中华人民共和国 密码 法
(2019 年 10 月 26 日 第十 三届 全国 人民 代表 大会 常务委员会 第十四 次 会议 通过)
Tabla de contenido
第一 章 总则
第二 章 核心 密码 、 普通 密码
第三 章 商用 密码
第四 章 法律 责任
第五 章 附则
第一 章 总则
第一 条 为了 规范 密码 应用 和 管理 , 促进 密码 事业 发展 , 保障 网络 与 信息 安全 , 维护 国家 安全 和 社会 公共 利益 , 保护 公民 、 法人 和 其他 组织 的 合法 权益 , 制定 本法。
第二 条 本法 所称 密码 , 是 指 采用 特定 变换 的 方法 对 信息 等 进行 加密 保护 、 安全 认证 的 技术 、 产品 和 服务。
第三 条 密码 工作 坚持 总体 国家 安全 观 , 遵循 统一 领导 、 分级 负责 , 创新 发展 、 服务 大局 , 依法 管理 、 保障 安全 的 原则。
第四 条 坚持 中国 共产党 对 密码 工作 的 领导。 中央 密码 工作 领导 机构 对 全国 密码 工作 实行 统一 领导 , 制定 国家 密码 工作 重大 方针 政策 , 统筹 协调 国家 密码 重大 事项 和 重要 工作 , 推进 国家 密码 建设。
第五 条 国家 密码 管理 部门 负责 管理 全国 的 密码 工作。 县级 以上 地方 各级 密码 管理 部门 负责 管理 本 行政 区域 的 密码 工作。
国家 机关 和 涉及 密码 工作 的 单位 在 其 职责 范围 内 负责 本 机关 、 本 单位 或者 本 系统 的 密码 工作。
第六 条 国家 对 密码 实行 分类 管理。
密码 分为 核心 密码 、 普通 密码 和 商用 密码。
第七 条 核心 密码 、 普通 密码 用于 保护 国家 秘密 信息 , 核心 密码 保护 信息 的 最高 密级 为 绝密 级 , 普通 密码 保护 信息 的 最高 密级 为 机密 级。
核心 密码 、 普通 密码 属于 国家 秘密。 密码 管理 部门 依照 本法 和 有关 法律 、 行政 法规 、 国家 有关 规定 对 核心 密码 、 普通 密码 实行 严格 统一 管理。
第八 条 商用 密码 用于 保护 不 属于 国家 秘密 的 信息。
公民 、 法人 和 其他 组织 可以 依法 使用 商用 密码 保护 网络 与 信息 安全。
第九条 国家 鼓励 和 支持 密码 科学 技术 研究 和 应用 , 依法 保护 密码 领域 的 知识产权 , 促进 密码 科学 技术 进步 和 创新。
国家 加强 密码 人才 培养 和 队伍 建设 , 对 在 密码 工作 中 作出 突出 贡献 的 组织 和 个人 , 按照 国家 有关 规定 给予 表彰 和 奖励。
第十 条 国家 采取 多种形式 加强 密码 安全 教育 , 将 密码 安全 教育 纳入 国民 教育 体系 和 公务员 教育 培训 体系 , 增强 公民 、 法人 和 其他 组织 的 密码 安全 意识。
第十一条 县级 以上 人民政府 应当 将 密码 工作 纳入 本 级 国民经济 和 社会 发展 规划 , 所需 经费 列入 本 级 财政 预算。
第十二 条 任何 组织 或者 个人 不得 窃取 他人 加密 保护 的 信息 或者 非法 侵入 他人 的 密码 保障 系统。
任何 组织 或者 个人 不得 利用 密码 从事 危害 国家 安全 、 社会 公共 利益 、 他人 合法 权益 等 违法 犯罪 活动。
第二 章 核心 密码 、 普通 密码
第十三 条 国家 加强 核心 密码 、 普通 密码 的 科学 规划 、 管理 和 使用 , 加强 制度 建设 , 完善 管理 措施 , 增强 密码 安全 保障 能力。
第十四 条 在 有线 、 无线 通信 中 传递 的 国家 秘密 信息 , 以及 存储 、 处理 国家 秘密 信息 的 信息 系统 , 应当 依照 法律 、 行政 法规 和 国家 有关 规定 使用 核心 密码 、 普通 密码 进行 加密 保护 、 认证。
第十五 条 从事 核心 密码 、 普通 密码 科研 、 生产 、 服务 、 检测 、 装备 、 使用 和 销毁 等 工作 的 机构 (以下 统称 密码 工作 机构) 应当 按照 法律 、 行政 法规 、 国家 有关 规定 以及 核心 密码 、 密码 密码标准 的 要求 , 建立 健全 安全 管理 制度 , 采取 严格 的 保密 措施 和 保密 责任制 , 确保 核心 密码 、 普通 密码 的 安全。
第十六 条 密码 管理 部门 依法 对 密码 工作 机构 的 核心 密码 、 普通 密码 工作 进行 指导 、 监督 和 检查 , 密码 工作 机构 应当 配合。
第十七 条 密码 管理 部门 根据 工作 需要 会同 有关部门 建立 核心 密码 、 普通 密码 的 安全 监测 预警 、 安全 风险 评估 、 信息 通报 、 重大 事项 会商 和 应急 处置 等 协作 机制 , 确保 核心 密码 、 普通 密码 管理 管理的 协同 联动 和 有序 高效。
密码 工作 机构 发现 核心 密码 、 普通 密码 泄密 或者 影响 核心 密码 、 普通 密码 安全 的 重大 问题 、 风险 隐患 的 , 立即 采取 采取 应对 措施 , 并 及时 向 保密 行政管理 部门 、 密码 管理 部门 报告 , 保密 行政管理 部门、 密码 管理 部门 会同 有关部门 组织 开展 调查 、 处置 , 并 指导 有关 密码 工作 机构 及时 消除 安全 隐患。
第十八 条 国家 加强 密码 工作 机构 建设 , 保障 其 履行 工作 职责。
国家 建立 适应 核心 密码 、 普通 密码 工作 需要 的 人员 录用 、 选调 、 保密 、 考核 、 培训 、 待遇 、 奖惩 、 交流 、 退出 等 管理 制度。
第十九 条 密码 管理 部门 因 工作 需要 , 按照 国家 有关 规定 , 可以 提请 公安 、 交通 运输 、 海关 等 部门 对 核心 密码 、 普通 密码 有关 物品 和 人员 提供 免检 等 便利 , 有关部门 应当 予以 协助。
第二十条 密码 管理 部门 和 密码 工作 机构 应当 建立 健全 严格 的 监督 和 安全 审查 制度 , 对其 工作 人员 遵守 法律 和 纪律 等 情况 进行 监督 , 并 依法 采取 必要 措施 , 定期 或者 不定期 组织 开展 安全 审查。
第三 章 商用 密码
第二十 一条 国家 鼓励 商用 密码 技术 的 研究 开发 、 学术 交流 、 成果 转化 和 推广 应用 , 健全 统一 、 开放 、 竞争 、 有序 的 商用 密码 市场 体系 , 鼓励 和 促进 商用 密码 产业 发展。
各级 人民政府 及其 有关部门 应当 遵循 非歧视 原则 , 依法 平等 对待 包括 外商 投资 企业 在内 的 商用 密码 科研 、 生产 、 销售 、 服务 、 进出口 等 单位 (以下 统称 商用 密码 从业 单位)。 国家 鼓励 在外商 投资 过程 中 基于 自愿 原则 和 商业 规则 开展 商用 密码 技术 合作。 行政 机关 及其 工作 人员 不得 利用 行政 手段 强制 转让 商用 密码 技术。
商用 密码 的 科研 、 生产 、 销售 、 服务 和 进出口 , 不得 损害 国家 安全 、 社会 公共 利益 或者 他人 合法 权益。
第二十 二条 国家 建立 和 完善 商用 密码 标准 体系。
国务院 标准化 行政 主管 部门 和 国家 密码 管理 部门 依据 各自 职责 , 组织 制定 商用 密码 国家 标准 、 行业 标准。
国家 支持 社会 团体 、 企业 利用 自主 创新 技术 制定 高于 国家 标准 、 行业 标准 相关 技术 要求 的 商用 密码 团体 标准 、 企业 标准。
第二十 三条 国家 推动 参与 商用 密码 国际 标准化 活动 , 参与 制定 商用 密码 国际 标准 , 推进 商用 密码 中国 标准 与 国外 标准 之间 的 转化 运用。
国家 鼓励 企业 、 社会 团体 和 教育 、 科研 机构 等 参与 商用 密码 国际 标准化 活动。
第二十 四条 商用 密码 从业 单位 开展 商用 密码 活动 , 应当 符合 有关 法律 、 行政 、 商用 密码 强制性 国家 标准 以及 该 从业 单位 公开 标准 的 技术 要求。
国家 鼓励 商用 密码 从业 单位 采用 商用 密码 推荐 性 国家 标准 、 行业 标准 , 提升 密码 的 的 防护 能力 , 维护 用户 的 合法 权益。
第二十 五条 国家 推进 商用 密码 检测 认证 体系 建设 , 制定 商用 密码 检测 认证 技术 规范 、 , 鼓励 商用 密码 从业 单位 自愿 接受 商用 密码 检测 认证 , 提升 市场 竞争 力。
商用 密码 检测 、 认证 机构 应当 依法 取得 相关 资质 , 并 依照 法律 、 行政 法规 的 规定 和 商用 密码 检测 认证 技术 规范 、 规则 开展 商用 密码 检测 认证。
商用 密码 检测 、 认证 机构 应当 对其 在 商用 密码 检测 认证 中 所 知悉 的 国家 秘密 和 商业 秘密 承担 保密 义务。
第二十 六条 涉及 国家 安全 、 国计民生 、 社会 公共 利益 的 商用 密码 产品 , 应当 依法 列入 网络 关键 设备 和 网络 安全 专用 产品 目录 , 由 具备 资格 的 机构 检测 认证 合格 后 , 方可 销售 或者 提供。 商用密码 产品 检测 认证 适用 《中华人民共和国 网络 安全 法》 的 有关 规定 , 避免 重复 检测 认证。
商用 密码 服务 使用 网络 关键 设备 和 网络 安全 专用 产品 的 , 应当 经商 用 密码 认证 机构 对该 商用 密码 服务 认证 合格。
第二 十七 条 法律 、 行政 法规 和 国家 有关 规定 要求 使用 商用 密码 进行 保护 的 关键 信息 基础 设施 , 其 运营 者 应当 使用 商用 密码 进行 保护 , 自行 或者 委托 商用 密码 检测 机构 开展 商用 密码 应用 安全 评估。商用 密码 应用 安全 性 评估 应当 与 关键 信息 基础 设施 安全 检测 评估 、 网络 安全 等级 测评 制度 相 衔接 , 避免 重复 评估 、 测评。
关键 信息 基础 设施 的 运营 者 采购 涉及 商用 密码 的 网络 产品 和 服务 , 可能 影响 国家 安全 的 , 应当 按照 《中华人民共和国 网络 安全 法》 的 规定 , 通过 国家 网 信 部门 会同 国家 密码 管理 部门 等 组织的 国家 安全 审查。
第二 十八 条 国务院 商务 主管 部门 、 国家 密码 管理 部门 依法 对 涉及 国家 安全 、 社会 公共 利益 且 具有 加密 保护 的 商用 密码 实施 进口 许可 , 对 涉及 国家 安全 、 社会 公共 利益 或者 中国 承担 国际 商用 商用密码 实施 出口 管制。 商用 密码 进口 许可 清单 和 出口 管制 清单 由 国务院 商务 主管 部门 会同 国家 密码 管理 部门 和 海关 总署 制定 并 公布。
大众 消费 类 产品 所 采用 的 商用 密码 不 实行 进口 许可 和 出口 管制 制度。
第二 十九 条 国家 密码 管理 部门 对 采用 商用 密码 技术 从事 电子 政务 电子 认证 服务 的 机构 进行 认定 , 会同 有关部门 负责 政务 活动 中 使用 电子 签名 、 数据 电文 的 管理。
第三 十条 商用 密码 领域 的 行业 协会 等 组织 依照 法律 、 行政 法规 及其 章程 的 规定 , 为 商用 密码 从业 单位 提供 信息 、 技术 、 培训 等 服务 , 引导 和 督促 商用 密码 从业 单位 依法 开展 商用 , ,加强 行业 自律 , 推动 行业 诚信 建设 , 促进 行业 健康 发展。
第三十一条 密码 管理 部门 和 有关部门 建立 日常 监管 和 随机 抽查 相 结合 的 商用 密码 事 中 事后 监管 制度 , 建立 统一 的 商用 密码 监督 管理 信息 平台 , 推进 事 中 事后 监管 与 社会 信用 体系 相 衔接 ,强化 商用 密码 从业 单位 自律 和 社会 监督。
密码 管理 部门 和 有关部门 及其 工作 人员 不得 要求 商用 密码 从业 单位 和 商用 密码 检测 、 认证 机构 向其 披露 源 代码 等 密码 相关 专有 信息 , 并 对其 在 履行 职责 中 知悉 的 商业 秘密 和 个人 隐私 严格保密 , 不得 泄露 或者 非法 向 他人 提供。
第四 章 法律 责任
第三 十二 条 违反 本法 第十二 条 规定 , 窃取 他人 加密 保护 的 信息 , 非法 侵入 他人 的 密码 保障 系统 , 或者 利用 密码 从事 危害 国家 安全 、 社会 公共 利益 、 他人 合法 权益 等 违法 活动 的 , 由有关部门 依照 《中华人民共和国 网络 安全 法》 和 其他 有关 法律 、 行政 法规 的 规定 追究 法律 责任。
第三 十三 条 违反 本法 第十四 条 规定 , 未 按照 要求 使用 核心 密码 、 普通 密码 的 , 由 密码 管理 部门 责令 改正 或者 停止 违法行为 , 给予 警告 ; 情节 严重 的 , 由 密码 管理 部门 建议 有关 国家机关 、 单位 对 直接 负责 的 主管 人员 和 其他 直接 责任 人员 依法 给予 处分 或者 处理。
第三 十四 条 违反 本法 规定 , 发生 核心 密码 、 普通 密码 泄密 案件 的 , 由 保密 行政管理 部门 、 密码 管理 部门 建议 有关 国家 机关 、 单位 对 直接 负责 的 主管 人员 和 其他 直接 责任 人员 依法 给予 处分 或者处理。
违反 本法 第十七 条 第二款 规定 , 发现 核心 密码 、 普通 密码 泄密 或者 影响 核心 密码 、 普通 密码 安全 的 重大 问题 风险 隐患 , 未 立即 采取 应对 措施 , 或者 未 及时 报告 的 由 保密 行政管理部门 、 密码 管理 部门 建议 有关 国家 机关 、 单位 对 直接 负责 的 主管 人员 和 其他 直接 责任 人员 依法 给予 处分 或者 处理。
第三 十五 条 商用 密码 检测 、 认证 机构 违反 本法 第二十 五条 第二款 、 第三款 规定 开展 商用 密码 检测 的 的 , 由 市场 监督 管理 部门 会同 密码 管理 部门 责令 改正 或者 停止 , ,给予 警告 , 没收 违法 所得 ; 违法 所得 三十 万元 以上 的 , 可以 并处 违法 所得 一倍 以上 三倍 以下 罚款 ; 没有 违法 所得 或者 违法 所得 不足 三十 万元 的 , 可以 并处 十 万元 以上 三十 万元 以下 罚款 ; 情节 严重 的 , 依法 吊销 相关 资质。
第三 十六 条 违反 本法 第二十 六条 规定 , 销售 或者 提供 未经 检测 认证 或者 检测 认证 的 的 商用 密码 产品 , 或者 提供 未经 认证 或者 认证 不合格 的 商用 密码 服务 的 , 由 市场 监督管理 部门 会同 密码 管理 部门 责令 改正 或者 停止 违法行为 , 给予 警告 , 没收 违法 产品 和 违法 所得 ; 违法 所得 十 万元 以上 的 , 可以 并处 违法 所得 一倍 以上 三倍 以下 罚款 ; 没有 违法 所得 或者 违法 所得不足 十 万元 的 , 可以 并处 三 万元 以上 十 万元 以下 罚款。
第三 十七 条 关键 信息 基础 设施 的 运营 者 违反 本法 第二 十七 条 第一 款 规定 , 未 按照 要求 使用 商用 密码 , 或者 未 按照 要求 开展 商用 密码 应用 安全 性 评估 的 , 由 密码 管理 部门 责令改正 , 给予 警告 ; 拒不 改正 或者 导致 危害 网络 安全 等 后果 的 , 处 十 万元 以上 一百 万元 以下 罚款 , 对 直接 负责 的 主管 人员 处 一 万元 以上 十 万元 以下 罚款。
关键 信息 基础 设施 的 运营 者 违反 本法 第二 十七 条 第二款 规定 , 使用 未经 安全 审查 或者 安全 审查 未 通过 的 产品 服务 的 , 由 有关 主管 部门 责令 停止 使用 , 处 采购 金额 一倍 以上十倍 以下 罚款 ; 对 直接 负责 的 主管 人员 和 其他 直接 责任 人员 处 一 万元 以上 十 万元 以下 罚款。
第三 十八 条 违反 本法 第二 十八 条 实施 进口 许可 、 出口 管制 的 规定 , 进出口 商用 密码 的 , 由 国务院 商务 主管 部门 或者 海关 依法 予以 处罚。
第三 十九 条 违反 本法 第二 十九 条 规定 , 未经 认定 从事 电子 政务 电子 认证 服务 的 , 由 密码 管理 部门 责令 改正 或者 停止 违法行为 , 给予 警告 , 没收 违法 产品 和 违法 所得 ; 违法 所得 三十 万元 以上 的 , 可以 并处 违法 所得 一倍 以上 三倍 以下 罚款 ; 没有 违法 所得 或者 违法 所得 不足 三十 万元 的 , 并处 并处 十 万元 以上 三十 万元 以下 罚款。
第四 十条 密码 管理 部门 和 有关部门 、 单位 的 工作 人员 在 密码 工作 中 滥用职权 、 玩忽职守 、 徇私舞弊 , 或者 泄露 、 非法 向 他人 提供 在 履行 职责 中 知悉 的 商业 秘密 和 个人 隐私 的 , 依法 给予处分。
第四十一条 违反 本法 规定 , 构成 犯罪 的 , 依法 追究 刑事责任 ; 给 他人 造成 损害 的 , 依法 承担 民事责任。
第五 章 附则
第四 十二 条 国家 密码 管理 部门 依照 法律 、 行政 法规 的 规定 , 制定 密码 管理 规章。
第四 十三 条 中国人民解放军 和 中国 人民 武装警察 部队 的 密码 工作 管理 办法 , 由 中央 军事 委员会 根据 本法 制定。
第四 十四 条 本法 自 2020 年 1 月 1 日 起 施行。