第一章 總則
第一條 為了規范密碼應用和管理,促進(jìn)密碼事業(yè)發(fā)展,保障網(wǎng)絡(luò )與信息安全,維護國家安全和社會(huì )公共利益,保護公民、法人和其他組織的合法權益,制定本法。
第二條 本法所稱(chēng)密碼,是指采用特定變換的方法對信息等進(jìn)行加密保護、安全認證的技術(shù)、產(chǎn)品和服務(wù)。
第三條 密碼工作堅持總體國家安全觀(guān),遵循統一領(lǐng)導、分級負責,創(chuàng )新發(fā)展、服務(wù)大局,依法管理、保障安全的原則。
第四條 堅持中國共產(chǎn)黨對密碼工作的領(lǐng)導。中央密碼工作領(lǐng)導機構對全國密碼工作實(shí)行統一領(lǐng)導,制定國家密碼工作重大方針政策,統籌協(xié)調國家密碼重大事項和重要工作,推進(jìn)國家密碼法治建設。
第五條 國家密碼管理部門(mén)負責管理全國的密碼工作。縣級以上地方各級密碼管理部門(mén)負責管理本行政區域的密碼工作。
國家機關(guān)和涉及密碼工作的單位在其職責范圍內負責本機關(guān)、本單位或者本系統的密碼工作。
第六條 國家對密碼實(shí)行分類(lèi)管理。
密碼分為核心密碼、普通密碼和商用密碼。
第七條 核心密碼、普通密碼用于保護國家秘密信息,核心密碼保護信息的最高密級為絕密級,普通密碼保護信息的最高密級為機密級。
核心密碼、普通密碼屬于國家秘密。密碼管理部門(mén)依照本法和有關(guān)法律、行政法規、國家有關(guān)規定對核心密碼、普通密碼實(shí)行嚴格統一管理。
第八條 商用密碼用于保護不屬于國家秘密的信息。
公民、法人和其他組織可以依法使用商用密碼保護網(wǎng)絡(luò )與信息安全。
第九條 國家鼓勵和支持密碼科學(xué)技術(shù)研究和應用,依法保護密碼領(lǐng)域的知識產(chǎn)權,促進(jìn)密碼科學(xué)技術(shù)進(jìn)步和創(chuàng )新。
國家加強密碼人才培養和隊伍建設,對在密碼工作中作出突出貢獻的組織和個(gè)人,按照國家有關(guān)規定給予表彰和獎勵。
第十條 國家采取多種形式加強密碼安全教育,將密碼安全教育納入國民教育體系和公務(wù)員教育培訓體系,增強公民、法人和其他組織的密碼安全意識。
第十一條 縣級以上人民政府應當將密碼工作納入本級國民經(jīng)濟和社會(huì )發(fā)展規劃,所需經(jīng)費列入本級財政預算。
第十二條 任何組織或者個(gè)人不得竊取他人加密保護的信息或者非法侵入他人的密碼保障系統。
任何組織或者個(gè)人不得利用密碼從事危害國家安全、社會(huì )公共利益、他人合法權益等違法犯罪活動(dòng)。
第二章 核心密碼、普通密碼
第十三條 國家加強核心密碼、普通密碼的科學(xué)規劃、管理和使用,加強制度建設,完善管理措施,增強密碼安全保障能力。
第十四條 在有線(xiàn)、無(wú)線(xiàn)通信中傳遞的國家秘密信息,以及存儲、處理國家秘密信息的信息系統,應當依照法律、行政法規和國家有關(guān)規定使用核心密碼、普通密碼進(jìn)行加密保護、安全認證。
第十五條 從事核心密碼、普通密碼科研、生產(chǎn)、服務(wù)、檢測、裝備、使用和銷(xiāo)毀等工作的機構(以下統稱(chēng)密碼工作機構)應當按照法律、行政法規、國家有關(guān)規定以及核心密碼、普通密碼標準的要求,建立健全安全管理制度,采取嚴格的保密措施和保密責任制,確保核心密碼、普通密碼的安全。
第十六條 密碼管理部門(mén)依法對密碼工作機構的核心密碼、普通密碼工作進(jìn)行指導、監督和檢查,密碼工作機構應當配合。
第十七條 密碼管理部門(mén)根據工作需要會(huì )同有關(guān)部門(mén)建立核心密碼、普通密碼的安全監測預警、安全風(fēng)險評估、信息通報、重大事項會(huì )商和應急處置等協(xié)作機制,確保核心密碼、普通密碼安全管理的協(xié)同聯(lián)動(dòng)和有序高效。
密碼工作機構發(fā)現核心密碼、普通密碼泄密或者影響核心密碼、普通密碼安全的重大問(wèn)題、風(fēng)險隱患的,應當立即采取應對措施,并及時(shí)向保密行政管理部門(mén)、密碼管理部門(mén)報告,由保密行政管理部門(mén)、密碼管理部門(mén)會(huì )同有關(guān)部門(mén)組織開(kāi)展調查、處置,并指導有關(guān)密碼工作機構及時(shí)消除安全隱患。
第十八條 國家加強密碼工作機構建設,保障其履行工作職責。
國家建立適應核心密碼、普通密碼工作需要的人員錄用、選調、保密、考核、培訓、待遇、獎懲、交流、退出等管理制度。
第十九條 密碼管理部門(mén)因工作需要,按照國家有關(guān)規定,可以提請公安、交通運輸、海關(guān)等部門(mén)對核心密碼、普通密碼有關(guān)物品和人員提供免檢等便利,有關(guān)部門(mén)應當予以協(xié)助。
第二十條 密碼管理部門(mén)和密碼工作機構應當建立健全嚴格的監督和安全審查制度,對其工作人員遵守法律和紀律等情況進(jìn)行監督,并依法采取必要措施,定期或者不定期組織開(kāi)展安全審查。
第三章 商用密碼
第二十一條 國家鼓勵商用密碼技術(shù)的研究開(kāi)發(fā)、學(xué)術(shù)交流、成果轉化和推廣應用,健全統一、開(kāi)放、競爭、有序的商用密碼市場(chǎng)體系,鼓勵和促進(jìn)商用密碼產(chǎn)業(yè)發(fā)展。各級人民政府及其有關(guān)部門(mén)應當遵循非歧視原則,依法平等對待包括外商投資企業(yè)在內的商用密碼科研、生產(chǎn)、銷(xiāo)售、服務(wù)、進(jìn)出口等單位(以下統稱(chēng)商用密碼從業(yè)單位)。國家鼓勵在外商投資過(guò)程中基于自愿原則和商業(yè)規則開(kāi)展商用密碼技術(shù)合作。行政機關(guān)及其工作人員不得利用行政手段強制轉讓商用密碼技術(shù)。
商用密碼的科研、生產(chǎn)、銷(xiāo)售、服務(wù)和進(jìn)出口,不得損害國家安全、社會(huì )公共利益或者他人合法權益。
第二十二條 國家建立和完善商用密碼標準體系。國務(wù)院標準化行政主管部門(mén)和國家密碼管理部門(mén)依據各自職責,組織制定商用密碼國家標準、行業(yè)標準。國家支持社會(huì )團體、企業(yè)利用自主創(chuàng )新技術(shù)制定高于國家標準、行業(yè)標準相關(guān)技術(shù)要求的商用密碼團體標準、企業(yè)標準。
第二十三條 國家推動(dòng)參與商用密碼國際標準化活動(dòng),參與制定商用密碼國際標準,推進(jìn)商用密碼中國標準與國外標準之間的轉化運用。
國家鼓勵企業(yè)、社會(huì )團體和教育、科研機構等參與商用密碼國際標準化活動(dòng)。
第二十四條 商用密碼從業(yè)單位開(kāi)展商用密碼活動(dòng),應當符合有關(guān)法律、行政法規、商用密碼強制性國家標準以及該從業(yè)單位公開(kāi)標準的技術(shù)要求。國家鼓勵商用密碼從業(yè)單位采用商用密碼推薦性國家標準、行業(yè)標準,提升商用密碼的防護能力,維護用戶(hù)的合法權益。
第二十五條 國家推進(jìn)商用密碼檢測認證體系建設,制定商用密碼檢測認證技術(shù)規范、規則,鼓勵商用密碼從業(yè)單位自愿接受商用密碼檢測認證,提升市場(chǎng)競爭力。
商用密碼檢測、認證機構應當依法取得相關(guān)資質(zhì),并依照法律、行政法規的規定和商用密碼檢測認證技術(shù)規范、規則開(kāi)展商用密碼檢測認證。
商用密碼檢測、認證機構應當對其在商用密碼檢測認證中所知悉的國家秘密和商業(yè)秘密承擔保密義務(wù)。
第二十六條 涉及國家安全、國計民生、社會(huì )公共利益的商用密碼產(chǎn)品,應當依法列入網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄,由具備資格的機構檢測認證合格后,方可銷(xiāo)售或者提供。
商用密碼產(chǎn)品檢測認證適用《中華人民共和國網(wǎng)絡(luò )安全法》的有關(guān)規定,避免重復檢測認證。 商用密碼服務(wù)使用網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品的,應當經(jīng)商用密碼認證機構對該商用密碼服務(wù)認證合格。
第二十七條 法律、行政法規和國家有關(guān)規定要求使用商用密碼進(jìn)行保護的關(guān)鍵信息基礎設施,其運營(yíng)者應當使用商用密碼進(jìn)行保護,自行或者委托商用密碼檢測機構開(kāi)展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關(guān)鍵信息基礎設施安全檢測評估、網(wǎng)絡(luò )安全等級測評制度相銜接,避免重復評估、測評。
關(guān)鍵信息基礎設施的運營(yíng)者采購涉及商用密碼的網(wǎng)絡(luò )產(chǎn)品和服務(wù),可能影響國家安全的,應當按照《中華人民共和國網(wǎng)絡(luò )安全法》的規定,通過(guò)國家網(wǎng)信部門(mén)會(huì )同國家密碼管理部門(mén)等有關(guān)部門(mén)組織的國家安全審查。
第二十八條 國務(wù)院商務(wù)主管部門(mén)、國家密碼管理部門(mén)依法對涉及國家安全、社會(huì )公共利益且具有加密保護功能的商用密碼實(shí)施進(jìn)口許可,對涉及國家安全、社會(huì )公共利益或者中國承擔國際義務(wù)的商用密碼實(shí)施出口管制。商用密碼進(jìn)口許可清單和出口管制清單由國務(wù)院商務(wù)主管部門(mén)會(huì )同國家密碼管理部門(mén)和海關(guān)總署制定并公布。
大眾消費類(lèi)產(chǎn)品所采用的商用密碼不實(shí)行進(jìn)口許可和出口管制制度。
第二十九條 國家密碼管理部門(mén)對采用商用密碼技術(shù)從事電子政務(wù)電子認證服務(wù)的機構進(jìn)行認定,會(huì )同有關(guān)部門(mén)負責政務(wù)活動(dòng)中使用電子簽名、數據電文的管理。
第三十條 商用密碼領(lǐng)域的行業(yè)協(xié)會(huì )等組織依照法律、行政法規及其章程的規定,為商用密碼從業(yè)單位提供信息、技術(shù)、培訓等服務(wù),引導和督促商用密碼從業(yè)單位依法開(kāi)展商用密碼活動(dòng),加強行業(yè)自律,推動(dòng)行業(yè)誠信建設,促進(jìn)行業(yè)健康發(fā)展。
第三十一條 密碼管理部門(mén)和有關(guān)部門(mén)建立日常監管和隨機抽查相結合的商用密碼事中事后監管制度,建立統一的商用密碼監督管理信息平臺,推進(jìn)事中事后監管與社會(huì )信用體系相銜接,強化商用密碼從業(yè)單位自律和社會(huì )監督。密碼管理部門(mén)和有關(guān)部門(mén)及其工作人員不得要求商用密碼從業(yè)單位和商用密碼檢測、認證機構向其披露源代碼等密碼相關(guān)專(zhuān)有信息,并對其在履行職責中知悉的商業(yè)秘密和個(gè)人隱私嚴格保密,不得泄露或者非法向他人提供。
第四章 法律責任
第三十二條 違反本法第十二條規定,竊取他人加密保護的信息,非法侵入他人的密碼保障系統,或者利用密碼從事危害國家安全、社會(huì )公共利益、他人合法權益等違法活動(dòng)的,由有關(guān)部門(mén)依照《中華人民共和國網(wǎng)絡(luò )安全法》和其他有關(guān)法律、行政法規的規定追究法律責任。
第三十三條 違反本法第十四條規定,未按照要求使用核心密碼、普通密碼的,由密碼管理部門(mén)責令改正或者停止違法行為,給予警告;情節嚴重的,由密碼管理部門(mén)建議有關(guān)國家機關(guān)、單位對直接負責的主管人員和其他直接責任人員依法給予處分或者處理。
第三十四條 違反本法規定,發(fā)生核心密碼、普通密碼泄密案件的,由保密行政管理部門(mén)、密碼管理部門(mén)建議有關(guān)國家機關(guān)、單位對直接負責的主管人員和其他直接責任人員依法給予處分或者處理違反本法第十七條第二款規定,發(fā)現核心密碼、普通密碼泄密或者影響核心密碼、普通密碼安全的重大問(wèn)題、風(fēng)險隱患,未立即采取應對措施,或者未及時(shí)報告的,由保密行政管理部門(mén)、密碼管理部門(mén)建議有關(guān)國家機關(guān)、單位對直接負責的主管人員和其他直接責任人員依法給予處分或者處理。
第三十五條 商用密碼檢測、認證機構違反本法第二十五條第二款、第三款規定開(kāi)展商用密碼檢測認證的,由市場(chǎng)監督管理部門(mén)會(huì )同密碼管理部門(mén)責令改正或者停止違法行為,給予警告,沒(méi)收違法所得;違法所得三十萬(wàn)元以上的,可以并處違法所得一倍以上三倍以下罰款;沒(méi)有違法所得或者違法所得不足三十萬(wàn)元的,可以并處十萬(wàn)元以上三十萬(wàn)元以下罰款;情節嚴重的,依法吊銷(xiāo)相關(guān)資質(zhì)。
第三十六條 違反本法第二十六條規定,銷(xiāo)售或者提供未經(jīng)檢測認證或者檢測認證不合格的商用密碼產(chǎn)品,或者提供未經(jīng)認證或者認證不合格的商用密碼服務(wù)的,由市場(chǎng)監督管理部門(mén)會(huì )同密碼管理部門(mén)責令改正或者停止違法行為,給予警告,沒(méi)收違法產(chǎn)品和違法所得;違法所得十萬(wàn)元以上的,可以并處違法所得一倍以上三倍以下罰款;沒(méi)有違法所得或者違法所得不足十萬(wàn)元的,可以并處三萬(wàn)元以上十萬(wàn)元以下罰款。
第三十七條 關(guān)鍵信息基礎設施的運營(yíng)者違反本法第二十七條第一款規定,未按照要求使用商用密碼,或者未按照要求開(kāi)展商用密碼應用安全性評估的,由密碼管理部門(mén)責令改正,給予警告;拒不改正或者導致危害網(wǎng)絡(luò )安全等后果的,處十萬(wàn)元以上一百萬(wàn)元以下罰款,對直接負責的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。
關(guān)鍵信息基礎設施的運營(yíng)者違反本法第二十七條第二款規定,使用未經(jīng)安全審查或者安全審查未通過(guò)的產(chǎn)品或者服務(wù)的,由有關(guān)主管部門(mén)責令停止使用,處采購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。
第三十八條 違反本法第二十八條實(shí)施進(jìn)口許可、出口管制的規定,進(jìn)出口商用密碼的,由國務(wù)院商務(wù)主管部門(mén)或者海關(guān)依法予以處罰。
第三十九條 違反本法第二十九條規定,未經(jīng)認定從事電子政務(wù)電子認證服務(wù)的,由密碼管理部門(mén)責令改正或者停止違法行為,給予警告,沒(méi)收違法產(chǎn)品和違法所得;違法所得三十萬(wàn)元以上的,可以并處違法所得一倍以上三倍以下罰款;沒(méi)有違法所得或者違法所得不足三十萬(wàn)元的,可以并處十萬(wàn)元以上三十萬(wàn)元以下罰款。
第四十條 密碼管理部門(mén)和有關(guān)部門(mén)、單位的工作人員在密碼工作中濫用職權、玩忽職守、徇私舞弊,或者泄露、非法向他人提供在履行職責中知悉的商業(yè)秘密和個(gè)人隱私的,依法給予處分。
第四十一條 違反本法規定,構成犯罪的,依法追究刑事責任;給他人造成損害的,依法承擔民事責任。
第五章 附則
第四十二條 國家密碼管理部門(mén)依照法律、行政法規的規定,制定密碼管理規章。
第四十三條 中國人民解放軍和中國人民武裝警察部隊的密碼工作管理辦法,由中央軍事委員會(huì )根據本法制定。
第四十四條 本法自2020年1月1日起施行。