专家解读|王小云:贯彻落实商用密码管理条例 推动我国商用密码事业高质量发展
- 来源:
- 日期:2023-06-12 10:13:00
中国科学院院士、中国密码学会理事长 王小云
《商用密码管理条例》(以下简称《条例》)修订坚持以习近平新时代中国特色社会主义思想为指导,深入贯彻落实党中央决策部署,深化行政审批制度改革,全面细化落实密码法精神。《条例》修订对于推动我国商用密码事业高质量发展,有效赋能数字经济建设具有重要意义。
一、《条例》的修订是优化完善我国网络安全法律体系的重要举措
党的十八大以来,为贯彻落实总体国家安全观,有效维护国家网络与信息安全,我国相继制定修订了网络安全法、电子签名法、密码法、数据安全法、个人信息保护法等多部网络安全领域法律,构建了具有中国特色的网络安全法律体系。
密码法作为网络安全法律体系的重要组成部分,2020年1月1日正式实施,这是我国新时代密码事业发展进程中具有重要里程碑意义的大事。密码法坚持党管密码和依法管理相统一,把现有的核心密码和普通密码在维护国家安全方面的基本制度及时上升为法律规范,对商用密码管理制度进行了结构性重塑,并设专章对商用密码的管理、应用和创新发展作了规定,引导全社会合规、正确、有效使用密码。本次《条例》在密码法框架下进行了全面修订,修订后的《条例》不仅与密码法紧密衔接,而且充分吸纳了1999年《条例》实施以来的成功经验与实践成果,有效地将商用密码应用各领域、各环节、各要素纳入法治化管理轨道,符合新时代商用密码事业发展的根本需求。与此同时,《条例》的修订还将有力地推动我国网络安全领域其他法律法规的顺利实施,促进网络安全产业生态健康蓬勃发展。
二、《条例》的修订将进一步推动商用密码科技进步创新与标准体系建设
随着我国信息化、网络化、数字化建设的高速发展,商用密码的应用已经渗透到经济、社会生活的各个方面。《条例》在修订的过程中,顺应商用密码科技创新和时代发展的需要,明确了较为完备的商用密码科学技术创新促进机制,包括人才奖励激励、依法保护商用密码知识产权、促进商用密码科技成果转化和产业化应用等。这些激励机制必将充分调动各方面的积极性,为商用密码科技创新、产业发展和应用推广营造良好的发展环境。同时,《条例》坚持创新发展和确保安全相统一,明确国家密码管理部门组织对法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统所使用的密码算法、密码协议、密钥管理机制等商用密码技术进行审查鉴定,既保证商用密码技术创新的权威性、可信性和先进性,又有利于推动我国自主创新商用密码研究成果的应用转化。
在商用密码标准体系建设方面,《条例》明确推动密码标准制定和国际标准化活动。我国商用密码标准体系建设起步晚,但是发展势头强劲,取得了显著成果。在密码管理部门及专家学者们的共同努力下,已成功制定了43项商用密码国家标准和141项商用密码行业标准,积极推动了SM2、SM3、SM4、SM9、ZUC等国家密码算法标准成功纳入ISO/IEC国际密码算法标准体系。《条例》明确规定了国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用,鼓励企业、社会团体和教育、科技机构等参与商用密码国际标准化活动,还特别提到商用密码强制性国家标准等。以上内容既体现了改革开放的大原则、大方向,有助于吸纳国际商用密码领域科技创新成果与标准制定的成功经验,又体现了中国特色,向世界展示中国密码创新成果,贡献中国密码智慧与密码方案,也为保障国家安全的商用密码强制性国家标准预留了发展空间。
三、《条例》的修订将进一步完善国家商用密码检测认证体系
过去20年,商用密码产业不断发展壮大,逐步建立了商用密码产品检测与密码算法、协议的安全性评估体系,为我国商用密码检测认证体系建设奠定了重要的基础。但是随着商用密码应用的不断深入,区块链、人工智能、数字货币等重要商用密码应用领域面临创新驱动发展的压力,亟需建立更高水平的商用密码检测认证体系,开展商用密码产品检测及网络与信息系统商用密码应用安全性评估,满足密码创新和行业快速发展需求。
检测认证工作学术性强,既需要高水平专业人才队伍,又需要较为完备的检测认证设备、配套基础设施建设以及相应的技术标准体系建立等系统性工作。检测与评估范围既包括密码算法,也包括协议与信息系统;既涵盖了商用密码软件实现安全测评,又涵盖了硬件实现安全测评甚至包括应用大系统与应用大平台的全技术链条测评。其中密码芯片安全检测与评估认证难度大,亟需建设自主可控的密码芯片攻击路径库,以此为基础彻底解决密码芯片高等级检测认证标准制定等问题,建立国际一流的检测技术体系和产业生态。
检测认证体系的建设高度依赖于国家密码科技创新的能力与水平,需要做好顶层设计。《条例》的修订贯彻了密码法立法精神,明确建立国家统一推行的商用密码产品、服务、管理体系实行自愿性与强制性相结合的检测认证制度,并对商用密码检测机构和认证机构的条件、程序等提出了明确要求,强化了检测认证活动监督管理。新《条例》的出台将进一步发挥制度优势,提升商用密码检测认证能力,夯实商用密码检测认证体系建设,为商用密码产业健康有序发展保驾护航。
四、《条例》的修订将进一步促进商用密码在信息领域新技术、新业态、新模式中的应用
随着信息领域新技术、新业态、新模式的不断发展,商用密码技术研究边界与内涵不断扩展,商用密码覆盖的数据要素市场越来越庞大,特别是人工智能、物联网、区块链、数字货币、大数据及云计算等众多领域的发展,为密码科技创新与产业化发展提供了巨大的发展机遇。
《条例》修订过程中,把实践中成熟的经验上升为《条例》规定,促进并规范了商用密码应用。一方面鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全,支持网络产品、服务使用商用密码提升安全性,强调建立商用密码应用促进协调机制;另一方面对涉及国家安全、国计民生、社会公共利益的商用密码产品、服务以及关键信息基础设施商用密码应用明确了管控措施,如三十八条至四十条,明确了关键信息基础设施的商用密码使用要求,对可能影响国家安全的,需要通过相关部门组织的国家安全审查。这些规定的实施,必然要求关键信息基础设施建设之初就谋划部署商用密码保障系统,切实做到重要领域、重大工程、重要应用的商用保障系统同步规划、同步建设、同步运行。
考虑到商用密码在众多领域应用的共性技术问题,《条例》还明确了商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接,避免重复评估、测评,为国家节约资源、为企业减轻负担。
五、《条例》的修订将进一步推动我国密码学术繁荣和社会组织发展
《条例》的修订首次纳入了商用密码领域社会组织的条款,明确了商用密码领域的社会组织在国家密码管理部门指导下应当履行的职责任务和使命担当——开展学术交流、政策研究和公共服务,加强学术和行业自律,推动诚信建设,促进行业健康发展。
近年来,我国密码领域的社会组织蓬勃发展,中国密码学会和地方密码协会在政治引领、学术交流、人才培养、科学普及、承接政府任务、服务密码科技工作者等方面做了大量工作,有力地促进了我国密码事业的发展。中国密码学会及地方行业协会要珍惜难得的历史发展机遇,以《条例》修订出台为契机,充分把握学会、协会等社会组织发展规律,发挥科技社团开放型、枢纽型、平台型特色,促进商用密码产学研用测深度融合,助力商用密码科技创新发展,为构建统一、开放、竞争、有序的商用密码市场体系贡献力量。
中国密码学会作为我国密码领域唯一一家全国性社会组织,团结和凝聚了我国密码领域最活跃、最具创造力的科技和智力资源。学会要以促进密码学科发展为己任,以建设中国特色一流学会为目标,在政治引领力、学术影响力、公共服务力、国际竞争力上下功夫,加快构建有中国特色的密码科技社团发展布局,激励广大密码科技工作者心怀“国之大者”,为密码高水平科技自立自强凝聚磅礴力量。
《条例》还对电子认证服务机构资质认定、要求、商用密码进出口以及商用密码监督管理、法律责任等内容做了明确规定。这些规定,一以贯之地体现了密码法坚持创新发展与确保安全相统一、坚持放宽准入与规范监管相结合、坚持处理好与相关法律法规的关系的立法思路,为建立现代化商用密码管理体系提供了强有力的法律保障和完备的工作体制机制。
法律法规的生命力在于实施,法律法规的权威性也在于实施。《条例》为推动商用密码发展、加强商用密码管理提供了有力的法律保障,需要认真学习与宣贯。特别是结合密码法、网络安全法等系列相关法律,加强商用密码知识宣传教育和社会化培训,不断增强公民、法人和其他组织的网络和信息安全保护意识,提升全民数字素养,在全社会形成重视网络安全、遵守网络安全法律法规的良好氛围,推动我国商用密码事业高质量发展。