第二條本法所稱密碼,是指采用特定轉換方式對信息進行加密、保護和認證的技術、產品和服務。
第三條密碼工作堅持總體國家安全觀,遵循統壹領導、分級負責、創新發展、服務大局、依法管理、確保安全的原則。
第四,堅持中國* * *產黨對密碼工作的領導。中央密碼工作領導機構統壹領導全國密碼工作,制定國家密碼工作的重大方針政策,協調國家密碼重大問題和重要工作,推進國家密碼法治建設。
第五條國家密碼管理部門負責管理全國的密碼工作。縣級以上地方密碼管理部門負責本行政區域內的密碼管理工作。
涉及密碼工作的國家機關、單位,在職責範圍內負責本機關、單位或者系統的密碼工作。
第六條國家對密碼實行分類管理。
密碼分為核心密碼、普通密碼和商用密碼。
第七條核心密碼和普通密碼用於保護國家秘密信息。核心密碼保護的信息最高機密級為絕密,普通密碼保護的信息最高機密級為機密。
核心密碼和常用密碼都是國家機密。密碼管理部門應當依照本法、有關法律、行政法規和國家有關規定,對核心密碼和通用密碼實行嚴格的統壹管理。
第八條商用密碼用於保護非國家秘密的信息。
公民、法人和其他組織可以依法使用商用密碼保護網絡和信息安全。
第九條國家鼓勵和支持密碼技術的研究和應用,依法保護密碼領域的知識產權,促進密碼技術的進步和創新。
國家加強密碼人員培訓和隊伍建設,按照國家有關規定,對在密碼工作中做出突出貢獻的組織和個人給予表彰和獎勵。
第十條國家采取多種形式加強密碼安全教育,將密碼安全教育納入國民教育體系和公務員教育培訓體系,增強公民、法人和其他組織的密碼安全意識。
第十壹條縣級以上人民政府應當將密碼事業納入本級國民經濟和社會發展規劃,所需經費列入本級財政預算。
第十二條任何組織或者個人不得竊取他人的加密信息或者非法侵入他人的密碼保護系統。
任何組織和個人不得利用密碼從事危害國家安全、社會利益和他人合法權益的違法犯罪活動。
第二章核心密碼和普通密碼
第十三條國家加強核心密碼和通用密碼的科學規劃、管理和使用,加強系統建設,完善管理措施,提高密碼安全性。
第十四條有線和無線通信中傳輸的國家秘密信息以及存儲、處理國家秘密信息的信息系統,應當依照法律、行政法規和國家有關規定,采用核心密碼和普通密碼進行加密保護和認證。
第十五條從事核心密碼和常用密碼的科研、生產、服務、測試、裝備、使用和銷毀的機構(以下簡稱密碼機構),應當按照法律、行政法規、國家有關規定以及核心密碼和常用密碼標準的要求,建立健全安全管理制度,采取嚴格的安全措施和保密責任制度,確保核心密碼和常用密碼的安全。
第十六條密碼管理部門依法對密碼機構的核心密碼和普通密碼進行指導、監督和檢查,密碼機構應當予以配合。
第十七條密碼管理部門應根據工作需要,與相關部門建立核心密碼和常用密碼的安全監測預警、安全風險評估、信息通報、重大問題咨詢和應急響應等合作機制,確保核心密碼和常用密碼的安全管理協調、有序、高效。
密碼機構發現核心密碼和普通密碼泄露或者存在影響其安全的重大問題和潛在風險時,應當立即采取措施,並及時向保密管理部門和密碼管理部門報告。保密行政部門、密碼行政部門應當會同有關部門組織調查和處置,並指導相關密碼機構及時消除安全隱患。
第十八條國家加強密碼機構建設,保障密碼機構履行職責。
國家建立適應核心密碼和通用密碼工作需要的人員招聘、調動、保密、考核、培訓、待遇、獎懲、交流和退出等管理制度。
第十九條密碼管理部門可以請求公安、交通、海關等部門為核心密碼和常用密碼相關物品和人員提供免檢等便利,有關部門應當予以協助。
第二十條密碼管理部門和密碼工作機構應當建立健全嚴格的監督和安全審查制度,監督其工作人員遵紀守法,依法采取必要措施,定期或者不定期組織安全審查。
第三章商用密碼
第二十壹條國家鼓勵商用密碼技術的研究開發、學術交流、成果轉化、推廣應用,完善統壹開放、競爭有序的商用密碼市場體系,鼓勵和促進商用密碼產業發展。
各級人民政府及其有關部門應當遵循非歧視原則,依法平等對待包括外商投資企業在內的商用密碼科研、生產、銷售、服務、進出口單位(以下簡稱商用密碼從業單位)。國家鼓勵外商投資過程中基於自願原則和商業規則的商業密碼技術合作。行政機關及其工作人員不得利用行政手段強制轉讓商用密碼技術。
商用密碼的科研、生產、銷售、服務和進出口不得損害國家安全、社會利益或者他人的合法權益。
第二十二條國家建立和完善商用密碼標準體系。
國務院標準化行政主管部門和國家密碼管理部門應當按照各自職責,組織制定商用密碼國家標準和行業標準。
國家支持社會組織和企業利用自主創新技術,制定高於國家標準和行業標準相關技術要求的商用密碼團體標準和企業標準。
第二十三條國家推動參與商用密碼國際標準化活動,參與商用密碼國際標準的制定,促進中國商用密碼標準與國外商用密碼標準之間的轉化和應用。
國家鼓勵企業、社會團體和教育科研機構參與商用密碼國際標準化。
第二十四條商用密碼經營單位開展商用密碼活動,應當遵守有關法律、行政法規、商用密碼強制性國家標準和本經營單位公共標準的技術要求。
國家鼓勵商用密碼從業人員采用商用密碼推薦性國家標準和行業標準,增強商用密碼保護能力,維護用戶合法權益。
第二十五條國家推進商用密碼檢測認證體系建設,制定商用密碼檢測認證技術規範和規則,鼓勵商用密碼從業人員自願接受商用密碼檢測認證,增強市場競爭力。
商用密碼測試認證機構應當依法取得相關資質,並按照法律、行政法規的規定和商用密碼測試認證技術規範、規程開展商用密碼測試認證工作。
商用密碼測試認證機構應當對其在商用密碼測試認證中知悉的國家秘密和商業秘密承擔保密義務。
第二十六條涉及國家安全、國計民生和社會利益的商用密碼產品,應當依法列入《網絡關鍵設備和網絡安全專用產品目錄》,經有資質的機構檢測認證後,方可銷售或者提供。商用密碼產品的檢測認證適用《中華人民共和國網絡安全法》的相關規定,避免重復檢測認證。
商用密碼服務使用關鍵網絡設備和網絡安全專用產品的,商用密碼服務應當經商用密碼認證機構認證。
第二十七條法律、行政法規和國家有關規定要求使用商用密碼保護關鍵信息基礎設施的,其運營者應當使用商用密碼進行保護,或者委托商用密碼測試機構進行商用密碼應用安全評估。商用密碼應用的安全評估應當與關鍵信息基礎設施的安全檢測評估和網絡安全等級評估體系相銜接,避免重復評估和評價。
關鍵信息基礎設施運營者購買涉及商用密碼可能影響國家安全的網絡產品和服務,應當按照《中華人民共和國網絡安全法》的規定,通過國家網信部會同國家密碼管理部門等有關部門組織的國家安全審查。
第二十八條國務院商務主管部門、國家密碼管理部門依法對具有加密保護功能的商用密碼實施進口許可,對涉及國家安全、社會利益或者我國承擔的國際義務的商用密碼實施出口管制。商用密碼進口許可目錄和出口管制目錄由國務院商務主管部門會同國家密碼管理部門、海關總署制定並公布。
大眾消費產品中使用的商業密碼不受進口許可證和出口管制制度的約束。
第二十九條國家密碼管理部門應當認定利用商用密碼技術從事電子政務電子認證服務的機構,並會同有關部門負責對政府活動中電子簽名和數據電文的使用進行管理。
第三十條商業密碼領域的行業協會等組織應當依照法律、行政法規及其章程,為商業密碼從業人員提供信息、技術、培訓等服務,引導和督促商業密碼從業人員依法開展商業密碼活動,加強行業自律,推進行業誠信建設,促進行業健康發展。
第三十壹條密碼管理部門和有關部門應當建立日常監管和抽查相結合的商用密碼事中事後監管制度,建立統壹的商用密碼監督管理信息平臺,推進事中事後監管與社會信用體系的銜接,加強商用密碼從業人員的自律和社會監督。
密碼管理部門、相關部門及其工作人員不得要求商用密碼經營單位、商用密碼測試認證機構向其泄露源代碼等密碼相關專有信息,對其在履行職責中知悉的商業秘密和個人隱私嚴格保密,不得泄露或者非法提供給他人。
第四章法律責任
第三十二條違反本法第十二條規定,竊取他人加密信息,非法侵入他人密碼保護系統,或者利用密碼從事危害國家安全、社會公共利益和他人合法權益的違法活動的,由有關部門依照《中華人民共和國網絡安全法》等有關法律、行政法規的規定追究法律責任。
第三十三條違反本法第十四條的規定,未按照要求使用核心密碼或者普通密碼的,由密碼管理部門責令改正或者停止違法行為,給予警告;情節嚴重的,密碼管理部門應當建議有關國家機關、單位對直接負責的主管人員和其他直接責任人員依法給予處分或者處理。
第三十四條。違反本法規定,發生泄露核心密碼或者常用密碼案件的,保密行政管理部門、密碼管理部門應當建議有關國家機關、單位對直接負責的主管人員和其他直接責任人員依法給予處分或者處理。
違反本法第十七條第二款規定,發現核心密碼、普通密碼泄露或者存在影響其安全的重大問題和隱患,不立即采取應對措施,或者不及時報告的,由保密行政部門、密碼管理部門建議有關國家機關、單位對直接負責的主管人員和其他直接責任人員依法給予處分或者處理。
第三十五條商用密碼測試認證機構違反本法第二十五條第二款、第三款的規定進行商用密碼測試認證的,由市場監督管理部門會同密碼管理部門責令改正或者停止違法行為,給予警告,沒收違法所得;違法所得三十萬元以上的,可以並處違法所得壹倍以上三倍以下的罰款;沒有違法所得或者違法所得不足三十萬元的,可以並處十萬元以上三十萬元以下的罰款;情節嚴重的,依法撤銷相關資格。
第三十六條違反本法第二十六條規定,銷售或者提供未經檢測認證或者檢測認證不合格的商用密碼產品,或者提供未經檢測認證或者認證不合格的商用密碼服務的,由市場監督管理部門會同密碼管理部門責令改正或者停止違法行為,給予警告,沒收違法產品和違法所得;違法所得十萬元以上的,可以並處違法所得壹倍以上三倍以下的罰款;沒有違法所得或者違法所得不足10萬元的,可以並處3萬元以上10萬元以下的罰款。
第三十七條關鍵信息基礎設施運營者違反本法第二十七條第壹款規定,未按照規定使用商用密碼,或者未按照規定對商用密碼應用進行安全評估的,由密碼管理部門責令改正,給予警告;拒不改正或者導致危害網絡安全後果的,處十萬元以上壹百萬元以下罰款,對直接負責的主管人員處壹萬元以上十萬元以下罰款。
關鍵信息基礎設施的經營者違反本法第二十七條第二款的規定,使用未經安全審查或者安全審查不合格的產品或者服務的,由有關主管部門責令停止使用,並處購買金額1倍以上10倍以下的罰款;對直接負責的主管人員和其他直接責任人員處以1萬元以上10萬元以下的罰款。
第三十八條違反本法第二十八條關於進口許可和出口管理的規定,進出口商用密碼的,由國務院商務主管部門或者海關依法處罰。
第三十九條違反本法第二十九條規定,未經認可從事政務電子認證服務的,由密碼管理部門責令改正或者停止違法行為,給予警告,沒收違法產品和違法所得;違法所得三十萬元以上的,可以並處違法所得壹倍以上三倍以下的罰款;沒有違法所得或者違法所得不足三十萬元的,可以並處十萬元以上三十萬元以下的罰款。
第四十條密碼管理部門和有關部門、單位的工作人員濫用職權、玩忽職守、徇私舞弊,或者泄露、非法提供他人在履行職責中知悉的商業秘密、個人隱私的,依法給予處分。
第四十壹條違反本法規定,構成犯罪的,依法追究刑事責任;給他人造成損害的,應當依法承擔民事責任。
第五章附則
第四十二條國家密碼管理部門應當依照法律、行政法規的規定,制定密碼管理規則。
第四十三條中國人民解放軍和中國人民武裝警察部隊的密碼工作管理辦法,由中央軍事委員會根據本法制定。
第四十四條本法自2020年6月65438+10月1日起施行。