6月29日上午,十三屆全國人大常委會第十一次會議對密碼法草案進行分組審議。


與會人員認為,密碼工作是黨和國家的一項特殊重要工作,在維護國家安全、促進經濟社會發(fā)展、保護人民群眾利益方面發(fā)揮著重要作用。進入新時代,密碼工作面臨著新的機遇和挑戰(zhàn),擔負著更加繁重的保障和管理任務,制定一部密碼領域綜合性、基礎性法律,十分必要。

圍繞進一步提升密碼保密工作、商用密碼應用等問題,一些全國人大常委會組成人員與列席人員提出了相應的建議。


要更好地在“放管服”上下功夫

韓立平委員認為,密碼法的制定,對保障網絡與信息安全,保護公民、法人和其他組織的合法權益,維護國家安全和戰(zhàn)略利益,具有重要的意義,非常必要且正當其時。草案設立的主要制度均已具備有效實施的條件和有利的環(huán)境,有3個鮮明的特點:

通過國家立法,把黨對密碼工作的集中統(tǒng)一領導和黨管密碼的重大原則、體制固定下來,使黨的主張上升為國家的意志。

通過立法確立了密碼在維護國家安全中的重要地位,把多年來密碼管理行之有效的做法、經驗和制度固定下來,密碼管理的權威性、強制性進一步提升。

密碼法確立了核心密碼、普通密碼和商用密碼三類密碼分類管理的原則,將有力促進密碼技術的進步、產業(yè)發(fā)展和規(guī)范應用。同時,確保密碼使用優(yōu)質高效、密碼管理安全可靠。

包信和委員認為,規(guī)范密碼管理、避免混亂和壟斷非常重要。草案明確把密碼分成3類：核心密碼、普通密碼和商業(yè)密碼，易于管理,能更好地用于服務國家經濟發(fā)展以及個人切身利益。希望通過密碼法的制定,更好地在“放管服”上下功夫,特別是商業(yè)密碼,能夠更好地服務于大眾,服務于經濟發(fā)展,希望密碼管理部門在這方面要下功夫。

王超英委員指出,立法的關鍵問題在于是不是有利于行業(yè)的發(fā)展,這可能是這部法律立法當中一個最重要的價值判斷。草案說明說得很好,體現了“放管服”的精神。

“但是,從商用密碼這一章我們看到的大多是認證、許可、管制這些內容,是不是真的符合‘放管服’改革的要求,是不是真的有利于促進行業(yè)發(fā)展,有利于提高我們的核心競爭力,特別是在國際上的競爭力和行業(yè)地位,還需要認真研究。”王超英說。


對一些違法行為處罰力度不足

一些委員認為,應當進一步完善相關規(guī)定,提升密碼保護的力度。

劉季幸委員建議,在第十五條規(guī)定中的“采取嚴格的保密措施”后增加“實行嚴格的保密責任制”。保密工作具有特殊性,必須落實到人,安全責任必須指定專人負責,既有黨委的責任,也有具體負責人的責任,遵循嚴格的保密責任制,對確保密碼安全至關重要。

張志軍委員認為,檢測和認證機構在密碼推進工作中位居十分重要的位置,應在法律責任這方面提出一些保密要求,如不得透露受檢測、受認證者的技術、秘密等信息。外商投資法也有類似的規(guī)定,這樣的規(guī)定是有必要的。

草案規(guī)定了相應的法律責任。有委員認為,應當加大處罰力度,提升法律的震懾力。

李銳委員注意到,草案第三十六條規(guī)定了“違反本法第二十六條規(guī)定,銷售或者提供未經安全認證、安全檢測或者安全認證不合格、安全檢測不符合要求的商用密碼產品或者服務的”情形下相關單位的法律責任,但其中僅規(guī)定了市場監(jiān)督管理部門對單位的處罰措施。

“因草案第二十六條規(guī)定的是涉及國家安全、國計民生、社會公共利益的商用密碼產品需經安全認證、安全檢測,該類產品如發(fā)生意外,可能會對國家安全及社會公共利益造成重大損失,但草案第三十六條中僅規(guī)定由市場監(jiān)督管理部門對相關單位沒收違反所得及罰款,顯得處罰力度不足,建議參考草案第三十四條的規(guī)定,由密碼管理部門建議有關國家機關、單位對直接負責的主管人員和其他直接責任人員依法給予處理,并追究其法律責任。”李銳說。


App收集個人信息行為要監(jiān)管

結合網絡安全法中的相關規(guī)定,王剛委員認為,推動商用密碼的應用或者強制應用,應該是密碼法不可缺少的一個內容。

網絡安全法規(guī)定,建設、運營網絡或者通過網絡提供服務,應當依照法律、行政法規(guī)的規(guī)定和國家標準的強制性要求,采取技術措施和其他必要措施,保障網絡安全、穩(wěn)定運行,有效應對網絡安全事件,防范網絡違法犯罪活動,維護網絡數據的完整性、保密性和可用性。

王剛認為,網絡安全法講的技術設施關鍵的支撐,就是密碼法里說的密碼。因此,密碼的技術標準、密碼產品的安全性就顯得很重要,密碼尤其是商用密碼的應用是一個更重要的問題。然而,密碼法草案對一些通過網絡及其設施提供服務的一般服務商沒有明確提出要求。對商用密碼的應用或者商用密碼必須應用或者強制應用,也未作更多規(guī)定。

“一部密碼法,除了密碼標準和密碼的安全性評價是這個法規(guī)定相關部門應該做的行為外,推動商業(yè)密碼,特別是一些重要領域強制運用也是這部法應該規(guī)定的。比如現在很多App都在收集個人信息,要求權限,誰來管這個事?這樣的App企業(yè)至少應該使用商業(yè)密碼,誰來管、誰來監(jiān)督這個事非常重要。”王剛說。

草案第二十六條第二款規(guī)定,用于網絡關鍵設備和網絡安全專用產品的商用密碼服務,應當由商用密碼認證、檢測機構安全認證合格或者安全檢測符合要求后,方可提供。


對此,列席會議的全國人大代表陳曉峰認為非常有必要,并提出了兩個優(yōu)化建議:

一方面,考慮加入適應期,讓在立法前已在市場用了一段時間的商用密碼產品有一個合理的適應期或升級完成認證及檢測的程序。

另一方面,法律的規(guī)范范圍也應當適用于已銷售或者已提供后的改動,商家在推出軟件升級前也必須通過認證或檢測。因為事實上,很多開發(fā)手機App軟件的公司往往在軟件上架時安分守己,但之后的更新很多時候會加入其他未經檢測的程序改動,令用戶可能在不經意間掉入隱私外泄的陷阱。

文章來源：法制網