什么是商用密码？数字时代商用密码为何重要？一文解读

　　7月1日起，新修订的《商用密码管理条例》将正式生效，随着现在数字化进程的加快，商用密码已经应用在老百姓生活的方方面面，为大家提供安全保障。

　　什么是密码？

　　根据《中华人民共和国密码法》的规定，密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。举个例子，小张约小王去食堂吃饭，但是不想让别人知道，相互约定以“0”代表小张，“1”代表小王，“7”代表食堂，“9”代表吃饭，“0179”就代表了“小张约小王去食堂吃饭”这样的意思，这个过程中，数字和语义之间的替代就是最原始的一种“密码”。我们常在谍战影视剧作品中看到通过摩斯密码等方式传递情报的情节，其实正是密码的一种应用。

　　而生活中，我们常说的手机密码、银行卡密码这些，实际上应该被称为“口令”，是一种简单的认证方式，并不是严格意义上的“密码”。

　　那么商用密码指的是什么呢？

　　根据《中华人民共和国密码法》的规定，密码分为核心密码、普通密码和商用密码。

　　核心密码、普通密码用于保护国家秘密信息，本身也属于国家秘密，主要用于党和国家的一些重大活动，或是抢险救灾这类突发事件。

　　商用密码则用于保护不属于国家秘密的信息，是与老百姓生活息息相关的一类密码，广泛应用在金融、通信、公安、税务等国民经济发展和社会生产生活的众多领域。《商用密码管理条例》正是对这类密码的应用和管理进行规范的国家行政法规。

　　国家密码管理局商用密码管理办公室主任 李国海：《商用密码管理条例》最早是1999年制定的，随着时代发展，商用密码在维护国家主权、安全和发展利益以及保障网络和信息安全方面的作用越来越凸显，原条例已不能很好适应当前的新形势新任务。根据2020年施行的《中华人民共和国密码法》，对《商用密码管理条例》进行了修订，从而更好地规范商用密码应用和管理，发挥商用密码在保护网络与信息安全中的核心作用。

　　商用密码守护百姓数据安全

　　商用密码涵盖了老百姓生活的众多领域，比如现在常用的移动支付、电子政务等都使用了商用密码技术，确保老百姓的数据安全。

　　密码的主要功能是加密保护和安全认证，具有防篡改和不可抵赖的特性，对数据的保护能力非常强。

　　新修订的《商用密码管理条例》规定：“国家支持网络产品和服务使用商用密码提升安全性，支持并规范商用密码在信息领域新技术、新业态、新模式中的应用”。

　　从2020年10月开始，我国新发的金融IC卡，也就是我们常用的芯片银行卡，就全部使用了自主可控的芯片和商用密码等技术确保支付安全。随着技术升级，现在大家在生活中广泛使用的移动支付，可实现无网无电支付的数字人民币，这些数字化支付方式的背后，也都使用了商用密码技术、产品和服务。

　　以数字人民币为例，假设小张在水果店通过数字人民币消费了100块钱，如何在小张和水果店老板之间建立安全的交易环境与通道？怎样确保交易金额不被篡改？如何防止小张在交易过程中的支付信息被第三方窃取？这就需要商用密码加密保护和安全认证功能的支持。

　　中国人民银行数字货币研究所信息安全专家 霍云：在交易过程中，数字人民币根据不同使用场景，综合使用多重签名、协同签名、混合加密、消息认证码、数字证书、零知识证明等各类密码技术，对用户，运营机构，支付平台，商户、终端和机具等角色进行身份认证，对交易数据进行加密解密和签名验签，保护用户资金不被盗用、交易数据不被篡改，个人信息不被滥用，守好百姓的钱袋子。

　　规范商用密码在信息领域应用

　　除了移动支付领域，日常生活中，我们使用的身份证、社保卡、门禁卡以及各类电子证件，包括我们的各类通信手段，大家经常使用的电子政务，在医院看病的电子病历等等，这些都运用了商用密码技术对信息交互、身份认证、数据存储等过程进行保护。

　　可以说，商用密码技术与我们的生活密切相关。如何更好规范商用密码在信息领域的应用？新修订的《商用密码管理条例》规定：“国家鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全”，强调“任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的商用密码保障系统，不得利用商用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动”。

　　推进检测认证体系建设 激发市场活力

　　随着商用密码应用日益广泛，我国商用密码企业迅速增长，商用密码研发、推广的市场前景也越来越好。为了更好激发市场活力，《商用密码管理条例》修订过程中，也对行政审批等流程进行了简化优化。

　　国家密码管理局商用密码管理办公室主任 李国海：修订后的《商用密码管理条例》坚持放宽准入与规范监管相结合。按照行政审批制度改革要求，放宽市场准入，将原先的全环节严格管控，调整为对关键环节进行重点把控，把更多行政资源从事前审批转到事前事中事后监管，使商用密码管理真正“放得开”、确保“管得住”。

　　立足激发市场活力和经营主体内生动力，《商用密码管理条例》在修订过程中，取消了商用密码产品生产单位审批、销售单位许可、品种和型号审批，取消了商用密码科研机构指定审批。同时明确，国家推进商用密码检测认证体系建设，鼓励在商用密码活动中自愿接受商用密码检测认证；要求建立国家统一推行的商用密码认证制度，实行商用密码产品、服务、管理体系认证；强调要规范检测机构活动，依法依规对商用密码进行审查。

　　工业和信息化部商用密码应用产业促进联盟理事长 杨建军：商用密码的检测认证主要检测的是商用密码产品是不是满足我们国家的商用密码相关的一些算法、技术接口、功能等等相关的一些标准，如果这个产品一旦通过了认证，也就是说它符合了这些标准以后，对它的市场推广来说非常有利。从用户选择角度来说，他肯定要选择一些通过认证的产品，所以这样一来也会提高这个产品的市场竞争力。

　　可以说，新修订的《商用密码管理条例》出台后，将为推进新时代商用密码高质量发展、保障网络与信息安全、维护国家安全和社会公共利益、保护公民合法权益提供有力法治保障。