國家密碼管理局：《商用密碼管理條例（修訂草案征求意見稿）》公開征求意見

第一章總則

第一條 為了加強商用密碼管理，促進商用密碼事業(yè)發(fā)展，保障網(wǎng)絡與信息安全，維護國家安全和社會公共利益， 保護公民、法人和其他組織的合法權益，根據(jù)《中華人民共和國密碼法》，制定本條例。

第二條 在中華人民共和國境內(nèi)的商用密碼科研、生產(chǎn)、銷售、服務、檢測、認證、進出口、應用等活動及監(jiān)督管理，適用本條例。

本條例所稱商用密碼，是指采用特定變換的方法對不屬于國家秘密的信息等進行加密保護、安全認證的技術、產(chǎn)品和服務。

第三條 國家密碼管理部門負責管理全國的商用密碼工作?？h級以上地方各級密碼管理部門負責管理本行政區(qū)域的商用密碼工作。

國家網(wǎng)信、商務、海關、市場監(jiān)督管理等有關部門在各自職責范圍內(nèi)，負責商用密碼有關管理工作。

第四條 國家加強商用密碼人才培養(yǎng)，建立和完善商用密碼人才發(fā)展體制機制，鼓勵和支持密碼學科和專業(yè)建設，建立商用密碼人才評價制度，規(guī)范商用密碼社會化培訓，促進商用密碼人才交流。

第五條 各級人民政府及其有關部門應當采取多種形式加強商用密碼宣傳教育，增強公民、法人和其他組織的密碼安全意識。

第六條 商用密碼領域的學會、行業(yè)協(xié)會等社會組織依照法律、行政法規(guī)及其章程的規(guī)定，在密碼管理部門指導下，開展學術交流、政策研究、公共服務等活動，加強學術和行業(yè)自律，推動誠信建設，促進商用密碼事業(yè)健康發(fā)展。

第二章科技創(chuàng)新與標準化

第七條 國家建立健全商用密碼科學技術創(chuàng)新促進機制，支持商用密碼科學技術自主創(chuàng)新，對作出突出貢獻的組織和個人按照國家有關規(guī)定予以表彰和獎勵。

國家依法保護商用密碼領域的知識產(chǎn)權。從事商用密碼活動，應當增強知識產(chǎn)權意識，提高運用、保護和管理知識產(chǎn)權的能力。

第八條 國家鼓勵和支持商用密碼科學技術成果轉化和產(chǎn)業(yè)化，建立和完善商用密碼科學技術成果信息匯交、發(fā)布和應用情況反饋機制。

第九條 國家密碼管理部門根據(jù)商用密碼應用需求或者安全需要，組織對密碼算法、密碼協(xié)議、密鑰管理機制等商用密碼技術進行安全性審查，通過安全性審查的，列入商用密碼技術指導目錄。

第十條 國務院標準化行政主管部門和國家密碼管理部門依據(jù)各自職責，組織制定商用密碼國家標準、行業(yè)標準， 對商用密碼團體標準的制定進行規(guī)范、引導和監(jiān)督，建立商用密碼標準實施信息反饋和評估機制，對商用密碼標準實施進行監(jiān)督檢查。

國家推動參與商用密碼國際標準化活動，參與制定商用密碼國際標準，推進商用密碼中國標準與國外標準之間的轉化運用，鼓勵企業(yè)、社會團體和教育、科研機構等參與商用密碼國際標準化活動。

其他領域的標準涉及商用密碼的，應當與商用密碼國家標準、行業(yè)標準保持協(xié)調。

第十一條 從事商用密碼活動，應當符合有關法律、行政法規(guī)、商用密碼強制性國家標準，以及自我聲明公開標準的技術要求。

國家鼓勵在商用密碼活動中采用商用密碼推薦性國家標準、行業(yè)標準，提升商用密碼的防護能力，維護用戶的合法權益。

第三章檢測認證

第十二條 國家推進商用密碼檢測認證體系建設，鼓勵在商用密碼活動中自愿接受商用密碼檢測認證。

第十三條 從事商用密碼產(chǎn)品檢測、網(wǎng)絡與信息系統(tǒng)商用密碼應用安全性評估等商用密碼檢測活動，面向社會出具具有證明作用的數(shù)據(jù)、結果的機構，應當經(jīng)國家密碼管理部門認定，依法取得商用密碼檢測機構資質。

第十四條 取得商用密碼檢測機構資質，應當符合下列條件：

（一）具有企業(yè)法人或者事業(yè)單位法人資格；

（二）具有與從事商用密碼檢測活動相適應的資金、場所、設備設施、專業(yè)人員和專業(yè)能力；

（三）具有保證商用密碼檢測活動有效運行的管理體系和保障措施。

第十五條 申請商用密碼檢測機構資質，應當向國家密碼管理部門提出書面申請，并提交符合本條例第十四條規(guī)定條件的證明材料。

國家密碼管理部門應當自受理申請之日起二十個工作日內(nèi)，對申請材料進行審查，組織對申請人進行技術評審， 并作出是否準予認定的決定。技術評審所需時間不計算在本條規(guī)定的期限內(nèi)。

第十六條商用密碼檢測機構應當按照法律、行政法規(guī)和商用密碼檢測技術規(guī)范、規(guī)則，在批準范圍內(nèi)獨立、公正、科學、誠信地開展商用密碼檢測，對出具的檢測數(shù)據(jù)、結果負責，并定期向國家密碼管理部門報送檢測實施情況。

商用密碼檢測技術規(guī)范、規(guī)則由國家密碼管理部門制定并公布。

第十七條 國務院市場監(jiān)督管理部門會同國家密碼管理部門建立國家統(tǒng)一推行的商用密碼認證制度，實行商用密碼產(chǎn)品、服務、管理體系認證，制定并公布認證目錄和技術規(guī)范、規(guī)則。

第十八條 從事商用密碼認證活動的機構，應當經(jīng)國務院市場監(jiān)督管理部門征求國家密碼管理部門意見后認定，依法取得商用密碼認證機構資質。

取得商用密碼認證機構資質，應當向國務院市場監(jiān)督管理部門提出書面申請。申請人除應當符合法律、行政法規(guī)和國家有關規(guī)定要求的認證機構基本條件外，還應當具備與從事商用密碼認證活動相適應的商用密碼檢測、檢查、標準研制與驗證等專業(yè)能力。

第十九條商用密碼認證機構應當按照法律、行政法規(guī)和商用密碼認證技術規(guī)范、規(guī)則，在批準范圍內(nèi)獨立、公正、科學、誠信地開展商用密碼認證，對出具的認證結論負責，并定期向國務院市場監(jiān)督管理部門和國家密碼管理部門報送認證實施情況。

商用密碼認證機構應當對其認證的商用密碼產(chǎn)品、服務、管理體系實施有效的跟蹤監(jiān)督，以保證通過認證的商用密碼產(chǎn)品、服務、管理體系持續(xù)符合認證要求。

第二十條 涉及國家安全、國計民生、社會公共利益的商用密碼產(chǎn)品，應當依法列入網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄，由具備資格的商用密碼檢測、認證機構檢測認證合格后，方可銷售或者提供。

第二十一條 商用密碼服務使用網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品的，應當經(jīng)商用密碼認證機構對該商用密碼服務認證合格。

第四章電子認證

第二十二條 采用商用密碼技術提供電子認證服務，應當具有與使用密碼相適應的場所、設備設施、專業(yè)人員、專業(yè)能力、管理體系和保障措施，依法取得國家密碼管理部門同意使用密碼的證明文件。

第二十三條 電子認證服務機構應當按照法律、行政法規(guī)和電子認證服務密碼使用技術規(guī)范、規(guī)則，使用密碼提供電子認證服務，保證其電子認證服務密碼使用持續(xù)符合要求。

第二十四條 采用商用密碼技術從事電子政務電子認證服務的機構，應當經(jīng)國家密碼管理部門認定，依法取得電子政務電子認證服務機構資質。

第二十五條 取得電子政務電子認證服務機構資質，應當符合下列條件：

（一）具有企業(yè)法人或者事業(yè)單位法人資格；

（二）具有與從事電子政務電子認證服務活動及其使用密碼相適應的資金、場所、設備設施和專業(yè)人員；

（三）具有為政務活動提供長期電子政務電子認證服務的信譽和能力；

（四）具有保證電子政務電子認證服務活動及其使用密碼安全運行的管理體系和保障措施。

第二十六條 申請電子政務電子認證服務機構資質，應當向國家密碼管理部門提出書面申請，并提交符合本條例第二十五條規(guī)定條件的證明材料。

國家密碼管理部門應當自受理申請之日起二十個工作日內(nèi)，對申請材料進行審查，組織對申請人進行技術評審，并作出是否準予認定的決定。技術評審所需時間不計算在本條規(guī)定的期限內(nèi)。

第二十七條 外商投資電子政務電子認證服務，影響或者可能影響國家安全的，應當依法進行外商投資安全審查。

第二十八條 電子政務電子認證服務機構應當按照法律、行政法規(guī)和電子政務電子認證服務技術規(guī)范、規(guī)則，在批準范圍內(nèi)提供電子政務電子認證服務，并定期向所在地省級密碼管理部門報送服務實施情況。

電子政務電子認證服務技術規(guī)范、規(guī)則由國家密碼管理部門制定并公布。

第二十九條 國家建立統(tǒng)一的電子認證信任機制，推動電子認證服務互信互認。

國家密碼管理部門負責電子認證信任源的規(guī)劃和管理。

第三十條密碼管理部門會同有關部門負責政務活動中使用電子簽名、數(shù)據(jù)電文的管理。

政務活動中使用的可靠的電子簽名，與手寫簽名或者蓋章具有同等的法律效力。政務活動中的電子公文、電子印章、電子證照等的電子認證，應當由依法設立的電子政務電子認證服務機構提供服務。

第五章進出口

第三十一條 涉及國家安全、社會公共利益且具有加密保護功能的商用密碼，列入《商用密碼進口許可清單》，實施進口許可。涉及國家安全、社會公共利益或者中國承擔國際義務的商用密碼，列入《商用密碼出口管制清單》，實施出口管制。

《商用密碼進口許可清單》和《商用密碼出口管制清單》由國務院商務主管部門會同國家密碼管理部門和海關總署制定并公布。

第三十二條 進口《商用密碼進口許可清單》或者出口《商用密碼出口管制清單》中的商用密碼，應當向國務院商務主管部門申請領取兩用物項進出口許可證。

商用密碼的過境、轉運、通運、再出口，在境外與保稅區(qū)、出口加工區(qū)等海關特殊監(jiān)管區(qū)域之間進出，或者在境外與出口監(jiān)管倉庫、保稅物流中心等保稅監(jiān)管場所之間進出的，適用前款規(guī)定。

第三十三條 進口《商用密碼進口許可清單》或者出口商用密碼出口管制清單》中的商用密碼產(chǎn)品時，應當向海關交驗兩用物項進出口許可證，并按照國家有關規(guī)定辦理報關手續(xù)。

未向海關交驗兩用物項進出口許可證，海關有證據(jù)表明進出口產(chǎn)品可能屬于商用密碼進口許可或者出口管制范圍的，應當向進出口經(jīng)營者提出質疑；海關可以向國務院商務主管部門、國家密碼管理部門提出組織鑒別，并根據(jù)國務院商務主管部門、國家密碼管理部門作出的鑒別結論依法處置。在鑒別或者質疑期間，海關對進出口產(chǎn)品不予放行。

第三十四條 申請商用密碼進出口許可，應當向國務院商務主管部門提出書面申請，并提交有關證明材料。

國務院商務主管部門會同國家密碼管理部門依法對申請進行審查，并作出是否準予許可的決定。

第六章應用促進

第三十五條 國家鼓勵公民、法人和其他組織依法使用商用密碼保護網(wǎng)絡與信息安全，鼓勵使用經(jīng)檢測認證合格的商用密碼。

任何組織或者個人不得竊取他人加密保護的信息或者非法侵入他人的商用密碼保障系統(tǒng)，不得利用商用密碼從事危害國家安全、社會公共利益、他人合法權益等違法犯罪活動。

第三十六條 國家支持網(wǎng)絡產(chǎn)品、服務使用商用密碼提升安全性，支持并規(guī)范商用密碼在信息領域新技術、新業(yè)態(tài)、新模式中的應用。

第三十七條 國家建立商用密碼應用促進協(xié)調機制，加強對商用密碼應用的統(tǒng)籌指導。國家機關和涉及商用密碼工作的單位在其職責范圍內(nèi)負責本機關、本單位或者本系統(tǒng)的商用密碼應用和安全保障工作。

密碼管理部門會同有關部門加強商用密碼應用信息采集、風險評估、信息通報和重大事項會商，并加強與網(wǎng)絡安全監(jiān)測預警和信息通報的銜接。

第三十八條 非涉密的關鍵信息基礎設施、網(wǎng)絡安全等級保護第三級以上網(wǎng)絡、國家政務信息系統(tǒng)等網(wǎng)絡與信息系統(tǒng)，其運營者應當使用商用密碼進行保護，制定商用密碼應用方案，配備必要的資金和專業(yè)人員，同步規(guī)劃、同步建設、同步運行商用密碼保障系統(tǒng)，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。

前款所列網(wǎng)絡與信息系統(tǒng)通過商用密碼應用安全性評估方可投入運行，運行后每年至少進行一次評估，評估情況報送所在地設區(qū)的市級密碼管理部門備案。

商用密碼應用安全性評估、關鍵信息基礎設施安全檢測評估、網(wǎng)絡安全等級測評應當加強銜接，避免重復評估、測評。

第三十九條 非涉密的關鍵信息基礎設施、網(wǎng)絡安全等級保護第三級以上網(wǎng)絡、國家政務信息系統(tǒng)等網(wǎng)絡與信息系統(tǒng)，應當使用經(jīng)檢測認證合格的商用密碼產(chǎn)品、服務，使用列入商用密碼技術指導目錄的商用密碼技術。

第四十條 關鍵信息基礎設施的運營者采購涉及商用密碼的網(wǎng)絡產(chǎn)品和服務，可能影響國家安全的，應當依法通過國家網(wǎng)信部門會同國家密碼管理部門等有關部門組織的國家安全審查。

第七章監(jiān)督管理

第四十一條 密碼管理部門依法組織對商用密碼活動進行監(jiān)督檢查，對國家機關和涉及商用密碼工作的單位的商用密碼相關工作進行指導和監(jiān)督。

第四十二條 密碼管理部門和有關部門建立商用密碼監(jiān)督管理協(xié)作機制，加強商用密碼監(jiān)督檢查、指導、監(jiān)督等工作的協(xié)調配合。

第四十三條 密碼管理部門和有關部門依法開展商用密碼監(jiān)督檢查，可以行使下列職權：

（一）進入商用密碼活動場所實施現(xiàn)場檢查；

（二）向當事人的法定代表人、主要負責人和其他有關人員調查、了解有關情況；

（三）查閱、復制有關合同、票據(jù)、賬簿以及其他有關資料；

（四）對違法從事商用密碼活動的場所、設備設施、產(chǎn)品等予以查封或者扣押；

（五）委托商用密碼檢測、認證機構對商用密碼專業(yè)事項進行鑒定。采取查封、扣押措施的，應當及時查清事實、依法作出處理決定。

第四十四條 密碼管理部門和有關部門推進商用密碼監(jiān)督管理與社會信用體系相銜接，依法建立推行商用密碼市場主體信用記錄、信用分級分類監(jiān)管、失信懲戒以及信用修復等機制。

第四十五條 商用密碼檢測、認證機構和電子政務電子認證服務機構及其工作人員，應當對其在商用密碼活動中所知悉的國家秘密和商業(yè)秘密承擔保密義務。

密碼管理部門和有關部門及其工作人員不得要求商用密碼從業(yè)單位和商用密碼檢測、認證機構向其披露源代碼等密碼相關專有信息，并對其在履行職責中知悉的商業(yè)秘密和個人隱私嚴格保密，不得泄露或者非法向他人提供。

第四十六條 密碼管理部門和有關部門依法開展商用密碼監(jiān)督管理，相關單位和人員應當予以配合，任何單位和個人不得非法干預和阻撓。

第四十七條 任何單位或者個人有權向密碼管理部門和有關部門舉報違反本條例的行為。密碼管理部門和有關部門接到舉報，應當及時核實、處理，并為舉報人保密。

第八章法律責任

第四十八條 違反本條例規(guī)定，未經(jīng)認定面向社會開展商用密碼檢測活動，或者未經(jīng)認定從事電子政務電子認證服務的，由密碼管理部門責令停止違法行為，給予警告，沒收違法產(chǎn)品和違法所得；違法所得三十萬元以上的，可以并處違法所得一倍以上三倍以下罰款；沒有違法所得或者違法所得不足三十萬元的，可以并處十萬元以上三十萬元以下罰款。

違反本條例規(guī)定，未經(jīng)認定開展商用密碼認證活動的， 由市場監(jiān)督管理部門會同密碼管理部門依照前款規(guī)定予以處罰。

第四十九條 商用密碼檢測機構開展商用密碼檢測，有下列情形之一的，由密碼管理部門責令改正或者停止違法行為，給予警告，沒收違法所得；違法所得三十萬元以上的，可以并處違法所得一倍以上三倍以下罰款；沒有違法所得或者違法所得不足三十萬元的，可以并處十萬元以上三十萬元以下罰款；情節(jié)嚴重的，責令停業(yè)整頓，直至吊銷商用密碼檢測機構資質：

（一）超出批準范圍；

（二）存在影響檢測獨立、公正、誠信的行為；

（三）出具的檢測數(shù)據(jù)、結果失實；

（四）拒不報送或者不如實報送實施情況；

（五）未履行保密義務；

（六）其他違反法律、行政法規(guī)和商用密碼檢測技術規(guī)范、規(guī)則開展商用密碼檢測的情形。

第五十條 商用密碼認證機構開展商用密碼認證，有下列情形之一的，由市場監(jiān)督管理部門會同密碼管理部門責令改正或者停止違法行為，給予警告，沒收違法所得；違法所得三十萬元以上的，可以并處違法所得一倍以上三倍以下罰款；沒有違法所得或者違法所得不足三十萬元的，可以并處十萬元以上三十萬元以下罰款；情節(jié)嚴重的，責令停業(yè)整頓，直至吊銷商用密碼認證機構資質：

（一）超出批準范圍；

（二）存在影響認證獨立、公正、誠信的行為；

（三）出具的認證結論失實；

（四）拒不報送或者不如實報送實施情況；

（五）未對其認證的商用密碼產(chǎn)品、服務、管理體系實施有效的跟蹤監(jiān)督；

（六）未履行保密義務；

（七）其他違反法律、行政法規(guī)和商用密碼認證技術規(guī)范、規(guī)則開展商用密碼認證的情形。

第五十一條 違反本條例第二十條、第二十一條規(guī)定， 銷售或者提供未經(jīng)檢測認證合格的商用密碼產(chǎn)品、服務的， 由市場監(jiān)督管理部門會同密碼管理部門責令改正或者停止違法行為，給予警告，沒收違法產(chǎn)品和違法所得；違法所得十萬元以上的，可以并處違法所得一倍以上三倍以下罰款；沒有違法所得或者違法所得不足十萬元的，可以并處三萬元以上十萬元以下罰款。

第五十二條 電子認證服務機構違反法律、行政法規(guī)和電子認證服務密碼使用技術規(guī)范、規(guī)則使用密碼的，由密碼管理部門責令改正或者停止違法行為，給予警告，沒收違法所得；違法所得三十萬元以上的，可以并處違法所得一倍以上三倍以下罰款；沒有違法所得或者違法所得不足三十萬元的，可以并處十萬元以上三十萬元以下罰款；情節(jié)嚴重的，依法吊銷電子認證服務使用密碼的證明文件。

第五十三條 電子政務電子認證服務機構開展電子政務電子認證服務，有下列情形之一的，由密碼管理部門責令改正或者停止違法行為，給予警告，沒收違法所得；違法所得三十萬元以上的，可以并處違法所得一倍以上三倍以下罰款；沒有違法所得或者違法所得不足三十萬元的，可以并處十萬元以上三十萬元以下罰款；情節(jié)嚴重的，責令停業(yè)整頓，直至吊銷電子政務電子認證服務機構資質：

（一）超出批準范圍；

（二）拒不報送或者不如實報送實施情況；

（三）未履行保密義務；

（四）其他違反法律、行政法規(guī)和電子政務電子認證服務技術規(guī)范、規(guī)則提供電子政務電子認證服務的情形。

第五十四條 電子簽名人或者電子簽名依賴方因依據(jù)電子政務電子認證服務機構提供的電子簽名認證服務在政務活動中遭受損失，電子政務電子認證服務機構不能證明自己無過錯的，承擔賠償責任。

第五十五條 政務活動中的電子公文、電子印章、電子證照等的電子認證違反本條例第三十條規(guī)定，未由依法設立的電子政務電子認證服務機構提供服務的，由密碼管理部門責令改正，給予警告；拒不改正或者有其他嚴重情節(jié)的，由密碼管理部門建議有關國家機關、單位對直接負責的主管人員和其他直接責任人員依法給予處分或者處理。有關國家機關、單位應當將處分或者處理情況書面告知密碼管理部門。

第五十六條 違反本條例規(guī)定進出口商用密碼的，由國務院商務主管部門或者海關依法予以處罰。

第五十七條 竊取他人加密保護的信息，非法侵入他人的商用密碼保障系統(tǒng)，或者利用商用密碼從事危害國家安全、社會公共利益、他人合法權益等違法活動的，由有關部門依照《中華人民共和國網(wǎng)絡安全法》和其他有關法律、行政法規(guī)的規(guī)定追究法律責任。

第五十八條 非涉密的關鍵信息基礎設施、網(wǎng)絡安全等級保護第三級以上網(wǎng)絡、國家政務信息系統(tǒng)等網(wǎng)絡與信息系統(tǒng)的運營者，違反本條例第三十八條、第三十九條規(guī)定，未按照要求使用商用密碼，或者未按照要求開展商用密碼應用安全性評估的，由密碼管理部門責令改正，給予警告；拒不改正或者有其他嚴重情節(jié)的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

第五十九條 關鍵信息基礎設施的運營者違反本條例第四十條規(guī)定，使用未經(jīng)安全審查或者安全審查未通過的產(chǎn)品或者服務的，由有關主管部門責令停止使用，處采購金額一倍以上十倍以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

第六十條 無正當理由拒不接受、不配合或者干預、阻撓密碼管理部門、有關部門的商用密碼監(jiān)督管理的，由密碼管理部門、有關部門責令改正，給予警告；拒不改正或者有其他嚴重情節(jié)的，處十萬元以上三十萬元以下罰款；情節(jié)特別嚴重的，責令停業(yè)整頓，直至吊銷相關資質。

第六十一條 國家機關有本條例第五十八條、第五十九條、第六十條所列違法情形的，由密碼管理部門、有關部門責令改正，給予警告；拒不改正或者有其他嚴重情節(jié)的，由密碼管理部門、有關部門建議有關國家機關對直接負責的主管人員和其他直接責任人員依法給予處分或者處理。有關國家機關應當將處分或者處理情況書面告知密碼管理部門、有關部門。

第六十二條 密碼管理部門和有關部門的工作人員在商用密碼工作中濫用職權、玩忽職守、徇私舞弊，或者泄露、非法向他人提供在履行職責中知悉的商業(yè)秘密、個人隱私、舉報人信息的，依法給予處分。

第六十三條 違反本條例規(guī)定，構成犯罪的，依法追究刑事責任；給他人造成損害的，依法承擔民事責任。

第九章附則

第六十四條 本條例自   年   月   日起施行。1999年10月7日國務院發(fā)布的《商用密碼管理條例》同時廢止。