密码法拟规定:商用密码检测、认证机构应承担保密义务

广泛应用于金融、通信、电子政务等重要领域的商用密码也面临着规范管理的问题。10月21日,《中华人民共和国密码法(草案)》提交第十三届全国人大常委会第十四次会议二次审议。二审稿拟明确,商用密码检测、认证机构应当在检测认证中所知悉的国家秘密和商业秘密承担保密义务。

南都记者 刘嫚 摄

涉国家安全、公共利益等商用密码经检测认证合格方可销售

南都记者了解到,草案一审稿中规定,密码分为核心密码、普通密码和商用密码。

其中,核心密码和普通密码用于保护国家秘密信息,商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。

“商用密码的应用涵盖金融和通信、公安、税务、社保、交通、卫生健康、能源、电子政务等重要领域,在维护国家安全、促进经济社会发展、保护公民、法人和社会组织合法权益方面发挥着重要作用。” 国家密码管理局相关负责人指出。

有业内人士指出,密码法草案的推出,重塑了商用密码管理制度。

例如,草案一审稿中规定了商用密码产品强制检测认证制度:列入网络关键设备和网络安全专用产品目录的商用密码产品,用于网络关键设备和网络安全专用产品的商用密码服务,实行强制性检测认证。

不过,有常委会组成人员和公众、企业意见提出,网络安全法第二十三条已对网络关键设备和网络安全专用产品的检测认证作了规定,需要进一步明确本法与网络安全法规定的关系,保持法律之间的衔接,避免重复检测认证。

宪法和法律委员会采纳了上述意见,建议将第二十六条第一款修改为:涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证应当适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。

完善违反密码法相关规定的法律责任

南都记者了解到,草案二审稿还对商用密码检测、认证机构的保密义务进行了完善和补充。

据悉,草案一审稿已经对商用密码检测、认证机构的职能和密码管理部门的监管职权作了规定。但有的常委会组成人员建议进一步增加对上述机构和部门的保密义务要求。

二审稿在此基础上新增:商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。

同时还规定,密码管理部门和有关部门及其工作人员应当对在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。

此外,草案二审稿还完善了违反密码法相关规定的法律责任,在一审稿基础上,进一步明确了相关条款的处罚主体、处罚对象、处罚依据和罚则。

南都见习记者 吴单 发自北京