本报快讯（记者 王姝）十三届全国人大常委会第十一次会议首次审议的密码法草案规定：密码分为核心密码、普通密码和商用密码，实行分类管理；核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级；商用密码用于保护不属于国家秘密的信息；公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。

28日上午分组审议草案时，部分委员谈到核心密码、普通密码和商用密码的转换问题。

委员熊群力提出，密码不管是核心密码、普通密码还是商用密码，都有一个特点，就是时间、空间上会转换。“它是一种技术产品，现在是核心密码，过一段时间随着技术的进步，可能已经不能满足核心密码的要求，就会降密了。普通密码是这样，商用密码也是这样，这个事情要研究一下，现在是核密，过一段时间可能只能用于商密了，谁来确定它？什么条件下确定它？”

熊群力解释说，上述转换是时间上的转换，还有空间上的转换，“比如商用密码，本来是商密产品，但是一放到普通密码或者核密空间时，就应该按照最高密码等级管理。比如某一台服务器设置软件的开机密码或者修改密码，本来是商密的东西，但是用到核密的空间，或者普密的空间以后，就不能再按照商密来管理，而是按照普密甚至核密来管理。因为它已成为一个体系的一部分，原来商密等级的破坏就会涉及到核密或者普密，所以它的密码管理我认为应该按体系的密码等级来管理。这个情况在草案里没有，我觉得应该考虑。核密、普密、商密在时间、空间上可能转换，既可能往高等级转换，也可能往低等级转化，建议作一些补充”。

全国人大社会建设委员会副主任委员任贤良也提出，密码法应把握和处理好核心密码、普通密码和商用密码的关系和转化，“核心密码和普通密码是涉及国家秘密的，商业密码涉及公众利益，核心密码的最高级就是绝密，普通密码是机密。我们的绝密、机密涉及到国家秘密，有一些国家秘密随着时间的推移和形势的发展会解密，不可能老放在绝密和秘密。什么时候解密，也要及时向社会公布，便于大家分享共享。比如区块链技术和量子加密技术，怎样通过这些新技术来加密，适应信息社会的发展需要，便于大家既加了密又有利于了解和使用，这里还有很多需要我们研究的内容”。

任贤良还谈到，密码法还应准确把握和处理好国家秘密的保护与商用秘密和个人信息保护的关系。“现在随着信息社会的发展，特别是互联网的发展，商业秘密越来越多，特别是一些互联网公司，在一些特殊的情况下不光是政府使用，一些恐怖分子、反动组织和个人也在使用这些东西，但被互联网公司进行商业加密了，在国家安全和商业秘密发生冲突的情况下，怎样处理好这种关系？法律上怎样去界定？怎样处理好国家安全和商业秘密以及个人信息保护的关系，是密码法制定中需要很好考虑和把握的。不然的话，两种情况都可能出现，一个是以保护商业秘密、保护个人信息为由危害到国家安全；另一方面，个别部门以国家安全为由对互联网公司和个人信息保护造成侵害。这方面也涉及到一些应当征求网信部门或者密码部门的鉴定和认证的情况，还要考虑得更具体和细致一些”。

列席会议的全国人大代表吴春利谈到草案关于密码机构发现问题怎么处置时，列举了历史上3个事件，“第一个事件，红军四渡赤水里毛主席的神来之笔，后来总参三部在解放军报进行了解密。实际上是我们破解了国民党军的密码，围堵部队的配置发完电报之后我们都知道了四渡赤水必须这么走，是不得已而为之。这是一个密码事件。第二个事件，山本五十六被美军飞机伏击战死，也是密码被破译。日军的密码在珍珠港和中途岛都被破译了，山本的死和密码破译是直接相关的。第三个事件，二战时期，英军已经破译了德军的密码，德军在空袭考文垂时无差别轰炸的时候，丘吉尔没有通知考文垂，这个城市在轰炸中造成巨大损失，这是保护破译密码不被敌方察觉”。

“这3个事件说明了什么问题？密码要进行定期的评估”，吴春利说，“山本五十六被击落后，由联合舰队司令部让密码部门对密码进行评估，有没有可能破译。当时日军密码部门作出的结论是‘绝无可能’，实际上是已经破译了。国民党军围堵红军时没有评估，考文垂的巨大损失防止了德军的评估。这三个事件说明一点，由密码机构对发现重大问题进行评估，历史上这个事件很少，应该由上一级的管理单位来评估。密码出问题不直接在密码上表现出来，而是表现在一些重大事件上。评估的主体应该换一下。再有，应该改成定期评估，如果没有重大事件，是不是每五年评估一下，确定密码需不需要更换”。（记者 王姝 见习编辑 丁天 校对 李项玲）