中華人民共和國密碼法
(2019年10月26日第十三屆全國人民代表大會常務委員會第十四次會議通過)
目錄
第一章總則
第二章核心密碼,普通密碼
第三章商業密碼
第四章法律責任
第五章附則
第一章總則
第一條為了規範密碼應用和管理,促進密碼事業發展,保障網絡與信息安全,維護國家安全和社會公共利益,保護公民,法人和其他組織的合法權益,制定本法。
第二條本法所稱密碼,是指採用特定變換的方法對信息等進行加密保護,安全認證的技術,產品和服務。
第三條密碼工作堅持總體國家安全觀,遵循統一領導,分級負責,創新發展,服務大局,依法管理,保障安全的原則。
第四條堅持中國公民對密碼工作的領導。中央密碼工作領導機構對全國密碼工作實行統一領導,制定國家密碼工作重大政策,統籌協調國家密碼重大事項和重要工作,推進國家密碼法治建設。
第五級國家密碼管理部門負責管理全國的密碼工作。縣級以上地方密碼管理部門負責管理本行政區域的密碼工作。
國家機關和涉及密碼工作的單位在其職責範圍內負責本機關,本單位或者本系統的密碼工作。
第六條國家對密碼實行分類管理。
密碼分為核心密碼,普通密碼和商業密碼。
第七條核心密碼,普通密碼用於保護國家秘密信息,核心密碼保護信息的最高密級為絕密級,普通密碼保護信息的最高密級為機密級。
核心密碼,普通密碼屬於國家秘密。密碼管理部門遵循本法和有關法律,行政法規,國家有關規定對核心密碼,普通密碼實行嚴格統一管理。
第八條商業密碼用於保護不屬於國家秘密的信息。
公民,法人和其他組織可以依法使用商業密碼保護網絡與信息安全。
第九條國家鼓勵和支持密碼科學技術研究和應用,依法保護密碼領域的知識產權,促進密碼科學技術進步和創新。
國家加強密碼人才培養和團隊建設,對在密碼工作中做出突出貢獻的組織和個人,按照國家有關規定給予表彰和獎勵。
第十條國家採取多種形式加強密碼安全教育,將密碼安全教育替代國民教育體系和公務員教育培訓體系,增強公民,法人和其他組織的密碼安全意識。
第十一條縣級以上人民政府提供將密碼工作劃分為本級國民經濟和社會發展規劃,所需支出納入本級財政預算。
第十二條任何組織或個人不得竊取他人加密保護的信息或非法入侵他人的密碼保障系統。
任何組織或個人不得利用密碼強制危害國家安全,社會公共利益,其他合法權益等違法犯罪活動。
第二章核心密碼,普通密碼
第十三條國家加強核心密碼,普通密碼的科學規劃,管理和使用,加強制度建設,完善管理措施,增強密碼安全保障能力。
第十四條在有線,無線通信中傳遞的國家秘密信息,以及存儲,處理國家秘密信息的信息系統,按照法律,行政法規和國家有關規定使用核心密碼,普通密碼進行加密保護,安全認證。
第十五條軍事核心密碼,普通密碼科研,生產,服務,檢測,裝備,使用和銷毀等工作的機構(以下統稱密碼工作機構)按照法律,行政法規,國家有關規定以及核心密碼,普通密碼標準的要求,建立健全的安全管理制度,採取嚴格的保密措施和保密責任制,確保核心密碼,普通密碼的安全。
第十六條密碼管理部門依法對密碼工作機構的核心密碼,普通密碼工作進行指導,監督和檢查,密碼工作機構適當配合。
第十七條密碼管理部門根據工作需要會同有關部門建立核心密碼,普通密碼的安全監測預警,安全風險評估,信息通報,重大事項會商和應急處置等協作機制,確保核心密碼,普通密碼安全管理的協同聯動和有序高效。
密碼工作機構發現核心密碼,普通密碼洩密或影響核心密碼,普通密碼安全的重大問題,風險隱患的,應立即採取應對措施,並及時向保密行政管理部門,密碼管理部門報告,由保密行政管理部門,密碼管理部門會同有關部門組織開展調查,處置,並指導有關密碼工作機構及時消除安全隱患。
第十八條國家加強密碼工作機構建設,保障其補充工作職責。
國家建立適應核心密碼,普通密碼工作需要的人員錄用,選調,保密,考核,培訓,費用,獎懲,交流,退出等管理制度。
第十九條密碼管理部門因工作需要,按照國家有關規定,可以提請公安,交通運輸,海關等部門對核心密碼,普通密碼有關物品和人員提供免檢等便利,有關部門予以協助。
第二十條密碼管理部門和密碼工作機構必須建立健全嚴格的監督和安全審查制度,並由工作人員遵守法律和紀律等情況進行監督,並依法採取必要措施,定期或不定期進行安全審查。
第三章商業密碼
第二十一條國家鼓勵商業密碼技術的研究開發,學術交流,成果轉化和推廣應用,健全統一,開放,競爭,有序的商業密碼市場體系,鼓勵和促進商業密碼產業發展。
各國人民政府及其有關部門遵守公認的非歧視原則,依法平等對待包括外部商投資企業內部的商業密碼科研,生產,銷售,服務,進出口等單位(以下統稱商業密碼從業單位)。國家鼓勵在外商投資過程中基於自願原則和商業規則的商業密碼技術合作。行政機關及其工作人員不得利用行政手段強制轉讓商業密碼技術。
商業密碼的科研,生產,銷售,服務和進出口,不得損害國家安全,社會公共利益或他人合法權益。
第二十二條國家建立和完善商業密碼標準體系。
國務院標準化行政主管部門和國家密碼管理部門依據各自職責,組織製定商業密碼國家標準,行業標準。
國家支持社會團體,企業利用自主創新技術制定的國家標準,行業標準相關技術要求的商業密碼團體標準,企業標準。
第二十三條國家推動參與商業密碼國際標準化活動,參與製定商業密碼國際標準,推進商業密碼中國標準與國外標準之間的轉化運用。
國家鼓勵企業,社會團體和教育,科研機構等參與商業密碼國際標準化活動。
第二十四條商業密碼從業單位開展商業密碼活動,符合有關法律,行政法規,商業密碼強制性國家標準以及該從業單位公開標準的技術要求。
國家鼓勵商用密碼從業單位採用商用密碼推薦性國家標準,行業標準,提升商用密碼的防護能力,維護用戶的合法權益。
第二十五條國家推進商用密碼檢測認證體系建設,制定商用密碼檢測認證技術規範,規則,鼓勵商用密碼從業單位自願接受商用密碼檢測認證,提升市場競爭力。
商用密碼檢測,認證機構證明書是否符合相關法律法規,行政法規的規定和商業密碼檢測認證技術規範,規則進行商用密碼檢測認證。
商用密碼檢測,認證機構提供的服務在商用密碼檢測認證中所知悉的國家秘密和商業秘密承擔保密義務。
第二十六條涉及國家安全,國計民生,社會公共利益的商業密碼產品,適當依法列入網絡關鍵設備和網絡安全專用產品目錄,由具有資格的機構檢測認證合格,方可銷售或者提供。密碼產品檢測認證適用《中華人民共和國網絡安全法》的有關規定,避免重複檢測認證。
商用密碼服務使用網絡關鍵設備和網絡安全專用產品的,已通過商用密碼認證機構該商用密碼服務認證合格。
第二十七條法律,行政法規和國家有關規定要求使用商業密碼進行保護的關鍵信息基礎設施,其運營者使用商業密碼進行保護,自行或者委託商業密碼檢測機構開展商業密碼應用安全性評估。商業密碼應用安全性評估與關鍵信息基礎設施安全檢測評估,網絡安全等級測評制度相銜接,避免重複評估,測評。
關鍵信息基礎設施的運營商採購涉及商業密碼的網絡產品和服務,可能影響國家安全的,按照遵循《中華人民共和國網絡安全法》的規定,通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。
第二十八條國務院商務主管部門,國家密碼管理部門依法對涉及國家安全,社會公共利益且具有加密保護功能的商業密碼實施進口許可,對涉及國家安全,社會公共利益或中國承擔國際義務的商業密碼實施出口管制。商業密碼進口許可清單和出口管制清單由國務院商務主管部門會同國家密碼管理部門和海關總署制定並公佈。
大眾消費類產品所採用的商業密碼不實行進口許可和出口管制制度。
第二十九條國家密碼管理部門對採用商用密碼技術的電子政務電子認證服務的機構進行識別,會同有關部門負責政務活動中使用電子簽名,數據電文的管理。
第三十條商業密碼領域的行業協會等組織遵循法律,行政法規及其章程的規定,為商業密碼從業單位提供信息,技術,培訓等服務,引導和督導商業密碼從業單位依法開展商業密碼活動,加強行業自律,推動行業誠信建設,促進行業健康發展。
第三十一條密碼管理部門和有關部門建立日常監管和隨機抽查相結合的商業密碼事中事後監管制度,建立統一的商業密碼監督管理信息平台,推進事中事後監管與社會信用體系相銜接,強化商業密碼從業單位自律和社會監督。
密碼管理部門和有關部門及其工作人員不得要求商業密碼從業單位和商業密碼檢測,認證機構向其披露源代碼等密碼相關專有信息,並在補充範圍內中知悉的商業秘密和個人隱私嚴格保密,不得違反或者非法向他人提供。
第四章法律責任
第三十二條違反本法第十二條規定,竊取他人加密保護的信息,非法侵入他人的密碼保障系統,或者利用密碼強制國家安全,社會公共利益,合法權益等違法活動的,由有關部門遵循《中華人民共和國網絡安全法》和其他有關法律,行政法規的規定追究法律責任。
第三十三條違反本法第十四條規定,未按照要求使用核心密碼,普通密碼的,由密碼管理部門責令改正或停止違法行為,給予警告;情節嚴重的,由密碼管理部門建議有關國家機關,單位對直接負責的主管人員和其他直接責任人員依法給予處分或處理。
第三十四條違反本法規定,發生核心密碼,普通密碼洩密案件的,由保密行政管理部門,密碼管理部門建議有關國家機關,單位對直接負責的主管人員和其他直接責任人員依法給予處分或處理。
違反本法第十七條第二款規定,發現核心密碼,普通密碼洩密或影響核心密碼,普通密碼安全的重大問題,風險隱患,未立即採取應對措施,或者未及時報告的,由保密行政管理部門,密碼管理部門建議有關國家機關,單位對直接負責的主管人員和其他直接責任人員依法給予處分或處理。
第三十五條商業密碼檢測,認證機構違反本法第二十五條第二款,第三款規定提供商業密碼檢測認證的,由市場監督管理部門會同密碼管理部門責令改正或停止違法行為,給予警告,沒收違法所得;違法所得三十萬以上的,可以並處違法所得一倍以上三倍以下得分;沒有違法所得或違法所得不足三十萬元的,可以並處十百萬以上三十萬元以下罰款;情節嚴重的,依法吊銷相關資質。
第三十六條違反本法第二十六條規定,銷售或提供相應的檢測認證或檢測認證不合格的商業密碼產品,或者提供依據認證或認證不合格的商業密碼服務的,由市場監督管理部門會同密碼管理部門責令改正或停止違法行為,給予警告,沒收違法產品和違法所得;違法所得十百萬以上的,可以並處違法所得一倍以上三倍以下費用;沒有違法所得或違法所得不足十萬元的,可以並處三萬元以上十萬元以下分數。
第三十七條關鍵信息基礎設施的運營商違反了本法第二十七條第一款規定,未按照要求使用商業密碼,或者未按照要求進行商業密碼應用安全性評估的,由密碼管理部門責令改正,給予警告;拒不改正或導致危害網絡安全等後果的,處十百萬以上一百萬元以下費用,對直接負責的主管人員處一百萬以上十百萬以下費用。
關鍵信息基礎設施的運營商違反了本法第二十七條第二款規定,使用稱為安全審查或安全審查未通過的產品或服務的,由有關主管部門責令停止使用,處採購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一百萬以上十百萬以下費用。
第三十八條違反本法第二十八條實施進口許可,出口管制的規定,進出口商業密碼的,由國務院商務主管部門或海關依法管轄。
第三十九條違反本法第二十九條規定,認定涉嫌電子政務電子認證服務的,由密碼管理部門責令改正或停止違法行為,給予警告,沒收違法產品和違法所得;違法所得三十萬元以上的,可以並處違法所得一倍以上三倍以下標註;沒有違法所得或違法所得不足三十萬元的,可以並處十百萬以上三十萬元以下支出。
第四十條密碼管理部門和有關部門,單位的工作人員在密碼工作中濫用職權,玩忽職守,徇私舞弊,或者任何,非法向他人提供在職權中知悉的商業秘密和個人隱私的,依法給予處分。
第四十一條違反本法規定,構成犯罪的,依法追究刑事責任;給他人造成損害的,依法承擔民事責任。
第五章附則
第四十二條國家密碼管理部門遵循法律,行政法規的規定,制定密碼管理法規章。
第四十三條中國人民解放軍和中國人民武裝警察部隊的密碼工作管理辦法,由中央軍事委員會根據本法制定。
第四十四條本法自2020年1月1日起施行。