可以從國家密碼管理局網站上閱讀《中華人民共和國密碼法》(以下簡稱《密碼法》)。
幾句話總結壹下問題。2020年01實施的《密碼法》主要規定了密碼的定義、管理和使用。《密碼法》對我們生活的影響主要隱藏在背後:日常生活中使用的密碼服務有了法律依據。
至於“密碼泄露”這壹具體問題,《密碼法》無法從技術上解決密碼泄露問題,但可以從法律層面說明“竊取他人加密信息”屬於違法行為,禁止從事密碼違法犯罪活動。
(《法典》第12條)
任何組織和個人不得竊取他人的加密信息或者非法侵入他人的密碼保護系統。
任何組織和個人不得利用密碼從事危害國家安全、社會利益和他人合法權益的違法犯罪活動。這使得“密碼泄露問題”的解決變得合法。
壹張圖摘要2065 438+09 19 10月26日,十三屆全國人大常委會第十四次會議表決通過《密碼學法》後,新華社《中國制定密碼學法全面提升密碼工作法制化水平》中的壹張圖,清晰地闡釋了《密碼學法》的核心功能和規定。
2019,19《焦點訪談》2月30日晚播出密碼學專題節目——《守護安全,密碼就在妳身邊》。這個程序準確而清晰地解釋了密碼學定律。
電腦端的朋友可以通過此鏈接觀看視頻:《焦點訪談》20191230安全密碼就在妳身邊。手機上的朋友可以通過這個鏈接觀看視頻:《焦點訪談》密碼學專題節目——《守護安全,密碼就在妳身邊》。稍微詳細解釋壹下:密碼法通過後,微信微信官方賬號等渠道發布了很多關於密碼法的解讀。在眾多解讀中,我個人認為TMT法律論壇201911004發表的《放生管理之道》壹文較為清晰。當然,通過參加和聆聽相應的學術論壇,也可以更詳細地學習密碼學規律,對其有更深入的了解。
以下內容主要結合安交通大學蘇州信息安全法律研究中心主任馬教授在第十屆中國信息安全法律大會上關於“智能時代密碼學的任務、原則和主要內容”的講座“發布管理之道”。
如前所述,馬教授指出,密碼學定律主要解決了以下四個問題:
什麽是密碼?它是指使用特定轉換方法對信息進行加密、保護和認證的技術、產品和服務。誰來保管密碼:中國* * *制作方,國家密碼管理部門。如何管理密碼:各種管理系統。如何使用密碼:不同的場景需要使用不同級別的密碼。下面簡要討論這四個問題。
1.什麽是密碼?密碼的定義。
(《法典法》第2條)
本法所稱密碼,是指采用特定轉換方式對信息進行加密、保護和認證的技術、產品和服務。說到“密碼”,大部分朋友可能會想到登錄微信、QQ、郵箱等的“密碼”。這些確實是日常生活中經常遇到的“密碼”,但這些“密碼”只是進入個人設備或軟件的“密碼”,是壹種身份認證的手段。實際上,“密碼學”是指能夠通過加密和安全認證來保護信息的技術、產品和服務,它必須通過使用特定的轉換方法來實現。但“密碼”的認證和管理過程壹般涉及哈希、加密等密碼學技術,因此“密碼”的認證、使用和管理等技術和服務屬於密碼學法律中的密碼。
這裏有個很有意思的問題:人臉識別、虹膜識別等生物特征信息是“密碼”嗎?目前的觀點是,雖然生物特征信息可以實現安全認證,但是生物特征信息沒有使用“特定的轉換方法”,因此不屬於“密碼”。不過不用擔心,雖然生物特征信息本身不是密碼,但是使用和管理生物特征信息需要密碼技術,所以生物特征信息和密碼法之間還是有很強的關聯性的。
註意,生物特征信息還需要所謂的編碼等技術將信息轉化為數據,這個轉化過程不屬於“特定轉化方法”。人們對“什麽是密碼”的認識也在逐漸加深。商用密碼的定義在10月7日生效的《商用密碼管理條例》中給出,1999:
用於對不涉及國家秘密的信息進行加密服務或安全認證的商用密碼、密碼技術和產品。對比這兩個定義後,我們會發現密碼學法律中加入了“服務”的概念。
1.什麽是密碼?密碼的分類。
(《法典法》第6條)
國家對密碼進行分類管理。
密碼分為核心密碼、普通密碼和商用密碼。
(《法典》第7條)
核心密碼和普通密碼用於保護國家機密信息。核心密碼保護的信息最高機密級為絕密,普通密碼保護的信息最高機密級為機密。
核心密碼和常用密碼都是國家機密。密碼管理部門應當依照本法、有關法律、行政法規和國家有關規定,對核心密碼和通用密碼實行嚴格的統壹管理。
(《法典》第8條)
商業密碼用於保護不屬於國家機密的信息。
公民、法人和其他組織可以依法申請商用密碼保護網絡和信息安全。如果妳了解國家秘密的密級的相應知識,妳就會知道國家秘密分為絕密、秘密、秘密三個等級,標明等級後,還要標明密級的時間。比如某些年份的高考試卷會標上“絕密,開封前”,意思是在考試開始前,高考試卷就是絕密信息。
當然也有部分高考試卷標註為“絕密,啟封前,解密時間:XX:XX,XX,XX”。這裏有意思的內容是,如果壹個高考作弊團夥受到攻擊,該團夥會在解密時間前看到並泄露國家絕密信息,那麽就會多壹項罪名。...
《密碼學法》規定,核心密碼和普通密碼用於保護國家秘密信息。核心密碼保護的信息最高機密級為絕密,普通密碼保護的信息最高機密級為機密。這就明確了什麽樣的國家機密應該用什麽級別的密碼來保護。同時,《密碼法》規定,公民、法人和其他組織可以合法使用商用密碼。這無疑為商用密碼尤其是國家商用密碼的推廣和使用建立了法律基礎。
2.誰來管理密碼:中國* * *制作方、國家密碼管理部門。
(《法典法》第4條)
堅持中國* * *產黨對密碼學的領導。中央密碼工作領導機構統壹領導全國密碼工作,制定國家密碼工作的重大方針政策,協調國家密碼重大問題和重要工作,推進國家密碼法治建設。
(《法典法》第5條)
國家密碼管理部門負責管理全國密碼工作。縣級以上地方密碼管理部門負責本行政區域內的密碼管理工作。
涉及密碼工作的國家機關、單位,在職責範圍內負責本機關、單位或者系統的密碼工作。《密碼學法》第四條規定了密碼工作的領導體制:中國* * *產黨領導。《密碼法》第五條規定了密碼的管理制度。
信息安全領域有壹個有趣的原理(這個原理我忘了是哪裏提出來的,有見識的朋友可以幫忙補充壹下):信息安全三分靠技術,七分靠管理。再好的技術,如果沒有完善的管理體系,其作用也是有限的。
3.如何管理密碼:各種管理系統。
《密碼法》第二章:核心密碼和常用密碼(第十三條至第二十條)、《密碼法》第三章:商用密碼(第二十壹條至第三十壹條)明確規定了相應的密碼管理制度。我對這方面的了解很有限,還是希望專業的專家來解讀壹下。
作為密碼學的從業者,以下幾點非常重要:
(《密碼學法》第九條)國家鼓勵和支持密碼學的研究和應用,依法保護密碼學領域的知識產權,促進密碼學的進步和創新。
國家加強密碼人員培訓和隊伍建設,按照國家有關規定,對在密碼工作中做出突出貢獻的組織和個人給予表彰和獎勵。好像密碼做到極致也能獲得國家獎勵。來吧,朋友們!
(《密碼學法》第二十壹條)國家鼓勵商用密碼的研究開發、學術交流、成果轉化和推廣應用,完善統壹開放、競爭有序的商用密碼市場體系,鼓勵和促進商用密碼產業發展。
各級人民政府及其有關部門應當遵循非歧視原則,依法平等對待包括外商投資企業在內的商用密碼科研、生產、銷售、服務、進出口單位(以下簡稱商用密碼從業單位)。國家鼓勵外商投資過程中基於自願原則和商業規則的商業密碼技術合作。行政機關及其工作人員不得利用行政手段強制轉讓商用密碼技術。國家鼓勵密碼學的研發、學術交流和實際實現,密碼學真正迎來了春天!
4.如何使用密碼:不同的場景需要使用不同級別的密碼。
(《法典》第14條)
有線和無線通信中傳輸的國家秘密信息以及存儲、處理國家秘密信息的信息系統,應當按照法律、行政法規和國家有關規定,使用核心密碼和普通密碼進行加密保護和認證。國家機密需要核心密碼和普通密碼保護。
(《法典》第27條)
法律、行政法規和國家有關規定需要使用商用密碼保護的關鍵信息基礎設施的運營者,應當使用商用密碼進行保護,並自行或者委托商用密碼測試機構對商用密碼應用進行安全評估。商用密碼應用的安全評估應當與關鍵信息基礎設施的安全檢測評估和網絡安全等級評估體系相銜接,避免重復評估和評價。
關鍵信息基礎設施運營者購買涉及商用密碼可能影響國家安全的網絡產品和服務,應當按照《中華人民共和國網絡安全法》的規定,通過國家網信部會同國家密碼管理部門等有關部門組織的國家安全審查。這裏有壹個很重要的疑點:究竟什麽是“法律、行政法規和國家有關規定要求受商用密碼保護的關鍵信息基礎設施”,以及究竟什麽是“關鍵信息基礎設施的運營者采購涉及商用密碼的網絡產品和服務可能影響國家安全”,這兩部分都需要進壹步明確。如果覺得可能涉及到相應的情況,需要提前儲備商業密碼的技術和服務。
後續工作總的來說,密碼法的頒布使密碼的使用和管理變得合法,這絕對是繼網絡安全法頒布後的又壹記重拳。但具體情況下如何使用法典法,可能需要相應的配套制度和監督執行手段。後續工作拭目以待。
以上。