DIGITAL-SIGN.COM.CN
Home Document Law and Act >  Password-Act of PRC

Password-Act of PRC

PDF版本:《中华人民共和国密码法_国家密码管理局.pdf

⽬ 录

章 总 则

第⼆章 核⼼密码、普通密码

章 商⽤密码

第四章 法律责任

第五章 附 则

章 总 则

条 为了规范密码应⽤和管理促进密码事发展保障

⽹络信息安全维护国家安全和社会公共利益保护公⺠、法⼈和其他组织的合法权益制定本法。

第⼆条 本法所称密码是指采⽤特定变换的⽅法对信息等进

⾏加密保护、安全认证的技术、产品和服务。

 

条 密码⼯作坚持总体国家安全观遵循统领导、分级负责创新发展、服务⼤局依法管理、保障安全的原则。

 

第四条 坚持中国共产党对密码⼯作的领导。中央密码⼯作领导机构对全国密码⼯作实⾏统领导制定国家密码⼯作重⼤⽅针 政策统筹协调国家密码重⼤事项和重要⼯作推进国家密码法治 建设。

 

第五条 国家密码管理部⻔负责管理全国的密码⼯作。县级以地⽅各级密码管理部⻔负责管理本⾏政区域的密码⼯作。

 

国家机关和涉及密码⼯作的单位在其职责范围内负责本机关、 本单位或者本系统的密码⼯作。

 

第六条 国家对密码实⾏分类管理。

密码分为核⼼密码、普通密码和商⽤密码。

条 核⼼密码、普通密码⽤于保护国家秘密信息核⼼密码保护信息的最⾼密级为绝密级普通密码保护信息的最⾼密级为 机密级。

核⼼密码、普通密码属于国家秘密。密码管理部⻔依照本法和 有关法律、⾏政法规、国家有关规定对核⼼密码、普通密码实⾏格统管理。

第⼋条 商⽤密码⽤于保护属于国家秘密的信息。公⺠、法⼈和其他组织可以依法使⽤商⽤密码保护⽹络信息 安全。

第九条 国家⿎励和⽀持密码科学技术研究和应⽤依法保护密码领域的知识产权促进密码科学技术进步和创新。国家加强密码⼈才培养和队伍建设对在密码⼯作中作出突出 贡献的组织和按照国家有关规定给予表彰和奖励。

第⼗条 国家采取多种形式加强密码安全教育将密码安全教育纳⼊国⺠教育体系和公务员教育培训体系增强公⺠、法⼈和其 他组织的密码安全意识。

第⼗条 县级以⼈⺠政府应当将密码⼯作纳⼊本级国⺠经济和社会发展规划所需经费列⼊本级财政预算。

第⼗⼆条 任何组织或者得窃取他⼈加密保护的信息或者⾮法侵⼊他⼈的密码保障系统。任何组织或者得利⽤密码从事危害国家安全、社会公共利益、他⼈合法权益等违法犯罪活动。

第二章 核⼼密码、普通密码

 

第⼗条 国家加强核⼼密码、普通密码的科学规划、管理和使⽤加强制度建设完善管理措施增强密码安全保障能⼒。

 

第⼗四条 在有线、⽆线通信中传递的国家秘密信息以及存储、处理国家秘密信息的信息系统应当依照法律、⾏政法规和国 家有关规定使⽤核⼼密码、普通密码进⾏加密保护、安全认证。

 

第⼗五条 从事核⼼密码、普通密码科研、⽣产、服务、检测、装备、使⽤和销毁等⼯作的机构统称密码⼯作机构应 当按照法律、⾏政法规、国家有关规定以及核⼼密码、普通密码标 准的要求建⽴健全安全管理制度采取格的保密措施和保密责任制确保核⼼密码、普通密码的安全。

 

第⼗六条 密码管理部⻔依法对密码⼯作机构的核⼼密码、普通密码⼯作进⾏指导、监督和检查密码⼯作机构应当配合。

 

第⼗条 密码管理部⻔根据⼯作需要会同有关部⻔建⽴核⼼密码、普通密码的安全监测预警、安全⻛险评估、信息通报、重⼤ 事项会商和应急处置等协作机制确保核⼼密码、普通密码安全管 理的协同联动和有序⾼效。

 

密码⼯作机构发现核⼼密码、普通密码泄密或者影响核⼼密码、普通密码安全的重⼤问题、⻛险隐患的应当⽴即采取应对措 施并及时向保密⾏政管理部⻔、密码管理部⻔报告由保密⾏政 管理部⻔、密码管理部⻔会同有关部⻔组织开展调查、处置并指 导有关密码⼯作机构及时消除安全隐患。

 

第⼗⼋条 国家加强密码⼯作机构建设保障其履⾏⼯作职责。

 

国家建⽴适应核⼼密码、普通密码⼯作需要的⼈员录⽤、选 调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。

 

第⼗九条 密码管理部⻔因⼯作需要按照国家有关规定可以提请公安、交通运输、海关等部⻔对核⼼密码、普通密码有关物 品和⼈员提供免检等便利有关部⻔应当予以协助。

 

第⼆⼗条 密码管理部⻔和密码⼯作机构应当建⽴健全格的监督和安全审查制度对其⼯作⼈员遵守法律和纪律等情况进⾏监 督并依法采取必要措施定期或者定期组织开展安全审查。

章 商⽤密码

第⼆⼗条 国家⿎励商⽤密码技术的研究开发、学术交流、成果转化和推⼴应⽤健全统、开放、竞争、有序的商⽤密码市 场体系⿎励和促进商⽤密码产发展。

 

各级⼈⺠政府及其有关部⻔应当遵循⾮歧视原则依法平等对 待包括外商投资企在内的商⽤密码科研、⽣产、销售、服务、进 出⼝等单位统称商⽤密码从单位。国家⿎励在外商投资过程中基于⾃愿原则和商规则开展商⽤密码技术合作。⾏政机关 及其⼯作⼈员得利⽤⾏政⼿段强制转让商⽤密码技术。

 

商⽤密码的科研、⽣产、销售、服务和进出⼝,不得损害国家安全、社会公共利益或者他⼈合法权益。

第⼆⼗⼆条 国家建⽴和完善商⽤密码标准体系。

 

国务院标准化⾏政主管部⻔和国家密码管理部⻔依据各⾃职 责组织制定商⽤密码国家标准、⾏标准。

 

国家⽀持社会团体、企利⽤⾃主创新技术制定⾼于国家标 准、⾏标准相关技术要求的商⽤密码团体标准、企标准。

 

第⼆⼗条 国家推动参商⽤密码国际标准化活动制定商⽤密码国际标准推进商⽤密码中国标准国外标准之间的转 化运⽤。

 

国家⿎励企、社会团体和教育、科研机构等参商⽤密码国际标准化活动。

 

第⼆⼗四条 商⽤密码从单位开展商⽤密码活动应当符合有关法律、⾏政法规、商⽤密码强制性国家标准以及该从单位公 开标准的技术要求。

国家⿎励商 ⽤密码从单位采⽤商⽤密码推荐性国家标准、

标准提升商⽤密码的防护能⼒维护⽤户的合法权益。

第⼆⼗五条 国家推进商⽤密码检测认证体系建设制定商⽤密码检测认证技术规范、规则⿎励商⽤密码从单位⾃愿接受商

⽤密码检测认证提升市场竞争⼒。

商⽤密码检测、认证机构应当依法取得相关资质并依照法律、⾏政法规的规定和商⽤密码检测认证技术规范、规则开展商⽤ 密码检测认证。

 

商⽤密码检测、认证机构应当对其在商⽤密码检测认证中所知 悉的国家秘密和商秘密承担保密义务。

 

第⼆⼗六条 涉及国家安全、国计⺠⽣、社会公共利益的商⽤密码产品应当依法列⼊⽹络关键设备和⽹络安全⽤产品⽬录由具备资格的机构检测认证合格后⽅可销售或者提供。商⽤密码 产品检测认证适⽤《中华⼈⺠共和国⽹络安全法》的有关规定避 免重复检测认证。

 

商⽤密码服务使⽤⽹络关键设备和⽹络安全⽤产品的应当经商⽤密码认证机构对该商⽤密码服务认证合格。

 

第⼆⼗条 法律、⾏政法规和国家有关规定要求使⽤商⽤密码进⾏保护的关键信息基础设施其运营者应当使⽤商⽤密码进⾏ 保护⾃⾏或者委托商⽤密码检测机构开展商⽤密码应⽤安全性评

 

估。商⽤密码应⽤安全性评估应当关键信息基础设施安全检测评 估、⽹络安全等级测评制度相衔接避免重复评估、测评。

 

关键信息基础设施的运营者采购涉及商⽤密码的⽹络产品和服 务可能影响国家安全的应当按照《中华⼈⺠共和国⽹络安全法》的规定通过国家⽹信部⻔会同国家密码管理部⻔等有关部⻔ 组织的国家安全审查。

 

第⼆⼗⼋条 国务院商务主管部⻔、国家密码管理部⻔依法对涉及国家安全、社会公共利益具有加密保护功能的商⽤密码实施 进⼝许可对涉及国家安全、社会公共利益或者中国承担国际义务 的商⽤密码实施出⼝管制。商⽤密码进⼝许可清单和出⼝管制清单 由国务院商务主管部⻔会同国家密码管理部⻔和海关总署制定并公 布。

 

⼤众消费类产品所采⽤的商⽤密码实⾏进⼝许可和出⼝管制 制度。

 

第⼆⼗九条 国家密码管理部⻔对采⽤商⽤密码技术从事电⼦政务电⼦认证服务的机构进⾏认定会同有关部⻔负责政务活动中 使⽤电⼦签名、数据电⽂的管理。

 

⼗条 商⽤密码领域的⾏协会等组织依照法律、⾏政法规及其章程的规定为商⽤密码从单位提供信息、技术、培训等 服务引导和督促商⽤密码从单位依法开展商⽤密码活动加强

⾃律推动⾏诚信建设促进⾏健康发展。

条 密码管理部⻔和有关部⻔建⽴⽇常监管和随机抽查相结合的商⽤密码事中事后监管制度建⽴统的商⽤密码监督 管理信息平台推进事中事后监管社会信⽤体系相衔接强化商

⽤密码从单位⾃律和社会监督。

密码管理部⻔和有关部⻔及其⼯作⼈员得要求商⽤密码从单位和商⽤密码检测、认证机构向其披露源代码等密码相关有信

 

并对其在履⾏职责中知悉的商秘密和⼈隐私格保密,不得泄露或者⾮法向他⼈提供。

第四章 法律责任

 

⼗⼆条 违反本法第⼗⼆条规定窃取他⼈加密保护的信息⾮法侵⼊他⼈的密码保障系统或者利⽤密码从事危害国家安 全、社会公共利益、他⼈合法权益等违法活动的由有关部⻔依照

《中华⼈⺠共和国⽹络安全法》和其他有关法律、⾏政法规的规定 追究法律责任。

 

条 违反本法第⼗四条规定未按照要求使⽤核⼼密码、普通密码的由密码管理部⻔责令改正或者停⽌违法⾏为给 予警告情节重的由密码管理部⻔建议有关国家机关、单位对 直接负责的主管⼈员和其他直接责任⼈员依法给予处分或者处理。

 

⼗四条 违反本法规定发⽣核⼼密码、普通密码泄密案件的由保密⾏政管理部⻔、密码管理部⻔建议有关国家机关、单 位对直接负责的主管⼈员和其他直接责任⼈员依法给予处分或者处 理。

 

违反本法第⼗条第⼆款规定发现核⼼密码、普通密码泄密 或者影响核⼼密码、普通密码安全的重⼤问题、⻛险隐患未⽴即 采取应对措施或者未及时报告的由保密⾏政管理部⻔、密码管 理部⻔建议有关国家机关、单位对直接负责的主管⼈员和其他直接 责任⼈员依法给予处分或者处理。

⼗五条 商⽤密码检测、认证机构违反本法第⼆⼗五条第

⼆款、第款规定开展商⽤密码检测认证的由市场监督管理部⻔ 会同密码管理部⻔责令改正或者停⽌违法⾏为给予警告没收违 法所得违法所得元以可以并处违法所得倍以上三倍以罚款没有违法所得或者违法所得元的可以并处⼗元以上三元以罚款情节重的依法吊销相关资 质。

 

⼗六条 违反本法第⼆⼗六条规定销售或者提供未经检测认证或者检测认证合格的商⽤密码产品或者提供未经认证或 者认证合格的商⽤密码服务的由市场监督管理部⻔会同密码管 理部⻔责令改正或者停⽌违法⾏为给予警告没收违法产品和违 法所得违法所得⼗元以可以并处违法所得倍以上三倍以罚款没有违法所得或者违法所得⾜⼗元的可以并处三万元以元以罚款。

 

条 关键信息基础设施的运营者违反本法第⼆⼗条第款规定未按照要求使⽤商⽤密码或者未按照要求开展商⽤ 密码应⽤安全性评估的由密码管理部⻔责令改正给予警告改正或者导致危害⽹络安全等后果的处⼗元以上⼀元以罚款对直接负责的主管⼈员处⼀万元以元以罚款。

 

关键信息基础设施的运营者违反本法第⼆⼗条第⼆款规定使⽤未经安全审查或者安全审查未通过的产品或者服务的由有关 主管部⻔责令停⽌使⽤处采购⾦额倍以⼗倍以罚款对直接负责的主管⼈员和其他直接责任⼈员处⼀万元以元以罚款。

 

⼗⼋条 违反本法第⼆⼗⼋条实施进⼝许可、出⼝管制的规定进出⼝商⽤密码的由国务院商务主管部⻔或者海关依法予 以处罚。

 

⼗九条 违反本法第⼆⼗九条规定未经认定从事电⼦政务电⼦认证服务的由密码管理部⻔责令改正或者停⽌违法⾏为给予警告没收违法产品和违法所得违法所得元以可以并处违法所得倍以上三倍以罚款没有违法所得或者违法所得元的可以并处⼗元以上三元以罚款。

第四⼗条 密码管理部⻔和有关部⻔、单位的⼯作⼈员在密码

⼯作中滥⽤职权、玩忽职守、徇私舞弊或者泄露、⾮法向他⼈提 供在履⾏职责中知悉的商秘密和⼈隐私的依法给予处分。

 

第四⼗条 违反本法规定构成犯罪的依法追究刑事责任给他⼈造成损害的依法承担⺠事责任。

第五章 附 则

第四⼗⼆条 国家密码管理部⻔依照法律、⾏政法规的规定制定密码管理规章。

第四⼗条 中国⼈⺠解放军和中国⼈⺠武装警察部队的密码⼯作管理办法由中央军事委员会根据本法制定。

第四⼗四条 本法⾃202011⽇起施⾏。