商用密碼應(yīng)用安全性評(píng)估擬放開。10月21日，密碼法草案提交十三屆全國(guó)人大常委會(huì)第十四次會(huì)議二次審議。草案擬明確要求核心密碼、普通密碼實(shí)行密碼“保密責(zé)任制”，定期開展安全評(píng)估。

同時(shí)，在商用密碼安全性評(píng)估問題上，草案二審稿擬明確運(yùn)營(yíng)者可自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開展安全性評(píng)估。

明確保密責(zé)任制，增加安全風(fēng)險(xiǎn)評(píng)估機(jī)制

澎湃新聞（www.nxos.com.cn）注意到，草案一審稿規(guī)定，密碼分為核心密碼、普通密碼和商用密碼。其中，核心密碼和普通密碼用于保護(hù)國(guó)家秘密信息，商用密碼用于保護(hù)不屬于國(guó)家秘密的信息，公民、法人和其他組織可以依法使用商用密碼保護(hù)網(wǎng)絡(luò)與信息安全。

上述草案對(duì)核心密碼、普通密碼的管理使用作了專章規(guī)定。有的常委會(huì)組成人員和地方建議進(jìn)一步強(qiáng)化管理，實(shí)行密碼安全保密責(zé)任制，定期開展安全評(píng)估，發(fā)現(xiàn)安全隱患風(fēng)險(xiǎn)后應(yīng)當(dāng)立即采取相應(yīng)措施。

憲法和法律委員會(huì)經(jīng)研究，建議在草案第十五條中明確要求實(shí)行密碼“保密責(zé)任制”，并在草案第十七條第一款中增加“安全風(fēng)險(xiǎn)評(píng)估”機(jī)制；在第二款增加規(guī)定，發(fā)現(xiàn)影響核心密碼、普通密碼安全的“風(fēng)險(xiǎn)隱患”時(shí)，應(yīng)當(dāng)立即采取應(yīng)對(duì)措施。

比如，草案二審稿第十五條規(guī)定：從事核心密碼、普通密碼科研、生產(chǎn)、服務(wù)、檢測(cè)、裝備、使用和銷毀等工作的機(jī)構(gòu)（以下統(tǒng)稱密碼工作機(jī)構(gòu)）應(yīng)當(dāng)按照法律、行政法規(guī)、國(guó)家有關(guān)規(guī)定以及核心密碼、普通密碼標(biāo)準(zhǔn)的要求，建立健全安全管理制度，采取嚴(yán)格的保密措施和保密責(zé)任制，確保核心密碼、普通密碼的安全。

針對(duì)泄密等風(fēng)險(xiǎn)隱患的情形，草案二審稿第十七條規(guī)定：密碼工作機(jī)構(gòu)發(fā)現(xiàn)核心密碼、普通密碼泄密或者影響核心密碼、普通密碼安全的重大問題、風(fēng)險(xiǎn)隱患的，應(yīng)當(dāng)立即采取應(yīng)對(duì)措施，并及時(shí)向保密行政管理部門、密碼管理部門報(bào)告，由保密行政管理部門、密碼管理部門會(huì)同有關(guān)部門組織開展調(diào)查、處置或者指導(dǎo)有關(guān)密碼工作機(jī)構(gòu)及時(shí)消除安全隱患。

可自行開展商用密碼安全性評(píng)估，檢測(cè)機(jī)構(gòu)應(yīng)承擔(dān)保密義務(wù)

澎湃新聞注意到，草案第二十七條規(guī)定了商用密碼應(yīng)用安全性評(píng)估和國(guó)家安全審查制度。

有常委會(huì)組成人員和部門、企業(yè)、公眾提出，網(wǎng)絡(luò)安全法已對(duì)網(wǎng)絡(luò)關(guān)鍵信息基礎(chǔ)設(shè)施的安全檢測(cè)評(píng)估和國(guó)家安全審查作了相關(guān)規(guī)定，建議本法與網(wǎng)絡(luò)安全法做好銜接。有的企業(yè)提出，一些大型企業(yè)有能力對(duì)所運(yùn)營(yíng)的網(wǎng)絡(luò)自行進(jìn)行安全性評(píng)估。

憲法和法律委員會(huì)經(jīng)研究,建議將第二十七條修改為：“法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估。商用密碼應(yīng)用安全性評(píng)估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估、網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)制度相銜接，避免重復(fù)評(píng)估、測(cè)評(píng)?！?/p>

草案二審稿還對(duì)商用密碼檢測(cè)、認(rèn)證機(jī)構(gòu)的職能和密碼管理部門的監(jiān)督職權(quán)作了規(guī)定。有的常委會(huì)組成人員建議進(jìn)一步增加對(duì)上述機(jī)構(gòu)和部門的保密義務(wù)要求。

為此，二審稿建議在第二十五條增加一款：“商用密碼檢測(cè)、認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)對(duì)其在商用密碼檢測(cè)認(rèn)證中所知悉的國(guó)家秘密和商業(yè)秘密承擔(dān)保密義務(wù)?！?/p>

同時(shí)還規(guī)定，“密碼管理部門和有關(guān)部門及其工作人員應(yīng)當(dāng)對(duì)在履行職責(zé)中知悉的商業(yè)秘密和個(gè)人隱私嚴(yán)格保密，不得泄露或者非法向他人提供?！?/p>

此外，草案二審稿還規(guī)定了違反密碼法相關(guān)規(guī)定的法律責(zé)任，進(jìn)一步明確了處罰主體、處罰對(duì)象、處罰依據(jù)和罰則。