呂堯，李東格

（賽迪智庫網(wǎng)絡(luò)安全研究所，北京100846）

1 引言

2019年10月26日，經(jīng)第十三屆全國人民代表大會(huì)常務(wù)委員會(huì)第十四次會(huì)議表決通過，《中華人民共和國密碼法》將于2020年1月1日正式實(shí)施。這是我國首部密碼領(lǐng)域綜合性、基礎(chǔ)性的法律，旨在促進(jìn)密碼事業(yè)發(fā)展、保障網(wǎng)絡(luò)與信息安全。《密碼法》全篇共五章四十四條，本文總結(jié)了該法律的四項(xiàng)突出特點(diǎn)，分析了法律出臺后對各產(chǎn)業(yè)的影響，并對后續(xù)工作進(jìn)行了預(yù)測。

2 《密碼法》概述

2.1 立法背景

20世紀(jì)90年代，為滿足信息化發(fā)展安全的需要，推動(dòng)密碼產(chǎn)品、產(chǎn)業(yè)規(guī)范發(fā)展。1999年，我國制定了《商用密碼管理?xiàng)l例》。針對商用密碼的科研、生產(chǎn)、銷售、使用等各個(gè)環(huán)節(jié)，國家制定了生產(chǎn)、銷售、使用等一系列的規(guī)定，建立了一套商業(yè)密碼管控制度。近幾年，密碼技術(shù)的應(yīng)用不斷深入，核心作用不斷提升，其越來越受到國家、社會(huì)的重視，隨著信息化的發(fā)展，密碼已有的管理制度不能滿足技術(shù)發(fā)展需要和社會(huì)管理需求，制定一部針對密碼的綜合性、基礎(chǔ)性法律確有必要。為進(jìn)一步促進(jìn)密碼技術(shù)在國家安全、國民經(jīng)濟(jì)發(fā)展、個(gè)人信息保護(hù)等方面的作用，統(tǒng)籌協(xié)調(diào)不同領(lǐng)域密碼的管理，在2014年12月，國家密碼管理局正式成立《密碼法》起草小組，著手法律的起草工作[1]。

2.2 立法過程

《密碼法》從起草到實(shí)施共歷時(shí)5年。2014年12月，密碼法立法工作啟動(dòng)。2016年12月，密碼法（草案）經(jīng)中央密碼工作領(lǐng)導(dǎo)機(jī)構(gòu)審議并原則通過。2017年4月至5月，密碼法（草案征求意見稿）在國家密碼管理局商用密碼管理辦公室網(wǎng)站首次面向社會(huì)公開征求意見。2017年6月，密碼法（草案送審稿）正式報(bào)送國務(wù)院。2018年之后，密碼法相繼列入第十三屆全國人大常委會(huì)立法規(guī)劃和全國人大常委會(huì)、國務(wù)院年度立法的工作計(jì)劃。2019年6月10日，密碼法（草案）經(jīng)國務(wù)院第52次常務(wù)會(huì)議會(huì)討論通過。隨后，國務(wù)院總理簽署議案，正式將密碼法（草案）提請全國人大常委會(huì)審議。2019年6月25日至29日，十三屆全國人大常委會(huì)第十一次會(huì)議初次審議密碼法（草案）。2019年7月5日至9月2日，密碼法（草案）在中國人大網(wǎng)上面向社會(huì)公開征求意見。2019年10月21日至26日，十三屆全國人大常委會(huì)第十四次會(huì)議對密碼法（草案）進(jìn)行了二次審議并表決通過，國家主席簽署第35號主席令正式頒布，自2020年1月1日起施行[2]。

2.3 立法意義及目的

密碼是保障網(wǎng)絡(luò)與信息安全的核心技術(shù)和基礎(chǔ)支撐，密碼工作是一項(xiàng)特殊重要工作，直接關(guān)系國家政治安全、經(jīng)濟(jì)安全、國防安全和信息安全，在我國革命、建設(shè)、改革各個(gè)歷史時(shí)期，都發(fā)揮了不可替代的重要作用。隨著信息技術(shù)的不斷發(fā)展，密碼工作面臨著許多新機(jī)遇和挑戰(zhàn)，制定密碼領(lǐng)域綜合性、基礎(chǔ)性法律，規(guī)范密碼的管理、推動(dòng)密碼產(chǎn)業(yè)的發(fā)展，有利于推動(dòng)我國密碼工作長足發(fā)展，為我國家安全、國民經(jīng)濟(jì)發(fā)展、人民生產(chǎn)生活提供更有力的保障。密碼法的立法目的也在于此，主要解決密碼工作的四個(gè)問題：一是密碼由誰管理；二是密碼怎么管理；三是怎樣推動(dòng)密碼發(fā)展；四是密碼違法行為的懲罰措施?！睹艽a法》的出臺為主管部門管理密碼提供了依據(jù)，為密碼應(yīng)用規(guī)范了路徑，為密碼發(fā)展指明了方向。

2.4 主要內(nèi)容

《密碼法》[3]全篇共五章四十四條，內(nèi)容涵蓋密碼管理、密碼應(yīng)用、促進(jìn)密碼發(fā)展、密碼監(jiān)督管理及法律責(zé)任等內(nèi)容，著重解決我國密碼事業(yè)及相關(guān)產(chǎn)業(yè)發(fā)展中遇到的突出問題。

第一章總則，說明了立法目的、密碼管理基本原則，以及密碼發(fā)展促進(jìn)和保障措施。其中，密碼管理和發(fā)展是重點(diǎn)。管理方面，一是確定了黨對密碼的統(tǒng)一管理，二是明確了密碼的定義，確立了該法管理范圍，三是建立“核、普、商”三級密碼管理體制；發(fā)展方面，提出鼓勵(lì)密碼技術(shù)創(chuàng)新、產(chǎn)權(quán)保護(hù)，人才培養(yǎng)、隊(duì)伍建設(shè)、培訓(xùn)宣傳、經(jīng)費(fèi)保障等措施。

第二章對核心密碼、普通密碼的使用、管理做出規(guī)定，重點(diǎn)突出國家在核心密碼、普通密碼管理方面的重要作用，明確了密碼管理部門、密碼工作機(jī)構(gòu)、密碼應(yīng)用部門的職責(zé)，提出支持密碼工作的特殊保障制度和措施。

第三章對商用密碼發(fā)展和管理做出規(guī)定，提出商用密碼向市場化方向發(fā)展，促進(jìn)密碼技術(shù)“產(chǎn)學(xué)研用”聯(lián)合，推動(dòng)相關(guān)產(chǎn)業(yè)發(fā)展。強(qiáng)調(diào)國家建立完善商用密碼體系，推動(dòng)參與國際標(biāo)準(zhǔn)；明確商用密碼從業(yè)單位、檢測認(rèn)證機(jī)構(gòu)、密碼產(chǎn)品、電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)等的管理要求。

第四章明確了涉及密碼相關(guān)違法行為的定義和法律責(zé)任。在核心密碼、普通密碼方面，主要針對密碼的使用、泄漏、應(yīng)急的處罰；在商用密碼方面，主要對應(yīng)密碼相關(guān)行政許可、審批事項(xiàng)的處罰。

第五章附則部分，明確國家密碼管理部門的規(guī)章制定權(quán)，以及解放軍和武警部隊(duì)密碼立法事宜。確定了本法的施行日期。

3 密碼法的突出特點(diǎn)

3.1 確立黨管密碼這一根本原則

隨著網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略、國家信息化發(fā)展戰(zhàn)略、國家大數(shù)據(jù)戰(zhàn)略的實(shí)施，密碼作為保障網(wǎng)絡(luò)與信息安全的核心技術(shù)和基礎(chǔ)支撐，其作用和地位愈發(fā)重要。黨對密碼工作的絕對領(lǐng)導(dǎo)，這是中國共產(chǎn)黨自1930年創(chuàng)建密碼工作以來就堅(jiān)持的根本原則。此次將黨的主張通過法律程序成為國家意志，為進(jìn)一步實(shí)現(xiàn)我國密碼工作法治化、科學(xué)化發(fā)展打下堅(jiān)實(shí)基礎(chǔ)[4]。

3.2 密碼的概念及范疇進(jìn)行了延伸

《密碼法》第二條密碼的定義表明兩點(diǎn)。一是在實(shí)際應(yīng)用層面，法律中密碼的概念區(qū)別于大眾對現(xiàn)實(shí)生活中“密碼”的認(rèn)知。大眾通常認(rèn)為的密碼，如銀行卡“密碼”、計(jì)算機(jī)開機(jī)“密碼”、電子郵箱登錄“密碼”實(shí)際是口令，僅是密碼技術(shù)、產(chǎn)品或服務(wù)在應(yīng)用時(shí)的一個(gè)要件。二是在技術(shù)層面，法律中的密碼拓展了學(xué)術(shù)對密碼的定義。學(xué)術(shù)上對密碼僅指基于密碼學(xué)的技術(shù)，而法律將其拓展到產(chǎn)品和服務(wù)，拓展了密碼法的管理范圍，包括區(qū)塊鏈等都可以認(rèn)為包含在密碼管理范疇內(nèi)。

3.3 延續(xù)繼承了密碼分類管理體制

法律延續(xù)了黨中央長期以來密碼管理工作的基本策略，仍將密碼分為核心密碼、普通密碼、商用密碼，核心密碼、普通密碼用于涉及國家秘密領(lǐng)域，商用秘密用于非涉及國家秘密領(lǐng)域。三類密碼的要求不同，對其進(jìn)行明確劃分，有利于密碼管理部門對密碼的科學(xué)管理，發(fā)揮了三類密碼在不同領(lǐng)域、不同安全等級對象中的保護(hù)及支撐作用。保持三類密碼的劃分，有利于保持密碼管理工作的平穩(wěn)性和連續(xù)性。

3.4 商用密碼管理是核心

法律中商用密碼與其他兩類密碼分列不同章節(jié)，采用了“寬嚴(yán)有序、張弛有度、內(nèi)外有別”的管理模式，核心密碼、普通密碼偏向“嚴(yán)”，以保障國家信息的安全。商用密碼偏向“市場”，更有利于促進(jìn)密碼相關(guān)產(chǎn)業(yè)的發(fā)展，滿足市場對商用密碼的需求。以前出于安全考慮，一律對密碼使用采取“嚴(yán)管”措施進(jìn)行限制，在一定程度上制約了商用密碼的合理使用和科學(xué)發(fā)展。為了適應(yīng)密碼應(yīng)用社會(huì)化的客觀需求，法律中專門將商用密碼單列一章，涉及多個(gè)行業(yè)的管理規(guī)定，占用的篇幅最長，對應(yīng)罰則最多，影響的范圍最大，是本法中的重要內(nèi)容。

4 密碼法對產(chǎn)業(yè)的影響

4.1 對商用密碼產(chǎn)業(yè)發(fā)展是重大利好

在“適度寬松”的背景下，對商業(yè)密碼產(chǎn)品生產(chǎn)、銷售、檢測認(rèn)證等全產(chǎn)業(yè)發(fā)展都是有利的。首先，明確進(jìn)出口管理，改變密碼“嚴(yán)管”一刀切的管理方式，有利于國內(nèi)密碼企業(yè)、密碼產(chǎn)品“走出去”，國外先進(jìn)經(jīng)驗(yàn)，關(guān)鍵技術(shù)引進(jìn)來。其次，對密碼定義的延伸以及實(shí)施特定產(chǎn)品強(qiáng)制性檢測認(rèn)證制度，使得針對不同密碼產(chǎn)品及服務(wù)的檢測、認(rèn)證、評估等需求顯著上升，有利于國內(nèi)密碼檢測認(rèn)證行業(yè)發(fā)展。再者，隨著國產(chǎn)化替代、自主可控等政策的深入推進(jìn)，金融、能源等重要行業(yè)圍繞密碼為核心的產(chǎn)品、系統(tǒng)替換改造建設(shè)工作將加速推進(jìn)，釋放出大量需求，極大地拓展了商用密碼的市場空間，商密碼產(chǎn)業(yè)將迎來蓬勃發(fā)展期。

4.2 針對密碼領(lǐng)域的培訓(xùn)機(jī)構(gòu)將增長

《密碼法》中規(guī)定的多項(xiàng)任務(wù)都需要有對應(yīng)的人員予以支撐，如第十七條需要建立密碼安全預(yù)警、應(yīng)急處置的專業(yè)支撐隊(duì)伍；密碼政策、標(biāo)準(zhǔn)的制定，需要具有密碼知識背景的復(fù)合型人才；商用密碼從業(yè)單位、檢測認(rèn)證機(jī)構(gòu)的發(fā)展壯大，需要大量密碼專業(yè)從業(yè)者。對密碼人才的需求，與每年少量的密碼學(xué)專業(yè)畢業(yè)生形成鮮明對比，巨大人才缺口是顯而易見的。但是短期內(nèi)，高校教育體系內(nèi)無法快速培育出適應(yīng)需求的密碼人才，針對密碼的培訓(xùn)行業(yè)迎來絕佳發(fā)展契機(jī)。

4.3 電子認(rèn)證服務(wù)行業(yè)面臨監(jiān)管深化

電子認(rèn)證在信息化及信息安全保障方面發(fā)揮著重要作用，《密碼法》在《電子簽名法》的基礎(chǔ)上，進(jìn)一步明確了對從事電子政務(wù)電子認(rèn)證服務(wù)的機(jī)構(gòu)進(jìn)行管理，突顯了電子認(rèn)證服務(wù)行業(yè)的重要性[5]。監(jiān)管逐漸深化，這在一定程度上給行業(yè)帶來了壓力，一個(gè)企業(yè)需要拿到國家密碼主管部門的電子認(rèn)證服務(wù)使用密碼許可證、國家信息化主管部門的電子認(rèn)證服務(wù)許可證、國家密碼主管部門的電子政務(wù)電子認(rèn)證服務(wù)許可證，才能在全領(lǐng)域開展業(yè)務(wù)。同時(shí)，國家電子政務(wù)政策及一體化服務(wù)平臺建設(shè)，客觀上壓縮了電子政務(wù)領(lǐng)域的市場空間，行業(yè)發(fā)展面臨雙重壓力，產(chǎn)業(yè)轉(zhuǎn)型升級進(jìn)入攻堅(jiān)期。

4.4 區(qū)塊鏈行業(yè)將進(jìn)一步規(guī)范發(fā)展

區(qū)塊鏈與電子認(rèn)證師出同源，都是基于非對稱加密技術(shù)及哈希算法等密碼算法。不論區(qū)塊鏈?zhǔn)亲鳛橐环N技術(shù)，還是一種應(yīng)用模式，都可能被認(rèn)為是密碼產(chǎn)品或服務(wù)，而歸為密碼管理范圍?；诖?，未來將可能形成三方管理的模式：一是中央網(wǎng)信辦的備案管理；二是工業(yè)和信息化部的產(chǎn)業(yè)及應(yīng)用管理；三是國家密碼管理部門的技術(shù)管理。區(qū)塊鏈的發(fā)展將更加規(guī)范化、標(biāo)準(zhǔn)化，有利于區(qū)塊鏈的推廣普及，實(shí)現(xiàn)在金融、法律、物流等各領(lǐng)域中的深入應(yīng)用。

4.5 國產(chǎn)密碼算法將廣泛應(yīng)用

密碼實(shí)行分類管理后，我國主推的SM系列國產(chǎn)算法將得到廣泛應(yīng)用，基于國產(chǎn)密碼算法的產(chǎn)品、服務(wù)將大量出現(xiàn)。以國產(chǎn)商用密碼SM2算法為例，SM2與目前主流的RSA國際算法相比，在等同密鑰長度下?lián)碛懈叩陌踩阅芎透旒用芩俣?。RSA算法是基于大整數(shù)分解數(shù)學(xué)難題進(jìn)行設(shè)計(jì)的，SM2是基于橢圓曲線算法ECC設(shè)計(jì)的，SM2采用256位密鑰長度，加密強(qiáng)度等同于3072位RSA密鑰長度。這意味著SM2在實(shí)際中應(yīng)用有更快的速度，更低的延時(shí)，更強(qiáng)的抗攻擊性，更少的資源（CPU、內(nèi)存、帶寬）占用率?！睹艽a法》實(shí)施后，將有利于優(yōu)秀國產(chǎn)密碼的應(yīng)用推廣和國際算法的替換工作，為國產(chǎn)密碼算法大規(guī)模應(yīng)用奠定了法律基礎(chǔ)。

4.6 為我國法定數(shù)字貨幣發(fā)行鋪路

2019年，在Facebook發(fā)行加密貨幣libra 天秤幣成為全球互聯(lián)網(wǎng)金融市場焦點(diǎn)的同時(shí)，中國人民銀行打造的法定數(shù)字貨幣DCEP（Digital Currency Electronic Payment，DCEP）也從幕后走向臺前。數(shù)字貨幣的核心技術(shù)是密碼，數(shù)字貨幣的生產(chǎn)發(fā)行、儲存、流通、交易、運(yùn)行環(huán)境等全流程都離不開密碼技術(shù)的支持，密碼技術(shù)保障了數(shù)字貨幣的安全性，密碼技術(shù)的可靠性決定了數(shù)字貨幣價(jià)值體系的穩(wěn)定性?！睹艽a法》的出臺，有利于從根本上確立法定數(shù)字貨幣的技術(shù)體系，保障法定數(shù)字貨幣技術(shù)的合法性，為正式發(fā)行實(shí)施法定數(shù)字貨幣奠定基礎(chǔ)。

5 《密碼法》出臺后續(xù)工作展望

5.1 完善密碼配套的法律法規(guī)

從專業(yè)角度上看，《密碼法》屬于密碼領(lǐng)域的一般法，只是涉及密碼的各種社會(huì)關(guān)系的一般性規(guī)定以及原則性罰則。下一階段，需要結(jié)合我國實(shí)際，制定密碼相關(guān)專門配套法律規(guī)范，例如密碼進(jìn)出口管理規(guī)范、電子政務(wù)電子認(rèn)證服務(wù)管理規(guī)范、密碼技術(shù)標(biāo)準(zhǔn)規(guī)范、密碼管理執(zhí)法標(biāo)準(zhǔn)、密碼從業(yè)人員管理規(guī)定、處罰具體規(guī)范及程序等，進(jìn)一步形成比較完善的、具有中國特色的密碼法律體系架構(gòu)。

5.2 進(jìn)一步發(fā)展密碼相關(guān)產(chǎn)業(yè)

《密碼法》為密碼與數(shù)字中國、云計(jì)算、物聯(lián)網(wǎng)、智能智造等國家戰(zhàn)略的深入融合奠定了法律基礎(chǔ)。金融、能源安全、信息網(wǎng)絡(luò)、社會(huì)治理、現(xiàn)代服務(wù)業(yè)等社會(huì)各領(lǐng)域?qū)γ艽a的需求將大幅增長，密碼從業(yè)單位、檢測認(rèn)證機(jī)構(gòu)、電子認(rèn)證服務(wù)機(jī)構(gòu)發(fā)展迎來新機(jī)遇，提升企業(yè)的研發(fā)能力、創(chuàng)新能力、成果轉(zhuǎn)化能力，滿足不同領(lǐng)域?qū)γ艽a應(yīng)用、改造、升級的需求，是產(chǎn)業(yè)未來發(fā)展的重要任務(wù)。

5.3 加大密碼人才培養(yǎng)

目前，國內(nèi)密碼人才相對匱乏，只有少數(shù)高校設(shè)有密碼學(xué)專業(yè)，社會(huì)第三方培訓(xùn)機(jī)構(gòu)較少，缺乏密碼領(lǐng)域資格從業(yè)認(rèn)定及支撐評定，具有密碼、法律專等業(yè)背景的復(fù)合型人才更是少之又少。多渠道、多方式的人才培養(yǎng)，是推動(dòng)密碼管理、促進(jìn)密碼行業(yè)發(fā)展的核心工作。通過政策扶持、資金支持等方式，支持高校、科研機(jī)構(gòu)、社會(huì)培訓(xùn)機(jī)構(gòu)對密碼人才的培養(yǎng)，建立全面、系統(tǒng)、科學(xué)的密碼教育培訓(xùn)體系及課程，針對量子密碼等領(lǐng)域開展預(yù)先研究培訓(xùn)[6]，強(qiáng)化人才跨學(xué)科培養(yǎng)、跨領(lǐng)域交流，培養(yǎng)密碼專業(yè)型、復(fù)合型等各類人才，滿足密碼管理工作及產(chǎn)業(yè)發(fā)展需要。

5.4 加強(qiáng)國產(chǎn)密碼標(biāo)準(zhǔn)國際交流及推廣

目前，大部分領(lǐng)域系統(tǒng)或產(chǎn)品中，主要以應(yīng)用歐美國際密碼算法為主。加強(qiáng)國產(chǎn)密碼算法國際交流，有利于促進(jìn)國產(chǎn)密碼算法安全性提升。在國際交流中，接受來自世界范圍內(nèi)專家、學(xué)者的檢驗(yàn)，印證國產(chǎn)密碼算法安全性，同時(shí)督促國內(nèi)密碼算法基礎(chǔ)研究，提高國內(nèi)科研實(shí)力。推動(dòng)國產(chǎn)密碼算法成為國際標(biāo)準(zhǔn)，提高我國在密碼算法方面的話語權(quán)，促進(jìn)國產(chǎn)密碼的應(yīng)用及普及，有助于自主可控、國產(chǎn)化替代等政策的實(shí)施，提高我國網(wǎng)絡(luò)安全防護(hù)能力。

6 結(jié)束語

《中華人民共和國密碼法》在2020年1月1日正式實(shí)施后，將對各領(lǐng)域產(chǎn)生深遠(yuǎn)影響。本文介紹了立法背景、過程以及法律的主要內(nèi)容，總結(jié)提出了法律的四項(xiàng)突出特點(diǎn)，并對法律出臺后對商用密碼產(chǎn)業(yè)、密碼培訓(xùn)行業(yè)、電子認(rèn)證服務(wù)行業(yè)、區(qū)塊鏈行業(yè)、基于國產(chǎn)密碼算法的產(chǎn)品和服務(wù)、我國法定數(shù)字貨幣的影響進(jìn)行了分析，最后預(yù)測提出法律出臺后，還需要開展的具體工作。