网络信息安全政策汇编-安恒

II目录505240177_WPSOffice_Level1《中华人民共和国网络安全法》解读 7330870252_WPSOffice_Level1一、立法背景与意义 7330870252_WPSOffice_Level21、立法背景 71101163281_WPSOffice_Level22、立法意义 71101163281_WPSOffice_Level1二、基本内容 8237193921_WPSOffice_Level21、相关概念 8330870252_WPSOffice_Level3（1）网络 81101163281_WPSOffice_Level3（2）网络安全 8237193921_WPSOffice_Level3（3）网络运营者 8788581415_WPSOffice_Level3（4）网络数据 91566256268_WPSOffice_Level3（5）个人信息 9214551350_WPSOffice_Level3（6）关键信息基础设施 9788581415_WPSOffice_Level22、法律框架 10339496137_WPSOffice_Level3（1）网络安全法的目标和范围 1047524480_WPSOffice_Level3（2）国家角度 102027502323_WPSOffice_Level3（3）网络用户角度 112108515712_WPSOffice_Level3（4）网络运营者角度 1148428790_WPSOffice_Level3（5）关键信息基础设施的运营者角度 1246371317_WPSOffice_Level3（6）网络产品和服务提供者角度 121973644605_WPSOffice_Level3（7）国家网信部门角度 131012464673_WPSOffice_Level3（8）有关部门角度 141980823930_WPSOffice_Level3（9）公安部门角度 151416295716_WPSOffice_Level3（10）个人信息角度WPSOffice_Level1三、法律特色 161566256268_WPSOffice_Level21、网络安全基本大法 16214551350_WPSOffice_Level22、三项基本原则 16339496137_WPSOffice_Level23、六大显著特征 1647524480_WPSOffice_Level24、九类网络安全保障制度WPSOffice_Level3（1）网络安全等级保护制度 181802344249_WPSOffice_Level3（2）网络产品和服务安全制度 181742952008_WPSOffice_Level3（3）关键信息基础设施运行安全保护制度 182117453376_WPSOffice_Level3（4）网络安全风险评估制度 192087375995_WPSOffice_Level3（5）用户实名制度 191235490573_WPSOffice_Level3（6）网络安全事件应急预案制度 20870677568_WPSOffice_Level3（7）网络安全监测预警和信息通报制度 20524314718_WPSOffice_Level3（8）用户信息保护制度 201032061785_WPSOffice_Level3（9）关键信息基础设施重要数据境内留存制度 202027502323_WPSOffice_Level25、惩罚措施 21637003676_WPSOffice_Level3（1）约谈 22914802237_WPSOffice_Level3（2）断网 221245768386_WPSOffice_Level3（3）拘留 221811188899_WPSOffice_Level3（4）罚款 2371129268_WPSOffice_Level3（5）职业禁入 232108515712_WPSOffice_Level26、全社会参与者 231468699544_WPSOffice_Level3（1）监管者 231256197390_WPSOffice_Level3（2）监管对象 24788581415_WPSOffice_Level1《中华人民共和国密码法》政策问答 251566256268_WPSOffice_Level1《中华人民共和国数据安全法》解读 38214551350_WPSOffice_Level1一、数据安全法出台的背景 3848428790_WPSOffice_Level2（一）外迎挑战 3846371317_WPSOffice_Level2（二）内促发展 39339496137_WPSOffice_Level1二、数据安全法的特色与亮点 391973644605_WPSOffice_Level2（一）扩展了“数据”的内涵与外延 391012464673_WPSOffice_Level2（二）建立“一个顶点，多维度配合”的工作协调机制 391980823930_WPSOffice_Level2（三）更加注重数据安全制度的建设 401416295716_WPSOffice_Level2（四）明确各方数据安全保护义务，形成制约机制 40973355464_WPSOffice_Level2（五）坚持安全与发展并重，明确数据作为生产要素 4047524480_WPSOffice_Level1三、数据安全法概述与总则 401802344249_WPSOffice_Level2（一）概述 401742952008_WPSOffice_Level2（二）立法的目的、适用范围、规范的对象和行为——第一条、第二条、第三条 402117453376_WPSOffice_Level2（三）坚持总体国家安全观，建立健全数据安全治理体系——第五条、第六条、第七至十二条 412027502323_WPSOffice_Level1四、正确处理数据安全与发展的关系 422108515712_WPSOffice_Level1五、首次从国家层面建立数据安全制度 4248428790_WPSOffice_Level1六、明确数据处理各方的安全义务 442087375995_WPSOffice_Level2（一）数据处理者安全职责——第二十七条、第二十八条、第二十九条 441235490573_WPSOffice_Level2（二）重要数据处理者安全职责——第二十七条、第三十条、第三十一条 44870677568_WPSOffice_Level2（三）任何组织、个人的安全责任——第三十二条、第三十五条、第三十六条 44524314718_WPSOffice_Level2（四）数据服务提供者安全职责——第十九条、第三十三条、第三十四条 4546371317_WPSOffice_Level1七、加快推进政务数据安全与开放 451032061785_WPSOffice_Level2（一）总体要求——第三十七条、第四十二条 45637003676_WPSOffice_Level2（二）进一步明确国家机关的安全责任——第三十八条、第三十九条、第四十条 45914802237_WPSOffice_Level2（三）承担电子政务建设运维的服务单位安全职责——第四十条 461973644605_WPSOffice_Level1八、加大数据安全违法处置力度 461012464673_WPSOffice_Level1九、政企如何开展数据安全保护 481980823930_WPSOffice_Level1十、案例介绍 491245768386_WPSOffice_Level2（一）某市数据局数据安全体系建设 49997800073_WPSOffice_Level3数据安全管控平台-数据安全驾驶舱 501811188899_WPSOffice_Level2（二）某市大数据局零信任案例 51326027488_WPSOffice_Level3零信任防护体系逻辑架构图 5171129268_WPSOffice_Level2（三）某省公安厅多方数据联合建模案例 521313207319_WPSOffice_Level3安全岛产品系统架构图 531416295716_WPSOffice_Level1附1： 54973355464_WPSOffice_Level1《数据安全法》立法进程 541802344249_WPSOffice_Level1《关键信息基础设施安全保护条例》解读 551742952008_WPSOffice_Level1第一章总则 552117453376_WPSOffice_Level1第二章关键信息基础设施认定 562087375995_WPSOffice_Level1第三章运营者责任义务 571235490573_WPSOffice_Level1第四章保障和促进 59870677568_WPSOffice_Level1第五章法律责任 62524314718_WPSOffice_Level1第六章附则 641032061785_WPSOffice_Level1《中华人民共和国个人信息保护法》解读 65637003676_WPSOffice_Level1第一章

总则（12条） 66914802237_WPSOffice_Level1第二章个人信息处理规则（25条） 661245768386_WPSOffice_Level1第三章个人信息跨境提供的规则（6条） 661811188899_WPSOffice_Level1第四章

个人在个人信息处理活动中的权利（7条） 6771129268_WPSOffice_Level1第五章个人信息处理者的义务（9条） 671468699544_WPSOffice_Level1第六章履行个人信息保护职责的部门（6条） 671256197390_WPSOffice_Level1第七章法律责任（6条） 67997800073_WPSOffice_Level1第八章附则（3条） 671468699544_WPSOffice_Level21、术语界定 671256197390_WPSOffice_Level22、范围界定 67997800073_WPSOffice_Level23、个人信息处理规则 67326027488_WPSOffice_Level24、个人信息跨境提供规则 681313207319_WPSOffice_Level25、个人信息处理活动中个人的权利和处理者义务 681385970214_WPSOffice_Level26、履行个人信息保护职责的部门 69613345501_WPSOffice_Level27、法律责任 69576329707_WPSOffice_Level21、针对新技术新引用进行了高度关注 701222137579_WPSOffice_Level22、针对公共场所安装摄像头有了明确规定 70《中华人民共和国网络安全法》解读2015年6月，第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法（草案）》。2015年7月6日至8月5日，该草案面向社会公开征求意见。2016年6月，第十二届全国人大常委会第二十一次会议对草案二次审议稿进行了审议，随后将《中华人民共和国网络安全法（草案二次审议稿）》面向社会公开征求意见。10月31日，网络安全法草案三次审议稿提请全国人大常委会审议。2016年11月7日，十二届全国人大常委会经表决高票（154票赞成、0票反对、1票弃权）通过了《中华人民共和国网络安全法》（以下简称《网络安全法》）。作为我国的网络安全基本法，《网络安全法》是网络安全领域“依法治国”的重要体现，对保障我国网络安全有着重大意义。《网络安全法》共七章七十九条，2017年6月1日起正式施行。立法背景与意义1、立法背景“没有网络安全就没有国家安全”。网络安全已经成为关系国家安全和发展、关系广大人民群众切身利益的重大问题。网络已经深刻地融入了经济社会生活的各个方面，网络安全威胁也随之向经济社会的各个层面渗透，网络安全的重要性随之不断提高。党的十八大以来，以习近平同志为核心的党中央从总体国家安全观出发，对加强国家网络安全工作作出了重要的部署，对加强网络安全法制建设提出了明确的要求，制定《网络安全法》是适应我们国家网络安全工作新形势、新任务，落实中央决策部署，保障网络安全和发展利益的重大举措，是落实国家总体安全观的重要举措。中国是网络大国，也是面临网络安全威胁最严重的国家之一，迫切需要建立和完善网络安全的法律制度，提高全社会的网络安全意识和网络安全保障水平，使我们的网络更加安全、更加开放、更加便利，也更加充满活力。在这样的形势下，制定网络安全法是维护国家广大人民群众切身利益的需要，是维护网络安全的客观需要，是落实国家总体安全观的重要举措。2、立法意义《网络安全法》是国家安全法律制度体系中的一部重要法律，是网络安全领域的基本大法，与之前出台的《国家安全法》、《反恐怖主义法》等属同一位阶。《网络安全法》对于确立国家网络安全基本管理制度具有里程碑式的重要意义。《网络安全法》是落实国家总体安全观的重要举措。“没有网络安全就没有国家安全，没有信息化就没有现代化。”《网络安全法》是适应我国网络安全工作新形势、新任务，落实中央决策部署，保障网络安全和发展利益的重大举措。《网络安全法》中明确提出了有关国家网络空间安全战略和重要领域安全规划等问题的法律要求，有助于推进与其他国家和行为体就网络安全问题展开有效的战略博弈。《网络安全法》助力网络空间治理，护航“互联网+”。《网络安全法》的出台将成为新的起点和转折点，公民个人信息保护进入正轨，网络暴力、网络谣言、网络欺诈等“毒瘤”生存的空间将被大大挤压，而“四有”中国好网民从道德自觉走向法律规范，用法律武器维护自己的合法权益，为“互联网+”的长远发展保驾护航。《网络安全法》完善了网络安全义务和责任。《网络安全法》将原来散见于各种法规、规章中的规定上升到人大法律层面，对网络运营者等主体的法律义务和责任做了全面规定。二、基本内容1、相关概念为了统一术语，《网络安全法》给出了相关概念。（1）网络网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。（2）网络安全网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。从这个概念来讲，网络安全包括传统的网络安全、数据安全，是范围更大的网络安全，更加侧重网络运行安全、信息安全。（3）网络运营者网络运营者是指网络的所有者、管理者和网络服务提供者。网络运营者是网络安全法中非常重要的概念，是关键义务主体或核心义务主体，出现31次。如几大电信运营商、BAT等企业以及国家机关中的网络执法部门都属于网络运营者的范畴。同时，关键信息基础设施也是一种网络运营者。《网络安全法》去掉了草案中关于“包括基础电信运营者、网络信息服务提供者、重要信息系统运营者等”的规定，可能考虑到在互联网飞速发展的现今，对于“网络运营者”这一概念只规定内涵而对其外延采用开放的描述方式，似乎是一种更聪明也是更合乎时宜的做法。需要注意的是，是否被认定为“网络运营者”主要取决于企业是否成为了网络信息系统的所有者和管理者，以及企业的业务是否提供了各类网络服务，特别是互联网信息服务。（4）网络数据网络数据是指通过网络收集、存储、传输、处理和产生的各种电子数据。（5）个人信息个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。从定义中可以看出，网络安全法中个人信息多侧重自然人的信息，对虚拟人的信息如用户名、密码、IP、MAC、上网时间、Cookies等信息还没有明确定义。个人信息不同于个人数据、个人隐私，自然人的健康、犯罪、私人等活动信息，网络安全法中并没有提到。（6）关键信息基础设施国家需要对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施进行保护。《网络空间安全战略》中进一步明确，公共通信、广播电视传输等服务的基础信息网络，能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统，重要互联网应用系统（如阿里巴巴、腾讯、百度）等14个大行业领域属于国家关键信息基础设施。关键信息基础设施安全保护条例（征求意见稿）》中对关键信息基础设施范围进行了更具体的界定。下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围：（一）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；（二）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；（三）国防科工、大型装备、化工、食品药品等行业领域科研生产单位；（四）广播电台、电视台、通讯社等新闻单位；（五）其他重点单位。2、法律框架《网络安全法》全文共七章七十九条，包括：总则、网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任以及附则。从主体对象角度，可将各条款分为10大类。（1）网络安全法的目标和范围第一条：网络安全法的目的。第二条：网络安全法的管辖权。（2）国家角度第三条：网络安全法的原则、方针、实现路径。第四条：解决顶层设计问题。第五条：国家采取多种手段保护网络安全风险和威胁，解决行业力量不足问题。第六条：构建网络安全的良好环境。第七条：网络空间治理的国际合作态度。第八条：赋予国家相关部门网络安全的监督职责。第十二条：国家保护公民、法人和其他组织依法使用网络的权利，同时履行义务。第十三条：未成年人保护。第十四条：保护举报人的合法权益。第十五条：国家强化标准体系建设。第十六条：国家加大投入，解决投入不足问题。第十七条：建设网络安全社会化服务体系。第十八条：鼓励和支持创新。第十九条：网络安全宣传教育。第二十条：促进网络安全人才培养。（3）网络用户角度第十一条：行业组织规范和自律。第十二条：权利和义务。第十四条：有权对网络安全违法行为进行举报。第二十六条：开展安全认证、检测、风险评估，发布的网络安全信息应遵守国家规定。第二十七条：违法网络安全的范围定义。第二十九条：情报交换和风险评估。第四十六条：严禁网络犯罪。（4）网络运营者角度第九条：遵纪守法、履行义务、接受监督、承担责任。第二十一条：实行网络安全等级保护制度。第二十四条：实名制要求、网络身份认证，贯彻落实真实身份的用户服务。第二十五条：网络安全事件的应急处置和报告。第二十八条：提供合法的侦查协助。第四十条：建立用户信息保护制度。第四十一条：强化个人信息保护，收集使用个人信息要合法、正当、必要。第四十二条：个人信息保护责任，不得泄露、篡改、毁损。第四十三条：要合理合法支持个人删除权和更正权。第四十四条；不得窃取、非法获取、非法出售个人信息。第四十七条：具有违法信息传播的阻断义务。第四十九条：建立投诉、举报制度。第五十六条：较大安全风险或者安全事件的约谈。（5）关键信息基础设施的运营者角度第三十一条：定义，落实国家等级保护制度，突出保护重点。第三十二条：工作规划、实施安全保护工作。第三十三条：建设三同步原则。第三十四条：关键信息基础设施运营者的义务。第三十五条：网络产品和服务的采购，应通过国家安全审查。第三十六条：采购网络产品和服务，应签订保密协议。第三十七条：个人信息和重要数据应境内存储。第三十八条：每年至少一次风险评估。（6）网络产品和服务提供者角度第十条：网络安全和数据安全的要求。第十六条：加大投入、知识产权保护、支持国家网络安全技术创新项目。第十七条：支持网络安全认证、检测和风险评估等安全服务。第十八条：网络数据保护和利用、公共数据资源开发、网络安全管理方式创新。第二十一条：网络安全等级保护制度。第二十二条：产品服务的强制性准入要求和义务。第二十三条：网络关键设备和网络安全专用产品的强制性认证或检测。第三十五条：网络产品和服务需通过国家安全审查。第三十六条：产品和服务的保密协议。第三十七条：境外数据传输需进行安全评估。第三十八条：开展风险检测评估工作。第四十八条：电子信息发送和应用软件下载的安全。（7）国家网信部门角度第八条：统筹协调网络安全工作和相关监督管理工作。第十四条：具有对危害网络安全行为举报的处置权利。第二十三条：主导安全专用产品目录、安全认证、安全检测工作。第三十条：赋予获取维护网络安全的各种信息的权利。第三十五条：主导国家安全审查。第三十七条：主导数据境外传输的安全评估工作。第三十九条：统筹协调关键信息基础设施的安全风险检测、安全应急演练、网络安全信息共享。第五十条：违规违法信息的处置、阻断的权利。第五十一条：统筹协调网络安全监测预警和信息通报工作。第五十三条：协调建立网络安全风险评估、应急工作。第七十三条：对第三十条的约束、权利约束。（8）有关部门角度第八条：赋予网络安全保护和监督管理职责和权利。第十四条：保护举报人的合法权益。第十五条：组织制定产品、服务和运行安全的国家标准、行业标准。第十九条：组织、指导、督促网络安全宣传教育。第二十三条：制定、公布安全产品目录、开展安全认证和安全监测工作。第三十条：赋予获取维护网络安全的各种信息的权利。第三十五条：在网信协同下开展国家安全审查。第三十七条：在网信协同下开展安全评估。第三十九条：配合做好网络安全信息共享。第四十九条：对网络运营者依法实施监督检查。第五十条：违规违法信息的处置、阻断的权利。第五十一条：建立网络安全监测预警与信息通报制度。第五十三条：建立网络安全风险评估、应急工作机制。第五十四条：开展网络安全风险监测和评估。第五十六条：省级以上人民政府有关部门可以启动安全事件约谈。第六十九条：违反有关部门要求，可以进行处罚。第七十三条：对第三十条的约束、权利约束。（9）公安部门角度第八条：赋予网络安全保护和监督管理权利。第十四条：举报处置权利。第二十八条：侦查协助制度。第六十三条：第二十七条网络犯罪的处罚权利。第六十四条：第四十四条个人信息违法的处罚权利。第六十七条：第四十六条违法网站、通信群组、违法信息发布违法的处罚权利。第六十九条：不提供侦查协助的单位的处罚。第七十四条：境外违法的制裁措施。（10）个人信息角度第二十二条：个人信息收集必须明示并取得用户同意，并遵守相关法律法规。第三十七条：个人享有信息的数据主权。第四十一条：个人信息的使用和收集必须合法、正当、必要。第四十二条：不得泄露、篡改、毁损其收集的个人信息。第四十三条：个人具有信息的删除权和更正权。第四十四条：严禁个人信息的非法获取、非法出售和提供。第四十五条：安全监管部门必须对个人信息进行保密。第六十四条：违反个人信息的处罚。三、法律特色1、网络安全基本大法《网络安全法》是我国网络安全领域的基础性法律，是我国第一部网络安全领域的法律，也是我国第一部保障网络安全的基本法。《网络安全法》与现有《国家安全法》、《保密法》、《反恐怖主义法》、《反间谍法》、《刑法修正案（九）》、《治安管理处罚法》、《电子签名法》等属同等地位的法律。2、三项基本原则第一，网络空间主权原则。《网络安全法》第一条“立法目的”开宗明义，明确规定要维护我国网络空间主权。网络空间主权是一国国家主权在网络空间中的自然延伸和表现。习近平总书记指出，《联合国宪章》确立的主权平等原则是当代国际关系的基本准则，覆盖国与国交往的各个领域，其原则和精神也应该适用于网络空间。各国自主选择网络发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利应当得到尊重。第二条明确规定，《网络安全法》适用于我国境内网络以及网络安全的监督管理。这是我国网络空间主权对内最高管辖权的具体体现。第二，网络安全与信息化发展并重原则。习近平总书记指出，安全是发展的前提，发展是安全的保障，安全和发展要同步推进。网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。《网络安全法》第三条明确规定，国家坚持网络安全与信息化并重，遵循积极利用、科学发展、依法管理、确保安全的方针；既要推进网络基础设施建设，鼓励网络技术创新和应用，又要建立健全网络安全保障体系，提高网络安全保护能力，做到“双轮驱动、两翼齐飞”。第三，共同治理原则。网络空间安全仅仅依靠政府是无法实现的，需要政府、企业、社会组织、技术社群和公民等网络利益相关者的共同参与。《网络安全法》坚持共同治理原则，要求采取措施鼓励全社会共同参与，政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等应根据各自的角色参与网络安全治理工作。3、六大显著特征第一，明确了网络空间主权的原则。没有网络安全就没有国家安全，没有网络主权就没有网络空间安全。网络主权原则根植于《联合国宪章》和国家法理的基本准则。网络空间主权主要表现为三方面：一是对内的最高权，各国有权自主选择网络发展道路、网络管理模式、互联网公共政策；二是对外的独立权，各国有平等参与国际网络空间治理的权利；三是防止危害国家的网络安全，不搞网络霸权，不干涉他国内政，不从事、纵容或支持维护他国国家安全的网络活动。根据国家网络空间主权原则，国家不仅有权对其领土境内的关键基础设施基、重要数据、网络空间活动和信息通信网络监管理行使主权，也可依法对境外个人或组织对我国境内的网络破坏活动行使司法管辖权，即具有域外的效力。第二，明确了网络产品和服务提供者的安全义务。《网络安全法》第二十二条明确规定，网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。第三，明确了网络运营者的安全义务。《网络安全法》将原来散见于各种法规、规章中的规定上升到人大法律层面，对网络运营者等主体的法律义务和责任做了全面规定，确定了相关法定机构对网络安全的保护和监督职责，明确了网络运营者应履行的安全义务，平衡了涉及国家、企业和公民等多元主体的网络权利与义务，协调政府管制和社会共治网络治理的关系，形成了以法律为根本治理基础的网络治理模式。第四，进一步完善了个人信息保护规则。《网络安全法》明确运营者在收集个人信息时必须合法、正当、必要，收集应当与个人订立合同；个人信息一旦泄露、损坏、丢失，必须告知和报告，同时个人具有对其信息的删除权和更正权（删除权的两种情形：违反法律法规、约定的合同期限已满）。《网络安全法》首次给予个人信息交易一定的合法空间。第五，建立了关键信息基础设施安全保护制度。以立法的形式将国家主权范围内的关键信息基础设施列为国家重要基础性战略资源加以保护，已经成为各主权国家网络空间安全法治建设的核心内容和基本实践。《网络安全法》首次将关键信息基础设施安全保护制度以立法形式进行保护。第六，确立了关键信息基础设施重要数据跨境传输的规则。隶属于数据主权的概念，即数据本地化存储，通常是指主权国家通过制定法律或规则限制本国数据向境外流动。任何本国或者外国公司在采集和存储与个人信息和关键领域相关数据时，必须使用主权国家境内的服务器。《网络安全法》第三十七条标志着中国正式开始基于网络主权原则对数据跨境传输进行法律限制。4、九类网络安全保障制度为了更好地履行《网络安全法》，运营者需要建立对应制度，分别是网络安全等级保护制度、网络产品和服务采购制度、网络产品和服务的强制性准入制度、网络安全产品和关键设备的强制性认证和检测制度、网络安全风险评估制度、用户实名制度、网络安全监测预警和信息通报制度、网络安全事件应急预案制度、开展网络安全认证、监测、风险评估制度、关键信息基础设施运行安全保护制度、用户信息保护制度、合法侦查犯罪协助制度、关键信息基础设施重要数据境内留存制度、网络安全信息管理制度、网络信息安全投诉、举报制度。（1）网络安全等级保护制度《网络安全法》第二十一条规定，国家实行网络安全等级保护制度。经过20多年的发展，国家确定实施网络安全等级保护制度从国家制度上升为国家法律。同时第三十一条规定，对可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。网络运营者要从定级备案、安全建设、等级测评、安全整改、监督检查角度，严格落实网络安全等级保护制度。（2）网络产品和服务安全制度与网络安全产品和服务有关的安全制度主要涉及市场准入制度、强制性安全检测制度、强制性安全认证制度。2016年底，国家互联网信息办公室会同相关部门出台的《网络产品和服务安全审查办法》，采用企业承诺与社会监督相结合，第三方评价与政府监管相结合，实验室检测、现场检查、在线监测、背景调查相结合的方式，对网络产品和服务及其提供者进行网络安全审查。重点审查网络产品和服务的安全性、可控性，主要包括：产品和服务被非法控制、干扰和中断运行的风险；产品及关键部件研发、交付、技术支持过程中的风险；产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险；产品和服务提供者利用用户对产品和服务的依赖，实施不正当竞争或损害用户利益的风险；其他可能危害国家安全和公共利益的风险。（3）关键信息基础设施运行安全保护制度《网络安全法》第三十一条规定，“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护，关键信息基础设施的具体范围和安全保护办法由国务院制定。”这是我国首次在法律层面提出关键信息基础设施的概念和重点保护范围。为了强化对关键信息基础设施安全保护的责任，《网络安全法》从国家主体和关键信息基础设施运营者两大层面，分别明确了对关键信息基础设施安全保护的法律义务和责任。在国家层面，《网络安全法》第三十二条规定，“按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。”在关键信息基础设施运营者方面，《网络安全法》第三十四条专门设定了关键信息基础设施的运营者应当履行的四大安全保护义务：一是设置专门安全管理机构和安全管理负责人；二是定期对从业人员进行网络安全教育、技术培训和技能考核；三是对重要系统和数据库进行容灾备份；四是制定网络安全事件应急预案，并定期进行演练。另外设定了一项兜底性条款，即“以及法律、行政法规规定的其他义务”。（4）网络安全风险评估制度《网络安全法》第三十八条规定，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。同时，《网络安全法》第二十一条规定，国家实行网络安全等级保护制度。建议今后运营者开展网络安全等级保护测评工作，这样既满足风险评估，同时满足网络安全等级保护制度。（5）用户实名制度《网络安全法》立法确立了网络实名制在我国的实施，第二十四条规定，网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通信等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。在此之前，我国已经有相关的法律法规对实名制进行规定。2016年1月1日实施的《中华人民共和国反恐怖主义法》规定，电信、互联网、金融、住宿、长途客运、机动车租赁等业务经营者、服务提供者，应当对客户身份进行查验。对身份不明或者拒绝身份查验的，不得提供服务。2015年的《互联网用户账号名称管理规定》规定，互联网信息服务提供者应当按照“后台实名、前台自愿”的原则，要求互联网信息服务使用者通过真实身份信息认证后注册账号。2016年的《移动互联网应用程序信息服务管理规定》要求，移动互联网应用程序提供者按照“后台实名、前台自愿”的原则，对注册用户进行基于移动电话号码等真实身份信息认证。（6）网络安全事件应急预案制度《网络安全法》第二十五条规定，网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。建议应急预案制度应覆盖所有网络安全场景、对相关人员开展应急预案培训、结合发生的安全事件和面临的安全风险，制定符合自身组织架构的网络安全应急预案，并在预案中明确内部及业务部门的应急响应责任，准备措施以及应对突发事件的配合机制，并组织演练。（7）网络安全监测预警和信息通报制度《网络安全法》第五十一条规定，国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。这是从国家层面要建立安全态势感知与信息通报制度，说明了将来会出台国家层面的“网络安全监测预警和信息通报制度”。习近平总书记在2016年4月19日讲到，“全天候全方位感知网络安全态势。知己知彼，才能百战不殆”，同时指出，“感知网络安全态势是最基本最基础的工作。要全面加强网络安全检查，摸清家底，认清风险，找出漏洞，通报结果，督促整改。要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制，准确把握网络安全风险发生的规律、动向、趋势。要建立政府和企业网络安全信息共享机制，把企业掌握的大量网络安全信息用起来。”《网络安全法》第五十二条规定，负责关键信息基础设施安全保护工作的部门应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。这条主要从行业层面讲安全态势感知与信息通报制度，行业主管部门要在国家指导下出台行业层面的“网络安全监测预警和信息通报制度”。（8）用户信息保护制度《网络安全法》第四十条规定，网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。同时，第二十二条规定，网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。《网络安全法》对保护个人信息有了明确规定，如“网络运营者不得泄露、篡改、毁损其收集的个人信息”，“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息”等。（9）关键信息基础设施重要数据境内留存制度《网络安全法》第三十七条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。第三十七条是与数据主权有关的规定。数据主权也被称为数据本地化存储，指主权国家通过制定法律或规则限制本国数据向境外流动。任何本国或者外国公司在采集和存储与个人信息和关键领域相关数据时，必须使用主权国家境内的服务器。据国际电信联盟ITU的统计，2015年全球通过互联网的跨境数据量超过1ZB（1万亿GB），如果没有数据主权的保护和跨境流动的法律机制，将可能直接影响个人的隐私和自由，乃至一个国家的经济运行，危及国家安全。俄罗斯、澳大利亚等国通过立法的形式对数据的流动进行动态调整和控制。欧盟规定：如果雇员的个人数据转移到欧盟以外的其他国家，采集这些数据时，雇员必须得到通知，否则不能转移出境。对于涉及国家安全和社会稳定的数据提出本地化要求是一个趋势，也符合国际上的立法惯例。但是，如果数据本地化要求过于泛化，会对企业（尤其是跨国企业）的业务带来负担。因此，下一步有关部门制定对关键信息基础设施的认定和数据跨境传输的安全评估办法时，如何把握数据安全和商业便利两者的平衡关系非常重要。对数据本地化的法律规制，除了《网络安全法》的规定，以下数据（或设施）亦明确有本地化的法律要求：我国网络安全和保密相关的法律禁止涉及国家秘密和国家安全的数据跨境传输。征信数据（《征信业管理条例》第24条）。个人金融信息（《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第6条）。地图数据（《地图管理条例》第34条）。网络出版服务所需的必要的技术设备（《网络出版服务管理规定》第8条）。网约车业务相关数据和信息（《网络预约出租汽车经营服务管理暂行办法》27条）。5、惩罚措施《网络安全法》在第六章规定了详尽的法律责任，大致规定了14种惩罚手段，分别是约谈、断网、改正、警告、罚款、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证、吊销营业执照、拘留、职业禁入、民事责任、刑事责任。对网络运营者，根据违法行为的情形，主要的法律责任承担形式包括：责令改正、警告、罚款，责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员等进行罚款等；有关机关还可以把违法行为记录到信用档案。对于违反法律第二十七条的人员，法律还建立了职业禁入的制度。除了以上行政处罚外，网络运营者还应当包括违法行为所导致的民事责任和刑事责任。网络运营者如果因违反《网络安全法》的行为给他人造成损失的，该行为具有民事上的可诉性，网络运营者应当承担相应的民事责任。我国《刑法修正案（九）》规定的拒不履行信息网络安全管理义务罪，指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，具有法律规定的情形之一的，构成本罪。《网络安全法》为网络运营者设定了诸多的网络安全保护义务（如网络安全等级保护和关键信息基础设施保护等），如果由于不履行法律的规定而导致严重后果的，可能受到刑事的追诉，从而承担拒不履行信息网络安全管理义务罪的后果。下面给出几个比较典型的惩罚措施。（1）约谈《网络安全法》第五十六条明确，省级以上人民政府有关部门在履行网络安全监督管理职责中，发现网络存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序对该网络运营者的法定代表人或者主要负责人进行约谈。（2）断网《网络安全法》第五十八条明确规定，因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经国务院决定或者批准，可以在特定区域对网络通信采取限制等临时措施。“在特定区域对网络通信采取限制等临时措施”被业界很多人解读为断网。（3）拘留拘留适用范围为，对从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，设立用于实施违法犯罪活动的网站、通讯群组，或者利用网络发布涉及实施违法犯罪活动的信息，尚不构成犯罪的，由公安机关没收违法所得，依据情节严重情况，可处五日以下或者五日以上十五日以下拘留。（4）罚款如果被罚款对象是运营者，范围为最低一万，最高一百万。如果被罚款对象是个人，范围最低五千元，最高十万元。为了打击违法犯罪，《网络安全法》同时规定了违法所得或采购金额的一倍以上十倍以下罚款，大大提高了犯罪成本。执行罚款的部门主要由运营者的主管部门、公安部门组成。（5）职业禁入《网络安全法》要求关键信息基础设施的运营者设置专门的安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查。如果发现受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。6、全社会参与者（1）监管者《网络安全法》第八条明确规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。从《网络安全法》中可以看出网络安全的治理层级，可分为领导机构、规划机构、协调机构、关键基础设施主管机构。统筹领导机构：中央国家安全领导机构。统筹规划机构：国务院和各级人民政府（网络安全相关事务，制定关键信息基础设施的具体范围和安全保护方法，可以在特定区域对网络通信采取限制等临时措施）。统筹协调机构：网信办（负责协调网络安全工作和相关监督管理工作，协调关键信息基础设施的安全保护）。国家关键基础设施主管机构：各部委（电信主管部门、公安部门、其他有关机关在各自职责范围内的网络安全职责）。（2）监管对象非政府网络要素参与者就是通常意义上的监管对象。非政府网络要素参与者包括国家机关政务网络的运营者、网络运营者、电子信息发送服务提供者、应用软件下载服务提供者、关键信息基础设施的运营者、网络产品或者服务的提供者、被收集者、行业组织、大众传播媒介、企业和高校、职教培训机构、安全认证或者安全检测机构、安全管理负责人、关键岗位人员、从业人员等。《中华人民共和国密码法》政策问答党和国家高度重视密码立法工作,2018年至2019年,全国人大常委会和国务院都将《密码法》列入了立法工作规划。2014年12月,国家密码管理局正式启动《密码法》的立法工作。2017年4月至5月,《中华人民共和国密码法(草案征求意见稿)》在国家密码管理局商用密码管理办公室网站首次面向社会公开征求意见。2017年6月,《中华人民共和国密码法(草案送审稿)》正式报送国务院。2019年6月10日,《中华人民共和国密码法(草案)》(以下简称草案)经国务院第52次常务会议会讨论通过。6月15日,李克强总理签署议案,正式将草案提请全国人大常委会审议。2019年6月25日至29日,十三届全国人大常委会第十一次会议对草案进行了首次审议。2019年7月5日至9月2日,草案在中国人大网面向社会公开征求意见。2019年10月21日至26日,十三届全国人大常委会第十四次会议对草案进行了二次审议。10月26日,十三届全国人大常委会第十四次会议表决通过《密码法》,习近平主席签署第三十五号主席令正式颁布,自2020年1月1日起施行。问:《密码法》施行后,商用密码产品的管理方式有什么变化?答:根据《密码法》第二十五条、第二十六条的规定,商用密码产品管理方式将由行政审批调整为检测认证管理,国家密码管理局不再实施“商用密码产品品种和型号审批”。市场监管总局会同国家密码管理局建立国家统一推行的商用密码认证制度,采取支持措施,鼓励商用密码产品获得认证。对列入网络关键设备和网络安全专用产品目录的商用密码产品实施强制性检测认证,由具备资质的机构检测认证合格后,方可销售或者提供。问:《密码法》施行后,已发放的《商用密码产品型号证书》是否仍然有效?答:《密码法》施行后,市场监管总局将会同国家密码管理局建立国家统一推行的商用密码认证制度,国家密码管理局将不再受理商用密码产品品种和型号申请,停止发放《商用密码产品型号证书》,已发放的《商用密码产品型号证书》自2020年7月1日起自动失效。本着便民利企原则,对于在有效期内的《商用密码产品型号证书》,持证单位可于2020年6月30日前自愿申请转换国推商用密码产品认证证书,换发的认证证书有效期与原《商用密码产品型号证书》有效期保持一致。同时,为方便证书转换,持证单位可向所在地省(区、市)密码管理部门提交转换认证申请。问:《密码法》施行后,尚未完成商用密码产品品种和型号审批的产品应该如何处理?答:本着便民利企原则,对于尚未完成商用密码产品品种和型号审批的,原产品品种和型号申请单位可于2020年6月30日前,自愿转为认证申请;审批期间已经开展的审查及检测,认证机构不再重复审查、检测,切实减轻申请单位负担,简化办事流程。问:《密码法》施行后,如何向具备资质的商用密码认证机构提交认证申请?答:市场监管总局、国家密码管理局正在抓紧制定国推商用密码认证的产品目录、认证规则和有关实施要求。待相关内容发布后,自认证规则实施之日起,商用密码从业单位便可自愿向具备资质的商用密码认证机构提交认证申请。有关认证的适用范围、申请受理、基本流程、证书管理等内容将在认证规则中予以明确。问:《密码法》施行后,商用密码进出口有哪些管理要求?答:根据《密码法》第二十八条的规定,《密码法》施行后,商用密码进出口将纳入两用物项进出口管理,由商务部、国家密码管理局依法实施进口许可和出口管制。商务部、国家密码管理局、海关总署正在抓紧制定商用密码进口许可清单和出口管制清单。清单公布实施前,商用密码进出口暂时按照目前公布的许可条件和程序实施进出口许可管理,保持现行工作方式不变。详见国家密码管理局、商务部、海关总署第38号公告。问:《密码法》中“密码”的概念是什么?答:《密码法》中的密码(cryptography),是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。而人们日常接触的计算机或手机开机“密码”、微信“密码”、QQ“密码”、电子邮箱登录“密码”、银行卡支付“密码”等,实际上是口令(password)。口令是进入个人计算机、手机、电子邮箱或银行账户的“通行证”,是一种简单、初级的身份认证手段,“口令”不在《密码法》的管理范围之内。问:《密码法》有什么样的法律地位?答:密码是国家重要战略资源,是保障网络与信息安全的核心技术和基础支撑。密码工作是党和国家的一项特殊重要工作,直接关系国家政治安全、经济安全、国防安全和信息安全,在我国革命、建设、改革各个历史时期,都发挥了不可替代的重要作用。进入新时代,以习近平同志为核心的党中央坚持总体国家安全观,在完善国家安全体系的总体布局中对加强密码工作和密码立法作出了重要部署。《密码法》是我国国家安全法律制度体系的重要组成部分,是密码领域的综合性、基础性法律,也是一部技术性、专业性较强的专门法律。《密码法》以法律的形式明确了党管密码的根本原则,确立了密码工作领导和管理体制,明确了密码分类管理原则以及核心密码、普通密码、商用密码管理的各项制度措施,为保障网络与信息安全,维护国家安全、社会公共利益,以及公民、法人和其他组织的合法权益提供了坚实有力的法律保障,为构建系统完备、科学规范、运行高效的密码法律制度体系奠定了基础。问:《密码法》的立法目的是什么?答:一、规范密码应用和管理,促进密码事业发展目前,有关部门、单位和社会公众对密码的作用认识不够全面,使用密码保护网络与信息安全的意识还不够强,特别是重要网络与信息系统密码应用规范性、有效性不够的问题还比较突出,严重威胁国家网络与信息安全、企业商业秘密以及公民个人隐私保护。国家对涉密信息系统和关键信息基础设施商用密码的应用、基础支撑能力的提升以及安全性评估、审查制度等不断提出明确要求,需要上升为法律规范,为维护国家网络与信息安全提供法治保障。在核心密码、普通密码方面,需要将现行有效的安全管理制度、特殊管理政策及保障措施法治化,增强核心密码、普通密码安全保障能力。在商用密码方面,传统上对商用密码实行全环节许可管理,已经不适应政府职能转变和“放管服”改革要求,亟需通过立法对现行的商用密码管理制度作出调整,切实为企业松绑减负,促进密码科技进步和创新,促进密码产业健康有序发展。二、保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益在网络与信息时代,每天都会产生大量涉密和敏感信息,网络窃密、网络诈骗、侵犯隐私等事件层出不穷,亟需有效的安全防护措施。密码是保障网络与信息安全的核心技术和基础支撑。制定《密码法》,就是要更好地促进密码产业发展,营造良好的市场秩序,为社会提供更多优质高效的密码,引导全社会正确、合规、有效使用密码,充分发挥密码在网络空间中信息加密、安全认证等方面的重要作用,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。问:密码有哪些主要功能?答:密码的主要功能有两个,一个是加密保护,另一个是安全认证。加密保护是指采用特定变换的方法,将原来可读的信息变成不能直接识别的符号序列。简单地说,加密保护就是将明文变成密文。例如,古希腊军队使用一种叫做“斯巴达棒”的圆木棍来进行加密通信,使用方法是:把一根长带状羊皮纸缠绕在圆木棍上,然后在上面写字;解下羊皮纸后,上面只有乱序的字符,只有再次以同样的方式缠绕到同样粗细的木棍上,才能看出所写的内容。安全认证是指采用特定变换的方法,确认信息是否完整、是否被篡改、是否可靠以及行为是否真实。简单地说,安全认证就是确认主体和信息的真实可靠性。例如,增值税防伪税控系统采用商用密码技术保护涉税信息,增值税发票信息经密码算法进行加解密处理,确定该发票的明文信息是否真实,从而遏制增值税犯罪,减少税款流失。问:《密码法》的管理对象有哪些?答:作为本法的管理对象,密码包括密码技术、密码产品和密码服务。密码技术,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术,包括密码编码、实现、协议、安全防护、分析破译,以及密钥产生、分发、传送、使用、销毁等技术。分组密码算法(如SM4算法)、公钥密码算法(如SM2算法)等是典型的密码算法,密钥交换协议、密钥分发协议等是典型的密码协议。密码产品,是指采用密码技术并以加密保护、安全认证的产品,即承载密码技术、实现密码功能的实体。典型的密码产品包括:密码机,如链路密码机、网络密码机、服务器密码机、传真密码机、电话密码机等;密码芯片和模块,如第二代居民身份证、智能电卡、社会保障卡、金融芯片卡中使用的密码芯片、可信计算密码模块等。密码服务,是指基于密码专业技术、技能和设施,为他人提供集成、运营、监理等密码支持和保障的活动,即基于密码技术和产品,实现密码功能,提供密码保障的行为。典型的密码服务包括:密码保障系统集成(如数字证书认证系统集成),是指为他人集成建设实现密码功能的系统,保护他人网络与信息系统的安全;密码保障系统运营(如增值税发票防伪税控系统运营),是指为保证他人实现密码功能系统的正常运行提供安全管理和维护。问:密码工作的基本原则是什么?答:总体国家安全观要求推动建立新的安全体制,在密码工作中具体体现为统一领导、分级负责,创新发展、服务大局,依法管理、保障安全的基本原则,这是密码工作历史经验和实践的深刻总结。问:密码工作的基本原则中“统一领导、分级负责”是指什么?答:“统一领导、分级负责”是密码工作的首要原则。统一领导,是指全国密码工作在党中央领导下,由中央密码工作领导机构统一领导。《密码法》把“统一领导”作为密码工作的一项基本原则,就是要坚持党的绝对领导,这是密码工作最重要、最根本、最核心的原则,也是密码工作的优良传统和宝贵经验。分级负责,是指国家和省、市、县四级密码管理部门分别负责管理全国和本行政区域的密码工作。根据密码工作的现实需要,参考其他工作领域管理体制改革发展的经验,《密码法》明确了各级密码管理部门的行政主体地位,确立了分级负责的密码工作管理体制。问:密码工作的基本原则中“创新发展、服务大局”是指什么?答:创新发展是密码工作的发展之基、力量之源。党的密码工作从诞生的第一天起,正是凭借不断地自主创新,走出了一条从无到有、从小到大、从弱到强的中国特色密码发展之路。坚持创新发展,就是要以科技创新为核心,以管理创新为推动,以制度创新为保证,支持密码科学技术研究,推动密码产业发展,使密码工作始终体现时代性、把握规律性、富于创造性,为保障网络与信息安全、维护国家网络空间主权提供有力的技术支撑。服务大局是密码工作的价值所在,更是其宗旨要求。密码工作与党和国家的事业血肉相连、命运休戚相关,在革命、建设和改革各个历史时期,都紧紧围绕党和国家的中心任务和奋斗目标,发挥着不可替代的特殊重要作用。进入新时代,坚持服务大局,就是要紧紧围绕国家创新驱动发展战略,部署好密码科技自主创新,实现密码科技跨越式发展;要紧紧围绕国家安全战略,加大密码核心关键技术攻关和密码应用,充分发挥密码在保安全促发展中的支撑作用;要紧紧围绕中央全面深化改革的战略部署,全面深化密码管理体制改革,加快政府职能转变;要紧紧围绕经济结构调整,加快推进密码产业发展,为经济社会持续健康发展,为实现“两个一百年”奋斗目标、实现中华民族伟大复兴的中国梦做出贡献。问:密码工作的基本原则中“依法管理、保障安全”是指什么?答:党的十九大把坚持全面依法治国确立为习近平新时代中国特色社会主义思想和新时代坚持和发展中国特色社会主义的基本方略的重要内容,提出“必须坚持厉行法治,推进科学立法、严格执法、公正司法、全民守法”。将密码管理的各个方面纳入法治轨道,是密码工作的基本要求,是提高密码工作科学化、规范化、制度化水平的必由之路。坚持依法管理,就是各级密码管理部门要严格按照《密码法》和有关法规、规章和规范性文件的规定,依法全面履行密码行政管理职能。依法管理是核心密码、普通密码、商用密码三类密码管理的共同要求。密码安全关乎党和国家的根本利益,是密码工作的生命。坚持保障安全,就是要加强密码安全制度建设,完善密码安全管理措施,对密码管理重点关键环节实施有效监管,增强密码安全保障能力;要加强关键信息基础设施密码应用监管,建立完善密码安全性评估和安全审查制度,有效预防和化解密码安全风险;要加强密码安全协作机制建设,确保密码安全管理的协同联动和有序高效。问:密码工作坚持党的绝对领导体现在哪些方面?答:坚持党对密码工作的绝对领导,是在任何时候、任何情况下都必须毫不动摇坚持的根本原则。《密码法》规定,坚持中国共产党对密码工作的领导,旗帜鲜明地把党管密码这一根本原则写入法律。党的密码工作创建于1930年,一直由党中央直接领导和管理,党管密码原则是密码工作长期实践和历史经验的深刻总结,是密码工作最重要、最根本、最核心的要求。坚持党的绝对领导,主要体现在:一是密码工作的重大事项向中央报告,密码工作的重大决策由中央决定。二是坚决贯彻执行中央关于密码工作的方针政策,落实中央确定的密码工作领导和管理体制。三是充分发挥党的领导核心作用,各级党委(党组)和密码工作领导机构要认真履行党管密码的政治责任。问:我国的密码工作领导体制是什么?答:《密码法》明确规定,中央密码工作领导机构,即中央密码工作领导小组,对全国密码工作实行统一领导,把中央确定的密码工作领导体制,通过法律形式固化下来,为密码工作沿着正确方向发展提供根本保证。中央密码工作领导小组统一领导全国密码工作,负责制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。问:我国的密码工作管理体制是什么?答:根据密码工作依法管理的需要,参考其他工作领域管理体制改革发展的经验,《密码法》明确了密码工作管理体制,包括两个方面的内容:一是国家、省、市、县四级密码工作管理体制,二是国家机关和涉及密码工作的单位的密码工作职责。问:四级密码工作管理体制的含义?答:《密码法》赋予了国家、省、市、县四级密码管理部门行政管理职责。国家密码管理部门是指国家密码管理局。为更好地履行对全国的密码管理职能,2005年1月,中央机构编制委员会批准成立国家密码管理局。2008年3月,国家密码管理局列入国务院部委管理的国家局序列。2018年3月,《国务院关于部委管理的国家局设置的通知》(国发〔2018〕7号)明确规定,国家密码管理局与中央密码工作领导小组办公室,一个机构两块牌子,列入中共中央直属机关的下属机构序列。国家密码管理局的主要职责是:组织贯彻落实党和国家关于密码工作的方针政策和法律法规,研究提出解决密码工作发展中重大问题的建议;拟订密码工作发展规划,起草密码工作法规并负责密码法规的解释,组织拟订密码相关标准;依法履行密码行政管理职能,管理密码科研、生产、装备(销售)、检测认证及使用,查处密码泄密事件和违法违规研制、使用密码行为,负责有关密码的涉外事宜;对密码工作机构实施业务领导;负责网络与信息系统中密码保障体系的规划和管理,规划、建设和管理国家密码基础设施;指导密码专业教育和密码学术交流,组织密码专业人才教育培训,对高等院校、科研机构、学术团体开展密码基础理论与应用技术研究、交流进行指导;承办中央密码工作领导小组的日常工作。县级以上地方各级密码管理部门是指省(自治区、直辖市)、市(地、州、盟)、县(市、区、旗)密码管理局。为规范和加强密码管理部门的行政管理职能,《密码法》明确了国家、省、市、县四级分级负责的密码工作管理体制,赋予了国家、省、市、县四级密码管理部门行政管理职责,从体制机制上为密码管理部门依法履行密码管理职能提供了坚实的法治保障。各级密码管理部门要认真贯彻落实《密码法》的明确要求,依法确立行政主体地位,全面履行《密码法》赋予的行政管理职能,加快建立权力清单、责任清单和负面清单,完善监督执法机制,规范执法方式,推动管理职能转变和管理方式创新,自觉做到“职权法定”、“权依法使”。问:国家机关和涉及密码工作的单位的密码工作职责是什么?答:国家机关和涉及密码工作的单位根据工作需要,承担相应的密码工作职责,是密码工作管理体制的重要组成部分。国家机关是指中央、省、市、县各级国家机关。涉及密码工作的单位是指除国家机关以外,承担密码管理职责的企事业单位等。这些机关、单位在其职责范围内负责本机关、本单位或本系统的密码工作。问:密码是如何分类的?答:《密码法》将密码分为核心密码、普通密码和商用密码,实行分类管理。核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息,商用密码用于保护不属于国家秘密的信息。问:为什么要对密码实行分类管理?答:将密码分为核心密码、普通密码和商用密码,实行分类管理,是党中央确定的密码管理根本原则,是保障密码安全的基本策略,也是长期以来密码工作经验的科学总结。三类密码保护的对象不同,对其进行明确划分,有利于确保密码安全保密,有利于密码管理部门根据不同信息等级和使用对象,对密码实行科学管理,充分发挥三类密码在保护网络与信息安全中的核心支撑作用。对密码施行分类管理,也是国际通行做法。问:什么是核心密码、普通密码?答:核心密码、普通密码用于保护国家秘密信息,有力保障了中央政令军令安全,为维护国家网络空间主权、安全和发展利益构筑起密码屏障。按照《保守国家秘密法》的规定,国家秘密是指关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。《密码法》根据保护对象的不同,对核心密码、普通密码进行划分。核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息。问:为什么要对核心密码、普通密码实行严格统一管理?答:密码管理部门按照中央要求,对核心密码、普通密码实行严格统一管理,针对核心密码、普通密码的科研、生产、服务、检测、装备、使用和销毁等各个环节制定了一系列严格的安全管理制度和保密措施,对核心密码、普通密码实行全生命周期的严格统一管理,明确了一系列保障措施。这是因为:第一,核心密码、普通密码用于保护国家秘密信息,直接关系国家安全和利益。第二,核心密码、普通密码本身也属于国家秘密,一旦泄密,将危害国家安全和利益。党政机关应当严格按照法律法规的有关规定使用核心密码、普通密码保护国家秘密信息,在法律范围内从事相关活动。第三,核心密码、普通密码的管理措施以及密码管理部门、密码工作机构及其工作人员开展核心密码、普通密码工作的保障措施等,需要通过国家立法提供法律依据,进一步提升密码工作的法治化保障水平。问:什么是商用密码?答:商用密码用于保护不属于国家秘密的信息。也就是说,商用密码可以用于保护除国家秘密之外的所有信息,既可以保护企业商业秘密、公民个人隐私,也可以保护政务领域中不属于国家秘密的工作信息。关于商用密码的名称,1996年,中央决定在我国大力发展商用密码,加强对商用密码的管理。1999年,国务院颁布施行《商用密码管理条例》(国务院令第273号),商用密码的名称开始为社会所熟知和广泛使用。此后,中央文件和党内法规以及国家密码管理局制定发布的规范性文件均采用了“商用密码”这一名称。问:《密码法》在商用密码使用方面提出了什么样的管理要求?答:《密码法》规定公民、法人和其他组织可以依法使用商用密码保护网络与信息安全,对一般用户使用商用密码没有提出强制性要求。同时,为了保障关键信息基础设施安全稳定运行,维护国家安全和社会公共利益,《密码法》第二十七条规定了关键信息基础设施的商用密码使用要求。公民、法人和其他组织可以依法使用商用密码,既是《密码法》赋予公民、法人和其他组织自主选择使用商用密码的权利,也是鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全。问:《密码法》为什么要鼓励和支持密码科学技术进步和创新?答:党的十九大报告指出,创新是引领发展的第一动力,是建设现代化经济体系的战略支撑。密码科学技术进步和创新是密码事业发展的灵魂,也是密码实现持续健康快速发展的动力源泉。紧紧牵住核心技术自主创新这个“牛鼻子”,牢牢掌握密码关键核心技术,是密码事业高质量发展的必由之路。坚持走中国特色密码自主创新道路,着眼密码科技前沿、立足网络空间安全、面向国家战略需求,加快创新驱动发展,是推进密码科技创新的基本要求。问:《密码法》在密码知识产权保护方面作了哪些具体规定?答:依法保护知识产权,对于激励科技创新,提高创新能力,促进创新成果合理分享,推动科技进步和经济社会发展,具有重要意义。在密码工作实践中,无论是密码技术研究,还是密码检测认证、密码应用安全性评估、安全审查,都涉及密码知识产权保护。《密码法》在多个条款中对依法保护密码领域的知识产权作了具体规定。在商用密码检测认证方面,《密码法》对检测、认证机构在检测认证中所知悉的国家秘密、商业秘密和技术秘密的保密义务作了明确规定,并且规定了相应的法律责任。《密码法》还对密码管理部门和有关部门及其工作人员对在履行职责中知悉的商业秘密和个人隐私的保密义务作了明确规定,并且规定了相应的法律责任。密码知识产权保护对国内外产品、服务以及内外资企业一视同仁、同等适用,对外商投资企业的知识产权实行同等保护。问:为什么要加强密码人才培养和队伍建设?答:人才是核心竞争力,密码事业的发展,归根结底要靠密码人才。密码人才队伍是一支特殊的队伍,承担着密码科研、密码管理、密码服务保障等重要任务,肩负着保障国家网络与信息安全的重要职责。随着网络与信息化的飞速发展和密码的广泛应用,密码人才需求呈现快速增长态势,密码专业人才培养和学科建设取得重要进展。目前,国内已有超过100所高校开设了密码学专业或者密码学相关课程,培育了大量的密码专业人才,涌现出一批具有国际知名度的优秀领军人才。将加强密码人才培养和队伍建设写进《密码法》也是贯彻落实相关中央文件和党内法规的明确要求,与《网络安全法》关于加强网络安全人才培养的规定也是衔接一致的。问:《密码法》规定了什么样的密码工作表彰奖励制度?答:为充分调动广大密码工作人员做好密码工作的积极性和创造性,推动密码工作创新发展,贯彻落实党和国家功勋荣誉表彰奖励制度要求,党和国家设立了全国密码工作先进集体和先进工作者、密码科学技术进步奖励等密码工作表彰奖励制度。《密码法》第九条规定:“对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。”将这一系列表彰奖励制度保留、固化下来。问:密码工作表彰奖励的对象有哪些?答:密码工作表彰奖励的对象主要是在服务党和国家工作大局中发挥重要作用以及在密码科技进步中作出重要贡献的密码管理部门、密码工作机构、商用密码从业单位和密码工作人员等。表彰奖励工作贯彻“尊重劳动、尊重知识、尊重人才、尊重创造”的方针,注重面向一线,注重工作实绩,遵循鼓励创新、促进发展、公平公正、严格把关的原则,坚持精神奖励与物质奖励相结合、