可以说,密码就是一种主权安全资产,与国家安全、公共利益安全、网络安全密切相关,与个人人身安全、财产安全、个人隐私安全直接相关。
《中华人民共和国密码法》日前经全国人大常委会表决通过,将于2020年1月1日起正式施行。这部法律,回答了“怎么用密码、谁来管密码、怎么管密码”等核心问题,标志着我国在密码的应用和管理等方面有了专门性的法律保障。
一直以来,有关密码的安全与使用问题上有两个误解:一是认为只要密码的数学算法与设置技术高超,密码始终是安全的;二是认为密码征集者总会替用户管理好密码的。这些或许在某种背景下是对的,但大规模的网络泄密事件及层出不穷的网络黑客攻击,把“谁来管密码”的问题推到突出位置:密码安全,不只是与技术有关,更与人有关。以人为本的密码法治化管理呼之欲出,统一领导和统一管理势在必行。另一方面,区块链等新经济形态的崛起,也推动了密码法治化。
密码法是继网络安全法、国家秘密法之后又一部旨在保护加密信息安全的法律。社会上每天都在产生海量密码,海量密码背后就是海量信息。每个人在生活和工作中都会遇到许多要求设置密码和安全认证的情况。可以说,密码就是一种主权安全资产,与国家安全、公共利益安全、网络安全密切相关,与个人人身安全、财产安全、个人隐私安全直接相关。一旦密码被人非法获取或被敌对者掌控,或因管理不善而自动或被动泄露,都往往会造成严重的政治、经济和社会后果。基于此,密码法被称为维护国家安全和公共利益的重器,并没有半点的夸张。
密码可分为核心密码、普通密码和商用密码。基于分类管理的原则,核心密码和普通密码作为国家秘密,与国家秘密法有相当多的交集,直接归于国家管理。密码法和国家秘密法将形成两道防火墙,保障这类密码的安全。问题大都出现在商用密码上。传统上对商用密码实行全环节许可管理,这样的手段已经不足以保护公共利益。全环节许可,导致密码产品科学性不高、管理不到位。按照密码法第二十五条规定,商用密码检测、认证机构应当依法取得相关资质,这就意味着密码产品的生产和销售应取得特别许可,再也不能随意而为。
目前从法律关系上看,需要持续注意的是如何理顺各相关法律的衔接与冲突问题,包括:一事多出的“多法”现象可能在一定范围内存在,法律赋权单位可能不太统一,国家密码管理委员会与其他法律赋权单位在职能上可能有重叠的地方等。为此,有些利益冲突需要用平衡手法再均衡。而从着眼于未来的角度上看,基于新经济业态快速崛起,法律的现代化和更新也应跟上时代的节奏。不过,无论如何变化,密码法作为维护公共利益的本色始终未变,不仅不变,还会进一步强化。
(作者系西南政法大学政治与公共管理学院副教授)