新华社北京5月24日电 公布修订后的《商用密码管理条例》(以下简称《条例》),自2023年7月1日起施行。早在今年4月14日召开的国务院常务委员会上,发布于2020年8月的《商用密码管理条例(修订草案)》(以下简称“修订草案”)审议通过,该草案的通过也意味着商用密码应用安全性评估正式由“推荐性”转为“强制性”。
党中央、国务院高度重视商用密码工作。近年来, 生成式人工智能、数据交易、数据全生命周期安全管理等业务场景的快速发展,关键信息基础设施安全重要性突显,复杂的应用场景和严峻的网络安全形势对商用密码提出了更高的保障需求。 随着商用密码在网络与信息系统中广泛应用,其维护国家主权、安全和发展利益的作用越来越凸显。
党的十八大以来,党中央、国务院对商用密码创新发展和行政审批制度改革提出了一系列要求,2020年施行的密码法对商用密码管理制度进行了结构性重塑。为了贯彻落实行政审批制度改革精神,细化密码法相关制度,对1999年公布的《条例》进行了全面修订。 有网络安全从业者表示,商用密码市场规模近年来快速增长,在多个领域成为行业“刚需”,本次公布修订的《条例》将进一步推动商业密码在数字化进程中的推广速度,促进行业加快技术与产品创新。 修订后的《条例》,重点规定了以下内容。
一是完善商用密码管理体制。 《条例》规定县级以上密码管理部门负责管理相应行政区域的商用密码工作;网信、商务、海关、市场监督管理等有关部门在各自职责范围内负责商用密码有关管理工作;明确密码管理部门和有关部门开展商用密码监管的职权、协作配合、保密义务以及信用监管、举报等制度机制。
二是促进商用密码科技创新与标准化建设。 《条例》规定建立健全商用密码科技创新促进机制,保护商用密码领域的知识产权,鼓励支持商用密码科技成果转化和产业化应用。优化现行商用密码科研成果审查鉴定审批的适用范围。明确商用密码标准的制定、实施及监督检查。
三是健全商用密码检测认证体系。 《条例》明确推进商用密码检测认证体系建设,鼓励在商用密码活动中自愿接受商用密码检测认证。明确商用密码检测、认证机构资质审批条件、程序及从业规范。明确涉及国家安全、国计民生、社会公共利益的商用密码产品与使用网络关键设备和网络安全专用产品的商用密码服务应当检测认证合格。
四是加强电子认证服务使用密码和电子政务电子认证服务活动管理。 《条例》明确电子认证服务使用密码要求和使用规范。明确电子政务电子认证服务机构资质审批条件、程序及从业规范。明确建立电子认证信任机制,推动电子认证服务互信互认。
五是规范商用密码进出口管理。 《条例》根据密码法关于商用密码进出口的规定和国家出口管制、两用物项进出口管理制度,明确商用密码进口许可和出口管制实行清单管理,并规定了审批程序。
六是促进商用密码应用。 《条例》鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全,支持网络产品和服务使用商用密码提升安全性。明确关键信息基础设施的商用密码使用要求和国家安全审查要求。
政策制定背景: 2020年8月10日,国家密码管理局发布了《商用密码管理条例(修订草案征求意见稿)》,对1999年发布并生效的《商用密码管理条例》进行全面修订。 1999年国务院颁布的《商用密码管理条例》是我国第一部关于密码管理的法规,它标志着我国商用密码大发展和管理走上了法制轨道; 对我国商用密码管理制度进行了结构性重塑。 经过20多年的快速发展,我国商用密码在管理制度、科技创新、产业发展、应用推进等方面取得系列成果,实现了跨越式发展。
2019年10月26日,十三届全国人大常委会第十四次会议表决通过《中华人民共和国密码法》(以下简称《密码法》),为做好新时期的商用密码工作提供坚强的法律保障。随着《密码法》的颁布实施,国家对其从严格管控逐步转向放管结合和推广应用。而 现行的《商用密码管理条例》已无法适应《密码法》的要求,因此《条例》(征求意见稿)应运而生。
2023年4月14日,国务院常务会议审议通过《商用密码管理条例(修订草案)》。本次修订的《商用密码管理条例》予以回应,进行了较大幅度的修改,凸显促进商用密码应用与保障安全相统一的价值导向,其中对商用密码的管理、认证和检测等方面都进行了较为具体的规定,更加突出了促进商用密码发展的立法原意。
政策核心亮点: 扩大密评范围,变“推荐性”为“强制化”,推进商用密码应用安全性评估。《条例》(征求意见稿)对于网络安全等级保护第三级以上网络,要求运营者应当使用商用密码进行护。但是由于等保 2.0 国家标准仅为推荐性标准,并不具备强制力,因此若《条例》(征求意见稿)生效,将会将网络安全等级保护的推荐性的要求上升为具有强制力的国家规范。
此外,《条例》(征求意见稿)也将密评的范围予以扩展,《密码法》仅规定关键信息基础设施进行密评。而在《条例》(征求意见稿)中,非涉密的关键信息基础设施、等级保护第三级以上网络、国家政务信息系统等网络与信息系统都被要求进行密评。密评有望在政策的带动下,在推进速度和落地广度上实现双拓展。
对于生成式AI而言, 商用密码一方面有望用于对输入模型的数据本身进行加密脱敏等防护工作,甚至未来结合隐私计算等技术实现AI模型训练的数据可用不可见。另一方面,针对模型输出的生成式文字、图片和视频,密码技术也有望赋能,实现内容的唯一性、完整性和不可抵赖性的认证。
对于数据要素和数据交易而言, 商用密码同样有望通过隐私计算等技术实现数据交易过程中的可用不可见。另一方面,针对企业和政府的数据资产,商用密码也有望实现资产本身的唯一性、完整性和不可抵赖,从而在资产的确权等方面有所助力。
对于数据安全而言, 商用密码是主动性的数据安全防护技术,也是数据安全的基础技术。数据库脱敏、数据防泄漏、网络通信加密等有望成为数据安全率先落地的产品和应用,而此次《商用密码管理条例(修订草案)》进一步明确了密评作为等保的前置条件,将推动密码在数据安全中起到更重要的作用。
密码安全行业的主要产品构成
按产品形态分共六类,包括:密码软件类、密码芯片类、密码模块累、密码板卡类、密码整机类及密码系统类。
密码软件类: 指以纯软件形态出现的产品,主要包含信息加密软件、密码算法实现软件等产品;
密码芯片类: 指以集成电路芯片形态出现的密码产品,主要包含密码算法芯片、密码SOC芯片等产品;
密码模块类: 指以多芯片组装的背板形态出现,具备专用密码功能,但本身不能完成完整的密码功能的产品,主要包含加解密模块、安全控制模块等产品;
密码板卡类: 指以板卡形态出现,具备完整密码功能的产品,主要包含USB 密码钥匙、PCI 密码卡等产品;
密码整机类: 指以整机形态出现,具备完整密码功能的产品,主要包含VPN、网络密码机、服务器密码机、签名验签服务器等产品;
密码系统类: 指以密码形态出现,有密码功能支撑的产品,主要包含安全认证系统、密钥管理系统等产品。
密码安全应用场景:
密码安全技术已广泛应用于社会生活中的各个重大领域,包括党政、金融、电力、航空航天,为维护国家安全、促进经济发展、保护人民群众利益作出了重要贡献。密码安全技术一共有七大应用场景分别为:物联网、车联网、工业互联网、智慧城市、区块链、5G安全、云计算。
密码安全行业市场规模:
全球市场:据IDC数据,2020年全球IT安全产业规模达到1348.60亿美元。受疫情影响,全球网络安全市场增速回落,2021年市场规模为1483.31亿美元,同比增长9.84%,预计2022年将达到1675.81亿美元,同比增长13.13%。Canalys预测,2023年全球网络安全支出达到2238亿美元,同比增长33.55%。
全球范围内,商用密码市场主要集中在北美、西欧以及亚太三大地区。全球商用密码市场规模处于增长态势,据赛迪统计数据,2021年全球商用密码产业规模为375.7亿美元,实现年增速22.18%,预计2027年将达到1026.4亿美元,期间CAGR达18.23%。随着新兴经济体崛起,亚太将成为预期内全球增长最快的地区。
中国市场:
据IDC,2020年我国IT安全产业规模达到82.62亿美元(约570.66亿元),2022年预计为115.41亿美元(约797.12亿元),同比增长18.05%;2023年预计达136.26亿美元(约941.16亿元),同比增长18.07%。
密码作为网络信任体系的重要基石,涵盖数据加密、身份认证、消息认证三大场景。伴随我国网安建设由“合规驱动”向“事件驱动”转型,密码技术重要性有望凸显,据赛迪研究院预测,2022年我国商用密码市场规模有望达到707.64亿元,同比增长36.14%,2023年有望达985.85亿元,同比增长39.32%。
密码安全行业竞争格局:
全球区域来看,以美国为主导的北美市场仍然占据全球最大的市场份额。 在排名前10的网络安全公司中,美国公司占据了7个席位,表现出强大的国际竞争力。以中国、日本和印度为代表的亚太地区,受益于近期国家安全战略的发布以及日益增长的信息安全需求,市场也呈现出高速发展的态势。
我国密码早先以国家政府部门使用为主,近年来,随着网络空间安全意识增强,我国逐步向商用领域拓展,目前,我国主要厂商已在国际舞台崭露头角。
根据MarketResearchIntellect统计,2020年全球密码硬件安全市场排名前九的公司为: Gemalto、Yubico、AtosSE、THALES、UltraElectronics、卫士通(002268)、江南天安、Ultimaco、三未信安(688489)。
据数观天下发布的《2021-2022商用密码行业分析报告》统计,国产商用密码厂商数量众多,商用密码技术推陈出新,密码从业单位数量和规模不断增加。2020年,《商用密码产品认证目录》颁布后,全国拥有认证商密产品的企业共551家;营收体量相对较小,行业集中度CR5为25%,CR9为40.4%,市场竞争格局相对分散。
以身份与数字信任软件细分市场为例,据IDC发布的《2022年上半年中国IT安全软件市场跟踪报告》,2022年上半年身份与数字信任软件市场份额前五名分别为 亚信安全(688225)、数字认证(300579)、吉大正元(003029)、格尔软件(603232)、信安世纪(688201) ,市场占有率分别为8.0%、6.6%、6.3%、6.0%、3.8%,合计市占率仅为30.7%。
国产替代逐步推进 对国外供应商依赖降低
密码安全产业上游以国产玩家为主。受我国密码政策的影响,对行业上游企业实施市场准入制度,上游企业均为内资企业,数量众多。国产替代稳步进行,逐渐拥有元器件供应自主权。随着国产自主可替代计划的推进,电子元器件、集成电路、安全芯片趋于国产化,对国外提供商的依赖有所降低。
但与此同时,我国芯片这一核心产业仍未打破国际垄断局面;国产操作系统暂能满足基本办公需求,与多场景多样化应用的结合能力还有待提升;产业链整体创新能力不足、产品品类和供给质量难以适应需求变化,密码应用随时面临“卡脖子危险”。
随着我国密码安全产品建设逐步完善,我国主要厂商也开始进入国际舞台,开始展露风采。 电科网安(002268)、三未信安(688489)、数字认证(300579)、信安世纪(688201)、飞天诚信(300386) 等公司开始进入国际主流供应商名单。
“强制性”密评
区别于用于保护国家秘密信息的核心密码和普通密码,我国《密码法》规定商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。在网络安全技术层面,商用密码通常指采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。
2020年8月10日,国家秘密管理局发布了《商用密码管理条例(修订草案征求意见稿)》,对1999年发布并生效的《商用密码管理条例》进行全面修订。在此之前,2019年10月26日颁布的《密码法》对我国商用密码管理制度进行了结构性重塑,现行的《商用密码管理条例》已无法适应《密码法》要求,因此新的修订草案应运而生。
多位网络安全行业从业者在与记者交流时提到,本次修订的一大亮点在于扩大了商用密码应用安全性评估的范围。
商用密码应用安全性评估(以下简称“密评”),指采用商用密码技术、产品和服务集成建设的网络和信息系统中,对密码应用的合规性、正确性、有效性进行评估。
2019年颁布的《密码法》中,仅要求“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施”自行或委托检测机构开展密评。而修订草案中则要求非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,都需开展密评工作。
在管理制度上,修订草案对商用密码的管理更加精细化。1999年的《商用密码管理条例》对密码管理实行的是国家和省级两级管理体制,即“国家密码管理委员会及其办公室以下简称国家密码管理机构主管全国的商用密码管理工作。省、自治区、直辖市负责密码管理的机构根据国家密码管理机构的委托,承担商用密码的有关管理工作。”
修订草案则依托《密码法》确定了“四级管理+专项管理”体制。其第三条规定,国家密码管理部门负责管理全国的商用密码工作。县级以上地方各级密码管理部门负责管理本行政区域的商用密码工作。国家网信、商务、海关、市场监督管理等有关部门在各自职责范围内,负责商用密码有关管理工作。
同时,修订草案放宽了对商用密码进出口的管控要求。1999年出台的《商用密码管理条例》第13条规定,进口密码产品以及含有密码技术的设备或者出口商用密码产品,必须报经国家密码管理机构批准。任何单位或者个不得销售境外的密码产品。
随着《密码法》的出台,我国对于商用密码进出口从“批准制”转变为“进口许可清单和出口管制清单制度”。修订草案进一步落实了相关要求,其第三十一条规定进口《商用密码进口许可清单》或者出口《商用密码出口管制清单》中的商用密码,应当向国务院商务主管部门申请领取两用物项进出口许可证。
此外,修订草案进一步强调了对个人信息保护的要求。《条例》(征求意见稿)要求,密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。
开拓安全行业市场空间
近年来,全球商用密码市场呈现高速增长态势。据统计, 2021年全球商用密码产业规模为375.7亿美元,实现年增速22.18%,预计2027年将达到1026.4亿美元。随着新兴经济体崛起,亚太将成为预期内全球增长最快的地区。
市场高速增长的主要原因在于新兴数字化场景对于商用密码安全保障能力需求的扩张。西南证券研报显示,在5G、工业互联网、数据中心等关键信息基础设施领域的安全保障显得尤为重要,密码的应用将成为“刚需”,促进商用密码与新一代信息网络、量子信息、人工智能、物联网、先进制造、工业控制、区块链、智能网联汽车、数字货币等融合创新。
以近期颇受关注的生成式AI为例,通过商用密码对AI输入模型数据进行针对性加密及脱敏,对模型训练的过程数据、模型输出的生成式文件、图片等数据进行内容加密、完整性保护。
在数据交易、数据全生命周期安全管理等业务场景,商用密码亦具有广阔的应用空间。例如,在数据采集中进行真实性认证,在数据存储中保证敏感重要数据加密存储,在数据处理中保证数据认证与访问控制及数据使用行为不可抵赖。数据交易方面,通过隐私计算、区块链等技术,可以实现数据交易过程可用不可见、交易行为不可抵赖,达成数据资产的确权,促进数据要素安全流通。
“(修订草案的推出)为促进数字经济快速发展,建立健全商用密码科技创新促进机制,推动商用密码科技成果转化和产业化应用,促进商用密码市场持续健康发展。”国联证券在研报中指出。
随着《密码法》《商用密码管理条例(修订草案)》《信息安全技术信息系统密码应用基本要求》等法律法规及标准规范的发布,密码使用由行政推进向依法规范应用转变,强化了密码应用建设要求,进一步推动商用密码应用快速发展。政策合规及安全业务双驱动对密码需求不断增长,尤其信创产业、数字经济大发展带来千亿规模商用密码市场。
云密码服务能够为各类业务系统提供质量相同的密码保护,是解决业务系统不断云化、复杂化的必然技术路线,适配零散的本地密码服务难以支撑云上业务系统的新场景和新业态。业务系统需要密码服务“贴身”保护,但业务系统云化趋势导致本地密码服务与云上业务被切割,云密码服务建设迫在眉睫性,其必要性和必然性分析如下:
业务系统需要密码服务的“贴身”保护
业务系统云化是当前趋势
密码服务上云需要改变产品形态
云密码服务管理系统需要满足合规性要求
云密码服务建设痛点与用户难点
云密码服务管理系统自身在建设时,为了达到“集中、集成、集约”的效果,导致需要打通不同形态不同功能的商用密码产品之间的互联互通以提供完备的密码服务全集,进而导致建设初期设备采购的成本的增加,以及由于多种商用密码产品之间的扩展性和兼容性差异导致的改造成本增加,将成为主要的难点问题。
密码设备采购投入成本大: 用户访问量大、业务使用量大、密码服务功能的复杂性高等原因,直接导致整体采购难度大、费用高
云密码服务管理系统的改造成本高: 云密码服务管理系统不是对各类合规的商用密码设备的简单堆叠,需要能够对其从安全和性能两方面通盘考虑整个系统的运行和优化机制。
云密码服务难以“贴身”的问题: 密码服务与业务系统上云的异步性差异,使得在云密码服务管理系统建立完成提供密码服务时,业务系统存在未上云、全部上云和部分上云三种可能。
相关上市公司:
专注于密码行业的厂商:三未信安(688489)、信安世纪(688201)、格尔软件(603232)、吉大正元(003029)、数字认证(300579)、电科网安(002268);
远期有望带动整个数据安全行业的景气度上行:启明星辰(002439)、奇安信(688561)、安恒信息(688023)、深信服(300454)、美亚柏科(300188)、迪普科技(300768)、安博通(688168)、永信至诚(688244)、天融信(002212)等。
中华人民共和国国务院令
第760号
《商用密码管理条例》已经2023年4月14日国务院第4次常务会议修订通过,现予公布,自2023年7月1日起施行。
总理 李强
2023年4月27日
(1999年10月7日中华人民共和国国务院令第273号发布 2023年4月27日中华人民共和国国务院令第760号修订)
第一章 总 则
第一条 为了规范商用密码应用和管理,鼓励和促进商用密码产业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国密码法》等法律,制定本条例。
第二条 在中华人民共和国境内的商用密码科研、生产、销售、服务、检测、认证、进出口、应用等活动及监督管理,适用本条例。
本条例所称商用密码,是指采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。
第三条 坚持中国共产党对商用密码工作的领导,贯彻落实总体国家安全观。国家密码管理部门负责管理全国的商用密码工作。县级以上地方各级密码管理部门负责管理本行政区域的商用密码工作。
网信、商务、海关、市场监督管理等有关部门在各自职责范围内负责商用密码有关管理工作。
第四条 国家加强商用密码人才培养,建立健全商用密码人才发展体制机制和人才评价制度,鼓励和支持密码相关学科和专业建设,规范商用密码社会化培训,促进商用密码人才交流。
第五条 各级人民政府及其有关部门应当采取多种形式加强商用密码宣传教育,增强公民、法人和其他组织的密码安全意识。
第六条 商用密码领域的学会、行业协会等社会组织依照法律、行政法规及其章程的规定,开展学术交流、政策研究、公共服务等活动,加强学术和行业自律,推动诚信建设,促进行业健康发展。
第二章 科技创新与标准化
第七条 国家建立健全商用密码科学技术创新促进机制,支持商用密码科学技术自主创新,对作出突出贡献的组织和个人按照国家有关规定予以表彰和奖励。
国家依法保护商用密码领域的知识产权。从事商用密码活动,应当增强知识产权意识,提高运用、保护和管理知识产权的能力。
国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。
第八条 国家鼓励和支持商用密码科学技术成果转化和产业化应用,建立和完善商用密码科学技术成果信息汇交、发布和应用情况反馈机制。
第九条 国家密码管理部门组织对法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统所使用的密码算法、密码协议、密钥管理机制等商用密码技术进行审查鉴定。
第十条 国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准,对商用密码团体标准的制定进行规范、引导和监督。国家密码管理部门依据职责,建立商用密码标准实施信息反馈和评估机制,对商用密码标准实施进行监督检查。
国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用,鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
其他领域的标准涉及商用密码的,应当与商用密码国家标准、行业标准保持协调。
第十一条 从事商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准,以及自我声明公开标准的技术要求。
国家鼓励在商用密码活动中采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。
第三章 检测认证
第十二条 国家推进商用密码检测认证体系建设,鼓励在商用密码活动中自愿接受商用密码检测认证。
第十三条 从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动,向社会出具具有证明作用的数据、结果的机构,应当经国家密码管理部门认定,依法取得商用密码检测机构资质。
(一)具有法人资格;
(二)具有与从事商用密码检测活动相适应的资金、场所、设备设施、专业人员和专业能力;
第十五条 申请商用密码检测机构资质,应当向国家密码管理部门提出书面申请,并提交符合本条例第十四条规定条件的材料。
国家密码管理部门应当自受理申请之日起20个工作日内,对申请进行审查,并依法作出是否准予认定的决定。
需要对申请人进行技术评审的,技术评审所需时间不计算在本条规定的期限内。国家密码管理部门应当将所需时间书面告知申请人。
第十六条 商用密码检测机构应当按照法律、行政法规和商用密码检测技术规范、规则,在批准范围内独立、公正、科学、诚信地开展商用密码检测,对出具的检测数据、结果负责,并定期向国家密码管理部门报送检测实施情况。
第十七条 国务院市场监督管理部门会同国家密码管理部门建立国家统一推行的商用密码认证制度,实行商用密码产品、服务、管理体系认证,制定并公布认证目录和技术规范、规则。
第十八条 从事商用密码认证活动的机构,应当依法取得商用密码认证机构资质。
申请商用密码认证机构资质,应当向国务院市场监督管理部门提出书面申请。申请人除应当符合法律、行政法规和国家有关规定要求的认证机构基本条件外,还应当具有与从事商用密码认证活动相适应的检测、检查等技术能力。
国务院市场监督管理部门在审查商用密码认证机构资质申请时,应当征求国家密码管理部门的意见。
第十九条 商用密码认证机构应当按照法律、行政法规和商用密码认证技术规范、规则,在批准范围内独立、公正、科学、诚信地开展商用密码认证,对出具的认证结论负责。
商用密码认证机构应当对其认证的商用密码产品、服务、管理体系实施有效的跟踪调查,以保证通过认证的商用密码产品、服务、管理体系持续符合认证要求。
第二十条 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的商用密码检测、认证机构检测认证合格后,方可销售或者提供。
第二十一条 商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。
第四章 电子认证
第二十二条 采用商用密码技术提供电子认证服务,应当具有与使用密码相适应的场所、设备设施、专业人员、专业能力和管理体系,依法取得国家密码管理部门同意使用密码的证明文件。
第二十三条 电子认证服务机构应当按照法律、行政法规和电子认证服务密码使用技术规范、规则,使用密码提供电子认证服务,保证其电子认证服务密码使用持续符合要求。
电子认证服务密码使用技术规范、规则由国家密码管理部门制定并公布。
第二十四条 采用商用密码技术从事电子政务电子认证服务的机构,应当经国家密码管理部门认定,依法取得电子政务电子认证服务机构资质。
第二十五条 取得电子政务电子认证服务机构资质,应当符合下列条件:
(一)具有企业法人或者事业单位法人资格;
(二)具有与从事电子政务电子认证服务活动及其使用密码相适应的资金、场所、设备设施和专业人员;
(三)具有为政务活动提供长期电子政务电子认证服务的能力;
(四)具有保证电子政务电子认证服务活动及其使用密码安全运行的管理体系。
第二十六条 申请电子政务电子认证服务机构资质,应当向国家密码管理部门提出书面申请,并提交符合本条例第二十五条规定条件的材料。
国家密码管理部门应当自受理申请之日起20个工作日内,对申请进行审查,并依法作出是否准予认定的决定。
需要对申请人进行技术评审的,技术评审所需时间不计算在本条规定的期限内。国家密码管理部门应当将所需时间书面告知申请人。
第二十七条 外商投资电子政务电子认证服务,影响或者可能影响国家安全的,应当依法进行外商投资安全审查。
第二十八条 电子政务电子认证服务机构应当按照法律、行政法规和电子政务电子认证服务技术规范、规则,在批准范围内提供电子政务电子认证服务,并定期向主要办事机构所在地省、自治区、直辖市密码管理部门报送服务实施情况。
电子政务电子认证服务技术规范、规则由国家密码管理部门制定并公布。
第二十九条 国家建立统一的电子认证信任机制。国家密码管理部门负责电子认证信任源的规划和管理,会同有关部门推动电子认证服务互信互认。
第三十条 密码管理部门会同有关部门负责政务活动中使用电子签名、数据电文的管理。
政务活动中电子签名、电子印章、电子证照等涉及的电子认证服务,应当由依法设立的电子政务电子认证服务机构提供。
第五章 进出口
第三十一条 涉及国家安全、社会公共利益且具有加密保护功能的商用密码,列入商用密码进口许可清单,实施进口许可。涉及国家安全、社会公共利益或者中国承担国际义务的商用密码,列入商用密码出口管制清单,实施出口管制。
商用密码进口许可清单和商用密码出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。
大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
第三十二条 进口商用密码进口许可清单中的商用密码或者出口商用密码出口管制清单中的商用密码,应当向国务院商务主管部门申请领取进出口许可证。
商用密码的过境、转运、通运、再出口,在境外与综合保税区等海关特殊监管区域之间进出,或者在境外与出口监管仓库、保税物流中心等保税监管场所之间进出的,适用前款规定。
第三十三条 进口商用密码进口许可清单中的商用密码或者出口商用密码出口管制清单中的商用密码时,应当向海关交验进出口许可证,并按照国家有关规定办理报关手续。
进出口经营者未向海关交验进出口许可证,海关有证据表明进出口产品可能属于商用密码进口许可清单或者出口管制清单范围的,应当向进出口经营者提出质疑;海关可以向国务院商务主管部门提出组织鉴别,并根据国务院商务主管部门会同国家密码管理部门作出的鉴别结论依法处置。在鉴别或者质疑期间,海关对进出口产品不予放行。
第三十四条 申请商用密码进出口许可,应当向国务院商务主管部门提出书面申请,并提交下列材料:
(一)申请人的法定代表人、主要经营管理人以及经办人的身份证明;
(二)合同或者协议的副本;
(四)最终用户和最终用途证明;
(五)国务院商务主管部门规定提交的其他文件。
国务院商务主管部门应当自受理申请之日起45个工作日内,会同国家密码管理部门对申请进行审查,并依法作出是否准予许可的决定。
对国家安全、社会公共利益或者外交政策有重大影响的商用密码出口,由国务院商务主管部门会同国家密码管理部门等有关部门报国务院批准。报国务院批准的,不受前款规定时限的限制。
第六章 应用促进
第三十五条 国家鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全,鼓励使用经检测认证合格的商用密码。
任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的商用密码保障系统,不得利用商用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
第三十六条 国家支持网络产品和服务使用商用密码提升安全性,支持并规范商用密码在信息领域新技术、新业态、新模式中的应用。
第三十七条 国家建立商用密码应用促进协调机制,加强对商用密码应用的统筹指导。国家机关和涉及商用密码工作的单位在其职责范围内负责本机关、本单位或者本系统的商用密码应用和安全保障工作。
密码管理部门会同有关部门加强商用密码应用信息收集、风险评估、信息通报和重大事项会商,并加强与网络安全监测预警和信息通报的衔接。
第三十八条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
前款所列关键信息基础设施通过商用密码应用安全性评估方可投入运行,运行后每年至少进行一次评估,评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案。
第三十九条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,使用的商用密码产品、服务应当经检测认证合格,使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定。
第四十条 关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当依法通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
第四十一条 网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。国家密码管理部门根据网络的安全保护等级,确定商用密码的使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范。
第四十二条 商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接,避免重复评估、测评。
第七章 监督管理
第四十三条 密码管理部门依法组织对商用密码活动进行监督检查,对国家机关和涉及商用密码工作的单位的商用密码相关工作进行指导和监督。
第四十四条 密码管理部门和有关部门建立商用密码监督管理协作机制,加强商用密码监督、检查、指导等工作的协调配合。
第四十五条 密码管理部门和有关部门依法开展商用密码监督检查,可以行使下列职权:
(二)向当事人的法定代表人、主要负责人和其他有关人员调查、了解有关情况;
(三)查阅、复制有关合同、票据、账簿以及其他有关资料。
第四十六条 密码管理部门和有关部门推进商用密码监督管理与社会信用体系相衔接,依法建立推行商用密码经营主体信用记录、信用分级分类监管、失信惩戒以及信用修复等机制。
第四十七条 商用密码检测、认证机构和电子政务电子认证服务机构及其工作人员,应当对其在商用密码活动中所知悉的国家秘密和商业秘密承担保密义务。
密码管理部门和有关部门及其工作人员不得要求商用密码科研、生产、销售、服务、进出口等单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。
第四十八条 密码管理部门和有关部门依法开展商用密码监督管理,相关单位和人员应当予以配合,任何单位和个人不得非法干预和阻挠。
第四十九条 任何单位或者个人有权向密码管理部门和有关部门举报违反本条例的行为。密码管理部门和有关部门接到举报,应当及时核实、处理,并为举报人保密。
第八章 法律责任
第五十条 违反本条例规定,未经认定向社会开展商用密码检测活动,或者未经认定从事电子政务电子认证服务的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款。
违反本条例规定,未经批准从事商用密码认证活动的,由市场监督管理部门会同密码管理部门依照前款规定予以处罚。
第五十一条 商用密码检测机构开展商用密码检测,有下列情形之一的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款;情节严重的,依法吊销商用密码检测机构资质:
(一)超出批准范围;
(二)存在影响检测独立、公正、诚信的行为;
(三)出具的检测数据、结果虚假或者失实;
(四)拒不报送或者不如实报送实施情况;
(五)未履行保密义务;
(六)其他违反法律、行政法规和商用密码检测技术规范、规则开展商用密码检测的情形。
第五十二条 商用密码认证机构开展商用密码认证,有下列情形之一的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款;情节严重的,依法吊销商用密码认证机构资质:
(一)超出批准范围;
(二)存在影响认证独立、公正、诚信的行为;
(三)出具的认证结论虚假或者失实;
(四)未对其认证的商用密码产品、服务、管理体系实施有效的跟踪调查;
(五)未履行保密义务;
(六)其他违反法律、行政法规和商用密码认证技术规范、规则开展商用密码认证的情形。
第五十三条 违反本条例第二十条、第二十一条规定,销售或者提供未经检测认证或者检测认证不合格的商用密码产品,或者提供未经认证或者认证不合格的商用密码服务的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得10万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足10万元的,可以并处3万元以上10万元以下罚款。
第五十四条 电子认证服务机构违反法律、行政法规和电子认证服务密码使用技术规范、规则使用密码的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款;情节严重的,依法吊销电子认证服务使用密码的证明文件。
第五十五条 电子政务电子认证服务机构开展电子政务电子认证服务,有下列情形之一的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款;情节严重的,责令停业整顿,直至吊销电子政务电子认证服务机构资质:
(一)超出批准范围;
(二)拒不报送或者不如实报送实施情况;
(三)未履行保密义务;
(四)其他违反法律、行政法规和电子政务电子认证服务技术规范、规则提供电子政务电子认证服务的情形。
第五十六条 电子签名人或者电子签名依赖方因依据电子政务电子认证服务机构提供的电子签名认证服务在政务活动中遭受损失,电子政务电子认证服务机构不能证明自己无过错的,承担赔偿责任。
第五十七条 政务活动中电子签名、电子印章、电子证照等涉及的电子认证服务,违反本条例第三十条规定,未由依法设立的电子政务电子认证服务机构提供的,由密码管理部门责令改正,给予警告;拒不改正或者有其他严重情节的,由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。有关国家机关、单位应当将处分或者处理情况书面告知密码管理部门。
第五十八条 违反本条例规定进出口商用密码的,由国务院商务主管部门或者海关依法予以处罚。
第五十九条 窃取他人加密保护的信息,非法侵入他人的商用密码保障系统,或者利用商用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的,由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。
第六十条 关键信息基础设施的运营者违反本条例第三十八条、第三十九条规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者有其他严重情节的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。
第六十一条 关键信息基础设施的运营者违反本条例第四十条规定,使用未经安全审查或者安全审查未通过的涉及商用密码的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额1倍以上10倍以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。
第六十二条 网络运营者违反本条例第四十一条规定,未按照国家网络安全等级保护制度要求使用商用密码保护网络安全的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处1万元以上10万元以下罚款,对直接负责的主管人员处5000元以上5万元以下罚款。
第六十三条 无正当理由拒不接受、不配合或者干预、阻挠密码管理部门、有关部门的商用密码监督管理的,由密码管理部门、有关部门责令改正,给予警告;拒不改正或者有其他严重情节的,处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款;情节特别严重的,责令停业整顿,直至吊销商用密码许可证件。
第六十四条 国家机关有本条例第六十条、第六十一条、第六十二条、第六十三条所列违法情形的,由密码管理部门、有关部门责令改正,给予警告;拒不改正或者有其他严重情节的,由密码管理部门、有关部门建议有关国家机关对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。有关国家机关应当将处分或者处理情况书面告知密码管理部门、有关部门。
第六十五条 密码管理部门和有关部门的工作人员在商用密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的,依法给予处分。
第六十六条 违反本条例规定,构成犯罪的,依法追究刑事责任;给他人造成损害的,依法承担民事责任。
第九章 附 则
第六十七条 本条例自2023年7月1日起施行。
本文转载于信创纵横公众号,仅供学习交流
