保守国家秘密
中国历来重视对国家、政府和行业信息的保密工作,在政府向电子政务迁移的过程中,国家秘密的泄露会对国家安全产生严重威胁,中国《国家安全法》、《保守国家秘密法》等法律规范对政府、国家关键部门和行业规定了严格的保密制度。《国家安全法》在原则上规定窃取、刺探、收买、非法提供国家秘密属于危害国家安全的行为。《保守国家秘密法》进一步加强网络环境下的国家秘密保护、要求存储、处理国家秘密的计算机信息系统按照涉密程度实行分级保护。禁止非法获取、持有国际秘密载体。禁止买卖、转送或者私自销毁国家秘密载体;禁止通过普通邮政、快递等无保密措施的渠道传递国家秘密载体;禁止邮寄、托运国家秘密载体出境,或者未经有关主管部门批准,携带、传递国家秘密载体出境;禁止非法复制、记录、存储国家秘密;禁止在私人交往和通信中涉及国家秘密;禁止在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密;禁止将涉密计算机、涉密存储设备进入互联网及其他公共信息网络之间进行信息交换;禁止使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息;禁止擅自卸载、修改涉密信息系统的安全技术程序、管理程序;禁止将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途。
商密产品专控
商用密码技术是保障信息安全的重要手段,长久以来,中国将商用密码技术视为国家秘密,通过《商用密码管理条例》、《商用密码产品销售管理规定》和《商用密码产品使用管理规定》等法律法规、对商用密码产品采取严格的专控管理,对商用密码研发、生产和销售采用许可制度,只有经过国家密码管理机构制定或者许可的单位才能对商用密码产品进行研发、生产、销售,且有关单位必须具备相应的资质。中国的相关立法对商用密码使用的规定较为严苛、任何单位或个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品。境外组织或者个人在中国境内使用密码产品或者还有密码技术的设备、必须报经国家密码管理机构批准。且商用密码产品的用户不得转让其使用的商用密码产品。商用密码产品发生故障,必须由国家密码管理机构指定的单位维修。报废、销毁商用密码产品,应当向国家密码管理机构备案。
中国对商用密码的进出口同样适用严格的专控模式,根据《商用密码管理条例》第13条,《商用密码产品销售管理规定》第16条,《商用密码产品使用管理规定》第12条,《境外组织和个人在华使用密码产品管理办法》第6条规定,进口密码产品以及含有密码技术的设备或者出口商用密码产品,必须报经国家密码管理机构批准。任何单位或者个人不得销售境外的密码产品。外商投资企业或境外组织或个人不得销售境外的密码产品。外商投资企业或境外组织或个人申请使用的密码产品需要从境外进口的,应当申请办理《密码产品进口许可证》。密码产品入境时,外商投资企业应当向海关如实申报并提交《密码产品进口许可证》,海关凭此办理验放手续。
中国目前以《商用密码管理条例》为核心的商用密码专控制度保证了国家对密码技术的绝对掌控,但是中国必须意识到过去严苛的专控模式对商用密码技术开放性的冲击,特别是商用密码进口的专控可能对国家技术进步的阻碍,例如,中国目前在商用密码进出口控制方面没有对密码数位的具体要求,在密码技术进出口的国家安全审查中,需要对所有密码技术和含有密码技术的产品进行审查,这与国际社会向"重点可控"发展的密码管理制趋势相悖。
节选自:中国信息安全 第二期