商用密码治理条例_政策律例

中华人民共和国国务院令

第760号

《商用密码治理条例》已经2023年4月14日国务院第4次常务会议订正通过，现予颁布，自2023年7月1日起执行。

总理李强

2023年4月27日

商用密码治理条例

（1999年10月7日中华人民共和国国务院令第273号颁布 2023年4月27日中华人民共和国国务院令第760号订正）

第一章总则

第一条为了规范商用密码利用和治理，激励和推进商用密码产业发展，保险网络与信息安全，守护国度安全和社会公共利益，；す瘛⒎ㄈ撕推渌橹暮戏ㄈɡ，凭据《中华人民共和国密码法》等司法，造订本条例。

第二条在中华人民共和国境内的商用密码科延注出产、销售、服务、检测、认证、进出口、利用等活动及监督治理，合用本条例。

本条例所称商用密码，是指选取特定变换的步骤对不属于国度奥秘的信息等进行加密；ぁ踩现さ募际酢⒉泛头务。

第三条对峙中国共产党对商用密码工作的辅导，贯彻落实总体国度安全观。国度密码治理部门掌管治理全国的商用密码工作。县级以上处所各技码治理部门掌管治理本行政区域的商用密码工作。

网信、商务、海关、市场监督治理蹬仔关部门在各自职责领域内掌管商用密码有关治理工作。

第四条国度加强商用密码人才造就，成立健全商用密码人才发展体造机造和人才评价造度，激励和支持密码有关学科和专业建设，规范商用密码社会化培训，推进商用密码人才互换。

第五条各级人民当拘陌其有关部门该当采取多种大局加强商用密码宣布道育，加强公民、法人和其他组织的密码安全意识。

第六条商用密码领域的学会、行业协会等社会组织遵循司法、行政律例及其章程的划定，发展学术互换、政策钻延注公共服务等活动，加强学术和行业自律，推动诚信建设，推进行业健康发展。

密码治理部门该当加强对商用密码领域社会组织的领导和支持。

第二章科技创新与尺度化

第七条国度成立健全商用密码科学技术创新推进机造，支持商用密码科学技术自主创新，对作出凸起贡献的组织和幼我依照国度有关划定予以赞美和嘉奖。

国度依法；ど逃妹苈肓煊虻闹恫。从事商用密码活动，该当加强知识产权意识，提高使用、；ず椭卫碇恫ǖ哪芰。

国度激励在表商投资过程中基于自愿准则和贸易规定发展商用密码技术合作。行政机关及其工作人员不得利用行政伎俩强造让渡商用密码技术。

第八条国度激励和支持商用密码科学技术成就转化和产业化利用，成立和美满商用密码科学技术成就信息汇交、颁布和利用情况反馈机造。

第九条国度密码治理部门组织对司法、行政律例和国度有关划定要求使用商用密码进行；さ耐缬胄畔⑾低乘褂玫拿苈胨惴ā⒚苈牒吞浮⒚茉恐卫砘斓壬逃妹苈爰际踅猩蟛榧。

第十条国务院尺度化行政主管部门和国度密码治理部门凭据各自职责，组织造订商用密码国度尺度、行业尺度，对商用密码集体尺度的造订进行规范、疏导和监督。国度密码治理部门凭据职责，成立商用密码尺度执行信息反馈和评估机造，对商用密码尺度施前进行监督查抄。

国度推动参加商用密码国际尺度化活动，参加造订商用密码国际尺度，推动商用密码中国尺度与国表尺度之间的转化使用，激励企业、社会集体和教育、科研机构等参加商用密码国际尺度化活动。

其他领域的尺度涉及商用密码的，该当与商用密码国度尺度、行业尺度维持协调。

第十一条从事商用密码活动，该当切合有关司法、行政律例、商用密码强造性国度尺度，以及自我申明公开尺度的技术要求。

国度激励在商用密码活动当选取商用密码推荐性国度尺度、行业尺度，提升商用密码的防护能力，守护用户的合法权利。

第三章检测认证

第十二条国度推动商用密码检测认证系统建设，激励在商用密码活动中自愿接受商用密码检测认证。

第十三条从事商用密码产品检测、网络与信息系统商用密码利用安全性评估等商用密码检测活动，向社会出具拥有证明作用的数据、了局的机构，该当经国度密码治理部门认定，依法获得商用密码检测机构资质。

第十四条获得商用密码检测机构资质，该当切合下列前提：

（一）拥有法人资格；

（二）拥有与从事商用密码检测活动相适应的资金、场所、设备设施、专业人员和专业能力；

（三）拥有保障商用密码检测活动有效运行的治理系统。

第十五条申请商用密码检测机构资质，该当向国度密码治理部门提出版面申请，并提交切合本条例第十四条划定前提的资料。

国度密码治理部门该当自受理申请之日起20个工作日内，对申请进行审查，并依法作出是否准予认定的决定。

必要对申请人进行技术评审的，技术评审所需功夫不推算在本条划定的期限内。国度密码治理部门该当将所需功夫书面奉告申请人。

第十六条商用密码检测机构该当依照司法、行政律例和商用密码检测技术规范、规定，在核准领域内独立、公正、科学、诚信地发展商用密码检测，对出具的检测数据、了局掌管，并定期向国度密码治理部门报送检测执行情况。

商用密码检测技术规范、规定由国度密码治理部门造订并颁布。

第十七条国务院市场监督治理部门会同国度密码治理部门成立国度统一奉行的商用密码认证造度，尝试商用密码产品、服务、治理系统认证，造订并颁布认证目录和技术规范、规定。

第十八条从事商用密码认证活动的机构，该当依法获得商用密码认证机构资质。

申请商用密码认证机构资质，该当向国务院市场监督治理部门提出版面申请。申请人除该当切合司法、行政律例和国度有关划定要求的认证机构根基前提表，还该当拥有与从事商用密码认证活动相适应的检测、查抄等技术能力。

国务院市场监督治理部门在审查商用密码认证机构资质申请时，应倒伧求国度密码治理部门的定见。

第十九条商用密码认证机构该当依照司法、行政律例和商用密码认证技术规范、规定，在核准领域内独立、公正、科学、诚信地发展商用密码认证，对出具的认证结论掌管。

商用密码认证机构该当对其认证的商用密码产品、服务、治理系统执行有效的跟踪调查，以保障通过认证的商用密码产品、服务、治理系统持续切合认证要求。

第二十条涉及国度安全、国计民生、社会公共利益的商用密码产品，该当依法列入网络关键设备和网络安全专用产品目录，由具备资格的商用密码检测、认证机构检测认证合格后，方可销售或者提供。

第二十一条商用密码服务使用网络关键设备和网络安全专用产品的，该当经商用密码认证机构对该商用密码服务认证合格。

第四章电子认证

第二十二条选取商用密码技术提供电子认证服务，该当拥有与使用密码相适应的场所、设备设施、专业人员、专业能力和治理系统，依法获得国度密码治理部门赞成使用密码的证明文件。

第二十三条电子认证服务机构该当依照司法、行政律例和电子认证服务密码使用技术规范、规定，使用密码提供电子认证服务，保障其电子认证服务密码使用持续切合要求。

电子认证服务密码使用技术规范、规定由国度密码治理部门造订并颁布。

第二十四条选取商用密码技术从事电子政务电子认证服务的机构，该当经国度密码治理部门认定，依法获得电子政务电子认证服务机构资质。

第二十五条获得电子政务电子认证服务机构资质，该当切合下列前提：

（一）拥有企业法人或者事业单元法人资格；

（二）拥有与从事电子政务电子认证服务活动及其使用密码相适应的资金、场所、设备设施和专业人员；

（三）拥有为政务活动提供持久电子政务电子认证服务的能力；

（四）拥有保障电子政务电子认证服务活动及其使用密码安全运行的治理系统。

第二十六条申请电子政务电子认证服务机构资质，该当向国度密码治理部门提出版面申请，并提交切合本条例第二十五条划定前提的资料。

国度密码治理部门该当自受理申请之日起20个工作日内，对申请进行审查，并依法作出是否准予认定的决定。

必要对申请人进行技术评审的，技术评审所需功夫不推算在本条划定的期限内。国度密码治理部门该当将所需功夫书面奉告申请人。

第二十七条表商投资电子政务电子认证服务，影响或者可能影响国度安全的，该当依法进行表商投资安全审查。

第二十八条电子政务电子认证服务机构该当依照司法、行政律例和电子政务电子认证服务技术规范、规定，在核准领域内提供电子政务电子认证服务，并定期向重要处事机构地点地省、自治区、直辖市密码治理部门报送服务执行情况。

电子政务电子认证服务技术规范、规定由国度密码治理部门造订并颁布。

第二十九条国度成立统一的电子认证信赖机造。国度密码治理部门掌管电子认证信赖源的规划和治理，会同有关部门推动电子认证服务互信互认。

第三十条密码治理部门会同有关部门掌管政务活动中使用电子署名、数据电文的治理。

政务活动中电子署名、电子印章、电子证照等涉及的电子认证服务，该当由依法设立的电子政务电子认证服务机构提供。

第五章进出口

第三十一条涉及国度安全、社会公共利益且拥有加密；ぶ澳艿纳逃妹苈，列入商用密码进口许可清单，施前进口许可。涉及国度安全、社会公共利益或者中国承担国际使命的商用密码，列入商用密码出口管造清单，执行出口管造。

商用密码进口许可清单和商用密码出口管造清单由国务院商务主管部门会同国度密码治理部门和海关总署造订并颁布。

公共消费类产品所选取的商用密码不实前进口许可和出口管造造度。

第三十二条进口商用密码进口许可清单中的商用密码或者出口商用密码出口管造清单中的商用密码，该当向国务院商务主管部门申请领取进出口许可证。

商用密码的过境、转运、通运、再出口，在境表与综合保税区等海关特殊监管区域之间进出，或者在境表与出口监管仓库、保税物流中心等保税监管场所之间进出的，合用前款划定。

第三十三条进口商用密码进口许可清单中的商用密码或者出口商用密码出口管造清单中的商用密码时，该当向海关交验进出口许可证，并依照国度有关划定办理报关手续。

进出口经营者未向海关交验进出口许可证，海关有证据批注进出口产品可能属于商用密码进口许可清单或者出口管造清单领域的，该当向进出口经营者提出质疑；海关能够向国务院商务主管部门提出组织甄别，并凭据国务院商务主管部门会同国度密码治理部门作出的甄别结论依法措置。在甄别或者质疑期间，海关对进出口产品不予放行。

第三十四条申请商用密码进出口许可，该当向国务院商务主管部门提出版面申请，并提交下列资料：

（一）申请人的法定代表人、重要经营治理人以及经办人的身份证明；

（二）合同或者和谈的副本；

（三）商用密码的技术注明；

（四）最终用户和最终用处证明；

（五）国务院商务主管部门划定提交的其他文件。

国务院商务主管部门该当自受理申请之日起45个工作日内，会同国度密码治理部门对申请进行审查，并依法作出是否准予许可的决定。

对国度安全、社会公共利益或者表交政策有沉大影响的商用密码出口，由国务院商务主管部门会同国度密码治理部门蹬仔关部门报国务院核准。报国务院核准的，不受前款规按时限的限度。

第六章利用推进

第三十五条国度激励公民、法人和其他组织依法使用商用密码；ね缬胄畔踩，激励使用经检测认证合格的商用密码。

任何组织或者幼我不得窃取他人加密；さ男畔⒒蛘叻阜ㄇ秩胨说纳逃妹苈氡Ｏ障低，不得利用商用密码从事风险国度安全、社会公共利益、他人合法权利等违法犯罪活动。

第三十六条国度支持网络产品和服务使用商用密码提升安全性，支持并规范商用密码在信息领域新技术、新业态、新模式中的利用。

第三十七条国度成立商用密码利用推进协调机造，加强对商用密码利用的两全领导。国度机关和涉及商用密码工作的单元在其职责领域内掌管本机关、本单元或者本系统的商用密码利用和安全保险工作。

密码治理部门会同有关部门加强商用密码利用信息网络、风险评估、信息传递和沉大事项会商，并加强与网络安全监测预警和信息传递的衔接。

第三十八条司法、行政律例和国度有关划定要求使用商用密码进行；さ墓丶畔⒒∩枋，其运营者该当使用商用密码进行；，造订商用密码利用规划，建设必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保险系统，自行或者委托商用密码检测机构发展商用密码利用安全性评估。

前款所列关键信息基础设施通过商用密码利用安全性评估方可投入运行，运行后每年至少进行一次评估，评估情况依照国度有关划定报送国度密码治理部门或者关键信息基础设施地点地省、自治区、直辖市密码治理部门登记。

第三十九条司法、行政律例和国度有关划定要求使用商用密码进行；さ墓丶畔⒒∩枋，使用的商用密码产品、服务该当经检测认证合格，使用的密码算法、密码和谈、密钥治理机造等商用密码技术该当通过国度密码治理部门审查鉴定。

第四十条关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国度安全的，该当依法通过国度网信部门会同国度密码治理部门蹬仔关部门组织的国度安全审查。

第四十一条网络运营者该当依照国度网络安全等级；ぴ於纫，使用商用密码；ね绨踩。国度密码治理部门凭据网络的安全；さ燃，确定商用密码的使用、治理和利用安全性评估要求，造订网络安全等级；っ苈氤叨裙娣。

第四十二条商用密码利用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评该当加强衔接，预防沉复评估、测评。

第七章监督治理

第四十三条密码治理部门依法组织对商用密码活动进行监督查抄，对国度机关和涉及商用密码工作的单元的商用密码有关工作进行领导和监督。

第四十四条密码治理部门和有关部门成立商用密码监督治理合作机造，加强商用密码监督、查抄、领导等工作的协调共同。

第四十五条密码治理部门和有关部门依法发展商用密码监督查抄，能够行使下列权柄：

（一）进入商用密码活动场所执行现场查抄；

（二）向当事人的法定代表人、重要掌管人和其他有关人员调查、相识有关情况；

（三）查阅、复造有关合同、单据、账簿以及其他有关资料。

第四十六条密码治理部门和有关部门推动商用密码监督治理与社会信誉系统相衔接，依法成立奉行商用密码经营主体信誉纪录、信誉分级分类监管、失信惩戒以及信誉建复等机造。

第四十七条商用密码检测、认证机构和电子政务电子认证服务机构及其工作人员，该当对其在商用密码活动中所知悉的国度奥秘和贸易奥秘承担保密使命。

密码治理部门和有关部门及其工作人员不得要求商用密码科延注出产、销售、服务、进出口等单元和商用密码检测、认证机构向其披露源代码等密码有关专有信息，并对其在推广职责中知悉的贸易奥秘和幼我隐衷严格保密，不得泄露或者犯法向他人提供。

第四十八条密码治理部门和有关部门依法发展商用密码监督治理，有关单元和人员该当予以共同，任何单元和幼我不得犯法过问和反对。

第四十九条任何单元或者幼我有权向密码治理部门和有关部门举报违反本条例的行为。密码治理部门和有关部门接到举报，该当实时核实、处置，并为举报人保密。

第八章司法责任

第五十条违反本条例划定，未经认定向社会发展商用密码检测活动，或者未经认定从事电子政务电子认证服务的，由密码治理部门责令更正或者终场违法行为，赐与忠告，充公违法产品和违法所得；违法所得30万元以上的，能够并处违法所得1倍以上3倍以下？；没有违法所得或者违法所得不及30万元的，能够并处10万元以上30万元以下？。

违反本条例划定，未经核准从事商用密码认证活动的，由市场监督治理部门会同密码治理部门遵循前款划定予以处罚。

第五十一条商用密码检测机构发展商用密码检测，有下列情景之一的，由密码治理部门责令更正或者终场违法行为，赐与忠告，充公违法所得；违法所得30万元以上的，能够并处违法所得1倍以上3倍以下？；没有违法所得或者违法所得不及30万元的，能够并处10万元以上30万元以下？；情节严沉的，依法撤除商用密码检测机构资质：

（一）超出核准领域；

（二）存在影响检测独立、公正、诚信的行为；

（三）出具的检测数据、了局虚伪或者失实；

（四）拒不报送或者不如实报送执行情况；

（五）未推广保密使命；

（六）其他违反司法、行政律例和商用密码检测技术规范、规定发展商用密码检测的情景。

第五十二条商用密码认证机构发展商用密码认证，有下列情景之一的，由市场监督治理部门会同密码治理部门责令更正或者终场违法行为，赐与忠告，充公违法所得；违法所得30万元以上的，能够并处违法所得1倍以上3倍以下？；没有违法所得或者违法所得不及30万元的，能够并处10万元以上30万元以下？；情节严沉的，依法撤除商用密码认证机构资质：

（一）超出核准领域；

（二）存在影响认证独立、公正、诚信的行为；

（三）出具的认证结论虚伪或者失实；

（四）未对其认证的商用密码产品、服务、治理系统执行有效的跟踪调查；

（五）未推广保密使命；

（六）其他违反司法、行政律例和商用密码认证技术规范、规定发展商用密码认证的情景。

第五十三条违反本条例第二十条、第二十一条划定，销售或者提供未经检测认证或者检测认证不合格的商用密码产品，或者提供未经认证或者认证不合格的商用密码服务的，由市场监督治理部门会同密码治理部门责令更正或者终场违法行为，赐与忠告，充公违法产品和违法所得；违法所得10万元以上的，能够并处违法所得1倍以上3倍以下？；没有违法所得或者违法所得不及10万元的，能够并处3万元以上10万元以下？。

第五十四条电子认证服务机构违反司法、行政律例和电子认证服务密码使用技术规范、规定使用密码的，由密码治理部门责令更正或者终场违法行为，赐与忠告，充公违法所得；违法所得30万元以上的，能够并处违法所得1倍以上3倍以下？；没有违法所得或者违法所得不及30万元的，能够并处10万元以上30万元以下？；情节严沉的，依法撤除电子认证服务使用密码的证明文件。

第五十五条电子政务电子认证服务机构发展电子政务电子认证服务，有下列情景之一的，由密码治理部门责令更正或者终场违法行为，赐与忠告，充公违法所得；违法所得30万元以上的，能够并处违法所得1倍以上3倍以下？；没有违法所得或者违法所得不及30万元的，能够并处10万元以上30万元以下？；情节严沉的，责令破产整顿，直至撤除电子政务电子认证服务机构资质：

（一）超出核准领域；

（二）拒不报送或者不如实报送执行情况；

（三）未推广保密使命；

（四）其他违反司法、行政律例和电子政务电子认证服务技术规范、规定提供电子政务电子认证服务的情景。

第五十六条电子署名人或者电子署名依赖方因凭据电子政务电子认证服务机构提供的电子署名认证服务在政务活动中遭逢损失，电子政务电子认证服务机构不能证明自己无不对的，承担赔偿责任。

第五十七条政务活动中电子署名、电子印章、电子证照等涉及的电子认证服务，违反本条例第三十条划定，未由依法设立的电子政务电子认证服务机构提供的，由密码治理部门责令更正，赐与忠告；拒不更正或者有其他严沉情节的，由密码治理部门建议有关国度机关、单元对直接掌管的主管人员和其他直接责任人员依法赐与处罚或者处置。有关国度机关、单元该当将处罚或者处置情况书面奉告密码治理部门。

第五十八条违反本条例划定进出口商用密码的，由国务院商务主管部门或者海关依法予以处罚。

第五十九条窃取他人加密；さ男畔，犯法侵入他人的商用密码保险系统，或者利用商用密码从事风险国度安全、社会公共利益、他人合法权利等违法活动的，由有关部门遵循《中华人民共和国网络安全法》和其他有关司法、行政律例的划定查究司法责任。

第六十条关键信息基础设施的运营者违反本条例第三十八条、第三十九条划定，未依照要求使用商用密码，或者未依照要求发展商用密码利用安全性评估的，由密码治理部门责令更正，赐与忠告；拒不更正或者有其他严沉情节的，处10万元以上100万元以下？，对直接掌管的主管人员处1万元以上10万元以下？。

第六十一条关键信息基础设施的运营者违反本条例第四十条划定，使用未经安全审查或者安全审查未通过的涉及商用密码的网络产品或者服务的，由有关主管部门责令终场使用，处采购金额1倍以上10倍以下？；对直接掌管的主管人员和其他直接责任人员处1万元以上10万元以下？。

第六十二条网络运营者违反本条例第四十一条划定，未依照国度网络安全等级；ぴ於纫笫褂蒙逃妹苈氡；ね绨踩，由密码治理部门责令更正，赐与忠告；拒不更正或者导致风险网络安全等后果的，处1万元以上10万元以下？，对直接掌管的主管人员处5000元以上5万元以下？。

第六十三条无正当理由拒不接受、不共同或者过问、反对密码治理部门、有关部门的商用密码监督治理的，由密码治理部门、有关部门责令更正，赐与忠告；拒不更正或者有其他严沉情节的，处5万元以上50万元以下？，对直接掌管的主管人员和其他直接责任人员处1万元以上10万元以下？；情节出格严沉的，责令破产整顿，直至撤除商用密码许可证件。

第六十四条国度机关有本条例第六十条、第六十一条、第六十二条、第六十三条所列违法情景的，由密码治理部门、有关部门责令更正，赐与忠告；拒不更正或者有其他严沉情节的，由密码治理部门、有关部门建议有关国度机关对直接掌管的主管人员和其他直接责任人员依法赐与处罚或者处置。有关国度机关该当将处罚或者处置情况书面奉告密码治理部门、有关部门。

第六十五条密码治理部门和有关部门的工作人员在商用密码工作中滥用权柄、玩忽职守、徇私舞弊，或者泄露、犯法向他人提供在推广职责中知悉的贸易奥秘、幼我隐衷、举报人信息的，依法赐与处罚。

第六十六条违反本条例划定，组成犯罪的，依法查究刑事责任；给他人造成侵害的，依法承担民事责任。

第九章附则

第六十七条本条例自2023年7月1日起执行。

9888拉斯维加斯

商用密码治理条例