商用密码管理条例
AI智能总结
中华人民共和国国务院令 第760号 《商用密码管理条例3已经2023年4月14日国务院第4 次常务会议修订通过,现予公布,自2023年7月1日起施 行。 总理李强 2023年4月27日 商用密码管理条例 (1999年10月7日中华人民共和国国务院令第273号发布2023年4月27日中华人民共和国国务院令第760号修订) 第一章总则 第一条为了规范商用密码应用和管理,鼓励和促进商用 密码产业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国密码法》等法律,制定本条例。 第二条在中华人民共和国境内的商用密码科研、生产、销售、服务、检测、认证、进出口、应用等活动及监咨管理,造用本涤例。 本条例所称商用密码,是指采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和 服务。 第三条坚持中国共产党对商用密码工作的领导,贯彻落 实总体国家安全观,国家密码管理部门负责管理全国的商用密码工作。县级以上地方各级密码管理部门负责管理本行政区域的商用密码工作。 网信、商务、海关、市场监咨管理等有关部门在各自职责范围内负责商用密码有关管理工作。 第四条国家加强商用密码人才培养,建立健全商用密码 人才发展体制机制和人才评价制度,鼓励和支持密码相关学科和专业建设,规范商用密码社会化培训,促进商用密码人才交流。 第五条各级人民政府及其有关部门应当采取多种形式 加强商用密码宣传教育,增强公民、法人和其他组织的密码 安全意识。 第六条商用密码领域的学会、行业协会等社会组织依照 法律、行政法规及其章程的规定,开展学术交流、政策研究、 公共服务等活动,加强学术和行业自律,推动诚信建设,促进行业健康发展。 密码管理部门应当加强对商用密码领域社会组织的指导 和支持。 第二章科技创新与标准化 第七条国家建立健全商用密码科学技术创新促进机制, 支持商用密码科学技术自主创新,对作出突出责献的组织和个人按照国家有关规定予以表彰和奖励。 国家依法保护商用密码领域的知识产权。从事商用密码活动,应当增强知识产权意识,提高运用、保护和管理知识产权的能力。 国家鼓励在外商投资过程中基于自愿原则和商业规则开 展商用密码技术合作。行政关及其工作人员不得利用行政 手段强制转让商用密码技术。 第八条国家鼓励和支持商用密码科学技术成果转化和产业化应用,建立和完善商用密码科学技术成果信息汇交、发布和应用情况反馈机制 第九条国家密码管理部门组织对法律、行政法规和国家 有关规定要求使用商用密码进行保护的网络与信息系统所 使用的密码算法、密码协议、密钥管理机制等商用密码技术 进行审查鉴定。 第十条国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准,对商用密码团体标准的制定进行规范、引导和监督。国家密码管理部门依据职责,建立商用密码标准实施信息反馈和评估机制,对商用密码标准实施进行监督检查。 国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化 运用,鼓励企业、社会团体和数育、科研机构等参与商用密 码国际标准化活动。 其他领域的标准涉及商用密码的,应当与商用密码国家标准、行业标准保持协调。 第十一条从事商用密码活动,应当符合有关法律、行政 法规、商用密码强制性国家标准,以及自我声明公开标准的 技术要求。 国家鼓励在商用密码活动中采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法 权益。 第三章检测认证 第十二条国家推进商用密码检测认证体系建设,整励在 商用密码活动中自愿接受商用密码检测认证。 第十三条从事商用密码产品检测、网络与信息系统商用 密码应用安全性评估等商用密码检测活动,向社会出具具有证明作用的数据、结果的机构,应当经国家密码管理部门认定,依法取得商用密码检测机构资质。 第十四条取得商用密码检测机构资质,应当符合下列条 件: (一)具有法人资格; (二)具有与从事商用密码检测活动相适应的资金、场所 设备设施、专业人员和专业能力; (三)具有保证商用密码检测活动有效运行的管理体系。 第十五条申请商用密码检测机构资质,应当向国家密码 管理部门提出书面申请,并提交符合本条例第十四条规定条 件的材料。 国家密码管理部门应当自受理申请之日起20个工作日内对申请进行审查,并依法作出是否准予认定的决定。 需要对申请人进行技术评审的,技术评审所需时间不计算在本亲规定的期限内。国家密码管理部应当将所带时旧书面告知申请人。 第十六条商用密码检测机构应当按照法律、行政法规和 商用密码检测技术规范、规则,在批准范围内独立、公正、科学、诚信地开展商用密码检测,对出具的检测数据、结果负责,并定期向国家密码管理部门报送检测实施情况。 商用密码检测技术规范、规则由国家密码管理部门制定并 公布。 第十七条国务院市场监窖管理部门会同国家密码管理部门建立国家统一推行的商用密码认证制度,实行商用密码产品、服务、管理体系认证,制定并公布认证目录和技术规 范、规则。 第十八条从事商用密码认证活动的机构,应当依法取得 商用密码认证机构资质。 申请商用密码认证机构资质,应当向国务院市场监督管理部门提出书面申请。申请人除应当符合法律、行政法规和国家有关规定要求的认证机构基本条件外,还应当具有与从事商用密码认证活动相适应的检测、检查等技术能力。 国务院市场监督管理部门在审查商用密码认证机构资质申请时,应当征求国家密码管理部门的意见。 第十九条商用密码认证机构应当按照法律、行政法规和 商用密码认证技术规范、规则,在批准范围内独立、公正、料学、诚信地开展商用密码认证,对出具的认证结论负责: 商用密码认证机构应当对其认证的商用密码产品、服务、管理体系实施有效的跟踪调查,以保证通过认证的商用密码产品、服务、管理体系持续符合认证要求。 第二十条涉及国家安全、国计民生、社会公共利益的商 用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由其备资格的商用密码检测、认证机构检测认证合格后,方可销售或者提供。 第二十一条商用密码服务使用网络关键设备和网络安 全专用产品的,应当经商用密码认证机构对该商用密码服务 认证合格。 第四章电子认证 第二十二条采用商用密码技术提供电子认证服务,应当 具有与使用密码相适应的场所、设备设施、专业人员、专业能力和管理体系,依法取得国家密码管理部门同意使用密码的证明文件。 第二十三条电子认证服务机构应当按照法律、行政法规 和电子认证服务密码使用技术规范、规则,使用密码提供电子认证服务,保证其电子认证服务密码使用持续符合要求 电子认证服务密码使用技术规范、规则由国家密码管理部 制定并公布: 第二十四条采用商用密码技术从事电子政务电子认证服务的机构,应当经国家密码管理部认定,依法取得电子 政务电子认证服务机构资质。 第二十五条取得电子政务电子认证服务机构资质,应当 符合下列条件: (一)具有企业法人或者事业单位法人资格; (二)具有与从事电子政务电子认证服务活动及其使用密码相适应的资金、场所、设备设施和专业人员; (三)具有为政务活动提供长期电子政务电子认证服务的 能力; (四)具有保证电子政务电子认证服务活动及其便用密码安全运行的管理体系。 第二十六条申请电子政务电子认证服务机构资质,应当 向国家密码管理部门提出书面申请,并提交符合本条例第二十五条规定条件的材料, 国家密码管理部门应当自受理申请之日起20个工作日内对审请进行审查,并依法作出是否准予认定的决定: 需要对申请人进行技术评审的,技术评审所需时间不计异在本条规定的期限内。,国家密码管理部门应当将所需时间书面告知甲请人。 第二十七条外商投资电子政务电子认证服务,影响或者 可能影响国家安全的,应当依法进行外商投资安全审查: 第二十八条电子政务电子认证服务机构应当按照法律行政法规和电子政务电子认证服务技术规范、规则,在批准范围内提供电子政务电子认证服务,并定期向主要办事机构所在地省、自治区、直辖市密码管理部门报送服务实施情况。 电子政务电子认证服务技术规范、规则由国家密码管理部 门制定井公布。 第二十九条国家建立统一的电子认证信任机制。国家密 码管理部门负责电子认证信任源的规划和管理,会同有关部门推动电子认证服务互信互认。 第三十条密码管理部门会司有关普门贸责政务活动中 使用电子签名、数据电文的管理。 政务活动中电子签名、电子印章、电子证照等涉及的电子认证服务,应当由依法设立的电子政务电子认证服务机构损 供。 第五章进出口 第三十一条涉及国家安全、社会公共利益且具有加密保 护功能的商用密码,列入商用密码进口许可清单,实施进口许可。涉及国家安全、社会公共利益或者中国承担国际义务的商用密码,列入商用密码出口管制清单,实施出口管制: 商用密码进口许可清单和商用密码出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总馨制定井公布, 大众消费类产品所采用的商用密码不实行进口许可和出 口管制制度。 第三十二条进口商用密码进口许可清单中的商用密码或者出口商用密码出口管制清单中的商用密码,应当向国务院商务主管部门申请领取进出口许可证。 商用密码的过境、转运、通运、再出口,在境外与综合保悦区等海关特殊监管区域之间进出,或者在境外与出口监管仓库、保税物流中心等保税监管场所之间进出的,适用前款 规定。 第三十三条进口商用密码进口许可清单中的商用密码 或者出口商用密码出口管制清单中的商用密码时,应当向海关交验进出口许可证,并按照国家有关规定办理报关手续: 进出口经营者未向海关交验进出口许可证,海关有证据表明进出口产品可能属于商用密码进口许可清单或者出口管 制清单范围的,应当可进出口经营者提出质疑:海关可以向 国务院商务主管部门提出组织鉴别,并根据国务院商务主管 部会司国家密码管理部作出的鉴别结论依法处直。在鉴 别或者质疑期间,海关对进出口产品不予放行。 第三十四条申请商用密码进出口许可,应当向国务院商 务主管部门提出书面申请,并提交下列材料: (一)申请人的法定代表人、主要经营管理人以及经办人 的身份证明; (二)合同或者协议的副本; (三)商用密码的技术说明;(四)最终用户和最终用途证明; (五)国务院商务主管部门规定提交的其他文件。 国务院商务主管部应当自受理审请之目起45不工作日内,会同国家密码管理部门对申请进行审查,并依法作出是否准予许可的决定。 对国家安全、社会公共利益或者外交政策有重大影响的商 用密码出口,由国务院商务主管部会同国家密码管理部等有关部门报国务院批准。报国务院批准的,不受前款规定时限的限制。 第六章应用促进 第三十五条国家鼓励公民、法人和其他组织依法使用商 用密码保护网络与信息安全,鼓励使用经检测认证合格的商 用密码。 法侵入他人的商用密码保障系统,不得利用商用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。 第三十六条国家支持网络产品和服务使用商用密码提 开安全性,支持并规范商用密码在信息额域新授术、新业态。新模式中的应用。 第三十七条国家建立商用密码应用促进协调机制,加强 对商用密码应用的统筹指导。国家机关和涉及商用密码工作的单位在其职责范围内负责本机关、本单位或者本系统的商用密码应用和安全保障工作。 密码管理部门会同有关部门加强商用密码应用信息收集、风险评估、信息通报和重大事项会商,并加强与网络安全监测预警和信息通报的衔接。 第三十八条法律、行政法规和国家有关规定要求使用商 用密码进行保护的关键信息基础设施,其运营者应当使用商 用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。 前款所列关键信息
