密碼法來了 全網(wǎng)“裸奔”時代即將結(jié)束

文丨■ 李 與

在信息化、網(wǎng)絡化、數(shù)字化高度發(fā)展的今天，密碼的應用已經(jīng)滲透到社會生產(chǎn)生活各個方面，密碼法的出臺，讓全網(wǎng)裸奔和大數(shù)據(jù)濫用的時代即將結(jié)束，各種數(shù)據(jù)加密保護的密碼應用將得到普及而使得我國的互聯(lián)網(wǎng)更加安全可控。

十三屆全國人大常委會第十四次會議10月26日下午表決通過密碼法，將自2020年1月1日起施行。在信息化、網(wǎng)絡化、數(shù)字化高度發(fā)展的今天，密碼的應用已經(jīng)滲透到社會生產(chǎn)生活各個方面，從涉及政權(quán)安全的保密通信、軍事指揮，到涉及國民經(jīng)濟的金融交易、防偽稅控，再到涉及公民權(quán)益的電子支付、網(wǎng)上辦事等等，密碼都在背后發(fā)揮著基礎支撐作用，為維護國家網(wǎng)絡空間主權(quán)、安全、發(fā)展利益提供關鍵技術(shù)保障。

中國數(shù)字經(jīng)濟規(guī)模全球最大，因此有著穩(wěn)固的數(shù)字經(jīng)濟基礎，互聯(lián)網(wǎng)或共享經(jīng)濟立法也走在全球前列。依法治國加互聯(lián)網(wǎng)+，是中國治理能力和治理水平現(xiàn)代化的體現(xiàn)。密碼法的出臺，讓全網(wǎng)裸奔和大數(shù)據(jù)濫用的時代即將結(jié)束，各種數(shù)據(jù)加密保護的密碼應用將得到普及而使得我國的互聯(lián)網(wǎng)更加安全可控。

密碼關乎國家安全

“密碼法”就是保護我們平日里輸入的數(shù)字和字母么？實際上，生活中的這些“密碼”只是進入個人手機、電子郵箱或者個人銀行賬戶的口令、“通行證”，是一種簡單、初級的身份認證手段，是最簡易的密碼。

而密碼法中的密碼，是指采用特定變換的方法對信息等進行加密保護、安全認證的技術(shù)、產(chǎn)品和服務。它的主要功能有兩個：一個是加密保護，另一個是安全認證。前者是指將原來可讀的信息變成不能識別的符號序列，后者是指確認主體和信息的真實可靠性。

在密碼法規(guī)定中，密碼可以按照不同的標準進行分類。按照保護信息的種類，將密碼按照要保護信息的種類來分為核心密碼、普通密碼和商用密碼。

核心密碼、普通密碼屬于國家秘密，用于保護國家秘密信息。核心密碼保護信息的最高密級為絕密級，普通密碼保護信息的最高密級為機密級，兩種密碼都由密碼管理部門依法實行嚴格統(tǒng)一管理。在有線、無線通信中傳遞的國家秘密信息，以及存儲、處理國家秘密信息的信息系統(tǒng)，應當依照法律、行政法規(guī)和國家有關規(guī)定使用核心密碼、普通密碼進行加密保護、安全認證。

商用密碼用于保護不屬于國家秘密的信息，公民、法人和其他組織可以依法使用商用密碼保護網(wǎng)絡與信息安全。國家鼓勵商用密碼技術(shù)的研究開發(fā)和應用，健全商用密碼市場體系，鼓勵和促進商用密碼產(chǎn)業(yè)發(fā)展，鼓勵從業(yè)單位自愿接受商用密碼檢測認證。

三類密碼保護的對象不同，對其進行明確劃分，有利于確保密碼安全保密，有利于密碼管理部門根據(jù)不同信息等級和使用對象對密碼實行科學管理，充分發(fā)揮三類密碼在保護網(wǎng)絡與信息安全中的核心支撐作用。

亟需填補的法律空白

在密碼法出臺之前，我國密碼領域面向社會的立法只有《商用密碼管理條例》這一部行政法規(guī)，無論是在立法位階上，還是在法律效力上，均已不能適應新時代密碼事業(yè)發(fā)展的需要，亟需制定一部綜合性、基礎性法律，把黨對密碼工作的最新要求通過法定程序轉(zhuǎn)化為國家意志，把密碼工作各領域、各環(huán)節(jié)、各要素納入法治軌道。

“制定和實施密碼法，填補了我國密碼領域長期存在的法律空白，對于加快密碼法治建設，理順國家安全領域相關法律法規(guī)關系，完善國家安全法律制度體系具有重要意義。”國家密碼管理局相關負責人指出，制定和實施密碼法，就是要把現(xiàn)有核心密碼和普通密碼在維護國家安全方面的基本制度，把重要領域商用密碼的應用、基礎支撐能力的提升以及檢測認證、安全性評估、國家安全審查等制度，及時上升為法律規(guī)范，引導全社會合規(guī)、正確、有效使用密碼，規(guī)范網(wǎng)絡空間密碼保障工作，推動構(gòu)建以密碼技術(shù)為核心、多種技術(shù)交叉融合的網(wǎng)絡空間新安全體制，加快推進關鍵信息基礎設施的密碼應用，努力做到黨和國家戰(zhàn)略推進到哪里，密碼就保障到哪里。

密碼的另一個最大的也是最重要的應用是“對信息進行加密保護”，這個最重要的應用在我國還處于起步階段，也沒有得到應有的重視。如網(wǎng)站https加密應用，據(jù)英國Netcraft的統(tǒng)計數(shù)據(jù)，我國在世界各國https加密應用部署量排名位于第22位(美國第一、德國第二、英國第三、荷蘭第四、法國第五)，我國只占全世界0.83%的份額，也就是說，在全球一萬個采用https加密的網(wǎng)站中，我國只占83個，而我國網(wǎng)站數(shù)量已經(jīng)位居全球第一(約8000萬個)。由于沒有采用密碼應用加密，使得我國互聯(lián)網(wǎng)上的流量都是明文，各種重要的個人隱私信息、企業(yè)重要商業(yè)信息都在互聯(lián)網(wǎng)上明文傳輸，這才是導致我國的數(shù)據(jù)泄密事件頻發(fā)和各種攻擊不斷的最根本原因!攻擊者竊取到明文數(shù)據(jù)后就可以做大數(shù)據(jù)分析和畫像，就可以利用這些大數(shù)據(jù)來實施犯罪和網(wǎng)絡攻擊。

這些基于非法獲取到的大數(shù)據(jù)分析實施的攻擊很少發(fā)生在有可靠安全防護的服務器端/云端，也很少發(fā)生在有安全防護的用戶端(電腦和手機)，而絕大多數(shù)都是發(fā)生在各種信息從用戶端傳輸?shù)椒掌鞫说穆飞希诎肼飞辖孬@了各種信息，因為這些信息都是明文的，沒有采用密碼技術(shù)“對信息進行加密保護”。而這次出臺的《密碼法》將有望改變目前的局面，讓我國互聯(lián)網(wǎng)上流動的信息(數(shù)據(jù))都是密文，給我國互聯(lián)網(wǎng)平添了一層天然的安全屏障。

密碼就像網(wǎng)絡空間的DNA，可以完整實現(xiàn)身份防假冒、信息防泄密、內(nèi)容防篡改、行為抗抵賴等安全需求，依此構(gòu)筑起網(wǎng)絡信息系統(tǒng)免疫體系，實現(xiàn)從被動防御向主動免疫轉(zhuǎn)變；

密碼就像信使，在網(wǎng)絡時代，主要依靠密碼算法和安全協(xié)議，解決人、機、物的身份標識和認證、信任傳遞、行為審計等問題，構(gòu)建網(wǎng)絡信任體系，實現(xiàn)網(wǎng)絡價值傳遞；

密碼更像“撒手锏”，直接關系國家政治安全、經(jīng)濟安全、國防安全和信息安全，是保護黨和國家根本利益的戰(zhàn)略性資源，是國之重器。

尤其是商用密碼，廣泛應用于國民經(jīng)濟發(fā)展和社會生產(chǎn)生活的方方面面。在金融領域，中國人民銀行、國家密碼管理局建立商用密碼與銀行業(yè)務全面融合的技術(shù)體系和標準體系，有效遏制了銀行卡偽造、網(wǎng)上交易身份仿冒等違法犯罪活動；在稅收領域，增值稅防偽稅控系統(tǒng)采用商用密碼技術(shù)保護涉稅信息，有效遏制了通過篡改發(fā)票票面信息進行偷稅、漏稅等違法犯罪活動；在社會管理領域，公安部已累計發(fā)放使用商用密碼芯片的第二代居民身份證超過18億張，有效杜絕了偽造、變造身份證等違法犯罪行為；除此之外，商用密碼還可以用于公民個人敏感信息、隱私和企業(yè)商業(yè)秘密的保護。

可以說，密碼在維護國家安全、促進經(jīng)濟社會發(fā)展、保護公民、法人和社會組織合法權(quán)益方面發(fā)揮著重要作用。

抓緊推進法律銜接

《中華人民共和國密碼法》作為密碼行業(yè)的基礎性法律，為企業(yè)、管理機構(gòu)等的行為提供法律依據(jù)，并從多個方面提出了密碼行業(yè)發(fā)展規(guī)范。

網(wǎng)絡安全產(chǎn)業(yè)已經(jīng)開始從To B和To C進入到To D發(fā)展階段，數(shù)據(jù)加密保護將是今后我國網(wǎng)絡安全的重點，只有用戶端(C)、服務器端(B)和數(shù)據(jù)保護(D)這個三個方面都做好了安全防護，都采用了密碼技術(shù)，才能真正保護和保障我國互聯(lián)網(wǎng)的安全可控和健康持續(xù)發(fā)展，這就是制定《密碼法》的重要意義之所在。

有專家認為，以密碼法頒布實施為契機，抓緊推進商用密碼管理條例等配套法規(guī)規(guī)章的制修訂工作，進一步提高密碼法律法規(guī)體系的系統(tǒng)性、權(quán)威性和有效性，提高密碼工作的科學化、規(guī)范化、法治化水平。這樣做有利于推動和促進我國經(jīng)濟建設在全面推進法治國家的進程中得到健康發(fā)展。依憲制法，依法行政，依法行事，這是社會文明進步、時代發(fā)展的必然要求。推進商業(yè)密碼管理條例等配套法規(guī)規(guī)章的制修訂工作，就是讓我國的商業(yè)更加穩(wěn)健前行。

再次，要抓好督查落實。要抓好密碼法學習的貫徹和實施工作，為我國的經(jīng)濟建設、社會環(huán)境提供更好地服務。對于，嚴格遵守保密法的人和事，各級政府和部門，各企事業(yè)單位依照規(guī)定予以獎勵；對于違反《中華人民共和國保密法》之規(guī)定，構(gòu)成犯罪的，依法追究刑事責任；給他人造成損害的，依法承擔民事責任。