⽬ 录
第⼀章 总 则
第⼆章 核⼼密码、普通密码
第三章 商⽤密码
第四章 法律责任
第五章 附 则
第⼀章 总 则
第⼀条 为了规范密码应⽤和管理,促进密码事业发展,保障
⽹络与信息安全,维护国家安全和社会公共利益,保护公⺠、法⼈和其他组织的合法权益,制定本法。
第⼆条 本法所称密码,是指采⽤特定变换的⽅法对信息等进
⾏加密保护、安全认证的技术、产品和服务。
第三条 密码⼯作坚持总体国家安全观,遵循统⼀领导、分级负责,创新发展、服务⼤局,依法管理、保障安全的原则。
第四条 坚持中国共产党对密码⼯作的领导。中央密码⼯作领导机构对全国密码⼯作实⾏统⼀领导,制定国家密码⼯作重⼤⽅针 政策,统筹协调国家密码重⼤事项和重要⼯作,推进国家密码法治 建设。
第五条 国家密码管理部⻔负责管理全国的密码⼯作。县级以上地⽅各级密码管理部⻔负责管理本⾏政区域的密码⼯作。
国家机关和涉及密码⼯作的单位在其职责范围内负责本机关、 本单位或者本系统的密码⼯作。
第六条 国家对密码实⾏分类管理。
密码分为核⼼密码、普通密码和商⽤密码。
第七条 核⼼密码、普通密码⽤于保护国家秘密信息,核⼼密码保护信息的最⾼密级为绝密级,普通密码保护信息的最⾼密级为 机密级。
核⼼密码、普通密码属于国家秘密。密码管理部⻔依照本法和 有关法律、⾏政法规、国家有关规定对核⼼密码、普通密码实⾏严格统⼀管理。
第⼋条 商⽤密码⽤于保护不属于国家秘密的信息。公⺠、法⼈和其他组织可以依法使⽤商⽤密码保护⽹络与信息 安全。
第九条 国家⿎励和⽀持密码科学技术研究和应⽤,依法保护密码领域的知识产权,促进密码科学技术进步和创新。国家加强密码⼈才培养和队伍建设,对在密码⼯作中作出突出 贡献的组织和个⼈,按照国家有关规定给予表彰和奖励。
第⼗条 国家采取多种形式加强密码安全教育,将密码安全教育纳⼊国⺠教育体系和公务员教育培训体系,增强公⺠、法⼈和其 他组织的密码安全意识。
第⼗⼀条 县级以上⼈⺠政府应当将密码⼯作纳⼊本级国⺠经济和社会发展规划,所需经费列⼊本级财政预算。
第⼗⼆条 任何组织或者个⼈不得窃取他⼈加密保护的信息或者⾮法侵⼊他⼈的密码保障系统。任何组织或者个⼈不得利⽤密码从事危害国家安全、社会公共利益、他⼈合法权益等违法犯罪活动。
第二章 核⼼密码、普通密码
第⼗三条 国家加强核⼼密码、普通密码的科学规划、管理和使⽤,加强制度建设,完善管理措施,增强密码安全保障能⼒。
第⼗四条 在有线、⽆线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、⾏政法规和国 家有关规定使⽤核⼼密码、普通密码进⾏加密保护、安全认证。
第⼗五条 从事核⼼密码、普通密码科研、⽣产、服务、检测、装备、使⽤和销毁等⼯作的机构(以下统称密码⼯作机构)应 当按照法律、⾏政法规、国家有关规定以及核⼼密码、普通密码标 准的要求,建⽴健全安全管理制度,采取严格的保密措施和保密责任制,确保核⼼密码、普通密码的安全。
第⼗六条 密码管理部⻔依法对密码⼯作机构的核⼼密码、普通密码⼯作进⾏指导、监督和检查,密码⼯作机构应当配合。
第⼗七条 密码管理部⻔根据⼯作需要会同有关部⻔建⽴核⼼密码、普通密码的安全监测预警、安全⻛险评估、信息通报、重⼤ 事项会商和应急处置等协作机制,确保核⼼密码、普通密码安全管 理的协同联动和有序⾼效。
密码⼯作机构发现核⼼密码、普通密码泄密或者影响核⼼密码、普通密码安全的重⼤问题、⻛险隐患的,应当⽴即采取应对措 施,并及时向保密⾏政管理部⻔、密码管理部⻔报告,由保密⾏政 管理部⻔、密码管理部⻔会同有关部⻔组织开展调查、处置,并指 导有关密码⼯作机构及时消除安全隐患。
第⼗⼋条 国家加强密码⼯作机构建设,保障其履⾏⼯作职责。
国家建⽴适应核⼼密码、普通密码⼯作需要的⼈员录⽤、选 调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。
第⼗九条 密码管理部⻔因⼯作需要,按照国家有关规定,可以提请公安、交通运输、海关等部⻔对核⼼密码、普通密码有关物 品和⼈员提供免检等便利,有关部⻔应当予以协助。
第⼆⼗条 密码管理部⻔和密码⼯作机构应当建⽴健全严格的监督和安全审查制度,对其⼯作⼈员遵守法律和纪律等情况进⾏监 督,并依法采取必要措施,定期或者不定期组织开展安全审查。
第三章 商⽤密码
第⼆⼗⼀条 国家⿎励商⽤密码技术的研究开发、学术交流、成果转化和推⼴应⽤,健全统⼀、开放、竞争、有序的商⽤密码市 场体系,⿎励和促进商⽤密码产业发展。
各级⼈⺠政府及其有关部⻔应当遵循⾮歧视原则,依法平等对 待包括外商投资企业在内的商⽤密码科研、⽣产、销售、服务、进 出⼝等单位(以下统称商⽤密码从业单位)。国家⿎励在外商投资过程中基于⾃愿原则和商业规则开展商⽤密码技术合作。⾏政机关 及其⼯作⼈员不得利⽤⾏政⼿段强制转让商⽤密码技术。
商⽤密码的科研、⽣产、销售、服务和进出⼝,不得损害国家安全、社会公共利益或者他⼈合法权益。
第⼆⼗⼆条 国家建⽴和完善商⽤密码标准体系。
国务院标准化⾏政主管部⻔和国家密码管理部⻔依据各⾃职 责,组织制定商⽤密码国家标准、⾏业标准。
国家⽀持社会团体、企业利⽤⾃主创新技术制定⾼于国家标 准、⾏业标准相关技术要求的商⽤密码团体标准、企业标准。
第⼆⼗三条 国家推动参与商⽤密码国际标准化活动,参与制定商⽤密码国际标准,推进商⽤密码中国标准与国外标准之间的转 化运⽤。
国家⿎励企业、社会团体和教育、科研机构等参与商⽤密码国际标准化活动。
第⼆⼗四条 商⽤密码从业单位开展商⽤密码活动,应当符合有关法律、⾏政法规、商⽤密码强制性国家标准以及该从业单位公 开标准的技术要求。
国家⿎励商 ⽤密码从业单位采⽤商⽤密码推荐性国家标准、
⾏业标准,提升商⽤密码的防护能⼒,维护⽤户的合法权益。
第⼆⼗五条 国家推进商⽤密码检测认证体系建设,制定商⽤密码检测认证技术规范、规则,⿎励商⽤密码从业单位⾃愿接受商
⽤密码检测认证,提升市场竞争⼒。
商⽤密码检测、认证机构应当依法取得相关资质,并依照法律、⾏政法规的规定和商⽤密码检测认证技术规范、规则开展商⽤ 密码检测认证。
商⽤密码检测、认证机构应当对其在商⽤密码检测认证中所知 悉的国家秘密和商业秘密承担保密义务。
第⼆⼗六条 涉及国家安全、国计⺠⽣、社会公共利益的商⽤密码产品,应当依法列⼊⽹络关键设备和⽹络安全专⽤产品⽬录, 由具备资格的机构检测认证合格后,⽅可销售或者提供。商⽤密码 产品检测认证适⽤《中华⼈⺠共和国⽹络安全法》的有关规定,避 免重复检测认证。
商⽤密码服务使⽤⽹络关键设备和⽹络安全专⽤产品的,应当经商⽤密码认证机构对该商⽤密码服务认证合格。
第⼆⼗七条 法律、⾏政法规和国家有关规定要求使⽤商⽤密码进⾏保护的关键信息基础设施,其运营者应当使⽤商⽤密码进⾏ 保护,⾃⾏或者委托商⽤密码检测机构开展商⽤密码应⽤安全性评
估。商⽤密码应⽤安全性评估应当与关键信息基础设施安全检测评 估、⽹络安全等级测评制度相衔接,避免重复评估、测评。
关键信息基础设施的运营者采购涉及商⽤密码的⽹络产品和服 务,可能影响国家安全的,应当按照《中华⼈⺠共和国⽹络安全法》的规定,通过国家⽹信部⻔会同国家密码管理部⻔等有关部⻔ 组织的国家安全审查。
第⼆⼗⼋条 国务院商务主管部⻔、国家密码管理部⻔依法对涉及国家安全、社会公共利益且具有加密保护功能的商⽤密码实施 进⼝许可,对涉及国家安全、社会公共利益或者中国承担国际义务 的商⽤密码实施出⼝管制。商⽤密码进⼝许可清单和出⼝管制清单 由国务院商务主管部⻔会同国家密码管理部⻔和海关总署制定并公 布。
⼤众消费类产品所采⽤的商⽤密码不实⾏进⼝许可和出⼝管制 制度。
第⼆⼗九条 国家密码管理部⻔对采⽤商⽤密码技术从事电⼦政务电⼦认证服务的机构进⾏认定,会同有关部⻔负责政务活动中 使⽤电⼦签名、数据电⽂的管理。
第三⼗条 商⽤密码领域的⾏业协会等组织依照法律、⾏政法规及其章程的规定,为商⽤密码从业单位提供信息、技术、培训等 服务,引导和督促商⽤密码从业单位依法开展商⽤密码活动,加强
⾏业⾃律,推动⾏业诚信建设,促进⾏业健康发展。
第三⼗⼀条 密码管理部⻔和有关部⻔建⽴⽇常监管和随机抽查相结合的商⽤密码事中事后监管制度,建⽴统⼀的商⽤密码监督 管理信息平台,推进事中事后监管与社会信⽤体系相衔接,强化商
⽤密码从业单位⾃律和社会监督。
密码管理部⻔和有关部⻔及其⼯作⼈员不得要求商⽤密码从业 单位和商⽤密码检测、认证机构向其披露源代码等密码相关专有信
息,并对其在履⾏职责中知悉的商业秘密和个⼈隐私严格保密,不得泄露或者⾮法向他⼈提供。
第四章 法律责任
第三⼗⼆条 违反本法第⼗⼆条规定,窃取他⼈加密保护的信息,⾮法侵⼊他⼈的密码保障系统,或者利⽤密码从事危害国家安 全、社会公共利益、他⼈合法权益等违法活动的,由有关部⻔依照
《中华⼈⺠共和国⽹络安全法》和其他有关法律、⾏政法规的规定 追究法律责任。
第三⼗三条 违反本法第⼗四条规定,未按照要求使⽤核⼼密码、普通密码的,由密码管理部⻔责令改正或者停⽌违法⾏为,给 予警告;情节严重的,由密码管理部⻔建议有关国家机关、单位对 直接负责的主管⼈员和其他直接责任⼈员依法给予处分或者处理。
第三⼗四条 违反本法规定,发⽣核⼼密码、普通密码泄密案件的,由保密⾏政管理部⻔、密码管理部⻔建议有关国家机关、单 位对直接负责的主管⼈员和其他直接责任⼈员依法给予处分或者处 理。
违反本法第⼗七条第⼆款规定,发现核⼼密码、普通密码泄密 或者影响核⼼密码、普通密码安全的重⼤问题、⻛险隐患,未⽴即 采取应对措施,或者未及时报告的,由保密⾏政管理部⻔、密码管 理部⻔建议有关国家机关、单位对直接负责的主管⼈员和其他直接 责任⼈员依法给予处分或者处理。
第三⼗五条 商⽤密码检测、认证机构违反本法第⼆⼗五条第
⼆款、第三款规定开展商⽤密码检测认证的,由市场监督管理部⻔ 会同密码管理部⻔责令改正或者停⽌违法⾏为,给予警告,没收违 法所得;违法所得三⼗万元以上的,可以并处违法所得⼀倍以上三倍以下罚款;没有违法所得或者违法所得不⾜三⼗万元的,可以并处⼗万元以上三⼗万元以下罚款;情节严重的,依法吊销相关资 质。
第三⼗六条 违反本法第⼆⼗六条规定,销售或者提供未经检测认证或者检测认证不合格的商⽤密码产品,或者提供未经认证或 者认证不合格的商⽤密码服务的,由市场监督管理部⻔会同密码管 理部⻔责令改正或者停⽌违法⾏为,给予警告,没收违法产品和违 法所得;违法所得⼗万元以上的,可以并处违法所得⼀倍以上三倍以下罚款;没有违法所得或者违法所得不⾜⼗万元的,可以并处三万元以上⼗万元以下罚款。
第三⼗七条 关键信息基础设施的运营者违反本法第⼆⼗七条第⼀款规定,未按照要求使⽤商⽤密码,或者未按照要求开展商⽤ 密码应⽤安全性评估的,由密码管理部⻔责令改正,给予警告;拒不改正或者导致危害⽹络安全等后果的,处⼗万元以上⼀百万元以下罚款,对直接负责的主管⼈员处⼀万元以上⼗万元以下罚款。
关键信息基础设施的运营者违反本法第⼆⼗七条第⼆款规定, 使⽤未经安全审查或者安全审查未通过的产品或者服务的,由有关 主管部⻔责令停⽌使⽤,处采购⾦额⼀倍以上⼗倍以下罚款;对直接负责的主管⼈员和其他直接责任⼈员处⼀万元以上⼗万元以下罚款。
第三⼗⼋条 违反本法第⼆⼗⼋条实施进⼝许可、出⼝管制的规定,进出⼝商⽤密码的,由国务院商务主管部⻔或者海关依法予 以处罚。
第三⼗九条 违反本法第⼆⼗九条规定,未经认定从事电⼦政务电⼦认证服务的,由密码管理部⻔责令改正或者停⽌违法⾏为, 给予警告,没收违法产品和违法所得;违法所得三⼗万元以上的, 可以并处违法所得⼀倍以上三倍以下罚款;没有违法所得或者违法所得不⾜三⼗万元的,可以并处⼗万元以上三⼗万元以下罚款。
第四⼗条 密码管理部⻔和有关部⻔、单位的⼯作⼈员在密码
⼯作中滥⽤职权、玩忽职守、徇私舞弊,或者泄露、⾮法向他⼈提 供在履⾏职责中知悉的商业秘密和个⼈隐私的,依法给予处分。
第四⼗⼀条 违反本法规定,构成犯罪的,依法追究刑事责任;给他⼈造成损害的,依法承担⺠事责任。
第五章 附 则
第四⼗⼆条 国家密码管理部⻔依照法律、⾏政法规的规定, 制定密码管理规章。
第四⼗三条 中国⼈⺠解放军和中国⼈⺠武装警察部队的密码⼯作管理办法,由中央军事委员会根据本法制定。
第四⼗四条 本法⾃2020年1⽉1⽇起施⾏。