数观天下公众号 2023年5月25日 www.shuguan.net.cn 数观天下 数观天下 A 适用范围 在中华人民共和国境内的商用密码科研、生产、销售、服务、检测、认证、进出口、应用等活动及监督管理。 B 重要定义 商用密码,是指采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。 C 国家密码管理部门负责管 理全国的商用密码工作。 监管部门 县级以上地方各级密码管理部门负责管理本行政区域的商用密码工作。 网信、商务、海关、市场监督管 理等有关部门在各自职责范围内负责商用密码有关管理工作。 数观天下 人才培养 国家加强商用密码人才培养, 建立健全商用密码人才发展体制机制和人才评价制度,鼓励和支持密码相关学科和专业建设,规范商用密码社会化培训,促进商用密码人才交流。 宣传教育 各级人民政府及其有关部门应 当采取多种形式加强商用密码宣传教育,增强公民、法人和其他组织的密码安全意识。 行业自律 商用密码领域的学会、行业协 会等社会组织依照法律、行政法规及其章程的规定,开展学术交流、政策研究、公共服务等活动,加强学术和行业自律,推动诚信建设,促进行业健康发展。 数观天下 01 创新促进机制 国家建立健全商用密码科学技术创新促进机制,支持商用密码科学技术自主创新,对作出突出贡献的组织和个人按照国家有关规定予以表彰和奖励。 02 知识产权保护机制 国家依法保护商用密码领域的知识产权。从事商用密码活动,应当增强知识产权意识,提高运用、保护和管理知识产权的能力。 03 成果转化机制 国家鼓励和支持商用密码科学技术成果转化和产业化应用,建立和完善商用密码科学技术成果信息汇交、发布和应用情况反馈机制。 04 安全审查机制 国家密码管理部门组织对法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统所使用的密码算法、密码协议、密钥管理机制等商用密码技术进行审查鉴定。 规范、引导和监督标准制定 数观天下 1 相关部门依据各自职责,组织制定商用密码国家标准、行业标准,对商用密码团体标准的制定进行规范、引导和监督。国家密码管理部门依据职责,建立商用密码标准实施信息反馈和评估机制,对商用 密码标准实施进行监督检查。 强制性和推荐性标准遵循 行业标准、国家标准及国际标准的制定 推动商用密码国际标准化活动 3 2 国家推动参与商用密码国际标准化活动,参与制定商 用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用,鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。 从事商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准,以及自我声明公开标准的技术要求。 国家鼓励在商用密码活动中采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。 数观天下 1 检测体系建设 国家推进商用密码检测认证体系建设,鼓励在商 用密码活动中自愿接受商用密码检测认证。 2 检测机构资质 从事商用密码产品检测、网络与信息系统商用密码 应用安全性评估等商用密码检测活动,向社会出具具有证明作用的数据、结果的机构,应当经国家密码管理部门认定,依法取得商用密码检测机构资质 3 产品检测认证 涉及国家安全、国计民生、社会公共利益的商用 密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的商用密码检测、认证机构检测认证合格后,方可销售或者提供。 4 服务检测认证 商用密码服务使用网络关键设备和网络安全专用 产品的,应当经商用密码认证机构对该商用密码 服务认证合格。 申请人 国家密码管理部门 审查申请材料 技术评审 准予认定 从业准则 商用密码认证机构应当按照法律、行政法规和商用密码认证技术规范、规则,在批准范围内独立、公正、科学、诚信地开展商用密码认证,对出具的认证结论负责。 数观天下 (一)具有法人资格; (二)具有与从事商用密码检测活动相适应的资金、场所、设备设施、专业人员和专业能力; (三)具有保证商用密码检测活动有效运行的管理体系。 应当向国家密码管理部门提出书面申请 自受理申请之日起20个工作日内,对申请进行审查 技术评审所需时间不计算在本条规定的期限内。 从事商用密码认证活动的机构,应当依法取得商用密码认证机构资质。 数观天下 申请人 申请商用密码认证机构资质,应当向国务院市场监督管理部门提出书面申请。申请人除应当符合法律、行政法规和国家有关规定要求的认证机构基本条件外,还应当具有与从事商用密码认证活动相适应的检测、检查等技术能力。 认证规范 商用密码认证机构应当按照法律、行政法规和商用密码认证技术规范、规则,在批准范围内独立、公正、科学、诚信地开展商用密码认证,对出具的认证结论负责。 认证要求 商用密码认证机构应当对其认证的商用密码产品、服务、管理体系实施有效的跟踪调查,以保证通过认证的商用密码产品、服务、管理体系持续符合认证要求。 电子认证服务要求 数观天下 应当具有与使用密码相适应的场所、设备设施、专业人员、专业能力和管理体系,依法取得国家密码管理部门同意使用密码的证 明文件。 电子认证服务机构要求 应当按照法律、行政法规和电子认证服务密码使用技术规范、规则,使用密码提供电子认证服务,保证其电子认证服务密码使用持续符合要求。 申请人 国家密码管理部门 审查申请材料 技术评审 准予认定 数观天下 (一)具有企业法人或者事业单位法人资格; (二)具有与从事电子政务电子认证服务活动及其使用 密码相适应的资金、场所、 应当向国家密码管理部门提出书面申请 自受理申请之日起20个工作日内,对申请进行审查 技术评审所需时间不计算在本条规定的期限内。 设备设施和专业人员; 从业准则 (三)具有为政务活动提供长期电子政务电子认证服务的能力; (四)具有保证电子政务电子认证服务活动及其使用密码安全运行的管理体系。 外商投资电子政务电子认证服务,影响或者可能影响国家安全的,应当依法进行外商投资安全审查。 电子政务电子认证服务机构应当按照法律、行政法规和电子政务电子认证服务技术规范、规则,在批准范围内提供电子政务电子认证服务,并定期向主要办事机构所在地省、自治区、直辖市密码管理部门报送服务实施情况。 数观天下 A 信任机制 国家密码管理部门负责电子认证信任源的规划和管理,会同有关部门推动电子认证服务互信互认。 B 认证管理 密码管理部门会同有关部门负责政务活动中使用电子签名、数据电文的管理。 C 认证服务 政务活动中电子签名、电子印章、电子证照等涉及的电子认证服务,应当由依法设立的电子政务电子认证服务机构提供。 进出口经营者 国务院商务主管部门 审查申请材料 国务院批准 准予许可 数观天下 (一)申请人的法定代表人、主要经营管理人以及经办人的身份证明; (二)合同或者协议的副 本; 应当向国家密码管理部门提出书面申请 自受理申请之日起45个工作日内,对申请进行审查 国务院批准的,不受前款规定时限的限制。 (三)商用密码的技术说 关于进口许可和出口管制清单 明; (四)最终用户和最终用途证明; (五)国务院商务主管部门规定提交的其他文件。 涉及国家安全、社会公共利益且具有加密保护功能的商用密码,列入商用密码进口许可清单,实施进口许可。涉及国家安全、社会公共利益或者中国承担国际义务的商用密码,列入商用密码出口管制清单,实施出口管制。 商用密码进口许可清单和商用密码出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。 进出口流程 进出口许可申请进出口许可证申请进出口许可证鉴别进出口放行 进出口经营者 提出申请 国务院商务主管部门会同国家密码管理部门对申请进行审查 商用密码的过境、转运、通运、再出口,在境外与综合保税区等海关特殊监管区域之间进出,或者在境外与出口监管仓库、保税物流中心等保税监管场所之间进出 未验证许可 进/出口许可清单 确认进口许可清单或者出口管制清单范围 数观天下 向国务院商务主管部门提出组织鉴别 属于进 口许可不属于 海关对进出口产品不予放行 未许可 已许可 是否准予许可 是 向国务院商务主管部门申请领取进出口许可证 向海关交验进出口许可证 办理手续 给予放行 国家鼓励支持商用密码的规范应用 一鼓励 国家鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全,鼓励使用经检测认证合格的商用密码。 二支持 国家支持网络产品和服务使用商用密码提升安全性,支持并规范商用密码在信息领域新技术、新业态、新模式中的应用。 数观天下 三不得 任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的商用密码保障系统,不得利用商用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。 国家建立商用密码应用促进协调机制 数观天下 统筹指导 国家建立商用密码应用促进协调机制,加强对商用密码应用的统筹指导。 各司其职 国家机关和涉及商用密码工作的单位在其职责范围内负责本机关、本单位或者本系统的商用密码应用和安全保障工作。 加强管理 密码管理部门会同有关部门加强商用密码应用信息收集、风险评估、信息通报和重大事项会商,并加强与网络安全监测预警和信息通报的衔接。 下 义务主体义务简介具体要求 使用商用密码进行保护要求使用商用密码进行保护的关键信息基础设施,使用的商 用密码产品、服务应当经检测认证合格,使用的密码算法、 制定商用密码应用方案 密码协议、密钥管理机制等商用密码技术应当通过国家密码 数数观观天天下 管理部门审查鉴定。 关键信息基础设施通过商用密码应用安全性评估方可投入运 关键信息基础设施 配备必要的资金和专业人员 同步规划、同步建设、同步运行商用密码保障系统 自行或者委托商用密码检测机构开展商用密码应用安全性评估 行,运行后每年至少进行一次评估,评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案。 网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。国家密码管理部门根据网络的安全 保护等级,确定商用密码的使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范。 商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接,避免重复评估、测评。 1 监督检查 密码管理部门依法组织对商用密码活动进行监督检查,对国家机关和涉及商用密码工作的单位的商用密码相关工作进行指导和监督。 协作机制 2 密码管理部门和有关部门建立商用密码监督管理协作机制,加强商用密码监督、检查、指导等工作的协调配合。 数观天下 3 4 检查职权 (一)进入商用密码活动场所实施现场检查; (二)向当事人的法定代表人、主要负责人和其他有关人员调查、了解有关情况; (三)查阅、复制有关合同、票据、账簿以及其他有关资料。 保密义务 商用密码检测、认证机构和电子政务电子认证服务机构及其工作人员,应当对其在商用密码活动中所知悉的国家秘密和商业秘密承担保密义务。 5 监管机制 推进商用密码监督管理与社会信用体系相衔接,依法建立推行商用密码经营主体信用记录、信用分级分类监管、失信惩戒以及信用修复等机制。 举报机制 6 任何单位或者个人有权向密码管理部门和有关部门举报违反本条例的行为。密码管理部门和有关部门接到举报,应当及时核实、处理,并为举报人保密。 违反内容 处罚追责 违反本条例规定,未经认定向社会开展商用密码检测活动,或者未经认定从事电子政务电子认证服务 由密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30