61.問(wèn):商用密碼標(biāo)準(zhǔn)具備什么樣的法律效力?

答:《密碼法》第二十四條規(guī)定:商用密碼從業(yè)單位開(kāi)展商用密碼活動(dòng),應(yīng)當(dāng)符合有關(guān)法律、行政法規(guī)、商用密碼強(qiáng)制性國(guó)家標(biāo)準(zhǔn)以及該從業(yè)單位公開(kāi)標(biāo)準(zhǔn)的技術(shù)要求。國(guó)家鼓勵(lì)商用密碼從業(yè)單位采用商用密碼推薦性國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn),提升商用密碼的防護(hù)能力,維護(hù)用戶的合法權(quán)益。

商用密碼從業(yè)單位開(kāi)展商用密碼活動(dòng)應(yīng)當(dāng)依照有關(guān)法律、行政法規(guī)的規(guī)定行使權(quán)利和履行義務(wù),是遵守法律的必然要求。商用密碼從業(yè)單位開(kāi)展商用密碼活動(dòng),除了遵守法律、行政法規(guī),還應(yīng)當(dāng)符合商用密碼強(qiáng)制性國(guó)家標(biāo)準(zhǔn)以及該從業(yè)單位公開(kāi)標(biāo)準(zhǔn)的技術(shù)要求。此外,國(guó)家鼓勵(lì)商用密碼從業(yè)單位采用商用密碼推薦性國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)。

62.問(wèn):什么是商用密碼強(qiáng)制性國(guó)家標(biāo)準(zhǔn)和推薦性國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)?

答:我國(guó)標(biāo)準(zhǔn)按照實(shí)施效力分為強(qiáng)制性標(biāo)準(zhǔn)和推薦性標(biāo)準(zhǔn)。強(qiáng)制性標(biāo)準(zhǔn)僅有國(guó)家標(biāo)準(zhǔn)一級(jí)。推薦性標(biāo)準(zhǔn)包括推薦性國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。也就是說(shuō),商用密碼行業(yè)標(biāo)準(zhǔn)都是推薦性標(biāo)準(zhǔn)。

強(qiáng)制性標(biāo)準(zhǔn)必須執(zhí)行,不符合強(qiáng)制性標(biāo)準(zhǔn)的產(chǎn)品、服務(wù),不得生產(chǎn)、銷(xiāo)售、進(jìn)口或者提供。違反強(qiáng)制性標(biāo)準(zhǔn)的,依法承擔(dān)相應(yīng)的法律責(zé)任。

國(guó)家鼓勵(lì)采用推薦性標(biāo)準(zhǔn),即從業(yè)單位自愿采用推薦性標(biāo)準(zhǔn)。同時(shí)國(guó)家還會(huì)采取一些正向激勵(lì)措施,鼓勵(lì)企業(yè)采用推薦性標(biāo)準(zhǔn)。但在有些情況下,推薦性標(biāo)準(zhǔn)的效力會(huì)發(fā)生轉(zhuǎn)化,必須執(zhí)行,例如:(1)推薦性標(biāo)準(zhǔn)被相關(guān)法律、法規(guī)、規(guī)章等引用,則該推薦性標(biāo)準(zhǔn)具有相應(yīng)的強(qiáng)制約束力,應(yīng)當(dāng)按照法律、法規(guī)、規(guī)章的相關(guān)規(guī)定予以實(shí)施。(2)推薦性標(biāo)準(zhǔn)被企業(yè)進(jìn)行了自我聲明公開(kāi)的,企業(yè)必須執(zhí)行該推薦性標(biāo)準(zhǔn)。企業(yè)生產(chǎn)的產(chǎn)品與明示標(biāo)準(zhǔn)不一致的,根據(jù)《產(chǎn)品質(zhì)量法》等法律法規(guī)承擔(dān)相應(yīng)的法律責(zé)任。(3)推薦性標(biāo)準(zhǔn)被合同雙方作為產(chǎn)品或服務(wù)交付的質(zhì)量依據(jù)的,該推薦性標(biāo)準(zhǔn)對(duì)合同雙方具有約束力,雙方必須執(zhí)行該推薦性標(biāo)準(zhǔn),并依據(jù)《合同法》的規(guī)定承擔(dān)法律責(zé)任。

63.問(wèn):什么是商用密碼從業(yè)單位公開(kāi)標(biāo)準(zhǔn)的技術(shù)要求,它有什么作用?

答:《密碼法》規(guī)定了企業(yè)標(biāo)準(zhǔn)自我聲明公開(kāi)和監(jiān)督制度,調(diào)整的對(duì)象是企業(yè)生產(chǎn)的產(chǎn)品和提供的服務(wù)所執(zhí)行的標(biāo)準(zhǔn),這類(lèi)標(biāo)準(zhǔn)規(guī)定了企業(yè)生產(chǎn)的產(chǎn)品和提供的服務(wù)所應(yīng)達(dá)到的各類(lèi)技術(shù)指標(biāo)和要求,是企業(yè)對(duì)其產(chǎn)品和服務(wù)質(zhì)量的硬承諾,應(yīng)當(dāng)公開(kāi)并接受市場(chǎng)監(jiān)督。

企業(yè)生產(chǎn)的商用密碼產(chǎn)品和提供的商用密碼服務(wù),如果執(zhí)行國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和團(tuán)體標(biāo)準(zhǔn),企業(yè)應(yīng)該公開(kāi)相應(yīng)的標(biāo)準(zhǔn)名稱(chēng)和標(biāo)準(zhǔn)編號(hào);如果企業(yè)生產(chǎn)的產(chǎn)品和提供的服務(wù)所執(zhí)行的標(biāo)準(zhǔn)是本企業(yè)制定的企業(yè)標(biāo)準(zhǔn),企業(yè)除了公開(kāi)相應(yīng)的標(biāo)準(zhǔn)名稱(chēng)和標(biāo)準(zhǔn)編號(hào),還應(yīng)當(dāng)公開(kāi)企業(yè)產(chǎn)品、服務(wù)的技術(shù)指標(biāo)。公開(kāi)指標(biāo)的類(lèi)別和內(nèi)容由企業(yè)根據(jù)自身特點(diǎn)自主確定,企業(yè)應(yīng)對(duì)公開(kāi)的產(chǎn)品和服務(wù)標(biāo)準(zhǔn)的真實(shí)性、準(zhǔn)確性、合法性負(fù)責(zé)。

企業(yè)生產(chǎn)的產(chǎn)品和提供的服務(wù)應(yīng)當(dāng)符合企業(yè)自我聲明公開(kāi)標(biāo)準(zhǔn)提出的技術(shù)要求,不符合企業(yè)自我聲明公開(kāi)標(biāo)準(zhǔn)提出的技術(shù)要求的,應(yīng)依法承擔(dān)相應(yīng)的責(zé)任。

64.問(wèn):建設(shè)商用密碼檢測(cè)認(rèn)證體系的意義是什么?

答:商用密碼檢測(cè)認(rèn)證是商用密碼治理體系的重要基礎(chǔ),在商用密碼市場(chǎng)準(zhǔn)入、事中事后監(jiān)管、應(yīng)用推進(jìn)等方面發(fā)揮著關(guān)鍵支撐作用:面向商用密碼從業(yè)單位能夠引導(dǎo)提質(zhì)升級(jí),增加市場(chǎng)有效供給;面向管理部門(mén)能夠支持行政監(jiān)管,提高市場(chǎng)監(jiān)管效能;面向社會(huì)各方能夠推動(dòng)誠(chéng)信建設(shè),營(yíng)造良好市場(chǎng)環(huán)境;面向國(guó)際市場(chǎng)能夠促進(jìn)規(guī)則對(duì)接,提升市場(chǎng)開(kāi)放程度?！睹艽a法》第二十五條第一款明確提出推進(jìn)商用密碼檢測(cè)認(rèn)證體系建設(shè),這是深化商用密碼行政審批制度改革的重要內(nèi)容,是依法管理商用密碼、規(guī)范和促進(jìn)商用密碼應(yīng)用、加強(qiáng)密碼監(jiān)管、增強(qiáng)商用密碼安全保障能力的重要支撐。同時(shí)《密碼法》第二十五條還明確了在商用密碼檢測(cè)認(rèn)證中,自愿檢測(cè)認(rèn)證是主要方式。

65.問(wèn):我國(guó)商用密碼檢測(cè)機(jī)構(gòu)和認(rèn)證機(jī)構(gòu)現(xiàn)狀如何?

答:截至2019年12月,通過(guò)審批的商用密碼產(chǎn)品檢測(cè)機(jī)構(gòu)共有3家,開(kāi)展了智能密碼鑰匙、智能IC卡、POS密碼應(yīng)用系統(tǒng)、PCI-E密碼卡、IPSecVPN安全網(wǎng)關(guān)、SSLVPN安全網(wǎng)關(guān)、安全認(rèn)證網(wǎng)關(guān)、密碼鍵盤(pán)、金融數(shù)據(jù)密碼機(jī)、服務(wù)器密碼機(jī)、簽名驗(yàn)簽服務(wù)器、時(shí)間戳服務(wù)器、安全門(mén)禁系統(tǒng)、動(dòng)態(tài)令牌認(rèn)證系統(tǒng)、安全電子簽章系統(tǒng)、電子文件密碼應(yīng)用系統(tǒng)、可信計(jì)算類(lèi)密碼產(chǎn)品等的檢測(cè)工作,完成了近2000款產(chǎn)品的密碼檢測(cè)、數(shù)百個(gè)信息系統(tǒng)的安全性評(píng)估。

目前,商用密碼領(lǐng)域已有1家專(zhuān)門(mén)認(rèn)證機(jī)構(gòu)。與此同時(shí),有關(guān)部門(mén)通過(guò)建立跨領(lǐng)域、跨行業(yè)的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品、信息安全產(chǎn)品和密碼應(yīng)用系統(tǒng)密碼檢測(cè)認(rèn)證機(jī)制,加強(qiáng)與金融、電力、通信、社保、交通等重點(diǎn)領(lǐng)域、行業(yè)的檢測(cè)與認(rèn)證技術(shù)交流,聯(lián)合金融領(lǐng)域檢測(cè)認(rèn)證機(jī)構(gòu)開(kāi)展金融系統(tǒng)密碼測(cè)評(píng)和認(rèn)證,共同推動(dòng)商用密碼檢測(cè)認(rèn)證能力提升。

66.問(wèn):商用密碼檢測(cè)、認(rèn)證機(jī)構(gòu)應(yīng)取得什么資質(zhì)?

答:《密碼法》第二十五條規(guī)定:商用密碼檢測(cè)、認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)依法取得相關(guān)資質(zhì),并依照法律、行政法規(guī)的規(guī)定和商用密碼檢測(cè)認(rèn)證技術(shù)規(guī)范、規(guī)則開(kāi)展商用密碼檢測(cè)認(rèn)證。

按照“放管服”改革要求,《密碼法》將商用密碼檢測(cè)、認(rèn)證機(jī)構(gòu)資質(zhì)納入《認(rèn)證認(rèn)可條例》規(guī)定的認(rèn)證認(rèn)可制度體系中,由市場(chǎng)監(jiān)管總局(國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì))會(huì)同國(guó)家密碼管理局進(jìn)行管理。商用密碼檢測(cè)、認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)分別取得商用密碼檢測(cè)、認(rèn)證機(jī)構(gòu)資質(zhì)。商用密碼檢測(cè)、認(rèn)證機(jī)構(gòu)依照《認(rèn)證認(rèn)可條例》等法律法規(guī)的規(guī)定和商用密碼檢測(cè)認(rèn)證技術(shù)規(guī)范、規(guī)則開(kāi)展檢測(cè)認(rèn)證活動(dòng)。將商用密碼檢測(cè)認(rèn)證制度納入國(guó)家統(tǒng)一的檢測(cè)認(rèn)證制度體系,有利于增強(qiáng)商用密碼檢測(cè)認(rèn)證制度的權(quán)威性、統(tǒng)一性。

67.問(wèn):商用密碼檢測(cè)、認(rèn)證機(jī)構(gòu)是否應(yīng)承擔(dān)保密義務(wù)?

答:在從事商用密碼檢測(cè)、認(rèn)證活動(dòng)的過(guò)程中,由于工作需要,商用密碼檢測(cè)、認(rèn)證機(jī)構(gòu)能夠深入到所檢測(cè)認(rèn)證的商用密碼產(chǎn)品、服務(wù)及其相關(guān)產(chǎn)品生產(chǎn)單位、服務(wù)提供單位中去,有可能接觸到有關(guān)商業(yè)秘密乃至國(guó)家秘密。雖然商用密碼檢測(cè)、認(rèn)證機(jī)構(gòu)知悉國(guó)家秘密和商業(yè)秘密的途徑是合法的,是在依法或依約定進(jìn)行檢測(cè)認(rèn)證活動(dòng)的過(guò)程中獲取的,但是如果將這些秘密泄露給他人,就會(huì)損害國(guó)家安全和利益,或者損害商業(yè)秘密權(quán)利人的利益。因此,參照《認(rèn)證認(rèn)可條例》的規(guī)定,《密碼法》第二十五條規(guī)定:商用密碼檢測(cè)、認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)對(duì)其在商用密碼檢測(cè)認(rèn)證中所知悉的國(guó)家秘密和商業(yè)秘密承擔(dān)保密義務(wù)。

68.問(wèn):商用密碼產(chǎn)品的概念與范圍是什么?

答:商用密碼產(chǎn)品,是指采用商用密碼技術(shù)進(jìn)行加密保護(hù)、安全認(rèn)證的產(chǎn)品。商用密碼產(chǎn)品可分為軟件、芯片、模塊、板卡、整機(jī)、系統(tǒng)六類(lèi)。典型的商用密碼產(chǎn)品包括:密碼機(jī),如鏈路密碼機(jī)、網(wǎng)絡(luò)密碼機(jī)、服務(wù)器密碼機(jī)、傳真密碼機(jī)、電話密碼機(jī)等;密碼芯片和模塊,如第二代居民身份證、智能電卡、社會(huì)保障卡、金融芯片卡中使用的密碼芯片、可信計(jì)算密碼模塊等。

69.問(wèn):商用密碼服務(wù)的概念與范圍是什么?

答:商用密碼服務(wù),是指基于商用密碼專(zhuān)業(yè)技術(shù)、技能和設(shè)施,為他人提供集成、運(yùn)營(yíng)、監(jiān)理等商用密碼支持和保障的活動(dòng)。典型的商用密碼服務(wù)包括:密碼保障系統(tǒng)集成(如數(shù)字證書(shū)認(rèn)證系統(tǒng)集成),是指為他人集成建設(shè)實(shí)現(xiàn)密碼功能的系統(tǒng),保護(hù)他人網(wǎng)絡(luò)與信息系統(tǒng)的安全。密碼保障系統(tǒng)運(yùn)營(yíng)(如增值稅發(fā)票防偽稅控系統(tǒng)運(yùn)營(yíng)),是指為保證他人實(shí)現(xiàn)密碼功能的系統(tǒng)的正常運(yùn)行提供安全管理和維護(hù)。

70.問(wèn):關(guān)鍵信息基礎(chǔ)設(shè)施必須使用商用密碼進(jìn)行保護(hù)嗎?

答:《密碼法》第二十七條規(guī)定:法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施,其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)。

《密碼法》規(guī)定的關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用要求是《網(wǎng)絡(luò)安全法》規(guī)定的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)義務(wù)的重要組成部分。密碼是保障網(wǎng)絡(luò)與信息安全的核心技術(shù)和基礎(chǔ)支撐。法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施,其運(yùn)營(yíng)者必須使用商用密碼進(jìn)行保護(hù),而且使用的商用密碼必須是合規(guī)、正確、有效的。

關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者如果不使用或者不合規(guī)正確有效使用商用密碼進(jìn)行保護(hù),將嚴(yán)重威脅關(guān)鍵信息基礎(chǔ)設(shè)施的安全穩(wěn)定運(yùn)行,威脅國(guó)家安全和社會(huì)公共利益。因此,《密碼法》對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施使用商用密碼提出明確要求,有效保障關(guān)鍵信息基礎(chǔ)設(shè)施安全。