國務(wù)院發(fā)布《商用密碼管理條例》,7月1日起施行
編輯:2023-05-26 15:20:37
第760號
《商用密碼管理條例》已經(jīng)2023年4月14日國務(wù)院第4次常務(wù)會議修訂通過,現(xiàn)予公布,自2023年7月1日起施行。
總理李強
2023年4月27日
商用密碼管理條例
(1999年10月7日中華人民共和國國務(wù)院令第273號發(fā)布 2023年4月27日中華人民共和國國務(wù)院令第760號修訂)
第一章 總則
第一條 為了規(guī)范商用密碼應(yīng)用和管理,鼓勵和促進商用密碼產(chǎn)業(yè)發(fā)展,保障網(wǎng)絡(luò)與信息安全,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權(quán)益,根據(jù)《中華人民共和國密碼法》等法律,制定本條例。
第二條 在中華人民共和國境內(nèi)的商用密碼科研、生產(chǎn)、銷售、服務(wù)、檢測、認證、進出口、應(yīng)用等活動及監(jiān)督管理,適用本條例。
本條例所稱商用密碼,是指采用特定變換的方法對不屬于國家秘密的信息等進行加密保護、安全認證的技術(shù)、產(chǎn)品和服務(wù)。
第三條 堅持中國共產(chǎn)黨對商用密碼工作的領(lǐng)導(dǎo),貫徹落實總體國家安全觀。國家密碼管理部門負責(zé)管理全國的商用密碼工作。縣級以上地方各級密碼管理部門負責(zé)管理本行政區(qū)域的商用密碼工作。
網(wǎng)信、商務(wù)、海關(guān)、市場監(jiān)督管理等有關(guān)部門在各自職責(zé)范圍內(nèi)負責(zé)商用密碼有關(guān)管理工作。
第四條 國家加強商用密碼人才培養(yǎng),建立健全商用密碼人才發(fā)展體制機制和人才評價制度,鼓勵和支持密碼相關(guān)學(xué)科和專業(yè)建設(shè),規(guī)范商用密碼社會化培訓(xùn),促進商用密碼人才交流。
第五條 各級人民政府及其有關(guān)部門應(yīng)當采取多種形式加強商用密碼宣傳教育,增強公民、法人和其他組織的密碼安全意識。
第六條 商用密碼領(lǐng)域的學(xué)會、行業(yè)協(xié)會等社會組織依照法律、行政法規(guī)及其章程的規(guī)定,開展學(xué)術(shù)交流、政策研究、公共服務(wù)等活動,加強學(xué)術(shù)和行業(yè)自律,推動誠信建設(shè),促進行業(yè)健康發(fā)展。
密碼管理部門應(yīng)當加強對商用密碼領(lǐng)域社會組織的指導(dǎo)和支持。
第二章 科技創(chuàng)新與標準化
第七條 國家建立健全商用密碼科學(xué)技術(shù)創(chuàng)新促進機制,支持商用密碼科學(xué)技術(shù)自主創(chuàng)新,對作出突出貢獻的組織和個人按照國家有關(guān)規(guī)定予以表彰和獎勵。
國家依法保護商用密碼領(lǐng)域的知識產(chǎn)權(quán)。從事商用密碼活動,應(yīng)當增強知識產(chǎn)權(quán)意識,提高運用、保護和管理知識產(chǎn)權(quán)的能力。
國家鼓勵在外商投資過程中基于自愿原則和商業(yè)規(guī)則開展商用密碼技術(shù)合作。行政機關(guān)及其工作人員不得利用行政手段強制轉(zhuǎn)讓商用密碼技術(shù)。
第八條 國家鼓勵和支持商用密碼科學(xué)技術(shù)成果轉(zhuǎn)化和產(chǎn)業(yè)化應(yīng)用,建立和完善商用密碼科學(xué)技術(shù)成果信息匯交、發(fā)布和應(yīng)用情況反饋機制。
第九條 國家密碼管理部門組織對法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的網(wǎng)絡(luò)與信息系統(tǒng)所使用的密碼算法、密碼協(xié)議、密鑰管理機制等商用密碼技術(shù)進行審查鑒定。
第十條 國務(wù)院標準化行政主管部門和國家密碼管理部門依據(jù)各自職責(zé),組織制定商用密碼國家標準、行業(yè)標準,對商用密碼團體標準的制定進行規(guī)范、引導(dǎo)和監(jiān)督。國家密碼管理部門依據(jù)職責(zé),建立商用密碼標準實施信息反饋和評估機制,對商用密碼標準實施進行監(jiān)督檢查。
國家推動參與商用密碼國際標準化活動,參與制定商用密碼國際標準,推進商用密碼中國標準與國外標準之間的轉(zhuǎn)化運用,鼓勵企業(yè)、社會團體和教育、科研機構(gòu)等參與商用密碼國際標準化活動。
其他領(lǐng)域的標準涉及商用密碼的,應(yīng)當與商用密碼國家標準、行業(yè)標準保持協(xié)調(diào)。
第十一條 從事商用密碼活動,應(yīng)當符合有關(guān)法律、行政法規(guī)、商用密碼強制性國家標準,以及自我聲明公開標準的技術(shù)要求。
國家鼓勵在商用密碼活動中采用商用密碼推薦性國家標準、行業(yè)標準,提升商用密碼的防護能力,維護用戶的合法權(quán)益。
第三章 檢測認證
第十二條 國家推進商用密碼檢測認證體系建設(shè),鼓勵在商用密碼活動中自愿接受商用密碼檢測認證。
第十三條 從事商用密碼產(chǎn)品檢測、網(wǎng)絡(luò)與信息系統(tǒng)商用密碼應(yīng)用安全性評估等商用密碼檢測活動,向社會出具具有證明作用的數(shù)據(jù)、結(jié)果的機構(gòu),應(yīng)當經(jīng)國家密碼管理部門認定,依法取得商用密碼檢測機構(gòu)資質(zhì)。
第十四條 取得商用密碼檢測機構(gòu)資質(zhì),應(yīng)當符合下列條件:
(一)具有法人資格;
(二)具有與從事商用密碼檢測活動相適應(yīng)的資金、場所、設(shè)備設(shè)施、專業(yè)人員和專業(yè)能力;
(三)具有保證商用密碼檢測活動有效運行的管理體系。
第十五條 申請商用密碼檢測機構(gòu)資質(zhì),應(yīng)當向國家密碼管理部門提出書面申請,并提交符合本條例第十四條規(guī)定條件的材料。
國家密碼管理部門應(yīng)當自受理申請之日起20個工作日內(nèi),對申請進行審查,并依法作出是否準予認定的決定。
需要對申請人進行技術(shù)評審的,技術(shù)評審所需時間不計算在本條規(guī)定的期限內(nèi)。國家密碼管理部門應(yīng)當將所需時間書面告知申請人。
第十六條 商用密碼檢測機構(gòu)應(yīng)當按照法律、行政法規(guī)和商用密碼檢測技術(shù)規(guī)范、規(guī)則,在批準范圍內(nèi)獨立、公正、科學(xué)、誠信地開展商用密碼檢測,對出具的檢測數(shù)據(jù)、結(jié)果負責(zé),并定期向國家密碼管理部門報送檢測實施情況。
商用密碼檢測技術(shù)規(guī)范、規(guī)則由國家密碼管理部門制定并公布。
第十七條 國務(wù)院市場監(jiān)督管理部門會同國家密碼管理部門建立國家統(tǒng)一推行的商用密碼認證制度,實行商用密碼產(chǎn)品、服務(wù)、管理體系認證,制定并公布認證目錄和技術(shù)規(guī)范、規(guī)則。
第十八條 從事商用密碼認證活動的機構(gòu),應(yīng)當依法取得商用密碼認證機構(gòu)資質(zhì)。
申請商用密碼認證機構(gòu)資質(zhì),應(yīng)當向國務(wù)院市場監(jiān)督管理部門提出書面申請。申請人除應(yīng)當符合法律、行政法規(guī)和國家有關(guān)規(guī)定要求的認證機構(gòu)基本條件外,還應(yīng)當具有與從事商用密碼認證活動相適應(yīng)的檢測、檢查等技術(shù)能力。
國務(wù)院市場監(jiān)督管理部門在審查商用密碼認證機構(gòu)資質(zhì)申請時,應(yīng)當征求國家密碼管理部門的意見。
第十九條 商用密碼認證機構(gòu)應(yīng)當按照法律、行政法規(guī)和商用密碼認證技術(shù)規(guī)范、規(guī)則,在批準范圍內(nèi)獨立、公正、科學(xué)、誠信地開展商用密碼認證,對出具的認證結(jié)論負責(zé)。
商用密碼認證機構(gòu)應(yīng)當對其認證的商用密碼產(chǎn)品、服務(wù)、管理體系實施有效的跟蹤調(diào)查,以保證通過認證的商用密碼產(chǎn)品、服務(wù)、管理體系持續(xù)符合認證要求。
第二十條 涉及國家安全、國計民生、社會公共利益的商用密碼產(chǎn)品,應(yīng)當依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄,由具備資格的商用密碼檢測、認證機構(gòu)檢測認證合格后,方可銷售或者提供。
第二十一條 商用密碼服務(wù)使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的,應(yīng)當經(jīng)商用密碼認證機構(gòu)對該商用密碼服務(wù)認證合格。
第四章 電子認證
第二十二條 采用商用密碼技術(shù)提供電子認證服務(wù),應(yīng)當具有與使用密碼相適應(yīng)的場所、設(shè)備設(shè)施、專業(yè)人員、專業(yè)能力和管理體系,依法取得國家密碼管理部門同意使用密碼的證明文件。
第二十三條 電子認證服務(wù)機構(gòu)應(yīng)當按照法律、行政法規(guī)和電子認證服務(wù)密碼使用技術(shù)規(guī)范、規(guī)則,使用密碼提供電子認證服務(wù),保證其電子認證服務(wù)密碼使用持續(xù)符合要求。
電子認證服務(wù)密碼使用技術(shù)規(guī)范、規(guī)則由國家密碼管理部門制定并公布。
第二十四條 采用商用密碼技術(shù)從事電子政務(wù)電子認證服務(wù)的機構(gòu),應(yīng)當經(jīng)國家密碼管理部門認定,依法取得電子政務(wù)電子認證服務(wù)機構(gòu)資質(zhì)。
第二十五條 取得電子政務(wù)電子認證服務(wù)機構(gòu)資質(zhì),應(yīng)當符合下列條件:
(一)具有企業(yè)法人或者事業(yè)單位法人資格;
(二)具有與從事電子政務(wù)電子認證服務(wù)活動及其使用密碼相適應(yīng)的資金、場所、設(shè)備設(shè)施和專業(yè)人員;
(三)具有為政務(wù)活動提供長期電子政務(wù)電子認證服務(wù)的能力;
(四)具有保證電子政務(wù)電子認證服務(wù)活動及其使用密碼安全運行的管理體系。
第二十六條 申請電子政務(wù)電子認證服務(wù)機構(gòu)資質(zhì),應(yīng)當向國家密碼管理部門提出書面申請,并提交符合本條例第二十五條規(guī)定條件的材料。
國家密碼管理部門應(yīng)當自受理申請之日起20個工作日內(nèi),對申請進行審查,并依法作出是否準予認定的決定。
需要對申請人進行技術(shù)評審的,技術(shù)評審所需時間不計算在本條規(guī)定的期限內(nèi)。國家密碼管理部門應(yīng)當將所需時間書面告知申請人。
第二十七條 外商投資電子政務(wù)電子認證服務(wù),影響或者可能影響國家安全的,應(yīng)當依法進行外商投資安全審查。
第二十八條 電子政務(wù)電子認證服務(wù)機構(gòu)應(yīng)當按照法律、行政法規(guī)和電子政務(wù)電子認證服務(wù)技術(shù)規(guī)范、規(guī)則,在批準范圍內(nèi)提供電子政務(wù)電子認證服務(wù),并定期向主要辦事機構(gòu)所在地省、自治區(qū)、直轄市密碼管理部門報送服務(wù)實施情況。
電子政務(wù)電子認證服務(wù)技術(shù)規(guī)范、規(guī)則由國家密碼管理部門制定并公布。
第二十九條 國家建立統(tǒng)一的電子認證信任機制。國家密碼管理部門負責(zé)電子認證信任源的規(guī)劃和管理,會同有關(guān)部門推動電子認證服務(wù)互信互認。
第三十條 密碼管理部門會同有關(guān)部門負責(zé)政務(wù)活動中使用電子簽名、數(shù)據(jù)電文的管理。
政務(wù)活動中電子簽名、電子印章、電子證照等涉及的電子認證服務(wù),應(yīng)當由依法設(shè)立的電子政務(wù)電子認證服務(wù)機構(gòu)提供。
第五章 進出口
第三十一條 涉及國家安全、社會公共利益且具有加密保護功能的商用密碼,列入商用密碼進口許可清單,實施進口許可。涉及國家安全、社會公共利益或者中國承擔(dān)國際義務(wù)的商用密碼,列入商用密碼出口管制清單,實施出口管制。
商用密碼進口許可清單和商用密碼出口管制清單由國務(wù)院商務(wù)主管部門會同國家密碼管理部門和海關(guān)總署制定并公布。
大眾消費類產(chǎn)品所采用的商用密碼不實行進口許可和出口管制制度。
第三十二條 進口商用密碼進口許可清單中的商用密碼或者出口商用密碼出口管制清單中的商用密碼,應(yīng)當向國務(wù)院商務(wù)主管部門申請領(lǐng)取進出口許可證。
商用密碼的過境、轉(zhuǎn)運、通運、再出口,在境外與綜合保稅區(qū)等海關(guān)特殊監(jiān)管區(qū)域之間進出,或者在境外與出口監(jiān)管倉庫、保稅物流中心等保稅監(jiān)管場所之間進出的,適用前款規(guī)定。
第三十三條 進口商用密碼進口許可清單中的商用密碼或者出口商用密碼出口管制清單中的商用密碼時,應(yīng)當向海關(guān)交驗進出口許可證,并按照國家有關(guān)規(guī)定辦理報關(guān)手續(xù)。
進出口經(jīng)營者未向海關(guān)交驗進出口許可證,海關(guān)有證據(jù)表明進出口產(chǎn)品可能屬于商用密碼進口許可清單或者出口管制清單范圍的,應(yīng)當向進出口經(jīng)營者提出質(zhì)疑;海關(guān)可以向國務(wù)院商務(wù)主管部門提出組織鑒別,并根據(jù)國務(wù)院商務(wù)主管部門會同國家密碼管理部門作出的鑒別結(jié)論依法處置。在鑒別或者質(zhì)疑期間,海關(guān)對進出口產(chǎn)品不予放行。
第三十四條 申請商用密碼進出口許可,應(yīng)當向國務(wù)院商務(wù)主管部門提出書面申請,并提交下列材料:
(一)申請人的法定代表人、主要經(jīng)營管理人以及經(jīng)辦人的身份證明;
(二)合同或者協(xié)議的副本;
(三)商用密碼的技術(shù)說明;
(四)最終用戶和最終用途證明;
(五)國務(wù)院商務(wù)主管部門規(guī)定提交的其他文件。
國務(wù)院商務(wù)主管部門應(yīng)當自受理申請之日起45個工作日內(nèi),會同國家密碼管理部門對申請進行審查,并依法作出是否準予許可的決定。
對國家安全、社會公共利益或者外交政策有重大影響的商用密碼出口,由國務(wù)院商務(wù)主管部門會同國家密碼管理部門等有關(guān)部門報國務(wù)院批準。報國務(wù)院批準的,不受前款規(guī)定時限的限制。
第六章 應(yīng)用促進
第三十五條 國家鼓勵公民、法人和其他組織依法使用商用密碼保護網(wǎng)絡(luò)與信息安全,鼓勵使用經(jīng)檢測認證合格的商用密碼。
任何組織或者個人不得竊取他人加密保護的信息或者非法侵入他人的商用密碼保障系統(tǒng),不得利用商用密碼從事危害國家安全、社會公共利益、他人合法權(quán)益等違法犯罪活動。
第三十六條 國家支持網(wǎng)絡(luò)產(chǎn)品和服務(wù)使用商用密碼提升安全性,支持并規(guī)范商用密碼在信息領(lǐng)域新技術(shù)、新業(yè)態(tài)、新模式中的應(yīng)用。
第三十七條 國家建立商用密碼應(yīng)用促進協(xié)調(diào)機制,加強對商用密碼應(yīng)用的統(tǒng)籌指導(dǎo)。國家機關(guān)和涉及商用密碼工作的單位在其職責(zé)范圍內(nèi)負責(zé)本機關(guān)、本單位或者本系統(tǒng)的商用密碼應(yīng)用和安全保障工作。
密碼管理部門會同有關(guān)部門加強商用密碼應(yīng)用信息收集、風(fēng)險評估、信息通報和重大事項會商,并加強與網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報的銜接。
第三十八條 法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的關(guān)鍵信息基礎(chǔ)設(shè)施,其運營者應(yīng)當使用商用密碼進行保護,制定商用密碼應(yīng)用方案,配備必要的資金和專業(yè)人員,同步規(guī)劃、同步建設(shè)、同步運行商用密碼保障系統(tǒng),自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估。
前款所列關(guān)鍵信息基礎(chǔ)設(shè)施通過商用密碼應(yīng)用安全性評估方可投入運行,運行后每年至少進行一次評估,評估情況按照國家有關(guān)規(guī)定報送國家密碼管理部門或者關(guān)鍵信息基礎(chǔ)設(shè)施所在地省、自治區(qū)、直轄市密碼管理部門備案。
第三十九條 法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的關(guān)鍵信息基礎(chǔ)設(shè)施,使用的商用密碼產(chǎn)品、服務(wù)應(yīng)當經(jīng)檢測認證合格,使用的密碼算法、密碼協(xié)議、密鑰管理機制等商用密碼技術(shù)應(yīng)當通過國家密碼管理部門審查鑒定。
第四十條 關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國家安全的,應(yīng)當依法通過國家網(wǎng)信部門會同國家密碼管理部門等有關(guān)部門組織的國家安全審查。
第四十一條 網(wǎng)絡(luò)運營者應(yīng)當按照國家網(wǎng)絡(luò)安全等級保護制度要求,使用商用密碼保護網(wǎng)絡(luò)安全。國家密碼管理部門根據(jù)網(wǎng)絡(luò)的安全保護等級,確定商用密碼的使用、管理和應(yīng)用安全性評估要求,制定網(wǎng)絡(luò)安全等級保護密碼標準規(guī)范。
第四十二條 商用密碼應(yīng)用安全性評估、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評應(yīng)當加強銜接,避免重復(fù)評估、測評。
第七章 監(jiān)督管理
第四十三條 密碼管理部門依法組織對商用密碼活動進行監(jiān)督檢查,對國家機關(guān)和涉及商用密碼工作的單位的商用密碼相關(guān)工作進行指導(dǎo)和監(jiān)督。
第四十四條 密碼管理部門和有關(guān)部門建立商用密碼監(jiān)督管理協(xié)作機制,加強商用密碼監(jiān)督、檢查、指導(dǎo)等工作的協(xié)調(diào)配合。
第四十五條 密碼管理部門和有關(guān)部門依法開展商用密碼監(jiān)督檢查,可以行使下列職權(quán):
(一)進入商用密碼活動場所實施現(xiàn)場檢查;
(二)向當事人的法定代表人、主要負責(zé)人和其他有關(guān)人員調(diào)查、了解有關(guān)情況;
(三)查閱、復(fù)制有關(guān)合同、票據(jù)、賬簿以及其他有關(guān)資料。
第四十六條 密碼管理部門和有關(guān)部門推進商用密碼監(jiān)督管理與社會信用體系相銜接,依法建立推行商用密碼經(jīng)營主體信用記錄、信用分級分類監(jiān)管、失信懲戒以及信用修復(fù)等機制。
第四十七條 商用密碼檢測、認證機構(gòu)和電子政務(wù)電子認證服務(wù)機構(gòu)及其工作人員,應(yīng)當對其在商用密碼活動中所知悉的國家秘密和商業(yè)秘密承擔(dān)保密義務(wù)。
密碼管理部門和有關(guān)部門及其工作人員不得要求商用密碼科研、生產(chǎn)、銷售、服務(wù)、進出口等單位和商用密碼檢測、認證機構(gòu)向其披露源代碼等密碼相關(guān)專有信息,并對其在履行職責(zé)中知悉的商業(yè)秘密和個人隱私嚴格保密,不得泄露或者非法向他人提供。
第四十八條 密碼管理部門和有關(guān)部門依法開展商用密碼監(jiān)督管理,相關(guān)單位和人員應(yīng)當予以配合,任何單位和個人不得非法干預(yù)和阻撓。
第四十九條 任何單位或者個人有權(quán)向密碼管理部門和有關(guān)部門舉報違反本條例的行為。密碼管理部門和有關(guān)部門接到舉報,應(yīng)當及時核實、處理,并為舉報人保密。
第八章 法律責(zé)任
文章來源:商密君
咨詢熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號清控創(chuàng)新基地A座4層