4.15活动-密码政策问答八

问:建立发展商用密码领域的行业协会等组织有什么意义?
答:《密码法》结合商用密码发展实际,深化商用密码领域“放管服”改革,构建起现代化商用密码治理体系。商用密码治理体系作为一个有机整体,除了各有关管理部门要加强服务和管理外,还需要从业单位、社会组织、公民等各方面共同努力,参与商用密码社会共治。行业协会等组织作为介于密码管理部门和商用密码从业单位之间的社会组织,既是沟通管理部门和从业单位的桥梁与纽带,又是社会多元利益的协调机构,也是实现行业自律、规范行业行为、开展行业服务、保障公平竞争的社会组织,在社会管理、行业治理、行业自律中发挥了重要作用,既大大减少了政府的管理成本,又促进了行业自身的发展,显示了巨大的社会效益。
问:商用密码领域的行业协会等组织的宗旨是什么?
答:商用密码行业协会等组织代表本行业从业单位的利益,切实为从业单位服务。商用密码行业协会等组织根据授权进行行业统计,掌握国内外行业发展动态,收集、发布行业信息;依照有关规定创办刊物和网站,开展法律、政策、技术、管理、市场等咨询服务;参与行业资质认证、新技术和新产品鉴定及推广等相关工作;组织人才、技术、管理、法规等培训,帮助会员企业提高素质、增强创新能力、改善经营管理;受管理部门委托承办或根据市场和行业发展需要举办交易会、展览会等,为企业开拓市场创造条件。
问:商用密码领域的行业协会等组织如何发挥桥梁纽带作用?
答:通过积极向密码管理部门反映行业、会员诉求,提出商用密码行业发展和立法等方面的意见和建议,积极参与相关法律法规、宏观调控和产业政策的研究、制定,参与制定修订商用密码国家标准、行业标准和行业发展规划、行业准入条件,完善行业管理,促进行业发展。
问:目前我国商用密码领域的行业协会等组织发展情况如何?
答:随着我国商用密码的快速发展,商用密码领域的行业协会等组织也在不断发展壮大。截至2019年12月,北京、天津、上海、江苏、福建、江西、山东、广东、重庆、四川、陕西、深圳等地已经成立了区域性商用密码行业协会。此外,全国性和一些地方性商用密码领域的行业协会等组织也在抓紧建立。这些组织在服务商用密码从业单位、加强行业自律、推动诚信建设、促进产业发展方面发挥了重要的作用。
问:商用密码行业协会等组织的行业自律职能主要是什么?
答:行业自律是商用密码从业单位为维护共同利益、促进共同发展而开展的订立行业规范、规范行业行为、协调利益关系、维护公平竞争的自我管理、自我约束行为。商用密码行业自律的主要内容是围绕规范商用密码市场秩序,健全各项自律性管理制度,制定并组织实施行业职业道德准则,大力推动行业诚信建设,建立完善行业自律性管理约束机制,规范会员行为,协调会员关系,维护公平竞争的市场环境。
问:《密码法》关于商用密码事中事后监管制度的要求是什么?
答:《密码法》第三十一条规定:密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度。
《密码法》在商用密码领域深化“放管服”改革,坚持放管结合,在取消一批商用密码行政许可事项的基础上,把更多行政资源从事前审批转到事中事后监管上来,着力构建权责明确、公平公正、公开透明、简约高效的商用密码事中事后监管体系,确保监管“不缺位、不错位、不越位”。
商用密码事中事后监管的实施主体,是密码管理部门和其他涉及商用密码监督管理的有关部门,主要包括市场监管、网信、商务、海关等部门。密码管理部门和有关部门依法开展商用密码事中事后监管,对涉及多个部门的商用密码监管事项,主责部门发挥牵头作用,相关部门协同配合。
问:商用密码事中事后监管如何开展?
答:商用密码事中事后监管以日常检查为主、专项整治为辅,日常监管又以随机抽查为主。商用密码日常监管全面实行随机抽取检查对象、随机选派执法检查人员、抽查情况及查处结果及时向社会公开,原则上所有日常行政检查都通过“双随机、一公开”的方式进行。下一步,密码管理部门和有关部门将不断完善商用密码随机抽查相关配套制度和工作机制,健全跨部门联合抽查机制,避免对同一商用密码市场主体多头、重复检查。将随机抽查的比例频次、被抽查概率与抽查对象的信用等级、风险程度挂钩,对有不良信用记录、风险高的加大抽查力度,对信用较好、风险较低的适当减少抽查。抽查结果分别通过国家企业信用信息公示系统、“信用中国”网站、国家“互联网+监管”系统等进行公示。
商用密码事中事后监管的重要手段是深入推进“互联网+监管”,依托国家“互联网+监管”系统,建设统一的商用密码监督管理信息平台。加强商用密码监管信息归集共享,将各类商用密码相关的行政检查、行政处罚、行政强制等信息以及司法判决、违法失信、抽查抽检等信息进行关联整合,并归集到相关商用密码市场主体名下。充分运用大数据等技术,加强对风险的跟踪预警。提升商用密码事中事后监管的精准化、智能化水平。
问:商用密码事中事后监管如何与社会信用体系相衔接?
答:推进商用密码事中事后监管与社会信用体系相衔接,提升商用密码信用监管效能。以国家统一社会信用代码为标识,依法依规建立权威、统一、可查询的商用密码市场主体信用记录。大力推行商用密码从业单位及有关市场主体信用承诺制度,将信用承诺履行情况纳入信用记录。推进信用分级分类监管,依据商用密码从业单位信用情况,在监管方式、抽查比例和频次等方面采取差异化措施。规范认定并设立商用密码市场主体信用“黑名单”,强化失信联合惩戒,对失信主体在行业准入、获得信贷、出口退税、高消费等方面依法予以限制。建立健全信用修复、异议申诉等机制。在保护涉及国家秘密、商业秘密和个人隐私等信息的前提下,依法做好商用密码有关信用信息的公开工作。
问:如何强化商用密码从业单位自律和社会监督?
答:强化商用密码从业单位自律和社会监督,就是要充分调动社会各方力量参与商用密码监督管理,统筹社会各种资源支持商用密码社会治理,形成市场自律、社会监督和政府监管互为支撑的商用密码协同监管格局,切实管出公平、管出效率、管出活力,提高商用密码市场主体竞争力和市场效率,推动商用密码产业持续健康发展。
问:《密码法》对密码管理部门和有关部门及其工作人员提出了什么样的保密要求?
答:《密码法》第三十一条规定:密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。
问:《密码法》为什么要对密码管理部门和有关部门及其工作人员提出保密要求?
答:密码管理部门和有关部门及其工作人员对在履行职责中知悉的商业秘密和个人隐私予以严格保密,是其基本的法定义务,也体现了行政机关对自身履职的严格要求。
密码管理部门和有关部门在依法履行职责的过程中会合理知悉有关商业秘密和个人隐私,虽然其知悉途径是合法的,但是如果将这些信息泄露给他人,就会损害商业秘密权利人的利益,或者损害公民个人的合法权益。为保护当事人合法权益,并保证密码管理活动的正常进行,密码管理部门和有关部门及其工作人员必须对在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。同时,《密码法》关于源代码等密码相关专有信息保护的规定是商用密码知识产权保护原则的又一具体措施。
问:《密码法》对窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动,规定了什么样的法律责任?
答:《密码法》第三十二条规定:违反本法第十二条规定,窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的,由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。
《密码法》明确的从事密码违法活动具体包括三种情形:一是窃取他人加密保护的信息。二是非法侵入他人的密码保障系统。三是利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动。
问:《密码法》明确哪些未按照要求使用核心密码、普通密码的情形?
答:《密码法》明确了违反核心密码、普通密码使用要求的两种情形:一是在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,未使用核心密码、普通密码进行加密保护、安全认证。二是在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,虽然使用了核心密码、普通密码,但未能依照法律、行政法规和国家有关规定,合规、正确、有效地使用核心密码、普通密码进行加密保护、安全认证。
问:《密码法》对未按照要求使用核心密码、普通密码的行为,规定了什么样的法律责任?
答:《密码法》第三十三条规定:违反本法第十四条规定,未按照要求使用核心密码、普通密码的,由密码管理部门责令改正或者停止违法行为,给予警告;情节严重的,由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
此条规定的法律责任包括:
1.责令改正。所谓责令改正,是指有关主管部门依法要求违法行为人将其违法行为恢复到合法状态。
2.责令停止违法行为。所谓责令停止违法行为,是指有关主管部门依法要求违法行为人停止其实施的违法行为。
3.警告。所谓警告,是指有关主管部门对违法行为人进行训诫,使其认识到其行为的违法性。
4.处分。分为行政处分和党纪处分两种。本条中的“直接负责的主管人员”,是指在机关、单位实施的违法行为中起决定、批准、授意、指挥等作用的人员,一般是本机关、单位分管某一方面工作的负责人。“其他直接责任人员”,是指具体实施违法行为并起较大作用的人员,可以是机关、单位的管理人员、工作人员。
5.处理。所谓处理,是指对实施了相关违法行为,但不适用处分的人员,由有关主管部门依照有关法律、法规的规定作出的惩戒。这里所说的不适用处分的人员,主要是指在国家机关工作但不具有编制的聘任人员和企事业单位聘任的人员。
密码管理部门应当及时建议督促有关机关、单位对违法人员依法给予处分或者处理。
问:《密码法》明确哪些核心密码、普通密码泄密等安全问题的情形?
答:《密码法》明确了核心密码、普通密码泄密案件或者密码工作机构违反相关安全要求的具体情形:一是发生核心密码、普通密码泄密案件。二是发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未立即采取应对措施。三是发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未及时向保密行政管理部门、密码管理部门报告。