国家密码管理局：《商用密码管理条例（修订草案征求意见稿）》公开征求意见

第一章总则

第一条 为了加强商用密码管理，促进商用密码事业发展，保障网络与信息安全，维护国家安全和社会公共利益， 保护公民、法人和其他组织的合法权益，根据《中华人民共和国密码法》，制定本条例。

第二条 在中华人民共和国境内的商用密码科研、生产、销售、服务、检测、认证、进出口、应用等活动及监督管理，适用本条例。

本条例所称商用密码，是指采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。

第三条 国家密码管理部门负责管理全国的商用密码工作。县级以上地方各级密码管理部门负责管理本行政区域的商用密码工作。

国家网信、商务、海关、市场监督管理等有关部门在各自职责范围内，负责商用密码有关管理工作。

第四条 国家加强商用密码人才培养，建立和完善商用密码人才发展体制机制，鼓励和支持密码学科和专业建设，建立商用密码人才评价制度，规范商用密码社会化培训，促进商用密码人才交流。

第五条 各级人民政府及其有关部门应当采取多种形式加强商用密码宣传教育，增强公民、法人和其他组织的密码安全意识。

第六条 商用密码领域的学会、行业协会等社会组织依照法律、行政法规及其章程的规定，在密码管理部门指导下，开展学术交流、政策研究、公共服务等活动，加强学术和行业自律，推动诚信建设，促进商用密码事业健康发展。

第二章科技创新与标准化

第七条 国家建立健全商用密码科学技术创新促进机制，支持商用密码科学技术自主创新，对作出突出贡献的组织和个人按照国家有关规定予以表彰和奖励。

国家依法保护商用密码领域的知识产权。从事商用密码活动，应当增强知识产权意识，提高运用、保护和管理知识产权的能力。

第八条 国家鼓励和支持商用密码科学技术成果转化和产业化，建立和完善商用密码科学技术成果信息汇交、发布和应用情况反馈机制。

第九条 国家密码管理部门根据商用密码应用需求或者安全需要，组织对密码算法、密码协议、密钥管理机制等商用密码技术进行安全性审查，通过安全性审查的，列入商用密码技术指导目录。

第十条 国务院标准化行政主管部门和国家密码管理部门依据各自职责，组织制定商用密码国家标准、行业标准， 对商用密码团体标准的制定进行规范、引导和监督，建立商用密码标准实施信息反馈和评估机制，对商用密码标准实施进行监督检查。

国家推动参与商用密码国际标准化活动，参与制定商用密码国际标准，推进商用密码中国标准与国外标准之间的转化运用，鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。

其他领域的标准涉及商用密码的，应当与商用密码国家标准、行业标准保持协调。

第十一条 从事商用密码活动，应当符合有关法律、行政法规、商用密码强制性国家标准，以及自我声明公开标准的技术要求。

国家鼓励在商用密码活动中采用商用密码推荐性国家标准、行业标准，提升商用密码的防护能力，维护用户的合法权益。

第三章检测认证

第十二条 国家推进商用密码检测认证体系建设，鼓励在商用密码活动中自愿接受商用密码检测认证。

第十三条 从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动，面向社会出具具有证明作用的数据、结果的机构，应当经国家密码管理部门认定，依法取得商用密码检测机构资质。

第十四条 取得商用密码检测机构资质，应当符合下列条件：

（一）具有企业法人或者事业单位法人资格；

（二）具有与从事商用密码检测活动相适应的资金、场所、设备设施、专业人员和专业能力；

（三）具有保证商用密码检测活动有效运行的管理体系和保障措施。

第十五条 申请商用密码检测机构资质，应当向国家密码管理部门提出书面申请，并提交符合本条例第十四条规定条件的证明材料。

国家密码管理部门应当自受理申请之日起二十个工作日内，对申请材料进行审查，组织对申请人进行技术评审， 并作出是否准予认定的决定。技术评审所需时间不计算在本条规定的期限内。

第十六条商用密码检测机构应当按照法律、行政法规和商用密码检测技术规范、规则，在批准范围内独立、公正、科学、诚信地开展商用密码检测，对出具的检测数据、结果负责，并定期向国家密码管理部门报送检测实施情况。

商用密码检测技术规范、规则由国家密码管理部门制定并公布。

第十七条 国务院市场监督管理部门会同国家密码管理部门建立国家统一推行的商用密码认证制度，实行商用密码产品、服务、管理体系认证，制定并公布认证目录和技术规范、规则。

第十八条 从事商用密码认证活动的机构，应当经国务院市场监督管理部门征求国家密码管理部门意见后认定，依法取得商用密码认证机构资质。

取得商用密码认证机构资质，应当向国务院市场监督管理部门提出书面申请。申请人除应当符合法律、行政法规和国家有关规定要求的认证机构基本条件外，还应当具备与从事商用密码认证活动相适应的商用密码检测、检查、标准研制与验证等专业能力。

第十九条商用密码认证机构应当按照法律、行政法规和商用密码认证技术规范、规则，在批准范围内独立、公正、科学、诚信地开展商用密码认证，对出具的认证结论负责，并定期向国务院市场监督管理部门和国家密码管理部门报送认证实施情况。

商用密码认证机构应当对其认证的商用密码产品、服务、管理体系实施有效的跟踪监督，以保证通过认证的商用密码产品、服务、管理体系持续符合认证要求。

第二十条 涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关键设备和网络安全专用产品目录，由具备资格的商用密码检测、认证机构检测认证合格后，方可销售或者提供。

第二十一条 商用密码服务使用网络关键设备和网络安全专用产品的，应当经商用密码认证机构对该商用密码服务认证合格。

第四章电子认证

第二十二条 采用商用密码技术提供电子认证服务，应当具有与使用密码相适应的场所、设备设施、专业人员、专业能力、管理体系和保障措施，依法取得国家密码管理部门同意使用密码的证明文件。

第二十三条 电子认证服务机构应当按照法律、行政法规和电子认证服务密码使用技术规范、规则，使用密码提供电子认证服务，保证其电子认证服务密码使用持续符合要求。

第二十四条 采用商用密码技术从事电子政务电子认证服务的机构，应当经国家密码管理部门认定，依法取得电子政务电子认证服务机构资质。

第二十五条 取得电子政务电子认证服务机构资质，应当符合下列条件：

（一）具有企业法人或者事业单位法人资格；

（二）具有与从事电子政务电子认证服务活动及其使用密码相适应的资金、场所、设备设施和专业人员；

（三）具有为政务活动提供长期电子政务电子认证服务的信誉和能力；

（四）具有保证电子政务电子认证服务活动及其使用密码安全运行的管理体系和保障措施。

第二十六条 申请电子政务电子认证服务机构资质，应当向国家密码管理部门提出书面申请，并提交符合本条例第二十五条规定条件的证明材料。

国家密码管理部门应当自受理申请之日起二十个工作日内，对申请材料进行审查，组织对申请人进行技术评审，并作出是否准予认定的决定。技术评审所需时间不计算在本条规定的期限内。

第二十七条 外商投资电子政务电子认证服务，影响或者可能影响国家安全的，应当依法进行外商投资安全审查。

第二十八条 电子政务电子认证服务机构应当按照法律、行政法规和电子政务电子认证服务技术规范、规则，在批准范围内提供电子政务电子认证服务，并定期向所在地省级密码管理部门报送服务实施情况。

电子政务电子认证服务技术规范、规则由国家密码管理部门制定并公布。

第二十九条 国家建立统一的电子认证信任机制，推动电子认证服务互信互认。

国家密码管理部门负责电子认证信任源的规划和管理。

第三十条密码管理部门会同有关部门负责政务活动中使用电子签名、数据电文的管理。

政务活动中使用的可靠的电子签名，与手写签名或者盖章具有同等的法律效力。政务活动中的电子公文、电子印章、电子证照等的电子认证，应当由依法设立的电子政务电子认证服务机构提供服务。

第五章进出口

第三十一条 涉及国家安全、社会公共利益且具有加密保护功能的商用密码，列入《商用密码进口许可清单》，实施进口许可。涉及国家安全、社会公共利益或者中国承担国际义务的商用密码，列入《商用密码出口管制清单》，实施出口管制。

《商用密码进口许可清单》和《商用密码出口管制清单》由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。

第三十二条 进口《商用密码进口许可清单》或者出口《商用密码出口管制清单》中的商用密码，应当向国务院商务主管部门申请领取两用物项进出口许可证。

商用密码的过境、转运、通运、再出口，在境外与保税区、出口加工区等海关特殊监管区域之间进出，或者在境外与出口监管仓库、保税物流中心等保税监管场所之间进出的，适用前款规定。

第三十三条 进口《商用密码进口许可清单》或者出口商用密码出口管制清单》中的商用密码产品时，应当向海关交验两用物项进出口许可证，并按照国家有关规定办理报关手续。

未向海关交验两用物项进出口许可证，海关有证据表明进出口产品可能属于商用密码进口许可或者出口管制范围的，应当向进出口经营者提出质疑；海关可以向国务院商务主管部门、国家密码管理部门提出组织鉴别，并根据国务院商务主管部门、国家密码管理部门作出的鉴别结论依法处置。在鉴别或者质疑期间，海关对进出口产品不予放行。

第三十四条 申请商用密码进出口许可，应当向国务院商务主管部门提出书面申请，并提交有关证明材料。

国务院商务主管部门会同国家密码管理部门依法对申请进行审查，并作出是否准予许可的决定。

第六章应用促进

第三十五条 国家鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全，鼓励使用经检测认证合格的商用密码。

任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的商用密码保障系统，不得利用商用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。

第三十六条 国家支持网络产品、服务使用商用密码提升安全性，支持并规范商用密码在信息领域新技术、新业态、新模式中的应用。

第三十七条 国家建立商用密码应用促进协调机制，加强对商用密码应用的统筹指导。国家机关和涉及商用密码工作的单位在其职责范围内负责本机关、本单位或者本系统的商用密码应用和安全保障工作。

密码管理部门会同有关部门加强商用密码应用信息采集、风险评估、信息通报和重大事项会商，并加强与网络安全监测预警和信息通报的衔接。

第三十八条 非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

前款所列网络与信息系统通过商用密码应用安全性评估方可投入运行，运行后每年至少进行一次评估，评估情况报送所在地设区的市级密码管理部门备案。

商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接，避免重复评估、测评。

第三十九条 非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统，应当使用经检测认证合格的商用密码产品、服务，使用列入商用密码技术指导目录的商用密码技术。

第四十条 关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当依法通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

第七章监督管理

第四十一条 密码管理部门依法组织对商用密码活动进行监督检查，对国家机关和涉及商用密码工作的单位的商用密码相关工作进行指导和监督。

第四十二条 密码管理部门和有关部门建立商用密码监督管理协作机制，加强商用密码监督检查、指导、监督等工作的协调配合。

第四十三条 密码管理部门和有关部门依法开展商用密码监督检查，可以行使下列职权：

（一）进入商用密码活动场所实施现场检查；

（二）向当事人的法定代表人、主要负责人和其他有关人员调查、了解有关情况；

（三）查阅、复制有关合同、票据、账簿以及其他有关资料；

（四）对违法从事商用密码活动的场所、设备设施、产品等予以查封或者扣押；

（五）委托商用密码检测、认证机构对商用密码专业事项进行鉴定。采取查封、扣押措施的，应当及时查清事实、依法作出处理决定。

第四十四条 密码管理部门和有关部门推进商用密码监督管理与社会信用体系相衔接，依法建立推行商用密码市场主体信用记录、信用分级分类监管、失信惩戒以及信用修复等机制。

第四十五条 商用密码检测、认证机构和电子政务电子认证服务机构及其工作人员，应当对其在商用密码活动中所知悉的国家秘密和商业秘密承担保密义务。

密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息，并对其在履行职责中知悉的商业秘密和个人隐私严格保密，不得泄露或者非法向他人提供。

第四十六条 密码管理部门和有关部门依法开展商用密码监督管理，相关单位和人员应当予以配合，任何单位和个人不得非法干预和阻挠。

第四十七条 任何单位或者个人有权向密码管理部门和有关部门举报违反本条例的行为。密码管理部门和有关部门接到举报，应当及时核实、处理，并为举报人保密。

第八章法律责任

第四十八条 违反本条例规定，未经认定面向社会开展商用密码检测活动，或者未经认定从事电子政务电子认证服务的，由密码管理部门责令停止违法行为，给予警告，没收违法产品和违法所得；违法所得三十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足三十万元的，可以并处十万元以上三十万元以下罚款。

违反本条例规定，未经认定开展商用密码认证活动的， 由市场监督管理部门会同密码管理部门依照前款规定予以处罚。

第四十九条 商用密码检测机构开展商用密码检测，有下列情形之一的，由密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得；违法所得三十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足三十万元的，可以并处十万元以上三十万元以下罚款；情节严重的，责令停业整顿，直至吊销商用密码检测机构资质：

（一）超出批准范围；

（二）存在影响检测独立、公正、诚信的行为；

（三）出具的检测数据、结果失实；

（四）拒不报送或者不如实报送实施情况；

（五）未履行保密义务；

（六）其他违反法律、行政法规和商用密码检测技术规范、规则开展商用密码检测的情形。

第五十条 商用密码认证机构开展商用密码认证，有下列情形之一的，由市场监督管理部门会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得；违法所得三十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足三十万元的，可以并处十万元以上三十万元以下罚款；情节严重的，责令停业整顿，直至吊销商用密码认证机构资质：

（一）超出批准范围；

（二）存在影响认证独立、公正、诚信的行为；

（三）出具的认证结论失实；

（四）拒不报送或者不如实报送实施情况；

（五）未对其认证的商用密码产品、服务、管理体系实施有效的跟踪监督；

（六）未履行保密义务；

（七）其他违反法律、行政法规和商用密码认证技术规范、规则开展商用密码认证的情形。

第五十一条 违反本条例第二十条、第二十一条规定， 销售或者提供未经检测认证合格的商用密码产品、服务的， 由市场监督管理部门会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得；违法所得十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足十万元的，可以并处三万元以上十万元以下罚款。

第五十二条 电子认证服务机构违反法律、行政法规和电子认证服务密码使用技术规范、规则使用密码的，由密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得；违法所得三十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足三十万元的，可以并处十万元以上三十万元以下罚款；情节严重的，依法吊销电子认证服务使用密码的证明文件。

第五十三条 电子政务电子认证服务机构开展电子政务电子认证服务，有下列情形之一的，由密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得；违法所得三十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足三十万元的，可以并处十万元以上三十万元以下罚款；情节严重的，责令停业整顿，直至吊销电子政务电子认证服务机构资质：

（一）超出批准范围；

（二）拒不报送或者不如实报送实施情况；

（三）未履行保密义务；

（四）其他违反法律、行政法规和电子政务电子认证服务技术规范、规则提供电子政务电子认证服务的情形。

第五十四条 电子签名人或者电子签名依赖方因依据电子政务电子认证服务机构提供的电子签名认证服务在政务活动中遭受损失，电子政务电子认证服务机构不能证明自己无过错的，承担赔偿责任。

第五十五条 政务活动中的电子公文、电子印章、电子证照等的电子认证违反本条例第三十条规定，未由依法设立的电子政务电子认证服务机构提供服务的，由密码管理部门责令改正，给予警告；拒不改正或者有其他严重情节的，由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。有关国家机关、单位应当将处分或者处理情况书面告知密码管理部门。

第五十六条 违反本条例规定进出口商用密码的，由国务院商务主管部门或者海关依法予以处罚。

第五十七条 窃取他人加密保护的信息，非法侵入他人的商用密码保障系统，或者利用商用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的，由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。

第五十八条 非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统的运营者，违反本条例第三十八条、第三十九条规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者有其他严重情节的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

第五十九条 关键信息基础设施的运营者违反本条例第四十条规定，使用未经安全审查或者安全审查未通过的产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第六十条 无正当理由拒不接受、不配合或者干预、阻挠密码管理部门、有关部门的商用密码监督管理的，由密码管理部门、有关部门责令改正，给予警告；拒不改正或者有其他严重情节的，处十万元以上三十万元以下罚款；情节特别严重的，责令停业整顿，直至吊销相关资质。

第六十一条 国家机关有本条例第五十八条、第五十九条、第六十条所列违法情形的，由密码管理部门、有关部门责令改正，给予警告；拒不改正或者有其他严重情节的，由密码管理部门、有关部门建议有关国家机关对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。有关国家机关应当将处分或者处理情况书面告知密码管理部门、有关部门。

第六十二条 密码管理部门和有关部门的工作人员在商用密码工作中滥用职权、玩忽职守、徇私舞弊，或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的，依法给予处分。

第六十三条 违反本条例规定，构成犯罪的，依法追究刑事责任；给他人造成损害的，依法承担民事责任。

第九章附则

第六十四条 本条例自   年   月   日起施行。1999年10月7日国务院发布的《商用密码管理条例》同时废止。