廣泛應用於金融、通信、電子政務等重要領域的商用密碼也面臨著規範管理的問題。10月21日,《中華人民共和國密碼法(草案)》提交第十三屆全國人大常委會第十四次會議二次審議。二審稿擬明確,商用密碼檢測、認證機構應當在檢測認證中所知悉的國家秘密和商業秘密承擔保密義務。
南都記者 劉嫚 攝
涉國家安全、公共利益等商用密碼經檢測認證合格方可銷售
南都記者了解到,草案一審稿中規定,密碼分為核心密碼、普通密碼和商用密碼。
其中,核心密碼和普通密碼用於保護國家秘密信息,商用密碼用於保護不屬於國家秘密的信息,公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全。
“商用密碼的應用涵蓋金融和通信、警察、稅務、社保、交通、衛生健康、能源、電子政務等重要領域,在維護國家安全、促進經濟社會發展、保護公民、法人和社會組織合法權益方面發揮著重要作用。” 國家密碼管理局相關負責人指出。
有業內人士指出,密碼法草案的推出,重塑了商用密碼管理制度。
例如,草案一審稿中規定了商用密碼產品強製檢測認證制度:列入網絡關鍵設備和網絡安全專用產品目錄的商用密碼產品,用於網絡關鍵設備和網絡安全專用產品的商用密碼服務,實行強製性檢測認證。
不過,有常委會組成人員和公眾、企業意見提出,網絡安全法第二十三條已對網絡關鍵設備和網絡安全專用產品的檢測認證作了規定,需要進一步明確本法與網絡安全法規定的關係,保持法律之間的銜接,避免重複檢測認證。
憲法和法律委員會采納了上述意見,建議將第二十六條第一款修改為:涉及國家安全、國計民生、社會公共利益的商用密碼產品,應當依法列入網絡關鍵設備和網絡安全專用產品目錄,由具備資格的機構檢測認證合格後,方可銷售或者提供。商用密碼產品檢測認證應當適用《中華人民共和國網絡安全法》的有關規定,避免重複檢測認證。
完善違反密碼法相關規定的法律責任
南都記者了解到,草案二審稿還對商用密碼檢測、認證機構的保密義務進行了完善和補充。
據悉,草案一審稿已經對商用密碼檢測、認證機構的職能和密碼管理部門的監管職權作了規定。但有的常委會組成人員建議進一步增加對上述機構和部門的保密義務要求。
二審稿在此基礎上新增:商用密碼檢測、認證機構應當對其在商用密碼檢測認證中所知悉的國家秘密和商業秘密承擔保密義務。
同時還規定,密碼管理部門和有關部門及其工作人員應當對在履行職責中知悉的商業秘密和個人隱私嚴格保密,不得洩露或者非法向他人提供。
此外,草案二審稿還完善了違反密碼法相關規定的法律責任,在一審稿基礎上,進一步明確了相關條款的處罰主體、處罰對象、處罰依據和罰則。
南都見習記者 吳單 發自北京