商用密碼應(yīng)用安全性評估擬放開。10月21日，密碼法草案提交十三屆全國人大常委會第十四次會議二次審議。草案擬明確要求核心密碼、普通密碼實行密碼“保密責(zé)任制”，定期開展安全評估。

同時，在商用密碼安全性評估問題上，草案二審稿擬明確運營者可自行或者委托商用密碼檢測機構(gòu)開展安全性評估。

明確保密責(zé)任制，增加安全風(fēng)險評估機制

澎湃新聞（www.xinlihui.cn）注意到，草案一審稿規(guī)定，密碼分為核心密碼、普通密碼和商用密碼。其中，核心密碼和普通密碼用于保護國家秘密信息，商用密碼用于保護不屬于國家秘密的信息，公民、法人和其他組織可以依法使用商用密碼保護網(wǎng)絡(luò)與信息安全。

上述草案對核心密碼、普通密碼的管理使用作了專章規(guī)定。有的常委會組成人員和地方建議進一步強化管理，實行密碼安全保密責(zé)任制，定期開展安全評估，發(fā)現(xiàn)安全隱患風(fēng)險后應(yīng)當(dāng)立即采取相應(yīng)措施。

憲法和法律委員會經(jīng)研究，建議在草案第十五條中明確要求實行密碼“保密責(zé)任制”，并在草案第十七條第一款中增加“安全風(fēng)險評估”機制；在第二款增加規(guī)定，發(fā)現(xiàn)影響核心密碼、普通密碼安全的“風(fēng)險隱患”時，應(yīng)當(dāng)立即采取應(yīng)對措施。

比如，草案二審稿第十五條規(guī)定：從事核心密碼、普通密碼科研、生產(chǎn)、服務(wù)、檢測、裝備、使用和銷毀等工作的機構(gòu)（以下統(tǒng)稱密碼工作機構(gòu)）應(yīng)當(dāng)按照法律、行政法規(guī)、國家有關(guān)規(guī)定以及核心密碼、普通密碼標(biāo)準(zhǔn)的要求，建立健全安全管理制度，采取嚴格的保密措施和保密責(zé)任制，確保核心密碼、普通密碼的安全。

針對泄密等風(fēng)險隱患的情形，草案二審稿第十七條規(guī)定：密碼工作機構(gòu)發(fā)現(xiàn)核心密碼、普通密碼泄密或者影響核心密碼、普通密碼安全的重大問題、風(fēng)險隱患的，應(yīng)當(dāng)立即采取應(yīng)對措施，并及時向保密行政管理部門、密碼管理部門報告，由保密行政管理部門、密碼管理部門會同有關(guān)部門組織開展調(diào)查、處置或者指導(dǎo)有關(guān)密碼工作機構(gòu)及時消除安全隱患。

可自行開展商用密碼安全性評估，檢測機構(gòu)應(yīng)承擔(dān)保密義務(wù)

澎湃新聞注意到，草案第二十七條規(guī)定了商用密碼應(yīng)用安全性評估和國家安全審查制度。

有常委會組成人員和部門、企業(yè)、公眾提出，網(wǎng)絡(luò)安全法已對網(wǎng)絡(luò)關(guān)鍵信息基礎(chǔ)設(shè)施的安全檢測評估和國家安全審查作了相關(guān)規(guī)定，建議本法與網(wǎng)絡(luò)安全法做好銜接。有的企業(yè)提出，一些大型企業(yè)有能力對所運營的網(wǎng)絡(luò)自行進行安全性評估。

憲法和法律委員會經(jīng)研究,建議將第二十七條修改為：“法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的關(guān)鍵信息基礎(chǔ)設(shè)施，其運營者應(yīng)當(dāng)使用商用密碼進行保護，自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估。商用密碼應(yīng)用安全性評估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評制度相銜接，避免重復(fù)評估、測評?！?/p>

草案二審稿還對商用密碼檢測、認證機構(gòu)的職能和密碼管理部門的監(jiān)督職權(quán)作了規(guī)定。有的常委會組成人員建議進一步增加對上述機構(gòu)和部門的保密義務(wù)要求。

為此，二審稿建議在第二十五條增加一款：“商用密碼檢測、認證機構(gòu)應(yīng)當(dāng)對其在商用密碼檢測認證中所知悉的國家秘密和商業(yè)秘密承擔(dān)保密義務(wù)?！?/p>

同時還規(guī)定，“密碼管理部門和有關(guān)部門及其工作人員應(yīng)當(dāng)對在履行職責(zé)中知悉的商業(yè)秘密和個人隱私嚴格保密，不得泄露或者非法向他人提供?！?/p>

此外，草案二審稿還規(guī)定了違反密碼法相關(guān)規(guī)定的法律責(zé)任，進一步明確了處罰主體、處罰對象、處罰依據(jù)和罰則。