中华人民共和国密码法

仁海中西医

   中华人民共和国密码法

                                          http://www.xinhuanet.com/2019-10/26/c_1125156896.htm

中华人民共和国密码法

（2019年10月26日第十三届全国人民代表大会常务委员会第十四次会议通过）

　　目录

　　第一章　总则

　　第二章　核心密码、普通密码

　　第三章　商用密码

　　第四章　法律责任

　　第五章　附则

仁海中西医

https://m.fadada.com/notice/detail-2717.html

接下来，我们来看一下《密码法》的颁布对电子签名行业将产生什么样的影响，同时，我们也邀请了特别嘉宾王律师对《密码法》进行了专业解读。

商用密码产品资质，成电签平台合规标配

根据《密码法》规定，密码分为核心密码、普通密码和商用密码，核心密码、普通密码用于保护国家秘密信息，商用密码用于保护不属于国家秘密的信息。

《密码法》属于我国密码领域的第一部法律，该法的制定和实施，对于加快密码法治建设，理顺国家安全领域相关法律法规关系，完善国家安全法律制度体系具有重要意义。

随着近年来网络安全技术的快速发展，商用密码得到了广泛的应用。电子签名作为商用密码应用中最常见、最典型的应用场景之一，其应用了大量密码学算法和技术原理。于电子签名行业而言，《密码法》的颁布势必对电子签名企业的合规发展提出了更高的要求。

早在1999年，国务院出台了《商用密码管理条例》，规定了国家对商用密码产品的科研、生产、销售和使用实行专控管理，需办理相关许可证书。这里的证书指：商用密码产品生产定点单位证书、商用密码产品型号证书、商用密码产品销售许可证。

2017年9月，国务院通过《国务院关于取消一批行政许可事项的决定》，将商业密码领域的监管重点从“管企业”转向为“管产品”，取消了商用密码产品生产单位审批、商用密码产品销售单位许可的行政审批，但生产、销售的商用密码产品仍应当依法办理《商用密码产品型号证书》。

如今，《密码法》颁布并且明确规定 “涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关键设备和网络安全专用产品目录，由具备资格的机构检测认证合格后，方可销售或者提供。”

由此可见，随着我国密码法律制度的逐步完善，依法获得相应的资质，已成为电子签名企业合规运营的必备条件。

法大大作为国内领先的电子签名服务商，始终坚持着安全合规的经营宗旨，积极响应政策法规，早期就依法获得了《商用密码产品生产定点单位证书》和《商用密码产品销售许可证》，并于业内率先获得了国家密码管理局颁发的《商用密码产品型号证书》，是行业内为数不多获得商用密码产品资质、提供合法合规商用密码产品的电子签名服务商。

自成立以来，法大大就一直专注电子签名安全相关技术的研发和创新，不断提升平台信息安全管理水平、保障用户隐私数据安全的同时，也在引领着电子签名行业向规范化发展。截至目前，法大大已获得ISO27001信息安全管理体系认证、ISO27018公有云个人信息和隐私保护认证、信息系统安全等级保护第三级、企业SaaS服务“可信云”认证、商用密码产品型号证书等多项重要资质。

专业解读：律师视角看《密码法》

《密码法》共五章四十四条，第三章为“商用密码”相关规定，整个部分规定了商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。

第二十一条 国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用，健全统一、开放、竞争、有序的商用密码市场体系，鼓励和促进商用密码产业发展。

各级人民政府及其有关部门应当遵循非歧视原则，依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位（以下统称商用密码从业单位）。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。

商用密码的科研、生产、销售、服务和进出口，不得损害国家安全、社会公共利益或者他人合法权益。

解读：在市场准入方面，不得歧视外商投资企业，此处和今年早些通过的《外商投资法》一脉相承，如果说之前《外商投资法》是从总的框架方面规定保护外商投资合法权益，则二十一条第二款直接明确了在商用密码领域加强对外商投资合法权益的保护。

第二十二条 国家建立和完善商用密码标准体系。

国务院标准化行政主管部门和国家密码管理部门依据各自职责，组织制定商用密码国家标准、行业标准。

国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。

第二十三条 国家推动参与商用密码国际标准化活动，参与制定商用密码国际标准，推进商用密码中国标准与国外标准之间的转化运用。

国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。

第二十四条 商用密码从业单位开展商用密码活动，应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。

国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准，提升商用密码的防护能力，维护用户的合法权益。

解读：22、23、24条是对商用密码标准化制度的规定，即除国家标准和行业标准外，还可以制定商用密码团体标准和企业标准。

虽然中国有大量商用密码企业，但由于国内外标准仍存在差异，故尚未有中国企业开拓海外业务，而国外的商用密码企业也未进入中国，而《密码法》的颁布，为中国企业把支持国密算法和国际算法的密码产品推向国际市场铺平了道路，也给支持国密算法和国际算法密码产品的外国企业进入中国市场提供了机会。

第二十五条 国家推进商用密码检测认证体系建设，制定商用密码检测认证技术规范、规则，鼓励商用密码从业单位自愿接受商用密码检测认证，提升市场竞争力。

商用密码检测、认证机构应当依法取得相关资质，并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。

商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。

第二十六条 涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关键设备和网络安全专用产品目录，由具备资格的机构检测认证合格后，方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定，避免重复检测认证。

商用密码服务使用网络关键设备和网络安全专用产品的，应当经商用密码认证机构对该商用密码服务认证合格。

解读：25、26条是针对检测认证制度的规定。按照《商用密码管理条例》第九条规定:所有密码产品都必须经指定密码检测机构的检测合格后，才能销售到市场、提供给用户。而《密码法》颁布后，涉及国家安全、国计民生、社会公共利益的商用密码产品会列入到“网络关键设备和网络安全专用产品目录”，按该目录对应的监管制度或者市场准入制度通过检测认证合格后才能销售；而没有列入该目录的商用密码产品则不要求经过此检测认证即可销售。

第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

解读：27条是约定对关键信息基础设施保护的规定。针对关键信息基础设施，是要求运用商用密码进行保护的，且需要委托相应的机构对其进行安全性评估。

第二十八条 国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可，对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。

大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

解读：28条是针对进出口管理制度的规定。《商用密码管理条例》第十三条规定：进口密码产品以及含有密码技术的设备或者出口商用密码产品,必须报经国家密码管理机构批准。任何单位或者个人不得销售境外的密码产品。可见，在《密码法》颁布之前，境外厂商生产的商用密码产品，如要提供给国内用户使用，必须获得相应的进口许可。

而《密码法》颁布后，凡是列入商用密码进口许可清单的产品，都可以在获得许可后进口，并且大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

第二十九条 国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定，会同有关部门负责政务活动中使用电子签名、数据电文的管理。

第三十条 商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定，为商用密码从业单位提供信息、技术、培训等服务，引导和督促商用密码从业单位依法开展商用密码活动，加强行业自律，推动行业诚信建设，促进行业健康发展。

解读：29、30条约定了商用密码从业单位的管理机构。电子认证服务机构中关于商用密码技术的认定由国家密码管理部门进行，管理工作由国家密码管理部门会同有关部门进行。商用密码领域的行业协会对从业单位开展的商业密码活动进行引导和督促。

第三十一条 密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度，建立统一的商用密码监督管理信息平台，推进事中事后监管与社会信用体系相衔接，强化商用密码从业单位自律和社会监督。

密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息，并对其在履行职责中知悉的商业秘密和个人隐私严格保密，不得泄露或者非法向他人提供。

解读：按中国现行规定，生产厂商在送检商用密码产品时，必须向密码产品检测认证机构提交产品的源代码，这引起一些厂商的担忧。《密码法》颁布后，密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息，并对其在履行职责中知悉的商业秘密和个人隐私严格保密，不得泄露或者非法向他人提供。这样对商用密码产品的保密提供了法律保障，能够极大打消生产厂商尤其是外国厂商的顾虑。

《密码法》的出台，对国内密码事业发展将产生重大而深远的影响。同时对于电子签名行业而言，这也给众多企业和用户在选择电子签名服务商时提供了一个重要参考，而依法获得《商用密码产品型号证书》的电子签名企业，无疑将获得更多企业及用户的肯定与信赖。

本文为法大大原创，非商业转载请注明文章来源。对未经许可擅自使用者，本公司保留追究其法律责任的权利。如需转载或商业合作，请联系yuxt@fadada.com。

仁海中西医

资深律师解读我国首部《密码法》

来源：法大大 发布于：2019-10-30

https://m.fadada.com/notice/detail-2717.html

10月26日，十三届全国人大常委会第十四次会议表决通过了《中华人民共和国密码法》，于2020年1月1日起施行。《密码法》对密码实行分类管理，旨在规范密码应用和管理，促进密码事业发展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益。

仁海中西医

《中华人民共和国密码法》解读     浙江省经济和信息化厅                                        http://jxt.zj.gov.cn/art/2019/11/22/art_1582895_20604.html

印发时间：2020-01-01 浏览次数：474

       10月26日，十三届全国人大常委会第十四次会议表决通过《中华人民共和国密码法》。该法将于2020年1月1日起施行。

　　密码是我们党和国家的“命门”“命脉”，是国家重要战略资源。密码工作是党和国家的一项特殊重要事业，在党领导我国革命、建设、改革的各个历史时期，都发挥了不可替代的重要作用。进入新时代，密码工作面临许多新的机遇和挑战，担负着更加繁重的保障和管理任务。党中央高度重视密码立法工作，将密码法作为国家安全法律制度体系的重要组成部分，强调要在国家安全法治建设的大盘子中研究制定密码法，构建以密码法为核心的密码法律制度。

　　密码法是我国密码领域的第一部法律，是党的十九大以来出台的维护国家安全的又一部重要法律。

　　“制定和实施密码法，对于深入贯彻落实领导总书记关于密码工作的重要指示批示精神，全面提升密码工作法治化和现代化水平，更好发挥密码在维护国家安全、促进经济社会发展、保护人民群众利益方面的重要作用，具有十分重要的意义。”国家密码管理局相关负责人说，这是构建国家安全法律制度体系、维护国家网络空间主权安全、推动密码事业高质量发展的重要举措。

　　密码法设置了“总则”“核心密码、普通密码”“商用密码”“法律责任”及“附则”五章，共44条。

　　护航密码事业又好又快发展

　　我们党的密码工作诞生于烽火硝烟的1930年1月，是毛泽东、周恩来等老一辈无产阶级革命家亲自领导创建的，已经走过了近90年的光辉历程。

　　在指挥四渡赤水、组织解放战争三大战役、领导抗美援朝战争等过程中，党中央通过密码通信这一重要渠道洞悉态势，运筹帷幄，决胜千里。仅在指挥三大战役期间，毛泽东同志就亲自起草密码电报197份，批签密码电报上千份。电影《永不消逝的电波》李侠的人物原型——上海中共地下党李白以及被誉为“龙潭三杰之一”钱壮飞等革命烈士都是密码战线的优秀代表，他们与密码战线的同志们谱写了一曲曲可歌可泣的英雄事迹。

　　党的十八大以来，在以领导同志为核心的党中央坚强领导下，在中央密码工作领导小组领导指挥下，密码事业取得历史性成就、实现历史性变革。特别是随着网络强国战略、国家信息化发展战略、国家大数据战略等的实施，我国密码事业加速转型升级，密码功能已由单一的信息加密拓展到身份识别、安全隔离、完整性保护等方面，密码应用已不再局限于党政军领导机关及部门，而是遍及经济社会生活各领域各方面。

　　“制定和实施密码法，就是要适应新的形势发展需要，推进密码领域职能转变和‘放管服’改革，建立健全密码法治实施、监督、保障体系，规范密码产业秩序，促进密码科技进步，提升密码自主创新水平和供给能力，妥善调整和处理密码领域各种社会关系、利益关系，为密码事业又好又快发展提供制度保障。”国家密码管理局相关负责人说。

　　填补法律空白规范密码工作

　　密码工作是我们党对敌斗争的重要战场，是保证国家安全和根本利益的重要防线，是党中央、国务院、中央军委实施领导指挥的重要渠道，直接关系国家大家的事情安全、经济安全、国防安全和信息安全。

　　值得一提的是，当今世界，伴随网络信息技术日新月异，网络安全已经成为影响经济社会发展、国家长治久安和人民群众福祉的重大战略问题。密码是目前世界上公认的，保障网络与信息安全最有效、最可靠、最经济的关键核心技术。在信息化、网络化、数字化高度发展的今天，密码的应用已经渗透到社会生产生活各个方面，从涉及政权安全的保密通信、军事指挥，到涉及国民经济的金融交易、防伪税控，再到涉及公民权益的电子支付、网上办事等等，密码都在背后发挥着基础支撑作用，为维护国家网络空间主权、安全、发展利益提供关键技术保障。

　　但我国密码领域面向社会的立法只有《商用密码管理条例》这一部行政法规，无论是在立法位阶上，还是在法律效力上，均已不能适应新时代密码事业发展的需要，亟需制定一部综合性、基础性法律，把党对密码工作的最新要求通过法定程序转化为国家意志，把密码工作各领域、各环节、各要素纳入法治轨道。

　　“制定和实施密码法，填补了我国密码领域长期存在的法律空白，对于加快密码法治建设，理顺国家安全领域相关法律法规关系，完善国家安全法律制度体系具有重要意义。”国家密码管理局相关负责人指出，制定和实施密码法，就是要把现有核心密码和普通密码在维护国家安全方面的基本制度，把重要领域商用密码的应用、基础支撑能力的提升以及检测认证、安全性评估、国家安全审查等制度，及时上升为法律规范，引导全社会合规、正确、有效使用密码，规范网络空间密码保障工作，推动构建以密码技术为核心、多种技术交叉融合的网络空间新安全体制，加快推进关键信息基础设施的密码应用，努力做到党和国家战略推进到哪里，密码就保障到哪里。

　　体现继承发展做好法律衔接

　　据介绍，此次密码法立法，既注意总结我国密码管理中形成的一系列好传统、好经验、好做法，又适应新情况、新问题、新挑战，改革重塑了现行相关管理制度，体现了继承发展、守正创新精神。

　　“密码法明确了密码分类管理原则，注重把握职能转变和‘放管服’改革要求与保障国家安全的平衡，同时，注意处理好与网络安全法、保守国家秘密法等法律的衔接，具有很强的指导性、针对性和可操作性。”国家密码管理局相关负责人介绍了密码法立法的重要原则：

　　一是坚持党管密码和依法管理相统一原则。

　　党管密码原则是密码工作长期实践和历史经验的深刻总结，密码工作大权在党中央，密码工作的大政方针必须由党中央决定，密码工作的重大事项必须向党中央报告。密码法规定，坚持中国共产党对密码工作的领导，旗帜鲜明地把党管密码这一根本原则写入法律，这是密码法最根本性的规定。同时，明确中央密码工作领导机构，即中央密码工作领导小组，对全国密码工作实行统一领导，依法确立了密码工作领导体制，为密码工作沿着正确方向发展提供了根本保证。

　　“随着全面依法治国基本方略的深入实施，依法管理已经成为党管密码的基本方式和内在要求，是提高密码管理科学化、规范化、法治化水平的必由之路。”该负责人指出，党管密码必须依靠依法管理，依法管理必须坚持党管密码，两者有机统一于密码工作的全过程和各方面。只有坚持党管密码，才能保证密码管理沿着正确的方向不偏离、不走样。只有依靠依法管理，才能将党管密码的具体制度纳入法治化轨道，确保党对密码工作的大政方针落地生根、有效实施。

　　二是坚持创新发展和确保安全相统一原则。

　　密码的安全与发展是相辅相成的。密码法依法确立了促进密码事业发展的一系列制度措施，包括鼓励密码科技进步和创新、保护密码领域知识产权、促进密码产业发展、实施密码工作表彰奖励等，以充分调动各方面积极性，努力为密码科技创新、产业发展和应用推广营造良好环境。

　　同时要看到，密码作为一种典型的“两用物项”，用得好会造福社会，用得不好或者被坏人利用，就可能成为潘多拉魔盒中的魔鬼，给党和国家以及人民群众的利益带来不可估量的损失，这样的教训在战争年代有，在今天的和平时期也依然存在。因此，密码法明令禁止任何组织或者个人窃取他人加密保护的信息，非法侵入他人的密码保障系统，或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。此外，根据国际通行做法，密码法还规定了商用密码进口许可和出口管制制度，这对于防止利用商用密码从事违法犯罪活动具有重要意义。

　　“密码法始终坚持安全和发展同步推进、一体谋划的立法理念，确保密码使用优质高效，确保密码管理安全可靠。”这位负责人说。

　　实行分类管理保障国家安全

　　“密码法是总体国家安全观框架下，国家安全法律体系的重要组成部分，也是一部技术性、专业性较强的专门法律。”国家密码管理局相关负责人说。

　　据介绍，在科学总结长期以来密码工作经验的基础上，此次密码法立法过程中，一方面明确对核心密码、普通密码与商用密码实行分类管理的原则，规定核心密码、普通密码用于保护国家秘密信息，商用密码用于保护不属于国家秘密的信息。在核心密码、普通密码方面，深入贯彻总体国家安全观，将现行有效的基本制度、特殊管理政策及保障措施法治化；在商用密码方面，充分体现职能转变和“放管服”改革要求，明确公民、法人和其他组织均可依法使用。另一方面，注重把握职能转变和“放管服”要求与保障国家安全的平衡。在明确鼓励商用密码产业发展、突出标准引领作用的基础上，对涉及国家安全、国计民生、社会公共利益，列入网络关键设备和网络安全专用产品目录的产品以及关键信息基础设施的运营者采购的部分，规定了适度的管制措施。

　　在总则部分，密码法规定了密码工作的立法目的、基本原则、领导和管理体制，并对核心密码、普通密码和商用密码在发展促进和保障措施方面的共性内容作了规定。

　　同时，围绕“怎么用密码、谁来管密码、怎么管密码”，密码法重点规范了以下内容：

　　首先，在核心密码、普通密码部分，深入贯彻总体国家安全观，将密码使用、安全保密、监督检查、协同联动等现行有效的基本制度、特殊管理政策及保障措施法治化，明确由密码管理部门实行严格统一管理。规定了核心密码、普通密码的主要管理制度，包括核心密码、普通密码使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施。

　　其次，在商用密码部分，规定了商用密码的主要制度，包括商用密码的标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。充分体现职能转变和“放管服”改革要求，以及非歧视、公开透明、自由贸易和公平竞争原则，大幅削减行政许可事项，进一步放宽市场准入，规范和加强事中事后监管，切实为商用密码从业单位松绑减负，对国内外产品、服务以及内外资企业一视同仁、同等适用。同时，重视发挥密码标准引领作用和检测认证支撑作用，对于涉及国家安全、国计民生、社会公共利益又难以通过市场机制或者事中事后监督方式进行有效监管的少数事项，规定了必要的行政许可和管制措施，由此实现了对商用密码管理制度的科学重塑。

　　最后，在法律责任部分，规定了违反本法相关规定应当承担的相应法律后果，为处理好与网络安全法、保守国家秘密法等有关法律的关系，作出衔接性规定。首先在商用密码管理和相应法律责任设定方面与网络安全法的有关制度，如强制检测认证、安全性评估、国家安全审查等作了衔接；其次，鉴于核心密码、普通密码属于国家秘密，在核心密码、普通密码的管理方面与保守国家秘密法作了衔接。

仁海中西医

第五章　附则

　　第四十二条　国家密码管理部门依照法律、行政法规的规定，制定密码管理规章。

　　第四十三条　中国人民解放军和中国人民武装警察部队的密码工作管理办法，由中央军事委员会根据本法制定。

　　第四十四条　本法自2020年1月1日起施行。

仁海中西医

第四章　法律责任

　　第三十二条　违反本法第十二条规定，窃取他人加密保护的信息，非法侵入他人的密码保障系统，或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的，由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。

　　第三十三条　违反本法第十四条规定，未按照要求使用核心密码、普通密码的，由密码管理部门责令改正或者停止违法行为，给予警告；情节严重的，由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

　　第三十四条　违反本法规定，发生核心密码、普通密码泄密案件的，由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

　　违反本法第十七条第二款规定，发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患，未立即采取应对措施，或者未及时报告的，由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

　　第三十五条　商用密码检测、认证机构违反本法第二十五条第二款、第三款规定开展商用密码检测认证的，由市场监督管理部门会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得；违法所得三十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足三十万元的，可以并处十万元以上三十万元以下罚款；情节严重的，依法吊销相关资质。

　　第三十六条　违反本法第二十六条规定，销售或者提供未经检测认证或者检测认证不合格的商用密码产品，或者提供未经认证或者认证不合格的商用密码服务的，由市场监督管理部门会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得；违法所得十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足十万元的，可以并处三万元以上十万元以下罚款。

　　第三十七条　关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

　　关键信息基础设施的运营者违反本法第二十七条第二款规定，使用未经安全审查或者安全审查未通过的产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

　　第三十八条　违反本法第二十八条实施进口许可、出口管制的规定，进出口商用密码的，由国务院商务主管部门或者海关依法予以处罚。

　　第三十九条　违反本法第二十九条规定，未经认定从事电子政务电子认证服务的，由密码管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得；违法所得三十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足三十万元的，可以并处十万元以上三十万元以下罚款。

　　第四十条　密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊，或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的，依法给予处分。

　　第四十一条　违反本法规定，构成犯罪的，依法追究刑事责任；给他人造成损害的，依法承担民事责任。

　　

仁海中西医

第三章　商用密码

　　第二十一条　国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用，健全统一、开放、竞争、有序的商用密码市场体系，鼓励和促进商用密码产业发展。

　　各级人民政府及其有关部门应当遵循非歧视原则，依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位（以下统称商用密码从业单位）。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。

　　商用密码的科研、生产、销售、服务和进出口，不得损害国家安全、社会公共利益或者他人合法权益。

　　第二十二条　国家建立和完善商用密码标准体系。

　　国务院标准化行政主管部门和国家密码管理部门依据各自职责，组织制定商用密码国家标准、行业标准。

　　国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。

　　第二十三条　国家推动参与商用密码国际标准化活动，参与制定商用密码国际标准，推进商用密码中国标准与国外标准之间的转化运用。

　　国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。

　　第二十四条　商用密码从业单位开展商用密码活动，应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。

　　国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准，提升商用密码的防护能力，维护用户的合法权益。

　　第二十五条　国家推进商用密码检测认证体系建设，制定商用密码检测认证技术规范、规则，鼓励商用密码从业单位自愿接受商用密码检测认证，提升市场竞争力。

　　商用密码检测、认证机构应当依法取得相关资质，并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。

　　商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。

　　第二十六条　涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关键设备和网络安全专用产品目录，由具备资格的机构检测认证合格后，方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定，避免重复检测认证。

　　商用密码服务使用网络关键设备和网络安全专用产品的，应当经商用密码认证机构对该商用密码服务认证合格。

　　第二十七条　法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

　　关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

　　第二十八条　国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可，对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。

　　大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

　　第二十九条　国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定，会同有关部门负责政务活动中使用电子签名、数据电文的管理。

　　第三十条　商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定，为商用密码从业单位提供信息、技术、培训等服务，引导和督促商用密码从业单位依法开展商用密码活动，加强行业自律，推动行业诚信建设，促进行业健康发展。

　　第三十一条　密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度，建立统一的商用密码监督管理信息平台，推进事中事后监管与社会信用体系相衔接，强化商用密码从业单位自律和社会监督。

　　密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息，并对其在履行职责中知悉的商业秘密和个人隐私严格保密，不得泄露或者非法向他人提供。

仁海中西医

第二章　核心密码、普通密码

　　第十三条　国家加强核心密码、普通密码的科学规划、管理和使用，加强制度建设，完善管理措施，增强密码安全保障能力。

　　第十四条　在有线、无线通信中传递的国家秘密信息，以及存储、处理国家秘密信息的信息系统，应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。

　　第十五条　从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构（以下统称密码工作机构）应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求，建立健全安全管理制度，采取严格的保密措施和保密责任制，确保核心密码、普通密码的安全。

　　第十六条　密码管理部门依法对密码工作机构的核心密码、普通密码工作进行指导、监督和检查，密码工作机构应当配合。

　　第十七条　密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制，确保核心密码、普通密码安全管理的协同联动和有序高效。

　　密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的，应当立即采取应对措施，并及时向保密行政管理部门、密码管理部门报告，由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置，并指导有关密码工作机构及时消除安全隐患。

　　第十八条　国家加强密码工作机构建设，保障其履行工作职责。

　　国家建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。

　　第十九条　密码管理部门因工作需要，按照国家有关规定，可以提请公安、交通运输、海关等部门对核心密码、普通密码有关物品和人员提供免检等便利，有关部门应当予以协助。

　　第二十条　密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度，对其工作人员遵守法律和纪律等情况进行监督，并依法采取必要措施，定期或者不定期组织开展安全审查。

仁海中西医

第一章　总则

　　第一条　为了规范密码应用和管理，促进密码事业发展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，制定本法。

　　第二条　本法所称密码，是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。

　　第三条　密码工作坚持总体国家安全观，遵循统一领导、分级负责，创新发展、服务大局，依法管理、保障安全的原则。

　　第四条　坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导，制定国家密码工作重大方针政策，统筹协调国家密码重大事项和重要工作，推进国家密码法治建设。

　　第五条　国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。

　　国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。

　　第六条　国家对密码实行分类管理。

　　密码分为核心密码、普通密码和商用密码。

　　第七条　核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。

　　核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。

　　第八条　商用密码用于保护不属于国家秘密的信息。

　　公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。

　　第九条　国家鼓励和支持密码科学技术研究和应用，依法保护密码领域的知识产权，促进密码科学技术进步和创新。

　　国家加强密码人才培养和队伍建设，对在密码工作中作出突出贡献的组织和个人，按照国家有关规定给予表彰和奖励。

　　第十条　国家采取多种形式加强密码安全教育，将密码安全教育纳入国民教育体系和公务员教育培训体系，增强公民、法人和其他组织的密码安全意识。

　　第十一条　县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划，所需经费列入本级财政预算。

　　第十二条　任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。

　　任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。