导航

美高梅手机娱乐观点

未来已来——区块链时代首部法律密码法出台 编辑:樊晓娟 印磊 洪嘉宾 2019-10-30

 

 

 

引 言

 

2019年10月24日,中共中央总书记习大大在中央政治局第十八次集体学习时强调,把区块链作为核心技术自主创新重要突破口,加快推动区块链技术和产业创新发展。习总书记的重要讲话标志着中国将大踏步进入区块链时代。与之相适应,中国在区块链领域的高位阶立法首次亮相。2019年10月26日,十三届全国人大常委会第十四次会议表决正式通过了《中华人民共和国密码法》(以下简称“密码法”),并将于2020年1月1日正式生效。

 

区块链技术的基本原理是加密的分布式记账技术。密码法的出台对于中国推动区块链技术和产业创新发展提供重要的法律保护和规范指引。本文将从立法背景、立法目的、密码定义、分类、法律责任等方面对密码法在区块链领域的亮点作一一解读。

 

 

 

 

一、立法背景

 

 

 

 

中国早已高度关注区块链技术和产业创新发展,但此前在法律层面并无高位阶法律规范出台。2019年1月10日由国家互联网信息办公室发布的《区块链信息服务管理规定》属于规范性文件,法律位阶较低。多年来,随着我国社会经济不断发展,密码已经成为国家社会各类活动中不可缺少的一部分。但长期以来,我国在密码领域仅有一部于1999年10月7日发布并生效的行政法规——《商用密码管理条例》,无论是法律位阶,还是时效性上,都难以与现时密码事业发展相适应。因此,密码法的出台将全面改善我国密码领域的法律现状,提供一个基本的法律监管框架。

 

 

 

二、立法目的

 

 

 

 

密码法第一条规定:“为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定本法。”

 

密码法的制定主要有以下两个目的:

 

 

 

(一)规范密码应用和管理,促进密码事业发展

 

制定密码法,就是要将国家对关键信息基础设施商用密码的应用要求及时上升为法律规范,并对现行商用密码管理制度作出调整,切实为企业松绑减负,促进密码科技进步和创新,促进密码产业健康发展。

 

 

 

(二)保障网络与信息安全

 

密码法的出台是为了更好地促进密码产业发展,营造良好市场秩序,为社会提供更多优质高效的密码,充分发挥密码在网络空间中信息加密、安全认证等方面的重要作用。维护国家安全和社会公共利益,保护公民、法人和其他组织在网络空间及个人信息方面的合法权益。

 

区块链技术的应用基于互联网基础设施,网络与信息安全对于区块链技术应用至关重要。

 

 

 

三、密码的定义

 

 

 

 

密码法的第二条对“密码”给出了明确的定义,即“本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。”根据上述定义,大家理解,任何对信息、数据等进行加密保护、安全认证的手段均是密码法中所称的密码。

 

其中,加密保护是指采用特定变换的方法,将原来直接明了的信息变成不能直接识别的符号序列。例如区块链技术中的哈希算法,就是通过哈希函数的计算,将信息或数据压缩,生成一个特定的哈希值,以在信息数据的传输或者保存中起到加密的作用。那么这里的哈希算法,就可以被定义成为密码学中的“密码”。

 

安全认证则是指采用特定变换的方法,确认信息是否被篡改、信息来源是否真实可靠。例如在基于区块链技术的数字通证转账经常使用公钥私钥。公钥(Public Key)与私钥(Private Key)是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),公钥是密钥对外公开的部分,私钥则是非公开的部分。公钥通常用于加密会话、验证数字签名,或加密可以用相应的私钥解密的数据。用公钥加密的数据就必须用私钥才能解密,[1]这就是安全认证的一种方式。 

 

 

 

四、密码的分类保护

 

 

 

 

密码法第六条中,将密码分为核心密码、普通密码和商用密码三类。其中,核心密码、普通密码用于保护国家密码信息,商用密码用于保护不属于国家秘密的信息。

 

 

 

(一)核心密码、普通密码

 

根据密码法第七条的规定,核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。

 

此外,在密码法的第二章中,对于核心密码、普通密码作了更详细的规定。对于从事密码工作的机构,应当建立安全管理制度,采取严格的保密措施和保密责任制。[2]密码法中未对保密责任制作具体说明,大家理解,保密责任制可能要求将保密责任落实到密码工作机构中的高管、领导等个人层面。具体保密责任制的实行办法应由密码管理部门予以明确。

 

对于密码管理部门,应当建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动、有序高效。[3]

 

当密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患时,应当马上采取应对措施,并及时向保密行政管理部门、密码管理部门报告,由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置,并引导有关密码工作机构及时消除安全隐患。 

 

 

 

(二)商用密码

 

商用密码应当是一般商业交易中应用最为广泛的密码,也是区块链应用最为常用的密码。关于商用密码的规定主要由以下几个方面:

 

1. 外商准入

 
 

对于从事商用密码的科研、生产、销售、服务、进出口等企业单位(以下简称“商用密码从业单位”),包括外商投资企业在内应当依法平等对待。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。但损害国家安全、社会公共利益和他人合法利益的除外。[4]

 

这一条的规定,充分体现了非歧视和公平竞争原则,放宽市场准入,更好地激发市场活力和社会创造力;也充分考虑了区块链技术应用的基于互联网超越国界的特点。 

 

2. 建立标准体系

 
 

密码法第二十二条、二十四条要求国家密码管理部门及相关行政主管部门共同制定商用密码的国家标准、行业标准,并鼓励商用密码从业单位利用自主创新技术制定高于国家、行业标准的企业标准。同时,商用密码从业单位在开展商用密码活动中应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。

 

除商用密码标准外,密码管理部门还应制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证。

 

3. 与《网络安全法》相适应

 
 

密码法第二十六、二十七条中,还提到部分适用《网络安全法》的情形。需要经具备资格的机构检测认证或审查后方可投入使用的商用密码产品,应按照《网络安全法》第二十三条、三十八条、三十九条的规定实行。

 

上述规定落地后,基于区块链的加密钱包等业务将有技术标准可循,也需要接受检测认证,有利于相关业务规范化运作,保护用户的合法权益。

 

 

 

五、法律责任

 

 

 

 

密码法的第四章对于违反密码法规定的行为的具体法律责任予以了明确。对于违反密码法规定的行为,可由密码管理部门会同其它行政主管部门对违法单位采取责令改正、警告、没收违法所得、罚款、吊销资质等处罚措施,对直接负责的主管人员采取罚款等处罚措施。除上述行政处罚外,对于构成犯罪或给他人造成损害的,应当依法承担刑事或民事责任。

 

 

结 语

 

密码法的出台填补了我国密码领域长期存在的法律空白,对于加快密码法治建设,理顺国家安全领域相关法律法规关系,完善国家安全法律制度体系,意义重大。大家相信密码法的出台将对于区块链技术的落地提供强有力的法律支撑。大家期待密码管理部门能够早日出台相应密码管理规章,使密码法的相关规定在实操层面尽快落地。

 

 

声明

 

 

本文旨在法规之一般性分析研究或信息分享,不构成对具体法律的分析研究和判断的任何成果,亦不作为对读者提供的任何建议或提供建议的任何基础。编辑在此明确声明不对任何依据本文采取的任何作为或不作为承担责任。如需转载或引用本文的任何内容,请联系编辑(fanxiaojuan@zhonglun.com);未经编辑同意,不得转载或引用本文的任何内容。

 

[注] 

 

[1] https://help.aliyun.com/knowledge_detail/42216.html

[2] 参见密码法第十五条。

[3] 参见密码法第十七条。

[4] 参见密码法第二十一条。

XML 地图 | Sitemap 地图