商用密码管理条例.docx

《商用密码管理条例.docx》由会员分享，可在线阅读，更多相关《商用密码管理条例.docx（8页珍藏版）》请在第一文库网上搜索。

1、商用密码管理条例（1999年10月7日中华人民共和国国务院令第273号发布2023年4月27日中华人民共和国国务院令第760号修订）第一章总则第一条为了规范商用密码应用和管理，鼓励和促进商用密码产业发展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，根据中华人民共和国密码法等法律，制定本条例。第二条在中华人民共和国境内的商用密码科研、生产、销售、服务、检测、认证、进出口、应用等活动及监督管理，适用本条例。本条例所称商用密码，是指采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。第三条坚持中国共产党对商用密码工作的领导，贯彻

2、落实总体国家安全观。国家密码管理部门负责管理全国的商用密码工作。县级以上地方各级密码管理部门负责管理本行政区域的商用密码工作。网信、商务、海关、市场监督管理等有关部门在各自职责范围内负责商用密码有关管理工作。第四条国家加强商用密码人才培养，建立健全商用密码人才发展体制机制和人才评价制度，鼓励和支持密码相关学科和专业建设，规范商用密码社会化培训，促进商用密码人才交流。第五条各级人民政府及其有关部门应当采取多种形式加强商用密码宣传教育，增强公民、法人和其他组织的密码安全意识。第六条商用密码领域的学会、行业协会等社会组织依照法律、行政法规及其章程的规定，开展学术交流、政策研究、公共服务等活动，加强学

3、术和行业自律，推动诚信建设，促进行业健康发展。密码管理部门应当加强对商用密码领域社会组织的指导和支持。第二章科技创新与标准化第七条国家建立健全商用密码科学技术创新促进机制，支持商用密码科学技术自主创新，对作出突出贡献的组织和个人按照国家有关规定予以表彰和奖励。国家依法保护商用密码领域的知识产权。从事商用密码活动，应当增强知识产权意识，提高运用、保护和管理知识产权的能力。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。第八条国家鼓励和支持商用密码科学技术成果转化和产业化应用，建立和完善商用密码科学技术成果信息汇交、发布

4、和应用情况反馈机制。第九条国家密码管理部门组织对法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统所使用的密码算法、密码协议、密钥管理机制等商用密码技术进行审查鉴定。第十条国务院标准化行政主管部门和国家密码管理部门依据各自职责，组织制定商用密码国家标准、行业标准，对商用密码团体标准的制定进行规范、引导和监督。国家密码管理部门依据职责，建立商用密码标准实施信息反馈和评估机制，对商用密码标准实施进行监督检查。国家推动参与商用密码国际标准化活动，参与制定商用密码国际标准，推进商用密码中国标准与国外标准之间的转化运用，鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。其

5、他领域的标准涉及商用密码的，应当与商用密码国家标准、行业标准保持协调。第十一条从事商用密码活动，应当符合有关法律、行政法规、商用密码强制性国家标准，以及自我声明公开标准的技术要求。国家鼓励在商用密码活动中采用商用密码推荐性国家标准、行业标准，提升商用密码的防护能力，维护用户的合法权益。第三章枪测认证第十二条国家推进商用密码检测认证体系建设，鼓励在商用密码活动中自愿接受商用密码检测认证。第十三条从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动，向社会出具具有证明作用的数据、结果的机构，应当经国家密码管理部门认定，依法取得商用密码检测机构资质。第十四条取得商用密码检测机

6、构资质，应当符合下列条件：（-）具有法人资格；（二）具有与从事商用密码检测活动相适应的资金、场所、设备设施、专业人员和专业能力；（三）具有保证商用密码检测活动有效运行的管理体系。第十五条申请商用密码检测机构资质，应当向国家密码管理部门提出书面申请，并提交符合本条例第十四条规定条件的材料。国家密码管理部门应当自受理申请之日起20个工作日内，对申请进行审查,并依法作出是否准予认定的决定。需要对申请人进行技术评审的，技术评审所需时间不计算在本条规定的期限内。国家密码管理部门应当将所需时间书面告知申请人。第十六条商用密码检测机构应当按照法律、行政法规和商用密码检测技术规范、规则，在批准范围内独立、公正

7、、科学、诚信地开展商用密码检测，对出具的检测数据、结果负责，并定期向国家密码管理部门报送检测实施情况。商用密码检测技术规范、规则由国家密码管理部门制定并公布。第十七条国务院市场监督管理部门会同国家密码管理部门建立国家统一推行的商用密码认证制度，实行商用密码产品、服务、管理体系认证，制定并公布认证目录和技术规范、规则。第十八条从事商用密码认证活动的机构，应当依法取得商用密码认证机构资质。申请商用密码认证机构资质，应当向国务院市场监督管理部门提出书面申清。申请人除应当符合法律、行政法规和国家有关规定要求的认证机构基本条件外，还应当具有与从事商用密码认证活动相适应的检测、检查等技术能力。国务院市场监

8、督管理部门在审查商用密码认证机构资质申请时，应当征求国家密码管理部门的意见。第十九条商用密码认证机构应当按照法律、行政法规和商用密码认证技术规范、规则，在批准范围内独立、公正、科学、诚信地开展商用密码认证，对出具的认证结论负责。商用密码认证机构应当对其认证的商用密码产品、服务、管理体系实施有效的跟踪调查，以保证通过认证的商用密码产品、服务、管理体系持续符合认证要求。第二十条涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关键设备和网络安全专用产品目录，由具备资格的商用密码检测、认证机构检测认证合格后，方可销售或者提供。第二十一条商用密码服务使用网络关键设备和网络安全专用产品

9、的，应当经商用密码认证机构对该商用密码服务认证合格。第四章电子认证第二十二条采用商用密码技术提供电子认证服务，应当具有与使用密码相适应的场所、设备设施、专业人员、专业能力和管理体系，依法取得国家密码管理部门同意使用密码的证明文件。第二十三条电子认证服务机构应当按照法律、行政法规和电子认证服务密码使用技术规范、规则，使用密码提供电子认证服务，保证其电子认证服务密码使用持续符合要求。电子认证服务密码使用技术规范、规则由国家密码管理部门制定并公布。第二十四条采用商用密码技术从事电子政务电子认证服务的机构，应当经国家密码管理部门认定，依法取得电子政务电子认证服务机构资质。第二十五条取得电子政务电子认证

10、服务机构资质，应当符合下列条件：（一）具有企业法人或者事业单位法人资格；（二）具有与从事电子政务电子认证服务活动及其使用密码相适应的资金、场所、设备设施和专业人员；（三）具有为政务活动提供长期电子政务电子认证服务的能力；（四）具有保证电子政务电子认证服务活动及其使用密码安全运行的管理体系。第二十六条申请电子政务电子认证服务机构资质，应当向国家密码管理部门提出书面申请，并提交符合本条例第二十五条规定条件的材料。国家密码管理部门应当自受理申请之日起20个工作日内，对申请进行审查,并依法作出是否准予认定的决定。需要对申请人进行技术评审的，技术评审所需时间不计算在本条规定的期限内。国家密码管理部门应当

11、将所需时间书面告知申请人。第二十七条外商投资电子政务电子认证服务，影响或者可能影响国家安全的，应当依法进行外商投资安全审查。第二十八条电子政务电子认证服务机构应当按照法律、行政法规和电子政务电子认证服务技术规范、规则，在批准范围内提供电子政务电子认证服务，并定期向主要办事机构所在地省、自治区、直辖市密码管理部门报送服务实施情况。电子政务电子认证服务技术规范、规则由国家密码管理部门制定并公布。第二十九条国家建立统一的电子认证信任机制。国家密码管理部门负责电子认证信任源的规划和管理，会同有关部门推动电子认证服务互信互认。第三十条密码管理部门会同有关部门负责政务活动中使用电子签名、数据电文的管理。政

12、务活动中电子签名、电子印章、电子证照等涉及的电子认证服务，应当由依法设立的电子政务电子认证服务机构提供。第五章进出口第三十一条涉及国家安全、社会公共利益且具有加密保护功能的商用密码，列入商用密码进口许可清单，实施进口许可。涉及国家安全、社会公共利益或者中国承担国际义务的商用密码，列入商用密码出口管制清单，实施出口管制。商用密码进口许可清单和商用密码出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。第三十二条进口商用密码进口许可清单中的商用密码或者出口商用密码出口管制清单中的商用密码，应当向国务院商务主管部门申请

13、领取进出口许可证。商用密码的过境、转运、通运、再出口，在境外与综合保税区等海关特殊监管区域之间进出，或者在境外与出口监管仓库、保税物流中心等保税监管场所之间进出的，适用前款规定。第三十三条进口商用密码进口许可清单中的商用密码或者出口商用密码出口管制清单中的商用密码时，应当向海关交验进出口许可证，并按照国家有关规定办理报关手续。进出口经营者未向海关交验进出口许可证，海关有证据表明进出口产品可能属于商用密码进口许可清单或者出口管制清单范围的，应当向进出口经营者提出质疑；海关可以向国务院商务主管部门提出组织鉴别，并根据国务院商务主管部门会同国家密码管理部门作出的鉴别结论依法处置。在鉴别或者质疑期间，

14、海关对进出口产品不予放行。第三十四条申请商用密码进出口许可，应当向国务院商务主管部门提出书面申请，并提交下列材料：（一）申请人的法定代表人、主要经营管理人以及经办人的身份证明；（二）合同或者协议的副本；（三）商用密码的技术说明；（四）最终用户和最终用途证明；（五）国务院商务主管部门规定提交的其他文件。国务院商务主管部门应当自受理申请之日起45个工作日内，会同国家密码管理部门对申请进行审查，并依法作出是否准予许可的决定。对国家安全、社会公共利益或者外交政策有重大影响的商用密码出口，由国务院商务主管部门会同国家密码管理部门等有关部门报国务院批准。报国务院批准的，不受前款规定时限的限制。第六章应用促

15、进第三十五条国家鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全，鼓励使用经检测认证合格的商用密码。任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的商用密码保障系统，不得利用商用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。第三十六条国家支持网络产品和服务使用商用密码提升安全性，支持并规范商用密码在信息领域新技术、新业态、新模式中的应用。第三十七条国家建立商用密码应用促进协调机制，加强对商用密码应用的统筹指导。国家机关和涉及商用密码工作的单位在其职责范围内负责本机关、本单位或者本系统的商用密码应用和安全保障工作。密码管理部门会同有关部门加强商用密码应用信

16、息收集、风险评估、信息通报和重大事项会商，并加强与网络安全监测预警和信息通报的衔接。第三十八条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码应用安全性评估。前款所列关键信息基础设施通过商用密码应用安全性评估方可投入运行，运行后每年至少进行一次评估，评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案。第三十九条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，使用的商用密码产品