密码法释义_永兴新闻网

首页

密码法释义

2023-04-12 16:11:12 编辑：李艳菊 | 浏览量：257

第一部分释义

第一章总则

第一条为了规范密码应用和管理，促进密码事业发展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，制定本法。

【释义】本条是关于立法目的的规定。

密码是国家重要战略资源，密码工作是党和国家的一项特殊重要工作，直接关系国家安全，在我国革命、建设、改革各个历史时期，都发挥了不可替代的重要作用。进入新时代，密码工作面临着许多新的机遇和挑战，担负着更加繁重的保障和管理任务，制定一部密码领域综合性、基础性法律，十分必要。党和国家高度重视密码立法工作，2018年至2019年，全国人大常委会和国务院都将《密码法》列入了立法工作规划。2014年12月，国家密码管理局正式启动《密码法》的立法工作。2017年4月至5月，《中华人民共和国密码法（草案征求意见稿）在家密码管理局商用密码管理办公室网站首面向社会公开征求意见。2017年6月，《中华人民共和国密码法（草案送审）正式报送国务院。2019年6月10日（中华人民共和国密码法（草案）》（以下简称草案）经国务院第52次常务会议讨论过。6月15日，李克强总理签署案，正式将草案提请全国人大常委会审议。6月25日至29日，十三届全国人大常委会第十一次会议对草案进行了首次议。7月5日至9月2日，草案在中国人大网面向社会公开征求意见。10月21日至26日，十三届全国人大常委会第十四次会议对草案进行了二次审议。10月26日，十三届全国人大常委会第十四次会议表决通过《密码法》，习近平主席签署第三十五号主席令正式颁布，自2020年1月1日起施行。

《密码法》的立法目的是：

一、规范密码应用和管理，促进密码事业发展

目前，有关部门、单位和社会公众对密码的作用认识不够全面，使用密码保护网络与信息安全的意识还不够强，特别是重要阿络与信息系统密码应用规范性、有效性不够的问题还比较突出，严重威胁国家网络与信息安全、企业商业秘密以及公民个人隐私保护。国家对涉密信息系统和关键信息基础设施密码的应用基础支撑能力的提升以及安全性评估、审查制度等不断提出明确要求，需要上升为法律规范，为维护国家网络与信息安全提供保障。在核心密码、普通密码方面，需要将现行有效的安全管理度特理保法溶化、增强核心密、密安全保障能力。在面用的方面、传统上対商用密实行全节可管理已职能转变和“管眼”改革要求，需过立法对行的用密码管理制度作出调整，切实为企业减负，进密进步和创新进密产业能康有序发展。

二、保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益

在络与信息时代，每都会产生大量涉密和感信息网络密、网作骗、侵犯隐私等事件层出不穷，需有效的安全防护措施。密码是保障网络与信息安全的核心技和基础支撑。制定《密码法，就是要更好地促进密码产业发展营造良好的市场秩序，为社会提供更多优质高效的密码，引导全社会正确、合规、有效使用密码，充分发挥密码在网络空间中信息加密、安全认证等方面的重要作用，维护国家安全和社会公共利益保护公民、法和其他组织的合法权益。

《密码法》立法坚持党管密码和依法管理相统一，着眼我国国家安全新形势和密码广泛应用新挑战的时代需求，为构建与国家治理体系和治理能力现代化相适应的密码法律制度体系奠定了重要基础，为确保密码使用优质高效、确保密码管理安全可靠提供了坚实的法治保障。《密码法》的布实施，将有力提升密码工作的科学化、规范化、法治化水平，极大促进密码技术进步、产业发展和规范应用，切实维护国家安全、社会公共利益以及公民、法人和其他组织的合法权益。

第二条本法所称密码，是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。

【释义】本条是关于密码概念的规定。

本条围绕密码的技术本质、功能与管理范畴对本法中密码的概念进行了科学界定，明确了密码的功能定位，明晰了管理对象与范围。

一、密码的功能

密码（cryptography），是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。人们日常接触

的计算机或手机开机“密码”、微信“密码”、QQ“密码”、电子邮箱登录“密码”、银行卡支付“密码”等，实际上是口令（ password）。口令是进入个人计算机、手机、电子邮箱或银行账户的“通行证”，是一种简单、初级的身份认证手段，是最简易的密码。

密码的主要功能有两个，一个是加密保护，另一个是安全认证。加密保护是指采用特定变换的方法，将原来可读的信息变成不能直接识别的符号序列。简单地说，加密保护就是将明文变成密文。例如，古希腊军队使用一种叫作“斯巴达棒”的圆本来进行加密通信，使用方法是把一根长带状羊皮纸绕在圆木上，然后在上面写字解下挙纸后，上面只有乱序的字符，只有再次以同样的方式缠绕到同样粗细的上，才能看出所写的内容。安全认证是指采用特定变換的方法，确认信息是否完整、是否被第改是否可靠以及行为是否直实。简单地说，安全认证就是确认主体和信息的真实可靠性。例如，增值税防例税控系统采用商用密码技术保护涉税信息，增值税发票信息经密码算法进行加解密处理，确定该发票的明文信息是否真实，从而遏制增值税犯罪，减少税款流失。

二、密码的范畴

作为本法的管理对象，密码包括密码技术密码产品和密码服务。

密码技术，是指采用特定变换的方法对信息等进行加密保护、安全认证的技术，包括密码编码、实现、协议、安全防护分析破译，以及密钥产生、分发、传送、使用、销毁等技术。分组密码算法（如SM4算法）、公钥密码算法（如SM2算法）等是典型的密码算法，密钥交换协议、密钥分发协议等是典型的密码协议。

密码产品，是指采用密码技术进行加密保、安全认证的产品，即承载密码技术、实现密码功能的实体。典型的密码产品包括：密码机，如链路密码机、网络密码机、服务器密码机传真密码机、电话密码机等；密码芯片和模块，如第二代居民身份证、智能电卡、社会保障卡、金融片卡中使用的密码芯片、可信计算密码模块等

密码服务，是指基于密码专业技术、技能和设施，为他人提供集成、运营、监理等密码支持和保障的活动，即基于密码技术和产品，实现密码功能，提供密码保障的行为。典型的密码服务包括：密码保障系统集成（如数字证书认证系统集成），是指为他人集成建设实现密码功能的系统，保护他人络与信息系统的安全；密码保障系统运营（如增值税发票防伪税控系统运营），是指为保证他人实现密码功能系统的正常运行提供安全管理和维护。

随着网络与信息化的飞速发展，基于密码专业技术、技能和设施为他人提供集成、运营、监理等密码支持和保障的密码服务活动日益增多。这些活动专业性强，直接关系到国家安全和社会公共利益，亟需依法规范。因此，《密码法》将密码服务作为管理对象纳管理范，在法律的框架下进行监管。

第三条密码工作坚持总体国家安全观，遵循统一领导分级负责，创新发展、服务大局，依法管理、保障安全的原则。

【释义】本条是关于密码工作原则的规定

一、坚持总体国家安全观

党的十九大报告明确“坚持总体国家安全观”是新时代坚持和发展中国特色社会主义的基本方略之一，提出必坚持国家利益至上，以人民安全为宗旨，以政治安全为根本，统等外部安全和内部安全、国土安全和国民安全、传统安全和非传统安全、自身安全和共同安全，完国家安全制度体系，加强国家安全能力建设，坚决维护国家主权、安全、发展利益习近平总书记强调，要贯彻落实总体国家安全观，加快国家安全法治建设，构建国家安全法律制度体系。密码是国家重要的战略资源，是国之重器。密码工作是我们党对敌斗争的重要战场，是保证国家安全和根本利益的重要防线，是党中央、国务院、中央军委实施领导指挥的重要道，直接关系国家政治安全、经济安全、国防安全和信息安全。《密码法》以法律形式明确总体国家安全观在密码工作中的指导思想地位，是贯彻落实中央决策部署的重要举措，是适应新的形势任务发展的必然要求，也是做好密码工作、切实维护各方安全和利益的迫切需要。

二、密码工作的基本原则

总体国家安全观要求推动建立新的安全体制，在密码工作中具体体现为统一领导、分级负责，创新发展、服务大局，依法管理、保障安全的基本原则，这是密码工作历史经验和实践的深刻总结。

1.统一领导、分级负责

“统一领导、分级负责”是密码工作的首要原则。统一领导，是指全国密码工作在党中央领导下，由中央密码工作领导机构统一领导。《密码法》把“统一领导”作为密码工作的一项基本原则，就是要坚持党的绝对领导，这是密码工作重要、最根本、最核心的原则，也是密码工作的优良传统和宝贵经验。

分级负责，是指国家和省、市、县四级密码管理部门分别负责管理全国和本行政区域的密码工作。根据密码工作的现实需要，参考其他工作领域管理体制改革发展的经验，《密码法》明确了各级密码管理部门的行政主体地位，确立了分级负责的密码工作管理体制。

2.创新发展、服务大局

创新发展是密码工作的发展之基、力量之源。党的密码工作从诞生的第一天起，正是凭借不断地自主创新，走出了条从无到有、从小到大、从弱到强的中国特色密码发展之路坚持创新发展，就是要以科技创新为核心，以管理创新为推动，以制度创新为保证，支持密码科学技术研究，推动密码产业发展，使密码工作始终体现时代性、把规律性、富于创造性，为保障网络与信息安全、维护国家网络空间主权提供有力的技术支撑。

服务大局是密码工作的价值所在，更是其宗旨要求。密码工作与党和国家的事业血肉相连、命运体成相关，在革命建设和改革各个历史时期，都紧紧围绕党和国家的中心任务和奋斗目标，发挥着不可代的特殊重要作用。进入新时代，坚持服务大局，就是紧紧围绕国家创新驱动发展战略，部署好密码科技自主创新，实度密科技式发展；要国家安全战略，加大密码心关技术关和密码应用，充分发密码在保安全假发中的支作用要图绕中央全面深化改革的战略部，全面深化密码管理体制改革，加快职能转要经济结构调整，加快进密码产业发，为经柱会持康发，为实现”两个一百年”奋标，实中华民伟大复的中国梦做出贡献。

3.依法管理，保障安全

党的十九大把坚持全面依法治国确立为习近平新时代中国特色会主和时代和发中国特色社会主义的基本方略的重要内容，出”质历行法治，推进科学法严找法公正法，全民守法”，将密码管理的各个方面全面人道，是密码工作的基本要求，是提高密作得学化，范化制度化水平的多由之路。持依法管理，就是各密码管理部门要严格按照（密码法）和有关法、和范性文件的定，依法全面行密码行政管理积能依法管理是心密，密用密码三类密码管理的其同要求。

密码安全关乎党和国家的根本利益，是密码工作的生命。坚持保障安全，就是要加强密码安全制度建设，完善密码安全管理措施，对密码管理重点关环节实有效监管，增强密码安全保障能力；要加强关键信息基础设施密码应用监管，建立完善密码安全性评估和安全审查制度，有效预防和化解密码安全风险；要加强密码安全协作机制建设，确保密码安全管理的协同联动和有序高效。

第四条坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导，制定国家密码工作重大方针政策，统筹协调国家密码重大事项和重要工作，推进国家密码法治建设。

【释义】本条是关于密码工作领导体制的规定。

一、坚持中国共产党对密码工作的领导

坚持党对密码工作的绝对领导，是在任何时候、任何情况下都必须毫不动摇坚持的根本原则。《密码法》规定，坚持中国共产党对密码工作的领导，旗帜鲜明地把党管密码这一根本原则写人法律。党的密码工作创建于1930年，一直由党中央直接领导和管理，党管密码原则是密码工作长期实践和历史经验的深刻总结，是密码工作最重要、最根本、最核心的要求。坚持党的绝对领导，主要体现在：一是密码工作的重大事项向中央报告，密码工作的重大决策由中央决定。二是坚决贯彻执行中央关于密码工作的方针政策，落实中央确定的密码工作领导和管理体制。三是充分发挥党的领导核心作用，各级党委（党组）和密码工作领导机构要认真履行党管密码的政治责任。

二、密码工作领导体制

《密码法》明确规定，中央密码工作领导机构，即中央密码工作领导小组，对全国密码工作实行统一领导，把中央确定的密码工作领导体制，通过法律形式固化下来，为密码工作沿着正确方向发展提供根本保证。中央密码工作领导小组统一领导全国密码工作，负责制定国家密码工作重大方针政策，统筹协调国家密码重大事项和重要工作，推进国家密码法治建设。

第五条国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。

国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。

【释义】本条是关于密码工作管理体制的规定。

根据密码工作依法管理的需要，参考其他工作领域管理体制改革发展的经验，《密码法》明确了密码工作管理体制包括两个方面的内容：

一、国家、省、市、县四级密码工作管理体制

《密码法》赋予了国家、省、市、县四级密码管理部门行政管理职责。国家密码管理部门是指国家密码管理局。为更好地履行对全国的密码管理职能，2005年1月，中央机构编制委员会批准成立国家密码管理局。2008年3月，国家码管理局列人国务院部委管理的国家局序列。2018年3月，《国务院关于部委管理的国家局设置的通知》（国发（2018）7号）明确规定，国家密码管理局与中央密码工作领导小组办公室，一个机构两块牌子，列人中共中央直属机关的下属机构序列国家密码管理局的主要职责是：组织贯彻落实党和国家关于密码工作的方针政策和法律法规，研究提出解决密码工作发展中重大问题的建议；拟订密码工作发展规划，起草密码工作法规并负责密码法规的解释，组织拟订密码相关标准；依法履行密码行政管理职能、管理密码科研、生产、装备（销售）、检测认证及使用，查处密码泄密事件和违法违规研制、使用密码行为，负责有关密码的涉外事宜；对密码工作机构实施业务领导；负责网络与信息系统中密码保障体系的规划和管理，规划、建设和管理国家密码基础设施；指导密码专业教育和密码学术交流，组织密码专业人才教育培训，对高等院校、科研机构、学术团体开展密码基础理论与应用技术研究、交流进行指导；承办中央密码工作领导小组的日常工作。

县级以上地方各级密码管理部门是指省（自治区、直辖市）、市（地、州、盟）、县（市、区、旗）密码管理局。1999年国务院布的（商用密码管理条例》规定，国家密码管理机构主管全国的商用密码管理工作。省、自治区、直辖市密码管理机构受国家密码管理机构的委托，承担本行政区域内商用密码的有关管理工作。随着密码事业的不断发展和密码的广泛应用，《商用密码管理条例》确立的国家和省两级委托管理体制已经不能适应密码管理的现实需要。为规范和加强密码管理部门的行政管理职能，《密码法》明确了国家、省、市、县四级分级负责的密码工作管理体制，赋予了国家、省、市、县四级密码管理部门行政管理职责，从体制机制上为密码管理部门依法履行密码管理职能提供了坚实的法治保障。

各级密码管理部门要认真贯彻落实《密码法》的明确要求，依法确立行政主体地位，全面履行《密码法》赋予的行政管理职能，加快建立权力清单、责任清单和负面清单，完善监督执法机制，规范执法方式，推动管理职能转变和管理方式创新，自觉做到“职权法定”“权依法使”。

二、国家机关和涉及密码工作的单位的密码工作职责

国家机关和涉及密码工作的单位根据工作需要，承担相应的密码工作职责，是密码工作管理体制的重要组成部分。国家机关是指中央、省、市、县各级国家机关。涉及密码工作单位是指除国家机关以外，承担密码管理职责的企事业单等。这些机关、单位在其职责范围内负责本机关、本单位或本系统的密码工作。

第六条国家对密码实行分类管理。

密码分为核心密码、普通密码和商用密码。

【释义】本条是关于密码分类管理原则的规定。

将密码分为核心密码、普通密码和商用密码，实行分类管理，是党中央确定的密码管理根本原则，是保障密码安全的基本策略.也是长期以来密码工作经验的科学总结。核心密码用于保护国家绝密级、机密级、密级信息，普通密码用于保护国家机密级、密级信息，商用密码用于保护不属于国家密的信息。根据（《保守国家密法》的规定，国家秘密的密级分为绝密、机密、密三级。绝密级国家秘密是最重要的国家密，露会使国家安全和利益受特别严重的损害；机密级国家密是重要的国家密，泄露会使国家安全和利益遭受严重的损害；密级国家秘密是一般的国家秘密，泄露会使国家安全和利益受损害。三类密码保护的对象不同，对其进行明确划分，有利于确保密码安全保密，有利于密码管理部门根据不同信息等级和使用对象，对密码实行科学管理，充分发挥三类密码保护网络与信息安全的核心支撑作用。

对密码实行分类管理，也是国际通行做法。1996年《瓦森纳协定》将密码作为两用物项对。通过对密码算法、密钥管理和密码协议的区分管理，实现对国家秘密和其他重要数据、个人信息的分类、分别保护。

第七条核心密码、普通密码用于保护国家秘密信息，核心密码保护息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。

核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。

【释义】本条是关于核心密码、普通密码管理的一般性规定。

一、核心密码、普通密码的概念

核心密码、通密码用于保护国家秘密信息，有力保障了中央政令军令安全，为维护国家网络空间主权、安全和发展利益构筑起密码屏障。按照（保守国家秘密法》的规定，国家秘密是指关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知的事项。本法根据保护对象的不同，对核心密码、普通密码进行划分。核心密码用于保护国家绝密级、机密级，秘密级信息，通密码用于保护国家机密级、密级信息。

二、对核心密码、普通密码实行严格统一管理

密码管理部门按照中央要求，对核心密码、普通密码实行严格统一管理，针对核心密码、普通密码的科研、生产、服务检测、装备、使用和销段等各个环节制定了一系列严格的安全管理制度和保密措，对核心密码、普通密码实行全生命周期的严格统一管理，明确了系保障施。这是因为：第一，核心密码、普通密码用保国家密信息，直系国家全和利益。第二，核心密码，普通密码本身也属于国家秘密，一旦泄密，将危害国家安全和利益。党政机当严格法律法规的有关规定使用核心密码、通密码保护国家精信息、在法律范围内从事相关活动。第三，核心密码、普码的管理施以及密码管理部门、密码工作机构及其工作人员开展核心密码、普通密码工作的保障措施等，需要通过国家立法提供法律依据，进一步提升密码工作的法治化保障水平。

第八条商用密码用于保护不属于国家秘密的信息。

公民、法人和其他组织可以依法使用商用密码保网络与信息安全。

【释义】本条是关于商用密码管理的一般性规定。

一、商用密码的概念

商用密码用于保护不属于国家秘密的信息。也就是说商用密码可以用于保护除国家秘密之外的所有信息，既可以保护企业商业秘密、公民个人隐私，也可以保护政务领域中不属于国家秘密的工作信息。关于商用密码的名称，1996年中央决定在我国大力发展商用密码，加强对商用密码的管理。199年，国务院颁布施行《商用密码管理条例》（国务院令第273号），商用密码的名称开始为社会所熟知和广泛使用。此后，中央文件和党内法规以及国家密码管理局制定发布的规范性文件均采用了商用密码”这一名称。

二、《密码法》对商用密码使用的管理

1999年《商用密码管理条例》规定，任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品；境外组织或者个人在中国境内使用密码产品或者含有密码技术的设备，必须报经国家密码管理机构批准；商用密码产品的用户不得转让其使用的商用密码产品。商用密码产品必须由国家密码管理机构指定的单位维修，报废、销毁商用密码产品应当备案。

《密码法》在商用密码领域深化“放管服”改革，根据经济社会发展实际以及社会各方面对商用密码的使用需求，取消了《商用密码管理条例》对商用密码使用设定的严格管理措施，规定公民、法人和其他组织可以依法使用商用密码保护网络与信息安全，对一般用户使用商用密码没有提出强制性要求。此外，本法第十二条延续了《商用密码管理条例》有关不得从事密码违法犯罪活动的规定。同时，为了保障关键信息基础设施安全稳定运行，维护国家安全和社会公共利益，本法第二十七条规定了关键信息基础设施的商用密码使用要求。

公民、法人和其他组织可以依法使用商用密码，既是《密码法》赋予公民、法人和其他组织自主选择使用商用密码的权利，也是鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全。商用密码广泛应用于国民经济发展和社会生产生活的方方面面，涵盖金融和通信、公安、税务、社保、交通、卫生健康、能源、电子政务等重要领域，积极服务“互联网+”行动计划、智慧城市和大数据战略，以及物联网、人工智能、区块链等新技术应用，在维护国家安全、促进经济社会发展、保护公民、法人和其他组织合法权益方面发挥着重要作用。在金融领域，使用商用密码的金融芯片卡，有效制了银行卡伪造、网上交易身份仿冒等违法犯罪活动。在税收领域，增值税防伪税控系统采用商用密码技术保护涉税信息，有效遏制了通过算改发票票面信息进行偷税、漏税等违法犯罪活动。在社会管理领域，公安部已累计发放使用商用密码芯片的第二代居民身份证超过18亿张，有效杜绝了伪造、变造身份证等违法犯罪行为。除此之外，商用密码还可以用于企业商业秘密、公民个人隐私的保护。例如，商用密码在网上银行、网上支付系统中的广泛应用，显著提高了交易数据的安全防护能力，降低了用户身份被仿冒、隐私信息被盗用等风险有效保障了公民的信息安全和财产安全。

第九条国家鼓励和支持密码科学技术研究和应用，依法保护密码领域的知识产权，促进密码科学技术进步和创新。

国家加强密码人才培养和队伍建设，对在密码工作中作出突出贡献的组织和个人，按照国家有关规定给予表彰和奖励。

【释义】本条是关于密码科技进步、人才队伍建设和密码工作表彰奖励的规定。

一、促进密码科学技术进步和创新

党的十九大报告指出，创新是引领发展的第一动力，是建设现代化经济体系的战略支撑。密码科学技术进步和创新是密码事业发展的灵魂，也是密码实现持续健康快速发展的动力源泉。紧紧牵住核心技术自主创新这个“牛鼻子”，牢掌握密码关键核心技术，是密码事业高质量发展的必由之路。坚持走中国特色密码自主创新道路，着眼密码科技前沿、立足网络空间安全、面向国家战略需求，加快创新驱动发展，是推进密码科技创新的基本要求。

国家鼓励和支持密码科学技术研究和应用，加大政策和资金支持力度，加强密码基础研究和原始创新，鼓励开展基础理论与技术、密码新技术与应用融合、系统检测评估等方面的研究。研究出台配套的鼓励支持措施，建立完善密码科研成果转化机制，促进优秀科研成果尽快落地。紧盯网络空间密码科技最前沿，推动政产学研用融合发展，形成协同创新攻关机制，积极开展密码应用技术创新。

依法保护知识产权，对于激励科技创新，提高创新能力促进创新成果合理分享，推动科技进步和经济社会发展，具有重要意义。在密码工作实践中，无论是密码技术研究，还是密码检测认证、密码应用安全性评估、安全审查，都涉及密码知识产权保护。密码法》在多个条款中对依法保护密码领域的知识产权作了具体规定。在商用密码检测认证方面，《密码法》对检测、认证机构在检测认证中所知悉的国家秘密、商业秘密和技术秘密的保密义务作了明确规定，并且规定了相应的法律责任。（密码法》还对密码管理部门和有关部门及其工作人员对在履行职责中知悉的商业秘密和个人隐私的保密义务作了明确规定，并且规定了相应的法律责任。需要注意的是，密码知识产权保护对国内外产品、服务以及内外资企业一视同仁、同等适用，对外商投资企业的知识产权实行同等保护。

二、加强密码人才培养和队伍建设

人才是核心竞争力，密码事业的发展，归根结底要靠密码人。密码人才队伍是一支特殊的队伍，承担着密码科研、密码管理、密码服务保障等重要任务，肩负着保障国家网络与信息安全的重要职责。随着网络与信息化的飞速发展和密码的广泛应用密码人才需求星现快速增长态势、密码专业人才培养和学科建设取得重要进展。目前，国内已有超过100所高校开设了密码学专业或者密码学相关课程，培育了大量的密码专业人才，通现出一批具有国际知名度的优秀领军人才。将加强密码人才培养和队伍建设写进《密码法》也是贯彻落实相关中央文件和党内法规的明确要求，与网络安全法》关于加强网络安全人才培养的规定也是接一致的。《网络安全法》第二十条规定：“国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流。针对核心密码、普通密码工作对人才队伍的特殊需求，本法第十八条第二款对核心密码、普通密码人才队伍规定了特殊的管理制度和保障措施。

三、密码工作表彰奖励制度

为充分调动广大密码工作人员做好密码工作的积极性和创造性，推动密码工作创新发展，贯彻落实党和国家功勋荣誉表彰奖励制度要求，党和国家设立了全国密码工作先进集体和先进工作者、密码科学技术进步奖励等密码工作表彰奖励制度。《密码法》将这一系列表彰奖励制度保留、固化下来明确规定对在密码工作中作出突出贡献的组织和个人，按照国家有关规定给予表彰和奖励。

密码工作表彰奖励的对象主要是在服务党和国家工作大局中发挥重要作用以及在密码科技进步中作出重要贡献的密码管理部门、密码工作机构、商用密码从业单位和密码工作人员等。表彰奖励工作贯彻“尊重劳动、尊重知识、尊重人才、尊重创造”的方针，注重面向一线，注重工作实绩，遵循鼓励创新、促进发展、公平公正、严格把关的原则，坚持精神奖励与物质奖励相结合、以精神奖励为主，体现先进性、代表性和时代性。

第十条国家采取多种形式加强密码安全教育，将密码安全育纳入国民数育体系和公务教育培训体系，增强公民、法人和其他组织的密码安全意识。

【释义】本条是关于密安全育的规定

一、采取多种形式加强密码安全育

密码安全事关国家安全，密安全意识是国家安全意识的重要内容。密码安全教育是密码工作的重要组成部分，对密码工作高质量发起看重要的导向和促进作用。做好密码安全教育工作，对于正确中央关于密码工作的方针政策提高全民密码安全意识，引导全社会合规、正确、有效使用密码，确保密码使用优质高效，确保密码管理安全可，具有重要意义

密码安全教育要与学习贯彻总体国家安全观紧密结合起来，以学习传贯《密码法》为重要抓手，面向不同人群，开展不同形式的密码安全教育，增强安全教育的针对性和实效性。广大员特别是各级领导干部要带头学法、懂法，守法用法，深会制定《密码法》的重要意义，准确把《密码法》的基本要义，切实增强密码安全意识，维护国家密码安全。各级密码管理部门和涉及密码工作的机关、单位要采取多种形式，组织好本部门、本单位的学习、宣传和培训工作让密码工作人员深刻理解、全面草（密码法》的各项规定，自觉将（密码法）的各项制度运用到工作实践中去，不断提高依法从事密码工作的能力和水平。

要加强对全民的密码安全育，开展多种形式的密码安全教育活动。一是充分利用“全民国家安全教育日”“国家网络安全宣传”等平台，深入开展（密码法》普及宣传活动，推动密码安全教育进社会、进课意，进教材、进网络，努力在全社会营造”知密码密码、用密码”的浓厚围，不断增强公民法人和其组的密码安全意识二是充分利用传统体和体，充分发挥中国密码学会、商用密码领域的行业会等会面体和全国用密码展见会、《密码学报》、全国密码技术赛等学术产交流平台的作用，创新宣传方式和，加大密码知识料工作的力度，增强密码社会认知度和应用密码保护信息安全的意识，为做好密码安全教育，改版后的国家密码管理局门户网站（www.sa.go.cn）于2017年6月1日正式上线运行。结提供及时全面的信息服务，是传密码政策法规、及密码知识、促进密码广泛应用的重要道，也是社会公众了解密码的重要途径。三是各级教育主管部门和公务员主管部门将密码安全育国民教育体系和公务员教育培词体系，加强对大中小学生密码常识和密码安全意识的培养，加大对各级领导干部进行密码培训的力度推动密码知识进校园，进党校（行政学院）、干部学院。

二、将密码安全教育纳入国民教育体系和公务员教育培训体系

国民教育体系，是指由正规学校教育的国家基本教育制度和体系，一般包括学前教育、小学教育、初中教育、高中教和高等教育等层级，类型分为普通教育和职业教育。百年大计，教育为本。教育是民族振兴、社会进步的基石，是提高国民素质、促进人的全面发展的根本途径。将密码安全教育入国民教育体系，在各阶段的教育过程中，开展密码常识、密码安全意识的教育，有利于提高全民密码安全意识，提高全社会自觉使用密码保护网络与信息安全、维护国家密码安全的意识。密码安全教育可以与网络安全相关教育合并开展。

为了在履行职责过程中更好地贯彻总体国家安全观，建设高素质的公务员队伍，有必要对公务员进行密码安全教育，将密码安全教育纳入公务员教育培训体系。公务员培训中密码安全教育主要是关于密码常识、密码安全意识和密码工作的教育，有利于提高公务员的密码安全意识与履职能力。

第十一条县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划，所需经费列入本级财政预算。

【释义】本条是关于密码工作规划和经费预算的规定。

为更好地推动密码工作，促进密码事业发展，县级以上人民政府应当将密码工作纳本级国民经济、社会发展规划和重要工作部署，明确本地区密码工作发展的目标任务，落实相关保障措施，作为维护国家安全、促进地区经济社会发展和科技进步的一项重要工作。2016年，国务院印发的《“十三五国家信息化规划》（国发（2016）73号）已经明确将密码工作纳人规划。同时，县级以上人民政府应当将密码工作所需经费列入本级财政预算，保障密码工作顺利开展，充分发挥密码在网络与信息安全中的基础支撑作用。

第十二条任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。

任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。

【释义】本条是关于禁止从事密码违法犯罪活动的规定

密码是一把“双刃剑”，既可以用于合法的信息保护，也可能被用来从事违法犯罪活动。密码一旦被用来从事违法犯罪活动，将严重危害国家安全社会公共利益和公民个人合法权益。因此，本条规定，任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统，不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。

一、不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统

本条第一款明确规定，任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。窃取他人加密保护的信息，是指未经他人授权，采用非法攻击密码等方式获取他人加密保护的信息的违法行为。例如，2012年爆发的“火焰”病毒就是利用了在 Windows系统中普遍使用的MD5算法存在弱点，通过伪造数字证书成功绕过了操作系统的身份鉴别机制，得以进入受害者信息系统，并且盗取大量重要数据信息。非法侵入他人的密码保障系统，是指未经他人授权，采用非法攻击密码等方式进入他人的密码保障系统。这里的“密码保障系统”，是指采用密码技术、产品或者服务集成建设的，实现加密保护、安全认证功能的系统。典型的密码保障系统包括：数字证书认证系统、增值税发票防伪税控系统、政务服务平台电子印章系统。例如，2009年，由于缺乏基于密码技术的强身份鉴别和访问控制手段，“震网”病毒侵人伊朗纳坦兹铀浓缩工厂的工业控制室计算机，并一步一步攻入纳坦兹的核心系统，破坏伊朗铀浓缩项目，阻止伊朗制造核武器，迟滞了伊朗的核计划。

需要注意的是，合法的密码科学研究中对密码进行分验证测试的行为，不会危害国家安全、社会公共利益、他人合法权益，不属于密码违法犯罪行为。

二、不得利用密码从事危害国家安全、社会公共利益他人合法权益等违法犯罪活动

本条第二款明确规定，任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。随着网络信息技术的不断发展，利用密码从事违法犯罪活动的案例屡见不鲜，造成了广泛的社会影响。例如，2017年5月，一款名为“魔哭＂（Wanna Cry）的虫物索软件袭击全球网络。它加密受害者电脑内的重要文件，除非受害者通过比特币交出赎金，否则加密文件无法恢复。“魔哭”勒索软件的影响范围覆盖全球150多个国家和地区，超过30万台设备受到感染和影响。我国的“灾情”较为严重，有3万多家机构、数十万台设备受到该软件袭击，给国家、社会和公民个人财产造成巨大损失，严重危害了国家安全和社会稳定。

本条关于不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动的规定是与有关法律、行政法规的规定相衔接的。例如，《网络安全法》第二十七条规定，任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵人网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。《治安管理处罚法》第二十九条对下列危害网络安全的行为规定了治安管理处罚：（）违反国家规定，侵入计算机信息系统，造成危害的；（二）违反国家规定，对计算机信息系统功能进行删除、修改、增加、扰，造成计算机信息系统不能正常运行的；（三）违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的；（四）故意制作传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的。《保守国家秘密法第二十四条规定，机关、单位应当加强对涉密信息系统的管理，任何组织和个人不得有下列行为：自卸载、修改涉密信息系统的安全技术程序、管理程序。刑法）第二百八十五条、第二百八十六条、第二百八十七条之等相关条款关于危害网络安全犯罪的规定也涵盖了密码犯罪行为：违反国家规定，侵国家事务、国防建设、尖端科学技术领域的计算机信息系统；违反国家规定，侵入其他计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制；提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行；违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除修改、增加的操作；故意制作，传播计算机病毒等坏性程序，影响计算机系统正常运行明知他人利用信息网络实，为其犯提供互联接人服务器托管、络存通传输等技术支持，或者提供广告广、支付结算等助相关词法解释还对上述行为作了具体界定。

第二章核心密码、普通密码

第十三条国家加强核心密码、普通密码的科学规划、管理和使用，加强制度建设，完善管理措施，增强密码安全保能力。

【释义】本条是关于核心密码、普通密码管理原则的规定

核心密码、普通密码用于保护国家秘密信息，其本身也属于国家秘密，直接关系国家安全。本条从以下几个方面规定了核心密码、普通密码的管理原则。一是国家加强核心密码普通密码的科学规划、管理和使用。为深人贯彻落实党中央对密码工作的决策部署，国家着眼密码工作长远发展，加强心密码、普通密码的科学规划、管理和使用，确保核心密码、普通密码安全。二是加强制度建设，完善管理措施。国家密码管理部门和有关部门制定印发了核心密码、普通密码管理的系列法规制度和标准规范，对核心密码、普通密码的科研生产服务、检测、装备、使用和销毁等各个环节实行全生命周期的严格统一管理。三是增强密码安全保障能力。国家加强密码保障体系和密码安全监管能力建设，强化密码安全监测预警、安全风险评估、应急处置和监督管理等工作，夯实密码安全基础。

第十四条在有线、无线通信中传递的国家秘密信息，以及存储、处理国家秘密信息的信息系统，应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护安全认证。

【释义】本条是关于核心密码、普通密码使用要求的规定。

当前，网络与信息技术发展迅速，使信息的传递、存储、处理技术发生了深刻变化，大量的国家秘密信息通过有线、无线通信方式传递，或者进入网络及计算机信息系统进行存储和处理。与此同时，一些地方和部门使用核心密码、普通密码保护国家秘密的意识还不强，还存在不按规定使用密码的情况，给国家网络与信息安全带来严重隐患。针对上述情况，参照《保守国家秘密法》的规定，本条明确要求，在有线、无线通信中传递的国家秘密信息，或者存储、处理国家秘密信息的信息系统，应当依法使用核心密码、普通密码进行加密保护、安全认证。具体来说，核心密码用于保护国家绝密级、机密级、秘密级信息，普通密码用于保护国家机密级、秘密级信息。

有线通信是指利用金属或光纤来传递信息的通信方式。无线通信是指利用无线电波在空间的传播来传递信息的通信方式。针对有线、无线通信易于泄密的特点，《保守国家秘密法》明确规定，禁止在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密。《保守国家秘密法实施条例》进一步明确，传递国家秘密载体，应当通过机要通信等符合保密要求的方式进行。密码是保障网络与信息安全的核心技术和基础支撑，是实现保密的最有效手段因此，本条要求在有线、无线通信中传递的国家秘密信息依法使用核心密码、普通密码进行加密保护、安全认证。

存储、处理国家秘密信息的信息系统（涉密信息系统）关系到国家秘密信息的安全，关系到国家安全、经济命脉和社会稳定，必须依法使用核心密码、普通密码进行保护。《保守国家秘密法》《计算机信息系统保密管理暂行规定》等法律法规对涉密信息系统的建设、规划作出了规定，要求涉密信息系统应当按照法律法规和标准规范配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划，同步建设，同步运行。核心密码、普通密码作为保护国家秘密的有效手段，在规划和建设涉密信息系统时，应当同步规划、建设密码保障系统，密码保障系统应当与涉密信息系统同步运行。

第十五条从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构（以下统称密码工作机构）应当按法律、行政法规、国家有关规定以及核心密码、通密码标准的求，立健全安全管理制度，采取严格的保密和保密贵任制，确保心码、通密码的安全。

【释义】本条是关于核心密码、管通密码安全保密管理的规定。

本条所称密码工作机构，是指从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构，本条要求密码工作机构应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准规范的要求，建立健全安全管理制度，采取严格的保密措施和保密责任制，这是由密码工作由密码工作的性质，特点所决定的，也是我国密码工作多年成功经验的总结安全是密码的生命线，密码工作机构应当按照本法和相关法律法的要求，在科研、生产、服务、检测、装备、使用和销毁等各个环节建立健全安全管理制度，将保密和保密责任制规范化、制度化和体系化，有效保证核心密码、普通密码自身的安全，实现所保护的国家密信息的安全，这方面绝不能有丝毫麻痹和松懈，否则将会给党和国家根本利益带来不可弥补的损失。

在具体工作中，密码管理部门通过签订保密责任书等方式，落实密码安全责任；通过定期组织检查和抽查，对密码使用管理安全保密情况进行督导；通过实行密码工作人员培训和持证上岗制度，加强对密码工作人员的安全保密教育。

第十六条密码管理部门依法对密码工作机构的核心密码、普通密码工作进行指导、监督和检查，密码工作机构应当配合。

【释义】本条是关于核心密码、普通密码工作监督检查的规定。

为依法严格科学管理核心密码、普通密码，本条明确了密码管理部门对密码工作机构在核心密码、普通密码方面的指导、监督和检查职能，以及密码工作机构对密码管理部门监督检查的配合义务。

密码工作机构是密码管理部门的管理对象。密码管理部门按照本法和其有有法法律法规的规定，对密码的工作机构开展核心密码、普通密码工作的情况进行指导、监督和检查。主要内容是，密码工作机构是严格依照法律、法现和国家有关规定开展核心密码，普通密码工作，正当行使权利和履行义务。通过指导、监督和检查，能够促使密码工作机构提高密码安全意识，完善密码管理制度，落实密码工作责任，排除隐患、堵塞漏洞、杜绝密码泄密事件和责任事故发生，推动核心密码、普通密码工作科学规范开展。本条所称依法，是指密码管理部门在行使上述检查职权时，必须以法律法规和有关政策为依据，不能随意行使或扩大其职权。

配合密码管理部门的指导、监督和检查，属于密码工作机构的法定义务，必须履行。具体包括：密码工作机构应当如实提供密码工作制度的建立健全情况，保密随和保密任的取实情况，为码管理门工作人员的备支持工作场等多需的工作条，接受密码管理部门提出的整改意见、建议，落实整改要求和相应的法律后果等。

第十七条密码管理部门工作会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和和应急处置等协作机制，确保核心密码、普通密码安全管理协同联动和有序高效。

密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的，应当立即采取应对措施，及时向保密行政管理部门、密码管理部门报告，由保密行政部门、密码管理部门会同有关部门开展调查、处置，并指导有关密码工作机构及时消除安全隐患。

【释义】本条是关于核心密码、普通密码安全协作机制和安全问题查处的规定。

一、核心密码、普通密码安全协作机制

为确保核心密码、普通密码安全，全天候全方位感知密码安全态势，就必须统筹协调国家有关部门共同推进密码安全管理工作，建立密码管理部门和有关部门间的监测预警、风险评估、信息通报、重大事项会商、应急处置等协作机制，准确把握密码安全风险发生的规律、动向、态势，实现密码情报信息的及时收集、准确分析、有效使用和共享，提高密码安全事件的应对处置能力。

密码安全监测预警，是指针对包括窃取加密保护的信息，非法攻击、侵入密码保障系统等密码安全风险进行持续性监测、收集相关信息，发出预警信号，报告危险情况，最大程度降低密码安全事件造成的损害。及时、准确的密码安全监测预警是有效管控密码安全风险，保护的国家密码信息和涉密信息系统安全的前提和基础，密码安全风险评估，是指对密码安全风险以及密码安全事件造成的影响进行科学的分析、研判和评估。密码安全信息通报，是指密码管理部门和公安、国家安全、网信、工业和信息化、保密等有关部门相互通报密码安全风险以及密码安全事件等相关信息，通过整合多方资源、交流共享密码安全安全信息，实现密码安全的综合防控和主动防范。密码安全重大事项会商，是指密码管理部门和公安、国家安全、网信、工业和信息化、保密等有关部门，共同研究，协商解决密码安全重大问题。密码安全应急处置，是指通过制定应急预案、组织应急演练、开展应急响应等措施，将密码安全事件造成的后果和不利影响到最低限度。密码安全监管工作涉及多个管理部门，密码安全信息的来源分散、数据体量大，要求上述各有关部门要在各自职责范围内负责落实密码安全信息收集、分析、通报和处置工作，又要加强各部门相互之间的沟通协作，形成协同联动和有序高效的协作机制。

总之，本条规定的密码安全监测预警、安全风险评估、信息报、重大事项会商和应急处置等协作机制，是在总体国家安全观的统领下，密码管理部门与有关部门明确工作责任、工作程序，建立全天候、全方位密码安全态势感知和协同处置机制，有利于提高密码安全事件应急处置的针对性协同性和有效性。

二、核心密码、普通密码泄密等安全问题查处

核心密码、普通密码属于国家秘密。为切实保护密码秘密，维护国家安全，密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患时，要立即采取应对措施，并及时向保密行政管理部门、密码管理部门报告，由保密行政管理部门、密码管理部门会同有关部门组织开展调查处置。密码工作具有很强的系统性，牵发而动全身，凡是涉及密码安全的重大问题、风险隐患，都必须高度重视，及时进行处理，防止任何隐患演化为全局性问题和风险。

核心密码、普通密码泄密既包括核心密码、普通密码故意泄密，也包括核心密码、普通密码过失泄密，主要有以下三种情形:一是使核心密码、普通密码被不应知悉者知悉;二是使核心密码、普通密码超出了限定的接触范围，而不能证明未被不应知悉者知悉;三是核心密码、普通密码丢失，下落不明。影响核心密码、普通密码安全的重大问题、风险隐患，是指核心密码、普通密码设备、部件、系统等发生损毁、中断、被攻击侵入等情况，已经或可能对密码安全构成威胁。采取应对措施是指为避免核心码密、普通密码泄密或减轻泄密后果而采取的一切合法和必要的措施。究意如何采取应对措施以及采取何种应对措施，应根当时的具体情况和现实条件作出决定。要求密码工作机构在发生核心密码、普通密码等泄密等安全问题时及时报告，是为了让保密行管理部门、密码管理部门及时了解情况，以便采取相应措施，及时组织查处，最大限度地减少可能造成的损害。

为规范和加强密码泄密案件等安全问题查处工作，参照《保守国家秘密法》的规定，同时考虑到密码工作的特性和密码管理部门的管理实践，本条第二款规定，由保密行政管理部门、密码管理部门会同有关部门组织开展核心密码、普通密码泄密案件等安全问题的调査、处置工作。核心密码、普通密码泄密案件查处的主要工作内容包括:一是查明核心密码、普通密码泄密事项的内容与密级，对于密码下落不明的，分析研判去向;二是查明案件事实、主要情节和有关责任人员;三是要求有关机关、单位及时采取必要的补救措施;四是根据有关法律法规和国家有关规定对责任人员提出处理建议，并督促机关、单位作出处理;五是针对案件暴露出的问题，指导有关密码工作机构及时消除安全隐患。

第十八条国家加强密码工作机构建设，保障其履行工作职责。

国家建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。

【释义】本条是关于核心密码、普通密码工作机构和人员管理的规定。

密码工作机构承担着核心密码、普通密码的科研、生产服务、检测、装备、使用和销毁等重要任务，肩负着保障国家网络与信息安全的重要职责，应当加强密码工作机构建设，在人、物力、财力等方面加大保障力度，保障其有效履行工作职责。

核心密码、普通密码工作人员直接接触和掌握着国家秘密，岗位特殊、责任重大。加强对这些特殊工作人员的培养、使用和激励，对其进行更严格的管理，直接关系到我国密码事业的健康发展。因此，本法将现行有关中央文件和党内法规中关于核心密码、普通密码工作人员管理的制度转化为法律规定，主要包括:(1)密码工作人员按照涉密程度实行分类管理。(2)密码工作人员应当具有良好的政治素质和品行，具有胜任密码工作岗位所要求的工作能力。(3)密码工作人员上岗应当经过密码教育培训，掌握密码知识技能，签订保密承诺书，严格遵守密码管理规章制度，不得以任何方式泄露国家秘密。(4)密码工作人员出境应当经有关部门批准。(5)密码工作人员离岗离职实行脱密期管理。

第十九条密码管理部门因工作需要，按照国家有关规定，可以提请公安、交通运输、海关等部门对核心密码、普通密码有关物品和人员提供免检等便利，有关部门应当予以协助。

【释义】本条是关于核心密码、普通密码免检便利的规定。

密码管理部门在工作中，需要配发递送核心密码、普通密码。由于核心密码、普通密码属于国家秘密，应当严格控制接触和知悉范围，并按照有关规定严格做到密不离人，有关物品、人员进出国(边)境、限制区域、场所，或者乘坐火车、飞机、轮船等交通工具时，不宜对有关物品和人员进行检，否则可能造成泄密，危害国家安全。为此，本法赋予密码管理部门提请有关部门对核心密码、普通密码有关物品和人员免检的权力。根据本条规定，提请免检必须符合以下条件:一是必须基于密码工作需要。提请免检必须为开展密码工作所必需，如果提出免检的要求与密码工作无关，则不能适用这一规定。二是必须按照国家有关规定向有关部门提请。这里的“国家有关规定”，是指法律、行政法规和国家有关规定中关于免检的规定，以及国家密码管理部门与国家有关部门关于免检的具体条件、提请的程序、免检的具体范围等方面的规定。这里的“有关部门”，是指公安、交通运输、海关等履行法定检査职责的部门。这里规定的“提请”是一个必经的程序，密码管理部门在要求对有关物品和人员免检时，在一般情况下应事先向有关部门提出以协助的请求。在一些特别紧急来不及事先提出请求的情况下，密码管理部门应向有关部门说明情况，取得支持。三是提请免检的对象限于核心密码、普通密码有关物品和人员。本条规定的“核心密码、普通密码有关物品和人员”，前者包括核心密码、普通密码设备、部件、系统等，后者包括有关部门和单位履行核心密码、普通密码工作职责的人员。对符合上述条件的请求，本法明确公安、交通运输、海关等有关部门应当予以协助

第二十条密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度，对其工作人员遵守法律和纪律等情况进行监督，并依法采取必要措施，定期或者不定期组织开展安全审查。

【释义】本条是关于核心密码、普通密码工作人员监督和安全审查的规定。

对核心密码、普通密码工作人员进行监督和开展安全审査，是确保密码工作人员纯洁可靠的一项有效措施，也是涉密人员管理的通行做法。密码管理部门和密码工作机构的工作人员经常接触核心密码、普通密码，掌握着国家秘密，性质特殊、责任重大，应当对其遵守法律和纪律等情况进行监督，并依法采取必要措施，定期或者不定期组织开展安全审查。本法要求密码管理部门和密码工作机构建立健全严格的密码工作人员监督管理制度，明确密码工作人员的权利、岗位责任和要求，对密码工作人员遵纪守法和履行职责等情况开展经常性的监督检査。这里的“遵守法律和纪律”，除了基本和一般性的法律和纪律要求外，特别包括对密码工作相关法律法规和纪律的遵守，主要包括《密码法》《国家安全法》《网络安全法》《保守国家秘密法》以及与密码工作相关的政策、文件、规定等。

密码工作人员应当具有良好的政治素质和品行，具有胜任密码工作岗位所要求的工作能力。密码管理部门和密码工作机构在录用、选调密码工作人员前，必须按照有关规定组织开展安全审查，同时定期或者不定期对在职的密码工作人员组织开展安全审查。审查内容主要包括本人的政治条件、个人品行、家庭社会关系等。对密码工作人员要按照先审后用的原则，严把资格审查和录用关，不符合条件者坚决不予录用;审查不合格的密码工作人员，应当及时调离密码工作岗位。

第三章商用密码

第二十一条国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用，健全统一、开放、竞争、有序的商用密码市场体系，鼓励和促进商用密码产业发展。

各级人民政府及其有关部门应当遵循非歧视原则，依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。商用密码的科研、生产、销售、服务和进出口，不得损害国家安全、社会公共利益或者他人合法权益。

【释义】本条是关于商用密码管理原则的规定。

一、商用密码管理立法思路

虽然商用密码用于保护不属于国家秘密的信息，但商用密码可用于保护工作秘密、商业秘密、个人信息等，用途非常广泛，直接关系国家安全、社会公共利益以及公民、法人和其他组织的合法权益，应当依法进行管理。首先，商用密码是国际公认的两用物项，对商用密码实施管理，是国际通行做法。同时，商用密码广泛用于金融、电子政务、通信、能源、交通等关键信息基础设施的网络和信息系统，应当对其实施必要监管，对商用密码的合规、正确、有效应用提出明确要求，保障关键信息基础设施的安全稳定运行，维护国家安全和社会公共利益。

1999年10月7日，国务院颁布施行《商用密码管理条例》，标志着我国商用密码管理正式迈入了法治轨道。二年来，商用密码从无到有，从弱到强，取得了丰硕成果。党的十八大以来，商用密码进入快速发展期，为保障我国网络与信息安全作出了重要贡献。同时，1999年《商用密码管理条例)规定的对商用密码实行全环节许可管理的手段已不适应当前密码管理职能转变和“放管服”改革要求，不适应网络与信息化飞速发展对商用密码应用的需求，亟需在立法层面重塑现行商用密码管理制度。

《密码法》在商用密码管理方面的立法思路主要有以下三个方面:一是坚决贯彻落实“放管服”改革要求，充分体现非歧视和公平竞争原则，进一步削减行政许可数量，放宽市场准入，最大限度减少对市场活动的直接干预，切实降低制度性交易成本，更好地激发市场活力和社会创造力，增强商用密码产业发展动力。二是以转变政府职能为核心，由《商用密码管理条例》规定的全环节严格管理调整为重点把控产品销售、服务提供、使用、进出口等关键环节，管理方式上由重事前审批更多地转为事中事后监管，以市场主体需求为导向，重视发挥标准化和检测认证的支撑作用，进一步创新监管方式，提升监管效能。三是对于关系国家安全和社会公共利益，又难以通过市场机制或者事中事后监管方式进行有效管理的少数事项，规定了必要的行政许可和管制措施，坚决守住安全底线。

二、鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用

本条与本法第九条促进密码科学技术进步和创新的规定是衔接一致的。在商用密码科研、学术、产业、应用、管理等多方主体的共同努力下，商用密码科技创新成果显著，为商用密码技术进步注入了强大动力，也充分发挥了对商用密码产业的引领带动作用。

在鼓励商用密码技术研究开发方面，国家设立密码发展基金，面向社会公开申报研究课题，鼓励社会力量参与商用密码技术的研究开发。密码发展基金累计支持课题近200个，涵盖了分组密码、序列密码及密码函数、公钥及杂湊算法、量子及抗量子密码、新型密码算法、密码协议、新技术及新应用密钥管理、密码实现、密码分析测评等多个方面，多个课题成果达到了国际先进或国内领先水平，有力促进了我国商用密码基础理论研究、技术转化和产业应用。同时，国家密码管理局推荐社会各方面所开发的优秀商用密码科研科技成果申报国家科技进步奖和密码科技进步奖(省部级)，鼓励商用密码技术研究开发，激发创新活力。截至2019年12月，商用密码领域共获得国家科技进步奖一等奖1项、二等奖5项，省部级密码科技进步奖60余项。

在鼓励商用密码技术学术交流方面，中国密码学会等学术组织充分发挥平台作用，创建密码科普馆，举办科技展览，积极开展密码科普活动，出版50多种密码相关书籍刊物，大力普及密码知识，密码学术交流活动日益丰富。同时，全国商用密码展览会、中国密码学会年会、《密码学报》、全国密码技术竞赛等已成为我国密码学术研究和产业对接的高端平台。在努力提升全民密码科学文化素质的同时，一批密码学术研究领军人才、青年密码学家开始在国际舞台上露头角，为商用密码的可持续发展提供了可靠的人才保障。中国密码学会等学术组织还积极开展国际密码学术交流活动，加强与国际密码协会等国际组织及相关企业的联系与交流。2012年，中国密码学会成功承办国际密码协会三大密码学术年会之亚洲密码年会，来自欧美亚非洲等31个国家和地区的325位正式代表参会，参会人数创历年亚密会之最，极大地促进了国内密码学者与国际密码学者间的学习和交流。2012年以来，中国密码学会连续多年与美国信息技术产业理事会联合举办商用密码技术国际学术研讨会，极大地促进了国内外密码学界和产业界之间的沟通交流。

在鼓励商用密码技术成果转化方面，商用密码科研成果主要包括商用密码算法、协议、密钥管理方案等，而成果转化活动是一个复杂过程，转化的最终目的是形成新技术、新工艺、新材料、新产品，乃至发展新产业。也就是说，要形成现实的生产力，只有这样，才能实现该科研成果的价值。以商用密

码算法为例，我国自主设计的SM4分组密码算法、祖冲之

(ZUC)密码算法、SM2椭圆曲线公钥密码算法、SM3密码杂

凑算法，以及SM9标识密码算法等已成为商用密码国家标准

或行业标准，标志着我国商用密码算法体系已经基本形成。

SM系列算法经过了多轮安全性分析评估，在设计、实现方面

均有各自特点和优势，有力地支撑了商用密码产业化、规模化发展，得到了越来越广泛的认可和应用。

得益于商用密码技术研发和成果转化的有力支撑，商用密码的应用领域不断扩大，应用程度不断加深，应用认可度不断提升，在维护国家安全、促进经济社会发展、保护公民、法人和其他组织合法权益方面发挥着越来越重要的作用。我国金融信息系统、第二代居民身份证管理系统、国家电力信息系统、社会保障信息系统、全国中小学学籍管理等系统中，都应用商用密码技术构建了密码保障体系。同时，商用密码的广泛应用也对高质量商用密码技术、产品和服务提出了迫切需求，反过来极大促进了商用密码技术的研发交流和转化运用。

三、健全统一、开放、竞争、有序的商用密码市场体系

本条确立了我国商用密码市场体系的基本特征，也是我国商用密码市场体系建设的根本目标。统一、开放、竞争、有序是现代市场体系的基本特征。统一是指商用密码市场体系在全国范围内应该是统一的，必须打破条块分割、地区封锁，商用密码可以在行业、地区之间自由流通。开放是指商用密码市场体系既要对内开放，允许商用密码从业单位和商用密码产品、服务在全国范围内自由地跨地区流动，又要对外开放，依法平等对待包括外商投资企业在内的商用密码从业单位，通过与国际市场广泛联系，积极参与国际分工与竞争。争是指商用密码市场体系必须在一个公平竞争的环境下运行。只有通过充分竞争、优胜劣汰，形成合理正面的价格信号，才能有效引导商用密码的进步和流通，实现资源优化配置。有序是指有一定的规则来维持商用密码市场的正常秩序，保证公平竟争和资源合理流动。这种规则既包括法律法规，也包括行业规范、国际惯例、商业信用等。建立统一、开放、竟争有序的商用密码市场体系，是市场经济所追求的“公平与效率”原则的体现，是促进商用密码持续发展的内在要求，也是商用密码国际化的题中之义。党的十八大以来，按照“放管服”改革要求，国家相继取消了“商用密码科研单位审批”等一批行政许可事项，并取消全部行政审批中介服务和证明事项。《密码法》充分体现非歧视和公平竞争原则，按照“放管服”改革要求，进一步削减行政许可数量，放宽市场准入，发挥标准引领作用，加强检测认证体系建设，激发市场主体活力和社会创造力，有关许可和检测认证体系对国内外产品、服务以及内外资企业一视同仁同等适用，不歧视外商投资企业以及外国产品和服务，不对贸易和投资构成壁垒。

四、鼓励和促进商用密码产业发展

经过多年发展，我国商用密码产业取得长足进步，满足网络空间条件下差异化、多样化应用需求的能力不断提升，产业

支撑能力显著增强。

首先，商用密码产业队伍持续壮大。截至2019年12月，商用密码从业单位已达1000多家。随着信息化发展对密码需求的不断增长，以商用密码为主业的上市公司越来越多批具有国际影响力的旗舰企业，踊跃进入商用密码产业领域按照商用密码管理政策法规和标准规范研制商用密码产品、提供商用密码服务。这些企业活跃在商用密码产业链条的各个领域，形成了分布合理、竞争有序、创新力强的商用密码产业队伍，创造了巨大的经济效益和社会效益。其次，商用密码产品种类不断丰富。截至2019年12月通过国家密码管理局审批的商用密码通用产品有2000余款。2019年，全年共销售商用密码产品19亿台/套。从产品形态上，覆盖芯片、板卡、整机、系统等全产业链;从功能性能上，一批关键、基础、高性能商用密码产品推向市场，基本形成层次分明、功能完善、性能优异的产品体系;从应用领域上，更多满足电力、公安、交通、税务、金融等领域密码应用需求的产品可供选择，也有一批针对移动互联网、物联网、云计算、大数据等新兴领域的特定商用密码产品研制成功并得到应用。此外，商用密码检测和电子认证服务能力进一步增强。密码检测基础理论、技术平台建设、运行机制等方面都取得新突破，多项成果达到国际先进水平，较好地满足了商用密码管理和产业发展对检测评估的需求。电子认证服务正在逐步构

建一个以国家电子认证根CA为认证源点，辐射全国各地区

各行业、连接上亿用户的电子认证体系。

四、非歧视原则和技术保护

非歧视原则是世界贸易组织的基本法律原则之一，在世界贸易组织的管辖领域内，各成员应公平、公正、平等地对待其他成员的包括货物、服务、服务提供者或者企业、知识产权所有者或者持有者等在内的与贸易有关的主体和客体。《外商投资法》第九条规定:“外商投资企业依法平等适用国家支持企业发展的各项政策。”同时，我国行政许可、政府采购、招投标、反垄断等领域都明确了非歧视原则。近年来，我国政府针对提升营商环境做出了全方位的努力，相继推出“放管服改革，“互联网+政务”“最多跑一次”等政策，这些利好的施亦惠及包括外商投资企业在内的所有市场主体。《密码法》充分体现非歧视和公平竞争原则，按照“放管服”改革要求，进一步削减行政许可数量，放宽市场准入，发挥标准引领作用，加强检测认证体系建设，激发市场主体活力和社会创造力，有关许可和检測认证体系对国内外产品服务以及内外资企业一视同仁、同等适用。本条进一步明确要求各级人民政府及其有关部门应当遵循非歧视原则，依法平等对待包括外商投资企业在内的商用密码从业单位。本条所称商用密码从业单位，是指商用密码科研、生产、销售、服务、进出口等单位。

我国高度重视对外商投资知识产权的保，《外商投资法》第二十二条第二款规定:“国家鼓励在外商投资过程中基于自愿原则和商业规则开展技术合作。技术合作的条件由投资各方遵循公平原则平等协商确定。行政机关及其工作人员不得利用行政手段强制转让技术。”知识产权保护也是《密码法》突出强调的内容，本条对商用密码技术合作的知识产权保护进行具体规定，明确商用密码技术合作的前提是基于自愿原则和商业规则，行政机关及其工作人员不得利用行政手段强制转让商用密码技术。本条一方面与《外商投资法》相衔接，回应了各有关方面对我国外商投资过程中知识产权保护尤其是技术合作、转让的关切，澄清问题，消除疑虑;另一方面，也表明了我国不利用行政强制手段强制转让商用密码技术的态度，依法平等保护包括外商投资企业在内所有市场主体的商用密码知识产权，切实健全统一、开放、竞争、有序的商用密码市场体系。

六、商用密码活动的禁止性规定

依据我国宪法，任何个人和组织都享有宪法和法律规定的权利，但同时也必须履行宪法和法律规定的义务;在行使自由和权利的同时，不得损害国家的、社会的集体的利益和其他公民的合法的自由和权利。商用密码活动也是如此。《密码法)在规定商用密码从业单位有权依法从事商用密码科研、生产、销售、服务和进出口等活动的同时，要求这些机构必须对其行为负责，必须履行法律规定的义务，不得从事法律规定禁止从事的违法犯罪活动，不得损害国家安全、社会公共利益或者他人合法权益。

本条第三款与本法第十二条第二款的规定衔接一致而又各有侧重。这两款都是要求有关主体不得侵害有关权益的禁止性规定。本法第十二条第二款涉及的环节是利用密码即密码使用环节，侧重于禁止利用密码从事危害国家安全社会公共利益、他人合法权益等违法犯罪活动，针对的义务主体是任何组织或者个人;本条第三款涉及的环节是商用密码科研、生产、销售、服务和进出口环节，侧重于禁止上述活动损害国家安全、社会公共利益或者他人合法权益，针对的义务主体是商用密码从业单位。

第二十二条国家建立和完善商用密码标准体系。

国务院标准化行政主管部门和国家密码管理部门依据各自职责，组织制定商用密码国家标准、行业标准。

国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。

【释义】本条是关于商用密码标准体系的规定。

商用密码标准化是实现商用密码技术自主创新、促进商用密码产业发展、构建商用密码应用体系的重要支撑。根据《标准化法》的规定，本条明确商用密码标准体系包括商用密码国家标准、行业标准、团体标准和企业标准。商用密码国家标准、行业标准属于政府主导制定的标准，商用密码团体标准、企业标准属于市场主体自主制定的标准。其中，商用密码国家标准由国家标准化管理委员会组织制定，代号为GB。商用密码行业标准由国家密码管理局组织制定，报国家标准化管理委员会备案，代号为GM。商用密码团体标准由商用密码领域的学会、协会等社会团体制定，商用密码企业标准由商用密码企业制定或者企业联合制定。

2011年10月，经国家标准化管理委员会批准，国家密码管理局设立了密码行业标准化技术委员会。密码行业标准化技术委员会作为我国密码行业唯一标准化组织，受国家密码管理局委托，主要职责包括:(1)提出密码行业标准规划和年度标准制定、修订计划的建议;(2)组织密码行业标准的编写、审査、复审等工作;(3)组织密码领域的国家和行业标准的宣传贯彻，推荐密码领域标准化成果申报科技进步奖励，或向国家标准化管理委员会提出项目奖励建议;(4)受国家标准化管理委员会委托，对相关国际标准文件进行表决、审查我国提案，并组织开展国际技术交流与合作等。当前，商用密码的行业标准分为基础类标准、应用类标准、检測类标准和管理类标准。基础类标准为其他三类标准提供了底层、共性支撑(如术语、算法、协议、产品等);检测类标准为基础类标准和应用类标准提供了合法性检测的功能，保障商用密码使用的合法性;管理类标准为其他三类标准提供了管理功能;应用类标准为上层具体的密码产品、服务应用提供支持。

截至2019年12月，国家标准化管理委员会已发布商用密码国家标准29项，国家密码管理局已发布商用密码行业标准91项，覆盖商用密码技术、产品、服务、应用、检测和管理等多个领域，构建了较为齐全完备的商用密码标准体系，有效发挥了商用密码标准在引领科技进步、推动产业发展、促进互联互通、助力应用推进、优化管理服务等方面的重要作用。

社会团体和企业利用自主创新技术制定高于商用密码国家标准、行业标准的商用密码团体标准、企业标准，有利于社会团体和企业在市场竞争中占据优势，提升自身和行业的市场争力，有利于商用密码标准体系的丰富健全和整体水平的提高，也有利于促进商用密码技术的创新发展。

第二十三条国家推动参与商用密码国际标准化活动参与制定商用密码国际标准，推进商用密码中国标准与国外标准之间的转化运用。

国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。

【释义】本条是关于商用密码国际标准化的规定。国际标准是指国际标准化组织制定的标准，以及国际标准化组织确认并公布的其他国际组织制定的标准。国际标准在世界范围内统一使用。目前，全球范围内的主要国家和国际标准化组织包括:国际标准化组织(ISO)、国际电工委员会(IEC)、国际电信联盟电信标准化部门(ITU-T)、全球移动通信系统协会(GSMA)、电气和电子工程师协会(IEEE)、美国国家标准协会(ANSI)、电子工业联合会(EIA)等。参与国际标准化活动包括开展标准化对外交流与合作，参与制定国际标准、结合国情采用国际标准、推进中国标准与国外标准间的转化运用等。

我国高度重视商用密码国际标准化工作，大力推进以我国自主设计研制的SM系列密码算法为代表的中国商用密码标准纳国际标准，积极参与国际标准化活动，加强国际交流合作。2011年9月，我国设计的祖冲之(ZUC)算法纳入第三代合作伙伴计划组织(3GPP)的4G移动通信标准，用于移动通信系统空中传输信道的信息加密和完整性保护，这是我国密码算法首次成为国际标准。2015年5月起，我国陆续向ISO提出了将SM2、SM3、SM4和SM算法纳入国际标准的提案。2017年，SM2和SM9算法正式成为ISO/IEC国际标准。2018年，SM算法正式成为ISO/IEC国际标准。我国商用密码国际标准体系已初步成型，为密码在全球范围的发展与应用提供了中国方案，贡献了中国智慧。

在转化运用国际标准方面，商用密码行业标准GM/T0028《密码模块安全技术要求》和GM/T0039《密码模块安全检测要求》，分别参考国际标准ISO19790和ISO24759编制，为规范商用密码产品管理、提升商用密码产品安全防护能力发挥了重要作用，充分体现了商用密码标准制定的开放性。企业、社会团体和教育、科研机构等全面深入地参与商用密码国际标准的制修订等国际标准化活动，是全球化的必然趋势和要求，有利于提升商用密码技术的全球影响力，同时也为降低包括密码脆弱性在内的全球网络安全整体风险贡献中国智慧和提供中国方案。

第二十四条商用密码从业单位开展商用密码活动，应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。

国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准，提升商用密码的防护能力，维护用户的合法权益。

【释义】本条是关于商用密码标准法律效力的规定。

商用密码从业单位开展商用密码活动应当依照有关法律、行政法规的规定行使权利和履行义务，是遵守法律的必然要求。商用密码从业单位开展商用密码活动，除了遵守法律行政法规，还应当符合商用密码强制性国家标准以及该从业单位公开标准的技术要求。此外，国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准。

一、商用密码强制性国家标准和推荐性国家标准、行业标准

我国标准按照实施效力分为强制性标准和推荐性标准。强制性标准仅有国家标准一级。推荐性标准包括推荐性国家标准和行业标准。也就是说，商用密码行业标准都是推荐性标准。强制性标准必须执行，不符合强制性标准的产品、服务，不得生产、销售、进口或者提供。违反强制性标准的，依法承担相应的法律责任。国家鼓励采用推荐性标准，即从业单位自愿采用推荐性标准。同时国家还会采取一些正向激励措施，鼓励企业采用推荐性标准。但在有些情况下，推荐性标准的效力会发生转化，必须执行，例如:(1)推荐性标准被相关法律、法规、规章等引用，则该推荐性标准具有相应的强制约東力，应当按照法律、法规、规章的相关规定予以实施。(2)推荐性标准被企业进行了自我声明公开的，企业必须执行该推荐性标准。企业生产的产品与明示标准不一致的，根据《产品质量法》等法律法规承担相应的法律责任。(3)推荐性标准被合同双方作为产品或服务交付的质量依据的，该推荐性标准对合同双方具有约東力，双方必须执行该推荐性标准，并依据《合同法》的规定承担法律责任。

二、商用密码从业单位公开标准的技术要求

本条根据《标准化法》，规定了企业标准自我声明公开和监督制度，调整的对象是企业生产的产品和提供的服务所执行的标准，这类标准规定了企业生产的产品和提供的服务所应达到的各类技术指标和要求，是企业对其产品和服务质量的硬承诺，应当公开并接受市场监督。

1.自我声明公开的目的

建立企业标准自我声明公开和监督制度，是营造公平争市场环境的重要举措。一是有利于放开搞活企业，保障企业主体地位，落实企业主体责任。二是有利于消除用户与企业之间对产品质量信息不对称的问题，维护用户知情权，引导用户理性消费。三是有利于政府更好地提供公共服务和事中事后监管。四是有利于社会监督，能够充分调动用户、行业组织、技术机构等的积极性，促进形成社会质量共治机制，提升企业产品和服务标准水平，实现“优标优质优价”，推动市场秩序健康稳定发展。

2.自我声明公开的内容

企业生产的商用密码产品和提供的商用密码服务，如果执行国家标准、行业标准和团体标准，企业应该公开相应的标准名称和标准编号;如果企业生产的产品和提供的服务所执行的标准是本企业制定的企业标准，企业除了公开相应的标准名称和标准编号，还应当公开企业产品、服务的技术指标。公开指标的类别和内容由企业根据自身特点自主确定，企业可以不公开私钥、源代码、设计细节等可能含有企业技术秘密和商业秘密的内容。企业应对公开的产品和服务标准的真实性、准确性、合法性负责。

3.自我声明公开的方式

国家建立标准信息公共服务平台为企业开展标准自我声明公开提供服务，鼓励企业在国家统一的平台开展自我声明公开。企业已在产品包装或者产品和服务的说明书等明示其执行的标准的，视为已履行自我声明公开义务。企业已在产品包装或者产品和服务的说明书等公开其执行的标准的，仍鼓励企业通过标准信息公共服务平台公开。

4.自我声明公开的效力

企业生产的产品和提供的服务应当符合企业自我声明公开标准提出的技术要求，不符合企业自我声明公开标准提出的技术要求的，应依法承担相应的责任。

第二十五条国家推进商用密码检测认证体系建设，制定商用密码检测认证技术规范、规则，鼓励商用密码从业单位自愿接受商用密码检测认证，提升市场竟争力。

商用密码检测、认证机构应当依法取得相关资质，并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。

商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。

【释义】本条是关于商用密码检测认证体系和商用密码检测、认证机构管理的规定。

一、建设商用密码检测认证体系的重要意义

商用密码检测认证是商用密码治理体系的重要基础，在商用密码市场准入、事中事后监管、应用推进等方面发挥着关键支撑作用:面向商用密码从业单位能够引导提质升级，增加市场有效供给;面向管理部门能够支持行政监管，提高市场监管效能;面向社会各方能够推动诚信建设，营造良好市场环境;面向国际市场能够促进规则对接，提升市场开放程度。本条第一款明确提出推进商用密码检测认证体系建设，这是深化商用密码行政审批制度改革的重要内容，是依法管理商用密码、规范和促进商用密码应用、加强密码监管、增强商用密码安全保障能力的重要支撑。同时本条第一款还明确了在商用密码检测认证中，自愿检测认证是主要方式。

二、商用密码检测认证现状

1999年颁布的《商用密码管理条例》设定了“商用密码产品质量检测机构审批”行政许可，要求商用密码产品必须经国家密码管理部门指定的产品质量检测机构检测合格。按照《商用密码管理条例》的规定，国家密码管理局审批了商用密码产品检测机构，开展商用密码产品检测工作。经过十多年的发展，我国商用密码检测能力显著提升，构建了检测标准体系，突破了一批关键检测技术并获得多项国家专利，建成了批功能完善、自动化程度高的密码检测工具和平台，具备了对全系列商用密码产品密码功能及安全性实施检测的能力。截至2019年12月，通过审批的商用密码产品检测机构共有3家，开展了智能密码钥匙、智能IC卡、POS密码应用系统、PCIーE密码卡、 Ipsec VPN安全网关、 SSL VPN安全网关、安全认证网关、密码键盘、金融数据密码机、服务器密码机、签名验签服务器、时间戳服务器、安全门禁系统、动态令牌认证系统、安全电子签章系统、电子文件密码应用系统、可信计算类密码产品等的检测工作，完成了近2000款产品的密码检测、数百个信息系统的安全性评估。

目前，商用密码领域已有1家专门认证机构。与此同时有关部门通过建立跨领域、跨行业的网络关键设备和网络安全专用产品、信息安全产品和密码应用系统密码检测认证机制，加强与金融、电力、通信、社保、交通等重点领域、行业的检测与认证技术交流，联合金融领域检测认证机构开展金融系统密码测评和认证，共同推动商用密码检测认证能力提升。

三、商用密码检测、认证机构资质

按照“放管服”改革要求，《密码法》将商用密码检测、认证机构资质纳入《认证认可条例》规定的认证认可制度体系中，由市场监管总局(国家认证认可监督管理委员会)会同国家密码管理局进行管理。商用密码检测、认证机构应当分别取得商用密码检测、认证机构资质。商用密码检测、认证机构依照《认证认可条例》等法律法规的规定和商用密码检测认证技术规范、规则开展检测认证活动。将商用密码检测认证制度纳入国家统一的检测认证制度体系，有利于增强商用密码检测认证制度的权威性、统一性。

四、商用密码检测、认证机构的保密义务

在从事商用密码检测、认证活动的过程中，由于工作需要，商用密码检测、认证机构能够深入到所检认证的商用密码产品、服务及其相关产品生产单位、服务提供单位中去，有可能接触到有关商业秘密乃至国家秘密。这里的国家秘密是《保守国家秘密法》中的概念，是指关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。商业秘密，是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息和经营信息。虽然商用密码检测、认证机构知悉国家秘密和商业秘密的途径是合法的，是在依法或依约定进行检测认证活动的过程中获取的，但是如果将这些秘密泄露给他人，就会损害国家安全和利益，或者损害商业秘密权利人的利益。因此，参照《认证认可条例》的规定，《密码法》明确规定了商用密码检测、认证机构对其所知悉的国家秘密和商业秘密的保密义务。

第二十六条涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关键设备和网络安全专用产品目录，由具备资格的机构检測认证合格后，方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定，避免重复检测认证。

商用密码服务使用网络关键设备和网络安全专用产品的，应当经商用密码认证机构对该商用密码服务认证合格。

【释义】本条是关于商用密码产品和服务市场准入管理的规定。

对涉及国家安全、国计民生、社会公共利益的商用密码产品与使用网络关键设备和网络安全专用产品的商用密码服务实行强制性检测认证制度，对于规范商用密码产品和服务市场准入，确保商用密码产品和服务的质量与安全，保障国家网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，具有重要作用。

一、商用密码产品和服务的概念与范围

商用密码产品，是指采用商用密码技术进行加密保护安全认证的产品。商用密码产品可分为软件、芯片、模块、板卡、整机、系统六类。典型的商用密码产品包括:密码机，如链路密码机、网络密码机、服务器密码机、传真密码机、电话密码机等;密码芯片和模块，如第二代居民身份证、智能电卡、社会保障卡、金融芯片卡中使用的密码芯片、可信计算密码模块等。商用密码服务，是指基于商用密码专业技术、技能和设施，为他人提供集成、运营、监理等商用密码支持和保障的活动。典型的商用密码服务包括:密码保障系统集成(如数字证书认证系统集成)，是指为他人集成建设实现密码功能的系统，保护他人网络与信息系统的安全。密码保障系统运营(如增值税发票防伪税控系统运营)，是指为保证他人实现密码功能的系统的正常运行提供安全管理和维护。

二、商用密码产品市场准入管理制度

1999年颁布的《商用密码管理条例》设定了“商用密码产品品种和型号审批”行政许可，要求商用密码产品必须经国家密码管理机构指定的产品质量检测机构检测合格，并经国家密码管理机构批准取得商用密码产品品种和型号证书。密码法按照“放管服”改革要求，取消了“商用密码产品品种和型号审批”，改为对商用密码产品实行检测认证制度，并且以自愿检测认证为主、对特定商用密码产品实行强制性检测认证为辅。

之所以对特定商用密码产品实行强制性检测认证，主要有三个方面的考虑一是该制度是维护国家安全和社会公共利益的需要。商用密码产品是一种专业技术性很强的特殊产品，广泛应用于国民经济和社会发展各领域，应用于关键信息基础设施，其质量与安全性直接关系国家安全和社会公共利益，需要通过检测认证的方式对其质量与安全性进行技术把关，规范商用密码产品市场准入。二是该制度与《网络安全法》规定的网络关键设备和网络安全专用产品强制性检测认证制度衔接一致。《网络安全法》第二十三条规定:“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。”涉及国家安全、国计民生、社会公共利益的商用密码产品作为网络关键设备和网络安全专用产品的一部分，依法列入网络关键设备和网络安全专用产品目录，由国家密码管理局会同国家互联网信息办公室、国家认证认可监督管理委员会等部门共同制定目录，共同认定检测认证机构，共同开展检测认证。三是强制性检测认证实施范围有限。强制性检测认证制度仅适用于涉及国家安全、国计民生、社会公共利益的商用密码产品，并通过制定产品目录明确界定管理范围，不会对市场和产业构成不必要的限制。

为充分体现“放管服”改革精神，切实降低企业负担，节约检测认证资源，本法还规定了商用密码产品检测认证适用《网络安全法》的有关规定，避免重复检测认证。具体做法包括:一是制定并公布网络关键设备和网络安全专用产品目录，提高检测认证的透明度，避免适用检测认证制度的产品的重复。二是推动检认证结果互认，减少某一类产品检测认证项目的重复。这一规定与《网络安全法》第二十三条的规定也是衔接一致的。

三、商用密码服务市场准入管理制度

随着商用密码技术的发展和应用的普及，密码保障系统集成、运营、监理等商用密码服务已经出现并快速发展，其应用直接关系到国家安全和社会公共利益。针对这种情况，目前，从事数字证书认证系统等重要密码保障系统建设、维护的商用密码服务机构应当具有商用密码产品生产和密码服务能力，从事重要密码保障系统工程监理的商用密码服务机构应当具有相应的技术能力，其提供的服务应当通过技术审查。《密码法》将这一要求上升为法律制度，通过认证的方式对使用网络关键设备和网络安全专用产品的商用密码服务进行技术把关。

《密码法》规定对使用网络关键设备和网络安全专用产品的商用密码服务实行强制性认证制度，主要有两个方面的考虑:一是该制度是维护国家安全和社会公共利益的需要。商用密码服务是一种专业技术性很强的特殊服务，广泛应用于国民经济和社会发展各领域，应用于关键信息基础设施，其质量与安全性直接关系国家安全和社会公共利益。由于密码功能实现的特殊性，网络关键设备和网络安全专用产品本身合格，并不意味着使用这些产品的商用密码服务就一定是安全的，需要通过认证的方式对其质量与安全性进行技术把关，规范商用密码服务市场准入。二是强制性认证实施范围有限。强制性认证制度仅适用于使用网络关键设备和网络安全专用产品的商用密码服务，并通过制定服务目录明确界定管理范围，不会对市场和产业构成不必要的限制。

第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

【释义】本条是关于关键信息基础设施商用密码使用要求和国家安全审查的规定。

1999年《商用密码管理条例》规定，任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品;境外组织或者个人在中国境内使用密码产品或者含有密码技术的设备，必须报经国家密码管理机构批准。《密码法》在商用密码领域深化“放管服”改革，根据经济社会发展实际以及社会各方面对商用密码的使用需求，取消了《商用密码管理条例》对商用密码使用设定的严格管理措施，规定公民、法人和其他组织可以依法使用商用密码保护网络与信息安全，对一般用户使用商用密码没有提出强制性要求。同时，为了保障关键信息基础设施安全稳定运行，维护国家安全和社会公共利益，本法要求关信息基础设施应当依法使用商用密码进行保护并开展商用密码应用安全性评估，要求关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当依法通过国家安全审查。

一、关键信息基础设施商用密码使用要求

1.关键信息基础设施应当使用商用密码进行保护

关键信息基础设施是《网络安全法》中的概念，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络和信息系统。关键信息基础设施的具体范围由国务院制定。《密码法》规定的关键信息基础设施商用密码使用要求是《网络安全法》规定的关键信息基础设施安全保护义务的重要组成部分。密码是保障网络与信息安全的核心技术和基础支撑。法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者必须使用商用密码进行保护，而且使用的商用密码必须是合规、正确、有效的。这里的法律、行政法规和国家有关规定，是指《网络安全法》《商用密码管理条例》以及国家有关部门关于商用密码使用的相关管理规定。《网络安全法》第二十一条和第三十四条规定了关键信息基础设施的运营者应当对关键信息基础设施采取加密等措施，保护网络安全。关键信息基础设施的运营者，是指关键信息基础设施的所有者、管理者和网络服务提供者。如果不使用或者不合规正确有效使用商用密码进行保护，将严重威胁关键信息基础设施的安全稳定运行，威胁国家安全和社会公共利益。因此，《密码法》对关键信息基础设施使用商用密码提出明确要求，有效保障关键信息基础设施安全。

2.关键信息基础设施应当开展商用密码应用安全性评估

商用密码应用安全性评估，是指在采用商用密码技术、产

品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。

建立完善商用密码应用安全性评估制度，对关键信息基础设施商用密码应用的合规性、正确性和有效性进行评估，对于有效规范密码应用，切实保障国家网络与信息安全，具有重要作用。商用密码应用安全性评估同时也是网络安全等级保护和关键信息基础设施安全保护制度的重要内容和技术手段。关键信息基础设施的运营者作为关键信息基础设施网络安全保护和密码使用的第一责任人，本条要求其履行相应的义务，按照相关法律法规和标准规范对关键信息基础设施密码应用的合规性、正确性、有效性和运维管理人员基本能力进行评估。为有效控制安全风险，关键信息基础设施的运营者应当在规划、建设等必要阶段进行评估，系统投入运行后，还应当定期开展评估。商用密码应用安全性评估的专业性很强，无论是自行评估的机构，还是接受委托的商用密码检测机构，都应当具备商用密码应用安全性评估的专业能力，确保评估结果的科学性、准确性、真实性，并接受密码管理部门的监管。同时，根据《网络安全法》的规定，关键信息基础设施的网络安全保护和密码使用应当遵循持续改进的原则，贯穿关键信息基础设施的整个生命周期，需要根据安全需求、系统脆弱性、风险威胁程度、系统环境的变化以及对系统安全认识的深化等，及时检查、总结、调整现有的密码保护措施，不断提升关键信息基础设施的安全防护能力。

为降低关键信息基础设施运营者负担，节约评估、测评资源，本法规定了避免重复评估、测评的要求。商用密码应用安全性评估与关键信息基础设施网络安全检测评估、网络安全等级测评在内容上有所区分，在实施中统筹考虑、协调开展相互衔接，避免重复评估、测评。

二、关键信息基础设施涉及商用密码的国家安全审查制度

本条第二款规定对关键信息基础设施的运营者采购涉及商用密码的网络产品和服务实行国家安全审查制度，主要考虑包括:一是该制度是维护国家安全和社会公共利益的需要，符合世贸组织规则，也是国际通行做法。国家安全审查可以防止关键信息基础设施因使用的产品和服务存在安全缺陷或隐患而受到攻击、破坏，或者存储的数据资源被窃取、泄露，从而提高关键信息基础设施安全可控水平，有效保障关键信息基础设施安全。二是该制度是《国家安全法》《网络安全法》中明确规定的制度，与《网络安全法》关于网络安全审查制度的规定衔接一致。《网络安全法》第三十五条规定:“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”本条中的“国家安全审查”是网络安全审查的一部分，安全审查由国家互联网信息办公室会同国家密码管理局等有关部门共同组织开展，不存在制度交又和重复审查问题。

第二十八条国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可，对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。

大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

【释义】本条是关于商用密码进口许可和出口管制的规定。

一、商用密码进口许可和出口管制制度

1999年布的《商用密码管理条例》设定了“密码产品和含有密码技术的设备进口许可”和“商用密码产品出口许可两项行政许可，要求商用密码产品进出口必须报经国家密码管理机构批准。《密码法》按照“放管服”改革要求，将商用密码进口许可和出口管制纳入《对外贸易法》规定的两用物项进出口许可管制制度体系中，由商务部会同国家密码管理局进行审批。

之所以对商用密码实行进口许可和出口管制，主要有三个方面的考虑:一是该制度是维护国家安全和社会公共利益的需要。商用密码是一把“双刃剑”，既可以用于合法的信息保护，也可能被用来从事违法犯罪活动，应当对其实行进口许可和出口管制，维护国家安全和社会公共利益。二是该制度符合世贸组织规则，也是国际通行做法。商用密码是国际公认的两用物项，对其实行进口许可和出口管制，符合世贸组织“安全例外”原则和我国《对外贸易法》的规定，也是国际通行做法。三是该制度实施范围有限。进口许可制度仅适用于涉及国家安全、社会公共利益且具有加密保护功能的商用密码，出口管制制度仅适用于涉及国家安全、社会公共利益或者中国承担国际义务的商用密码，对大众消费类产品所采用的商用密码不实行进口许可和出口管制，并通过制定清单明确界定管理范围，不会对贸易造成影响。自199年《商用密码管理条例》颁布实施以来，国家密码管理局一直对商用密码产品的进出口实行许可制度，制度执行效果良好。特别是在进口方面，2009年12月，国家密码管理局与海关总署联合发布《密码产品和含有密码技术的设备进口管理目录》(2013年12月进行了调整)，公布了5类9种实行进口许可制度的密码产品，包括加密传真机、加密电话机、密码机、密码卡等，与目前在我国市场上流通的1000多款商用密码产品相比，目录中的产品的数量及其应用领域都非常有限。

二、大众消费类产品所采用的商用密码的进出口管理

大众消费类产品所采用的商用密码，是指社会公众可以不受限制地通过常规零售渠道购买、供个人使用、不能轻易改变密码功能的产品或技术。大众消费类产品所采用的商用密码对国家安全、社会公共利益带来的风险较小且可控，对大众消费类产品所采用的商用密码不实行进口许可和出口管制度，可最大限度减少对贸易的影响。这既是国际社会的通行做法，也符合我国现有商用密码进出口管理实践。2013年国家密码管理局和海关总署联合发布调整后的《密码产品和含有密码技术的设备进口管理目录》，该目录明确将大众消费类产品所采用的商用密码，包括数字电视智能卡、蓝牙模块和用于知识产权保护的加密狗等，排除在目录之外。

第二十九条国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定，会同有关部门负责政务活动中使用电子签名、数据电文的管理。

【释义】本条是关于电子政务电子认证服务管理的规定。

一、电子政务电子认证服务机构认定

电子政务电子认证服务，是指电子认证服务机构采用商用密码技术，通过数字证书，为各级政务部门开展社会管理公共服务等政务活动提供的电子认证服务。典型的电子政务电子认证服务包括:基于公钥密码技术为政务部门的网上行政审批行为提供身份认证和电子签名服务。

根据《电子签名法》及有关规定，从事电子政务电子认证服务的机构应当经国家密码管理局审查，取得电子政务电子认证服务机构资质认定。截至2019年12月，通过认定的电子政务电子认证服务机构共有49家。电子政务电子认证服务是一种专业技术性很强的特殊服务，直接服务于政务部门的政务活动，涉及范围广，敏感信息多，其质量与安全性直接关系国家安全和社会公共利益，应当采取行政许可的方式对服务机构的电子政务电子认证服务能力进行评估，加强对建设、运维、应用和服务等各环节的行政监管和技术把关，确保其质量与安全性。本法基于维护国家安全和社会公共利益的需要，设立了电子政务电子认证服务机构认定制度。这里需要说明的是，电子政务电子认证服务机构认定制度与《电子签名法》规定的电子认证服务许可是两项不同的行政许可，不存在重复许可问题。一是审批的适用领域不同。电子认证服务许可适用于电子商务领域的电子认证服务机构，电子政务电子认证服务机构认定适用于电子政务领域的电子认证服务机构。二是审批对象不同。电子认证服务许可的审批对象只有经营性的企业。电子政务电子认证服务机构认定的审批对象既包括经营性的企业，也包括非经营性、提供共服务的事业单位。目前经批准的49家电子政务电子认证服务机构中，就有43家企业和6家事业单位。

二、政务活动中使用电子签名、数据电文的管理

电子签名、数据电文是(电子签名法》中的概念。电子名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。传统的签名(手写印章)必须依附于某种有形的介质，而在电子交易过程，文件是通过电子方式形成的，没有有形介质，这就需要通过一种技术手段来识别交易当事人、保证交易安全，以达到与传统签名相同的功能。这种能够达到与传统签名相同功能的技术手段，就称为电子签名。数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。换句话说，数据电文就是通过电子手段形成的各种信息。

《电子签名法》第三十五条规定:“国务院或者国务院规定的部门可以依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法。”目前，国家密码管理局依据该条的规定管理政务活动中电子签名、数据电文的使用，制定的GM/T004-2012《数字证书认证系统密码协议规范》GMT0-2016安全电子签章密码检测规范》、GMT0042-2016(SM标识密码算法第2部分:数字签名算法)、OMT0-204(安全电子签章密码应用技术规范等商用密码行业标准，对使用电子签名、数字电文提出了管理要求。

第三十条商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定，为商用密码从业单位提供信息、技术、培训等服务，引导和督促商用密码从业单位依法开展商用密码活动，加强行业自律，推动行业诚信建设，促进行业健康发展。

【释义】本条是关于商用密码领域的行业协会等组织的规定。

《密码法》结合商用密码发展实际，深化商用密码领域“放管服”改革，构建起现代化商用密码治理体系。商用密码治理体系作为一个有机整体，除了各有关管理部门要加强服务和管理外，还需要从业单位、社会组织、公民等各方面共同努力，参与商用密码社会共治。行业协会等组织作为介于密码管理部门和商用密码从业单位之间的社会组织，既是沟通管理部门和从业单位的桥梁与组带，又是社会多元利益的协调机构，也是实现行业自律、规范行业行为、开展行业服务、保障公平竟争的社会组织，在社会管理、行业治理、行业自律中发挥了重要作用，既大大减少了政府的管理成本，又促进了行业自身的发展，显示了巨大的社会效益。

随着我国商用密码的快速发展，商用密码领域的行业协会等组织也在不断发展壮大。截至2019年12月，北京、天津、上海、江苏、福建、江西、山东、广东、重庆、四川、陕西、深圳等地已经成立了区域性商用密码行业协会。此外，全国性和一些地方性商用密码领域的行业协会等组织也在抓紧建立。这些组织在服务商用密码从业单位、加强行业自律、推动诚信建设、促进产业发展方面发挥了重要的作用。

一、商用密码行业协会等组织的宗旨

商用密码行业协会等组织代表本行业从业单位的利益，必须切实为从业单位服务。商用密码行业协会等组织根据授权进行行业统计，掌握国内外行业发展动态，收集、发布行业信息;依照有关规定创办刊物和网站，开展法律、政策、技术、管理、市场等咨询服务;参与行业资质认证、新技术和新产品鉴定及推广等相关工作;组织人才、技术、管理、法规等培训，帮助会员企业提高素质增强创新能力、改善经营管理;受管理部门委托承办或根据市场和行业发展需要举办交易会、展览会等，为企业开拓市场创造条件。

二、商用密码行业协会等组织的桥梁和纽带作用

通过积极向密码管理部门反映行业、会员诉求，提出商用密码行业发展和立法等方面的意见和建议，积极参与相关法律法规、宏观调控和产业政策的研究、制定，参与制定修订商用密码国家标准、行业标准和行业发展规划、行业准入条件，完善行业管理，促进行业发展。

三、商用密码行业协会等组织的行业自律职能

行业自律是商用密码从业单位为维护共同利益、促进共同发展而开展的订立行业规范、规范行业行为、协调利益关系、维护公平竞争的自我管理、自我约束行为。商用密码行业自律的主要内容是围绕规范商用密码市场秩序，健全各项自律性管理制度，制定并组织实施行业职业道德准则，大力推动行业诚信建设，建立完行业自律性管理约束机制，规范会员行为，协调会员关系，维护公平竞争的市场环境。

第三十ー条密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度，建立统一的商用密码监督管理信息平台，推进事中事后监管与社会信用体系相衔接，强化商用密码从业单位自律和社会监督。

密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息，并对其在履行职责中知悉的商业秘密和个人隐私严格保密，不得泄露或者非法向他人提供。

【释义】本条是关于商用密码事中事后监管和有关管理部门保密义务的规定。

一、商用密码事中事后监管制度

《密码法》在商用密码领域深化“放管服”改革，坚持放管结合，在取消一批商用密码行政许可事项的基础上，把更多行政资源从事前审批转到事中事后监管上来，着力构建权责明确、公平公正、公开透明、简约高效的商用密码事中事后监管体系，确保监管“不缺位、不错位、不越位”。

商用密码事中事后监管的实施主体，是密码管理部门和其他涉及商用密码监督管理的有关部门，主要包括市场监管网信、商务、海关等部门。密码管理部门和有关部门要厘清《密码法》赋予的监管职责，依法开展商用密码事中事后监管。对涉及多个部门的商用密码监管事项，主责部门要发挥牵头作用，相关部门要协同配合，建立健全工作协调机制。商用密码事中事后监管以日常检查为主、专项整治为辅，日常监管又以随机抽查为主。商用密码日常监管全面实行随机抽取检查对象、随机选派执法检査人员、抽査情况及査处结果及时向社会公开，原则上所有日常行政检查都通过“双随机、一公开”的方式进行。2016年以来，密码管理部门已经连续4年对商用密码产品等商用密码管理事项进行随机抽査发现并消除了很多漏洞和隐患，取得了良好的社会效果。下步，密码管理部门和有关部门要不断完善商用密码随机抽查相关配套制度和工作机制，健全跨部门联合抽查机制，避免对同一商用密码市场主体多头、重复检査。将随机抽查的比例频次、被抽概率与抽査对象的信用等级、风险程度挂钩对有不良信用记录、风险高的要加大抽査力度，对信用较好、风险较低的可适当减少抽查。抽査结果要分别通过国家企业信用信息公示系统、“信用中国”网站、国家“互联网+监管”系统等进行公示。

商用密码事中事后监管的重要手段是深入推进“互联网+监管”，依托国家“互联网+监管”系统，建设统一的商用密码监督管理信息平台。加强商用密码监管信息归集共享，将各类商用密码相关的行政检查、行政处罚、行政强制等信息以及司法判决、违法失信、抽査抽检等信息进行关联整合，并归集到相关商用密码市场主体名下。充分运用大数据等技术，加强对风险的跟踪预警。提升商用密码事中事后监管的精准化、智能化水平。

推进商用密码事中事后监管与社会信用体系相衔接，提升商用密码信用监管效能。以国家统一社会信用代码为标识，依法依规建立权威、统一、可査询的商用密码市场主体信用记录。大力推行商用密码从业单位及有关市场主体信用承诺制度，将信用承诺履行情况纳入信用记录。推进信用分级分类监管，依据商用密码从业单位信用情况，在监管方式、抽比例和频次等方面采取差异化措施。规范认定并设立商用密码市场主体信用“黑名单”，强化失信联合惩戒，对失信主体在行业准入、获得信贷、出口退税、高消费等方面依法予以限制。建立健全信用修复、异议申诉等机制。在保护涉及国家秘密、商业秘密和个人隐私等信息的前提下，依法做好商用密码有关信用信息的公开工作。

强化商用密码从业单位自律和社会监督，就是要充分调动社会各方力量参与商用密码监督管理，统筹社会各种资源支持商用密码社会治理，形成市场自律、社会监督和政府监管互为支撑的商用密码协同监管格局，切实管出公平、管出效率、管出活，提高商用密码市场主体竞争力和市场效率，推动商用密码产业持续健康发展。

二、密码管理部门和有关部门及其工作人员的保密义务

密码管理部门和有关部门及其工作人员对在履行职责中知悉的商业秘密和个人隐私予以严格保密，是其基本的法定义务，也体现了行政机关对自身履职的严格要求。我国现行的许多法律、行政法规都对此作了明确规定。例如，《行政许可法》明确将商业秘密、未披露信息、保密商务信息和个人隐私排除在公开或披露范围之外;《政府信息公开条例》规定涉及商业秘密、个人隐私的政府信息不得公开，除非经权利人同意公开或者不公开会对公共利益造成重大影响。这些部门及其工作人员在依法履行职责过程中，不可避免地会接触有关商业秘密和个人隐私。这里的商业秘密，是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息和经营信息。个人隐私，是指公民个人不愿为他人公开或者知悉的信息。

源代码等密码相关专有信息包括源代码、私钥或其他秘密参数、算法规范或其他设计细节等，属于商用密码从业单位的高级商业秘密，直接关系其核心经济利益。因此，《密码法》规定密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息。我国《民法总则》明确将商业秘密纳入知识产权范围，本条关于源代码等密码相关专有信息保护的规定是商用密码知识产权保护原则的又一具体措施。同时，密码管理部门和有关部门在依法履行职责的过程中会合理知悉有关商业秘密和个人隐私，虽然其知悉途径是合法的但是如果将这些信息泄露给他人，就会损害商业秘密权利人的利益，或者损害公民个人的合法权益。为保护当事人合法权益，并保证密码管理活动的正常进行，密码管理部门和有关部门及其工作人员必须对在履行职责中知悉的商业秘密和个人隐私严格保密，不得泄露或者非法向他人提供。

第四章法律责任

第三十二条违反本法第十二条规定，窃取他人加密保护的信息，非法侵入他人的密码保障系统，或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的，由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。

【释义】本条是关于从事密码违法活动的法律责任的规定。

本法第十二条对禁止从事密码违法活动作了规定。本条是对从事密码违法活动的法律责任，具体包括三种情形:一是窃取他人加密保护的信息。二是非法侵入他人的密码保障系统。三是利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动。由于本条所列的密码违法行为，有关法律、行政法规已经规定为违法行为并且规定了相应的法律责任，为与相关法律、行政法规的规定保持衔接一致，因此通过援引《网络安全法》和其他有关法律、行政法规的方式，对上述违法行为规定了相应的法律责任。本条规定的执法部门是有关部门，具体依照《网络安全法》和其他有关法律、行政法规的规定确定处罚部门。

本条可以援引的相关法律、行政法规主要有:《网络安全法》第六十三条规定，违反该法第二十七条规定，从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款;情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。单位有前款行为的，由公安机关没收违法所得，处十万元以上一百万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。违反该法第二十七条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。第七十五条规定，境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任;国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。《治安管理处罚法》第二十九条规定，有下列行为之一的，处五日以下拘留;情节较重的，处五日以上十日以下拘留:(一)违反国家规定，侵入计算机信息系统，造成危害的(二)违反国家规定，对计算机信息系统功能进行删除、修改、增加、干，造成计算机信息系统不能正常运行的;(三)违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;(四)故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的。《保守国家秘密法》第四十八条规定，违反该法规定，有下列行为之一的，依法给予处分;构成犯罪的，依法追究刑事责任:…...(十ー)擅自卸载、修改涉密信息系统的安全技术程序、管理程序的;…...有前款行为尚不构成犯罪，且不适用处分的人员，由保密行政管理部门督促其所在机关、单位予以处理。

本法第十二条还对禁止利用密码从事犯罪活动作了规定。利用密码从事犯罪活动，应当依照《刑法》追究刑事责任，因此，对该种情形的法律责任，在本法第四十一条作了统规定。

第三十三条违反本法第十四条规定，未按照要求使用核心密码、普通密码的，由密码管理部门责令改正或者停止违法行为，给予警告;情节严重的，由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

【释义】本条是关于核心密码、普通密码使用违法的法律责任的规定。

本法第十四条明确了在有线、无线通信中传递的国家秘密信息，以及存储、处理国家秘密信息的信息系统依法使用核心密码、普通密码进行加密保护、安全认证的要求。本条是对违反核心密码、普通密码使用要求的法律责任，具体包括两种情形:一是在有线、无线通信中传递的国家秘密信息，以及存储、处理国家秘密信息的信息系统，未使用核心密码、普通密码进行加密保护、安全认证。二是在有线、无线通信中传递的国家秘密信息，以及存储、处理国家秘密信息的信息系统，虽然使用了核心密码、普通密码，但未能依照法律、行政法规和国家有关规定，合规、正确、有效地使用核心密码、普通密码进行加密保护、安全认证。

本条规定的法律责任包括:(1)责令改正。所谓责令改正，是指有关主管部门依法要求违法行为人将其违法行为恢复到合法状态。(2)责令停止违法行为。所谓责令停止违法行为，是指有关主管部门依法要求违法行为人停止其实施的违法行为。(3)警告。所谓警告，是指有关主管部门对违法行为人进行训诚，使其认识到其行为的违法性。(4)处分。处分分为行政处分和党纪处分两种。所谓行政处分，是指国家机关对所属的国家工作人员的违法失职行为，依照有关法律、法规的规定作出的惩戒，具体包括警告、记过、记大过、降级、撤职、开除六种方式。所谓党纪处分，是指党的组织对党员违反党纪的行为，依照有关党内法规的规定作出的惩戒，体包括警告、严重警告、撤销党内职务、留党察看、开除党籍五种方式。(5)处理。所谓处理，是指对实施了相关违法行为，但不适用处分的人员，由有关主管部门依照有关法律、法规的规定作出的惩戒，具体包括警告、罚款、降职、辞退等方式。这里所说的不适用处分的人员，主要是指在国家机关工作但不具有编制的聘任人员和企事业单位聘任的人员。

本条中的“直接负责的主管人员”，是指在机关、单位实施的违法行为中起决定、批准、授意、指挥等作用的人员，一般是本机关、单位分管某一方面工作的负责人。“其他直接责任人员”，是指具体实施违法行为并起较大作用的人员，可以是机关、单位的管理人员、工作人员。密码管理部门应当及时建议督促有关机关、单位对违法人员依法给予处分或者处理。

第三十四条违反本法规定，发生核心密码、普通密码泄密案件的，由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

违反本法第十七条第二款规定，发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险患，未立即采取应对措施，或者未及时报告的，由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

【释义】本条是关于核心密码、普通密码泄密等安全问题的法律责任的规定。

本法第十七条第二款明确了密码工作机构向保密行政管理部门、密码管理部门报告核心密码、普通密码泄密等安全问题，并采取应对措施的义务，同时规定了保密行政管理部门密码管理部门会同有关部门调查、处置密码泄密案件的职责。本条是对发生核心密码、普通密码泄密案件或者密码工作机构违反相关安全要求的法律责任，具体包括三种情形:一是发生核心密码、普通密码泄密案件。二是发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患，未立即采取应对措施。三是发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患，未及时向保密行政管理部门、密码管理部门报告。

本条规定的法律责任包括:(1)处分。处分分为行政处分和党纪处分两种。所谓行政处分，是指国家机关对所属的国家工作人员的违法失职行为，依照有关法律、法规的规定作出的惩戒，具体包括警告、记过、记大过、降级、撤职、开除六种方式。所谓党纪处分，是指党的组织对党员违反党纪的行为，依照有关党内法规的规定作出的惩戒，具体包括警告、严重警告、撤销党内职务、留党察看、开除党籍五种方式。(2)处理。所谓处理，是指对实施了相关违法行为，但不适用处分的人员由有关主管部门依照有关法律、法规的规定作出的惩戒具体包括警告、罚款、降职、辞退等方式。这里所说的不适用处分的人员，主要是指在国家机关工作但不具有编制的聘任人员和企事业单位聘任的人员。

本条中的“直接负责的主管人员”，是指在机关、单位实施的违法行为中起决定、批准、授意、指挥等作用的人员，一般是本机关、单位分管某一方面工作的负责人。“其他直接责任人员”，是指具体实施违法行为并起较大作用的人员，可以是机关、单位的管理人员、工作人员。保密行政管理部门、密码管理部门应当及时建议督促有关机关、单位对违法人员依法给予处分或者处理。

第三十五条商用密码检测、认证机构违反本法第二十五条第二款、第三款规定开展商用密码检測认证的，由市场监督管理部门会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得;违法所得三十万元以上的，可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的，可以并处十万元以上三十万元以下罚款;情节严重的，依法吊销相关资质。

【释义】本条是关于商用密码检测、认证违法的法律责任的规定。

本法第二十五条第二款、第三款规定商用密码检测、认证

机构管理制度。本条是对违反商用密码检测、认证机构管理制度的法律责任。具体包括两种情形:一是商用密码检测、认证机构违反法律、行政法规的规定和商用密码检测认证技术规范规则开展商用密码检测认证。二是商用密码检测、认证机构泄露其在商用密码检测认证中所知悉的国家秘密和商业秘密。本条规定的执法部门是市场监督管理部门会同密码管理部门。

本条规定的法律责任包括:(1)责令改正。所谓责令改正，是指有关主管部门依法要求违法行为人将其违法行为恢复到合法状态。(2)责令停止违法行为。所谓责令停止违法行为，是指有关主管部门依法要求违法行为人停止其实施的违法行为。(3)警告。所谓警告，是指有关主管部门对违法行为人进行训诚，使其认识到其行为的违法性。(4)没收违法所得。所谓没收违法所得，是指有关主管部门依法将违法行为人从事非法经营等获得的利益收归国有。(5)罚款。所谓罚款，是指有关主管部门依法强制违法行为人在一定期限内向国家缴纳一定数额的金钱。对于违法所得三十万元以上的，可以并处违法所得一倍以上三倍以下罚款没有违法所得或者违法所得不足三十万元的，可以并处十万元以上三十万元以下罚款。(6)吊销相关资质。所谓吊销相关资质，是指有关主管部门依法收回违法行为人已经获得的从事某种活动的资格和权利。这里的相关资质，是指商用密码检测、认证机构资质。

第三十六条违反本法第二十六条规定，销售或者提供未经检测认证或者检测认证不合格的商用密码产品，或者提供未经认证或者认证不合格的商用密码服务的，由市场监督管理部门会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得;违法所得十万元以上的，可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的，可以并处三万元以上十万元以下罚款。

【释义】本条是关于商用密码产品、服务市场准入违法的法律责任的规定。

本法第二十六条规定了商用密码产品、服务市场准入管理制度。本条是对违反商用密码产品、服务市场准入制度的法律责任。具体包括两种情形:一是销售或者提供列入网络关键设备和网络安全专用产品目录的商用密码产品，未经具备资格的机构检测认证或者检测认证不合格。二是提供使用网络关键设备和网络安全专用产品的商用密码服务，未经商用密码认证机构认证或者认证不合格。本条规定的执法部门是市场监督管理部门会同密码管理部门。

本条规定的法律责任包括:(1)责令改正。所谓责令改正，是指有关主管部门依法要求违法行为人将其违法行为恢复到合法状态。(2)责令停止违法行为。所谓责令停止违法行为，是指有关主管部门依法要求违法行为人停止其实施的违法行为。(3)警告。所谓警告，是指有关主管部门对违法行为人进行训诚，使其认识到其行为的违法性。(4)没收违法产品和违法所得。所谓没收违法产品，是指没收违法销售提供的产品以及违法提供的服务中使用的产品，包括尚未销售、提供和尚未使用的产品，以防止这些产品销售、提供或使用后，给使用者造成财产损失，危害国家安全和社会公共利益。所谓没收违法所得，是指有关主管部门依法将违法行为人从事非法经营等获得的利益收归国有。(5)罚款。所谓罚款，是指有关主管部门依法强制违法行为人在一定期限内向国家缴纳一定数额的金钱。对于违法所得十万元以上的，可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的，可以并处三万元以上十万元以下款。

第三十七条关键信息基础设施的运营者违反本法第十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处万元以上十万元以下款。

关键信息基础设施的运营者违反本法第二十七条第二款规定，使用未经安全审查或者安全审查未通过的产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上+倍以下罚款;对直接负责的主管人员和其他直接责任人员处万元以上十万元以下罚款。

【释义】本条是关于商用密码使用违法的法律责任的规定。

本法第二十七条规定了商用密码使用的要求。本条是对违反商用密码使用要求的法律责任，具体包括三种情形:一是关键信息基础设施的运营者未按照要求使用商用密码。二是关键信息基础设施的运营者未按照要求开展商用密码应用安全性评估。三是关键信息基础设施的运营者使用未经国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查或者国家安全审查未通过的涉及商用密码的网络产品或者服务。本条第一款规定的执法部门是密码管理部门。本条第二款规定的执法部门是有关主管部门，具体依照国务院的规定确定处罚部门。

本条第一款规定了对第一种、第二种违法情形的法律任，具体包括:(1)责令改正。所谓责令改正，是指有关主管部门依法要求违法行为人将其违法行为恢复到合法状态。(2)警告。所谓警告，是指有关主管部门对违法行为人进行训诚，使其认识到其行为的违法性。(3)罚款。所谓罚款，是指有关主管部门依法强制违法行为人在一定期限内向国家缴纳一定数额的金钱。对于关键信息基础设施的运营者拒不改正或者导致危害网络安全等后果的，对关键信息基础设施的运营者处十万元以上百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。本款实行的是双罚制，既对运营者进行处罚，也对直接负责的主管人员予以处罚。

本条第二款规定了对第三种违法情形的法律责任，具体包括:(1)责令停止使用。所谓责令停止使用，是指有关主管部门依法要求违法行为人停止使用未经安全审查或者安全审查未通过的产品或者服务。(2)罚款。所谓罚款，是指有关主管部门依法强制违法行为人在一定期限内向国家缴纳一定数额的金钱。对于关键信息基础设施的运营者违法使用未经安全审查或者安全审查未通过的产品或者服务的，处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。本款实行的是双罚制，既对运营者进行处罚，也对直接负责的主管人员和其他直接责任人员予以处罚。

本条中的“直接负责的主管人员”，是指在机关、单位实施的违法行为中起决定、批准、授意、指挥等作用的人员，一般是本机关、单位分管某一方面工作的负责人。“其他直接责任人员”，是指具体实施违法行为并起较大作用的人员，可以是机关、单位的管理人员、工作人员。

第三十八条违反本法第二十八条实施进口许可、出管制的规定，进出口商用密码的，由国务院商务主管部门或者海关依法予以处罚。

【释义】本条是关于商用密码进出口违法的法律责任的规定。

本法第二十八条规定了商用密码进口许可和出口管制制度。本条是对违反商用密码进口许可和出口管制制度的法律责任，具体包括两种情形:一是未经许可，进口涉及国家安全、社会公共利益且具有加密保护功能的商用密码。二是未经许可，出口涉及国家安全、社会公共利益或者中国承担国际义务的商用密码。本条规定的执法部门是国务院商务主管部门或者海关，执法依据是《密码法》《对外贸易法》等法律、行政法规的规定。

《对外贸易法》第六十一条规定，进出口属于禁止进出口的货物的，或者未经许可擅自进出口属于限制进出口的货物的，由海关依照有关法律、行政法规的规定处理、处罚;构成犯罪的，依法追究刑事责任。进出口属于禁止进出口的技术的，或者未经许可擅自进出口属于限制进出口的技术的，依照有关法律、行政法规的规定处理、处罚;法律、行政法规没有规定的，由国务院对外贸易主管部门责令改正，没收违法所得，并处违法所得一倍以上五倍以下罚款，没有违法所得或者违法所得不足一万元的，处一万元以上五万元以下罚款:构成犯罪的，依法追究刑事责任。自前两款规定的行政处罚决定生效之日或者刑事处罚判决生效之日起，国务院对外贸易主管部门或者国务院其他有关部门可以在三年内不受理违法行为人提出的进出口配额或者许可证的申请，或者禁止违法行为人在一年以上三年以下的期限内从事有关货物或者技术的进出口经营活动。

《对外贸易法》第六十一条规定的法律责任包括:1.行政责任:(1)没收违法所得。所谓没收违法所得，是指有关主管部门依法将违法行为人从事非法经营等获得的利益收归国有。(2)罚款。所谓罚款，是指有关主管部门依法强制违法行为人在一定期限内向国家缴纳一定数额的金钱。2.刑事责任。违反上述规定，构成犯罪的，由司法机关依照《刑法》追究违法行为人的刑事责任。3.从业禁止。对于违反规定，进出口属于禁止进出口的货物、技术，或者未经许可擅自进出口属于限制进出口的货物、技术的，除给予上述处罚外，还要给予从业禁止方面的处罚。

第三十九条违反本法第二十九条规定，未经认定从事电子政务电子认证服务的，由密码管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得;违法所得三十万元以上的，可以并处违法所得一倍以上三倍以下罚款没有违法所得或者违法所得不足三十万元的，可以并处十万元以上三十万元以下罚款。

【释义】本条是关于电子政务电子认证服务违法的法律责任的规定。

本法第二十九条规定采用商用密码技术从事电子政务电子认证服务的机构应当经国家密码管理部门认定。本条是对未经认定从事电子政务电子认证服务的法律责任。本条规定的执法部门是密码管理部门。

本条规定的法律责任包括:(1)责令改正。所谓责令改正，是指有关主管部门依法要求违法行为人将其违法行为恢复到合法状态。(2)责令停止违法行为。所谓责令停止违法行为，是指有关主管部门依法要求违法行为人停止其实施的违法行为。(3)警告。所谓警告，是指有关主管部门对违法行为人进行训诚，使其认识到其行为的违法性。(4)没收违法产品和违法所得。所谓没收违法产品，是指没收违法提供的、不符合强制性标准和要求的产品，包括尚未提供的产品，以防止这些产品提供后，给使用者造成财产损失，危害国家安全和社会公共利益。所谓没收违法所得，是指有关主管部门依法将违法行为人从事非法经营等获得的利益收归国有。(5)罚款。所谓罚款，是指有关主管部门依法强制违法行为人在一定期限内向国家缴纳一定数额的金钱。

第四十条密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊，或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的，依法给予处分。

【释义】本条是关于密码管理部门和有关部门、单位的工作人员违法的法律责任的规定。

本法赋予了密码管理部门和有关部门、单位的工作人员的密码管理职责。本法第三十一条第二款规定了密码管理部门和有关部门及其工作人员对在履行职责中知悉的商业秘密和个人隐私的保密义务。本条是对密码管理部门和有关部门、单位的工作人员违法的法律责任，具体包括:一是密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权玩忽职守、徇私舞弊。密码管理部门和有关部门、单位的工作人员应当依照《密码法》和其他行政法规规定的权限、程序等履行职责，不得于履行或者超越法定权限履行职责。“溢用职权”是指国家机关工作人员超越职权，违法决定、处理其无权决定、处理的事项。“玩忽职守”是指国家机关工作人员严重不负责任，不履行或者不认真履行职责。“徇私舞弊”是指国家机关工作人员为了私情或者牟取私利，滥用职权、玩忽职守。二是密码管理部门和有关部门、单位的工作人员泄露非法向他人提供在履行职责中知悉的商业秘密和个人隐私。

本条规定的法律责任是处分。处分分为行政处分和党纪处分两种。所谓行政处分，是指国家机关对所属的国家工作人员的违法失职行为，依照有关法律、法规的规定作出的惩戒，具体包括警告、记过、记大过、降级、撤职、开除六种方式。所谓党纪处分，是指党的组织对党员违反党纪的行为，依照有关党内法规的规定作出的惩戒，具体包括警告、严重警告、撤销党内职务、留党察看、开除党籍五种方式。

第四十一条违反本法规定，构成犯罪的，依法追究刑事责任;给他人造成损害的，依法承担民事责任。

【释义】本条是关于违反本法行为的刑事责任和民事责任的衔接性规定。

法律责任分为民事责任、行政责任和刑事责任三类。同一违法行为，依法可能同时应承担民事责任、行政责任和刑事责任。本法第三十二条至第四十条对违反本法规定应当承担的行政责任作了具体规定，本条对违反本法规定应当承担的民事责任和刑事责任作了衔接性规定。

一、刑事责任

刑事责任是指行为人因违反《刑法》规定，实施犯罪行为，国家要求行为人必须承担的法律责任，可以剥夺违法者的人身自由、政治权利、财产和生命等。对于违反本法规定的行为，应依照《刑法》追究刑事责任的犯罪主要包括:(1)走私普通货物、物品罪。《刑法》第一百五十三条规定，走私《刑法》第一百五十一条、第一百五十二条、第三百四十七条规定以外的货物、物品的，根据情节轻重，分别依照下列规定处罚:①走私货物、物品偷逃应缴税额较大或者一年内曾因走私被给予二次行政处罚后又走私的，处三年以下有期徒刑或者拘役，并处偷逃应缴税额一倍以上五倍以下罚金;②走私货物、物品偷逃应缴税额巨大或者有其他严重情节的，处三年以上十年以下有期徒刑，并处偷逃应缴税额一倍以上五倍以下罚金;③走私货物、物品偷逃应缴税额特别巨大或者有其他特别严重情节的，处十年以上有期徒刑或者无期徒刑，并处偷逃应缴税额一倍以上五倍以下罚金或者没收财产。单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，处三年以下有期徒刑或者拘役;情节严重的，处三年以上十年以下有期徒刑;情节特别严重的，处十年以上有期徒刑。对多次走私未经处理的，按照累计走私货物、物品的偷逃应缴税额处罚。(2)非法经营罪。《刑法》第二百二十五条规定，违反国家规定，有下列非法经营行为之一，扰乱市场秩序，情节严重的，处五年以下有期徒刑或者拘役，并处或者单处违法所得一倍以上五倍以下罚金;情节特别严重的，处五年以上有期徒刑，并处违法所得一倍以上五倍以下罚金或者没收财产:①未经许可经营法律、行政法规规定的专营、专卖物品或者其他限制买卖的物品的;(②买卖进出口许可证、进出口原产地证明以及其他法律、行政法规规定的经营许可证或者批准文件的;…...④其他严重扰乱市场秩序的非法经营行为。(3)非法侵入计算机信息系统罪。《刑法》第二百八十五条第一款规定，违反国家规定，侵人国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。(4)非法获取计算机信息系统数据、非法控制计算机信息系统罪。《刑法》第二百八十五条第二款规定，违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。(5)提供侵入、非法控制计算机信息系统程序、工具罪。《刑法》第二百八十五条第三款规定，提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。(6)破坏计算机信息系统罪。《刑法》第二百八十六条规定，违反国家规定，对计算机信息系统功能进行删除修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役;后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。(7)拒不履行信息网络安全管理义务罪。《刑法》第二百八十六条之一规定，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金:①致使违法信息大量传播的;②致使用户信息泄露，造成严重后果的;③致使刑事案件证据灭失，情节严重的;④有其他严重情节的。单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。(8)帮助信息网络犯罪活动罪。《刑法》第二百八十七条之二规定，明知他人利用信息网络实施犯罪，为其犯罪提供互联网接人、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。(9)故意泄露国家秘密罪、过失泄露国家秘密罪。《刑法》第三百九十八

条规定，国家机关工作人员违反保守国家秘密法的规定，故意或者过失泄露国家秘密，情节严重的，处三年以下有期徒刑或者拘役;情节特别严重的，处三年以上七年以下有期徒刑。非国家机关工作人员犯前款罪的，依照前款的规定酌情处罚。

二、民事责任

民事责任是指平等主体之间，一方当事人违反《合同法)《侵权责任法》等民事法律，向另一方承担的法律责任，主要是补偿当事人的损失。在法律允许的条件下，民事责任可以由当事人协商解决。《民法总则》第一百七十九条规定:“承担民事责任的方式主要有:(一)停止侵害;(二)排除妨碍;(三)消除危险;(四)返还财产;(五)恢复原状;(六)修理、重作、更换;(七)继续履行;(八)赔偿损失;(九)支付违约金;(十)消除影响、恢复名誉;(ー)赔礼道歉。法律规定惩罚性赔偿的，依照其规定。本条规定的承担民事责任的方式，可以单独适用，也可以合并适用。”

第五章附则

第四十二条国家密码管理部门依照法律、行政法规的规定，制定密码管理规章。

【释义】本条是关于密码管理规章的规定。

本条明确了国家密码管理部门的规章制定权。《密码法》是密码工作的基本法律，针对密码和网络信息技术发展日新月异的突出特点，《密码法》中对密码管理制度只作了原则性规定。《密码法》出台后，国家密码管理局需要依照《密码法》等相关法律、行政法规，针对密码生产、销售、服务、进出口、检测认证等环节，制定公布一系列密码管理规章，及时补充、细化法律、行政法规的相关规定，增强密码法律法规的可操作性。

《密码法》颁布实施后，国家密码管理局将深入贯彻落实党中央全面依法治国基本方略，在国家安全法治建设的总体框架下进一步推进密码法律制度体系建设，加强顶层设计和整体规划，按照党管密码、科学立法、民主立法的原则，统筹推进《商用密码管理条例》等配套行政法规、规章的制修订工作，及时制定出台一系列与《密码法》相互协调和衔接的规章，确保密码法规规章符合《密码法》确定的立法原则和基本制度，全方位扎紧织密法律制度的笼子，建立一个以《密码法》为核心，以《商用密码管理条例》等行政法规为基础，以核心密码、普通密码、商用密码等方面的规章和规范性文件为分支，权责明确、功能互补、协调一致的密码法律制度体系。

第四十三条中国人民解放军和中国人民武装警察部队的密码工作管理办法，由中央军事委员会根据本法制定。

【释义】本条是关于解放军和武警部队密码立法的规定。

中央军事委员会是国家的最高军事机关，按照《立法法规定，中央军事委员会根据宪法和法律制定军事法规。中国人民解放军和中国人民武装警察部队的密码工作作为密码工作的重要组成部分，有其自身的特点和规律，法律规定由中央军事委员会根据本法的基本精神，结合解放军和武警部队自身实际，对解放军和武警部队的密码工作作出全面系统的规定。

第四十四条本法自2020年1月1日起施行。

【释义】本条是关于本法施行日期的规定。

法律的施行日期，即法律的生效日期，是一部法律的重要

组成部分。《立法法》第五十七条规定，法律应当明确规定施行日期。为了给法律的实施留出一定的准备时间，我国多数法律都规定法律公布一段时间后的一个具体日期作为法律的施行日期，本法亦采用这一方式。

本法由十三届全国人大常委会第十四次会议于2019年10月26日通过，并于同日由国家主席习近平签署第三十五号主席令公布，自2020年1月1日起施行。本法从颁布到开始施行，中间留有一定的时间，以便有关方面做好实施的准备工作，包括做好本法的宣传培训和制定、修改配套的行政法规、规章和标准等。

附录一

中华人民共和国密码法

（2019年10月26日第十三届全国人民代表大会常务委员会第十四次会议通过 2019年10月26日中华人民共和国主席令第35号公布自2020年1月1日起施行）

第一章　总　则

第二章　核心密码、普通密码

第三章　商用密码

第四章　法律责任

第五章　附则

第一章总则

第一条　为了规范密码应用和管理，促进密码事业发展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，制定本法。

第二条　本法所称密码，是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。

第三条　密码工作坚持总体国家安全观，遵循统一领导、分级负责，创新发展、服务大局，依法管理、保障安全的原则。

第四条　坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导，制定国家密码工作重大方针政策，统筹协调国家密码重大事项和重要工作，推进国家密码法治建设。

第五条　国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。

国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。

第六条　国家对密码实行分类管理。

密码分为核心密码、普通密码和商用密码。

第七条　核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。

核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。

第八条　商用密码用于保护不属于国家秘密的信息。

公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。

第九条　国家鼓励和支持密码科学技术研究和应用，依法保护密码领域的知识产权，促进密码科学技术进步和创新。

国家加强密码人才培养和队伍建设，对在密码工作中作出突出贡献的组织和个人，按照国家有关规定给予表彰和奖励。

第十条　国家采取多种形式加强密码安全教育，将密码安全教育纳入国民教育体系和公务员教育培训体系，增强公民、法人和其他组织的密码安全意识。

第十一条　县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划，所需经费列入本级财政预算。

第十二条　任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。

任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。

第二章核心密码、普通密码

第十三条　国家加强核心密码、普通密码的科学规划、管理和使用，加强制度建设，完善管理措施，增强密码安全保障能力。

第十四条　在有线、无线通信中传递的国家秘密信息，以及存储、处理国家秘密信息的信息系统，应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。

第十五条　从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构（以下统称密码工作机构）应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求，建立健全安全管理制度，采取严格的保密措施和保密责任制，确保核心密码、普通密码的安全。

第十六条　密码管理部门依法对密码工作机构的核心密码、普通密码工作进行指导、监督和检查，密码工作机构应当配合。

第十七条　密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制，确保核心密码、普通密码安全管理的协同联动和有序高效。

密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的，应当立即采取应对措施，并及时向保密行政管理部门、密码管理部门报告，由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置，并指导有关密码工作机构及时消除安全隐患。

第十八条　国家加强密码工作机构建设，保障其履行工作职责。

国家建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。

第十九条　密码管理部门因工作需要，按照国家有关规定，可以提请公安、交通运输、海关等部门对核心密码、普通密码有关物品和人员提供免检等便利，有关部门应当予以协助。

第二十条　密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度，对其工作人员遵守法律和纪律等情况进行监督，并依法采取必要措施，定期或者不定期组织开展安全审查。

第三章商用密码

第二十一条　国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用，健全统一、开放、竞争、有序的商用密码市场体系，鼓励和促进商用密码产业发展。

各级人民政府及其有关部门应当遵循非歧视原则，依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位（以下统称商用密码从业单位）。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。

商用密码的科研、生产、销售、服务和进出口，不得损害国家安全、社会公共利益或者他人合法权益。

第二十二条　国家建立和完善商用密码标准体系。

国务院标准化行政主管部门和国家密码管理部门依据各自职责，组织制定商用密码国家标准、行业标准。

国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。

第二十三条　国家推动参与商用密码国际标准化活动，参与制定商用密码国际标准，推进商用密码中国标准与国外标准之间的转化运用。

国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。

第二十四条　商用密码从业单位开展商用密码活动，应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。

国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准，提升商用密码的防护能力，维护用户的合法权益。

第二十五条　国家推进商用密码检测认证体系建设，制定商用密码检测认证技术规范、规则，鼓励商用密码从业单位自愿接受商用密码检测认证，提升市场竞争力。

商用密码检测、认证机构应当依法取得相关资质，并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。

商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。

第二十六条　涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关键设备和网络安全专用产品目录，由具备资格的机构检测认证合格后，方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定，避免重复检测认证。

商用密码服务使用网络关键设备和网络安全专用产品的，应当经商用密码认证机构对该商用密码服务认证合格。

第二十七条　法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

第二十八条　国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可，对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。

大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

第二十九条　国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定，会同有关部门负责政务活动中使用电子签名、数据电文的管理。

第三十条　商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定，为商用密码从业单位提供信息、技术、培训等服务，引导和督促商用密码从业单位依法开展商用密码活动，加强行业自律，推动行业诚信建设，促进行业健康发展。

第三十一条　密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度，建立统一的商用密码监督管理信息平台，推进事中事后监管与社会信用体系相衔接，强化商用密码从业单位自律和社会监督。

第四章法律责任

第三十二条　违反本法第十二条规定，窃取他人加密保护的信息，非法侵入他人的密码保障系统，或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的，由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。

第三十三条　违反本法第十四条规定，未按照要求使用核心密码、普通密码的，由密码管理部门责令改正或者停止违法行为，给予警告；情节严重的，由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

第三十四条　违反本法规定，发生核心密码、普通密码泄密案件的，由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

违反本法第十七条第二款规定，发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患，未立即采取应对措施，或者未及时报告的，由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

第三十五条　商用密码检测、认证机构违反本法第二十五条第二款、第三款规定开展商用密码检测认证的，由市场监督管理部门会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得；违法所得三十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足三十万元的，可以并处十万元以上三十万元以下罚款；情节严重的，依法吊销相关资质。

第三十六条　违反本法第二十六条规定，销售或者提供未经检测认证或者检测认证不合格的商用密码产品，或者提供未经认证或者认证不合格的商用密码服务的，由市场监督管理部门会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得；违法所得十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足十万元的，可以并处三万元以上十万元以下罚款。

第三十七条　关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

关键信息基础设施的运营者违反本法第二十七条第二款规定，使用未经安全审查或者安全审查未通过的产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第三十八条　违反本法第二十八条实施进口许可、出口管制的规定，进出口商用密码的，由国务院商务主管部门或者海关依法予以处罚。

第三十九条　违反本法第二十九条规定，未经认定从事电子政务电子认证服务的，由密码管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得；违法所得三十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足三十万元的，可以并处十万元以上三十万元以下罚款。

第四十条　密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊，或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的，依法给予处分。

第四十一条　违反本法规定，构成犯罪的，依法追究刑事责任；给他人造成损害的，依法承担民事责任。

第四章附则

第四十二条　国家密码管理部门依照法律、行政法规的规定，制定密码管理规章。

第四十三条　中国人民解放军和中国人民武装警察部队的密码工作管理办法，由中央军事委员会根据本法制定。

第四十四条　本法自2020年1月1日起施行。

关于《中华人民共和国密码法（草案）》的说明

——2019年6月25日在第十三届全国人民代表大会常务委员会第十一次会议上

国家密码管理局局长　李兆宗

委员长、各位副委员长、秘书长、各位委员：

我受国务院委托，现对《中华人民共和国密码法（草案）》作说明。

一、立法的必要性

密码工作是党和国家的一项特殊重要工作，直接关系国家安全，密码在我国革命、建设、改革各个历史时期，都发挥了不可替代的重要作用。进入新时代，密码工作面临着许多新的机遇和挑战，担负着更加繁重的保障和管理任务，制定一部密码领域综合性、基础性法律，十分必要。一是核心密码和普通密码维护国家安全方面的基本制度、密码管理部门和密码工作机构及其工作人员开展核心密码和普通密码工作的保障措施等，需要通过国家立法予以明确，进一步提升法治化保障水平。二是近年来密码在维护国家安全、促进经济社会发展、保护人民群众利益方面发挥越来越重要的作用，国家对重要领域商用密码的应用、基础支撑能力的提升以及安全性评估、审查制度等不断提出明确要求，需要及时上升为法律规范。三是传统对商用密码实行全环节许可管理的手段已不适应职能转变和“放管服”改革要求，亟需在立法层面重塑现行商用密码管理制度。全国人大常委会和国务院将制定密码法列入了立法工作计划。

2017年4月至5月，国家密码管理局将《中华人民共和国密码法(草案征求意见稿)》向社会公开征求了意见，并于2017年6月向国务院报送了《中华人民共和国密码法(草案送审稿)》(以下简称送审稿)。收到此件后，司法部广泛征求了各地各部门意见，会同国家密码管理局对送审稿作了研究修改，并反复与中央网信办、工业和信息化部、商务部等单位沟通协调，形成了目前的《中华人民共和国密码法(草案)》(以下简称草案)。草案已于2019年6月10日经国务院常务会议讨论通过。

二、立法的总体思路

一是明确对核心密码、普通密码与商用密码实行分类管理的原则。草案在核心密码、普通密码方面，深入贯彻总体国家安全观，将现行有效的基本制度、特殊管理政策及保障措施法治化；在商用密码方面，充分体现职能转变和“放管服”改革要求，明确公民、法人和其他组织均可依法使用。

二是注重把握职能转变和“放管服”需要与保障国家安全的平衡。草案在明确鼓励商用密码产业发展、突出标准引领作用的基础上，对涉及国家安全、国计民生、社会公共利益，列入网络关键设备和网络安全专用产品目录的产品，以及关键信息基础设施的运营者和国家机关采购、使用的部分，规定了适度的管制措施。

三是注意处理好草案与网络安全法、保守国家秘密法等有关法律的关系。密码是保障网络安全的核心技术和基础支撑，草案在商用密码管理和相应法律责任设定方面与网络安全法的有关制度，如强制检测认证、安全性评估、国家安全审查等作了衔接；同时，鉴于核心密码、普通密码属于国家秘密，草案在核心密码、普通密码的管理方面与保守国家秘密法作了衔接。

三、草案的主要内容

草案共五章四十四条，主要内容如下：

（一）关于密码工作的领导和管理体制

草案明确：坚持中国共产党对密码工作的领导；中央密码工作领导机构对全国密码工作实行统一领导，制定国家密码重大方针政策，统筹协调国家密码重大事项和重要工作，推进国家密码法治建设（第四条）。国家密码管理部门负责管理全国的密码工作；县级以上地方各级密码管理部门负责管理本行政区域的密码工作；国家机关和涉及密码的单位在其职责范围内负责本机关、本单位或者本系统的密码工作（第五条）。

（二）关于密码的分类管理原则

草案明确规定密码分为核心密码、普通密码和商用密码，实行分类管理（第六条）。提出了密码分类保护的原则要求：核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级；核心密码、普通密码属于国家秘密，由密码管理部门依法实行严格统一管理（第七条）。商用密码用于保护不属于国家秘密的信息；公民、法人和其他组织均可依法使用商用密码保护网络与信息安全（第八条）。

（三）关于密码发展促进和保障措施

草案总则对核心密码、普通密码和商用密码在发展促进和保障措施方面的共性内容作了规定：一是规定国家鼓励和支持密码科学技术研究、交流，依法保护密码知识产权，促进密码科学技术进步和创新，建立密码工作表彰奖励制度（第九条）；二是规定国家加强密码宣传教育（第十条）；三是规定县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划，所需经费列入本级预算（第十一条）；四是规定任何组织或者个人不得窃取或者非法侵入他人的加密信息或者密码保障系统，不得利用密码从事违法犯罪活动（第十二条）。

（四）关于核心密码、普通密码

为了确保核心密码、普通密码安全，增强密码通信服务和网络空间密码保障能力，草案第二章规定了核心密码、普通密码的主要管理制度：一是明确传递、存储、处理国家秘密信息时的核心密码、普通密码使用要求（第十四条）；二是规定密码工作机构应当依法建立健全安全管理制度，采取严格的保密措施（第十五条）；三是规定密码管理部门依法对核心密码、普通密码工作进行指导、监督和检查，会同有关部门建立核心密码、普通密码安全协同联动机制，明确了相关案事件处置程序（第十六条、第十七条）；四是规定国家加强密码工作机构和核心密码、普通密码人才队伍建设（第十八条）；五是明确了核心密码、普通密码有关物品和人员享有免检等便利（第十九条）；六是规定了密码管理部门、密码工作机构对其工作人员的监督和安全审查机制（第二十条）。

（五）关于商用密码

为了贯彻落实职能转变和“放管服”改革要求，规范和促进商用密码产业发展，草案第三章规定了商用密码的主要制度：一是规定国家鼓励商用密码技术的研究开发和应用，健全商用密码市场体系，鼓励和促进商用密码产业发展（第二十一条）；二是规定了商用密码标准化制度（第二十二条、第二十三条、第二十四条）；三是建立了商用密码检测认证制度，并鼓励从业单位自愿接受商用密码检测认证（第二十五条）；四是对列入网络关键设备和网络安全专用产品目录的商用密码产品、用于网络关键设备和网络安全专用产品的商用密码服务实行强制性检测认证（第二十六条）；五是规定关键信息基础设施应当依法使用商用密码、开展安全性评估及国家安全审查（第二十七条）；六是对特定范围的商用密码实行进口许可和出口管制制度（第二十八条）；七是规定了电子政务电子认证服务管理制度（第二十九条）；八是支持商用密码行业协会积极发挥作用，加强行业自律，促进行业健康发展（第三十条）；九是规定了密码管理部门和有关部门建立商用密码事中事后监管制度（第三十一条）。

此外，草案规定了相应的法律责任（第四章）。

草案和以上说明是否妥当，请审议。

中华人民共和国密码法（草案）

第一章总则

第一条为了规范密码应用和管理，促进密码发展，保障网络与信息安全，保护公民、法人和其他组织的合法权益，维护国家安全和社会公共利益，制定本法。

第二条本法所称密码，是指使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。

第三条密码工作坚持总体国家安全观，遵循统一领导、分级负责，创新发展、服务大局，依法管理、保障安全的原则。

第五条国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。

国家机关和涉及密码的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。

第六条密码分为核心密码、普通密码和商用密码。国家对密码实行分类管理。

第七条核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。

核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码的科研、生产、检测、装备、使用和销毁等实行严格统一管理。

第八条商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。

第九条国家鼓励和支持密码科学技术研究、交流，依法保护密码知识产权，促进密码科学技术进步和创新。

对在密码工作中作出突出贡献的组织和个人，按照国家有关规定给予表彰和奖励。

第十条国家采取多种形式加强密码宣传教育，将密码安全教育纳入国民教育体系和公务员教育培训体系，鼓励和支持社会团体、公众开展和参与密码知识的普及、推广。

第十一条县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划，所需经费列入本级预算。

第十二条任何组织或者个人不得窃取他人的加密信息，不得非法侵入他人的密码保障系统，不得利用密码从事危害国家安全、社会公共利益、他人合法权益的活动或者其他违法犯罪活动。

第二章核心密码、普通密码

第十三条国家加强核心密码、普通密码的科学规划和使用，加强制度建设，完善管理措施，增强密码通信服务和网络空间密码保障能力。

第十四条在有线、无线通信中传递的国家秘密信息，以及存储、处理国家秘密信息的信息系统，应当根据国家秘密信息的最高密级，依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护或者安全认证。

第十五条核心密码、普通密码的科研、生产、检测、装备、使用和销毁单位（以下统称密码工作机构）应当按照法律、行政法规、国家有关规定及国家密码管理部门的要求，建立健全安全管理制度，采取严格的保密措施，确保核心密码、普通密码的安全。

第十六条密码管理部门依法对密码工作机构的核心密码、普通密码工作进行指导、监督和检查，密码工作机构应当配合。

第十七条密码管理部门根据工作需要会同有关部门建立核心密码、普通密码安全监测预警、信息通报、重大事项会商和应急处置等协作机制，确保核心密码、普通密码安全管理的协同联动和有序高效。

密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题的，应当立即采取应对措施，并及时向保密行政管理部门、密码管理部门报告，由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置或者指导有关密码工作机构及时消除安全隐患。

第十八条国家加强密码工作机构建设，保障其履行工作职责。

国家加强核心密码、普通密码人才队伍培养、建设，建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。

第十九条密码管理部门根据核心密码、普通密码工作需要，按照国家有关规定，可以提请公安、交通运输、海关等部门对有关物品和人员提供免检等便利。

第三章商用密码

第二十一条国家鼓励商用密码技术的研究开发和应用，健全统一、开放、竞争、有序的商用密码市场体系，鼓励和促进商用密码产业发展。

商用密码的科研、生产、销售、服务和进出口，不得损害国家安全、社会公共利益或者公民、法人和其他组织的合法权益。

第二十二条国家建立和完善商用密码标准体系。

国务院标准化行政主管部门和国家密码管理部门依据各自职责，组织制定商用密码国家标准、行业标准。

国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。

第二十三条国家推动参与商用密码国际标准化活动，参与制定商用密码国际标准，推进商用密码中国标准与国外标准之间的转化运用。

国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。

第二十四条商用密码从业单位从事商用密码科研、生产、销售、服务、进出口等活动，应当符合有关法律、行政法规、商用密码强制性国家标准以及从业单位公开标准的技术要求。

国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准，提升商用密码的防护能力，维护用户的合法权益。

第二十五条国家推进商用密码检测认证体系建设，制定商用密码检测认证技术规范和规则，鼓励商用密码从业单位自愿接受商用密码检测认证，提升市场竞争力。

商用密码检测、认证机构应当依法取得相关资质，并依照法律、行政法规的规定和商用密码检测认证技术规范和规则开展商用密码检测认证。

第二十六条涉及国家安全、国计民生、社会公共利益的商用密码产品列入网络关键设备和网络安全专用产品目录，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。

用于网络关键设备和网络安全专用产品的商用密码服务，应当由商用密码认证、检测机构安全认证合格或者安全检测符合要求后，方可提供。

第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，开展商用密码应用安全性评估。

关键信息基础设施的运营者和国家机关采购、使用涉及商用密码的网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

第二十八条国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可，对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。

大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

第三十条商用密码行业协会依照法律、行政法规及其章程的规定，为商用密码从业单位提供商用密码信息、技术、培训等服务，引导和督促商用密码从业单位依法开展商用密码科研、生产、销售、服务、进出口等活动，加强行业自律，推动行业诚信建设，促进行业健康发展。

第三十一条密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度，建立统一的商用密码监督管理信息平台，推进事中事后监管与社会信用体系相衔接，强化商用密码从业单位自律和社会监督。

第四章法律责任

第三十二条违反本法第十二条或者有关法律、行政法规规定，窃取他人的加密信息，非法侵入他人的密码保障系统，或者利用密码从事危害国家安全、社会公共利益、他人合法权益的活动或者其他违法犯罪活动的，依法追究法律责任。

第三十三条违反本法第十四条规定使用核心密码、普通密码的，由密码管理部门责令改正或者停止违法行为，给予警告；情节严重的，由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

第三十四条违反本法或者有关法律、行政法规和国家有关规定，发生核心密码、普通密码泄密案件的，由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

第三十五条商用密码检测、认证机构违反本法第二十五条第二款规定开展商用密码检测认证的，由市场监督管理部门会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得；违法所得三十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足三十万元的，可以并处十万元以上三十万元以下罚款；情节严重的，依法吊销相关资质。

第三十六条违反本法第二十六条规定，销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的商用密码产品或者服务的，由市场监督管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得；违法所得十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足十万元的，可以并处三万元以上十万元以下罚款。

第三十七条违反本法第二十七条第一款规定使用商用密码，违反本法第二十七条第二款规定采购、使用未经安全审查或者安全审查未通过的产品或者服务的，依照《中华人民共和国网络安全法》的规定处罚。

第三十八条违反本法第二十八条规定进出口商用密码的，由国务院商务主管部门或者海关依法予以处罚。

第三十九条违反本法第二十九条规定，未经认定从事电子政务电子认证服务的，由密码管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得；违法所得三十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足三十万元的，可以并处十万元以上三十万元以下罚款。

第四十条国家机关工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊的，依法给予处分。

第四十一条违反本法规定，构成犯罪的，依法追究刑事责任。

第五章附则

第四十二条国家密码管理部门依照法律、行政法规的规定，制定密码管理规章。

第四十三条军队密码工作管理办法，由中央军事委员会根据本法制定。

第四十四条本法自年月日起施行。