商用密码管理条例

商用密码管理条例商用密码是用于保护不属于国家秘密的信息的密码，其管理需平衡安全与发展，既保障网络与信息安全，又促进密码产业创新。我国商用密码管理遵循《中华人民共和国密码法》确立的原则，通过具体制度设计构建全链条管理体系，覆盖研发、生产、销售、服务、使用、进出口等关键环节，旨在维护国家安全、社会公共利益以及公民、法人和其他组织的合法权益。一、管理体制与职责划分国家密码管理部门负责全国商用密码工作的统一管理和指导，制定商用密码政策、规划，组织实施标准体系建设，监督管理检测认证、电子认证服务等关键环节。国务院有关部门在各自职责范围内负责商用密码相关管理工作，如工业和信息化部门参与产业政策制定，市场监管部门协同管理检测认证机构资质。县级以上地方各级密码管理部门在上级密码管理部门指导下，负责本行政区域内的商用密码管理工作，重点落实日常监督、风险排查和宣传培训。各部门间建立协同机制，通过信息共享、联合执法等方式形成管理合力。例如，在关键信息基础设施商用密码应用监督中，密码管理部门与行业主管部门联动，共同推动密码应用安全性评估；在进出口管理中，密码管理部门与商务、海关等部门协作，落实商用密码进口许可和出口管制制度。二、分类管理与关键环节规范商用密码实行分类管理，根据应用场景和重要程度，分为一般商用密码、关键商用密码和核心商用密码。一般商用密码主要用于普通信息系统和消费类电子设备，管理以标准引导为主；关键商用密码用于关键信息基础设施、重要信息系统等，实行严格的检测认证和使用备案；核心商用密码涉及极端重要领域，需通过国家密码管理部门的特别审查。研发与生产环节要求商用密码产品和服务需符合相关国家标准、行业标准。鼓励企业、科研机构加大研发投入，开展密码算法、协议、芯片等核心技术攻关，但禁止研发、生产、销售、服务、使用不符合国家标准、行业标准的商用密码产品和服务。生产单位需建立质量控制体系，确保产品性能稳定，涉及国家安全的研发活动需履行备案义务。销售与服务环节实行目录管理。国家密码管理部门会同有关部门制定并公布商用密码产品和服务目录，明确需检测认证的范围。销售商用密码产品需提供检测认证证明，服务提供者需具备相应资质，如从事电子认证服务的需取得电子认证服务使用密码许可证。服务过程中需遵守保密义务，不得泄露用户信息或滥用密码技术。使用环节强调关键信息基础设施的运营者应当使用经检测认证合格的商用密码产品，或者使用符合国家标准、行业标准的商用密码服务，并定期开展密码应用安全性评估，评估结果报所在地密码管理部门备案。对于非关键信息基础设施，鼓励使用商用密码保护重要信息，提升整体安全水平。三、标准化与检测认证体系商用密码标准化是规范产业发展、保障互操作性的基础。国家建立商用密码标准体系，包括基础类标准（如密码算法、协议）、应用类标准（如电子认证、数据加密）和管理类标准（如检测认证流程）。国家标准由国务院标准化行政主管部门会同国家密码管理部门制定，行业标准由国家密码管理部门制定，鼓励企业、行业组织制定高于国家标准、行业标准的团体标准和企业标准。检测认证是确保商用密码产品和服务符合标准的关键手段。国家密码管理部门认定商用密码检测机构和认证机构，明确其资质条件和技术能力要求。检测机构需对产品的安全性、功能性进行测试，出具客观公正的检测报告；认证机构依据检测报告和标准要求，对符合条件的产品和服务颁发认证证书。检测认证活动遵循“自愿+强制”原则：关键信息基础设施使用的商用密码产品和服务实行强制检测认证；其他领域由用户自主选择，但鼓励通过认证提升信任度。电子认证服务作为商用密码的重要应用场景，实行行政许可制度。从事电子认证服务需向国家密码管理部门申请电子认证服务使用密码许可证，取得许可后需遵守运营规范，包括使用经检测认证的密码产品、建立安全管理体系、保存认证记录至少五年等。电子认证服务提供者需对其签发的数字证书的真实性负责，不得泄露用户信息，发生安全事件需立即报告并采取补救措施。四、应用促进与安全保障国家通过政策引导、资金支持、人才培养等方式促进商用密码应用。鼓励企业参与密码技术创新，对符合条件的研发项目给予税收优惠和资金补贴；支持高校、科研机构开设密码专业，培养复合型人才；推动商用密码在政务、金融、能源、交通等领域的深度应用，如电子政务电子认证、移动支付加密、工业控制系统防护等。安全审查是防范商用密码领域安全风险的重要手段。对影响或者可能影响国家安全的商用密码活动，如关键信息基础设施采购涉及商用密码的产品和服务、外商投资商用密码领域等，国家密码管理部门会同有关部门进行安全审查，重点评估密码算法安全性、产品可控性、数据流向等因素。审查未通过的，不得投入使用或实施。监督检查是确保制度落实的关键。密码管理部门依法对商用密码活动进行监督检查，检查内容包括产品和服务是否符合标准、检测认证是否规范、使用单位是否履行评估义务等。检查方式包括现场检查、书面核查、抽样检测等，发现问题可采取责令整改、暂停销售、撤销认证等措施。被检查单位需配合提供相关资料，不得拒绝、阻碍检查。五、法律责任与权益保护违反商用密码管理规定的行为将承担相应法律责任。未取得检测认证资质从事检测认证活动的，由密码管理部门责令停止违法行为，没收违法所得，并处罚款；检测认证机构出具虚假报告的，撤销资质，没收违法所得，情节严重的追究刑事责任。电子认证服务提供者未履行安全义务导致用户损失的，需依法承担赔偿责任；泄露用户信息的，依照《个人信息保护法》等规定处罚。关键信息基础设施运营者未按要求使用商用密码或未开展评估的，由密码管理部门责令改正，给予警告；拒不改正或造成严重后果的，处罚款，并对直接负责的主管人员和其他直接责任人员处个人罚款。从事商用密码进出口未取得许可的，由海关依照有关法律、行政法规的规定处理。同时，条例注重保护市场主体合法权益。明确密码管理部门实施监督检查不得妨碍企业正常经营，不得索取或收受财物，不得泄露商业秘密。企业对行政处罚不服的，可依法申请行政复议或提起行政诉讼，保障救