李兆宗关于《中华人民共和国密码法(草案)》的说明
来源:中国电子政务网 更新时间:2019-10-28


关于《中华人民共和国密码法(草案)》的说明

——2019年6月25日在第十三届全国人民代表大会常务委员会第十一次会议上

国家密码管理局局长 李兆宗


委员长、各位副委员长、秘书长、各位委员:

我受国务院委托,现对《中华人民共和国密码法(草案)》作说明。

一、立法的必要性

密码工作是党和国家的一项特殊重要工作,直接关系国家安全,密码在我国革命、建设、改革各个历史时期,都发挥了不可替代的重要作用。进入新时代,密码工作面临着许多新的机遇和挑战,担负着更加繁重的保障和管理任务,制定一部密码领域综合性、基础性法律,十分必要。一是核心密码和普通密码维护国家安全方面的基本制度、密码管理部门和密码工作机构及其工作人员开展核心密码和普通密码工作的保障措施等,需要通过国家立法予以明确,进一步提升法治化保障水平。二是近年来密码在维护国家安全、促进经济社会发展、保护人民群众利益方面发挥越来越重要的作用,国家对重要领域商用密码的应用、基础支撑能力的提升以及安全性评估、审查制度等不断提出明确要求,需要及时上升为法律规范。三是传统对商用密码实行全环节许可管理的手段已不适应职能转变和“放管服”改革要求,亟需在立法层面重塑现行商用密码管理制度。全国人大常委会和国务院将制定密码法列入了立法工作计划。

2017年4月至5月,国家密码管理局将《中华人民共和国密码法(草案征求意见稿)》向社会公开征求了意见,并于2017年6月向国务院报送了《中华人民共和国密码法(草案送审稿)》(以下简称送审稿)。收到此件后,司法部广泛征求了各地各部门意见,会同国家密码管理局对送审稿作了研究修改,并反复与中央网信办、工业和信息化部、商务部等单位沟通协调,形成了目前的《中华人民共和国密码法(草案)》(以下简称草案)。草案已于2019年6月10日经国务院常务会议讨论通过。

二、立法的总体思路

一是明确对核心密码、普通密码与商用密码实行分类管理的原则。草案在核心密码、普通密码方面,深入贯彻总体国家安全观,将现行有效的基本制度、特殊管理政策及保障措施法治化;在商用密码方面,充分体现职能转变和“放管服”改革要求,明确公民、法人和其他组织均可依法使用。

二是注重把握职能转变和“放管服”需要与保障国家安全的平衡。草案在明确鼓励商用密码产业发展、突出标准引领作用的基础上,对涉及国家安全、国计民生、社会公共利益,列入网络关键设备和网络安全专用产品目录的产品,以及关键信息基础设施的运营者和国家机关采购、使用的部分,规定了适度的管制措施。

三是注意处理好草案与网络安全法、保守国家秘密法等有关法律的关系。密码是保障网络安全的核心技术和基础支撑,草案在商用密码管理和相应法律责任设定方面与网络安全法的有关制度,如强制检测认证、安全性评估、国家安全审查等作了衔接;同时,鉴于核心密码、普通密码属于国家秘密,草案在核心密码、普通密码的管理方面与保守国家秘密法作了衔接。

三、草案的主要内容

草案共五章四十四条,主要内容如下:

(一)关于密码工作的领导和管理体制

草案明确:坚持中国共产党对密码工作的领导;中央密码工作领导机构对全国密码工作实行统一领导,制定国家密码重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设(第四条)。国家密码管理部门负责管理全国的密码工作;县级以上地方各级密码管理部门负责管理本行政区域的密码工作;国家机关和涉及密码的单位在其职责范围内负责本机关、本单位或者本系统的密码工作(第五条)。

(二)关于密码的分类管理原则

草案明确规定密码分为核心密码、普通密码和商用密码,实行分类管理(第六条)。提出了密码分类保护的原则要求:核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级;核心密码、普通密码属于国家秘密,由密码管理部门依法实行严格统一管理(第七条)。商用密码用于保护不属于国家秘密的信息;公民、法人和其他组织均可依法使用商用密码保护网络与信息安全(第八条)。

(三)关于密码发展促进和保障措施

草案总则对核心密码、普通密码和商用密码在发展促进和保障措施方面的共性内容作了规定:一是规定国家鼓励和支持密码科学技术研究、交流,依法保护密码知识产权,促进密码科学技术进步和创新,建立密码工作表彰奖励制度(第九条);二是规定国家加强密码宣传教育(第十条);三是规定县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级预算(第十一条);四是规定任何组织或者个人不得窃取或者非法侵入他人的加密信息或者密码保障系统,不得利用密码从事违法犯罪活动(第十二条)。

(四)关于核心密码、普通密码

为了确保核心密码、普通密码安全,增强密码通信服务和网络空间密码保障能力,草案第二章规定了核心密码、普通密码的主要管理制度:一是明确传递、存储、处理国家秘密信息时的核心密码、普通密码使用要求(第十四条);二是规定密码工作机构应当依法建立健全安全管理制度,采取严格的保密措施(第十五条);三是规定密码管理部门依法对核心密码、普通密码工作进行指导、监督和检查,会同有关部门建立核心密码、普通密码安全协同联动机制,明确了相关案事件处置程序(第十六条、第十七条);四是规定国家加强密码工作机构和核心密码、普通密码人才队伍建设(第十八条);五是明确了核心密码、普通密码有关物品和人员享有免检等便利(第十九条);六是规定了密码管理部门、密码工作机构对其工作人员的监督和安全审查机制(第二十条)。

(五)关于商用密码

为了贯彻落实职能转变和“放管服”改革要求,规范和促进商用密码产业发展,草案第三章规定了商用密码的主要制度:一是规定国家鼓励商用密码技术的研究开发和应用,健全商用密码市场体系,鼓励和促进商用密码产业发展(第二十一条);二是规定了商用密码标准化制度(第二十二条、第二十三条、第二十四条);三是建立了商用密码检测认证制度,并鼓励从业单位自愿接受商用密码检测认证(第二十五条);四是对列入网络关键设备和网络安全专用产品目录的商用密码产品、用于网络关键设备和网络安全专用产品的商用密码服务实行强制性检测认证(第二十六条);五是规定关键信息基础设施应当依法使用商用密码、开展安全性评估及国家安全审查(第二十七条);六是对特定范围的商用密码实行进口许可和出口管制制度(第二十八条);七是规定了电子政务电子认证服务管理制度(第二十九条);八是支持商用密码行业协会积极发挥作用,加强行业自律,促进行业健康发展(第三十条);九是规定了密码管理部门和有关部门建立商用密码事中事后监管制度(第三十一条)。

此外,草案规定了相应的法律责任(第四章)。

草案和以上说明是否妥当,请审议。