《密碼法》解讀（下）

——百姓身邊的密碼

　　各位觀眾朋友大家好！歡迎繼續收看密碼法解讀的第二講——“百姓身邊的密碼”。

　　上期，我們給大家講了什么是密碼，為什么制定密碼法，以及三類密碼中涉及國家秘密的核心密碼、普通密碼。下面，我將給大家介紹一下我們身邊的密碼，也就是商用密碼。

　　早晨醒來，你拿起手機輸入口令，手機的口令就是用商用密碼進行加密保護，并儲存在通過安全認證才能正確訪問的手機特殊存儲區域。

　　我們出行，飛機票、火車票都通過網絡購買，在線支付的全過程都有商用密碼的保護，第二代居民身份證也是通過商用密碼保證人證一致，幫助你順利通過檢票乘車，列車行進過程中，密碼始終在為列車的安全運行和控制調度提供保障。

　　工作中，網上辦公、網上辦事、交稅納稅，后面都有商用密碼在默默貢獻。可以說，商用密碼總是如影隨形，保障著你工作生活中的網絡和信息安全，但是你基本感覺不到它的存在。

　　在密碼法中，商用密碼是這樣定義的：“商用密碼用于保護不屬于國家秘密的信息。公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全。”雖然商用密碼用于保護不屬于國家秘密的信息，但是如果認為，不屬于國家秘密的信息就不需要密碼保護，用于保護不屬于國家秘密信息的商用密碼就不重要，那就完全誤解了網絡安全，誤解了商用密碼。實際上，網絡空間處處用到商用密碼，商用密碼在維護國家安全、促進經濟社會發展、保護人民群眾利益方面發揮著重要的作用。

　　商用密碼的應用同樣有著悠久的歷史。

　　清朝末年，山西平遙城內有個靠乞討為生的老太太，拿著一張1200兩的白銀匯票，到中國最早的票號日昇昌兌付白銀。這張匯票已時過三十余年，經查驗無誤，實現了兌付。山西票號百年歷史上，沒有發生過一張假匯票，這也是票號之所以能“一紙匯通天下”的最有力的保證。那么，山西票號是如何防止造假的呢？

　　在當時的條件下，由于技術問題，銀票的防偽是十分困難的。為此，山西票號創造了一套漢字密碼，用于銀票防偽，即在正常的票據下面會寫上一行字，別人看不懂，其實是銀票對應的日期和數目，如果和銀票上正常的數目和存款日期一致，就是真的；如果不一致，就是假的。而真假的辨認，只有掌握密碼的人才能做到。

　　日昇昌在平遙古城舊址柜房的側墻上，掛著一幅詩文。詩文寫到：“謹防假票冒取，勿忘細視書章”、“堪笑世情薄，天道最公平，昧心圖自利，陰謀害他人，善惡總有報，到頭必分明”、“趙氏連城璧，由來天下傳”以及“國寶流通”……?？瓷先ィ@些詩文好像是票號的工作守則，其實不然，它是中國最早的銀行密押制度，即用漢字代表數字的密碼。詩文的第一部分，共兩句、12個字，對應的是每年的12個月份；詩文的第二部分，共6句、30個字，對應的是每個月的30天；詩文的第三部分，共2句、10個字，對應的是數字壹到拾，用于記錄銀兩數目；詩文的最后一部分，4個字，對應的是銀兩的計量單位“萬千百兩”。

　　更為關鍵的是，這些密押也不是一成不變，用過一段時間，會進行變更，如果有人想要破譯或者偽造，更是難上加難。這就是歷史上的“商用密碼”。

　　進入現代社會，商用密碼的應用范圍越來越廣。

　　電信、電力、能源、金融、交通等國家關鍵信息基礎設施，我們日常用到的刷卡消費、社保系統、電子郵件，都大量使用商用密碼，用來實現網絡和信息的加密保護和安全認證，商用密碼技術和手段也越來越先進。

　　先說說刷卡消費。當我們利用銀行卡刷卡消費時，先在商家POS機上刷卡，輸入銀行卡口令后，POS機會將此次交易的口令等信息加密，與銀行后臺數據庫中的個人賬戶信息進行核對，確認持卡人是真實的，然后基于消費信息、流水號、金額等，使用密碼技術計算出一串用于安全認證的數字，用密碼術語講就是交易信息的“數字簽名”，通過網絡傳輸給銀行后臺系統，后臺收到信息及其數字簽名后，會再用密碼技術驗證這個簽名與發來的消費信息、金額等是否一致，核對通過后反饋交易成功。交易成功后，銀行會將對應的金額從持卡人賬戶轉到商家賬戶，交易完成。整個交易過程，利用密碼技術，實現了“交易雙方的身份真實有效”、“交易的賬號、口令不被第三方非法獲取”，“交易金額不被篡改”，“交易雙方的行為事后不能抵賴”。

　　再看看發票防偽。1994年我國開始使用增值稅發票，由于當時發票只采用了類似人民幣物理防偽的方法，出現了不法分子開具假票、大頭小尾，也就是陰陽票等偷逃國家稅款的行為，造成國家稅款的大量流失。為此國家組織有關部門研制了增值稅防偽稅控系統。增值稅防偽稅控系統采用商用密碼技術保護涉稅信息，增值稅發票上的所有票面信息都要經密碼進行加密，產生密文，這一長串亂碼以四個二維碼的形式打印在發票右側的密碼區。在稅額抵扣環節對密文進行解密，解密后的發票要素與發票明文進行比對，從而確定發票的明文信息是否真實。如果比對后沒有通過，就可以認定是假發票，稅額不能抵扣。這一防偽技術每年為國家減少稅收流失1000億元以上。

　　接下來聊聊最近備受關注的“區塊鏈”。2019年10月24日下午，中央政治局就區塊鏈技術發展現狀和趨勢進行第十八次集體學習，習近平總書記對加強區塊鏈技術研究、發展區塊鏈應用產業作出重要指示。那什么是區塊鏈呢？通俗的說，區塊鏈是一種由多方共同維護，利用密碼技術實現數據難以篡改、防止抵賴的分布式賬本技術。大家有沒有覺得“難以篡改”“防止抵賴”這些詞似曾相識？對！這些功能就是利用密碼技術實現的。所以說，區塊鏈最核心的技術就是密碼，正是因為有了密碼，區塊鏈上的數據才能做到完整有效，從而構建網絡信任機制。

　　通過這幾個例子，我們應該對商用密碼的重要作用有了更為準確全面的認識。黨中央高度重視商用密碼發展，1993年，就作出了大力發展商用密碼的決定；1996年，中央政治局常委會議專題研究我國商用密碼發展問題，并作出了加強商用密碼管理的重大決策；1999年，國務院頒布《商用密碼管理條例》，將黨中央、國務院關于商用密碼工作的一系列方針、政策和原則以國家行政法規的形式確定下來；2002年，商用密碼管理辦公室成立；2005年，國家密碼管理局正式成立。

　　這一系列戰略舉措，推動了商用密碼的健康發展，更好地服務國家安全和人民社會生活。黨的十八大以來，在以習近平同志為核心的黨中央堅強領導下，我國商用密碼進入了發展的快車道，密碼科研和產業全面推進，商用密碼應用的廣度和深度大幅提升。

　　觀眾朋友們，商用密碼在維護國家安全、促進經濟社會發展、保障人民群眾利益方面有如此重要的作用，密碼法關于商用密碼的發展和管理都作出了哪些規定呢？

　　按照黨管密碼原則和簡政放權的要求，密碼法在商用密碼科技創新、產業發展、人才培養、教育培訓、標準化、檢測認證、密碼應用、進出口、電子認證、行業自律、監督管理等方面作出相應規定。

　　下面，我們一起來了解一下商用密碼的具體管理規定。

　　1

　　鼓勵、促進商用密碼技術和產業發展

　　大家都知道，隨著信息技術，特別是5G、人工智能、大數據等產業變革性技術的快速發展，人們生活已經與網絡深度融合，在網絡空間有大量的個人隱私和信息安全亟需保護，密碼作為保障網絡空間安全的核心技術和基礎支撐，發揮著越來越重要的作用。經過20多年的發展，我國商用密碼產業已初具規模。金融數據密碼機、ATM、POS終端設備、金融IC卡等，在保護國家金融關鍵信息基礎設施，保護人民群眾的財產安全；縱向加密認證網關、智能電表等，保護著國家電網關鍵信息基礎設施，保證著人民群眾的用電安全；居民二代身份證、移動警務、加密攝像頭等，在維護社會公共秩序，保護人民群眾財產和人身安全方面發揮著重要作用；加密通信手機，為企業、公民個人保護信息安全提供了便捷工具；智慧城市、智能家居，也都以商用密碼作為基礎支撐?？梢哉f，商用密碼產品已滲透到我們日常生活的方方面面。

　　據不完全統計，2018年，商用密碼產品銷售總額近300億元，與未來的市場需求相比，還有很大的發展空間。密碼法第21條明確規定，“國家鼓勵商用密碼技術的研究開發、學術交流、成果轉化和推廣應用，健全統一、開放、競爭、有序的商用密碼市場體系，鼓勵和促進商用密碼產業發展。”就是要進一步激發各類市場主體活力和社會創造力，努力為商用密碼科技創新、產業發展營造更好環境，滿足全社會的應用需求。

　　2

　　遵循國際規則開展國際交流與合作

　　我們始終鼓勵和支持我國商用密碼企業走出去，服務更多的國家和地區；同時，也歡迎外商投資企業在中國依法開展商用密碼業務。我國自主設計的祖沖之（ZUC）序列密碼算法、SM2/SM9數字簽名算法、SM3雜湊密碼算法等商用密碼算法已經成為國際標準，標志著我國商用密碼理論研究及算法設計達到國際一流水平，同時，我國密碼產品和技術積極服務“一帶一路”建設，已出口10多個國家和地區，為維護國際信息安全貢獻了中國力量。

　　對密碼領域的國際交流與合作，《密碼法》有明確規定，要求堅持非歧視原則，依法平等對待包括外商投資企業在內的商用密碼從業單位，明確商用密碼技術合作的前提是基于自愿原則和商業規則，行政機關不得要求強制轉讓商用密碼技術。這些條款，回應了外商投資企業對知識產權保護問題的關切，充分表明了我們對商用密碼知識產權保護的決心，展現了我國在商用密碼領域開放自信的態度。

　　3

　　加強標準引領，推進商用密碼檢測認證體系建設

　　實施檢測認證制度是保障產品質量的國際通行做法，密碼法從激發市場活力，促進密碼產業發展的角度，重塑了現有的商用密碼產品管理體系，由單一的準入許可調整為多樣化檢測認證。正如大家熟悉的手機檢測一樣，一款新手機進入市場銷售前，首先需要先通過入網檢測，以確認能在移動網絡中正常使用，商用密碼產品和服務上市前，也需要通過嚴格的檢測認證。密碼法規定，商用密碼產品和服務以自愿檢測認證為主，給了生產單位更多的選擇空間。同時，又對特定范圍內的商用密碼產品實行強制性檢測認證，把好質量關，確保不出安全問題。這種做法既充分考慮與《網絡安全法》等相關制度相銜接，共同維護國家安全和社會公共利益，也充分尊重市場需要，符合世貿組織（WTO）規則。

　　國家密碼管理局一直高度重視商用密碼標準化工作，目前，已發布商用密碼國家標準29項，行業標準91項，覆蓋商用密碼技術、產品、服務、應用、檢測和管理等全范圍，建立了較為齊全完備的商用密碼標準體系，為建立檢測認證制度、規范市場管理提供重要的標準化依據。

　　4

　　強化對商用密碼應用的管理

　　商用密碼是把“雙刃劍”，用得好會造福社會，如果被壞人利用，則危害無窮。例如，2017年5月，一款名為“魔哭”（Wanna Cry)的蠕蟲勒索軟件襲擊全球網絡。該勒索軟件影響全球150多個國家和地區，超過30多萬臺設備受到感染。這種病毒就是利用密碼技術，對受害者電腦內的重要文件進行加密，再脅迫受害者通過比特幣支付贖金。因此，密碼法從兩方面對商用密碼使用作出明確規定。

　　一方面，該用密碼的必須依法依規使用。密碼法規定，“法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估”。

　　另一方面，密碼不能隨意濫用。密碼法規定，任何組織和個人不得利用密碼從事危害國家安全、社會公眾利益、他人合法權益等違法犯罪活動。任何組織或個人不得竊取他人加密保護的信息，或者非法侵入他人的密碼保障系統。

　　5

　　實施商用密碼進口許可和出口管制

　　剛才我們已經提到密碼是把“雙刃劍”，既可以用于合法的信息保護，也可以被用來從事違法犯罪活動，具有一定的特殊性，對其實行進口許可和出口管制，是履行國際義務、維護國家安全和社會公共利益的必要手段，符合世貿組織規則和我國對外貿易法的規定，也是國際通行做法。同時，為避免進口許可和出口管制對正常貿易造成不必要的影響，密碼法明確界定了進口許可、出口管制的適用條件，并通過制定清單，明確界定管理范圍。

　　密碼的進出口許可，不會影響正常貿易，也不會影響社會公眾的日常生活。密碼法規定對于大眾消費類產品所采用的商用密碼不實行進口許可和出口管制制度，也就是說我們社會公眾通過常規零售渠道購買的，只供個人使用的，對國家安全、社會公共利益帶來的風險較小且可控的，不在管理范圍之內。這充分體現了密碼法在保障安全的前提下促進發展的立法思路。

　　6

　　強化行業自律和監督管理

　　商用密碼產業與國家網絡化、數字化、智能化進程密切相關，必須不斷適應形勢，創新管理，提升效益。對此，密碼法作出了系列規定，強化行業自律和監督管理。

　　一是重視發揮行業協會等組織的作用。加強行業自律，推動行業誠信建設，促進行業健康發展。

　　二是構建新的監管體系。監管思路上，從事前審批轉到事中事后監督；監管方式上，把日常監管和隨機抽查相結合；監管手段上，建立統一的商用密碼監管信息平臺，推進事中事后監管與社會信用體系相銜接。

　　三是明確了法律責任。對違反密碼法有關規定的行為，明確了相應的罰則，讓密碼法律制度“長出牙齒”，確保法律有效實施。

　　《中華人民共和國密碼法》的頒布實施，為密碼依法管理提供了根本遵循，為密碼科學發展提供了法律支撐，為維護網絡空間安全提供了法治保障，為密碼領域國際交流與合作提供了法律依據，為公民、法人和其他組織維護網絡空間合法權益提供了法律武器。2020年是密碼法施行元年，也是密碼工作創建90周年。我相信，隨著《密碼法》的頒布實施，通過全社會的共同努力，必將開啟密碼事業發展的新局面，密碼也將在維護國家安全和保障人民群眾生產生活中更好地發揮作用。

　　今天的法律講堂就到這里，謝謝大家的收看，再見。