近日,《中华人民共和国密码法(草案)》提交十三届全国人大常委会第十一次会议审议。据了解,这是我国首部有关密码工作的专门立法。
与此同时,有文章(如网信上海公众号发布的文章)指出用户平常使用的手机密码、社交账号(微信、邮箱等)密码、App注册密码等,都属于商用密码,也将受到密码法的保护。
真的是这样吗?
微信、邮箱等账号密码属于口令,与草案中密码不同
“密码那么多,我怎么记得过来!”日常生活中,用户登录微信、微博需要密码,使用支付宝支付也需要输入密码。这些“密码”跟《密码法》草案中所说的密码,概念相同吗?
国家密码管理局相关负责人解释说,现实生活中提到的“密码”一词,比如人们日常使用的开机“密码”、微信“密码”、银行卡支付“密码”等,这些“密码”实际上是口令。口令只是进入个人计算机、手机、电子邮箱或者个人银行账户的“通行证”,它是一种简单、初级的身份认证手段,是最简易的密码。
这些口令与《密码法》草案中的密码不同。《密码法》草案中的密码指的是使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。
据悉,《密码法》草案共五章四十四条,对密码分为核心密码、普通密码和商用密码进行分类管理。
其中,核心密码和普通密码用于保护国家秘密信息,由密码管理部门依法实行严格统一管理;商用密码则用于保护不属于国家秘密的信息,公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。
按照分类管理要求,核心密码、普通密码由密码管理部门依法实行严格统一管理,其科研、生产、检测、装备、使用和销毁单位应当按照法律、行政法规、国家有关规定及国家密码管理部门的要求,建立健全安全管理制度,采取严格的保密措施,确保核心密码、普通密码安全。
盗号、撞库等密码丢失情况不属于密码法保护范畴
既然《密码法》草案中的密码与用户平常提到的口令并不相同,那密码法还能保护微信口令等账号口令被盗的情况吗?
中国科学院信息工程研究所研究员林东岱对隐私护卫队解释说,虽然密码法中所说的密码和口令不是一回事,但有一些关联。一般来说,口令存储在企业的后台时不会以明文形式存储,需要采用一定的密码技术手段(比如哈希函数)进行变换,这种技术手段—而不是口令本身—属于密码法中规定的商用密码范畴,受密码法管理。
而盗号、撞库等窃取用户账号口令的情况,属于系统安全问题。对在我国境内建设、运营、维护、使用的网络与计算机系统有关的安全要求,网络安全等级保护条例等法律法规中应有相关规定和标准。
对于盗号、撞库等窃取用户账号口令的情况,北京玺泽律师事务所高级合伙人程贞对隐私护卫队说,《最高人民法院关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释 》第八条规定,盗用他人公共信息网络上网账号、密码上网,造成他人电信资费损失数额较大的,依照刑法第二百六十四条的规定,以盗窃罪定罪处罚。
“盗号还可能构成民事侵权责任。”程贞补充说,因盗号对账号所有人造成损害的(无论是财产上的损失或名誉、精神等方面的损害),权利人都有权主张自己的权利。(尤一炜 蒋琳)
声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
