信息安全有保障！密码2020年1月1日起施行！

【前言】

10月26日下午，十三届全国人大常委会第十四次会议表决通过了《中华人民共和国密码法》。新法旨在规范密码应用和管理，促进密码事业发展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，共计五章四十四条，将于2020年1月1日起施行。

【内容简介】

第一章总则部分

规定了本法的立法目的、密码工作的基本原则、领导和管理体制，以及密码发展促进和保障措施。

第二章 核心密码 普通密码部分

规定了核心密码、普通密码使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施。

第三章 商用密码部分

规定了商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。

第四章法律责任部分

规定了违反本法相关规定应当承担的相应的法律后果。第五章附则部分，规定了国家密码管理部门的规章制定权，解放军和武警部队密码立法事宜以及本法的施行日期。

密码法规定

国家对密码实行分类管理。密码分为核心密码、普通密码和商用密码。核心密码、普通密码用于保护国家秘密信息，属于国家秘密。商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。

国家加强核心密码、普通密码的科学规划、管理和使用，加强制度建设，完善管理措施，增强密码安全保障能力。国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用，健全统一、开放、竞争、有序的商用密码市场体系，鼓励和促进商用密码产业发展。此外，为突显人才培养对于密码事业的重要性，密码法规定国家加强密码人才培养和队伍建设，对在密码工作中作出突出贡献的组织和个人，按照国家有关规定给予表彰和奖励。

【密码法要点解读】

1、明确了密码的定义

法案所规定的密码，是指使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。

2、密码分类管理

国家对密码实行分类管理。密码分为核心密码、普通密码和商用密码。核心密码、普通密码用于保护国家秘密信息，属于国家秘密。商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。

核心密码、普通密码：规定了核心密码、普通密码使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施。

商用密码：规定了商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用，健全统一、开放、竞争、有序的商用密码市场体系，鼓励和促进商用密码产业发展。

3、与其他法规的衔接

《网络安全法》规定，采取数据分类、重要数据备份和加密等措施维护网络运行安全。等级保护2.0规定，涉及网络及传输的国家秘密信息，应依法采用密码保护；第三级以上网络应当采用密码保护，并使用国家密码管理部门认可的密码技术、产品和服务。此外，国家密码管理局于2018年2月8日发布《信息系统密码应用基本要求》，明确提出，等保2级及以上信息系统要求应采用符合《GM/T0028-2014密码模块安全要求》中相应等级密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理等。

4、法律责任与处罚办法

密码法作为密码领域的基本法律，对密码的销售、使用、管理、保密安全、检测认证、安全审查、进出口、电子政务电子认证等方面，均制定了详细的法律责任。

5、对商用密码产品实行强制性检测认证制度？
商用密码产品其质量与安全性直接关系国家安全和社会公共利益，该制度与网络安全法规定的网络关键设备和网络安全专用产品强制性检测认证制度是衔接一致的。此外，强制性检测认证实施范围有限。强制性认证制度仅适用于使用网络关键设备和网络安全专用产品的商用密码服务。商用密码服务主要包含密码保障系统集成、运营、监理等，是一种专业技术很强的特殊服务。

【密码法对企业的影响】

密码法的发布将会对企事业单位带来怎样的影响呢，我们梳理了以下要点：

哪些涉及密码的活动将受到法律的约束？

密码的科研、生产、经营、进出口、检测、认证、使用和监督管理等活动，适用本法。

密码法适用于密码技术的生产方、使用方以及监督主管方。

密码的分类与管理

密码法将密码分类为核心密码、普通密码与商用密码，并明确要求对这三类密码实行分类管理。

其中“核心密码”与“普通密码”被用来保护国家秘密信息，涉密单位应重点关注对于这两类密码的管理。对这两类密码，《密码法》要求实行密码“保密责任制”和“安全风险评估”机制。

而商用密码被用于保护不属于国家秘密的信息，公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。一般来说非涉密单位接触到的密码应用，都属于商用密码，应遵循国家密码局商用密码管理有关条例规定。

密码安全性评估成为必须

本次《密码法》发布对于非涉密的企事业单位来说，最大的影响就是必须要主动进行“密码安全性评估”。根据《密码法》要求，商用密码产品及服务使用方应按照国家密码管理局有关规定，对商用密码产品、密码服务、密码技术进行安全性以及合规性认证。并对关键信息基础设施，应采用商用密码进行保护，并进行密码安全性评估，同时与关键信息基础设施安全检测评估、网络安全等级测评制度密码相关要求相衔接。

通过密码安全性评估需要关注哪些？

当前，我国密码安全性评估主要依据是《GM∕T 0054-2018 信息系统密码应用基本要求》，其对信息系统的规划、建设、运行三个阶段的密码应用情况安全性评估进行了详细的规定：

在密码算法方面，信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。如使用国家批准的商用密码算法SM2、SM3、SM4等，

在密码技术方面，密码技术中涉及的标准密码协议应符合国内相关密码标准，如果是自定义的密码协议，设计要安全合理，同时遵循相关密码标准。如针对SSL相关应用，设计标准应遵循《GM/T 0024-2014 SSL VPN 技术规范》。

在密码产品方面，信息系统中使用的密码产品与密码模块应通过国家密码管理部门核准。如信息系统中使用的密码模块应具备商密型号证书。

在密码服务方面，信息系统中使用的密码服务应通过国家密码管理部门的许可。

【结语】

坚持有法可依、有法必依的方针政策，在《密码法》的指导下，全面提高全民密码安全意识，助力密码产业发展！