關于《商用密碼管理條例(修訂草案征求意見稿)》公開征求意見的通知
為了貫徹落實《中華人民共和國密碼法》,國家密碼管理局起草了《商用密碼管理條例(修訂草案征求意見稿)》,現向社會公開征求意見。公眾可以在2020年9月19日前,通過以下途徑和方式提出意見:
1.通過信函方式將意見寄至:北京市豐臺區靛廠路7號國家密碼管理局監督檢查處(郵政編碼:100036),請在信封上注明“商用密碼管理條例意見”。
2.通過電子郵件方式將意見發送至:symmgltl@163.com。
附件:1.關于商用密碼管理條例(修訂草案征求意見稿)的說明.pdf
國家密碼管理局
2020年8月20日
(修訂草案征求意見稿)
第一章總則
第一條為了加強商用密碼管理,促進商用密碼事業發展,保障網絡與信息安全,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益,根據《中華人民共和國密碼法》,制定本條例。
第二條在中華人民共和國境內的商用密碼科研、生產、銷售、服務、檢測、認證、進出口、應用等活動及監督管理,適用本條例。本條例所稱商用密碼,是指采用特定變換的方法對不屬于國家秘密的信息等進行加密保護、安全認證的技術、產品和服務。
第三條國家密碼管理部門負責管理全國的商用密碼工作。縣級以上地方各級密碼管理部門負責管理本行政區域的商用密碼工作。國家網信、商務、海關、市場監督管理等有關部門在各自職責范圍內,負責商用密碼有關管理工作。
第四條國家加強商用密碼人才培養,建立和完善商用密碼人才發展體制機制,鼓勵和支持密碼學科和專業建設,建立商用密碼人才評價制度,規范商用密碼社會化培訓,促進商用密碼人才交流。
第五條各級人民政府及其有關部門應當采取多種形式加強商用密碼宣傳教育,增強公民、法人和其他組織的密碼安全意識。
第六條商用密碼領域的學會、行業協會等社會組織依照法律、行政法規及其章程的規定,在密碼管理部門指導下,開展學術交流,政策研究、公共服務等活動,加強學術和行業自律,推動誠信建設,促進商用密碼事業健康發展。
第二章科技創新與標準化
第七條國家建立健全商用密碼科學技術創新促進機制,支持商用密碼科學技術自主創新,對作出突出貢獻的組織和個人按照國家有關規定予以表彰和獎勵。國家依法保護商用密碼領域的知識產權。從事商用密碼活動,應當增強知識產權意識,提高運用、保護和管理知識產權的能力。
第八條國家鼓勵和支持商用密碼科學技術成果轉化和產業化,建立和完善商用密碼科學技術成果信息匯交、發布和應用情況反饋機制。
第九條國家密碼管理部門根據商用密碼應用需求或者安全需要,組織對密碼算法、密碼協議、密鑰管理機制等商用密碼技術進行安全性審查,通過安全性審查的,列入商用密碼技術指導目錄。
第十條國務院標準化行政主管部門和國家密碼管理部門依據各自職責,組織制定商用密碼國家標準、行業標準,對商用密碼團體標準的制定進行規范、引導和監督,建立商用密碼標準實施信息反饋和評估機制,對商用密碼標準實施進行監督檢查。國家推動參與商用密碼國際標準化活動,參與制定商用密碼國際標準,推進商用密碼中國標準與國外標準之間的轉化運用,鼓勵企業、社會團體和教育、科研機構等參與商用密碼國際標準化活動。其他領域的標準涉及商用密碼的,應當與商用密碼國家標準、行業標準保持協調。
第十一條從事商用密碼活動,應當符合有關法律、行政法規、商用密碼強制性國家標準,以及自我聲明公開標準的技術要求。國家鼓勵在商用密碼活動中采用商用密碼推薦性國家標準、行業標準,提升商用密碼的防護能力,維護用戶的合法權益。
第三章檢測認證
第十二條國家推進商用密碼檢測認證體系建設,鼓勵在商用密碼活動中自愿接受商用密碼檢測認證。
第十三條從事商用密碼產品檢測、網絡與信息系統商用密碼應用安全性評估等商用密碼檢測活動,面向社會出具具有證明作用的數據、結果的機構,應當經國家密碼管理部門認定,依法取得商用密碼檢測機構資質。
第十四條取得商用密碼檢測機構資質,應當符合下列條件:
(一)具有企業法人或者事業單位法人資格;
(二)具有與從事商用密碼檢測活動相適應的資金、場所、設備設施、專業人員和專業能力;
(三)具有保證商用密碼檢測活動有效運行的管理體系和保障措施。
第十五條申請商用密碼檢測機構資質,應當向國家密碼管理部門提出書面申請,并提交符合本條例第十四條規定條件的證明材料。國家密碼管理部門應當自受理申請之日起二十個工作日內,對申請材料進行審查,組織對申請人進行技術評審,并作出是否準予認定的決定。技術評審所需時間不計算在本條規定的期限內。
第十六條商用密碼檢測機構應當按照法律、行政法規和商用密碼檢測技術規范、規則,在批準范圍內獨立、公正、科學、誠信地開展商用密碼檢測,對出具的檢測數據、結果負責,并定期向國家密碼管理部門報送檢測實施情況。商用密碼檢測技術規范、規則由國家密碼管理部門制定并公布。
第十七條國務院市場監督管理部門會同國家密碼管理部門建立國家統一推行的商用密碼認證制度,實行商用密碼產品、服務、管理體系認證,制定并公布認證目錄和技術規范、規則。
第十八條從事商用密碼認證活動的機構,應當經國務院市場監督管理部門征求國家密碼管理部門意見后認定,依法取得商用密碼認證機構資質。取得商用密碼認證機構資質,應當向國務院市場監督管理部門提出書面申請。申請人除應當符合法律、行政法規和國家有關規定要求的認證機構基本條件外,還應當具備與從事商用密碼認證活動相適應的商用密碼檢測、檢查、標準研制與驗證等專業能力。
第十九條商用密碼認證機構應當按照法律、行政法規和商用密碼認證技術規范、規則,在批準范圍內獨立、公正、科學、誠信地開展商用密碼認證,對出具的認證結論負責,并定期向國務院市場監督管理部門和國家密碼管理部門報送認證實施情況。商用密碼認證機構應當對其認證的商用密碼產品、服務、管理體系實施有效的跟蹤監督,以保證通過認證的商用密碼產品、服務、管理體系持續符合認證要求。
第二十條涉及國家安全、國計民生、社會公共利益的商用密碼產品,應當依法列入網絡關鍵設備和網絡安全專用產品目錄,由具備資格的商用密碼檢測、認證機構檢測認證合格后,方可銷售或者提供。
第二十一條商用密碼服務使用網絡關鍵設備和網絡安全專用產品的,應當經商用密碼認證機構對該商用密碼服務認證合格。
第四章電子認證
第二十二條采用商用密碼技術提供電子認證服務,應當具有與使用密碼相適應的場所、設備設施、專業人員、專業能力、管理體系和保障措施,依法取得國家密碼管理部門同意使用密碼的證明文件。
第二十三條電子認證服務機構應當按照法律、行政法規和電子認證服務密碼使用技術規范、規則,使用密碼提供電子認證服務,保證其電子認證服務密碼使用持續符合要求。
第二十四條采用商用密碼技術從事電子政務電子認證服務的機構,應當經國家密碼管理部門認定,依法取得電子政務電子認證服務機構資質。
第二十五條取得電子政務電子認證服務機構資質,應當符合下列條件:
(一)具有企業法人或者事業單位法人資格;
(二)具有與從事電子政務電子認證服務活動及其使用密碼相適應的資金、場所、設備設施和專業人員;
(三)具有為政務活動提供長期電子政務電子認證服務的信譽和能力;
(四)具有保證電子政務電子認證服務活動及其使用密碼安全運行的管理體系和保障措施。
第二十六條申請電子政務電子認證服務機構資質,應當向國家密碼管理部門提出書面申請,并提交符合本條例第二十五條規定條件的證明材料。國家密碼管理部門應當自受理申請之日起二十個工作日內,對申請材料進行審查,組織對申請人進行技術評審,并作出是否準予認定的決定。技術評審所需時間不計算在本條規定的期限內。
第二十七條外商投資電子政務電子認證服務,影響或者可能影響國家安全的,應當依法進行外商投資安全審查。第二十八條電子政務電子認證服務機構應當按照法律、行政法規和電子政務電子認證服務技術規范、規則,在批準范圍內提供電子政務電子認證服務,并定期向所在地省級密碼管理部門報送服務實施情況。電子政務電子認證服務技術規范、規則由國家密碼管理部門制定并公布。
第二十九條國家建立統一的電子認證信任機制,推動電子認證服務互信互認。國家密碼管理部門負責電子認證信任源的規劃和管理。
第三十條密碼管理部門會同有關部門負責政務活動中使用電子簽名、數據電文的管理。政務活動中使用的可靠的電子簽名,與手寫簽名或者蓋章具有同等的法律效力。政務活動中的電子公文、電子印章、電子證照等的電子認證,應當由依法設立的電子政務電子認
證服務機構提供服務。
第五章進出口
第三十一條涉及國家安全、社會公共利益且具有加密保護功能的商用密碼,列入《商用密碼進口許可清單》,實施進口許可。涉及國家安全、社會公共利益或者中國承擔國際義務的商用密碼,列入《商用密碼出口管制清單》,實施出口管制。《商用密碼進口許可清單》和《商用密碼出口管制清單》由國務院商務主管部門會同國家密碼管理部門和海關總署制定并公布。
第三十二條進口《商用密碼進口許可清單》或者出口《商用密碼出口管制清單》中的商用密碼,應當向國務院商務主管部門申請領取兩用物項進出口許可證。商用密碼的過境、轉運、通運、再出口,在境外與保稅區、出口加工區等海關特殊監管區域之間進出,或者在境外與出口監管倉庫、保稅物流中心等保稅監管場所之間進出的,適用前款規定。
第三十三條進口《商用密碼進口許可清單》或者出口《商用密碼出口管制清單》中的商用密碼產品時,應當向海關交驗兩用物項進出口許可證,并按照國家有關規定辦理報關手續。未向海關交驗兩用物項進出口許可證,海關有證據表明進出口產品可能屬于商用密碼進口許可或者出口管制范圍的,應當向進出口經營者提出質疑;海關可以向國務院商務主管部門、國家密碼管理部門提出組織鑒別,并根據國務院商務主管部門、國家密碼管理部門作出的鑒別結論依法處置。在鑒別或者質疑期間,海關對進出口產品不予放行。
第三十四條申請商用密碼進出口許可,應當向國務院商務主管部門提出書面申請,并提交有關證明材料。國務院商務主管部門會同國家密碼管理部門依法對申請進行審查,并作出是否準予許可的決定。
第六章應用促進
第三十五條國家鼓勵公民、法人和其他組織依法使用商用密碼保護網絡與信息安全,鼓勵使用經檢測認證合格的商用密碼。任何組織或者個人不得竊取他人加密保護的信息或者非法侵入他人的商用密碼保障系統,不得利用商用密碼從事危害國家安全、社會公共利益、他人合法權益等違法犯罪活動。
第三十六條國家支持網絡產品、服務使用商用密碼提升安全性,支持并規范商用密碼在信息領域新技術、新業態、新模式中的應用。
第三十七條國家建立商用密碼應用促進協調機制,加強對商用密碼應用的統籌指導。國家機關和涉及商用密碼工作的單位在其職責范圍內負責本機關、本單位或者本系統的商用密碼應用和安全保障工作。密碼管理部門會同有關部門加強商用密碼應用信息采集、風險評估、信息通報和重大事項會商,并加強與網絡安全監測預警和信息通報的銜接。
第三十八條非涉密的關鍵信息基礎設施、網絡安全等級保護第三級以上網絡、國家政務信息系統等網絡與信息系統,其運營者應當使用商用密碼進行保護,制定商用密碼應用方案,配備必要的資金和專業人員,同步規劃、同步建設、同步運行商用密碼保障系統,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。前款所列網絡與信息系統通過商用密碼應用安全性評估方可投入運行,運行后每年至少進行一次評估,評估情況報送所在地設區的市級密碼管理部門備案。商用密碼應用安全性評估、關鍵信息基礎設施安全檢測評估、網絡安全等級測評應當加強銜接,避免重復評估、測評。
第三十九條非涉密的關鍵信息基礎設施、網絡安全等級保護第三級以上網絡、國家政務信息系統等網絡與信息系統,應當使用經檢測認證合格的商用密碼產品、服務,使用列入商用密碼技術指導目錄的商用密碼技術。
第四十條關鍵信息基礎設施的運營者采購涉及商用密碼的網絡產品和服務,可能影響國家安全的,應當依法通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。
第七章監督管理
第四十一條密碼管理部門依法組織對商用密碼活動進行監督檢查,對國家機關和涉及商用密碼工作的單位的商用密碼相關工作進行指導和監督。
第四十二條密碼管理部門和有關部門建立商用密碼監督管理協作機制,加強商用密碼監督檢查、指導、監督等工作的協調配合。
第四十三條密碼管理部門和有關部門依法開展商用密碼監督檢查,可以行使下列職權:
(一)進入商用密碼活動場所實施現場檢查;
(二)向當事人的法定代表人、主要負責人和其他有關人員調查、了解有關情況;
(三)查閱、復制有關合同、票據、賬簿以及其他有關資料;
(四)對違法從事商用密碼活動的場所、設備設施、產品等予以查封或者扣押;
(五)委托商用密碼檢測、認證機構對商用密碼專業事項進行鑒定。采取查封、扣押措施的,應當及時查清事實、依法作出處理決定。
第四十四條密碼管理部門和有關部門推進商用密碼監督管理與社會信用體系相銜接,依法建立推行商用密碼市場主體信用記錄、信用分級分類監管、失信懲戒以及信用修復等機制。
第四十五條商用密碼檢測、認證機構和電子政務電子認證服務機構及其工作人員,應當對其在商用密碼活動中所知悉的國家秘密和商業秘密承擔保密義務。密碼管理部門和有關部門及其工作人員不得要求商用密碼從業單位和商用密碼檢測、認證機構向其披露源代碼等密碼相關專有信息,并對其在履行職責中知悉的商業秘密和個人隱私嚴格保密,不得泄露或者非法向他人提供。
第四十六條密碼管理部門和有關部門依法開展商用密碼監督管理,相關單位和人員應當予以配合,任何單位和個人不得非法干預和阻撓。
第四十七條任何單位或者個人有權向密碼管理部門和有關部門舉報違反本條例的行為。密碼管理部門和有關部門接到舉報,應當及時核實、處理,并為舉報人保密。
第八章法律責任
第四十八條違反本條例規定,未經認定面向社會開展商用密碼檢測活動,或者未經認定從事電子政務電子認證服務的,由密碼管理部門責令停止違法行為,給予警告,沒收違法產品和違法所得;違法所得三十萬元以上的,可以并處違法所得一倍以上三倍以下罰款;沒有違法所得或者違法所得不足三十萬元的,可以并處十萬元以上三十萬元以下罰款。違反本條例規定,未經認定開展商用密碼認證活動的,由市場監督管理部門會同密碼管理部門依照前款規定予以處罰。
第四十九條商用密碼檢測機構開展商用密碼檢測,有下列情形之一的,由密碼管理部門責令改正或者停止違法行為,給予警告,沒收違法所得;違法所得三十萬元以上的,可以并處違法所得一倍以上三倍以下罰款;沒有違法所得或者違法所得不足三十萬元的,可以并處十萬元以上三十萬元以下罰款;情節嚴重的,責令停業整頓,直至吊銷商用密碼檢測機構資質:
(一)超出批準范圍;
(二)存在影響檢測獨立、公正、誠信的行為;
(三)出具的檢測數據、結果失實;
(四)拒不報送或者不如實報送實施情況;
(五)未履行保密義務;
(六)其他違反法律、行政法規和商用密碼檢測技術規范、規則開展商用密碼檢測的情形。
第五十條商用密碼認證機構開展商用密碼認證,有下列情形之一的,由市場監督管理部門會同密碼管理部門責令改正或者停止違法行為,給予警告,沒收違法所得;違法所得三十萬元以上的,可以并處違法所得一倍以上三倍以下罰款;沒有違法所得或者違法所得不足三十萬元的,可以并處十萬元以上三十萬元以下罰款;情節嚴重的,責令停業整頓,直至吊銷商用密碼認證機構資質:
(一)超出批準范圍;
(二)存在影響認證獨立、公正、誠信的行為;
(三)出具的認證結論失實;
(四)拒不報送或者不如實報送實施情況;
(五)未對其認證的商用密碼產品、服務、管理體系實施有效的跟蹤監督;
(六)未履行保密義務;
(七)其他違反法律、行政法規和商用密碼認證技術規范、規則開展商用密碼認證的情形。
第五十一條違反本條例第二十條、第二十一條規定,銷售或者提供未經檢測認證合格的商用密碼產品、服務的,由市場監督管理部門會同密碼管理部門責令改正或者停止違法行為,給予警告,沒收違法產品和違法所得;違法所得十萬元以上的,可以并處違法所得一倍以上三倍以下罰款;沒有違法所得或者違法所得不足十萬元的,可以并處三萬元以上十萬元以下罰款。
第五十二條電子認證服務機構違反法律、行政法規和電子認證服務密碼使用技術規范、規則使用密碼的,由密碼管理部門責令改正或者停止違法行為,給予警告,沒收違法所得;違法所得三十萬元以上的,可以并處違法所得一倍以上三倍以下罰款;沒有違法所得或者違法所得不足三十萬元的,可以并處十萬元以上三十萬元以下罰款;情節嚴重的,依法吊銷電子認證服務使用密碼的證明文件。
第五十三條電子政務電子認證服務機構開展電子政務電子認證服務,有下列情形之一的,由密碼管理部門責令改正或者停止違法行為,給予警告,沒收違法所得;違法所得三十萬元以上的,可以并處違法所得一倍以上三倍以下罰款;沒有違法所得或者違法所得不三十萬元的,可以并處十萬元以上三十萬元以下罰款;情節嚴重的,責令停業整頓,直至吊銷電子政務電子認證服務機構資質:
(一)超出批準范圍;
(二)拒不報送或者不如實報送實施情況;
(三)未履行保密義務;
(四)其他違反法律、行政法規和電子政務電子認證服務技術規范、規則提供電子政務電子認證服務的情形。
第五十四條電子簽名人或者電子簽名依賴方因依據電子政務電子認證服務機構提供的電子簽名認證服務在政務活動中遭受損失,電子政務電子認證服務機構不能證明自己無過錯的,承擔賠償責任。
第五十五條政務活動中的電子公文、電子印章、電子證照等的電子認證違反本條例第三十條規定,未由依法設立的電子政務電子認證服務機構提供服務的,由密碼管理部門責令改正,給予警告;拒不改正或者有其他嚴重情節的,由密碼管理部門建議有關國家機關、單位對直接負責的主管人員和其他直接責任人員依法給予處分或者處理。有關國家機關、單位應當將處分或者處理情況書面告知密碼管理部門。
第五十六條違反本條例規定進出口商用密碼的,由國務院商務主管部門或者海關依法予以處罰。
第五十七條竊取他人加密保護的信息,非法侵入他人的商用密碼保障系統,或者利用商用密碼從事危害國家安全、社會公共利益他人合法權益等違法活動的,由有關部門依照《中華人民共和國網絡安全法》和其他有關法律、行政法規的規定追究法律責任。
第五十八條非涉密的關鍵信息基礎設施、網絡安全等級保護第三級以上網絡、國家政務信息系統等網絡與信息系統的運營者,違反本條例第三十八條、第三十九條規定,未按照要求使用商用密碼,或者未按照要求開展商用密碼應用安全性評估的,由密碼管理部門責令改正,給予警告;拒不改正或者有其他嚴重情節的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
第五十九條關鍵信息基礎設施的運營者違反本條例第四十條規定,使用未經安全審查或者安全審查未通過的產品或者服務的,由有關主管部門責令停止使用,處采購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第六十條無正當理由拒不接受、不配合或者干預、阻撓密碼管理部門、有關部門的商用密碼監督管理的,由密碼管理部門、有關部門責令改正,給予警告;拒不改正或者有其他嚴重情節的,處十萬元以上三十萬元以下罰款;情節特別嚴重的,責令停業整頓,直至吊銷相關資質。
第六十一條國家機關有本條例第五十八條、第五十九條、第六十條所列違法情形的,由密碼管理部門、有關部門責令改正,給予警告;拒不改正或者有其他嚴重情節的,由密碼管理部門、有關部門建議有關國家機關對直接負責的主管人員和其他直接責任人員依法給予處分或者處理。有關國家機關應當將處分或者處理情況書面告知密碼管理部門、有關部門。
第六十二條密碼管理部門和有關部門的工作人員在商用密碼工作中濫用職權、玩忽職守、徇私舞弊,或者泄露、非法向他人提供在履行職責中知悉的商業秘密、個人隱私、舉報人信息的,依法給予處分。
第六十三條違反本條例規定,構成犯罪的,依法追究刑事責任;給他人造成損害的,依法承擔民事責任。
第九章附則
第六十四條本條例自年月日起施行。1999 年10 月7 日國務院發布的《商用密碼管理條例》同時廢止。
來源:國家密碼管理局
