李强签署国务院令 公布修订后的《商用密码治理条例》

第760号

《商用密码管理条例》已经2023年4月14日国务院第4次常务会议修订通过，现予公布，自2023年7月1日起施行。

总理 李强

2023年4月27日

商用密码管理条例

（1999年10月7日中华公民共和国国务院令第273号发布 2023年4月27日中华公民共和国国务院令第760号修订）

第一章 总则

第一条 为了规范商用密码运用和管理，鼓励和促进商用密码家当发展，保障网络与信息安全，掩护国家安全和社会公共利益，保护公民、法人和其他组织的合法权柄，根据《中华公民共和国密码法》等法律，制订本条例。

第二条 在中华公民共和国境内的商用密码科研、生产、发卖、做事、检测、认证、进出口、运用等活动及监督管理，适用本条例。

本条例所称商用密码，是指采取特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技能、产品和做事。

第三条 坚持中国共产党对商用密码事情的领导，贯彻落实总体国家安全不雅观。
国家密码管理部门卖力管理全国的商用密码事情。
县级以上地方各级密码管理部门卖力管理本行政区域的商用密码事情。

网信、商务、海关、市场监督管理等有关部门在各自职责范围内卖力商用密码有关管理事情。

第四条 国家加强商用密码人才培养，建立健全商用密码人才发展系统编制机制和人才评价制度，鼓励和支持密码干系学科和专业培植，规范商用密码社会化培训，促进商用密码人才互换。

第五条 各级公民政府及其有关部门应该采纳多种形式加强商用密码宣扬教诲，增强公民、法人和其他组织的密码安全意识。

第六条 商用密码领域的学会、行业协会等社会组织依照法律、行政法规及其章程的规定，开展学术互换、政策研究、公共做事等活动，加强学术和行业自律，推动诚信培植，促进行业康健发展。

密码管理部门应该加强对商用密码领域社会组织的辅导和支持。

第二章 科技创新与标准化

第七条 国家建立健全商用密码科学技能创新促进机制，支持商用密码科学技能自主创新，对作出突出贡献的组织和个人按照国家有关规定予以表彰和褒奖。

国家依法保护商用密码领域的知识产权。
从事商用密码活动，应该增强知识产权意识，提高利用、保护和管理知识产权的能力。

国家鼓励在外商投资过程中基于志愿原则和商业规则开展商用密码技能互助。
行政机关及其事情职员不得利用行政手段逼迫转让商用密码技能。

第八条 国家鼓励和支持商用密码科学技能成果转化和家当化运用，建立和完善商用密码科学技能成果信息汇交、发布和运用情形反馈机制。

第九条 国家密码管理部门组织对法律、行政法规和国家有关规定哀求利用商用密码进行保护的网络与信息系统所利用的密码算法、密码协议、密钥管理机制等商用密码技能进行审查鉴定。

第十条 国务院标准化行政主管部门和国家密码管理部门依据各自职责，组织制订商用密码国家标准、行业标准，对商用密码团体标准的制订进行规范、勾引和监督。
国家密码管理部门依据职责，建立商用密码标准履行信息反馈和评估机制，对商用密码标准履行进行监督检讨。

国家推动参与商用密码国际标准化活动，参与制订商用密码国际标准，推进商用密码中国标准与国外标准之间的转化利用，鼓励企业、社会团体和教诲、科研机构等参与商用密码国际标准化活动。

其他领域的标准涉及商用密码的，应该与商用密码国家标准、行业标准保持折衷。

第十一条 从事商用密码活动，应该符合有关法律、行政法规、商用密码逼迫性国家标准，以及自我声明公开标准的技能哀求。

国家鼓励在商用密码活动中采取商用密码推举性国家标准、行业标准，提升商用密码的防护能力，掩护用户的合法权柄。

第三章 检测认证

第十二条 国家推进商用密码检测认证体系培植，鼓励在商用密码活动中志愿接管商用密码检测认证。

第十三条 从事商用密码产品检测、网络与信息系统商用密码运用安全性评估等商用密码检测活动，向社会出具具有证明浸染的数据、结果的机构，应该经国家密码管理部门认定，依法取得商用密码检测机构资质。

第十四条 取得商用密码检测机构资质，应该符合下列条件：

（一）具有法人资格；

（二）具有与从事商用密码检测活动相适应的资金、场所、设备举动步伐、专业职员和专业能力；

（三）具有担保商用密码检测活动有效运行的管理体系。

第十五条 申请商用密码检测机构资质，应该向国家密码管理部门提出书面申请，并提交符合本条例第十四条规定条件的材料。

国家密码管理部门应该自受理申请之日起20个事情日内，对申请进行审查，并依法作出是否准予认定的决定。

须要对申请人进行技能评审的，技能评审所需韶光不打算在本条规定的期限内。
国家密码管理部门应该将所需韶光书面奉告申请人。

第十六条 商用密码检测机构应该按照法律、行政法规和商用密码检测技能规范、规则，在批准范围内独立、公道、科学、诚信地开展商用密码检测，对出具的检测数据、结果卖力，并定期向国家密码管理部门报送检测履行情形。

商用密码检测技能规范、规则由国家密码管理部门制订并公布。

第十七条 国务院市场监督管理部门会同国家密码管理部门建立国家统一实行的商用密码认证制度，实施商用密码产品、做事、管理体系认证，制订并公布认证目录和技能规范、规则。

第十八条 从事商用密码认证活动的机构，应该依法取得商用密码认证机构资质。

申请商用密码认证机构资质，应该向国务院市场监督管理部门提出书面申请。
申请人除应该符合法律、行政法规和国家有关规定哀求的认证机构基本条件外，还应该具有与从事商用密码认证活动相适应的检测、检讨等技能能力。

国务院市场监督管理部门在审查商用密码认证机构资质申请时，应该搜聚国家密码管理部门的见地。

第十九条 商用密码认证机构应该按照法律、行政法规和商用密码认证技能规范、规则，在批准范围内独立、公道、科学、诚信地开展商用密码认证，对出具的认证结论卖力。

商用密码认证机构应该对其认证的商用密码产品、做事、管理体系履行有效的跟踪调查，以担保通过认证的商用密码产品、做事、管理体系持续符合认证哀求。

第二十条 涉及国家安全、国计民生、社会公共利益的商用密码产品，应该依法列入网络关键设备和网络安全专用产品目录，由具备资格的商用密码检测、认证机构检测认证合格后，方可发卖或者供应。

第二十一条 商用密码做事利用网络关键设备和网络安全专用产品的，应该做生意用密码认证机构对该商用密码做事认证合格。

第四章 电子认证

第二十二条 采取商用密码技能供应电子认证做事，应该具有与利用密码相适应的场所、设备举动步伐、专业职员、专业能力和管理体系，依法取得国家密码管理部门赞许利用密码的证明文件。

第二十三条 电子认证做事机构应该按照法律、行政法规和电子认证做事密码利用技能规范、规则，利用密码供应电子认证做事，担保其电子认证做事密码利用持续符合哀求。

电子认证做事密码利用技能规范、规则由国家密码管理部门制订并公布。

第二十四条 采取商用密码技能从事电子政务电子认证做事的机构，应该经国家密码管理部门认定，依法取得电子政务电子认证做事机构资质。

第二十五条 取得电子政务电子认证做事机构资质，应该符合下列条件：

（一）具有企业法人或者奇迹单位法人资格；

（二）具有与从事电子政务电子认证做事活动及其利用密码相适应的资金、场所、设备举动步伐和专业职员；

（三）具有为政务活动供应长期电子政务电子认证做事的能力；

（四）具有担保电子政务电子认证做事活动及其利用密码安全运行的管理体系。

第二十六条 申请电子政务电子认证做事机构资质，应该向国家密码管理部门提出书面申请，并提交符合本条例第二十五条规定条件的材料。

国家密码管理部门应该自受理申请之日起20个事情日内，对申请进行审查，并依法作出是否准予认定的决定。

须要对申请人进行技能评审的，技能评审所需韶光不打算在本条规定的期限内。
国家密码管理部门应该将所需韶光书面奉告申请人。

第二十七条 外商投资电子政务电子认证做事，影响或者可能影响国家安全的，应该依法进行外商投资安全审查。

第二十八条 电子政务电子认证做事机构应该按照法律、行政法规和电子政务电子认证做事技能规范、规则，在批准范围内供应电子政务电子认证做事，并定期向紧张办事机构所在地省、自治区、直辖市密码管理部门报送做事履行情形。

电子政务电子认证做事技能规范、规则由国家密码管理部门制订并公布。

第二十九条 国家建立统一的电子认证信赖机制。
国家密码管理部门卖力电子认证信赖源的方案和管理，会同有关部门推动电子认证做事互信互认。

第三十条 密码管理部门会同有关部门卖力政务活动中利用电子署名、数据电文的管理。

政务活动中电子署名、电子印章、电子证照等涉及的电子认证做事，应该由依法设立的电子政务电子认证做事机构供应。

第五章 进出口

第三十一条 涉及国家安全、社会公共利益且具有加密保护功能的商用密码，列入商用密码入口容许清单，履行入口容许。
涉及国家安全、社会公共利益或者中国承担国际责任的商用密码，列入商用密码出口牵制清单，履行出口牵制。

商用密码入口容许清单和商用密码出口牵制清单由国务院商务主管部门会同国家密码管理部门和海关总署制订并公布。

大众消费类产品所采取的商用密码不实施入口容许和出口牵制制度。

第三十二条 入口商用密码入口容许清单中的商用密码或者出口商用密码出口牵制清单中的商用密码，应该向国务院商务主管部门申请领取进出口容许证。

商用密码的过境、转运、通运、再出口，在境外与综合保税区等海关分外监管区域之间进出，或者在境外与出口监管仓库、保税物流中央等保税监管场所之间进出的，适用前款规定。

第三十三条 入口商用密码入口容许清单中的商用密码或者出口商用密码出口牵制清单中的商用密码时，应该向海关交验进出口容许证，并按照国家有关规定办理报关手续。

进出口经营者未向海关交验进出口容许证，海关有证据表明进出口产品可能属于商用密码入口容许清单或者出口牵制清单范围的，应该向进出口经营者提出质疑；海关可以向国务院商务主管部门提出组织鉴别，并根据国务院商务主管部门会同国家密码管理部门作出的鉴别结论依法处置。
在鉴别或者质疑期间，海关对进出口产品不予放行。

第三十四条 申请商用密码进出口容许，应该向国务院商务主管部门提出书面申请，并提交下列材料：

（一）申请人的法定代表人、紧张经营管理人以及包办人的身份证明；

（二）条约或者协议的副本；

（三）商用密码的技能解释；

（四）终极用户和终极用场证明；

（五）国务院商务主管部门规定提交的其他文件。

国务院商务主管部门应该自受理申请之日起45个事情日内，会同国家密码管理部门对申请进行审查，并依法作出是否准予容许的决定。

对国家安全、社会公共利益或者外交政策有重大影响的商用密码出口，由国务院商务主管部门会同国家密码管理部门等有关部门报国务院批准。
报国务院批准的，不受前款规定时限的限定。

第六章 运用促进

第三十五条 国家鼓励公民、法人和其他组织依法利用商用密码保护网络与信息安全，鼓励利用经检测认证合格的商用密码。

任何组织或者个人不得盗取他人加密保护的信息或者造孽侵入他人的商用密码保障系统，不得利用商用密码从事危害国家安全、社会公共利益、他人合法权柄等违法犯罪活动。

第三十六条 国家支持网络产品和做事利用商用密码提升安全性，支持并规范商用密码在信息领域新技能、新业态、新模式中的运用。

第三十七条 国家建立商用密码运用促进折衷机制，加强对商用密码运用的统筹辅导。
国家机关和涉及商用密码事情的单位在其职责范围内卖力本机关、本单位或者本系统的商用密码运用和安全保障事情。

密码管理部门会同有关部门加强商用密码运用信息网络、风险评估、信息通报和重大事变会商，并加强与网络安全监测预警和信息通报的衔接。

第三十八条 法律、行政法规和国家有关规定哀求利用商用密码进行保护的关键信息根本举动步伐，其运营者应该利用商用密码进行保护，制订商用密码运用方案，配备必要的资金和专业职员，同步方案、同步培植、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码运用安全性评估。

前款所列关键信息根本举动步伐通过商用密码运用安全性评估方可投入运行，运行后每年至少进行一次评估，评估情形按照国家有关规定报送国家密码管理部门或者关键信息根本举动步伐所在地省、自治区、直辖市密码管理部门备案。

第三十九条 法律、行政法规和国家有关规定哀求利用商用密码进行保护的关键信息根本举动步伐，利用的商用密码产品、做事应该经检测认证合格，利用的密码算法、密码协议、密钥管理机制等商用密码技能应该通过国家密码管理部门审查鉴定。

第四十条 关键信息根本举动步伐的运营者采购涉及商用密码的网络产品和做事，可能影响国家安全的，应该依法通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

第四十一条 网络运营者应该按照国家网络安全等级保护制度哀求，利用商用密码保护网络安全。
国家密码管理部门根据网络的安全保护等级，确定商用密码的利用、管理和运用安全性评估哀求，制订网络安全等级保护密码标准规范。

第四十二条 商用密码运用安全性评估、关键信息根本举动步伐安全检测评估、网络安全等级测评应该加强衔接，避免重复评估、测评。

第七章 监督管理

第四十三条 密码管理部门依法组织对商用密码活动进行监督检讨，对国家机关和涉及商用密码事情的单位的商用密码干系事情进行辅导和监督。

第四十四条 密码管理部门和有关部门建立商用密码监督管理协作机制，加强商用密码监督、检讨、辅导等事情的折衷合营。

第四十五条 密码管理部门和有关部门依法开展商用密码监督检讨，可以行使下列权益：

（一）进入商用密码活动场所履行现场检讨；

（二）向当事人的法定代表人、紧张卖力人和其他有关职员调查、理解有关情形；

（三）查阅、复制有关条约、票据、账簿以及其他有关资料。

第四十六条 密码管理部门和有关部门推进商用密码监督管理与社会信用体系相衔接，依法建立实行商用密码经营主体信用记录、信用分级分类监管、失落信惩戒以及信用修复等机制。

第四十七条 商用密码检测、认证机构和电子政务电子认证做事机构及其事情职员，应该对其在商用密码活动中所知悉的国家秘密和商业秘密承包管密责任。

密码管理部门和有关部门及其事情职员不得哀求商用密码科研、生产、发卖、做事、进出口等单位和商用密码检测、认证机构向其表露源代码等密码干系专有信息，并对其在履行职责中知悉的商业秘密和个人隐私严格保密，不得透露或者造孽向他人供应。

第四十八条 密码管理部门和有关部门依法开展商用密码监督管理，干系单位和职员应该予以合营，任何单位和个人不得造孽干预和阻挡。

第四十九条 任何单位或者个人有权向密码管理部门和有关部门举报违反本条例的行为。
密码管理部门和有关部门接到举报，应该及时核实、处理，并为举报人保密。

第八章 法律任务

第五十条 违反本条例规定，未经认定向社会开展商用密码检测活动，或者未经认定从事电子政务电子认证做事的，由密码管理部门责令改正或者停滞违法行为，给予警告，没收违法产品和违法所得；违法所得30万元以上的，可以并处违法所得1倍以上3倍以下罚款；没有违法所得或者违法所得不敷30万元的，可以并处10万元以上30万元以下罚款。

违反本条例规定，未经批准从事商用密码认证活动的，由市场监督管理部门会同密码管理部门依照前款规定予以惩罚。

第五十一条 商用密码检测机构开展商用密码检测，有下列环境之一的，由密码管理部门责令改正或者停滞违法行为，给予警告，没收违法所得；违法所得30万元以上的，可以并处违法所得1倍以上3倍以下罚款；没有违法所得或者违法所得不敷30万元的，可以并处10万元以上30万元以下罚款；情节严重的，依法吊销商用密码检测机构资质：

（一）超出批准范围；

（二）存在影响检测独立、公道、诚信的行为；

（三）出具的检测数据、结果虚假或者失落实；

（四）拒不报送或者不如实报送履行情形；

（五）未履行保密责任；

（六）其他违反法律、行政法规和商用密码检测技能规范、规则开展商用密码检测的环境。

第五十二条 商用密码认证机构开展商用密码认证，有下列环境之一的，由市场监督管理部门会同密码管理部门责令改正或者停滞违法行为，给予警告，没收违法所得；违法所得30万元以上的，可以并处违法所得1倍以上3倍以下罚款；没有违法所得或者违法所得不敷30万元的，可以并处10万元以上30万元以下罚款；情节严重的，依法吊销商用密码认证机构资质：

（一）超出批准范围；

（二）存在影响认证独立、公道、诚信的行为；

（三）出具的认证结论虚假或者失落实；

（四）未对其认证的商用密码产品、做事、管理体系履行有效的跟踪调查；

（五）未履行保密责任；

（六）其他违反法律、行政法规和商用密码认证技能规范、规则开展商用密码认证的环境。

第五十三条 违反本条例第二十条、第二十一条规定，发卖或者供应未经检测认证或者检测认证不合格的商用密码产品，或者供应未经认证或者认证不合格的商用密码做事的，由市场监督管理部门会同密码管理部门责令改正或者停滞违法行为，给予警告，没收违法产品和违法所得；违法所得10万元以上的，可以并处违法所得1倍以上3倍以下罚款；没有违法所得或者违法所得不敷10万元的，可以并处3万元以上10万元以下罚款。

第五十四条 电子认证做事机构违反法律、行政法规和电子认证做事密码利用技能规范、规则利用密码的，由密码管理部门责令改正或者停滞违法行为，给予警告，没收违法所得；违法所得30万元以上的，可以并处违法所得1倍以上3倍以下罚款；没有违法所得或者违法所得不敷30万元的，可以并处10万元以上30万元以下罚款；情节严重的，依法吊销电子认证做事利用密码的证明文件。

第五十五条 电子政务电子认证做事机构开展电子政务电子认证做事，有下列环境之一的，由密码管理部门责令改正或者停滞违法行为，给予警告，没收违法所得；违法所得30万元以上的，可以并处违法所得1倍以上3倍以下罚款；没有违法所得或者违法所得不敷30万元的，可以并处10万元以上30万元以下罚款；情节严重的，责令停业整顿，直至吊销电子政务电子认证做事机构资质：

（一）超出批准范围；

（二）拒不报送或者不如实报送履行情形；

（三）未履行保密责任；

（四）其他违反法律、行政法规和电子政务电子认证做事技能规范、规则供应电子政务电子认证做事的环境。

第五十六条 电子署名人或者电子署名依赖方因依据电子政务电子认证做事机构供应的电子署名认证做事在政务活动中遭受丢失，电子政务电子认证做事机构不能证明自己无差错的，承担赔偿任务。

第五十七条 政务活动中电子署名、电子印章、电子证照等涉及的电子认证做事，违反本条例第三十条规定，未由依法设立的电子政务电子认证做事机构供应的，由密码管理部门责令改正，给予警告；拒不改正或者有其他严重情节的，由密码管理部门建议有关国家机关、单位对直接卖力的主管职员和其他直接任务职员依法给予处罚或者处理。
有关国家机关、单位应该将处罚或者处理情形书面奉告密码管理部门。

第五十八条 违反本条例规定进出口商用密码的，由国务院商务主管部门或者海关依法予以惩罚。

第五十九条 盗取他人加密保护的信息，造孽侵入他人的商用密码保障系统，或者利用商用密码从事危害国家安全、社会公共利益、他人合法权柄等违法活动的，由有关部门依照《中华公民共和国网络安全法》和其他有关法律、行政法规的规定深究法律任务。

第六十条 关键信息根本举动步伐的运营者违反本条例第三十八条、第三十九条规定，未按照哀求利用商用密码，或者未按照哀求开展商用密码运用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者有其他严重情节的，处10万元以上100万元以下罚款，对直接卖力的主管职员处1万元以上10万元以下罚款。

第六十一条 关键信息根本举动步伐的运营者违反本条例第四十条规定，利用未经安全审查或者安全审查未通过的涉及商用密码的网络产品或者做事的，由有关主管部门责令停滞利用，处采购金额1倍以上10倍以下罚款；对直接卖力的主管职员和其他直接任务职员处1万元以上10万元以下罚款。

第六十二条 网络运营者违反本条例第四十一条规定，未按照国家网络安全等级保护制度哀求利用商用密码保护网络安全的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处1万元以上10万元以下罚款，对直接卖力的主管职员处5000元以上5万元以下罚款。

第六十三条 无正当情由拒不接管、不合营或者干预、阻挡密码管理部门、有关部门的商用密码监督管理的，由密码管理部门、有关部门责令改正，给予警告；拒不改正或者有其他严重情节的，处5万元以上50万元以下罚款，对直接卖力的主管职员和其他直接任务职员处1万元以上10万元以下罚款；情节特殊严重的，责令停业整顿，直至吊销商用密码容许证件。

第六十四条 国家机关有本条例第六十条、第六十一条、第六十二条、第六十三条所列违法环境的，由密码管理部门、有关部门责令改正，给予警告；拒不改正或者有其他严重情节的，由密码管理部门、有关部门建议有关国家机关对直接卖力的主管职员和其他直接任务职员依法给予处罚或者处理。
有关国家机关应该将处罚或者处理情形书面奉告密码管理部门、有关部门。

第六十五条 密码管理部门和有关部门的事情职员在商用密码事情中滥用权益、玩忽职守、徇私舞弊，或者透露、造孽向他人供应在履行职责中知悉的商业秘密、个人隐私、举报人信息的，依法给予处罚。

第六十六条 违反本条例规定，构成犯罪的，依法深究刑事任务；给他人造成危害的，依法承担民事任务。

第九章 附则

第六十七条 本条例自2023年7月1日起施行。