新华社北京5月24日电 国务院总理李强日前签署国务院令,公布修订后的《商用密码管理条例》(以下简称《条例》),自2023年7月1日起施行。 商用密码管理条例 (1999年10月7日中华人民共和国国务院令第273号发布 2023年4月27日中华人民共和国国务院令第760号修订) 第一章 总 则 第一条 为了规范商用密码应用和管理,鼓励和促进商用密码产业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国密码法》等法律,制定本条例。 第二条 在中华人民共和国境内的商用密码科研、生产、销售、服务、检测、认证、进出口、应用等活动及监督管理,适用本条例。 第三条 坚持中国共产党对商用密码工作的领导,贯彻落实总体国家安全观。国家密码管理部门负责管理全国的商用密码工作。县级以上地方各级密码管理部门负责管理本行政区域的商用密码工作。 第四条 国家加强商用密码人才培养,建立健全商用密码人才发展体制机制和人才评价制度,鼓励和支持密码相关学科和专业建设,规范商用密码社会化培训,促进商用密码人才交流。 第五条 各级人民政府及其有关部门应当采取多种形式加强商用密码宣传教育,增强公民、法人和其他组织的密码安全意识。 第六条 商用密码领域的学会、行业协会等社会组织依照法律、行政法规及其章程的规定,开展学术交流、政策研究、公共服务等活动,加强学术和行业自律,推动诚信建设,促进行业健康发展。 第二章 科技创新与标准化 第七条 国家建立健全商用密码科学技术创新促进机制,支持商用密码科学技术自主创新,对作出突出贡献的组织和个人按照国家有关规定予以表彰和奖励。 第八条 国家鼓励和支持商用密码科学技术成果转化和产业化应用,建立和完善商用密码科学技术成果信息汇交、发布和应用情况反馈机制。 第九条 国家密码管理部门组织对法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统所使用的密码算法、密码协议、密钥管理机制等商用密码技术进行审查鉴定。 第十条 国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准,对商用密码团体标准的制定进行规范、引导和监督。国家密码管理部门依据职责,建立商用密码标准实施信息反馈和评估机制,对商用密码标准实施进行监督检查。 第十一条 从事商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准,以及自我声明公开标准的技术要求。 第三章 检测认证 第十二条 国家推进商用密码检测认证体系建设,鼓励在商用密码活动中自愿接受商用密码检测认证。 第十三条 从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动,向社会出具具有证明作用的数据、结果的机构,应当经国家密码管理部门认定,依法取得商用密码检测机构资质。 第十四条 取得商用密码检测机构资质,应当符合下列条件: 第十五条 申请商用密码检测机构资质,应当向国家密码管理部门提出书面申请,并提交符合本条例第十四条规定条件的材料。 第十六条 商用密码检测机构应当按照法律、行政法规和商用密码检测技术规范、规则,在批准范围内独立、公正、科学、诚信地开展商用密码检测,对出具的检测数据、结果负责,并定期向国家密码管理部门报送检测实施情况。 第十七条 国务院市场监督管理部门会同国家密码管理部门建立国家统一推行的商用密码认证制度,实行商用密码产品、服务、管理体系认证,制定并公布认证目录和技术规范、规则。 第十八条 从事商用密码认证活动的机构,应当依法取得商用密码认证机构资质。 第十九条 商用密码认证机构应当按照法律、行政法规和商用密码认证技术规范、规则,在批准范围内独立、公正、科学、诚信地开展商用密码认证,对出具的认证结论负责。 第二十条 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的商用密码检测、认证机构检测认证合格后,方可销售或者提供。 第二十一条 商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。 第四章 电子认证 第二十二条 采用商用密码技术提供电子认证服务,应当具有与使用密码相适应的场所、设备设施、专业人员、专业能力和管理体系,依法取得国家密码管理部门同意使用密码的证明文件。 第二十三条 电子认证服务机构应当按照法律、行政法规和电子认证服务密码使用技术规范、规则,使用密码提供电子认证服务,保证其电子认证服务密码使用持续符合要求。 第二十四条 采用商用密码技术从事电子政务电子认证服务的机构,应当经国家密码管理部门认定,依法取得电子政务电子认证服务机构资质。 第二十五条 取得电子政务电子认证服务机构资质,应当符合下列条件: 第二十六条 申请电子政务电子认证服务机构资质,应当向国家密码管理部门提出书面申请,并提交符合本条例第二十五条规定条件的材料。 第二十七条 外商投资电子政务电子认证服务,影响或者可能影响国家安全的,应当依法进行外商投资安全审查。 第二十八条 电子政务电子认证服务机构应当按照法律、行政法规和电子政务电子认证服务技术规范、规则,在批准范围内提供电子政务电子认证服务,并定期向主要办事机构所在地省、自治区、直辖市密码管理部门报送服务实施情况。 第二十九条 国家建立统一的电子认证信任机制。国家密码管理部门负责电子认证信任源的规划和管理,会同有关部门推动电子认证服务互信互认。 第三十条 密码管理部门会同有关部门负责政务活动中使用电子签名、数据电文的管理。 第五章 进出口 第三十一条 涉及国家安全、社会公共利益且具有加密保护功能的商用密码,列入商用密码进口许可清单,实施进口许可。涉及国家安全、社会公共利益或者中国承担国际义务的商用密码,列入商用密码出口管制清单,实施出口管制。 第三十二条 进口商用密码进口许可清单中的商用密码或者出口商用密码出口管制清单中的商用密码,应当向国务院商务主管部门申请领取进出口许可证。 第三十三条 进口商用密码进口许可清单中的商用密码或者出口商用密码出口管制清单中的商用密码时,应当向海关交验进出口许可证,并按照国家有关规定办理报关手续。 第三十四条 申请商用密码进出口许可,应当向国务院商务主管部门提出书面申请,并提交下列材料: 第六章 应用促进 第三十五条 国家鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全,鼓励使用经检测认证合格的商用密码。 第三十六条 国家支持网络产品和服务使用商用密码提升安全性,支持并规范商用密码在信息领域新技术、新业态、新模式中的应用。 第三十七条 国家建立商用密码应用促进协调机制,加强对商用密码应用的统筹指导。国家机关和涉及商用密码工作的单位在其职责范围内负责本机关、本单位或者本系统的商用密码应用和安全保障工作。 第三十八条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。 第三十九条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,使用的商用密码产品、服务应当经检测认证合格,使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定。 第四十条 关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当依法通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。 第四十一条 网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。国家密码管理部门根据网络的安全保护等级,确定商用密码的使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范。 第四十二条 商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接,避免重复评估、测评。 第七章 监督管理 第四十三条 密码管理部门依法组织对商用密码活动进行监督检查,对国家机关和涉及商用密码工作的单位的商用密码相关工作进行指导和监督。 第四十四条 密码管理部门和有关部门建立商用密码监督管理协作机制,加强商用密码监督、检查、指导等工作的协调配合。 第四十五条 密码管理部门和有关部门依法开展商用密码监督检查,可以行使下列职权: 第四十六条 密码管理部门和有关部门推进商用密码监督管理与社会信用体系相衔接,依法建立推行商用密码经营主体信用记录、信用分级分类监管、失信惩戒以及信用修复等机制。 第四十七条 商用密码检测、认证机构和电子政务电子认证服务机构及其工作人员,应当对其在商用密码活动中所知悉的国家秘密和商业秘密承担保密义务。 第四十八条 密码管理部门和有关部门依法开展商用密码监督管理,相关单位和人员应当予以配合,任何单位和个人不得非法干预和阻挠。 第四十九条 任何单位或者个人有权向密码管理部门和有关部门举报违反本条例的行为。密码管理部门和有关部门接到举报,应当及时核实、处理,并为举报人保密。 第八章 法律责任 第五十条 违反本条例规定,未经认定向社会开展商用密码检测活动,或者未经认定从事电子政务电子认证服务的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款。 第五十一条 商用密码检测机构开展商用密码检测,有下列情形之一的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款;情节严重的,依法吊销商用密码检测机构资质: 第五十二条 商用密码认证机构开展商用密码认证,有下列情形之一的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款;情节严重的,依法吊销商用密码认证机构资质: 第五十三条 违反本条例第二十条、第二十一条规定,销售或者提供未经检测认证或者检测认证不合格的商用密码产品,或者提供未经认证或者认证不合格的商用密码服务的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得10万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足10万元的,可以并处3万元以上10万元以下罚款。 第五十四条 电子认证服务机构违反法律、行政法规和电子认证服务密码使用技术规范、规则使用密码的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款;情节严重的,依法吊销电子认证服务使用密码的证明文件。 第五十五条 电子政务电子认证服务机构开展电子政务电子认证服务,有下列情形之一的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款;情节严重的,责令停业整顿,直至吊销电子政务电子认证服务机构资质: 第五十六条 电子签名人或者电子签名依赖方因依据电子政务电子认证服务机构提供的电子签名认证服务在政务活动中遭受损失,电子政务电子认证服务机构不能证明自己无过错的,承担赔偿责任。 第五十七条 政务活动中电子签名、电子印章、电子证照等涉及的电子认证服务,违反本条例第三十条规定,未由依法设立的电子政务电子认证服务机构提供的,由密码管理部门责令改正,给予警告;拒不改正或者有其他严重情节的,由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。有关国家机关、单位应当将处分或者处理情况书面告知密码管理部门。 第五十八条 违反本条例规定进出口商用密码的,由国务院商务主管部门或者海关依法予以处罚。 第五十九条 窃取他人加密保护的信息,非法侵入他人的商用密码保障系统,或者利用商用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的,由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。 第六十条 关键信息基础设施的运营者违反本条例第三十八条、第三十九条规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者有其他严重情节的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。 第六十一条 关键信息基础设施的运营者违反本条例第四十条规定,使用未经安全审查或者安全审查未通过的涉及商用密码的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额1倍以上10倍以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。 第六十二条 网络运营者违反本条例第四十一条规定,未按照国家网络安全等级保护制度要求使用商用密码保护网络安全的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处1万元以上10万元以下罚款,对直接负责的主管人员处5000元以上5万元以下罚款。 第六十三条 无正当理由拒不接受、不配合或者干预、阻挠密码管理部门、有关部门的商用密码监督管理的,由密码管理部门、有关部门责令改正,给予警告;拒不改正或者有其他严重情节的,处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款;情节特别严重的,责令停业整顿,直至吊销商用密码许可证件。 第六十四条 国家机关有本条例第六十条、第六十一条、第六十二条、第六十三条所列违法情形的,由密码管理部门、有关部门责令改正,给予警告;拒不改正或者有其他严重情节的,由密码管理部门、有关部门建议有关国家机关对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。有关国家机关应当将处分或者处理情况书面告知密码管理部门、有关部门。 第六十五条 密码管理部门和有关部门的工作人员在商用密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的,依法给予处分。 第六十六条 违反本条例规定,构成犯罪的,依法追究刑事责任;给他人造成损害的,依法承担民事责任。 第九章 附 则 第六十七条 本条例自2023年7月1日起施行。 |