第760号

《商用(yòng)密碼管理條例》已經2023年(nián)4月14日國務院第4次常務會(huì)議修訂通過(guò)，現予公布，自(zì)2023年(nián)7月1日起施行(háng / xíng)。

總理李強

2023年(nián)4月27日

商用(yòng)密碼管理條例

（1999年(nián)10月7日中華人民共和國國務院令第273号發(fā／fà)布 2023年(nián)4月27日中華人民共和國國務院令第760号修訂）

第一章 總則

第一條 爲了規範商用(yòng)密碼應用(yòng)和管理，鼓勵和促進商用(yòng)密碼産業發(fā／fà)展，保障網絡與信息安全，維護國家(jiā)安全和社會(huì)公共利益，保護公民、法人和其(qí)他組織的合法權益，根據《中華人民共和國密碼法》等法律，制定本條例。

第二條 在中華人民共和國境内的商用(yòng)密碼科研、生(shēng)産、銷售、服務、檢測、認證、進出口、應用(yòng)等活動及監督管理，适用(yòng)本條例。

本條例所(suǒ)稱商用(yòng)密碼，是指采用(yòng)特定變換的方法對(duì)不屬于(yú)國家(jiā)秘密的信息等進行(háng / xíng)加密保護、安全認證的技術、産品和服務。

第三條 堅持中國共産黨對(duì)商用(yòng)密碼工作的領導，貫徹落實總體國家(jiā)安全觀。國家(jiā)密碼管理部門負責管理全國的商用(yòng)密碼工作。縣級以上地方各級密碼管理部門負責管理本行(háng / xíng)政區域的商用(yòng)密碼工作。

網信、商務、海關、市場監督管理等有關部門在各自(zì)職責範圍内負責商用(yòng)密碼有關管理工作。

第四條 國家(jiā)加強商用(yòng)密碼人才培養，建立健全商用(yòng)密碼人才發(fā／fà)展體制機制和人才評價制度，鼓勵和支持密碼相關學科和專業建設，規範商用(yòng)密碼社會(huì)化培訓，促進商用(yòng)密碼人才交流。

第五條 各級人民政府及其(qí)有關部門應當采取多種形式加強商用(yòng)密碼宣傳教育，增強公民、法人和其(qí)他組織的密碼安全意識。

第六條 商用(yòng)密碼領域的學會(huì)、行(háng / xíng)業協會(huì)等社會(huì)組織依照法律、行(háng / xíng)政法規及其(qí)章程的規定，開展學術交流、政策研究、公共服務等活動，加強學術和行(háng / xíng)業自(zì)律，推動誠信建設，促進行(háng / xíng)業健康發(fā／fà)展。

密碼管理部門應當加強對(duì)商用(yòng)密碼領域社會(huì)組織的指導和支持。

第二章 科技創新與标準化

第七條 國家(jiā)建立健全商用(yòng)密碼科學技術創新促進機制，支持商用(yòng)密碼科學技術自(zì)主創新，對(duì)作出突出貢獻的組織和個人按照國家(jiā)有關規定予以表彰和獎勵。

國家(jiā)依法保護商用(yòng)密碼領域的知識産權。從事(shì)商用(yòng)密碼活動，應當增強知識産權意識，提高運用(yòng)、保護和管理知識産權的能(néng)力。

國家(jiā)鼓勵在外商投資過(guò)程中基于(yú)自(zì)願原則和商業規則開展商用(yòng)密碼技術合作。行(háng / xíng)政機關及其(qí)工作人員不得(dé / de / děi)利用(yòng)行(háng / xíng)政手段強制轉讓商用(yòng)密碼技術。

第八條 國家(jiā)鼓勵和支持商用(yòng)密碼科學技術成果轉化和産業化應用(yòng)，建立和完善商用(yòng)密碼科學技術成果信息彙交、發(fā／fà)布和應用(yòng)情況反饋機制。

第九條 國家(jiā)密碼管理部門組織對(duì)法律、行(háng / xíng)政法規和國家(jiā)有關規定要(yào / yāo)求使用(yòng)商用(yòng)密碼進行(háng / xíng)保護的網絡與信息系統所(suǒ)使用(yòng)的密碼算法、密碼協議、密鑰管理機制等商用(yòng)密碼技術進行(háng / xíng)審查鑒定。

第十(shí)條 國務院标準化行(háng / xíng)政主管部門和國家(jiā)密碼管理部門依據各自(zì)職責，組織制定商用(yòng)密碼國家(jiā)标準、行(háng / xíng)業标準，對(duì)商用(yòng)密碼團體标準的制定進行(háng / xíng)規範、引導和監督。國家(jiā)密碼管理部門依據職責，建立商用(yòng)密碼标準實施信息反饋和評估機制，對(duì)商用(yòng)密碼标準實施進行(háng / xíng)監督檢查。

國家(jiā)推動參與商用(yòng)密碼國際标準化活動，參與制定商用(yòng)密碼國際标準，推進商用(yòng)密碼中國标準與國外标準之間的轉化運用(yòng)，鼓勵企業、社會(huì)團體和教育、科研機構等參與商用(yòng)密碼國際标準化活動。

其(qí)他領域的标準涉及商用(yòng)密碼的，應當與商用(yòng)密碼國家(jiā)标準、行(háng / xíng)業标準保持協調。

第十(shí)一條 從事(shì)商用(yòng)密碼活動，應當符合有關法律、行(háng / xíng)政法規、商用(yòng)密碼強制性國家(jiā)标準，以及自(zì)我聲明公開标準的技術要(yào / yāo)求。

國家(jiā)鼓勵在商用(yòng)密碼活動中采用(yòng)商用(yòng)密碼推薦性國家(jiā)标準、行(háng / xíng)業标準，提升商用(yòng)密碼的防護能(néng)力，維護用(yòng)戶的合法權益。

第三章 檢測認證

第十(shí)二條 國家(jiā)推進商用(yòng)密碼檢測認證體系建設，鼓勵在商用(yòng)密碼活動中自(zì)願接受商用(yòng)密碼檢測認證。

第十(shí)三條 從事(shì)商用(yòng)密碼産品檢測、網絡與信息系統商用(yòng)密碼應用(yòng)安全性評估等商用(yòng)密碼檢測活動，向社會(huì)出具具有證明作用(yòng)的數據、結果的機構，應當經國家(jiā)密碼管理部門認定，依法取得(dé / de / děi)商用(yòng)密碼檢測機構資質。

第十(shí)四條 取得(dé / de / děi)商用(yòng)密碼檢測機構資質，應當符合下(xià)列條件：

（一）具有法人資格；

（二）具有與從事(shì)商用(yòng)密碼檢測活動相适應的資金、場所(suǒ)、設備設施、專業人員和專業能(néng)力；

（三）具有保證商用(yòng)密碼檢測活動有效運行(háng / xíng)的管理體系。

第十(shí)五條 申請商用(yòng)密碼檢測機構資質，應當向國家(jiā)密碼管理部門提出書面申請，并提交符合本條例第十(shí)四條規定條件的材料。

國家(jiā)密碼管理部門應當自(zì)受理申請之日起20個工作日内，對(duì)申請進行(háng / xíng)審查，并依法作出是否準予認定的決定。

需要(yào / yāo)對(duì)申請人進行(háng / xíng)技術評審的，技術評審所(suǒ)需時間不計算在本條規定的期限内。國家(jiā)密碼管理部門應當将所(suǒ)需時間書面告知申請人。

第十(shí)六條 商用(yòng)密碼檢測機構應當按照法律、行(háng / xíng)政法規和商用(yòng)密碼檢測技術規範、規則，在批準範圍内獨立、公正、科學、誠信地開展商用(yòng)密碼檢測，對(duì)出具的檢測數據、結果負責，并定期向國家(jiā)密碼管理部門報送檢測實施情況。

商用(yòng)密碼檢測技術規範、規則由國家(jiā)密碼管理部門制定并公布。

第十(shí)七條 國務院市場監督管理部門會(huì)同國家(jiā)密碼管理部門建立國家(jiā)統一推行(háng / xíng)的商用(yòng)密碼認證制度，實行(háng / xíng)商用(yòng)密碼産品、服務、管理體系認證，制定并公布認證目錄和技術規範、規則。

第十(shí)八條 從事(shì)商用(yòng)密碼認證活動的機構，應當依法取得(dé / de / děi)商用(yòng)密碼認證機構資質。

申請商用(yòng)密碼認證機構資質，應當向國務院市場監督管理部門提出書面申請。申請人除應當符合法律、行(háng / xíng)政法規和國家(jiā)有關規定要(yào / yāo)求的認證機構基本條件外，還應當具有與從事(shì)商用(yòng)密碼認證活動相适應的檢測、檢查等技術能(néng)力。

國務院市場監督管理部門在審查商用(yòng)密碼認證機構資質申請時，應當征求國家(jiā)密碼管理部門的意見。

第十(shí)九條 商用(yòng)密碼認證機構應當按照法律、行(háng / xíng)政法規和商用(yòng)密碼認證技術規範、規則，在批準範圍内獨立、公正、科學、誠信地開展商用(yòng)密碼認證，對(duì)出具的認證結論負責。

商用(yòng)密碼認證機構應當對(duì)其(qí)認證的商用(yòng)密碼産品、服務、管理體系實施有效的跟蹤調查，以保證通過(guò)認證的商用(yòng)密碼産品、服務、管理體系持續符合認證要(yào / yāo)求。

第二十(shí)條 涉及國家(jiā)安全、國計民生(shēng)、社會(huì)公共利益的商用(yòng)密碼産品，應當依法列入網絡關鍵設備和網絡安全專用(yòng)産品目錄，由具備資格的商用(yòng)密碼檢測、認證機構檢測認證合格後(hòu)，方可(kě)銷售或者提供。

第二十(shí)一條 商用(yòng)密碼服務使用(yòng)網絡關鍵設備和網絡安全專用(yòng)産品的，應當經商用(yòng)密碼認證機構對(duì)該商用(yòng)密碼服務認證合格。

第四章 電子認證

第二十(shí)二條 采用(yòng)商用(yòng)密碼技術提供電子認證服務，應當具有與使用(yòng)密碼相适應的場所(suǒ)、設備設施、專業人員、專業能(néng)力和管理體系，依法取得(dé / de / děi)國家(jiā)密碼管理部門同意使用(yòng)密碼的證明文件。

第二十(shí)三條 電子認證服務機構應當按照法律、行(háng / xíng)政法規和電子認證服務密碼使用(yòng)技術規範、規則，使用(yòng)密碼提供電子認證服務，保證其(qí)電子認證服務密碼使用(yòng)持續符合要(yào / yāo)求。

電子認證服務密碼使用(yòng)技術規範、規則由國家(jiā)密碼管理部門制定并公布。

第二十(shí)四條 采用(yòng)商用(yòng)密碼技術從事(shì)電子政務電子認證服務的機構，應當經國家(jiā)密碼管理部門認定，依法取得(dé / de / děi)電子政務電子認證服務機構資質。

第二十(shí)五條 取得(dé / de / děi)電子政務電子認證服務機構資質，應當符合下(xià)列條件：

（一）具有企業法人或者事(shì)業單位法人資格；

（二）具有與從事(shì)電子政務電子認證服務活動及其(qí)使用(yòng)密碼相适應的資金、場所(suǒ)、設備設施和專業人員；

（三）具有爲政務活動提供長期電子政務電子認證服務的能(néng)力；

（四）具有保證電子政務電子認證服務活動及其(qí)使用(yòng)密碼安全運行(háng / xíng)的管理體系。

第二十(shí)六條 申請電子政務電子認證服務機構資質，應當向國家(jiā)密碼管理部門提出書面申請，并提交符合本條例第二十(shí)五條規定條件的材料。

國家(jiā)密碼管理部門應當自(zì)受理申請之日起20個工作日内，對(duì)申請進行(háng / xíng)審查，并依法作出是否準予認定的決定。

需要(yào / yāo)對(duì)申請人進行(háng / xíng)技術評審的，技術評審所(suǒ)需時間不計算在本條規定的期限内。國家(jiā)密碼管理部門應當将所(suǒ)需時間書面告知申請人。

第二十(shí)七條 外商投資電子政務電子認證服務，影響或者可(kě)能(néng)影響國家(jiā)安全的，應當依法進行(háng / xíng)外商投資安全審查。

第二十(shí)八條 電子政務電子認證服務機構應當按照法律、行(háng / xíng)政法規和電子政務電子認證服務技術規範、規則，在批準範圍内提供電子政務電子認證服務，并定期向主要(yào / yāo)辦事(shì)機構所(suǒ)在地省、自(zì)治區、直轄市密碼管理部門報送服務實施情況。

電子政務電子認證服務技術規範、規則由國家(jiā)密碼管理部門制定并公布。

第二十(shí)九條 國家(jiā)建立統一的電子認證信任機制。國家(jiā)密碼管理部門負責電子認證信任源的規劃和管理，會(huì)同有關部門推動電子認證服務互信互認。

第三十(shí)條 密碼管理部門會(huì)同有關部門負責政務活動中使用(yòng)電子簽名、數據電文的管理。

政務活動中電子簽名、電子印章、電子證照等涉及的電子認證服務，應當由依法設立的電子政務電子認證服務機構提供。

第五章 進出口

第三十(shí)一條 涉及國家(jiā)安全、社會(huì)公共利益且具有加密保護功能(néng)的商用(yòng)密碼，列入商用(yòng)密碼進口許可(kě)清單，實施進口許可(kě)。涉及國家(jiā)安全、社會(huì)公共利益或者中國承擔國際義務的商用(yòng)密碼，列入商用(yòng)密碼出口管制清單，實施出口管制。

商用(yòng)密碼進口許可(kě)清單和商用(yòng)密碼出口管制清單由國務院商務主管部門會(huì)同國家(jiā)密碼管理部門和海關總署制定并公布。

大衆消費類産品所(suǒ)采用(yòng)的商用(yòng)密碼不實行(háng / xíng)進口許可(kě)和出口管制制度。

第三十(shí)二條 進口商用(yòng)密碼進口許可(kě)清單中的商用(yòng)密碼或者出口商用(yòng)密碼出口管制清單中的商用(yòng)密碼，應當向國務院商務主管部門申請領取進出口許可(kě)證。

商用(yòng)密碼的過(guò)境、轉運、通運、再出口，在境外與綜合保稅區等海關特殊監管區域之間進出，或者在境外與出口監管倉庫、保稅物流中心等保稅監管場所(suǒ)之間進出的，适用(yòng)前款規定。

第三十(shí)三條 進口商用(yòng)密碼進口許可(kě)清單中的商用(yòng)密碼或者出口商用(yòng)密碼出口管制清單中的商用(yòng)密碼時，應當向海關交驗進出口許可(kě)證，并按照國家(jiā)有關規定辦理報關手續。

進出口經營者未向海關交驗進出口許可(kě)證，海關有證據表明進出口産品可(kě)能(néng)屬于(yú)商用(yòng)密碼進口許可(kě)清單或者出口管制清單範圍的，應當向進出口經營者提出質疑；海關可(kě)以向國務院商務主管部門提出組織鑒别，并根據國務院商務主管部門會(huì)同國家(jiā)密碼管理部門作出的鑒别結論依法處置。在鑒别或者質疑期間，海關對(duì)進出口産品不予放行(háng / xíng)。

第三十(shí)四條 申請商用(yòng)密碼進出口許可(kě)，應當向國務院商務主管部門提出書面申請，并提交下(xià)列材料：

（一）申請人的法定代表人、主要(yào / yāo)經營管理人以及經辦人的身份證明；

（二）合同或者協議的副本；

（三）商用(yòng)密碼的技術說明；

（四）最終用(yòng)戶和最終用(yòng)途證明；

（五）國務院商務主管部門規定提交的其(qí)他文件。

國務院商務主管部門應當自(zì)受理申請之日起45個工作日内，會(huì)同國家(jiā)密碼管理部門對(duì)申請進行(háng / xíng)審查，并依法作出是否準予許可(kě)的決定。

對(duì)國家(jiā)安全、社會(huì)公共利益或者外交政策有重大影響的商用(yòng)密碼出口，由國務院商務主管部門會(huì)同國家(jiā)密碼管理部門等有關部門報國務院批準。報國務院批準的，不受前款規定時限的限制。

第六章 應用(yòng)促進

第三十(shí)五條 國家(jiā)鼓勵公民、法人和其(qí)他組織依法使用(yòng)商用(yòng)密碼保護網絡與信息安全，鼓勵使用(yòng)經檢測認證合格的商用(yòng)密碼。

任何組織或者個人不得(dé / de / děi)竊取他人加密保護的信息或者非法侵入他人的商用(yòng)密碼保障系統，不得(dé / de / děi)利用(yòng)商用(yòng)密碼從事(shì)危害國家(jiā)安全、社會(huì)公共利益、他人合法權益等違法犯罪活動。

第三十(shí)六條 國家(jiā)支持網絡産品和服務使用(yòng)商用(yòng)密碼提升安全性，支持并規範商用(yòng)密碼在信息領域新技術、新業态、新模式中的應用(yòng)。

第三十(shí)七條 國家(jiā)建立商用(yòng)密碼應用(yòng)促進協調機制，加強對(duì)商用(yòng)密碼應用(yòng)的統籌指導。國家(jiā)機關和涉及商用(yòng)密碼工作的單位在其(qí)職責範圍内負責本機關、本單位或者本系統的商用(yòng)密碼應用(yòng)和安全保障工作。

密碼管理部門會(huì)同有關部門加強商用(yòng)密碼應用(yòng)信息收集、風險評估、信息通報和重大事(shì)項會(huì)商，并加強與網絡安全監測預警和信息通報的銜接。

第三十(shí)八條 法律、行(háng / xíng)政法規和國家(jiā)有關規定要(yào / yāo)求使用(yòng)商用(yòng)密碼進行(háng / xíng)保護的關鍵信息基礎設施，其(qí)運營者應當使用(yòng)商用(yòng)密碼進行(háng / xíng)保護，制定商用(yòng)密碼應用(yòng)方案，配備必要(yào / yāo)的資金和專業人員，同步規劃、同步建設、同步運行(háng / xíng)商用(yòng)密碼保障系統，自(zì)行(háng / xíng)或者委托商用(yòng)密碼檢測機構開展商用(yòng)密碼應用(yòng)安全性評估。

前款所(suǒ)列關鍵信息基礎設施通過(guò)商用(yòng)密碼應用(yòng)安全性評估方可(kě)投入運行(háng / xíng)，運行(háng / xíng)後(hòu)每年(nián)至少進行(háng / xíng)一次評估，評估情況按照國家(jiā)有關規定報送國家(jiā)密碼管理部門或者關鍵信息基礎設施所(suǒ)在地省、自(zì)治區、直轄市密碼管理部門備案。

第三十(shí)九條 法律、行(háng / xíng)政法規和國家(jiā)有關規定要(yào / yāo)求使用(yòng)商用(yòng)密碼進行(háng / xíng)保護的關鍵信息基礎設施，使用(yòng)的商用(yòng)密碼産品、服務應當經檢測認證合格，使用(yòng)的密碼算法、密碼協議、密鑰管理機制等商用(yòng)密碼技術應當通過(guò)國家(jiā)密碼管理部門審查鑒定。

第四十(shí)條 關鍵信息基礎設施的運營者采購涉及商用(yòng)密碼的網絡産品和服務，可(kě)能(néng)影響國家(jiā)安全的，應當依法通過(guò)國家(jiā)網信部門會(huì)同國家(jiā)密碼管理部門等有關部門組織的國家(jiā)安全審查。

第四十(shí)一條 網絡運營者應當按照國家(jiā)網絡安全等級保護制度要(yào / yāo)求，使用(yòng)商用(yòng)密碼保護網絡安全。國家(jiā)密碼管理部門根據網絡的安全保護等級，确定商用(yòng)密碼的使用(yòng)、管理和應用(yòng)安全性評估要(yào / yāo)求，制定網絡安全等級保護密碼标準規範。

第四十(shí)二條 商用(yòng)密碼應用(yòng)安全性評估、關鍵信息基礎設施安全檢測評估、網絡安全等級測評應當加強銜接，避免重複評估、測評。

第七章 監督管理

第四十(shí)三條 密碼管理部門依法組織對(duì)商用(yòng)密碼活動進行(háng / xíng)監督檢查，對(duì)國家(jiā)機關和涉及商用(yòng)密碼工作的單位的商用(yòng)密碼相關工作進行(háng / xíng)指導和監督。

第四十(shí)四條 密碼管理部門和有關部門建立商用(yòng)密碼監督管理協作機制，加強商用(yòng)密碼監督、檢查、指導等工作的協調配合。

第四十(shí)五條 密碼管理部門和有關部門依法開展商用(yòng)密碼監督檢查，可(kě)以行(háng / xíng)使下(xià)列職權：

（一）進入商用(yòng)密碼活動場所(suǒ)實施現場檢查；

（二）向當事(shì)人的法定代表人、主要(yào / yāo)負責人和其(qí)他有關人員調查、了解有關情況；

（三）查閱、複制有關合同、票據、賬簿以及其(qí)他有關資料。

第四十(shí)六條 密碼管理部門和有關部門推進商用(yòng)密碼監督管理與社會(huì)信用(yòng)體系相銜接，依法建立推行(háng / xíng)商用(yòng)密碼經營主體信用(yòng)記錄、信用(yòng)分級分類監管、失信懲戒以及信用(yòng)修複等機制。

第四十(shí)七條 商用(yòng)密碼檢測、認證機構和電子政務電子認證服務機構及其(qí)工作人員，應當對(duì)其(qí)在商用(yòng)密碼活動中所(suǒ)知悉的國家(jiā)秘密和商業秘密承擔保密義務。

密碼管理部門和有關部門及其(qí)工作人員不得(dé / de / děi)要(yào / yāo)求商用(yòng)密碼科研、生(shēng)産、銷售、服務、進出口等單位和商用(yòng)密碼檢測、認證機構向其(qí)披露源代碼等密碼相關專有信息，并對(duì)其(qí)在履行(háng / xíng)職責中知悉的商業秘密和個人隐私嚴格保密，不得(dé / de / děi)洩露或者非法向他人提供。

第四十(shí)八條 密碼管理部門和有關部門依法開展商用(yòng)密碼監督管理，相關單位和人員應當予以配合，任何單位和個人不得(dé / de / děi)非法幹預和阻撓。

第四十(shí)九條 任何單位或者個人有權向密碼管理部門和有關部門舉報違反本條例的行(háng / xíng)爲。密碼管理部門和有關部門接到舉報，應當及時核實、處理，并爲舉報人保密。

第八章 法律責任

文章來源：商密君