密码法背景下的商用密码应用及挑战

2020-04-24 16:38:30 国家密码管理局网 129

  《商用密码管理条例》于1999年10月7日施行,至今已逾二十年。对于一部技术导向的管控型立法而言确属高龄,期间密码技术发展、密码产品应用已发生翻天覆地的变化,商用密码管理有关部门先后放开商用密码产品生产单位审批、商用密码产品销售单位许可等前置性的市场准入要求。可以说,当前密码法的制定和颁布恰逢其时,整个科技行业翘首以待。

  密码法根据国际国内网络与信息安全法治与实践环境的新变化、密码工作的新情况,对密码管理、应用、安全、发展及促进等问题进行了专门规定,为更好地落实密码法的要求,以下从产业的视角理解其出台背景、商用密码管理创新及其对商用密码应用的影响。

  一、全球视野下的商用密码管理变革

  商用密码产品的普及,是顺应信息技术革命的必然结果,保障安全成为信息产品和信息服务的基本需求,密码技术作为不可或缺的重要手段,密码应用将不断深入和拓展。随着全球大数据、云计算、互联网、物联网等信息技术的发展,以密码算法、数据加解密、认证鉴别、密码管理、密码防伪等为核心功能的商用密码产品实现了从“不好用、很少用”到“方便用、普遍用”的技术突破,迎来爆发式增长的新高潮。

  同时,密码技术的发展也对经济发展、社会进步乃至国际政治经济格局等方面产生重大而深远的影响。典型的如以非对称加密算法为核心要素的区块链技术为各国经济社会发展带来新机遇,但也来了一系列挑战,特别是对金融市场而言;先进加密技术的应用可以有效保护隐私,但是执法部门在行政调查中也面临解密困境。

  国家利益的动态发展变化,引发了商用密码管制法律理念的更新。国际上自上世纪90年代开始发达国家和发展中国家先后开始推进放松国内密码管制,放开本国居民生产、使用、销售密码的限制,放松对加密产品和加密技术控制。1997年,经合组织发布《密码政策指南》呼吁放松对密码技术的控制,开发基于市场、使用者驱动的密码产品和服务。

  在商用密码的出口管制领域,则问题相对更为复杂,且受政治因素影响非常大。密码技术的应用领域广泛,对国家信息安全起着重要的支撑作用,各个国家政府按照政策法律对密码技术实行出口管制是必然选择。然而,在中国为代表的主要发展中国家密码研发与创新能力不断取得突破,以及美欧密码产品出口冲动的内因驱动下,国际上以“瓦森纳协议”为代表的限制密码自由化的政策,也在呈现整体动态放松、聚焦重点管控的态势。

  可以说,密码法的出台,是适应全球商用密码管理变革,落实中国密码管理职能转变的必然,也是中国统一、开放、竞争、有序的密码市场体系建设的里程碑,是中国密码技术与密码产业开始迈向更高质量发展的新开始。

  二、密码法对商用密码管理的创新

  密码法重塑了全新的具有中国特色的商用密码管理体系。当前的法律科学地回答了两个重要问题,一是面对国内外日益严峻的网络安全态势,如何进一步创新商用密码管理体系,加强商用密码应用事中事后管理,特别是关键信息基础设施的商用密码保护;二是面对数字经济的飞速发展,如何推进商用密码产品管理的放管服,以释放商用密码市场活力,进一步激励商用密码产业发展。在商用密码管理上密码法实现了3个重要创新:

  一是创新商用密码使用环节监管,提出商用密码应用安全性评估。

  当前数据及其承载的信息系统的安全性、完整性和保密性已经成为网络运营者的基本需求,商用密码技术在其中发挥不可替代的作用。鉴于商用密码应用场景的多样性、复杂性,密码法创设了商用密码应用安全性评估制度,且明确要求与网络安全等级保护测评、关键信息基础设施安全保护评估中的商用密码安全评估机制相衔接。商用密码应用安全性评估对规范商用密码应用,提高网络运营者商用密码应用的前瞻性、统筹性、严谨性有重要意义。

  二是统筹考虑商用密码管理的市场导向与国家安全保障需要,实行商用密码检测认证自愿与强制相结合的双轨机制。

  通常密码从业单位可以从市场竞争的角度自主决定是否接受商用密码检测认证。当商用密码的应用涉及涉及国家安全、国计民生、社会公共利益,被列入网络关键设备和网络安全专用产品目录的,需要按照相关国家标准的强制性要求,由具备资格的机构安全认证合格后方可销售。这样的制度安排既尊重了市场在商用密码应用领域的基础性作用,也符合WTO的国家安全例外原则。

  三是进一步推动商用密码市场高水平开放,保护外资合法权益,促进内外资企业公平竞争。

  《国务院关于取消一批行政许可事项的决定》(国发〔2017〕46号)已经取消了外商投资企业使用境外生产的密码产品、境外组织和个人使用密码产品或者含有密码技术的设备的事前审批。密码法进一步将需要取得商用密码进口许可的范围从《商用密码管理条例》中的“密码产品以及含有密码技术的设备”限缩为“对涉及国家安全、社会公共利益且具有加密保护功能的商用密码”。同时,法律明确要求各级人民政府及其有关部门遵循非歧视原则,依法平等对待外商投资企业,不得利用行政手段强制外商投资企业转让商用密码技术。上述要求,彰显了中国主动开放商用密码市场的坚定意志和决心。

  三、密码法对商用密码应用的主要影响

  密码法的实施,有利于进一步推动商用密码应用的法治化、科学化、规范化,对建立以商用密码从业单位为主体、商用密码市场为导向、产学研深度融合的密码技术创新体系有着重要促进作用。但是由于配套的网络安全法律法规与国家标准、行业标准仍在陆续完善过程中,《商用密码管理条例》尚未完成修订工作,密码法在实施过程中可能也需要更加关注以下方面的问题:

  一是在网络产品与信息服务的规划、建设阶段,网络运营者可参照密码应用安全性评估相关规则进行设计,但是商用密码应用安全评估机制不能异化为对网络运营者的事前审查机制。从制度统筹性的角度,可以考虑将商用密码安全性的自评估或者第三方评估,作为一个独立的评估模块,在网络运营者网络安全等级保护测评,以及关键信息基础设施运营者每年自行或者委托第三方评估中加以引用。

  二是网络安全新形势下的商用密码产品应用还处于起步阶段,网络运营者尚在规则换挡的磨合适应期,相关规则的解释与执行需要结合实际应用情况及时调整。当前网络安全等级保护2.0系列标准对安全通信网络中通信传输要求使用加密技术,安全计算环境中身份鉴别、数据完整性、数据保密性使用密码技术,保证传输和存储的加密,安全建设管理和安全运维管理中包括安全测试报告应包含密码应用安全性测试相关内容等。

  由于前期非涉密单位的网络运营者并无明确强制性的密码应用安全要求,网络运营者面对陆续制定的国家密码管理规定,可能会面临观念、管理、技术、成本等各种磨合适应,密码管理部门及相关网络安全管理部门需要根据实际商用密码应用情况,对具体规则的解释与执行及时进行必要调整。

  三是商用密码应用需要纳入网络运营者的网络安全总体工作统筹考虑。由于各种原因,网络运营者关于商用密码应用的决策有可能分散在具体网络安全实践的多个环节,商用密码的应用缺乏统筹安排,体系性不强。商用密码应用的部署具有一定周期性,无法一蹴而就。

  对此,网络运营者应当尽快根据密码法以及相关网络安全法律法规和标准的要求,审慎判断自身的网络安全态势与风险,判断网络设施需要具备的安全安全能力,进而规划足够的人力物力财力,配置符合法律要求与自身需求的商用密码产品。同时,鉴于国际形势的不稳定性不确定性更加突出,网络运营者应当充分考虑全球供应链安全问题,包括密码技术、密码产品供应链可靠性。

  四是当前商用密码科技创新能力显著提升,突破一批商用密码重大基础理论和关键核心技术,但是商用密码产品性能仍然有待提升。具有商用密码产品研发与创新能力的企业要抓住机会,特别是要适应云计算、大数据的运行环境与快速迭代发展趋势,加快提升密码产品的安全性能和加密速度,为数字经济多元场景提供更灵活、更可控地密码安全解决方案。

  四、结语

  5G的到来将开启全新的物联网时代,5G与大数据,云计算,人工智能等诸多创新技术的新一轮耦合势必将会对网络产品与信息服务提出更高的安全性能要求,商用密码应用水平将成为衡量各网络运营者网络安全能力的重要指标。网络运营者应当抓住当前的技术换挡窗口期,加紧落实密码相关法律法规及国家标准的要求,统筹安排商用密码应用,筑牢自身网络安全防线,提高网络安全保障水平。(作者顾伟,工作单位:阿里巴巴集团法务部法律研究中心)