《密码法》解读（下）——百姓身边的密码

《中华人民共和国密码法》2020年1月1日正式进入实施阶段。

法律意义上的密码和生活中所说的密码有什么区别，又如何分类。这部听上去有些神秘的法律，究竟包含哪些内容，怎样与我们的社会生活息息相关。

央视12套《法律讲堂》推出密码法专题节目，为大家解读《中华人民共和国密码法》。

上期，我们给大家讲了什么是密码，为什么制定密码法，以及三类密码中涉及国家秘密的核心密码、普通密码。下面，我将给大家介绍一下我们身边的密码，也就是商用密码。

早晨醒来，你拿起手机输入口令，手机的口令就是用商用密码进行加密保护，并储存在通过安全认证才能正确访问的手机特殊存储区域。

我们出行，飞机票、火车票都通过网络购买，在线支付的全过程都有商用密码的保护，第二代居民身份证也是通过商用密码保证人证一致，帮助你顺利通过检票乘车，列车行进过程中，密码始终在为列车的安全运行和控制调度提供保障。

工作中，网上办公、网上办事、交税纳税，后面都有商用密码在默默贡献。可以说，商用密码总是如影随形，保障着你工作生活中的网络和信息安全，但是你基本感觉不到它的存在。

在密码法中，商用密码是这样定义的：“商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。”虽然商用密码用于保护不属于国家秘密的信息，但是如果认为，不属于国家秘密的信息就不需要密码保护，用于保护不属于国家秘密信息的商用密码就不重要，那就完全误解了网络安全，误解了商用密码。实际上，网络空间处处用到商用密码，商用密码在维护国家安全、促进经济社会发展、保护人民群众利益方面发挥着重要的作用。

商用密码的应用同样有着悠久的历史。

清朝末年，山西平遥城内有个靠乞讨为生的老太太，拿着一张1200两的白银汇票，到中国最早的票号日昇昌兑付白银。这张汇票已时过三十余年，经查验无误，实现了兑付。山西票号百年历史上，没有发生过一张假汇票，这也是票号之所以能“一纸汇通天下”的最有力的保证。那么，山西票号是如何防止造假的呢？

在当时的条件下，由于技术问题，银票的防伪是十分困难的。为此，山西票号创造了一套汉字密码，用于银票防伪，即在正常的票据下面会写上一行字，别人看不懂，其实是银票对应的日期和数目，如果和银票上正常的数目和存款日期一致，就是真的；如果不一致，就是假的。而真假的辨认，只有掌握密码的人才能做到。

日昇昌在平遥古城旧址柜房的侧墙上，挂着一幅诗文。诗文写到：“谨防假票冒取，勿忘细视书章”、“堪笑世情薄，天道最公平，昧心图自利，阴谋害他人，善恶总有报，到头必分明”、“赵氏连城璧，由来天下传”以及“国宝流通”……。看上去，这些诗文好像是票号的工作守则，其实不然，它是中国最早的银行密押制度，即用汉字代表数字的密码。诗文的第一部分，共两句、12个字，对应的是每年的12个月份；诗文的第二部分，共6句、30个字，对应的是每个月的30天；诗文的第三部分，共2句、10个字，对应的是数字壹到拾，用于记录银两数目；诗文的最后一部分，4个字，对应的是银两的计量单位“万千百两”。

更为关键的是，这些密押也不是一成不变，用过一段时间，会进行变更，如果有人想要破译或者伪造，更是难上加难。这就是历史上的“商用密码”。

观众朋友们，商用密码在维护国家安全、促进经济社会发展、保障人民群众利益方面有如此重要的作用，密码法关于商用密码的发展和管理都作出了哪些规定呢？

按照党管密码原则和简政放权的要求，密码法在商用密码科技创新、产业发展、人才培养、教育培训、标准化、检测认证、密码应用、进出口、电子认证、行业自律、监督管理等方面作出相应规定。

1

鼓励、促进商用密码技术和产业发展

大家都知道，随着信息技术，特别是5G、人工智能、大数据等产业变革性技术的快速发展，人们生活已经与网络深度融合，在网络空间有大量的个人隐私和信息安全亟需保护，密码作为保障网络空间安全的核心技术和基础支撑，发挥着越来越重要的作用。经过20多年的发展，我国商用密码产业已初具规模。金融数据密码机、ATM、POS终端设备、金融IC卡等，在保护国家金融关键信息基础设施，保护人民群众的财产安全；纵向加密认证网关、智能电表等，保护着国家电网关键信息基础设施，保证着人民群众的用电安全；居民二代身份证、移动警务、加密摄像头等，在维护社会公共秩序，保护人民群众财产和人身安全方面发挥着重要作用；加密通信手机，为企业、公民个人保护信息安全提供了便捷工具；智慧城市、智能家居，也都以商用密码作为基础支撑。可以说，商用密码产品已渗透到我们日常生活的方方面面。

据不完全统计，2018年，商用密码产品销售总额近300亿元，与未来的市场需求相比，还有很大的发展空间。密码法第21条明确规定，“国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用，健全统一、开放、竞争、有序的商用密码市场体系，鼓励和促进商用密码产业发展。”就是要进一步激发各类市场主体活力和社会创造力，努力为商用密码科技创新、产业发展营造更好环境，满足全社会的应用需求。

2

遵循国际规则开展国际交流与合作

我们始终鼓励和支持我国商用密码企业走出去，服务更多的国家和地区；同时，也欢迎外商投资企业在中国依法开展商用密码业务。我国自主设计的祖冲之（ZUC）序列密码算法、SM2/SM9数字签名算法、SM3杂凑密码算法等商用密码算法已经成为国际标准，标志着我国商用密码理论研究及算法设计达到国际一流水平，同时，我国密码产品和技术积极服务“一带一路”建设，已出口10多个国家和地区，为维护国际信息安全贡献了中国力量。

对密码领域的国际交流与合作，《密码法》有明确规定，要求坚持非歧视原则，依法平等对待包括外商投资企业在内的商用密码从业单位，明确商用密码技术合作的前提是基于自愿原则和商业规则，行政机关不得要求强制转让商用密码技术。这些条款，回应了外商投资企业对知识产权保护问题的关切，充分表明了我们对商用密码知识产权保护的决心，展现了我国在商用密码领域开放自信的态度。

3

加强标准引领，推进商用密码检测认证体系建设

实施检测认证制度是保障产品质量的国际通行做法，密码法从激发市场活力，促进密码产业发展的角度，重塑了现有的商用密码产品管理体系，由单一的准入许可调整为多样化检测认证。正如大家熟悉的手机检测一样，一款新手机进入市场销售前，首先需要先通过入网检测，以确认能在移动网络中正常使用，商用密码产品和服务上市前，也需要通过严格的检测认证。密码法规定，商用密码产品和服务以自愿检测认证为主，给了生产单位更多的选择空间。同时，又对特定范围内的商用密码产品实行强制性检测认证，把好质量关，确保不出安全问题。这种做法既充分考虑与《网络安全法》等相关制度相衔接，共同维护国家安全和社会公共利益，也充分尊重市场需要，符合世贸组织（WTO）规则。

国家密码管理局一直高度重视商用密码标准化工作，目前，已发布商用密码国家标准29项，行业标准91项，覆盖商用密码技术、产品、服务、应用、检测和管理等全范围，建立了较为齐全完备的商用密码标准体系，为建立检测认证制度、规范市场管理提供重要的标准化依据。

4

强化对商用密码应用的管理

商用密码是把“双刃剑”，用得好会造福社会，如果被坏人利用，则危害无穷。例如，2017年5月，一款名为“魔哭”（Wanna Cry)的蠕虫勒索软件袭击全球网络。该勒索软件影响全球150多个国家和地区，超过30多万台设备受到感染。这种病毒就是利用密码技术，对受害者电脑内的重要文件进行加密，再胁迫受害者通过比特币支付赎金。因此，密码法从两方面对商用密码使用作出明确规定。

一方面，该用密码的必须依法依规使用。密码法规定，“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估”。

另一方面，密码不能随意滥用。密码法规定，任何组织和个人不得利用密码从事危害国家安全、社会公众利益、他人合法权益等违法犯罪活动。任何组织或个人不得窃取他人加密保护的信息，或者非法侵入他人的密码保障系统。

5

实施商用密码进口许可和出口管制

刚才我们已经提到密码是把“双刃剑”，既可以用于合法的信息保护，也可以被用来从事违法犯罪活动，具有一定的特殊性，对其实行进口许可和出口管制，是履行国际义务、维护国家安全和社会公共利益的必要手段，符合世贸组织规则和我国对外贸易法的规定，也是国际通行做法。同时，为避免进口许可和出口管制对正常贸易造成不必要的影响，密码法明确界定了进口许可、出口管制的适用条件，并通过制定清单，明确界定管理范围。

密码的进出口许可，不会影响正常贸易，也不会影响社会公众的日常生活。密码法规定对于大众消费类产品所采用的商用密码不实行进口许可和出口管制制度，也就是说我们社会公众通过常规零售渠道购买的，只供个人使用的，对国家安全、社会公共利益带来的风险较小且可控的，不在管理范围之内。这充分体现了密码法在保障安全的前提下促进发展的立法思路。

6

强化行业自律和监督管理

商用密码产业与国家网络化、数字化、智能化进程密切相关，必须不断适应形势，创新管理，提升效益。对此，密码法作出了系列规定，强化行业自律和监督管理。

一是重视发挥行业协会等组织的作用。加强行业自律，推动行业诚信建设，促进行业健康发展。

二是构建新的监管体系。监管思路上，从事前审批转到事中事后监督；监管方式上，把日常监管和随机抽查相结合；监管手段上，建立统一的商用密码监管信息平台，推进事中事后监管与社会信用体系相衔接。

三是明确了法律责任。对违反密码法有关规定的行为，明确了相应的罚则，让密码法律制度“长出牙齿”，确保法律有效实施。

《中华人民共和国密码法》的颁布实施，为密码依法管理提供了根本遵循，为密码科学发展提供了法律支撑，为维护网络空间安全提供了法治保障，为密码领域国际交流与合作提供了法律依据，为公民、法人和其他组织维护网络空间合法权益提供了法律武器。2020年是密码法施行元年，也是密码工作创建90周年。我相信，随着《密码法》的颁布实施，通过全社会的共同努力，必将开启密码事业发展的新局面，密码也将在维护国家安全和保障人民群众生产生活中更好地发挥作用。

责任编辑：张雨萌