商用密碼管理條例

中華人民共和國國務院令

第760號

《商用密碼管理條例》已經2023年4月14日國務院第4次常務會議修訂通過，現予公布，自2023年7月1日起施行。

總理  李  強    

2023年4月27日  

第一章  總  則

第一條  為了規范商用密碼應用和管理，鼓勵和促進商用密碼產業發展，保障網絡與信息安全，維護國家安全和社會公共利益，保護公民、法人和其他組織的合法權益，根據《中華人民共和國密碼法》等法律，制定本條例。

第二條  在中華人民共和國境內的商用密碼科研、生產、銷售、服務、檢測、認証、進出口、應用等活動及監督管理，適用本條例。

本條例所稱商用密碼，是指採用特定變換的方法對不屬於國家秘密的信息等進行加密保護、安全認証的技術、產品和服務。

第三條  堅持中國共產黨對商用密碼工作的領導，貫徹落實總體國家安全觀。國家密碼管理部門負責管理全國的商用密碼工作。縣級以上地方各級密碼管理部門負責管理本行政區域的商用密碼工作。

網信、商務、海關、市場監督管理等有關部門在各自職責范圍內負責商用密碼有關管理工作。

第四條  國家加強商用密碼人才培養，建立健全商用密碼人才發展體制機制和人才評價制度，鼓勵和支持密碼相關學科和專業建設，規范商用密碼社會化培訓，促進商用密碼人才交流。

第五條  各級人民政府及其有關部門應當採取多種形式加強商用密碼宣傳教育，增強公民、法人和其他組織的密碼安全意識。

第六條  商用密碼領域的學會、行業協會等社會組織依照法律、行政法規及其章程的規定，開展學術交流、政策研究、公共服務等活動，加強學術和行業自律，推動誠信建設，促進行業健康發展。

密碼管理部門應當加強對商用密碼領域社會組織的指導和支持。

第二章  科技創新與標准化

第七條  國家建立健全商用密碼科學技術創新促進機制，支持商用密碼科學技術自主創新，對作出突出貢獻的組織和個人按照國家有關規定予以表彰和獎勵。

國家依法保護商用密碼領域的知識產權。從事商用密碼活動，應當增強知識產權意識，提高運用、保護和管理知識產權的能力。

國家鼓勵在外商投資過程中基於自願原則和商業規則開展商用密碼技術合作。行政機關及其工作人員不得利用行政手段強制轉讓商用密碼技術。

第八條  國家鼓勵和支持商用密碼科學技術成果轉化和產業化應用，建立和完善商用密碼科學技術成果信息匯交、發布和應用情況反饋機制。

第九條  國家密碼管理部門組織對法律、行政法規和國家有關規定要求使用商用密碼進行保護的網絡與信息系統所使用的密碼算法、密碼協議、密鑰管理機制等商用密碼技術進行審查鑒定。

第十條  國務院標准化行政主管部門和國家密碼管理部門依據各自職責，組織制定商用密碼國家標准、行業標准，對商用密碼團體標准的制定進行規范、引導和監督。國家密碼管理部門依據職責，建立商用密碼標准實施信息反饋和評估機制，對商用密碼標准實施進行監督檢查。

國家推動參與商用密碼國際標准化活動，參與制定商用密碼國際標准，推進商用密碼中國標准與國外標准之間的轉化運用，鼓勵企業、社會團體和教育、科研機構等參與商用密碼國際標准化活動。

其他領域的標准涉及商用密碼的，應當與商用密碼國家標准、行業標准保持協調。

第十一條  從事商用密碼活動，應當符合有關法律、行政法規、商用密碼強制性國家標准，以及自我聲明公開標准的技術要求。

國家鼓勵在商用密碼活動中採用商用密碼推薦性國家標准、行業標准，提升商用密碼的防護能力，維護用戶的合法權益。

第三章  檢測認証

第十二條  國家推進商用密碼檢測認証體系建設，鼓勵在商用密碼活動中自願接受商用密碼檢測認証。

第十三條  從事商用密碼產品檢測、網絡與信息系統商用密碼應用安全性評估等商用密碼檢測活動，向社會出具具有証明作用的數據、結果的機構，應當經國家密碼管理部門認定，依法取得商用密碼檢測機構資質。

第十四條  取得商用密碼檢測機構資質，應當符合下列條件：

（一）具有法人資格﹔

（二）具有與從事商用密碼檢測活動相適應的資金、場所、設備設施、專業人員和專業能力﹔

（三）具有保証商用密碼檢測活動有效運行的管理體系。

第十五條  申請商用密碼檢測機構資質，應當向國家密碼管理部門提出書面申請，並提交符合本條例第十四條規定條件的材料。

國家密碼管理部門應當自受理申請之日起20個工作日內，對申請進行審查，並依法作出是否准予認定的決定。

需要對申請人進行技術評審的，技術評審所需時間不計算在本條規定的期限內。國家密碼管理部門應當將所需時間書面告知申請人。

第十六條  商用密碼檢測機構應當按照法律、行政法規和商用密碼檢測技術規范、規則，在批准范圍內獨立、公正、科學、誠信地開展商用密碼檢測，對出具的檢測數據、結果負責，並定期向國家密碼管理部門報送檢測實施情況。

商用密碼檢測技術規范、規則由國家密碼管理部門制定並公布。

第十七條  國務院市場監督管理部門會同國家密碼管理部門建立國家統一推行的商用密碼認証制度，實行商用密碼產品、服務、管理體系認証，制定並公布認証目錄和技術規范、規則。

第十八條  從事商用密碼認証活動的機構，應當依法取得商用密碼認証機構資質。

申請商用密碼認証機構資質，應當向國務院市場監督管理部門提出書面申請。申請人除應當符合法律、行政法規和國家有關規定要求的認証機構基本條件外，還應當具有與從事商用密碼認証活動相適應的檢測、檢查等技術能力。

國務院市場監督管理部門在審查商用密碼認証機構資質申請時，應當征求國家密碼管理部門的意見。

第十九條  商用密碼認証機構應當按照法律、行政法規和商用密碼認証技術規范、規則，在批准范圍內獨立、公正、科學、誠信地開展商用密碼認証，對出具的認証結論負責。

商用密碼認証機構應當對其認証的商用密碼產品、服務、管理體系實施有效的跟蹤調查，以保証通過認証的商用密碼產品、服務、管理體系持續符合認証要求。

第二十條  涉及國家安全、國計民生、社會公共利益的商用密碼產品，應當依法列入網絡關鍵設備和網絡安全專用產品目錄，由具備資格的商用密碼檢測、認証機構檢測認証合格后，方可銷售或者提供。

第二十一條  商用密碼服務使用網絡關鍵設備和網絡安全專用產品的，應當經商用密碼認証機構對該商用密碼服務認証合格。

第四章  電子認証

第二十二條  採用商用密碼技術提供電子認証服務，應當具有與使用密碼相適應的場所、設備設施、專業人員、專業能力和管理體系，依法取得國家密碼管理部門同意使用密碼的証明文件。

第二十三條  電子認証服務機構應當按照法律、行政法規和電子認証服務密碼使用技術規范、規則，使用密碼提供電子認証服務，保証其電子認証服務密碼使用持續符合要求。

電子認証服務密碼使用技術規范、規則由國家密碼管理部門制定並公布。

第二十四條  採用商用密碼技術從事電子政務電子認証服務的機構，應當經國家密碼管理部門認定，依法取得電子政務電子認証服務機構資質。

第二十五條  取得電子政務電子認証服務機構資質，應當符合下列條件：

（一）具有企業法人或者事業單位法人資格﹔

（二）具有與從事電子政務電子認証服務活動及其使用密碼相適應的資金、場所、設備設施和專業人員﹔

（三）具有為政務活動提供長期電子政務電子認証服務的能力﹔

（四）具有保証電子政務電子認証服務活動及其使用密碼安全運行的管理體系。

第二十六條  申請電子政務電子認証服務機構資質，應當向國家密碼管理部門提出書面申請，並提交符合本條例第二十五條規定條件的材料。

國家密碼管理部門應當自受理申請之日起20個工作日內，對申請進行審查，並依法作出是否准予認定的決定。

需要對申請人進行技術評審的，技術評審所需時間不計算在本條規定的期限內。國家密碼管理部門應當將所需時間書面告知申請人。

第二十七條  外商投資電子政務電子認証服務，影響或者可能影響國家安全的，應當依法進行外商投資安全審查。

第二十八條  電子政務電子認証服務機構應當按照法律、行政法規和電子政務電子認証服務技術規范、規則，在批准范圍內提供電子政務電子認証服務，並定期向主要辦事機構所在地省、自治區、直轄市密碼管理部門報送服務實施情況。

電子政務電子認証服務技術規范、規則由國家密碼管理部門制定並公布。

第二十九條  國家建立統一的電子認証信任機制。國家密碼管理部門負責電子認証信任源的規劃和管理，會同有關部門推動電子認証服務互信互認。

第三十條  密碼管理部門會同有關部門負責政務活動中使用電子簽名、數據電文的管理。

政務活動中電子簽名、電子印章、電子証照等涉及的電子認証服務，應當由依法設立的電子政務電子認証服務機構提供。

第五章  進出口

第三十一條  涉及國家安全、社會公共利益且具有加密保護功能的商用密碼，列入商用密碼進口許可清單，實施進口許可。涉及國家安全、社會公共利益或者中國承擔國際義務的商用密碼，列入商用密碼出口管制清單，實施出口管制。

商用密碼進口許可清單和商用密碼出口管制清單由國務院商務主管部門會同國家密碼管理部門和海關總署制定並公布。

大眾消費類產品所採用的商用密碼不實行進口許可和出口管制制度。

第三十二條  進口商用密碼進口許可清單中的商用密碼或者出口商用密碼出口管制清單中的商用密碼，應當向國務院商務主管部門申請領取進出口許可証。

商用密碼的過境、轉運、通運、再出口，在境外與綜合保稅區等海關特殊監管區域之間進出，或者在境外與出口監管倉庫、保稅物流中心等保稅監管場所之間進出的，適用前款規定。

第三十三條  進口商用密碼進口許可清單中的商用密碼或者出口商用密碼出口管制清單中的商用密碼時，應當向海關交驗進出口許可証，並按照國家有關規定辦理報關手續。

進出口經營者未向海關交驗進出口許可証，海關有証據表明進出口產品可能屬於商用密碼進口許可清單或者出口管制清單范圍的，應當向進出口經營者提出質疑﹔海關可以向國務院商務主管部門提出組織鑒別，並根據國務院商務主管部門會同國家密碼管理部門作出的鑒別結論依法處置。在鑒別或者質疑期間，海關對進出口產品不予放行。

第三十四條  申請商用密碼進出口許可，應當向國務院商務主管部門提出書面申請，並提交下列材料：

（一）申請人的法定代表人、主要經營管理人以及經辦人的身份証明﹔

（二）合同或者協議的副本﹔

（三）商用密碼的技術說明﹔

（四）最終用戶和最終用途証明﹔

（五）國務院商務主管部門規定提交的其他文件。

國務院商務主管部門應當自受理申請之日起45個工作日內，會同國家密碼管理部門對申請進行審查，並依法作出是否准予許可的決定。

對國家安全、社會公共利益或者外交政策有重大影響的商用密碼出口，由國務院商務主管部門會同國家密碼管理部門等有關部門報國務院批准。報國務院批准的，不受前款規定時限的限制。

第六章  應用促進

第三十五條  國家鼓勵公民、法人和其他組織依法使用商用密碼保護網絡與信息安全，鼓勵使用經檢測認証合格的商用密碼。

任何組織或者個人不得竊取他人加密保護的信息或者非法侵入他人的商用密碼保障系統，不得利用商用密碼從事危害國家安全、社會公共利益、他人合法權益等違法犯罪活動。

第三十六條  國家支持網絡產品和服務使用商用密碼提升安全性，支持並規范商用密碼在信息領域新技術、新業態、新模式中的應用。

第三十七條  國家建立商用密碼應用促進協調機制，加強對商用密碼應用的統籌指導。國家機關和涉及商用密碼工作的單位在其職責范圍內負責本機關、本單位或者本系統的商用密碼應用和安全保障工作。

密碼管理部門會同有關部門加強商用密碼應用信息收集、風險評估、信息通報和重大事項會商，並加強與網絡安全監測預警和信息通報的銜接。

第三十八條  法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，制定商用密碼應用方案，配備必要的資金和專業人員，同步規劃、同步建設、同步運行商用密碼保障系統，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。

前款所列關鍵信息基礎設施通過商用密碼應用安全性評估方可投入運行，運行后每年至少進行一次評估，評估情況按照國家有關規定報送國家密碼管理部門或者關鍵信息基礎設施所在地省、自治區、直轄市密碼管理部門備案。

第三十九條  法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，使用的商用密碼產品、服務應當經檢測認証合格，使用的密碼算法、密碼協議、密鑰管理機制等商用密碼技術應當通過國家密碼管理部門審查鑒定。

第四十條  關鍵信息基礎設施的運營者採購涉及商用密碼的網絡產品和服務，可能影響國家安全的，應當依法通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。

第四十一條  網絡運營者應當按照國家網絡安全等級保護制度要求，使用商用密碼保護網絡安全。國家密碼管理部門根據網絡的安全保護等級，確定商用密碼的使用、管理和應用安全性評估要求，制定網絡安全等級保護密碼標准規范。

第四十二條  商用密碼應用安全性評估、關鍵信息基礎設施安全檢測評估、網絡安全等級測評應當加強銜接，避免重復評估、測評。

第七章  監督管理

第四十三條  密碼管理部門依法組織對商用密碼活動進行監督檢查，對國家機關和涉及商用密碼工作的單位的商用密碼相關工作進行指導和監督。

第四十四條  密碼管理部門和有關部門建立商用密碼監督管理協作機制，加強商用密碼監督、檢查、指導等工作的協調配合。

第四十五條  密碼管理部門和有關部門依法開展商用密碼監督檢查，可以行使下列職權：

（一）進入商用密碼活動場所實施現場檢查﹔

（二）向當事人的法定代表人、主要負責人和其他有關人員調查、了解有關情況﹔

（三）查閱、復制有關合同、票據、賬簿以及其他有關資料。

第四十六條  密碼管理部門和有關部門推進商用密碼監督管理與社會信用體系相銜接，依法建立推行商用密碼經營主體信用記錄、信用分級分類監管、失信懲戒以及信用修復等機制。

第四十七條  商用密碼檢測、認証機構和電子政務電子認証服務機構及其工作人員，應當對其在商用密碼活動中所知悉的國家秘密和商業秘密承擔保密義務。

密碼管理部門和有關部門及其工作人員不得要求商用密碼科研、生產、銷售、服務、進出口等單位和商用密碼檢測、認証機構向其披露源代碼等密碼相關專有信息，並對其在履行職責中知悉的商業秘密和個人隱私嚴格保密，不得泄露或者非法向他人提供。

第四十八條  密碼管理部門和有關部門依法開展商用密碼監督管理，相關單位和人員應當予以配合，任何單位和個人不得非法干預和阻撓。

第四十九條  任何單位或者個人有權向密碼管理部門和有關部門舉報違反本條例的行為。密碼管理部門和有關部門接到舉報，應當及時核實、處理，並為舉報人保密。

第八章  法律責任

第五十條  違反本條例規定，未經認定向社會開展商用密碼檢測活動，或者未經認定從事電子政務電子認証服務的，由密碼管理部門責令改正或者停止違法行為，給予警告，沒收違法產品和違法所得﹔違法所得30萬元以上的，可以並處違法所得1倍以上3倍以下罰款﹔沒有違法所得或者違法所得不足30萬元的，可以並處10萬元以上30萬元以下罰款。

違反本條例規定，未經批准從事商用密碼認証活動的，由市場監督管理部門會同密碼管理部門依照前款規定予以處罰。

第五十一條  商用密碼檢測機構開展商用密碼檢測，有下列情形之一的，由密碼管理部門責令改正或者停止違法行為，給予警告，沒收違法所得﹔違法所得30萬元以上的，可以並處違法所得1倍以上3倍以下罰款﹔沒有違法所得或者違法所得不足30萬元的，可以並處10萬元以上30萬元以下罰款﹔情節嚴重的，依法吊銷商用密碼檢測機構資質：

（一）超出批准范圍﹔

（二）存在影響檢測獨立、公正、誠信的行為﹔

（三）出具的檢測數據、結果虛假或者失實﹔

（四）拒不報送或者不如實報送實施情況﹔

（五）未履行保密義務﹔

（六）其他違反法律、行政法規和商用密碼檢測技術規范、規則開展商用密碼檢測的情形。

第五十二條  商用密碼認証機構開展商用密碼認証，有下列情形之一的，由市場監督管理部門會同密碼管理部門責令改正或者停止違法行為，給予警告，沒收違法所得﹔違法所得30萬元以上的，可以並處違法所得1倍以上3倍以下罰款﹔沒有違法所得或者違法所得不足30萬元的，可以並處10萬元以上30萬元以下罰款﹔情節嚴重的，依法吊銷商用密碼認証機構資質：

（一）超出批准范圍﹔

（二）存在影響認証獨立、公正、誠信的行為﹔

（三）出具的認証結論虛假或者失實﹔

（四）未對其認証的商用密碼產品、服務、管理體系實施有效的跟蹤調查﹔

（五）未履行保密義務﹔

（六）其他違反法律、行政法規和商用密碼認証技術規范、規則開展商用密碼認証的情形。

第五十三條  違反本條例第二十條、第二十一條規定，銷售或者提供未經檢測認証或者檢測認証不合格的商用密碼產品，或者提供未經認証或者認証不合格的商用密碼服務的，由市場監督管理部門會同密碼管理部門責令改正或者停止違法行為，給予警告，沒收違法產品和違法所得﹔違法所得10萬元以上的，可以並處違法所得1倍以上3倍以下罰款﹔沒有違法所得或者違法所得不足10萬元的，可以並處3萬元以上10萬元以下罰款。

第五十四條  電子認証服務機構違反法律、行政法規和電子認証服務密碼使用技術規范、規則使用密碼的，由密碼管理部門責令改正或者停止違法行為，給予警告，沒收違法所得﹔違法所得30萬元以上的，可以並處違法所得1倍以上3倍以下罰款﹔沒有違法所得或者違法所得不足30萬元的，可以並處10萬元以上30萬元以下罰款﹔情節嚴重的，依法吊銷電子認証服務使用密碼的証明文件。

第五十五條  電子政務電子認証服務機構開展電子政務電子認証服務，有下列情形之一的，由密碼管理部門責令改正或者停止違法行為，給予警告，沒收違法所得﹔違法所得30萬元以上的，可以並處違法所得1倍以上3倍以下罰款﹔沒有違法所得或者違法所得不足30萬元的，可以並處10萬元以上30萬元以下罰款﹔情節嚴重的，責令停業整頓，直至吊銷電子政務電子認証服務機構資質：

（一）超出批准范圍﹔

（二）拒不報送或者不如實報送實施情況﹔

（三）未履行保密義務﹔

（四）其他違反法律、行政法規和電子政務電子認証服務技術規范、規則提供電子政務電子認証服務的情形。

第五十六條  電子簽名人或者電子簽名依賴方因依據電子政務電子認証服務機構提供的電子簽名認証服務在政務活動中遭受損失，電子政務電子認証服務機構不能証明自己無過錯的，承擔賠償責任。

第五十七條  政務活動中電子簽名、電子印章、電子証照等涉及的電子認証服務，違反本條例第三十條規定，未由依法設立的電子政務電子認証服務機構提供的，由密碼管理部門責令改正，給予警告﹔拒不改正或者有其他嚴重情節的，由密碼管理部門建議有關國家機關、單位對直接負責的主管人員和其他直接責任人員依法給予處分或者處理。有關國家機關、單位應當將處分或者處理情況書面告知密碼管理部門。

第五十八條  違反本條例規定進出口商用密碼的，由國務院商務主管部門或者海關依法予以處罰。

第五十九條  竊取他人加密保護的信息，非法侵入他人的商用密碼保障系統，或者利用商用密碼從事危害國家安全、社會公共利益、他人合法權益等違法活動的，由有關部門依照《中華人民共和國網絡安全法》和其他有關法律、行政法規的規定追究法律責任。

第六十條  關鍵信息基礎設施的運營者違反本條例第三十八條、第三十九條規定，未按照要求使用商用密碼，或者未按照要求開展商用密碼應用安全性評估的，由密碼管理部門責令改正，給予警告﹔拒不改正或者有其他嚴重情節的，處10萬元以上100萬元以下罰款，對直接負責的主管人員處1萬元以上10萬元以下罰款。

第六十一條  關鍵信息基礎設施的運營者違反本條例第四十條規定，使用未經安全審查或者安全審查未通過的涉及商用密碼的網絡產品或者服務的，由有關主管部門責令停止使用，處採購金額1倍以上10倍以下罰款﹔對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款。

第六十二條  網絡運營者違反本條例第四十一條規定，未按照國家網絡安全等級保護制度要求使用商用密碼保護網絡安全的，由密碼管理部門責令改正，給予警告﹔拒不改正或者導致危害網絡安全等后果的，處1萬元以上10萬元以下罰款，對直接負責的主管人員處5000元以上5萬元以下罰款。

第六十三條  無正當理由拒不接受、不配合或者干預、阻撓密碼管理部門、有關部門的商用密碼監督管理的，由密碼管理部門、有關部門責令改正，給予警告﹔拒不改正或者有其他嚴重情節的，處5萬元以上50萬元以下罰款，對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款﹔情節特別嚴重的，責令停業整頓，直至吊銷商用密碼許可証件。

第六十四條  國家機關有本條例第六十條、第六十一條、第六十二條、第六十三條所列違法情形的，由密碼管理部門、有關部門責令改正，給予警告﹔拒不改正或者有其他嚴重情節的，由密碼管理部門、有關部門建議有關國家機關對直接負責的主管人員和其他直接責任人員依法給予處分或者處理。有關國家機關應當將處分或者處理情況書面告知密碼管理部門、有關部門。

第六十五條  密碼管理部門和有關部門的工作人員在商用密碼工作中濫用職權、玩忽職守、徇私舞弊，或者泄露、非法向他人提供在履行職責中知悉的商業秘密、個人隱私、舉報人信息的，依法給予處分。

第六十六條  違反本條例規定，構成犯罪的，依法追究刑事責任﹔給他人造成損害的，依法承擔民事責任。

第九章  附  則

第六十七條  本條例自2023年7月1日起施行。

（新華社北京5月24日電）

《 人民日報 》（ 2023年05月25日 11 版）