浅谈密码法与数据安全
随着万物互联时代的到来,人们的生活和社会组织的运行方式互联网化。
一、大数据就是财富
在网络搜索与浏览中,商业网站及社交网络运营商等掌握了人们衣食住行及社会组织日常经营的各种细节,例如购物/采购习惯、爱好与倾向、好友/合作伙伴联络情况等。在大数据中蕴含着大量的原始信息,这些信息具备一定的真实性。通过对群体大数据的分析,能够避免具体数据中所产生的误差,挖掘出更深层次的规律,而通过这些规律,可以对自然或社会现象进行预测。另一方面,由于个体活动除了能够反映出群体特征之外,还有着鲜明的个性化特征,这些特征各不相同。商业网站及社交网络运营商通过长时间、多方面的数据积累,能够对特定用户的行为进行分析,基于各个用户的特定需求,更好地提供个性化的产品和服务。从某种意义上说,海量数据就是财富。
二、数据安全面临严峻挑战
然而,任何事物都有其两面性,大数据也不例外,在挖掘数据产生的财富同时,随之产生的就是隐私与商业秘密的泄露问题。当大数据处理不当时,会对用户隐私或商业秘密造成极大的损害。用户在网络上“行走”的种种足迹,都有可能泄露隐私或商业秘密。大数据与云计算等信息技术一样,在存储、处理、传输的过程中,都面临着各种各样的风险,稍有不慎,就会泄露很多数据。其次,大数据访问控制的实现作为一个共享手段,随时随地都可能被他人利用,而被什么人去使用、为何种目的去使用、使用过程中可能会出现何种问题等等,都是无法预知的。有些数据并不适合所有人去使用,尤其是一些别有用心的人。因此,随着网络信息技术的发展,各类信息主体的信息安全面临严峻挑战。
三、《密码法》保障数据安全
在这样的背景下,即将实施的《中华人民共和国密码法》(下称“《密码法》”)意义深远。《密码法》的正式颁布和实施,标志着密码将成为保障我国网络空间安全的核心技术和位于网络安全的核心地位,让信息和网络安全有法可依。
- 此“密码”非彼“密码”
与“银行卡密码”、“电子邮箱密码”这些由数字、字母和特殊符号组成的、用于简单认证身份的“密码”不同,《密码法》的“密码”是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务,主要用于信息加密保护和安全认证。前者是指将原来可读的信息变成不能识别的符号序列,后者是指确认主体和信息的真实可靠性。
- “信息加密”有何用处
我们浏览网站,甚至在浏览政府官方网站时,有时也会在地址栏的最左端看到“不安全”提示。这里所谓的“不安全”,其实是指该HTTP网站没有部署SSL证书,数据从用户端(浏览器)到服务器端的传输是未加密的明文形式且未经过安全身份认证的意思。
非法获取大数据的网络攻击很少发生在有可靠安全防护的服务器端或云端,也很少发生在有安全防护的用户端(如电脑、平板或手机),而绝大多数发生在各种信息从用户端传输到服务器端的路上。网络攻击者之所以能在半路拦截各种信息,主要是因为网站没有采用密码技术对信息进行加密保护,各种重要的个人隐私信息、企业重要商业信息都在互联网上明文传输。而即将实施的《密码法》将有望改变目前这种信息“裸奔”的局面,让我国互联网上流动的信息(数据)密文化,给我国互联网添一层保护屏障。
- 何为“商用密码”
根据《密码法》,国家对密码实行分类管理,将密码分为核心密码、普通密码和商用密码三类。其中,核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级,因此,这两类密码由专门管理部门依照《密码法》和有关法律法规、国家相关规定实行严格统一管理。而商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织均可以依法使用,以保护网络与信息安全。
作为普通企业与一般民众,更关心的是商用密码方面的规定。那么,何为商用密码呢?商用密码产品是指采用商用密码技术实现加密解密或安全认证操作等功能的专用硬件、软件。从功能上,商用密码产品可划分为通信加密类和非通信加密类。通信加密类产品包括电话密码机、传真密码机、各种总线接口的密码卡、计算机应用层密码机、计算机网络层密码机、计算机链路层密码机等;非通信加密类产品主要包括认证和存储等密码产品,如智能IC卡、智能密码钥匙、各种防伪系统及数据库加密系统等。
- 哪些商用密码产品与服务实行强制性检测认证
根据《密码法》第二十六条规定,“涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。”
也就是说,只有涉及国家安全、国计民生、社会公共利益的商用密码产品,(具体表现为被列入“网络关键设备和网络安全专用产品目录”),才需要按规定目录对应的监管制度或者市场准入制度通过检测认证合格后进行销售,俗称“强制性检测认证”;而没有列入规定目录的商用密码产品则不要求经过检测认证即可销售,但国家“鼓励商用密码从业单位自愿接受商用密码检测认证”(《密码法》第二十五条),商用密码产品厂商可以按自己的意愿或者为满足具体用户的需求,自愿送检产品。
- 商用密码产品进出口是否需要许可
根据《密码法》第二十八条规定,“国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。”
可见,目前我国放宽了对商用密码产品进出口的限制,仅对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,仅对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。若商用密码是用于大众消费类产品的、且不在“进口许可清单”和“出口管制清单”上的,则不需要进口许可或出口管制。从事商用密码产品进出口贸易的企业朋友,可以关注一下国家密码管理部门和海关总署官网对相关清单的公布信息。
本文系法派法律团队李少敏律师原创,版权所有。如需转载,请注明作者与网站/公众号。违者必究。李少敏,律师,同济大学法律硕士(法学)。
本文来自投稿,不代表法派法律资讯立场,如若转载,请注明出处:https://www.firmpal.net/?p=1734
Chinese