吕尧，李东格

（赛迪智库网络安全研究所，北京100846）

1 引言

2019年10月26日，经第十三届全国人民代表大会常务委员会第十四次会议表决通过，《中华人民共和国密码法》将于2020年1月1日正式实施。这是我国首部密码领域综合性、基础性的法律，旨在促进密码事业发展、保障网络与信息安全。《密码法》全篇共五章四十四条，本文总结了该法律的四项突出特点，分析了法律出台后对各产业的影响，并对后续工作进行了预测。

2 《密码法》概述

2.1 立法背景

20世纪90年代，为满足信息化发展安全的需要，推动密码产品、产业规范发展。1999年，我国制定了《商用密码管理条例》。针对商用密码的科研、生产、销售、使用等各个环节，国家制定了生产、销售、使用等一系列的规定，建立了一套商业密码管控制度。近几年，密码技术的应用不断深入，核心作用不断提升，其越来越受到国家、社会的重视，随着信息化的发展，密码已有的管理制度不能满足技术发展需要和社会管理需求，制定一部针对密码的综合性、基础性法律确有必要。为进一步促进密码技术在国家安全、国民经济发展、个人信息保护等方面的作用，统筹协调不同领域密码的管理，在2014年12月，国家密码管理局正式成立《密码法》起草小组，着手法律的起草工作[1]。

2.2 立法过程

《密码法》从起草到实施共历时5年。2014年12月，密码法立法工作启动。2016年12月，密码法（草案）经中央密码工作领导机构审议并原则通过。2017年4月至5月，密码法（草案征求意见稿）在国家密码管理局商用密码管理办公室网站首次面向社会公开征求意见。2017年6月，密码法（草案送审稿）正式报送国务院。2018年之后，密码法相继列入第十三届全国人大常委会立法规划和全国人大常委会、国务院年度立法的工作计划。2019年6月10日，密码法（草案）经国务院第52次常务会议会讨论通过。随后，国务院总理签署议案，正式将密码法（草案）提请全国人大常委会审议。2019年6月25日至29日，十三届全国人大常委会第十一次会议初次审议密码法（草案）。2019年7月5日至9月2日，密码法（草案）在中国人大网上面向社会公开征求意见。2019年10月21日至26日，十三届全国人大常委会第十四次会议对密码法（草案）进行了二次审议并表决通过，国家主席签署第35号主席令正式颁布，自2020年1月1日起施行[2]。

2.3 立法意义及目的

密码是保障网络与信息安全的核心技术和基础支撑，密码工作是一项特殊重要工作，直接关系国家政治安全、经济安全、国防安全和信息安全，在我国革命、建设、改革各个历史时期，都发挥了不可替代的重要作用。随着信息技术的不断发展，密码工作面临着许多新机遇和挑战，制定密码领域综合性、基础性法律，规范密码的管理、推动密码产业的发展，有利于推动我国密码工作长足发展，为我国家安全、国民经济发展、人民生产生活提供更有力的保障。密码法的立法目的也在于此，主要解决密码工作的四个问题：一是密码由谁管理；二是密码怎么管理；三是怎样推动密码发展；四是密码违法行为的惩罚措施。《密码法》的出台为主管部门管理密码提供了依据，为密码应用规范了路径，为密码发展指明了方向。

2.4 主要内容

《密码法》[3]全篇共五章四十四条，内容涵盖密码管理、密码应用、促进密码发展、密码监督管理及法律责任等内容，着重解决我国密码事业及相关产业发展中遇到的突出问题。

第一章总则，说明了立法目的、密码管理基本原则，以及密码发展促进和保障措施。其中，密码管理和发展是重点。管理方面，一是确定了党对密码的统一管理，二是明确了密码的定义，确立了该法管理范围，三是建立“核、普、商”三级密码管理体制；发展方面，提出鼓励密码技术创新、产权保护，人才培养、队伍建设、培训宣传、经费保障等措施。

第二章对核心密码、普通密码的使用、管理做出规定，重点突出国家在核心密码、普通密码管理方面的重要作用，明确了密码管理部门、密码工作机构、密码应用部门的职责，提出支持密码工作的特殊保障制度和措施。

第三章对商用密码发展和管理做出规定，提出商用密码向市场化方向发展，促进密码技术“产学研用”联合，推动相关产业发展。强调国家建立完善商用密码体系，推动参与国际标准；明确商用密码从业单位、检测认证机构、密码产品、电子政务电子认证服务机构等的管理要求。

第四章明确了涉及密码相关违法行为的定义和法律责任。在核心密码、普通密码方面，主要针对密码的使用、泄漏、应急的处罚；在商用密码方面，主要对应密码相关行政许可、审批事项的处罚。

第五章附则部分，明确国家密码管理部门的规章制定权，以及解放军和武警部队密码立法事宜。确定了本法的施行日期。

3 密码法的突出特点

3.1 确立党管密码这一根本原则

随着网络强国战略、国家信息化发展战略、国家大数据战略的实施，密码作为保障网络与信息安全的核心技术和基础支撑，其作用和地位愈发重要。党对密码工作的绝对领导，这是中国共产党自1930年创建密码工作以来就坚持的根本原则。此次将党的主张通过法律程序成为国家意志，为进一步实现我国密码工作法治化、科学化发展打下坚实基础[4]。

3.2 密码的概念及范畴进行了延伸

《密码法》第二条密码的定义表明两点。一是在实际应用层面，法律中密码的概念区别于大众对现实生活中“密码”的认知。大众通常认为的密码，如银行卡“密码”、计算机开机“密码”、电子邮箱登录“密码”实际是口令，仅是密码技术、产品或服务在应用时的一个要件。二是在技术层面，法律中的密码拓展了学术对密码的定义。学术上对密码仅指基于密码学的技术，而法律将其拓展到产品和服务，拓展了密码法的管理范围，包括区块链等都可以认为包含在密码管理范畴内。

3.3 延续继承了密码分类管理体制

法律延续了党中央长期以来密码管理工作的基本策略，仍将密码分为核心密码、普通密码、商用密码，核心密码、普通密码用于涉及国家秘密领域，商用秘密用于非涉及国家秘密领域。三类密码的要求不同，对其进行明确划分，有利于密码管理部门对密码的科学管理，发挥了三类密码在不同领域、不同安全等级对象中的保护及支撑作用。保持三类密码的划分，有利于保持密码管理工作的平稳性和连续性。

3.4 商用密码管理是核心

法律中商用密码与其他两类密码分列不同章节，采用了“宽严有序、张弛有度、内外有别”的管理模式，核心密码、普通密码偏向“严”，以保障国家信息的安全。商用密码偏向“市场”，更有利于促进密码相关产业的发展，满足市场对商用密码的需求。以前出于安全考虑，一律对密码使用采取“严管”措施进行限制，在一定程度上制约了商用密码的合理使用和科学发展。为了适应密码应用社会化的客观需求，法律中专门将商用密码单列一章，涉及多个行业的管理规定，占用的篇幅最长，对应罚则最多，影响的范围最大，是本法中的重要内容。

4 密码法对产业的影响

4.1 对商用密码产业发展是重大利好

在“适度宽松”的背景下，对商业密码产品生产、销售、检测认证等全产业发展都是有利的。首先，明确进出口管理，改变密码“严管”一刀切的管理方式，有利于国内密码企业、密码产品“走出去”，国外先进经验，关键技术引进来。其次，对密码定义的延伸以及实施特定产品强制性检测认证制度，使得针对不同密码产品及服务的检测、认证、评估等需求显著上升，有利于国内密码检测认证行业发展。再者，随着国产化替代、自主可控等政策的深入推进，金融、能源等重要行业围绕密码为核心的产品、系统替换改造建设工作将加速推进，释放出大量需求，极大地拓展了商用密码的市场空间，商密码产业将迎来蓬勃发展期。

4.2 针对密码领域的培训机构将增长

《密码法》中规定的多项任务都需要有对应的人员予以支撑，如第十七条需要建立密码安全预警、应急处置的专业支撑队伍；密码政策、标准的制定，需要具有密码知识背景的复合型人才；商用密码从业单位、检测认证机构的发展壮大，需要大量密码专业从业者。对密码人才的需求，与每年少量的密码学专业毕业生形成鲜明对比，巨大人才缺口是显而易见的。但是短期内，高校教育体系内无法快速培育出适应需求的密码人才，针对密码的培训行业迎来绝佳发展契机。

4.3 电子认证服务行业面临监管深化

电子认证在信息化及信息安全保障方面发挥着重要作用，《密码法》在《电子签名法》的基础上，进一步明确了对从事电子政务电子认证服务的机构进行管理，突显了电子认证服务行业的重要性[5]。监管逐渐深化，这在一定程度上给行业带来了压力，一个企业需要拿到国家密码主管部门的电子认证服务使用密码许可证、国家信息化主管部门的电子认证服务许可证、国家密码主管部门的电子政务电子认证服务许可证，才能在全领域开展业务。同时，国家电子政务政策及一体化服务平台建设，客观上压缩了电子政务领域的市场空间，行业发展面临双重压力，产业转型升级进入攻坚期。

4.4 区块链行业将进一步规范发展

区块链与电子认证师出同源，都是基于非对称加密技术及哈希算法等密码算法。不论区块链是作为一种技术，还是一种应用模式，都可能被认为是密码产品或服务，而归为密码管理范围。基于此，未来将可能形成三方管理的模式：一是中央网信办的备案管理；二是工业和信息化部的产业及应用管理；三是国家密码管理部门的技术管理。区块链的发展将更加规范化、标准化，有利于区块链的推广普及，实现在金融、法律、物流等各领域中的深入应用。

4.5 国产密码算法将广泛应用

密码实行分类管理后，我国主推的SM系列国产算法将得到广泛应用，基于国产密码算法的产品、服务将大量出现。以国产商用密码SM2算法为例，SM2与目前主流的RSA国际算法相比，在等同密钥长度下拥有更高的安全性能和更快加密速度。RSA算法是基于大整数分解数学难题进行设计的，SM2是基于椭圆曲线算法ECC设计的，SM2采用256位密钥长度，加密强度等同于3072位RSA密钥长度。这意味着SM2在实际中应用有更快的速度，更低的延时，更强的抗攻击性，更少的资源（CPU、内存、带宽）占用率。《密码法》实施后，将有利于优秀国产密码的应用推广和国际算法的替换工作，为国产密码算法大规模应用奠定了法律基础。

4.6 为我国法定数字货币发行铺路

2019年，在Facebook发行加密货币libra 天秤币成为全球互联网金融市场焦点的同时，中国人民银行打造的法定数字货币DCEP（Digital Currency Electronic Payment，DCEP）也从幕后走向台前。数字货币的核心技术是密码，数字货币的生产发行、储存、流通、交易、运行环境等全流程都离不开密码技术的支持，密码技术保障了数字货币的安全性，密码技术的可靠性决定了数字货币价值体系的稳定性。《密码法》的出台，有利于从根本上确立法定数字货币的技术体系，保障法定数字货币技术的合法性，为正式发行实施法定数字货币奠定基础。

5 《密码法》出台后续工作展望

5.1 完善密码配套的法律法规

从专业角度上看，《密码法》属于密码领域的一般法，只是涉及密码的各种社会关系的一般性规定以及原则性罚则。下一阶段，需要结合我国实际，制定密码相关专门配套法律规范，例如密码进出口管理规范、电子政务电子认证服务管理规范、密码技术标准规范、密码管理执法标准、密码从业人员管理规定、处罚具体规范及程序等，进一步形成比较完善的、具有中国特色的密码法律体系架构。

5.2 进一步发展密码相关产业

《密码法》为密码与数字中国、云计算、物联网、智能智造等国家战略的深入融合奠定了法律基础。金融、能源安全、信息网络、社会治理、现代服务业等社会各领域对密码的需求将大幅增长，密码从业单位、检测认证机构、电子认证服务机构发展迎来新机遇，提升企业的研发能力、创新能力、成果转化能力，满足不同领域对密码应用、改造、升级的需求，是产业未来发展的重要任务。

5.3 加大密码人才培养

目前，国内密码人才相对匮乏，只有少数高校设有密码学专业，社会第三方培训机构较少，缺乏密码领域资格从业认定及支撑评定，具有密码、法律专等业背景的复合型人才更是少之又少。多渠道、多方式的人才培养，是推动密码管理、促进密码行业发展的核心工作。通过政策扶持、资金支持等方式，支持高校、科研机构、社会培训机构对密码人才的培养，建立全面、系统、科学的密码教育培训体系及课程，针对量子密码等领域开展预先研究培训[6]，强化人才跨学科培养、跨领域交流，培养密码专业型、复合型等各类人才，满足密码管理工作及产业发展需要。

5.4 加强国产密码标准国际交流及推广

目前，大部分领域系统或产品中，主要以应用欧美国际密码算法为主。加强国产密码算法国际交流，有利于促进国产密码算法安全性提升。在国际交流中，接受来自世界范围内专家、学者的检验，印证国产密码算法安全性，同时督促国内密码算法基础研究，提高国内科研实力。推动国产密码算法成为国际标准，提高我国在密码算法方面的话语权，促进国产密码的应用及普及，有助于自主可控、国产化替代等政策的实施，提高我国网络安全防护能力。

6 结束语

《中华人民共和国密码法》在2020年1月1日正式实施后，将对各领域产生深远影响。本文介绍了立法背景、过程以及法律的主要内容，总结提出了法律的四项突出特点，并对法律出台后对商用密码产业、密码培训行业、电子认证服务行业、区块链行业、基于国产密码算法的产品和服务、我国法定数字货币的影响进行了分析，最后预测提出法律出台后，还需要开展的具体工作。