目 录 第一章 总 则 第二章 核心密码、普通密码 第三章 商(shāng)用(yòng)密码 第四章 法律责任 第五章 附 则 第一章 总 则 第一条 為(wèi)了规范密码应用(yòng)和管理(lǐ),促进密码事业发展,保障网络与信息安全,维护國(guó)家安全和社会公共利益,保护公民(mín)、法人和其他(tā)组织的合法权益,制定本法。 第二条 本法所称密码,是指采用(yòng)特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服務(wù)。 第三条 密码工作坚持总體(tǐ)國(guó)家安全观,遵循统一领导、分(fēn)级负责,创新(xīn)发展、服務(wù)大局,依法管理(lǐ)、保障安全的原则。 第四条 坚持中國(guó)共产党对密码工作的领导。中央密码工作领导机构对全國(guó)密码工作实行统一领导,制定國(guó)家密码工作重大方针政策,统筹协调國(guó)家密码重大事项和重要工作,推进國(guó)家密码法治建设。 第五条 國(guó)家密码管理(lǐ)部门负责管理(lǐ)全國(guó)的密码工作。县级以上地方各级密码管理(lǐ)部门负责管理(lǐ)本行政區(qū)域的密码工作。 國(guó)家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。 第六条 國(guó)家对密码实行分(fēn)类管理(lǐ)。 密码分(fēn)為(wèi)核心密码、普通密码和商(shāng)用(yòng)密码。 第七条 核心密码、普通密码用(yòng)于保护國(guó)家秘密信息,核心密码保护信息的最高密级為(wèi)绝密级,普通密码保护信息的最高密级為(wèi)机密级。 核心密码、普通密码属于國(guó)家秘密。密码管理(lǐ)部门依照本法和有(yǒu)关法律、行政法规、國(guó)家有(yǒu)关规定对核心密码、普通密码实行严格统一管理(lǐ)。 第八条 商(shāng)用(yòng)密码用(yòng)于保护不属于國(guó)家秘密的信息。 公民(mín)、法人和其他(tā)组织可(kě)以依法使用(yòng)商(shāng)用(yòng)密码保护网络与信息安全。 第九条 國(guó)家鼓励和支持密码科(kē)學(xué)技术研究和应用(yòng),依法保护密码领域的知识产权,促进密码科(kē)學(xué)技术进步和创新(xīn)。 國(guó)家加强密码人才培养和队伍建设,对在密码工作中作出突出贡献的组织和个人,按照國(guó)家有(yǒu)关规定给予表彰和奖励。 第十条 國(guó)家采取多(duō)种形式加强密码安全教育,将密码安全教育纳入國(guó)民(mín)教育體(tǐ)系和公務(wù)员教育培训體(tǐ)系,增强公民(mín)、法人和其他(tā)组织的密码安全意识。 第十一条 县级以上人民(mín)政府应当将密码工作纳入本级國(guó)民(mín)经济和社会发展规划,所需经费列入本级财政预算。 第十二条 任何组织或者个人不得窃取他(tā)人加密保护的信息或者非法侵入他(tā)人的密码保障系统。 任何组织或者个人不得利用(yòng)密码从事危害國(guó)家安全、社会公共利益、他(tā)人合法权益等违法犯罪活动。 第二章 核心密码、普通密码 第十三条 國(guó)家加强核心密码、普通密码的科(kē)學(xué)规划、管理(lǐ)和使用(yòng),加强制度建设,完善管理(lǐ)措施,增强密码安全保障能(néng)力。 第十四条 在有(yǒu)線(xiàn)、无線(xiàn)通信中传递的國(guó)家秘密信息,以及存储、处理(lǐ)國(guó)家秘密信息的信息系统,应当依照法律、行政法规和國(guó)家有(yǒu)关规定使用(yòng)核心密码、普通密码进行加密保护、安全认证。 第十五条 从事核心密码、普通密码科(kē)研、生产、服務(wù)、检测、装备、使用(yòng)和销毁等工作的机构(以下统称密码工作机构)应当按照法律、行政法规、國(guó)家有(yǒu)关规定以及核心密码、普通密码标准的要求,建立健全安全管理(lǐ)制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全。 第十六条 密码管理(lǐ)部门依法对密码工作机构的核心密码、普通密码工作进行指导、监督和检查,密码工作机构应当配合。 第十七条 密码管理(lǐ)部门根据工作需要会同有(yǒu)关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商(shāng)和应急处置等协作机制,确保核心密码、普通密码安全管理(lǐ)的协同联动和有(yǒu)序高效。 密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的,应当立即采取应对措施,并及时向保密行政管理(lǐ)部门、密码管理(lǐ)部门报告,由保密行政管理(lǐ)部门、密码管理(lǐ)部门会同有(yǒu)关部门组织开展调查、处置,并指导有(yǒu)关密码工作机构及时消除安全隐患。 第十八条 國(guó)家加强密码工作机构建设,保障其履行工作职责。 國(guó)家建立适应核心密码、普通密码工作需要的人员录用(yòng)、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理(lǐ)制度。 第十九条 密码管理(lǐ)部门因工作需要,按照國(guó)家有(yǒu)关规定,可(kě)以提请公安、交通运输、海关等部门对核心密码、普通密码有(yǒu)关物(wù)品和人员提供免检等便利,有(yǒu)关部门应当予以协助。 第二十条 密码管理(lǐ)部门和密码工作机构应当建立健全严格的监督和安全审查制度,对其工作人员遵守法律和纪律等情况进行监督,并依法采取必要措施,定期或者不定期组织开展安全审查。 第三章 商(shāng)用(yòng)密码 第二十一条 國(guó)家鼓励商(shāng)用(yòng)密码技术的研究开发、學(xué)术交流、成果转化和推广应用(yòng),健全统一、开放、竞争、有(yǒu)序的商(shāng)用(yòng)密码市场體(tǐ)系,鼓励和促进商(shāng)用(yòng)密码产业发展。 各级人民(mín)政府及其有(yǒu)关部门应当遵循非歧视原则,依法平等对待包括外商(shāng)投资企业在内的商(shāng)用(yòng)密码科(kē)研、生产、销售、服務(wù)、进出口等单位(以下统称商(shāng)用(yòng)密码从业单位)。國(guó)家鼓励在外商(shāng)投资过程中基于自愿原则和商(shāng)业规则开展商(shāng)用(yòng)密码技术合作。行政机关及其工作人员不得利用(yòng)行政手段强制转让商(shāng)用(yòng)密码技术。 商(shāng)用(yòng)密码的科(kē)研、生产、销售、服務(wù)和进出口,不得损害國(guó)家安全、社会公共利益或者他(tā)人合法权益。 第二十二条 國(guó)家建立和完善商(shāng)用(yòng)密码标准體(tǐ)系。 國(guó)務(wù)院标准化行政主管部门和國(guó)家密码管理(lǐ)部门依据各自职责,组织制定商(shāng)用(yòng)密码國(guó)家标准、行业标准。 國(guó)家支持社会团體(tǐ)、企业利用(yòng)自主创新(xīn)技术制定高于國(guó)家标准、行业标准相关技术要求的商(shāng)用(yòng)密码团體(tǐ)标准、企业标准。 第二十三条 國(guó)家推动参与商(shāng)用(yòng)密码國(guó)际标准化活动,参与制定商(shāng)用(yòng)密码國(guó)际标准,推进商(shāng)用(yòng)密码中國(guó)标准与國(guó)外标准之间的转化运用(yòng)。 國(guó)家鼓励企业、社会团體(tǐ)和教育、科(kē)研机构等参与商(shāng)用(yòng)密码國(guó)际标准化活动。 第二十四条 商(shāng)用(yòng)密码从业单位开展商(shāng)用(yòng)密码活动,应当符合有(yǒu)关法律、行政法规、商(shāng)用(yòng)密码强制性國(guó)家标准以及该从业单位公开标准的技术要求。 國(guó)家鼓励商(shāng)用(yòng)密码从业单位采用(yòng)商(shāng)用(yòng)密码推荐性國(guó)家标准、行业标准,提升商(shāng)用(yòng)密码的防护能(néng)力,维护用(yòng)户的合法权益。 第二十五条 國(guó)家推进商(shāng)用(yòng)密码检测认证體(tǐ)系建设,制定商(shāng)用(yòng)密码检测认证技术规范、规则,鼓励商(shāng)用(yòng)密码从业单位自愿接受商(shāng)用(yòng)密码检测认证,提升市场竞争力。 商(shāng)用(yòng)密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商(shāng)用(yòng)密码检测认证技术规范、规则开展商(shāng)用(yòng)密码检测认证。 商(shāng)用(yòng)密码检测、认证机构应当对其在商(shāng)用(yòng)密码检测认证中所知悉的國(guó)家秘密和商(shāng)业秘密承担保密义務(wù)。 第二十六条 涉及國(guó)家安全、國(guó)计民(mín)生、社会公共利益的商(shāng)用(yòng)密码产品,应当依法列入网络关键设备和网络安全专用(yòng)产品目录,由具备资格的机构检测认证合格后,方可(kě)销售或者提供。商(shāng)用(yòng)密码产品检测认证适用(yòng)《中华人民(mín)共和國(guó)网络安全法》的有(yǒu)关规定,避免重复检测认证。 商(shāng)用(yòng)密码服務(wù)使用(yòng)网络关键设备和网络安全专用(yòng)产品的,应当经商(shāng)用(yòng)密码认证机构对该商(shāng)用(yòng)密码服務(wù)认证合格。 第二十七条 法律、行政法规和國(guó)家有(yǒu)关规定要求使用(yòng)商(shāng)用(yòng)密码进行保护的关键信息基础设施,其运营者应当使用(yòng)商(shāng)用(yòng)密码进行保护,自行或者委托商(shāng)用(yòng)密码检测机构开展商(shāng)用(yòng)密码应用(yòng)安全性评估。商(shāng)用(yòng)密码应用(yòng)安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。 关键信息基础设施的运营者采購(gòu)涉及商(shāng)用(yòng)密码的网络产品和服務(wù),可(kě)能(néng)影响國(guó)家安全的,应当按照《中华人民(mín)共和國(guó)网络安全法》的规定,通过國(guó)家网信部门会同國(guó)家密码管理(lǐ)部门等有(yǒu)关部门组织的國(guó)家安全审查。 第二十八条 國(guó)務(wù)院商(shāng)務(wù)主管部门、國(guó)家密码管理(lǐ)部门依法对涉及國(guó)家安全、社会公共利益且具有(yǒu)加密保护功能(néng)的商(shāng)用(yòng)密码实施进口许可(kě),对涉及國(guó)家安全、社会公共利益或者中國(guó)承担國(guó)际义務(wù)的商(shāng)用(yòng)密码实施出口管制。商(shāng)用(yòng)密码进口许可(kě)清单和出口管制清单由國(guó)務(wù)院商(shāng)務(wù)主管部门会同國(guó)家密码管理(lǐ)部门和海关总署制定并公布。 大众消费类产品所采用(yòng)的商(shāng)用(yòng)密码不实行进口许可(kě)和出口管制制度。 第二十九条 國(guó)家密码管理(lǐ)部门对采用(yòng)商(shāng)用(yòng)密码技术从事電(diàn)子政務(wù)電(diàn)子认证服務(wù)的机构进行认定,会同有(yǒu)关部门负责政務(wù)活动中使用(yòng)電(diàn)子签名、数据電(diàn)文(wén)的管理(lǐ)。 第三十条 商(shāng)用(yòng)密码领域的行业协会等组织依照法律、行政法规及其章程的规定,為(wèi)商(shāng)用(yòng)密码从业单位提供信息、技术、培训等服務(wù),引导和督促商(shāng)用(yòng)密码从业单位依法开展商(shāng)用(yòng)密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。 第三十一条 密码管理(lǐ)部门和有(yǒu)关部门建立日常监管和随机抽查相结合的商(shāng)用(yòng)密码事中事后监管制度,建立统一的商(shāng)用(yòng)密码监督管理(lǐ)信息平台,推进事中事后监管与社会信用(yòng)體(tǐ)系相衔接,强化商(shāng)用(yòng)密码从业单位自律和社会监督。 密码管理(lǐ)部门和有(yǒu)关部门及其工作人员不得要求商(shāng)用(yòng)密码从业单位和商(shāng)用(yòng)密码检测、认证机构向其披露源代码等密码相关专有(yǒu)信息,并对其在履行职责中知悉的商(shāng)业秘密和个人隐私严格保密,不得泄露或者非法向他(tā)人提供。 第四章 法律责任 第三十二条 违反本法第十二条规定,窃取他(tā)人加密保护的信息,非法侵入他(tā)人的密码保障系统,或者利用(yòng)密码从事危害國(guó)家安全、社会公共利益、他(tā)人合法权益等违法活动的,由有(yǒu)关部门依照《中华人民(mín)共和國(guó)网络安全法》和其他(tā)有(yǒu)关法律、行政法规的规定追究法律责任。 第三十三条 违反本法第十四条规定,未按照要求使用(yòng)核心密码、普通密码的,由密码管理(lǐ)部门责令改正或者停止违法行為(wèi),给予警告;情节严重的,由密码管理(lǐ)部门建议有(yǒu)关國(guó)家机关、单位对直接负责的主管人员和其他(tā)直接责任人员依法给予处分(fēn)或者处理(lǐ)。 第三十四条 违反本法规定,发生核心密码、普通密码泄密案件的,由保密行政管理(lǐ)部门、密码管理(lǐ)部门建议有(yǒu)关國(guó)家机关、单位对直接负责的主管人员和其他(tā)直接责任人员依法给予处分(fēn)或者处理(lǐ)。 违反本法第十七条第二款规定,发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未立即采取应对措施,或者未及时报告的,由保密行政管理(lǐ)部门、密码管理(lǐ)部门建议有(yǒu)关國(guó)家机关、单位对直接负责的主管人员和其他(tā)直接责任人员依法给予处分(fēn)或者处理(lǐ)。 第三十五条 商(shāng)用(yòng)密码检测、认证机构违反本法第二十五条第二款、第三款规定开展商(shāng)用(yòng)密码检测认证的,由市场监督管理(lǐ)部门会同密码管理(lǐ)部门责令改正或者停止违法行為(wèi),给予警告,没收违法所得;违法所得三十万元以上的,可(kě)以并处违法所得一倍以上三倍以下罚款;没有(yǒu)违法所得或者违法所得不足三十万元的,可(kě)以并处十万元以上三十万元以下罚款;情节严重的,依法吊销相关资质。 第三十六条 违反本法第二十六条规定,销售或者提供未经检测认证或者检测认证不合格的商(shāng)用(yòng)密码产品,或者提供未经认证或者认证不合格的商(shāng)用(yòng)密码服務(wù)的,由市场监督管理(lǐ)部门会同密码管理(lǐ)部门责令改正或者停止违法行為(wèi),给予警告,没收违法产品和违法所得;违法所得十万元以上的,可(kě)以并处违法所得一倍以上三倍以下罚款;没有(yǒu)违法所得或者违法所得不足十万元的,可(kě)以并处三万元以上十万元以下罚款。 第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用(yòng)商(shāng)用(yòng)密码,或者未按照要求开展商(shāng)用(yòng)密码应用(yòng)安全性评估的,由密码管理(lǐ)部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。 关键信息基础设施的运营者违反本法第二十七条第二款规定,使用(yòng)未经安全审查或者安全审查未通过的产品或者服務(wù)的,由有(yǒu)关主管部门责令停止使用(yòng),处采購(gòu)金额一倍以上十倍以下罚款;对直接负责的主管人员和其他(tā)直接责任人员处一万元以上十万元以下罚款。 第三十八条 违反本法第二十八条实施进口许可(kě)、出口管制的规定,进出口商(shāng)用(yòng)密码的,由國(guó)務(wù)院商(shāng)務(wù)主管部门或者海关依法予以处罚。 第三十九条 违反本法第二十九条规定,未经认定从事電(diàn)子政務(wù)電(diàn)子认证服務(wù)的,由密码管理(lǐ)部门责令改正或者停止违法行為(wèi),给予警告,没收违法产品和违法所得;违法所得三十万元以上的,可(kě)以并处违法所得一倍以上三倍以下罚款;没有(yǒu)违法所得或者违法所得不足三十万元的,可(kě)以并处十万元以上三十万元以下罚款。 第四十条 密码管理(lǐ)部门和有(yǒu)关部门、单位的工作人员在密码工作中滥用(yòng)职权、玩忽职守、徇私舞弊,或者泄露、非法向他(tā)人提供在履行职责中知悉的商(shāng)业秘密和个人隐私的,依法给予处分(fēn)。 第四十一条 违反本法规定,构成犯罪的,依法追究刑事责任;给他(tā)人造成损害的,依法承担民(mín)事责任。 第五章 附 则 第四十二条 國(guó)家密码管理(lǐ)部门依照法律、行政法规的规定,制定密码管理(lǐ)规章。 第四十三条 中國(guó)人民(mín)解放军和中國(guó)人民(mín)武装警察部队的密码工作管理(lǐ)办法,由中央军事委员会根据本法制定。 第四十四条 本法自2020年1月1日起施行。
评论
成為(wèi)第一个评论者
发表评论
评论