密码法草案二审 增加密码“安全风险评估”机制

人民网北京10月21日电 （梁秋坪）21日下午，十三届全国人大常委会第十四次会议在京召开。《中华人民共和国密码法(草案)》再次提请审议。草案二审稿增加“安全风险评估”机制，规定：密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制，确保核心密码、普通密码安全管理的协同联动和有序高效。

商用密码广泛应用于国民经济发展和社会生产生活的方方面面，涵盖金融和通信、公安、税务、社保、交通、卫生健康、能源、电子政务等重要领域，在维护国家安全、促进经济社会发展、保护公民、法人和社会组织合法权益方面发挥着重要作用。本次提请审议的草案二审稿中对商用密码的相关条款进行了完善。

在商用密码发展促进和保障措施方面，一审草案稿对加强核心密码、普通密码人才队伍培养、建设作了规定，草案二审稿将人才队伍、建设的内容移至总则，不仅明确了国家同样重视商用密码人才的培养，而且突显了人才培养对密码事业的重要性。草案二审稿规定：国家加强密码人才培养和队伍建设，对在密码工作中作出突出贡献的组织和个人，按照国家有关规定给予表彰和奖励。

在商用密码的安全风险评估方面，草案二审稿规定，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

草案明确，关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

此外，草案二审稿还增加规定，商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。

密码管理部门和有关部门及其工作人员应当对在履行职责中知悉的商业秘密和个人隐私严格保密，不得泄露或者非法向他人提供。