《密碼法》頒布五周年:法治成效、實施難點與未來走向
責編:gltian |2024-11-22 13:59:13文 | 公安部第三研究所研究員 黃道麗;西安交通大學教授 馬民虎
2024年10月26日是《密碼法》頒布五周年紀念日。作為密碼工作的基本法,其頒布標志著我國密碼工作進入了新時代。適逢習近平總書記創造性提出總體國家安全觀十周年,做好《密碼法》頒布五周年的法治評估具有特別重要的意義。總體國家安全觀要求對國家安全問題具備全局和國際的辯證視角。本文回顧了《密碼法》頒布五周年以來的重大事件,總結發展成就,分析難點問題,研判形勢變化,并思考如何以全球視野和戰略眼光推動密碼軟法和硬法的研究,為《密碼法》的下一步創新發展提供有益參考。
一、《密碼法》基本原則、立法目標和主要制度
《密碼法》以總體國家安全觀為指導,確立了密碼工作的基本原則,明確了立法目標,圍繞密碼管理體制、密碼分類管理、密碼濫用防范、密碼保障要求、密碼使用管理、密碼進出口、密碼監測與危機管理以及監督管理等方面構建了主要法律制度。
(一)《密碼法》基本原則和立法目標
密碼是黨和國家的重要戰略資源,保障性與脆弱性并存,直接關系到國家的政治安全、經濟安全、國防安全和網絡安全。《密碼法》是總體國家安全觀在密碼工作上的體現和實施,是對密碼安全這一非傳統安全領域的法律回應,也是立足于現代密碼學,規范我國密碼整個生命周期的專門性立法。該法以總體國家安全觀為基本原則,夯實了密碼保護網絡和信息安全的技術基石地位,確立了“服務國家發展利益、保障國家安全利益”的立法目標。這體現了新時代密碼發展的戰略抉擇,契合了中國式現代化征程上高質量發展和高水平安全良性互動的現實需求。
五年來,在黨中央的高度重視和堅強領導下,國家密碼管理部門開展了諸多卓有成效的法治建設工作,發布、聯合發布了專項密碼政策,組織修訂了《商用密碼管理條例》,增強《密碼法》實施的規范性和指引性,同時強化商用密碼的事中事后監管,推動網絡安全和密碼法治體系形成合力,為貫徹落實全面依法治國基本方略、推進《密碼法》積極參與國家數字化轉型和高質量發展、保障中國式現代化安全奠定了堅實的治理基礎。
(二)《密碼法》主要制度設計及進展
截至目前,我國已構建了以《密碼法》為核心,以《商用密碼管理條例》等行政法規為主干的密碼法治體系,完成了以下主要法律制度的確立、細化和指引工作。
第一,明確國家密碼管理體制。為規范密碼管理工作,《密碼法》明確國家、省、市、縣四級管理體制,明確地方密碼管理部門的法律地位,同時明確工商、海關、商務、公安、國家安全等有關部門在各自職權范圍內協助密碼管理部門進行密碼管理工作,理順了機要和商用密碼管理之間的關系。
第二,確定分類管理原則。改革開放以來,密碼工作中“商”與“密”界限模糊不清。在統一管理模式下,哪類密碼可以被社會化利用,哪些屬于軍用范圍,以及如何有效協調涉密、敏感和非涉密(信息),特別是如何界定商用密碼,引起了普遍關注。《密碼法》按照分類管理原則,將密碼分為核心密碼、普通密碼和商用密碼,并分章作出專門規定,有效回應了社會關切。
第三,禁止密碼濫用,明確相關主體的密碼安全要求。密碼“濫用”問題嚴重,例如,勒索軟件已經發展為全球公害。開源密碼體系的發展失控也將導致密碼安全面臨嚴重威脅。同時,隨著大數據和云計算的應用發展,密碼的泛化應用進一步增加了被濫用的風險。鑒于此,《密碼法》對依法使用密碼作出了明確規定。同時,《密碼法》與《網絡安全法》《數據安全法》《反恐怖主義法》等相關法律進行有效銜接,對網絡服務提供商和電信運營商等關鍵領域相關主體的密碼安全提出了明確要求。
第四,確立全面的密碼保障要求。《密碼法》將密碼保障分為兩個層面:一是密碼及密碼系統的安全保障;二是密碼發展保障。參考各國法律要求,并結合我國具體國情,《密碼法》確立了包括密碼隊伍保障、密碼安全意識培養、密碼資金保障、密碼現代化保障、密碼標準化、密碼產業促進、密碼科研保障和密碼知識產權保障的相關要求,在實現密碼安全的前提下,最大程度地促進密碼的發展。
2023年,《商用密碼管理條例》進一步規定要建立健全商用密碼科技創新促進機制,保護商用密碼領域的知識產權,鼓勵和支持商用密碼科技成果轉化和產業化應用。優化現行商用密碼科研成果審查鑒定審批的適用范圍。明確商用密碼標準的制定、實施及監督檢查。
第五,基于國際密碼斗爭形勢明確密碼的進出口管控要求。鑒于密碼斗爭與國際反恐需求的趨同,《密碼法》將商用密碼進出口納入兩用物項進出口管理,堅持對商用密碼進出口實施清單管理和許可制度。在此基礎上,《商用密碼管理條例》銜接《出口管制法》要求,明確了商用密碼進出口監管范圍,細化了申請商用密碼進出口許可證的程序、海關交驗、質疑和組織鑒別程序。此外,考慮到密碼功能在現代信息技術產品中的普及應用,《密碼法》明確規定大眾消費類產品所采用的商用密碼不實行進口許可和出口管制制度,這既是國際社會的通行做法,也符合我國密碼管理實踐。
第六,關于密碼使用管理。為貫徹落實行政審批改革的精神,《密碼法》明確了密碼的合法使用原則,取消了對密碼科研和生產的許可規定,但明晰了密碼自用和密碼銷售的一般和例外規定。同時,強制要求處理國家秘密時必須使用核心密碼或者普通密碼進行保護。
針對關鍵領域的密碼應用,《密碼法》強化了管理措施,強制要求關鍵信息基礎設施領域使用商用密碼,并對關鍵信息基礎設施運營者的密碼安全審查、密碼檢測、保護措施、密碼系統建設和密碼應用安全性評估進行明確規定。針對電子認證服務使用密碼的問題,《商用密碼管理條例》和《電子政務電子認證服務管理辦法》進一步作出明確規定。
第七,密碼監測與危機管理。預警與危機管控是信息安全治理中的重要內容,對于密碼管理同樣意義重大。《密碼法》和《商用密碼管理條例》明確了密碼安全監測預警、安全風險評估、信息通報、重大事項會商和應急處置等相關規定。這些規定能夠降低密碼安全事件發生概率,并在出現密碼安全事件后將損失控制在較小范圍內。
第八,關于監督檢查。《國家密碼管理局商用密碼隨機抽查事項清單(2024年版)》發布,規定對多個抽查對象開展現場檢查、書面檢查和網絡檢查相結合的抽查方式。
二、《密碼法》實施多重難點與挑戰
五年來,《密碼法》的科學性和合理性已經得到了廣泛驗證。然而,正如古語所言:“天下之事,不難于立法,而難于法之必行。”當前,在《密碼法》的落地實施方面,也面臨諸多重難點與挑戰。
第一,密碼法治意識問題。盡管密碼政策的制定有著嚴格的程序性要求,但由于其結果不夠透明,使得密碼領域帶有濃厚的神秘色彩。同時,有關法律規定的實施細節不明確,容易導致立法意愿與落地實施之間出現偏差。為了解決這一問題,建議依據《密碼法》中的分類管理規定,公開相關商用密碼管理政策,讓社會各界感受到《密碼法》是一部“活”的法律。此外,還可建立相應的媒體發言人制度,定期向社會公布相關政策和立法精神,以幫助公眾更好地理解和支持這些措施,從而消除可能存在的誤解。
第二,國際密碼法治動態問題。重要國家和地區加速調整和制定密碼法治,一方面是為了創造更安全的數據流動環境,并通過更有利的貿易促進措施賦能其國內數字經濟發展;另一方面,也呈現出利用密碼技術優勢對其他國家予以遏制、打壓或者歧視性限制的趨勢。面對這一形勢,國家密碼智庫應保持對國際密碼法治動態的跟蹤和分析,并結合世界貿易組織(WTO)多邊貿易協定以及中國《密碼法》《對外貿易法》和《反外國制裁法》等開展對策研究。
第三,國際數字貿易協定中的密碼問題。盡管WTO的協議條款并未直接涉及密碼,但其通過鼓勵制定透明和必要的法規,間接影響密碼產品和技術,這些法規服務于安全和知識產權保護等合法目標。WTO中的《技術性貿易壁壘協議》(TBT)強調成員國應實施合理的技術性貿易法規與措施,防止因技術法規阻礙國際貿易。《與貿易有關的知識產權協議》(TRIPS)間接保障與密碼技術相關的知識產權,促進依賴密碼的ICT產品的創新和貿易。不僅WTO如此,新雙邊和多邊協定中涉及密碼產品的非歧視性待遇、安全例外等問題,也成為談判的重要關注點。例如,《全面與進步跨太平洋伙伴關系協定》(CPTPP)《美國-墨西哥-加拿大協議》(USMCA)以及日英《全面經濟伙伴關系協議》(EPA)等區域貿易協定,均通過提供密碼產品并將密碼作為安全服務對待的方式,解決密碼產品非歧視性待遇和安全例外問題。
由此可見,日益復雜的密碼技術產品、全球密碼市場的變化和不斷演變的國內監管要求,都會推動國際貿易協議和區域貿易協定的不斷調整。國家密碼管理部門、密碼智庫等應圍繞WTO及相關協定、協議、事件和案例中涉及的密碼問題進行深入分析,為中國密碼企業出海和中國密碼產業的國際貿易繁榮提供堅實的支撐。
第四,部門監管協調問題。密碼涉及多領域使用和多部門監管,監管部門間的協調一致是《密碼法》有效實施的必要保障。一方面,《密碼法》的權力清單和責任清單涉及面廣,密碼管理部門和其他部門間的密碼權責事項需要在《密碼法》基礎上進行總體規劃;另一方面,我國各行業和地方商用密碼發展不均衡,如何協調全國一盤棋與地方差異化發展也是必須研究的難題。
從行政執法規范化的角度來看,當前密碼領域仍存在較大的監管空白,例如權責清單不明、執法權限不清、執法程序缺失等。因此,應強化密碼管理部門的執法能力建設,通過“末梢賦能”全面提升行政執法人員的能力素質,促使他們積極運用《密碼法》賦予的權力開展工作,從而提高整體監管效率和社會影響力。
第五,商用密碼檢測認證問題。商用密碼檢測認證是有效實施商用密碼管理的重要抓手,也是商用密碼管理社會化的重要途徑。檢測認證可以被視為商用密碼市場的“探針”,是商用密碼管理的“二軌”機制。抓住這個關鍵點,能夠為密碼產品和服務的品質提供可靠保障。政府在建立商用密碼檢測認證機制的過程中不能“無為而治”,而應強化監管,維護市場管理的正常秩序。
此外,國家密碼管理部門需要密切跟蹤國家認證認可制度的發展動態,并參與修訂和細化相關配套規定。檢測認證的一般性要求應體現密碼行業的特殊要求,需要有一條“看得見”的紅線來把握檢測認證機制的走向和成效。
第六,產業促進與貿易問題。《密碼法》重塑了我國密碼管理機制,《商用密碼管理條例》對“應用促進”做了專章規定,并抓住關鍵環節,特別強調在新技術、新業態和新模式中的應用推廣。國家密碼管理部門發布的配套規章覆蓋了商用密碼應用和改造制度的整個生命周期。
值得注意的是,我國商用密碼應用的普及度、合規性、正確性及有效性相對較低,部分行業密碼使用不規范現象較為普遍。建議從責任審計的角度推進,將商用密碼的責任審計作為一項重要措施,加速完成商用密碼的改造和應用。在此過程中,網絡安全等級保護制度發展過程中取得的經驗值得關注和借鑒。
特別強調的是,為應用減負也應成為促進產業發展的重要內容。商用密碼應用的安全性評估、網絡安全等級測評、關鍵信息基礎設施的安全檢測評估,乃至國家安全審查和密碼算法、密碼協議、密鑰管理機制等商用密碼技術的審查鑒定,都需要“恰到好處”地使用。確立安全紅線不能以損害應用單位的合法利益為代價,這也是監管能力現代化的應有之義。
相較于我國“數據要素市場”“數據出境便利化”等促發展機制,公開層面的商用密碼產業發展支持性、鼓勵性政策、規范、措施等仍相對薄弱,需相關部門著力補足。除傳統資金、人員和保障支持外,“豁免規則”也應重點考慮,即參照“大眾消費類產品所采用的商用密碼豁免適用進出口管理”的思路,加強基于產業創新的商用密碼管理制度“豁免規則”研究,特別是在“許可、評估框架”下的彈性適用規則,構建自貿區的“負面清單”和“監管沙盒”等制度。
第七,商用密碼服務問題。密碼服務是促進密碼應用的重要內容。《密碼法》明確界定了密碼的三種表現形式之一即服務,一般是指基于密碼專業技術和產品,實現密碼功能,提供密碼保障的行為。目前,我國尚未發布明確的商用密碼服務目錄。從全球實踐來看,加密軟件銷售與許可、數字證書頒發、公鑰基礎設施(PKI)、安全電子郵件、虛擬專用網絡(VPN)、安全信息和事件管理(SIEM)、多因素認證(MFA)、區塊鏈技術解決方案、安全咨詢和審計、密鑰管理、硬件安全模塊(HSM)、云加密等都屬于密碼服務,尤其是云加密服務已經成為市場上比較活躍的密碼服務形態。隨著新技術新業態的發展,密碼服務的種類和應用范圍也必然會不斷擴展。
《密碼法》第二十六條規定僅對使用網絡關鍵設備和網絡安全專用產品的商用密碼服務實施強制性認證制度,通過制定目錄明確管理范圍,對目錄以外的服務沒有市場準入要求。此外,依據《密碼法》《出口管制法》《商用密碼管理條例》等法律法規的規定,密碼服務也屬于進出口管理范圍,但如何將密碼服務列入進出口監管目錄仍面臨諸多監管難題。2024年9月18日,國務院常務會議審議通過《中華人民共和國兩用物項出口管制條例》,該條例值得結合上述法律法規一并深入研究。
第八,密碼技術進出口監管問題。出口管制歷來是保持國家技術優勢、戰略優勢乃至國家安全的有效手段。美歐正重新定位和修改量子技術和后量子密碼的出口監管規則。2024年9月5日,美國商務部工業和安全局(BIS)發布一項臨時最終規則,與其盟友一同對量子計算等關鍵新興技術實施管制,未來還會通過“對某些技術產品的全球分銷方式進行規定”的方式加強量子計算的出口管制。同日,歐盟委員會宣布對《歐盟兩用物項出口管制條例》附件一中的兩用物項清單進行修訂,將密碼定義擴展為“可用或變得可用”的加密。同時,引入“加密激活”概念,通過定義擴張加密產品或服務的使用場景,對更多加密產品和服務進行更嚴格的控制和監管。
我國已將“以量子力學和密碼學為基礎,利用量子技術實現密碼功能的設備”納入《商用密碼出口管制清單》。在此背景下,首先,需重新定位后量子密碼的出口監管規則,特別是明確相應的監管標準。其次,需強化相關部門之間的協調與銜接。例如,《中國禁止出口限制出口技術目錄》(商務部、科技部公告2023年第57號,以下簡稱《禁限目錄》)將“量子密碼技術,包括量子密碼實現方法、傳輸技術、網絡技術、工程實現技術等”納入限制出口范圍,后量子密碼進出口監管方面如何與《禁限目錄》進行協調與銜接也需要專門研究。此外,還需關注與《網絡關鍵設備和網絡安全專用產品目錄》之間的一致性問題,將特定功能和指標的后量子密碼作為安全專用產品加以監管。
第九,《密碼法》宣傳普及與智庫建設。《密碼法》頒布五周年之際,各級密碼管理部門開展了一系列宣傳普及工作,但對大部分社會公眾而言,密碼仍屬于“陌生事物”。“不知法則難守法”,全面貫徹落實《密碼法》的精髓,宣傳引導必須先行且持續進行,建議從以下方面著手普及《密碼法》,同時加強國家密碼智庫建設。
首先,將《密碼法》列入全民普法規劃,推動《密碼法》進黨校和黨政機關,將《密碼法》融入企事業單位工作流程,常態化開展普法教育和專業培訓。其次,宣貫對象應從密碼從業者擴展至更廣泛的社會公眾,采取通俗易懂的多樣化普法形式,解決“密碼無知”的社會問題。最后,將密碼法治實踐創新基地等國家智庫打造成全國普法教育基地、愛國主義教育基地和科普宣傳示范基地。充分發揮國家智庫的宣傳教育陣地引領作用,有序引導密碼從業單位、學會協會、用戶單位以及相關專家學者參與,提高從業人員和社會公眾的密碼法治意識。
三、《密碼法》未來走向
進入新時代,我國面臨更為嚴峻復雜的密碼安全形勢,展望《密碼法》的下一個五年乃至更長周期,應貫徹落實總體國家安全觀,堅持“服務國家發展利益、保障國家安全利益”的立法目標,圍繞國家治理體系和治理能力現代化階段目標,在全面依法治國和法治中國建設的背景下,立足技術立法特點,完善規則制定,適時推動《密碼法》的創新發展,為中國式現代化推進提供堅強的密碼法治保障。
(一)發展形勢研判
《密碼法》的未來發展應充分考慮全球數字化轉型帶來的國內外競爭與安全秩序需求變化。一方面,國際網絡安全形勢的不穩定性和不確定性日益加劇,各國間的密碼攻防博弈復雜激烈。量子計算、后量子密碼等顛覆性、前沿性技術競爭優勢的爭奪已實質性進入出口管制和執法個案層面,基本沒有調整的空間。新“巴統”規則已經在國際層面展開對話,該規則明顯針對中國的崛起,對近二十年來形成的密碼國際貿易規則構成了嚴重挑戰。另一方面,國內環境也在發生深刻變化。隨著數字中國和智慧社會建設步伐的加快,這給密碼應用及其相關工作帶來了前所未有的機遇與挑戰。為應對這些變化和挑戰,《密碼法》的未來發展至少應做到以下幾點。
第一,堅持黨的領導。必須貫徹落實黨的二十大和二十屆二中、三中全會精神,旗幟鮮明、毫不動搖地堅持黨對密碼工作的領導,把黨的領導貫穿于密碼工作全過程。
第二,積極防御威脅。從我國密碼應用與創新面臨的威脅出發,在攻防對抗的背景下思考國內外密碼安全問題。對于國際密碼斗爭需做好積極防御和主動應對的思想準備。
第三,堅持創新發展、服務大局。服務大局是密碼工作的價值所在。新時代創新發展與服務大局要求密碼工作緊密圍繞國家創新驅動發展戰略,推動密碼科技的自主創新和跨越式發展,同時服務于高水平對外開放。這包括在中國密碼企業高水平“走出去”和“一帶一路”共建以及數據要素制度體系構建等戰略中,充分發揮密碼科技及密碼法治的功能,大力促進商用密碼的應用和貿易繁榮。特別是要充分利用《密碼法》,在WTO多邊貿易體制、區域貿易協定和中國自由貿易港法規中,積極塑造以我為主的密碼政策,為相關應用的促進和貿易提供制度保障。
第四,提前謀劃,做好相關制度儲備。在國際變局中謀劃更具彈性的自適應能力,基于總體國家安全觀開展法理論證和工具儲備,依據《密碼法》進行內外有別、軍民各需的法治調控研究。在消解新冷戰的多邊管控風險方面,密碼進出口制度需做好經濟管制和戰時動員的準備。在經濟管制時期應重點振興密碼產業,而在戰時動員時期則應確保國家安全利益和海外利益不受損害。
(二)立足技術立法特點的關注
未來技術的發展,特別是顛覆性技術的不確定性日益增強,防范《密碼法》領域的技術黑天鵝事件已成為當務之急。當前,國家密碼管理部門、行業組織、智庫和企業等應加強合作研究,推進同態密碼、人工智能和后量子密碼等新興技術對《密碼法》的影響分析,做好法律適用與協調以及新的法律規范制定和戰略布局。
第一,同態密碼對《密碼法》的影響。同態加密被認為是自非對稱密碼以來的傳統密碼重大升級,其允許在加密數據上進行計算而不需要解密數據,這可能對現行法律在數據處理透明度、安全性要求及合規責任等方面產生影響。因此,應開展同態密碼的《密碼法》法律適用性分析。
第二,人工智能對密碼安全的影響。人工智能技術的善與惡并存,我們一方面應積極利用人工智能增強密碼算法的適應性和強度,快速發現對密碼保障系統的新威脅及其風險;另一方面,則需高度重視人工智能對密碼算法等機制的威脅問題。智庫、行業等應當加強人工智能對密碼安全的威脅研究,為國家出臺人工智能綜合治理法律政策和構建大網絡安全工作格局奠定學術基礎。
第三,后量子密碼對《密碼法》的影響。美國在全球后量子密碼規則、標準制定和遷移實現中已搶占了頂層設計的先機。2024年8月,美國國家標準與技術研究院(NIST)正式宣布推出全球首批三項后量子密碼標準,對后量子密碼科技創新與產業生態產生了深刻影響。在最佳實踐方面,IBM等科技公司不僅開發量子計算技術,還在積極建立和實施后量子安全標準,組建政企合作聯盟、推動商業開源社區的構建等。可以預見,美國的后量子密碼算法將在國際上得到多數國家的支持,這不僅僅體現其全球量子霸權的意圖,也是其長期鋪墊和實施準備的結果。
我國的后量子密碼正在進入第一個發展繁榮期,國內有關行業和企業都在積極探索后量子密碼的應用和布局。當前,我國應積極組織開展后量子密碼算法的戰略和政策法律研究,分析《密碼法》中后量子密碼的法律適用和創新發展問題,思考如何依托《密碼法》第四條構建并完善中國后量子密碼發展專項戰略,實施國家技術總動員,確立我國后量子解決方案的路線,構建國際后量子密碼算法、產品和服務發展監測體系,培育中國后量子密碼創新生態機制,以及完善并實施后量子密碼算法的兩用物項出口管制等。這既是科技競爭和國際斗爭的需要,更是密碼保障的法定責任。
(本文刊登于《中國信息安全》雜志2024年第10期)