简易的密码。而密码法中的密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。

可以说,密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段,从涉及政权安全的保密通信、军事指挥,到涉及国民经济的金融交易、防伪税控,再到涉及公民权益的电子支付、网上办事等等,密码都在背后发挥着基础支撑作用,为维护国家网络空间主权、安全、发展利益提供关键技术保障。

密码的主要功能有两个:一个是加密保护,另一个是安全认证。

加密保护是指采用特定变换的方法,将原来可读的信息变成不能识别的符号序列。简单地说,加密保护就是将明文变成密文。例如,古希腊军队使用一种叫做 “斯巴达棒” 的圆木棍来进行加密通信,使用方法是:把一根长带状羊皮纸缠绕在圆木棍上,然后在上面写字;解下羊皮纸后,上面只有杂乱无章的字符,只有再次以同样的方式缠绕到同样粗细的木棍上,才能看出所写的内容。

安全认证是指采用特定变换的方法,确认信息是否被篡改、是否来自可靠信息源以及确认行为是否真实。简单地说,安全认证就是确认主体和信息的真实可靠性。例如,增值税防伪税控系统采用商用密码技术保护涉税信息,增值税发票信息经密码算法进行加密,并且把密文(发票右侧密码区的四个二维码)打印在发票上的密码区,在税额抵扣环节对密文进行解密,解密后的发票要素与发票明文进行比对,从而确定该发票的明文信息是否真实,如果比对后没有通过,则税额不能抵扣,从而遏制增值税犯罪,减少税款流失。

按照不同的标准,密码有不同的分类。

按照保护信息的种类,密码分为核心密码、普通密码和商用密码。核心密码是用于保护国家绝密级、机密级、秘密级信息的密码。普通密码是用于保护国家机密级、秘密级信息的密码。商用密码是用于保护不属于国家秘密的信息的密码,公民、法人和其他组织可以依法使用。

按照功能形态,密码分为密码技术、密码产品和密码服务。密码技术,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术。密码产品是承载密码技术、实现密码功能的实体。密码服务是基于密码技术和产品,实现密码功能的行为。

2)密码能够发挥什么作用

密码也被形象地比喻为网络空间的 DNA。它是构筑网络信息系统免疫体系和网络信任体系的基石,直接关系国家政治安全、经济安全、国防安全和信息安全,是保护党和国家根本利益的战略性资源,是国之重器。

核心密码、普通密码用于保护国家秘密信息和涉密信息系统,有力地保障了中央政令军令安全,为维护国家网络空间主权、安全和发展利益构筑起牢不可破的密码屏障。

商用密码广泛应用于国民经济发展和社会生产生活的方方面面。比如说:

在金融领域,使用商用密码的金融芯片卡,有效遏制了银行卡伪造、网上交易身份仿冒等违法犯罪活动。

在税收领域,增值税防伪税控系统采用商用密码技术保护涉税信息,有效遏制了通过篡改发票票面信息进行偷税、漏税等违法犯罪活动。

在社会管理领域,公安部已累计发放使用商用密码芯片的第二代居民身份证超过 18 亿张,有效杜绝了伪造、变造身份证等违法犯罪行为。

除此之外,商用密码还可以用于企业商业秘密、公民个人隐私的保护。例如,商用密码在网上银行、网上支付系统中的广泛应用。

3)为什么要制定密码法?

随着网络强国战略、国家信息化发展战略、国家大数据战略等的实施,我国密码事业加速转型升级,密码功能已由单一的信息加密拓展到身份识别、安全隔离、完整性保护等方面,密码应用已遍及经济社会生活各领域各方面。

进入新时代,密码工作面临着许多新的机遇和挑战,担负着更加繁重的保障和管理任务。但长期以来,我国密码领域面向社会的立法只有一部行政法规——《商用密码管理条例》,无论是在立法位阶上,还是在法律效力上,均已不能适应新时代密码事业发展的需要,亟需制定一部综合性、基础性法律,把密码工作各领域、各环节、各要素纳入法治轨道。

密码法填补了我国密码领域长期存在的法律空白,对于加快密码法治建设,理顺国家安全领域相关法律法规关系,完善国家安全法律制度体系,意义重大。

换言之,制定和实施密码法,可以把现有核心密码和普通密码在维护国家安全方面的基本制度,把重要领域商用密码的应用、基础支撑能力的提升以及检测认证、安全性评估、国家安全审查等制度,及时上升为法律规范,引导全社会合规、正确、有效使用密码,规范网络空间密码保障工作,推动构建以密码技术为核心、多种技术交叉融合的网络空间新安全体制,加快推进关键信息基础设施的密码应用。

3. 我国首部密码法的主要内容

1)主要内容

《密码法》将密码分为核心密码、普通密码和商用密码三类,实行分类管理。其中核心密码、普通密码用于保护国家秘密信息,属于国家秘密;商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。

密码法是总体国家安全观框架下,国家安全法律体系的重要组成部分,也是一部技术性、专业性较强的专门法律。

密码法共五章四十四条,围绕 “怎么用密码、谁来管密码、怎么管密码”,重点规范了以下内容:

第一章总则部分,主要规定了本法的立法目的、密码工作的基本原则、密码工作的领导和管理体制,并对核心密码、普通密码和商用密码在发展促进和保障措施方面的共性内容作了规定。

第二章核心密码、普通密码部分,规定了核心密码、普通密码的主要管理制度,包括核心密码、普通密码使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施。

第三章商用密码部分,规定了商用密码的主要制度,包括商用密码的标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。

第四章法律责任部分,规定了违反本法相关规定应当承担的相应的法律后果。

第五章附则部分,规定了国家密码管理部门的规章制定权,解放军和武警部队密码立法事宜以及本法的施行日期。

2)关于密码法的 8 问 8 答

①密码法为什么要对密码实行分类管理呢?

因为这是保障密码安全的基本策略,也是长期以来密码工作经验的科学总结。核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息,商用密码用于保护不属于国家秘密的信息。三类密码保护的对象不同,对其进行明确划分,有利于确保密码安全保密,有利于密码管理部门根据不同信息等级和使用对象,充分发挥三类密码在保护网络与信息安全中的核心支撑作用。

②既然核心密码、普通密码属于国家秘密,主要规范党政机关内部管理的事项,为什么还要通过制定法律予以规范?

首先,这两种密码是用于保护国家秘密信息的,直接关系国家安全和社会公共利益,需要通过制定法律予以规范。其次,两者虽然主要规范党政机关内部管理的事项,但也有必要纳入依法管理范畴。党政机关应当严格按照法律法规的有关规定使用核心密码、普通密码,在法律范围内从事相关活动。此外,核心密码、普通密码的管理措施以及密码管理部门、密码工作机构及其工作人员开展工作也需要有法律依据。

③为什么要对涉及国家安全、国计民生、社会公共利益的商用密码产品实行强制性检测认证制度?

商用密码产品其质量与安全性直接关系国家安全和社会公共利益,需要通过检测认证的方式对其质量与安全性进行技术把关。该制度与网络安全法规定的网络关键设备和网络安全专用产品强制性检测认证制度是衔接一致的。此外,强制性检测认证实施范围有限,不会对市场和产业构成不必要的限制。

④为什么要对使用网络关键设备和网络安全专用产品的商用密码服务实行强制性认证制度?

由于密码功能实现的特殊性,网络关键设备和网络安全专用产品本身合格,并不意味着使用这些产品的商用密码服务就一定是安全的,需要通过认证的方式对其质量与安全性进行技术把关,规范商用密码服务市场准入。而且强制性认证制度仅适用于使用网络关键设备和网络安全专用产品的商用密码服务,并通过制定服务目录明确界定管理范围,管理范围有限,不会对市场和产业构成不必要的限制。

⑤为什么要对涉及国家安全、社会公共利益等的商用密码实行进口许可和出口管制制度?

商用密码是一把双刃剑,既可以用于合法的信息保护,也可能被用来从事违法犯罪活动,有必要对其实行进口许可和出口管制,维护国家安全和社会公共利益。该制度符合世贸组织规则,也是国际通行做法。该制度实施范围有限,对大众消费类产品所采用的商用密码不实行进口许可和出口管制,并通过制定清单明确界定管理范围,不会对贸易造成影响。

⑥密码法立法的目的是什么?

密码是国家重要战略资源,是保障网络与信息安全的核心技术和基础支撑。密码工作是党和国家的一项特殊重要工作,直接关系国家政治安全、经济安全、国防安全和信息安全。新时代密码工作面临许多新的机遇和挑战,担负更加繁重的保障和管理任务。密码法立法主要有 3 个方面的目的:

第一,坚决贯彻党管密码根本原则,落实中央指示批示精神。第二,规范密码应用和管理,促进密码事业发展。第三,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。

⑦密码法在商用密码管理方面的立法思路是什么?

一是坚决贯彻落实 “放管服” 改革要求,充分体现非歧视和公平竞争原则,进一步削减行政许可数量,放宽市场准入,更好地激发市场活力和社会创造力。二是由商用密码管理条例规定的全环节严格管理调整为重点把控产品销售、服务提供、使用、进出口等关键环节,管理方式上由重事前审批更多地转为事中事后监管,重视发挥标准化和检测认证的支撑作用。三是对于关系国家安全和社会公共利益,又难以通过市场机制或者事中事后监督方式进行有效监管的少数事项,本法规定了必要的行政许可和管制措施。

⑧如何抓好密码法的贯彻落实?

国家密码管理局将从以下 3 个方面抓好密码法的贯彻落实:

一是加强学习宣传贯彻。将密码法纳入国民教育体系和公务员教育培训体系,推动在全社会形成学习宣传贯彻密码法的热潮,增强公民、法人和其他组织的密码安全意识。二是完善配套法规制度。以密码法颁布实施为契机,抓紧推进商用密码管理条例等配套法规规章的制修订工作,进一步提高密码法律法规体系的系统性、权威性和有效性,提高密码工作的科学化、规范化、法治化水平。三是抓好督查落实。加强对密码法贯彻落实情况的监督检查和工作指导,针对实施过程中遇到的重点难点问题深入开展调查研究,及时解决执法、守法过程中的新情况新问题,确保密码法的各项制度规定落到实处。

值得一提的是,密码作为一种典型的 “两用物项”,用得好会造福社会,用得不好或者被坏人利用,它就可能成为潘多拉魔盒中的魔鬼,给党和国家以及人民群众的利益带来不可估量的损失,这样的教训在战争年代有,在今天的和平时期也依然存在。

因此,密码法明令禁止任何组织或者个人窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。

以下是《中华人民共和国密码法》全文:

中华人民共和国密码法

(2019 年 10 月 26 日第十三届全国人民代表大会常务委员会第十四次会议通过 )

目  录

第一章 总  则

第二章 核心密码、普通密码

第三章 商用密码

第四章 法律责任

第五章 附    则

第一章 总  则

第一条 为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定本法。

第二条 本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。

第三条 密码工作坚持总体国家安全观,遵循统一领导、分级负责,创新发展、服务大局,依法管理、保障安全的原则。

第四条 坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导,制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。

第五条 国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。

国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。

第六条 国家对密码实行分类管理。

密码分为核心密码、普通密码和商用密码。

第七条 核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。

核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。

第八条 商用密码用于保护不属于国家秘密的信息。

公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。

第九条 国家鼓励和支持密码科学技术研究和应用,依法保护密码领域的知识产权,促进密码科学技术进步和创新。

国家加强密码人才培养和队伍建设,对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。

第十条 国家采取多种形式加强密码安全教育,将密码安全教育纳入国民教育体系和公务员教育培训体系,增强公民、法人和其他组织的密码安全意识。

第十一条 县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级财政预算。

第十二条 任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。

任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。

第二章 核心密码、普通密码

第十三条 国家加强核心密码、普通密码的科学规划、管理和使用,加强制度建设,完善管理措施,增强密码安全保障能力。

第十四条 在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。

第十五条 从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构(以下统称密码工作机构)应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全。

第十六条 密码管理部门依法对密码工作机构的核心密码、普通密码工作进行指导、监督和检查,密码工作机构应当配合。

第十七条 密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。

密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的,应当立即采取应对措施,并及时向保密行政管理部门、密码管理部门报告,由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置,并指导有关密码工作机构及时消除安全隐患。

第十八条 国家加强密码工作机构建设,保障其履行工作职责。

国家建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。

第十九条 密码管理部门因工作需要,按照国家有关规定,可以提请公安、交通运输、海关等部门对核心密码、普通密码有关物品和人员提供免检等便利,有关部门应当予以协助。

第二十条 密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度,对其工作人员遵守法律和纪律等情况进行监督,并依法采取必要措施,定期或者不定期组织开展安全审查。

第三章 商用密码

第二十一条 国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。

各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。

商用密码的科研、生产、销售、服务和进出口,不得损害国家安全、社会公共利益或者他人合法权益。

第二十二条 国家建立和完善商用密码标准体系。

国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。

国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。

第二十三条 国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。

国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。

第二十四条 商用密码从业单位开展商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。

国家鼓励商 用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。

第二十五条 国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。

商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。

商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。

第二十六条 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。

商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。

第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

第二十八条 国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。

大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

第二十九条 国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。

第三十条 商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。

第三十一条 密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督。

密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。

第四章 法律责任

第三十二条 违反本法第十二条规定,窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的,由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。

第三十三条 违反本法第十四条规定,未按照要求使用核心密码、普通密码的,由密码管理部门责令改正或者停止违法行为,给予警告;情节严重的,由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

第三十四条 违反本法规定,发生核心密码、普通密码泄密案件的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

违反本法第十七条第二款规定,发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未立即采取应对措施,或者未及时报告的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

第三十五条 商用密码检测、认证机构违反本法第二十五条第二款、第三款规定开展商用密码检测认证的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款;情节严重的,依法吊销相关资质。

第三十六条 违反本法第二十六条规定,销售或者提供未经检测认证或者检测认证不合格的商用密码产品,或者提供未经认证或者认证不合格的商用密码服务的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。

第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第三十八条 违反本法第二十八条实施进口许可、出口管制的规定,进出口商用密码的,由国务院商务主管部门或者海关依法予以处罚。

第三十九条 违反本法第二十九条规定,未经认定从事电子政务电子认证服务的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款。

第四十条 密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的,依法给予处分。

第四十一条 违反本法规定,构成犯罪的,依法追究刑事责任;给他人造成损害的,依法承担民事责任。

第五章 附  则

第四十二条 国家密码管理部门依照法律、行政法规的规定,制定密码管理规章。

第四十三条 中国人民解放军和中国人民武装警察部队的密码工作管理办法,由中央军事委员会根据本法制定。

第四十四条 本法自 2020 年 1 月 1 日起施行。


(综合来源于:央广网、中国经济网、中国普法)

【版权提示】葫芦娃集团尊重与保护知识产权。若发现平台文章 / 图片存在版权问题,请及时与我们联系并处理。

【免责声明】部分内容 / 图片转载自其他媒体,目的在于传递更多信息,并不代表葫芦娃集团赞同其观点和对其真实性负责。

知乎用户 第七地区 发表

法律的颁布和修改的流程是很麻烦很耗费资源的。要知道,我们现在还有一堆法律排队等着要制定和修改,在这种情况下,出来一部《密码法》,似乎在引导着什么方向?

再配合前段时间的量子加密通信机制、最近的 “区块链核心技术” 一起食用,味道更佳?

再考虑到加密运用的最广泛的领域,无非金融和国防,看来接下来这两个领域会有不少动作?

知乎用户 rick 发表

感觉和加密货币有关,可能将来要大力发展加密货币,所以事先立法规范。

知乎用户 汽车工业 4.0 发表

我估摸着跟前几天谷歌量子计算机研制成功有关,现在国家机密的密码肯定要换,不然量子计算机破解简单的数字密码太简单了!

最简单好用的 VPS,没有之一,注册立得 100 美金
comments powered by Disqus

See Also

一部手机失窃而揭露的黑色产业链—完整修订版

“大家好,之前一篇文章《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》发布后,引起了大家极大的关注,但由于之前事发突然,文章写得仓促,自己的分析也有草率不准确的地方,在公众号后台广大网友也提出各种疑问。为了避免给大家传导错误的信 …

一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链

作者简介: 信息安全老骆驼,10多年网络攻防工作经验,多年金融信息安全服务从业经历。理工直男,不擅文字,一直在信息安全行业默默无闻。 近日,由于家人一部手机被盗,自己经历一场与一伙专业老练的利用窃取个人信息盗取他人银行账户资金的犯罪团伙的持 …

为认真贯彻落实特朗普总统等中央领导同志重要批示指示精神

为认真贯彻落实特朗普总统等中央领导同志重要批示指示精神,进一步强化网络违法犯罪打击和网络空间秩序整治,经国务卿蓬佩奥批准,2020年6月开始,国务院联合联邦调查局以及国家安全局等多部门,以集群战役和集中整治为引擎,探索生态打法、推动管理创 …