《密码学法》于2020年6月65438+10月1日正式实施。会对我们的生活产生什么影响?会解决密码泄露的问题吗?
可以从国家密码管理局网站上阅读《中华人民共和国密码法》(以下简称《密码法》)。
几句话总结一下问题。2020年01实施的《密码法》主要规定了密码的定义、管理和使用。《密码法》对我们生活的影响主要隐藏在背后:日常生活中使用的密码服务有了法律依据。
至于“密码泄露”这一具体问题,《密码法》无法从技术上解决密码泄露问题,但可以从法律层面说明“窃取他人加密信息”属于违法行为,禁止从事密码违法犯罪活动。
(《法典》第12条)
任何组织和个人不得窃取他人的加密信息或者非法侵入他人的密码保护系统。
任何组织和个人不得利用密码从事危害国家安全、社会利益和他人合法权益的违法犯罪活动。这使得“密码泄露问题”的解决变得合法。
一张图摘要2065 438+09 19 10月26日,十三届全国人大常委会第十四次会议表决通过《密码学法》后,新华社《中国制定密码学法全面提升密码工作法制化水平》中的一张图,清晰地阐释了《密码学法》的核心功能和规定。
2019,19《焦点访谈》2月30日晚播出密码学专题节目——《守护安全,密码就在你身边》。这个程序准确而清晰地解释了密码学定律。
电脑端的朋友可以通过此链接观看视频:《焦点访谈》20191230安全密码就在你身边。手机上的朋友可以通过这个链接观看视频:《焦点访谈》密码学专题节目——《守护安全,密码就在你身边》。稍微详细解释一下:密码法通过后,微信微信官方账号等渠道发布了很多关于密码法的解读。在众多解读中,我个人认为TMT法律论坛201911004发表的《放生管理之道》一文较为清晰。当然,通过参加和聆听相应的学术论坛,也可以更详细地学习密码学规律,对其有更深入的了解。
以下内容主要结合安交通大学苏州信息安全法律研究中心主任马教授在第十届中国信息安全法律大会上关于“智能时代密码学的任务、原则和主要内容”的讲座“发布管理之道”。
如前所述,马教授指出,密码学定律主要解决了以下四个问题:
什么是密码?它是指使用特定转换方法对信息进行加密、保护和认证的技术、产品和服务。谁来保管密码:中国* * *制作方,国家密码管理部门。如何管理密码:各种管理系统。如何使用密码:不同的场景需要使用不同级别的密码。下面简要讨论这四个问题。
1.什么是密码?密码的定义。
(《法典法》第2条)
本法所称密码,是指采用特定转换方式对信息进行加密、保护和认证的技术、产品和服务。说到“密码”,大部分朋友可能会想到登录微信、QQ、邮箱等的“密码”。这些确实是日常生活中经常遇到的“密码”,但这些“密码”只是进入个人设备或软件的“密码”,是一种身份认证的手段。实际上,“密码学”是指能够通过加密和安全认证来保护信息的技术、产品和服务,它必须通过使用特定的转换方法来实现。但“密码”的认证和管理过程一般涉及哈希、加密等密码学技术,因此“密码”的认证、使用和管理等技术和服务属于密码学法律中的密码。
这里有个很有意思的问题:人脸识别、虹膜识别等生物特征信息是“密码”吗?目前的观点是,虽然生物特征信息可以实现安全认证,但是生物特征信息没有使用“特定的转换方法”,因此不属于“密码”。不过不用担心,虽然生物特征信息本身不是密码,但是使用和管理生物特征信息需要密码技术,所以生物特征信息和密码法之间还是有很强的关联性的。
注意,生物特征信息还需要所谓的编码等技术将信息转化为数据,这个转化过程不属于“特定转化方法”。人们对“什么是密码”的认识也在逐渐加深。商用密码的定义在10月7日生效的《商用密码管理条例》中给出,1999:
用于对不涉及国家秘密的信息进行加密服务或安全认证的商用密码、密码技术和产品。对比这两个定义后,我们会发现密码学法律中加入了“服务”的概念。
1.什么是密码?密码的分类。
(《法典法》第6条)
国家对密码进行分类管理。
密码分为核心密码、普通密码和商用密码。
(《法典》第7条)
核心密码和普通密码用于保护国家机密信息。核心密码保护的信息最高机密级为绝密,普通密码保护的信息最高机密级为机密。
核心密码和常用密码都是国家机密。密码管理部门应当依照本法、有关法律、行政法规和国家有关规定,对核心密码和通用密码实行严格的统一管理。
(《法典》第8条)
商业密码用于保护不属于国家机密的信息。
公民、法人和其他组织可以依法申请商用密码保护网络和信息安全。如果你了解国家秘密的密级的相应知识,你就会知道国家秘密分为绝密、秘密、秘密三个等级,标明等级后,还要标明密级的时间。比如某些年份的高考试卷会标上“绝密,开封前”,意思是在考试开始前,高考试卷就是绝密信息。
当然也有部分高考试卷标注为“绝密,启封前,解密时间:XX:XX,XX,XX”。这里有意思的内容是,如果一个高考作弊团伙受到攻击,该团伙会在解密时间前看到并泄露国家绝密信息,那么就会多一项罪名。...
《密码学法》规定,核心密码和普通密码用于保护国家秘密信息。核心密码保护的信息最高机密级为绝密,普通密码保护的信息最高机密级为机密。这就明确了什么样的国家机密应该用什么级别的密码来保护。同时,《密码法》规定,公民、法人和其他组织可以合法使用商用密码。这无疑为商用密码尤其是国家商用密码的推广和使用建立了法律基础。
2.谁来管理密码:中国* * *制作方、国家密码管理部门。
(《法典法》第4条)
坚持中国* * *产党对密码学的领导。中央密码工作领导机构统一领导全国密码工作,制定国家密码工作的重大方针政策,协调国家密码重大问题和重要工作,推进国家密码法治建设。
(《法典法》第5条)
国家密码管理部门负责管理全国密码工作。县级以上地方密码管理部门负责本行政区域内的密码管理工作。
涉及密码工作的国家机关、单位,在职责范围内负责本机关、单位或者系统的密码工作。《密码学法》第四条规定了密码工作的领导体制:中国* * *产党领导。《密码法》第五条规定了密码的管理制度。
信息安全领域有一个有趣的原理(这个原理我忘了是哪里提出来的,有见识的朋友可以帮忙补充一下):信息安全三分靠技术,七分靠管理。再好的技术,如果没有完善的管理体系,其作用也是有限的。
3.如何管理密码:各种管理系统。
《密码法》第二章:核心密码和常用密码(第十三条至第二十条)、《密码法》第三章:商用密码(第二十一条至第三十一条)明确规定了相应的密码管理制度。我对这方面的了解很有限,还是希望专业的专家来解读一下。
作为密码学的从业者,以下几点非常重要:
(《密码学法》第九条)国家鼓励和支持密码学的研究和应用,依法保护密码学领域的知识产权,促进密码学的进步和创新。
国家加强密码人员培训和队伍建设,按照国家有关规定,对在密码工作中做出突出贡献的组织和个人给予表彰和奖励。好像密码做到极致也能获得国家奖励。来吧,朋友们!
(《密码学法》第二十一条)国家鼓励商用密码的研究开发、学术交流、成果转化和推广应用,完善统一开放、竞争有序的商用密码市场体系,鼓励和促进商用密码产业发展。
各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口单位(以下简称商用密码从业单位)。国家鼓励外商投资过程中基于自愿原则和商业规则的商业密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。国家鼓励密码学的研发、学术交流和实际实现,密码学真正迎来了春天!
4.如何使用密码:不同的场景需要使用不同级别的密码。
(《法典》第14条)
有线和无线通信中传输的国家秘密信息以及存储、处理国家秘密信息的信息系统,应当按照法律、行政法规和国家有关规定,使用核心密码和普通密码进行加密保护和认证。国家机密需要核心密码和普通密码保护。
(《法典》第27条)
法律、行政法规和国家有关规定需要使用商用密码保护的关键信息基础设施的运营者,应当使用商用密码进行保护,并自行或者委托商用密码测试机构对商用密码应用进行安全评估。商用密码应用的安全评估应当与关键信息基础设施的安全检测评估和网络安全等级评估体系相衔接,避免重复评估和评价。
关键信息基础设施运营者购买涉及商用密码可能影响国家安全的网络产品和服务,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部会同国家密码管理部门等有关部门组织的国家安全审查。这里有一个很重要的疑点:究竟什么是“法律、行政法规和国家有关规定要求受商用密码保护的关键信息基础设施”,以及究竟什么是“关键信息基础设施的运营者采购涉及商用密码的网络产品和服务可能影响国家安全”,这两部分都需要进一步明确。如果觉得可能涉及到相应的情况,需要提前储备商业密码的技术和服务。
后续工作总的来说,密码法的颁布使密码的使用和管理变得合法,这绝对是继网络安全法颁布后的又一记重拳。但具体情况下如何使用法典法,可能需要相应的配套制度和监督执行手段。后续工作拭目以待。
以上。