数观天下：商用密码条例解读（2023）（23页）.pdf

1、2023年5月25日数观天下公众号数观天下公众号u 商用密码条例总体架构商用密码条例总体架构数观天下 数 观 天 下u 商用密码条例总则商用密码条例总则数观天下 在中华人民共和国境内的商用密码科研、生产、销售、服务、检测、认证、进出口、应用等活动及监督管理。适用范围适用范围A商用密码，是指采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。重要定义重要定义B国家密码管理部门负责管负责管理全国的商用密码工作理全国的商用密码工作。监管部门监管部门C县级以上地方各级密码管理部门负责管理本行政区负责管理本行政区域的商用密码工作域的商用密码工作。网信、商务、海关、市场监督

2、管理等有关部门在各自职责范围内负责商用密码有关管理工作负责商用密码有关管理工作。数 观 天 下u 商用密码条例总则商用密码条例总则数观天下 国家加强商用密码人才培养，建立健全商用密码人才发展体制机制和人才评价制度，鼓励和支持密码相关学科和专业建设，规范商用密码社会化培训，促进商用密码人才交流。各级人民政府及其有关部门应当采取多种形式加强商用密码宣传教育，增强公民、法人和其他组织的密码安全意识。商用密码领域的学会、行业协会等社会组织依照法律、行政法规及其章程的规定，开展学术交流、政策研究、公共服务等活动，加强学术和行业自律，推动诚信建设，促进行业健康发展。人才培养宣传教育行业自律数 观 天 下u

3、 科技创新与标准化科技创新与标准化数观天下 创新促进机制国家建立健全商用密码科学技术创新促进机制，支持商用密码科学技术自主创新，对作出突出贡献的组织和个人按照国家有关规定予以表彰和奖励。0102知识产权保护机制国家依法保护商用密码领域的知识产权。从事商用密码活动，应当增强知识产权意识，提高运用、保护和管理知识产权的能力。03成果转化机制04安全审查机制国家鼓励和支持商用密码科学技术成果转化和产业化应用，建立和完善商用密码科学技术成果信息汇交、发布和应用情况反馈机制。国家密码管理部门组织对法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统所使用的密码算法、密码协议、密钥管理机制

4、等商用密码技术进行审查鉴定。数 观 天 下u 行业标准、国家标准及国际标准的制定行业标准、国家标准及国际标准的制定数观天下 231相关部门依据各自职责，组织制定商用密码国家标准、行业标准，对商用密码团体标准的制定进行规范、引导和监督。国家密码管理部门依据职责，建立商用密码标准实施信息反馈和评估机制，对商用密码标准实施进行监督检查。规范、引导和监督标准制定规范、引导和监督标准制定国家推动参与商用密码国际标准化活动，参与制定商用密码国际标准，推进商用密码中国标准与国外标准之间的转化运用，鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。推动商用密码国际标准化活动推动商用密码国际标准化

5、活动从事商用密码活动，应当符合有关法律、行政法规、商用密码强制性国家标准，以及自我声明公开标准的技术要求。国家鼓励在商用密码活动中采用商用密码推荐性国家标准、行业标准，提升商用密码的防护能力，维护用户的合法权益。强制性和推荐性标准遵循强制性和推荐性标准遵循数 观 天 下u 商用密码条例检测认证商用密码条例检测认证数观天下 检测体系建设检测体系建设国家推进商用密码检测认证体系建设，鼓励在商用密码活动中自愿接受商用密码检测认证。从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动，向社会出具具有证明作用的数据、结果的机构，应当经国家密码管理部门认定，依法取得商用密码检测机构

6、资质涉及国家安全、国计民生、社会公共利益的商用涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关键设备和网络安密码产品，应当依法列入网络关键设备和网络安全专用产品目录全专用产品目录，由具备资格的商用密码检测、认证机构检测认证合格后，方可销售或者提供。商用密码服务使用网络关键设备和网络安全专用商用密码服务使用网络关键设备和网络安全专用产品的产品的，应当经商用密码认证机构对该商用密码服务认证合格。1234检测机构资质检测机构资质产品检测认证产品检测认证服务检测认证服务检测认证数 观 天 下u 商用密码条例检测认证商用密码条例检测认证数观天下 （一）具有法人资格；（二）具有与从事

7、商用密码检测活动相适应的资金、场所、设备设施、专业人员和专业能力；（三）具有保证商用密码检测活动有效运行的管理体系。应当向国家密码管理部门提出书面申请自受理申请之日起20个工作日内，对申请进行审查申请人申请人国家密码国家密码管理部门管理部门审查申请审查申请材料材料技术评审技术评审准予认定准予认定从业准则商用密码认证机构应当按照法律、行政法规和商用密码认证技术规范、规则，在批准范围内独立、公正、科学、诚信地开展商用密码认证，对出具的认证结论负责。技术评审所需时间不计算在本条规定的期限内。数 观 天 下u 商用密码条例检测认证商用密码条例检测认证数观天下 从事商用密码认证活动的机构，应当依法取得商

8、用密码认证机构资质。从事商用密码认证活动的机构，应当依法取得商用密码认证机构资质。申请人申请商用密码认证机构资质，应当向国务院市场监督管理部门提出书面申请。申请人除应当符合法律、行政法规和国家有关规定要求的认证机构基本条件外，还应当具有与从事商用密码认证活动相适应的检测、检查等技术能力。认证规范商用密码认证机构应当按照法律、行政法规和商用密码认证技术规范、规则，在批准范围内独立、公正、科学、诚信地开展商用密码认证，对出具的认证结论负责。认证要求商用密码认证机构应当对其认证的商用密码产品、服务、管理体系实施有效的跟踪调查，以保证通过认证的商用密码产品、服务、管理体系持续符合认证要求。数 观 天

9、下u 电子认证电子认证数观天下 电子认证服务要求应当具有与使用密码相适应的场所、设备设施、专业人员、专业能力和管理体系，依法取得国家密码管理部门同意使用密码的证明文件。电子认证服务机构要求应当按照法律、行政法规和电子认证服务密码使用技术规范、规则，使用密码提供电子认证服务，保证其电子认证服务密码使用持续符合要求。数 观 天 下u 电子认证电子认证数观天下 （一）具有企业法人或者事业单位法人资格；（二）具有与从事电子政务电子认证服务活动及其使用密码相适应的资金、场所、设备设施和专业人员；（三）具有为政务活动提供长期电子政务电子认证服务的能力；（四）具有保证电子政务电子认证服务活动及其使用密码安全

10、运行的管理体系。应当向国家密码管理部门提出书面申请自受理申请之日起20个工作日内，对申请进行审查申请人申请人国家密码国家密码管理部门管理部门审查申请审查申请材料材料技术评审技术评审准予认定准予认定从业准则电子政务电子认证服务机构应当按照法律、行政法规和电子政务电子认证服务技术规范、规则，在批准范围内提供电子政务电子认证服务，并定期向主要办事机构所在地省、自治区、直辖市密码管理部门报送服务实施情况。外商投资电子政务电子认证服务，影响或者可能影响国家安全的，应当依法进行外商投资安全审查。技术评审所需时间不计算在本条规定的期限内。数 观 天 下u 电子认证电子认证数观天下 国家密码管理部门负责电子认

11、证信任源的规划和管理，会同有关部门推动电子认证服务互信互认。信任机制信任机制A密码管理部门会同有关部门负责政务活动中使用电子签名、数据电文的管理。认证管理认证管理B政务活动中电子签名、电子印章、电子证照等涉及的电子认证服务，应当由依法设立的电子政务电子认证服务机构提供。认证服务认证服务C数 观 天 下u 进出口进出口数观天下 （一）申请人的法定代表人、主要经营管理人以及经办人的身份证明；（二）合同或者协议的副本；（三）商用密码的技术说明；（四）最终用户和最终用途证明；（五）国务院商务主管部门规定提交的其他文件。应当向国家密码管理部门提出书面申请自受理申请之日起45个工作日内，对申请进行审查进出

12、口经进出口经营者营者国务院商国务院商务主管部务主管部门门审查申请审查申请材料材料国务院批国务院批准准准予许可准予许可关于进口许可和出口管制清单商用密码进口许可清单和商用密码出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。涉及国家安全、社会公共利益且具有加密保护功能的商用密码，列入商用密码进口许可清单，实施进口许可。涉及国家安全、社会公共利益或者中国承担国际义务的商用密码，列入商用密码出口管制清单，实施出口管制。国务院批准的，不受前款规定时限的限制。数 观 天 下u 进出口流程进出口流程数观天下 进出口经营者国务院商务主管部门会同国家密码管理部门对申请进行审查是否准予许

13、可商用密码的过境、转运、通运、再出口，在境外与综合保税区等海关特殊监管区域之间进出，或者在境外与出口监管仓库、保税物流中心等保税监管场所之间进出进/出口许可清单向国务院商务主管部门申请领取进出口许可证确认进口许可清单或者出口管制清单范围向国务院商务主管部门提出组织鉴别向海关交验进出口许可证办理手续海关对进出口产品不予放行给予放行提出申请未许可已许可是属于进口许可不属于未验证许可进出口许可申请进出口许可证申请进出口许可证鉴别进出口放行数 观 天 下u 应用促进应用促进数观天下 国家鼓励支持商用密码的规范应用国家鼓励支持商用密码的规范应用一鼓励国家鼓励公民、法人和其他组织依法使用商用密码保护网络与

14、信息安全，鼓励使用经检测认证合格的商用密码。二支持国家支持网络产品和服务使用商用密码提升安全性，支持并规范商用密码在信息领域新技术、新业态、新模式中的应用。三不得任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的商用密码保障系统，不得利用商用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。数 观 天 下u 应用促进应用促进数观天下 国家建立商用密码应用促进协调机制国家建立商用密码应用促进协调机制统筹指导国家建立商用密码应用促进协调机制，加强对商用密码应用的统筹指导。各司其职国家机关和涉及商用密码工作的单位在其职责范围内负责本机关、本单位或者本系统的商用密码应用和安全保

15、障工作。加强管理密码管理部门会同有关部门加强商用密码应用信息收集、风险评估、信息通报和重大事项会商，并加强与网络安全监测预警和信息通报的衔接。数 观 天 下u 应用促进应用促进数观天下 数 观 天 下义务主体义务简介具体要求关键信息基础设施使用商用密码进行保护要求使用商用密码进行保护的关键信息基础设施，使用的商使用的商用密码产品、服务应当经检测认证合格，使用的密码算法、用密码产品、服务应当经检测认证合格，使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定管理部门审查鉴定。关键信息基础设施通过商用密码应用安全性

16、评估方可投入运行，运行后每年至少进行一次评估运行后每年至少进行一次评估，评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、所在地省、自治区、直辖市密码管理部门备案。自治区、直辖市密码管理部门备案。网络运营者应当按照国家网络安全等级保护制度要求，使用网络运营者应当按照国家网络安全等级保护制度要求，使用商用密码保护网络安全商用密码保护网络安全。国家密码管理部门根据网络的安全保护等级，确定商用密码的使用、管理和应用安全性评估要求，制定网络安全等级保护密码标准规范。商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接，避免重复评估、测评避免重复评估

17、、测评。制定商用密码应用方案配备必要的资金和专业人员同步规划、同步建设、同步运行商用密码保障系统自行或者委托商用密码检测机构开展商用密码应用安全性评估数 观 天 下u 监督管理监督管理数观天下 保密义务保密义务商用密码检测、认证机构和电子政务电子认证服务机构及其工作人员，应当对其在商用密码活动中所知悉的国家秘密和商业秘密承担保密义务。43检查职权检查职权（一）进入商用密码活动场所实施现场检查；（二）向当事人的法定代表人、主要负责人和其他有关人员调查、了解有关情况；（三）查阅、复制有关合同、票据、账簿以及其他有关资料。2密码管理部门和有关部门建立商用密码监督管理协作机制，加强商用密码监督、检查、

18、指导等工作的协调配合。协作机制协作机制1监督检查监督检查密码管理部门依法组织对商用密码活动进行监督检查，对国家机关和涉及商用密码工作的单位的商用密码相关工作进行指导和监督。举报机制举报机制任何单位或者个人有权向密码管理部门和有关部门举报违反本条例的行为。密码管理部门和有关部门接到举报，应当及时核实、处理，并为举报人保密。65监管机制监管机制推进商用密码监督管理与社会信用体系相衔接，依法建立推行商用密码经营主体信用记录、信用分级分类监管、失信惩戒以及信用修复等机制。数 观 天 下u 法律责任法律责任数观天下 数 观 天 下违反内容违反内容处罚追责处罚追责违反本条例规定，未经认定向社会开展商用密码

19、检测活动，或者未经认定从事电子政务电子认证服务由密码管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得；违法所得违法所得30万元以上的，可万元以上的，可以并处违法所得以并处违法所得1倍以上倍以上3倍以下罚款；没有违法所得或者违法所得不足倍以下罚款；没有违法所得或者违法所得不足30万元的，可以并处万元的，可以并处10万元以上万元以上30万元万元以下罚款以下罚款违反本条例规定，未经批准从事商用密码认证活动的由市场监督管理部门会同密码管理部门依照前款规定予以处罚违反本条例第二十条、第二十一条规定，销售或者提供未经检测认证或者检测认证不合格的商用密码产品，或者提供未经认证或者认证不合格

20、的商用密码服务的由市场监督管理部门会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得；违法没收违法产品和违法所得；违法所得所得10万元以上的，可以并处违法所得万元以上的，可以并处违法所得1倍以上倍以上3倍以下罚款；没有违法所得或者违法所得不足倍以下罚款；没有违法所得或者违法所得不足10万元的，可以万元的，可以并处并处3万元以上万元以上10万元以下罚款万元以下罚款政务活动中电子签名、电子印章、电子证照等涉及的电子认证服务，违反本条例第三十条规定，未由依法设立的电子政务电子认证服务机构提供由密码管理部门责令改正，给予警告；拒不改正或者有其他严重情节的，由密码管理部门建议有关

21、国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。有关国家机关、单位应当将处分或者处理情况书面告知密码管理部门违反本条例规定进出口商用密码的由国务院商务主管部门或者海关依法予以处罚国务院商务主管部门或者海关依法予以处罚窃取他人加密保护的信息，非法侵入他人的商用密码保障系统，或者利用商用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的由有关部门依照中华人民共和国网络安全法和其他有关法律、行政法规的规定追究法律责任无正当理由拒不接受、不配合或者干预、阻挠密码管理部门、有关部门的商用密码监督管理的由密码管理部门、有关部门责令改正，给予警告；拒不改正或者有其他严重情

22、节的，处拒不改正或者有其他严重情节的，处5万元以上万元以上50万元以下罚万元以下罚款，对直接负责的主管人员和其他直接责任人员处款，对直接负责的主管人员和其他直接责任人员处1万元以上万元以上10万元以下罚款；情节特别严重的，责令停业整顿，万元以下罚款；情节特别严重的，责令停业整顿，直至吊销商用密码许可证件直至吊销商用密码许可证件国家机关有本条例第六十条、第六十一条、第六十二条、第六十三条所列违法情形的由密码管理部门、有关部门责令改正，给予警告；拒不改正或者有其他严重情节的，由密码管理部门、有关部门拒不改正或者有其他严重情节的，由密码管理部门、有关部门建议有关国家机关对直接负责的主管人员和其他直接

23、责任人员依法给予处分或者处理建议有关国家机关对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。有关国家机关应当将处分或者处理情况书面告知密码管理部门、有关部门密码管理部门和有关部门的工作人员在商用密码工作中滥用职权、玩忽职守、徇私舞弊，或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的依法给予处分违反本条例规定，构成犯罪的依法追究刑事责任给他人造成损害的依法承担民事责任数 观 天 下u 法律责任法律责任数观天下 数 观 天 下责任主体责任主体违反内容违反内容处罚处罚商用密码检测机构开展商用密码检测，有下列情形之一的:（一）超出批准范围；（二）存在影响检测独立、

24、公正、诚信的行为；（三）出具的检测数据、结果虚假或者失实；（四）拒不报送或者不如实报送实施情况；（五）未履行保密义务；（六）其他违反法律、行政法规和商用密码检测技术规范、规则开展商用密码检测的情形由密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得；违法所得违法所得30万元以上的，万元以上的，可以并处违法所得可以并处违法所得1倍以上倍以上3倍以下罚款；没有违法所得或者违法所得不足倍以下罚款；没有违法所得或者违法所得不足30万元的，可以并处万元的，可以并处10万元以上万元以上30万元以下罚款；情节严重的，依法吊销商用密码检测机构资质万元以下罚款；情节严重的，依法吊销商用密码检测机构资质

25、商用密码认证机构开展商用密码认证，有下列情形之一的:（一）超出批准范围；（二）存在影响认证独立、公正、诚信的行为；（三）出具的认证结论虚假或者失实；（四）未对其认证的商用密码产品、服务、管理体系实施有效的跟踪调查；（五）未履行保密义务；（六）其他违反法律、行政法规和商用密码认证技术规范、规则开展商用密码认证的情形由市场监督管理部门会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得；违法所得30万元以上的，可以并处违法所得1倍以上3倍以下罚款；没有违法所得或者违法所得不足30万元的，可以并处10万元以上30万元以下罚款；情节严重的，依法吊销商用密码认证机构资质电子认证服务机构 违反

26、法律、行政法规和电子认证服务密码使用技术规范、规则使用密码的由密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得；违法所得30万元以上的，可以并处违法所得1倍以上3倍以下罚款；没有违法所得或者违法所得不足30万元的，可以并处10万元以上30万元以下罚款；情节严重的，依法吊销电子认证服务使用密码的证明文件电子政务电子认证服务机构开展电子政务电子认证服务，有下列情形之一的：（一）超出批准范围；（二）拒不报送或者不如实报送实施情况；（三）未履行保密义务；（四）其他违反法律、行政法规和电子政务电子认证服务技术规范、规则提供电子政务电子认证服务的情形。由密码管理部门责令改正或者停止违法行为，给

27、予警告，没收违法所得；违法所得30万元以上的，可以并处违法所得1倍以上3倍以下罚款；没有违法所得或者违法所得不足30万元的，可以并处10万元以上30万元以下罚款；情节严重的，责令停业整顿，直至吊销电子政务电子认证服务机构资质电子签名人或者电子签名依赖方因依据电子政务电子认证服务机构提供的电子签名认证服务在政务活动中遭受损失，电子政务电子认证服务机构不能证明自己无过错的承担赔偿责任关键信息基础设施的运营者违反本条例第三十八条、第三十九条规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的由密码管理部门责令改正，给予警告；拒不改正或者有其他严重情节的，处由密码管理部门责令改正，

28、给予警告；拒不改正或者有其他严重情节的，处10万元以上万元以上100万元万元以下罚款，对直接负责的主管人员处以下罚款，对直接负责的主管人员处1万元以上万元以上10万元以下罚款。万元以下罚款。违反本条例第四十条规定，使用未经安全审查或者安全审查未通过的涉及商用密码的网络产品或者服务的由有关主管部门责令停止使用，处采购金额由有关主管部门责令停止使用，处采购金额1倍以上倍以上10倍以下罚款；对直接负责的主管人员和其倍以下罚款；对直接负责的主管人员和其他直接责任人员处他直接责任人员处1万元以上万元以上10万元以下罚款。万元以下罚款。网络运营者违反本条例第四十一条规定，未按照国家网络安全等级保护制度要求

29、使用商用密码保护网络安全的由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处1万元以上万元以上10万元以下罚款，对直接负责的主管人员处万元以下罚款，对直接负责的主管人员处5000元以上元以上5万元以下罚款万元以下罚款数 观 天 下版权声明版权声明本报告为数观天下编撰，其版权归数观天下所有，任何机构和个人引用或转载报告时需注明来源为数观天下。任何未注明来源的图片、表格及文字内容都将违反中华人民共和国著作权法和其他法律法规。有侵权行为的个人、法人或其它组织，必须立即停止侵权并对其因侵权造成的一切后果承担全部责任和相应赔偿否则数观天下将依据中华人民共和国著作权法等相关法律、法规追究其经济和法律责任。免责声明免责声明数观天下取得数据的途径来源于公开资料、厂商调研和行业访谈等，报告力求内容客观、公正，但所载观点仅供参考使用，对依据或使用本报告及本司其他相关研究报告所造成的一切后果，作者不承担法律责任。u 法律声明法律声明数观天下 u 数观天下成果展示数观天下成果展示数观天下 商用密码领域头部研究机构数观天下公众号数观天下公众号个人微信号个人微信号关注公众号下载更多商密资料