密码法草案二审 增加密码“安全风险评估”机制

中国新闻网

中新网北京10月21日电(梁晓辉 张素 黄钰钦) 密码法草案21日提请十三届全国人大常委会二次审议。草案二审稿加入“安全风险评估”机制,规定:密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。

核心密码和普通密码属于国家秘密。此前,草案一审稿已对核心密码、普通密码的管理和使用作了专章规定。有方面建议进一步强化国家对核心密码、普通密码的管理,实行密码安全保密责任制,定期开展安全评估,发现安全隐患风险后应当立即采取相应措施。对此,草案二审稿明确要求实行密码“保密责任制”,并增加“安全风险评估”机制,同时增加规定,发现影响核心密码、普通密码安全的“风险隐患”时,应当立即采取应对措施。

关于商用密码产品强制检测认证制度,草案二审稿完善了与网络安全法的衔接,增加规定:“商用密码产品检测认证应当适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。”

在完善商用密码应用安全性评估和国家安全审查制度方面,草案二审稿同样与网络安全法作了衔接,规定:“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。”“关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。”

草案二审稿同时强化保密义务,增加规定:“商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务”;“密码管理部门和有关部门及其工作人员应当对在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。”

在完善法律责任方面,草案二审稿进一步明确相关条款的处罚主体、处罚对象、处罚依据和罚则。同时,二审稿还加强密码人才培养,把人才队伍培养、建设的内容移至总则以突显人才培养对于密码事业的重要性。

值得注意的是,在密码法草案公开征求意见期间,一些国家和组织的驻华机构通过不同渠道向全国人大常委会法工委表达了关切,包括密码法是否会对外国企业的相关密码产品、服务和技术进入中国市场造成一定的限制等。

对此,全国人大常委会法工委发言人日前回应说,密码法草案有关许可和检测认证体系的相关规定,对于内外资企业、对于国内外的产品和服务一视同仁、同等适用,对外资企业的知识产权也要实行同等的保护,“密码法草案不会歧视外资企业以及外资企业的产品和服务,不会对投资和贸易构成任何的限制”。(完)