密碼法來了 全網“裸奔”時代即將結束

文丨■ 李 與

在信息化、網絡化、數字化高度發展的今天，密碼的應用已經滲透到社會生產生活各個方面，密碼法的出臺，讓全網裸奔和大數據濫用的時代即將結束，各種數據加密保護的密碼應用將得到普及而使得我國的互聯網更加安全可控。

十三屆全國人大常委會第十四次會議10月26日下午表決通過密碼法，將自2020年1月1日起施行。在信息化、網絡化、數字化高度發展的今天，密碼的應用已經滲透到社會生產生活各個方面，從涉及政權安全的保密通信、軍事指揮，到涉及國民經濟的金融交易、防偽稅控，再到涉及公民權益的電子支付、網上辦事等等，密碼都在背后發揮著基礎支撐作用，為維護國家網絡空間主權、安全、發展利益提供關鍵技術保障。

中國數字經濟規模全球最大，因此有著穩固的數字經濟基礎，互聯網或共享經濟立法也走在全球前列。依法治國加互聯網+，是中國治理能力和治理水平現代化的體現。密碼法的出臺，讓全網裸奔和大數據濫用的時代即將結束，各種數據加密保護的密碼應用將得到普及而使得我國的互聯網更加安全可控。

密碼關乎國家安全

“密碼法”就是保護我們平日里輸入的數字和字母么？實際上，生活中的這些“密碼”只是進入個人手機、電子郵箱或者個人銀行賬戶的口令、“通行證”，是一種簡單、初級的身份認證手段，是最簡易的密碼。

而密碼法中的密碼，是指采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務。它的主要功能有兩個：一個是加密保護，另一個是安全認證。前者是指將原來可讀的信息變成不能識別的符號序列，后者是指確認主體和信息的真實可靠性。

在密碼法規定中，密碼可以按照不同的標準進行分類。按照保護信息的種類，將密碼按照要保護信息的種類來分為核心密碼、普通密碼和商用密碼。

核心密碼、普通密碼屬于國家秘密，用于保護國家秘密信息。核心密碼保護信息的最高密級為絕密級，普通密碼保護信息的最高密級為機密級，兩種密碼都由密碼管理部門依法實行嚴格統一管理。在有線、無線通信中傳遞的國家秘密信息，以及存儲、處理國家秘密信息的信息系統，應當依照法律、行政法規和國家有關規定使用核心密碼、普通密碼進行加密保護、安全認證。

商用密碼用于保護不屬于國家秘密的信息，公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全。國家鼓勵商用密碼技術的研究開發和應用，健全商用密碼市場體系，鼓勵和促進商用密碼產業發展，鼓勵從業單位自愿接受商用密碼檢測認證。

三類密碼保護的對象不同，對其進行明確劃分，有利于確保密碼安全保密，有利于密碼管理部門根據不同信息等級和使用對象對密碼實行科學管理，充分發揮三類密碼在保護網絡與信息安全中的核心支撐作用。

亟需填補的法律空白

在密碼法出臺之前，我國密碼領域面向社會的立法只有《商用密碼管理條例》這一部行政法規，無論是在立法位階上，還是在法律效力上，均已不能適應新時代密碼事業發展的需要，亟需制定一部綜合性、基礎性法律，把黨對密碼工作的最新要求通過法定程序轉化為國家意志，把密碼工作各領域、各環節、各要素納入法治軌道。

“制定和實施密碼法，填補了我國密碼領域長期存在的法律空白，對于加快密碼法治建設，理順國家安全領域相關法律法規關系，完善國家安全法律制度體系具有重要意義。”國家密碼管理局相關負責人指出，制定和實施密碼法，就是要把現有核心密碼和普通密碼在維護國家安全方面的基本制度，把重要領域商用密碼的應用、基礎支撐能力的提升以及檢測認證、安全性評估、國家安全審查等制度，及時上升為法律規范，引導全社會合規、正確、有效使用密碼，規范網絡空間密碼保障工作，推動構建以密碼技術為核心、多種技術交叉融合的網絡空間新安全體制，加快推進關鍵信息基礎設施的密碼應用，努力做到黨和國家戰略推進到哪里，密碼就保障到哪里。

密碼的另一個最大的也是最重要的應用是“對信息進行加密保護”，這個最重要的應用在我國還處于起步階段，也沒有得到應有的重視。如網站https加密應用，據英國Netcraft的統計數據，我國在世界各國https加密應用部署量排名位于第22位(美國第一、德國第二、英國第三、荷蘭第四、法國第五)，我國只占全世界0.83%的份額，也就是說，在全球一萬個采用https加密的網站中，我國只占83個，而我國網站數量已經位居全球第一(約8000萬個)。由于沒有采用密碼應用加密，使得我國互聯網上的流量都是明文，各種重要的個人隱私信息、企業重要商業信息都在互聯網上明文傳輸，這才是導致我國的數據泄密事件頻發和各種攻擊不斷的最根本原因!攻擊者竊取到明文數據后就可以做大數據分析和畫像，就可以利用這些大數據來實施犯罪和網絡攻擊。

這些基于非法獲取到的大數據分析實施的攻擊很少發生在有可靠安全防護的服務器端/云端，也很少發生在有安全防護的用戶端(電腦和手機)，而絕大多數都是發生在各種信息從用戶端傳輸到服務器端的路上，在半路上截獲了各種信息，因為這些信息都是明文的，沒有采用密碼技術“對信息進行加密保護”。而這次出臺的《密碼法》將有望改變目前的局面，讓我國互聯網上流動的信息(數據)都是密文，給我國互聯網平添了一層天然的安全屏障。

密碼就像網絡空間的DNA，可以完整實現身份防假冒、信息防泄密、內容防篡改、行為抗抵賴等安全需求，依此構筑起網絡信息系統免疫體系，實現從被動防御向主動免疫轉變；

密碼就像信使，在網絡時代，主要依靠密碼算法和安全協議，解決人、機、物的身份標識和認證、信任傳遞、行為審計等問題，構建網絡信任體系，實現網絡價值傳遞；

密碼更像“撒手锏”，直接關系國家政治安全、經濟安全、國防安全和信息安全，是保護黨和國家根本利益的戰略性資源，是國之重器。

尤其是商用密碼，廣泛應用于國民經濟發展和社會生產生活的方方面面。在金融領域，中國人民銀行、國家密碼管理局建立商用密碼與銀行業務全面融合的技術體系和標準體系，有效遏制了銀行卡偽造、網上交易身份仿冒等違法犯罪活動；在稅收領域，增值稅防偽稅控系統采用商用密碼技術保護涉稅信息，有效遏制了通過篡改發票票面信息進行偷稅、漏稅等違法犯罪活動；在社會管理領域，公安部已累計發放使用商用密碼芯片的第二代居民身份證超過18億張，有效杜絕了偽造、變造身份證等違法犯罪行為；除此之外，商用密碼還可以用于公民個人敏感信息、隱私和企業商業秘密的保護。

可以說，密碼在維護國家安全、促進經濟社會發展、保護公民、法人和社會組織合法權益方面發揮著重要作用。

抓緊推進法律銜接

《中華人民共和國密碼法》作為密碼行業的基礎性法律，為企業、管理機構等的行為提供法律依據，并從多個方面提出了密碼行業發展規范。

網絡安全產業已經開始從To B和To C進入到To D發展階段，數據加密保護將是今后我國網絡安全的重點，只有用戶端(C)、服務器端(B)和數據保護(D)這個三個方面都做好了安全防護，都采用了密碼技術，才能真正保護和保障我國互聯網的安全可控和健康持續發展，這就是制定《密碼法》的重要意義之所在。

有專家認為，以密碼法頒布實施為契機，抓緊推進商用密碼管理條例等配套法規規章的制修訂工作，進一步提高密碼法律法規體系的系統性、權威性和有效性，提高密碼工作的科學化、規范化、法治化水平。這樣做有利于推動和促進我國經濟建設在全面推進法治國家的進程中得到健康發展。依憲制法，依法行政，依法行事，這是社會文明進步、時代發展的必然要求。推進商業密碼管理條例等配套法規規章的制修訂工作，就是讓我國的商業更加穩健前行。

再次，要抓好督查落實。要抓好密碼法學習的貫徹和實施工作，為我國的經濟建設、社會環境提供更好地服務。對于，嚴格遵守保密法的人和事，各級政府和部門，各企事業單位依照規定予以獎勵；對于違反《中華人民共和國保密法》之規定，構成犯罪的，依法追究刑事責任；給他人造成損害的，依法承擔民事責任。