商用密碼應(yīng)用安全性評(píng)估正式由“推薦性”轉(zhuǎn)為“強(qiáng)制性”
編輯:2023-05-26 15:18:03
黨中央、國(guó)務(wù)院高度重視商用密碼工作。近年來,生成式人工智能、數(shù)據(jù)交易、數(shù)據(jù)全生命周期安全管理等業(yè)務(wù)場(chǎng)景的快速發(fā)展,關(guān)鍵信息基礎(chǔ)設(shè)施安全重要性突顯,復(fù)雜的應(yīng)用場(chǎng)景和嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)對(duì)商用密碼提出了更高的保障需求。隨著商用密碼在網(wǎng)絡(luò)與信息系統(tǒng)中廣泛應(yīng)用,其維護(hù)國(guó)家主權(quán)、安全和發(fā)展利益的作用越來越凸顯。
黨的十八大以來,黨中央、國(guó)務(wù)院對(duì)商用密碼創(chuàng)新發(fā)展和行政審批制度改革提出了一系列要求,2020年施行的密碼法對(duì)商用密碼管理制度進(jìn)行了結(jié)構(gòu)性重塑。為了貫徹落實(shí)行政審批制度改革精神,細(xì)化密碼法相關(guān)制度,對(duì)1999年公布的《條例》進(jìn)行了全面修訂。有網(wǎng)絡(luò)安全從業(yè)者表示,商用密碼市場(chǎng)規(guī)模近年來快速增長(zhǎng),在多個(gè)領(lǐng)域成為行業(yè)“剛需”,本次公布修訂的《條例》將進(jìn)一步推動(dòng)商業(yè)密碼在數(shù)字化進(jìn)程中的推廣速度,促進(jìn)行業(yè)加快技術(shù)與產(chǎn)品創(chuàng)新。修訂后的《條例》,重點(diǎn)規(guī)定了以下內(nèi)容。
一是完善商用密碼管理體制。《條例》規(guī)定縣級(jí)以上密碼管理部門負(fù)責(zé)管理相應(yīng)行政區(qū)域的商用密碼工作;網(wǎng)信、商務(wù)、海關(guān)、市場(chǎng)監(jiān)督管理等有關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)商用密碼有關(guān)管理工作;明確密碼管理部門和有關(guān)部門開展商用密碼監(jiān)管的職權(quán)、協(xié)作配合、保密義務(wù)以及信用監(jiān)管、舉報(bào)等制度機(jī)制。
二是促進(jìn)商用密碼科技創(chuàng)新與標(biāo)準(zhǔn)化建設(shè)。《條例》規(guī)定建立健全商用密碼科技創(chuàng)新促進(jìn)機(jī)制,保護(hù)商用密碼領(lǐng)域的知識(shí)產(chǎn)權(quán),鼓勵(lì)支持商用密碼科技成果轉(zhuǎn)化和產(chǎn)業(yè)化應(yīng)用。優(yōu)化現(xiàn)行商用密碼科研成果審查鑒定審批的適用范圍。明確商用密碼標(biāo)準(zhǔn)的制定、實(shí)施及監(jiān)督檢查。
三是健全商用密碼檢測(cè)認(rèn)證體系。《條例》明確推進(jìn)商用密碼檢測(cè)認(rèn)證體系建設(shè),鼓勵(lì)在商用密碼活動(dòng)中自愿接受商用密碼檢測(cè)認(rèn)證。明確商用密碼檢測(cè)、認(rèn)證機(jī)構(gòu)資質(zhì)審批條件、程序及從業(yè)規(guī)范。明確涉及國(guó)家安全、國(guó)計(jì)民生、社會(huì)公共利益的商用密碼產(chǎn)品與使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的商用密碼服務(wù)應(yīng)當(dāng)檢測(cè)認(rèn)證合格。
四是加強(qiáng)電子認(rèn)證服務(wù)使用密碼和電子政務(wù)電子認(rèn)證服務(wù)活動(dòng)管理。《條例》明確電子認(rèn)證服務(wù)使用密碼要求和使用規(guī)范。明確電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)資質(zhì)審批條件、程序及從業(yè)規(guī)范。明確建立電子認(rèn)證信任機(jī)制,推動(dòng)電子認(rèn)證服務(wù)互信互認(rèn)。
五是規(guī)范商用密碼進(jìn)出口管理。《條例》根據(jù)密碼法關(guān)于商用密碼進(jìn)出口的規(guī)定和國(guó)家出口管制、兩用物項(xiàng)進(jìn)出口管理制度,明確商用密碼進(jìn)口許可和出口管制實(shí)行清單管理,并規(guī)定了審批程序。
2023年4月14日,國(guó)務(wù)院常務(wù)會(huì)議審議通過《商用密碼管理?xiàng)l例(修訂草案)》。本次修訂的《商用密碼管理?xiàng)l例》予以回應(yīng),進(jìn)行了較大幅度的修改,凸顯促進(jìn)商用密碼應(yīng)用與保障安全相統(tǒng)一的價(jià)值導(dǎo)向,其中對(duì)商用密碼的管理、認(rèn)證和檢測(cè)等方面都進(jìn)行了較為具體的規(guī)定,更加突出了促進(jìn)商用密碼發(fā)展的立法原意。
政策核心亮點(diǎn):擴(kuò)大密評(píng)范圍,變“推薦性”為“強(qiáng)制化”,推進(jìn)商用密碼應(yīng)用安全性評(píng)估?!稐l例》(征求意見稿)對(duì)于網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)以上網(wǎng)絡(luò),要求運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行護(hù)。但是由于等保 2.0 國(guó)家標(biāo)準(zhǔn)僅為推薦性標(biāo)準(zhǔn),并不具備強(qiáng)制力,因此若《條例》(征求意見稿)生效,將會(huì)將網(wǎng)絡(luò)安全等級(jí)保護(hù)的推薦性的要求上升為具有強(qiáng)制力的國(guó)家規(guī)范。
此外,《條例》(征求意見稿)也將密評(píng)的范圍予以擴(kuò)展,《密碼法》僅規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行密評(píng)。而在《條例》(征求意見稿)中,非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施、等級(jí)保護(hù)第三級(jí)以上網(wǎng)絡(luò)、國(guó)家政務(wù)信息系統(tǒng)等網(wǎng)絡(luò)與信息系統(tǒng)都被要求進(jìn)行密評(píng)。密評(píng)有望在政策的帶動(dòng)下,在推進(jìn)速度和落地廣度上實(shí)現(xiàn)雙拓展。
商用密碼作為 AI、數(shù)據(jù)要素和數(shù)據(jù)安全的三重基礎(chǔ) 空間廣闊
對(duì)于生成式AI而言,商用密碼一方面有望用于對(duì)輸入模型的數(shù)據(jù)本身進(jìn)行加密脫敏等防護(hù)工作,甚至未來結(jié)合隱私計(jì)算等技術(shù)實(shí)現(xiàn)AI模型訓(xùn)練的數(shù)據(jù)可用不可見。另一方面,針對(duì)模型輸出的生成式文字、圖片和視頻,密碼技術(shù)也有望賦能,實(shí)現(xiàn)內(nèi)容的唯一性、完整性和不可抵賴性的認(rèn)證。
對(duì)于數(shù)據(jù)要素和數(shù)據(jù)交易而言,商用密碼同樣有望通過隱私計(jì)算等技術(shù)實(shí)現(xiàn)數(shù)據(jù)交易過程中的可用不可見。另一方面,針對(duì)企業(yè)和政府的數(shù)據(jù)資產(chǎn),商用密碼也有望實(shí)現(xiàn)資產(chǎn)本身的唯一性、完整性和不可抵賴,從而在資產(chǎn)的確權(quán)等方面有所助力。
對(duì)于數(shù)據(jù)安全而言,商用密碼是主動(dòng)性的數(shù)據(jù)安全防護(hù)技術(shù),也是數(shù)據(jù)安全的基礎(chǔ)技術(shù)。數(shù)據(jù)庫(kù)脫敏、數(shù)據(jù)防泄漏、網(wǎng)絡(luò)通信加密等有望成為數(shù)據(jù)安全率先落地的產(chǎn)品和應(yīng)用,而此次《商用密碼管理?xiàng)l例(修訂草案)》進(jìn)一步明確了密評(píng)作為等保的前置條件,將推動(dòng)密碼在數(shù)據(jù)安全中起到更重要的作用。
密碼安全行業(yè)的主要產(chǎn)品構(gòu)成
按產(chǎn)品形態(tài)分共六類,包括:密碼軟件類、密碼芯片類、密碼模塊累、密碼板卡類、密碼整機(jī)類及密碼系統(tǒng)類。
密碼軟件類:指以純軟件形態(tài)出現(xiàn)的產(chǎn)品,主要包含信息加密軟件、密碼算法實(shí)現(xiàn)軟件等產(chǎn)品;
密碼芯片類:指以集成電路芯片形態(tài)出現(xiàn)的密碼產(chǎn)品,主要包含密碼算法芯片、密碼SOC芯片等產(chǎn)品;
密碼模塊類:指以多芯片組裝的背板形態(tài)出現(xiàn),具備專用密碼功能,但本身不能完成完整的密碼功能的產(chǎn)品,主要包含加解密模塊、安全控制模塊等產(chǎn)品;
密碼板卡類:指以板卡形態(tài)出現(xiàn),具備完整密碼功能的產(chǎn)品,主要包含USB 密碼鑰匙、PCI 密碼卡等產(chǎn)品;
密碼整機(jī)類:指以整機(jī)形態(tài)出現(xiàn),具備完整密碼功能的產(chǎn)品,主要包含VPN、網(wǎng)絡(luò)密碼機(jī)、服務(wù)器密碼機(jī)、簽名驗(yàn)簽服務(wù)器等產(chǎn)品;
密碼系統(tǒng)類:指以密碼形態(tài)出現(xiàn),有密碼功能支撐的產(chǎn)品,主要包含安全認(rèn)證系統(tǒng)、密鑰管理系統(tǒng)等產(chǎn)品。
密碼安全應(yīng)用場(chǎng)景:
密碼安全技術(shù)已廣泛應(yīng)用于社會(huì)生活中的各個(gè)重大領(lǐng)域,包括黨政、金融、電力、航空航天,為維護(hù)國(guó)家安全、促進(jìn)經(jīng)濟(jì)發(fā)展、保護(hù)人民群眾利益作出了重要貢獻(xiàn)。密碼安全技術(shù)一共有七大應(yīng)用場(chǎng)景分別為:物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、智慧城市、區(qū)塊鏈、5G安全、云計(jì)算。
密碼安全行業(yè)市場(chǎng)規(guī)模:
全球市場(chǎng):據(jù)IDC數(shù)據(jù),2020年全球IT安全產(chǎn)業(yè)規(guī)模達(dá)到1348.60億美元。受疫情影響,全球網(wǎng)絡(luò)安全市場(chǎng)增速回落,2021年市場(chǎng)規(guī)模為1483.31億美元,同比增長(zhǎng)9.84%,預(yù)計(jì)2022年將達(dá)到1675.81億美元,同比增長(zhǎng)13.13%。Canalys預(yù)測(cè),2023年全球網(wǎng)絡(luò)安全支出達(dá)到2238億美元,同比增長(zhǎng)33.55%。
全球范圍內(nèi),商用密碼市場(chǎng)主要集中在北美、西歐以及亞太三大地區(qū)。全球商用密碼市場(chǎng)規(guī)模處于增長(zhǎng)態(tài)勢(shì),據(jù)賽迪統(tǒng)計(jì)數(shù)據(jù),2021年全球商用密碼產(chǎn)業(yè)規(guī)模為375.7億美元,實(shí)現(xiàn)年增速22.18%,預(yù)計(jì)2027年將達(dá)到1026.4億美元,期間CAGR達(dá)18.23%。隨著新興經(jīng)濟(jì)體崛起,亞太將成為預(yù)期內(nèi)全球增長(zhǎng)最快的地區(qū)。
中國(guó)市場(chǎng):
據(jù)IDC,2020年我國(guó)IT安全產(chǎn)業(yè)規(guī)模達(dá)到82.62億美元(約570.66億元),2022年預(yù)計(jì)為115.41億美元(約797.12億元),同比增長(zhǎng)18.05%;2023年預(yù)計(jì)達(dá)136.26億美元(約941.16億元),同比增長(zhǎng)18.07%。
密碼作為網(wǎng)絡(luò)信任體系的重要基石,涵蓋數(shù)據(jù)加密、身份認(rèn)證、消息認(rèn)證三大場(chǎng)景。伴隨我國(guó)網(wǎng)安建設(shè)由“合規(guī)驅(qū)動(dòng)”向“事件驅(qū)動(dòng)”轉(zhuǎn)型,密碼技術(shù)重要性有望凸顯,據(jù)賽迪研究院預(yù)測(cè),2022年我國(guó)商用密碼市場(chǎng)規(guī)模有望達(dá)到707.64億元,同比增長(zhǎng)36.14%,2023年有望達(dá)985.85億元,同比增長(zhǎng)39.32%。
密碼安全行業(yè)競(jìng)爭(zhēng)格局:
全球區(qū)域來看,以美國(guó)為主導(dǎo)的北美市場(chǎng)仍然占據(jù)全球最大的市場(chǎng)份額。在排名前10的網(wǎng)絡(luò)安全公司中,美國(guó)公司占據(jù)了7個(gè)席位,表現(xiàn)出強(qiáng)大的國(guó)際競(jìng)爭(zhēng)力。以中國(guó)、日本和印度為代表的亞太地區(qū),受益于近期國(guó)家安全戰(zhàn)略的發(fā)布以及日益增長(zhǎng)的信息安全需求,市場(chǎng)也呈現(xiàn)出高速發(fā)展的態(tài)勢(shì)。
我國(guó)密碼早先以國(guó)家政府部門使用為主,近年來,隨著網(wǎng)絡(luò)空間安全意識(shí)增強(qiáng),我國(guó)逐步向商用領(lǐng)域拓展,目前,我國(guó)主要廠商已在國(guó)際舞臺(tái)嶄露頭角。
根據(jù)MarketResearchIntellect統(tǒng)計(jì),2020年全球密碼硬件安全市場(chǎng)排名前九的公司為:Gemalto、Yubico、AtosSE、THALES、UltraElectronics、衛(wèi)士通(002268)、江南天安、Ultimaco、三未信安(688489)。
據(jù)數(shù)觀天下發(fā)布的《2021-2022商用密碼行業(yè)分析報(bào)告》統(tǒng)計(jì),國(guó)產(chǎn)商用密碼廠商數(shù)量眾多,商用密碼技術(shù)推陳出新,密碼從業(yè)單位數(shù)量和規(guī)模不斷增加。2020年,《商用密碼產(chǎn)品認(rèn)證目錄》頒布后,全國(guó)擁有認(rèn)證商密產(chǎn)品的企業(yè)共551家;營(yíng)收體量相對(duì)較小,行業(yè)集中度CR5為25%,CR9為40.4%,市場(chǎng)競(jìng)爭(zhēng)格局相對(duì)分散。
以身份與數(shù)字信任軟件細(xì)分市場(chǎng)為例,據(jù)IDC發(fā)布的《2022年上半年中國(guó)IT安全軟件市場(chǎng)跟蹤報(bào)告》,2022年上半年身份與數(shù)字信任軟件市場(chǎng)份額前五名分別為亞信安全(688225)、數(shù)字認(rèn)證(300579)、吉大正元(003029)、格爾軟件(603232)、信安世紀(jì)(688201),市場(chǎng)占有率分別為8.0%、6.6%、6.3%、6.0%、3.8%,合計(jì)市占率僅為30.7%。
國(guó)產(chǎn)替代逐步推進(jìn) 對(duì)國(guó)外供應(yīng)商依賴降低
密碼安全產(chǎn)業(yè)上游以國(guó)產(chǎn)玩家為主。受我國(guó)密碼政策的影響,對(duì)行業(yè)上游企業(yè)實(shí)施市場(chǎng)準(zhǔn)入制度,上游企業(yè)均為內(nèi)資企業(yè),數(shù)量眾多。國(guó)產(chǎn)替代穩(wěn)步進(jìn)行,逐漸擁有元器件供應(yīng)自主權(quán)。隨著國(guó)產(chǎn)自主可替代計(jì)劃的推進(jìn),電子元器件、集成電路、安全芯片趨于國(guó)產(chǎn)化,對(duì)國(guó)外提供商的依賴有所降低。
但與此同時(shí),我國(guó)芯片這一核心產(chǎn)業(yè)仍未打破國(guó)際壟斷局面;國(guó)產(chǎn)操作系統(tǒng)暫能滿足基本辦公需求,與多場(chǎng)景多樣化應(yīng)用的結(jié)合能力還有待提升;產(chǎn)業(yè)鏈整體創(chuàng)新能力不足、產(chǎn)品品類和供給質(zhì)量難以適應(yīng)需求變化,密碼應(yīng)用隨時(shí)面臨“卡脖子危險(xiǎn)”。
隨著我國(guó)密碼安全產(chǎn)品建設(shè)逐步完善,我國(guó)主要廠商也開始進(jìn)入國(guó)際舞臺(tái),開始展露風(fēng)采。電科網(wǎng)安(002268)、三未信安(688489)、數(shù)字認(rèn)證(300579)、信安世紀(jì)(688201)、飛天誠(chéng)信(300386)等公司開始進(jìn)入國(guó)際主流供應(yīng)商名單。
近年來,全球商用密碼市場(chǎng)呈現(xiàn)高速增長(zhǎng)態(tài)勢(shì)。據(jù)統(tǒng)計(jì), 2021年全球商用密碼產(chǎn)業(yè)規(guī)模為375.7億美元,實(shí)現(xiàn)年增速22.18%,預(yù)計(jì)2027年將達(dá)到1026.4億美元。隨著新興經(jīng)濟(jì)體崛起,亞太將成為預(yù)期內(nèi)全球增長(zhǎng)最快的地區(qū)。
市場(chǎng)高速增長(zhǎng)的主要原因在于新興數(shù)字化場(chǎng)景對(duì)于商用密碼安全保障能力需求的擴(kuò)張。西南證券研報(bào)顯示,在5G、工業(yè)互聯(lián)網(wǎng)、數(shù)據(jù)中心等關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的安全保障顯得尤為重要,密碼的應(yīng)用將成為“剛需”,促進(jìn)商用密碼與新一代信息網(wǎng)絡(luò)、量子信息、人工智能、物聯(lián)網(wǎng)、先進(jìn)制造、工業(yè)控制、區(qū)塊鏈、智能網(wǎng)聯(lián)汽車、數(shù)字貨幣等融合創(chuàng)新。
以近期頗受關(guān)注的生成式AI為例,通過商用密碼對(duì)AI輸入模型數(shù)據(jù)進(jìn)行針對(duì)性加密及脫敏,對(duì)模型訓(xùn)練的過程數(shù)據(jù)、模型輸出的生成式文件、圖片等數(shù)據(jù)進(jìn)行內(nèi)容加密、完整性保護(hù)。
在數(shù)據(jù)交易、數(shù)據(jù)全生命周期安全管理等業(yè)務(wù)場(chǎng)景,商用密碼亦具有廣闊的應(yīng)用空間。例如,在數(shù)據(jù)采集中進(jìn)行真實(shí)性認(rèn)證,在數(shù)據(jù)存儲(chǔ)中保證敏感重要數(shù)據(jù)加密存儲(chǔ),在數(shù)據(jù)處理中保證數(shù)據(jù)認(rèn)證與訪問控制及數(shù)據(jù)使用行為不可抵賴。數(shù)據(jù)交易方面,通過隱私計(jì)算、區(qū)塊鏈等技術(shù),可以實(shí)現(xiàn)數(shù)據(jù)交易過程可用不可見、交易行為不可抵賴,達(dá)成數(shù)據(jù)資產(chǎn)的確權(quán),促進(jìn)數(shù)據(jù)要素安全流通。
“(修訂草案的推出)為促進(jìn)數(shù)字經(jīng)濟(jì)快速發(fā)展,建立健全商用密碼科技創(chuàng)新促進(jìn)機(jī)制,推動(dòng)商用密碼科技成果轉(zhuǎn)化和產(chǎn)業(yè)化應(yīng)用,促進(jìn)商用密碼市場(chǎng)持續(xù)健康發(fā)展。”國(guó)聯(lián)證券在研報(bào)中指出。
隨著《密碼法》《商用密碼管理?xiàng)l例(修訂草案)》《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》等法律法規(guī)及標(biāo)準(zhǔn)規(guī)范的發(fā)布,密碼使用由行政推進(jìn)向依法規(guī)范應(yīng)用轉(zhuǎn)變,強(qiáng)化了密碼應(yīng)用建設(shè)要求,進(jìn)一步推動(dòng)商用密碼應(yīng)用快速發(fā)展。政策合規(guī)及安全業(yè)務(wù)雙驅(qū)動(dòng)對(duì)密碼需求不斷增長(zhǎng),尤其信創(chuàng)產(chǎn)業(yè)、數(shù)字經(jīng)濟(jì)大發(fā)展帶來千億規(guī)模商用密碼市場(chǎng)。
云密碼服務(wù)能夠?yàn)楦黝悩I(yè)務(wù)系統(tǒng)提供質(zhì)量相同的密碼保護(hù),是解決業(yè)務(wù)系統(tǒng)不斷云化、復(fù)雜化的必然技術(shù)路線,適配零散的本地密碼服務(wù)難以支撐云上業(yè)務(wù)系統(tǒng)的新場(chǎng)景和新業(yè)態(tài)。業(yè)務(wù)系統(tǒng)需要密碼服務(wù)“貼身”保護(hù),但業(yè)務(wù)系統(tǒng)云化趨勢(shì)導(dǎo)致本地密碼服務(wù)與云上業(yè)務(wù)被切割,云密碼服務(wù)建設(shè)迫在眉睫性,其必要性和必然性分析如下:
業(yè)務(wù)系統(tǒng)云化是當(dāng)前趨勢(shì)
密碼服務(wù)上云需要改變產(chǎn)品形態(tài)
云密碼服務(wù)管理系統(tǒng)需要滿足合規(guī)性要求
云密碼服務(wù)建設(shè)痛點(diǎn)與用戶難點(diǎn)
云密碼服務(wù)管理系統(tǒng)自身在建設(shè)時(shí),為了達(dá)到“集中、集成、集約”的效果,導(dǎo)致需要打通不同形態(tài)不同功能的商用密碼產(chǎn)品之間的互聯(lián)互通以提供完備的密碼服務(wù)全集,進(jìn)而導(dǎo)致建設(shè)初期設(shè)備采購(gòu)的成本的增加,以及由于多種商用密碼產(chǎn)品之間的擴(kuò)展性和兼容性差異導(dǎo)致的改造成本增加,將成為主要的難點(diǎn)問題。
密碼設(shè)備采購(gòu)?fù)度氤杀敬螅?/span>用戶訪問量大、業(yè)務(wù)使用量大、密碼服務(wù)功能的復(fù)雜性高等原因,直接導(dǎo)致整體采購(gòu)難度大、費(fèi)用高
云密碼服務(wù)管理系統(tǒng)的改造成本高:云密碼服務(wù)管理系統(tǒng)不是對(duì)各類合規(guī)的商用密碼設(shè)備的簡(jiǎn)單堆疊,需要能夠?qū)ζ鋸陌踩托阅軆煞矫嫱ūP考慮整個(gè)系統(tǒng)的運(yùn)行和優(yōu)化機(jī)制。
云密碼服務(wù)難以“貼身”的問題:密碼服務(wù)與業(yè)務(wù)系統(tǒng)上云的異步性差異,使得在云密碼服務(wù)管理系統(tǒng)建立完成提供密碼服務(wù)時(shí),業(yè)務(wù)系統(tǒng)存在未上云、全部上云和部分上云三種可能。
相關(guān)上市公司:
專注于密碼行業(yè)的廠商:三未信安(688489)、信安世紀(jì)(688201)、格爾軟件(603232)、吉大正元(003029)、數(shù)字認(rèn)證(300579)、電科網(wǎng)安(002268);
遠(yuǎn)期有望帶動(dòng)整個(gè)數(shù)據(jù)安全行業(yè)的景氣度上行:?jiǎn)⒚餍浅剑?02439)、奇安信(688561)、安恒信息(688023)、深信服(300454)、美亞柏科(300188)、迪普科技(300768)、安博通(688168)、永信至誠(chéng)(688244)、天融信(002212)等。
附:修訂版《商用密碼管理?xiàng)l例》
中華人民共和國(guó)國(guó)務(wù)院令
第760號(hào)
《商用密碼管理?xiàng)l例》已經(jīng)2023年4月14日國(guó)務(wù)院第4次常務(wù)會(huì)議修訂通過,現(xiàn)予公布,自2023年7月1日起施行。
總理 李強(qiáng)
2023年4月27日
商用密碼管理?xiàng)l例
(1999年10月7日中華人民共和國(guó)國(guó)務(wù)院令第273號(hào)發(fā)布 2023年4月27日中華人民共和國(guó)國(guó)務(wù)院令第760號(hào)修訂)
第一章 總 則
第一條 為了規(guī)范商用密碼應(yīng)用和管理,鼓勵(lì)和促進(jìn)商用密碼產(chǎn)業(yè)發(fā)展,保障網(wǎng)絡(luò)與信息安全,維護(hù)國(guó)家安全和社會(huì)公共利益,保護(hù)公民、法人和其他組織的合法權(quán)益,根據(jù)《中華人民共和國(guó)密碼法》等法律,制定本條例。
第二條 在中華人民共和國(guó)境內(nèi)的商用密碼科研、生產(chǎn)、銷售、服務(wù)、檢測(cè)、認(rèn)證、進(jìn)出口、應(yīng)用等活動(dòng)及監(jiān)督管理,適用本條例。
本條例所稱商用密碼,是指采用特定變換的方法對(duì)不屬于國(guó)家秘密的信息等進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù)。
第三條 堅(jiān)持中國(guó)共產(chǎn)黨對(duì)商用密碼工作的領(lǐng)導(dǎo),貫徹落實(shí)總體國(guó)家安全觀。國(guó)家密碼管理部門負(fù)責(zé)管理全國(guó)的商用密碼工作。縣級(jí)以上地方各級(jí)密碼管理部門負(fù)責(zé)管理本行政區(qū)域的商用密碼工作。
網(wǎng)信、商務(wù)、海關(guān)、市場(chǎng)監(jiān)督管理等有關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)商用密碼有關(guān)管理工作。
第四條 國(guó)家加強(qiáng)商用密碼人才培養(yǎng),建立健全商用密碼人才發(fā)展體制機(jī)制和人才評(píng)價(jià)制度,鼓勵(lì)和支持密碼相關(guān)學(xué)科和專業(yè)建設(shè),規(guī)范商用密碼社會(huì)化培訓(xùn),促進(jìn)商用密碼人才交流。
第五條 各級(jí)人民政府及其有關(guān)部門應(yīng)當(dāng)采取多種形式加強(qiáng)商用密碼宣傳教育,增強(qiáng)公民、法人和其他組織的密碼安全意識(shí)。
第六條 商用密碼領(lǐng)域的學(xué)會(huì)、行業(yè)協(xié)會(huì)等社會(huì)組織依照法律、行政法規(guī)及其章程的規(guī)定,開展學(xué)術(shù)交流、政策研究、公共服務(wù)等活動(dòng),加強(qiáng)學(xué)術(shù)和行業(yè)自律,推動(dòng)誠(chéng)信建設(shè),促進(jìn)行業(yè)健康發(fā)展。
密碼管理部門應(yīng)當(dāng)加強(qiáng)對(duì)商用密碼領(lǐng)域社會(huì)組織的指導(dǎo)和支持。
第二章 科技創(chuàng)新與標(biāo)準(zhǔn)化
第七條 國(guó)家建立健全商用密碼科學(xué)技術(shù)創(chuàng)新促進(jìn)機(jī)制,支持商用密碼科學(xué)技術(shù)自主創(chuàng)新,對(duì)作出突出貢獻(xiàn)的組織和個(gè)人按照國(guó)家有關(guān)規(guī)定予以表彰和獎(jiǎng)勵(lì)。
國(guó)家依法保護(hù)商用密碼領(lǐng)域的知識(shí)產(chǎn)權(quán)。從事商用密碼活動(dòng),應(yīng)當(dāng)增強(qiáng)知識(shí)產(chǎn)權(quán)意識(shí),提高運(yùn)用、保護(hù)和管理知識(shí)產(chǎn)權(quán)的能力。
國(guó)家鼓勵(lì)在外商投資過程中基于自愿原則和商業(yè)規(guī)則開展商用密碼技術(shù)合作。行政機(jī)關(guān)及其工作人員不得利用行政手段強(qiáng)制轉(zhuǎn)讓商用密碼技術(shù)。
第八條 國(guó)家鼓勵(lì)和支持商用密碼科學(xué)技術(shù)成果轉(zhuǎn)化和產(chǎn)業(yè)化應(yīng)用,建立和完善商用密碼科學(xué)技術(shù)成果信息匯交、發(fā)布和應(yīng)用情況反饋機(jī)制。
第九條 國(guó)家密碼管理部門組織對(duì)法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)所使用的密碼算法、密碼協(xié)議、密鑰管理機(jī)制等商用密碼技術(shù)進(jìn)行審查鑒定。
第十條 國(guó)務(wù)院標(biāo)準(zhǔn)化行政主管部門和國(guó)家密碼管理部門依據(jù)各自職責(zé),組織制定商用密碼國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn),對(duì)商用密碼團(tuán)體標(biāo)準(zhǔn)的制定進(jìn)行規(guī)范、引導(dǎo)和監(jiān)督。國(guó)家密碼管理部門依據(jù)職責(zé),建立商用密碼標(biāo)準(zhǔn)實(shí)施信息反饋和評(píng)估機(jī)制,對(duì)商用密碼標(biāo)準(zhǔn)實(shí)施進(jìn)行監(jiān)督檢查。
國(guó)家推動(dòng)參與商用密碼國(guó)際標(biāo)準(zhǔn)化活動(dòng),參與制定商用密碼國(guó)際標(biāo)準(zhǔn),推進(jìn)商用密碼中國(guó)標(biāo)準(zhǔn)與國(guó)外標(biāo)準(zhǔn)之間的轉(zhuǎn)化運(yùn)用,鼓勵(lì)企業(yè)、社會(huì)團(tuán)體和教育、科研機(jī)構(gòu)等參與商用密碼國(guó)際標(biāo)準(zhǔn)化活動(dòng)。
其他領(lǐng)域的標(biāo)準(zhǔn)涉及商用密碼的,應(yīng)當(dāng)與商用密碼國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)保持協(xié)調(diào)。
第十一條 從事商用密碼活動(dòng),應(yīng)當(dāng)符合有關(guān)法律、行政法規(guī)、商用密碼強(qiáng)制性國(guó)家標(biāo)準(zhǔn),以及自我聲明公開標(biāo)準(zhǔn)的技術(shù)要求。
國(guó)家鼓勵(lì)在商用密碼活動(dòng)中采用商用密碼推薦性國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn),提升商用密碼的防護(hù)能力,維護(hù)用戶的合法權(quán)益。
第三章 檢測(cè)認(rèn)證
第十二條 國(guó)家推進(jìn)商用密碼檢測(cè)認(rèn)證體系建設(shè),鼓勵(lì)在商用密碼活動(dòng)中自愿接受商用密碼檢測(cè)認(rèn)證。
第十三條 從事商用密碼產(chǎn)品檢測(cè)、網(wǎng)絡(luò)與信息系統(tǒng)商用密碼應(yīng)用安全性評(píng)估等商用密碼檢測(cè)活動(dòng),向社會(huì)出具具有證明作用的數(shù)據(jù)、結(jié)果的機(jī)構(gòu),應(yīng)當(dāng)經(jīng)國(guó)家密碼管理部門認(rèn)定,依法取得商用密碼檢測(cè)機(jī)構(gòu)資質(zhì)。
第十四條 取得商用密碼檢測(cè)機(jī)構(gòu)資質(zhì),應(yīng)當(dāng)符合下列條件:
(一)具有法人資格;
(二)具有與從事商用密碼檢測(cè)活動(dòng)相適應(yīng)的資金、場(chǎng)所、設(shè)備設(shè)施、專業(yè)人員和專業(yè)能力;
(三)具有保證商用密碼檢測(cè)活動(dòng)有效運(yùn)行的管理體系。
第十五條 申請(qǐng)商用密碼檢測(cè)機(jī)構(gòu)資質(zhì),應(yīng)當(dāng)向國(guó)家密碼管理部門提出書面申請(qǐng),并提交符合本條例第十四條規(guī)定條件的材料。
國(guó)家密碼管理部門應(yīng)當(dāng)自受理申請(qǐng)之日起20個(gè)工作日內(nèi),對(duì)申請(qǐng)進(jìn)行審查,并依法作出是否準(zhǔn)予認(rèn)定的決定。
需要對(duì)申請(qǐng)人進(jìn)行技術(shù)評(píng)審的,技術(shù)評(píng)審所需時(shí)間不計(jì)算在本條規(guī)定的期限內(nèi)。國(guó)家密碼管理部門應(yīng)當(dāng)將所需時(shí)間書面告知申請(qǐng)人。
第十六條 商用密碼檢測(cè)機(jī)構(gòu)應(yīng)當(dāng)按照法律、行政法規(guī)和商用密碼檢測(cè)技術(shù)規(guī)范、規(guī)則,在批準(zhǔn)范圍內(nèi)獨(dú)立、公正、科學(xué)、誠(chéng)信地開展商用密碼檢測(cè),對(duì)出具的檢測(cè)數(shù)據(jù)、結(jié)果負(fù)責(zé),并定期向國(guó)家密碼管理部門報(bào)送檢測(cè)實(shí)施情況。
商用密碼檢測(cè)技術(shù)規(guī)范、規(guī)則由國(guó)家密碼管理部門制定并公布。
第十七條 國(guó)務(wù)院市場(chǎng)監(jiān)督管理部門會(huì)同國(guó)家密碼管理部門建立國(guó)家統(tǒng)一推行的商用密碼認(rèn)證制度,實(shí)行商用密碼產(chǎn)品、服務(wù)、管理體系認(rèn)證,制定并公布認(rèn)證目錄和技術(shù)規(guī)范、規(guī)則。
第十八條 從事商用密碼認(rèn)證活動(dòng)的機(jī)構(gòu),應(yīng)當(dāng)依法取得商用密碼認(rèn)證機(jī)構(gòu)資質(zhì)。
申請(qǐng)商用密碼認(rèn)證機(jī)構(gòu)資質(zhì),應(yīng)當(dāng)向國(guó)務(wù)院市場(chǎng)監(jiān)督管理部門提出書面申請(qǐng)。申請(qǐng)人除應(yīng)當(dāng)符合法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求的認(rèn)證機(jī)構(gòu)基本條件外,還應(yīng)當(dāng)具有與從事商用密碼認(rèn)證活動(dòng)相適應(yīng)的檢測(cè)、檢查等技術(shù)能力。
國(guó)務(wù)院市場(chǎng)監(jiān)督管理部門在審查商用密碼認(rèn)證機(jī)構(gòu)資質(zhì)申請(qǐng)時(shí),應(yīng)當(dāng)征求國(guó)家密碼管理部門的意見。
第十九條 商用密碼認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)按照法律、行政法規(guī)和商用密碼認(rèn)證技術(shù)規(guī)范、規(guī)則,在批準(zhǔn)范圍內(nèi)獨(dú)立、公正、科學(xué)、誠(chéng)信地開展商用密碼認(rèn)證,對(duì)出具的認(rèn)證結(jié)論負(fù)責(zé)。
商用密碼認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)對(duì)其認(rèn)證的商用密碼產(chǎn)品、服務(wù)、管理體系實(shí)施有效的跟蹤調(diào)查,以保證通過認(rèn)證的商用密碼產(chǎn)品、服務(wù)、管理體系持續(xù)符合認(rèn)證要求。
第二十條 涉及國(guó)家安全、國(guó)計(jì)民生、社會(huì)公共利益的商用密碼產(chǎn)品,應(yīng)當(dāng)依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄,由具備資格的商用密碼檢測(cè)、認(rèn)證機(jī)構(gòu)檢測(cè)認(rèn)證合格后,方可銷售或者提供。
第二十一條 商用密碼服務(wù)使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的,應(yīng)當(dāng)經(jīng)商用密碼認(rèn)證機(jī)構(gòu)對(duì)該商用密碼服務(wù)認(rèn)證合格。
第四章 電子認(rèn)證
第二十二條 采用商用密碼技術(shù)提供電子認(rèn)證服務(wù),應(yīng)當(dāng)具有與使用密碼相適應(yīng)的場(chǎng)所、設(shè)備設(shè)施、專業(yè)人員、專業(yè)能力和管理體系,依法取得國(guó)家密碼管理部門同意使用密碼的證明文件。
第二十三條 電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)按照法律、行政法規(guī)和電子認(rèn)證服務(wù)密碼使用技術(shù)規(guī)范、規(guī)則,使用密碼提供電子認(rèn)證服務(wù),保證其電子認(rèn)證服務(wù)密碼使用持續(xù)符合要求。
電子認(rèn)證服務(wù)密碼使用技術(shù)規(guī)范、規(guī)則由國(guó)家密碼管理部門制定并公布。
第二十四條 采用商用密碼技術(shù)從事電子政務(wù)電子認(rèn)證服務(wù)的機(jī)構(gòu),應(yīng)當(dāng)經(jīng)國(guó)家密碼管理部門認(rèn)定,依法取得電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)資質(zhì)。
第二十五條 取得電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)資質(zhì),應(yīng)當(dāng)符合下列條件:
(一)具有企業(yè)法人或者事業(yè)單位法人資格;
(二)具有與從事電子政務(wù)電子認(rèn)證服務(wù)活動(dòng)及其使用密碼相適應(yīng)的資金、場(chǎng)所、設(shè)備設(shè)施和專業(yè)人員;
(三)具有為政務(wù)活動(dòng)提供長(zhǎng)期電子政務(wù)電子認(rèn)證服務(wù)的能力;
(四)具有保證電子政務(wù)電子認(rèn)證服務(wù)活動(dòng)及其使用密碼安全運(yùn)行的管理體系。
第二十六條 申請(qǐng)電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)資質(zhì),應(yīng)當(dāng)向國(guó)家密碼管理部門提出書面申請(qǐng),并提交符合本條例第二十五條規(guī)定條件的材料。
國(guó)家密碼管理部門應(yīng)當(dāng)自受理申請(qǐng)之日起20個(gè)工作日內(nèi),對(duì)申請(qǐng)進(jìn)行審查,并依法作出是否準(zhǔn)予認(rèn)定的決定。
需要對(duì)申請(qǐng)人進(jìn)行技術(shù)評(píng)審的,技術(shù)評(píng)審所需時(shí)間不計(jì)算在本條規(guī)定的期限內(nèi)。國(guó)家密碼管理部門應(yīng)當(dāng)將所需時(shí)間書面告知申請(qǐng)人。
第二十七條 外商投資電子政務(wù)電子認(rèn)證服務(wù),影響或者可能影響國(guó)家安全的,應(yīng)當(dāng)依法進(jìn)行外商投資安全審查。
第二十八條 電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)按照法律、行政法規(guī)和電子政務(wù)電子認(rèn)證服務(wù)技術(shù)規(guī)范、規(guī)則,在批準(zhǔn)范圍內(nèi)提供電子政務(wù)電子認(rèn)證服務(wù),并定期向主要辦事機(jī)構(gòu)所在地省、自治區(qū)、直轄市密碼管理部門報(bào)送服務(wù)實(shí)施情況。
電子政務(wù)電子認(rèn)證服務(wù)技術(shù)規(guī)范、規(guī)則由國(guó)家密碼管理部門制定并公布。
第二十九條 國(guó)家建立統(tǒng)一的電子認(rèn)證信任機(jī)制。國(guó)家密碼管理部門負(fù)責(zé)電子認(rèn)證信任源的規(guī)劃和管理,會(huì)同有關(guān)部門推動(dòng)電子認(rèn)證服務(wù)互信互認(rèn)。
第三十條 密碼管理部門會(huì)同有關(guān)部門負(fù)責(zé)政務(wù)活動(dòng)中使用電子簽名、數(shù)據(jù)電文的管理。
政務(wù)活動(dòng)中電子簽名、電子印章、電子證照等涉及的電子認(rèn)證服務(wù),應(yīng)當(dāng)由依法設(shè)立的電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)提供。
第五章 進(jìn)出口
第三十一條 涉及國(guó)家安全、社會(huì)公共利益且具有加密保護(hù)功能的商用密碼,列入商用密碼進(jìn)口許可清單,實(shí)施進(jìn)口許可。涉及國(guó)家安全、社會(huì)公共利益或者中國(guó)承擔(dān)國(guó)際義務(wù)的商用密碼,列入商用密碼出口管制清單,實(shí)施出口管制。
商用密碼進(jìn)口許可清單和商用密碼出口管制清單由國(guó)務(wù)院商務(wù)主管部門會(huì)同國(guó)家密碼管理部門和海關(guān)總署制定并公布。
大眾消費(fèi)類產(chǎn)品所采用的商用密碼不實(shí)行進(jìn)口許可和出口管制制度。
第三十二條 進(jìn)口商用密碼進(jìn)口許可清單中的商用密碼或者出口商用密碼出口管制清單中的商用密碼,應(yīng)當(dāng)向國(guó)務(wù)院商務(wù)主管部門申請(qǐng)領(lǐng)取進(jìn)出口許可證。
商用密碼的過境、轉(zhuǎn)運(yùn)、通運(yùn)、再出口,在境外與綜合保稅區(qū)等海關(guān)特殊監(jiān)管區(qū)域之間進(jìn)出,或者在境外與出口監(jiān)管倉(cāng)庫(kù)、保稅物流中心等保稅監(jiān)管場(chǎng)所之間進(jìn)出的,適用前款規(guī)定。
第三十三條 進(jìn)口商用密碼進(jìn)口許可清單中的商用密碼或者出口商用密碼出口管制清單中的商用密碼時(shí),應(yīng)當(dāng)向海關(guān)交驗(yàn)進(jìn)出口許可證,并按照國(guó)家有關(guān)規(guī)定辦理報(bào)關(guān)手續(xù)。
進(jìn)出口經(jīng)營(yíng)者未向海關(guān)交驗(yàn)進(jìn)出口許可證,海關(guān)有證據(jù)表明進(jìn)出口產(chǎn)品可能屬于商用密碼進(jìn)口許可清單或者出口管制清單范圍的,應(yīng)當(dāng)向進(jìn)出口經(jīng)營(yíng)者提出質(zhì)疑;海關(guān)可以向國(guó)務(wù)院商務(wù)主管部門提出組織鑒別,并根據(jù)國(guó)務(wù)院商務(wù)主管部門會(huì)同國(guó)家密碼管理部門作出的鑒別結(jié)論依法處置。在鑒別或者質(zhì)疑期間,海關(guān)對(duì)進(jìn)出口產(chǎn)品不予放行。
第三十四條 申請(qǐng)商用密碼進(jìn)出口許可,應(yīng)當(dāng)向國(guó)務(wù)院商務(wù)主管部門提出書面申請(qǐng),并提交下列材料:
(一)申請(qǐng)人的法定代表人、主要經(jīng)營(yíng)管理人以及經(jīng)辦人的身份證明;
(二)合同或者協(xié)議的副本;
(三)商用密碼的技術(shù)說明;
(四)最終用戶和最終用途證明;
(五)國(guó)務(wù)院商務(wù)主管部門規(guī)定提交的其他文件。
國(guó)務(wù)院商務(wù)主管部門應(yīng)當(dāng)自受理申請(qǐng)之日起45個(gè)工作日內(nèi),會(huì)同國(guó)家密碼管理部門對(duì)申請(qǐng)進(jìn)行審查,并依法作出是否準(zhǔn)予許可的決定。
對(duì)國(guó)家安全、社會(huì)公共利益或者外交政策有重大影響的商用密碼出口,由國(guó)務(wù)院商務(wù)主管部門會(huì)同國(guó)家密碼管理部門等有關(guān)部門報(bào)國(guó)務(wù)院批準(zhǔn)。報(bào)國(guó)務(wù)院批準(zhǔn)的,不受前款規(guī)定時(shí)限的限制。
第六章 應(yīng)用促進(jìn)
第三十五條 國(guó)家鼓勵(lì)公民、法人和其他組織依法使用商用密碼保護(hù)網(wǎng)絡(luò)與信息安全,鼓勵(lì)使用經(jīng)檢測(cè)認(rèn)證合格的商用密碼。
任何組織或者個(gè)人不得竊取他人加密保護(hù)的信息或者非法侵入他人的商用密碼保障系統(tǒng),不得利用商用密碼從事危害國(guó)家安全、社會(huì)公共利益、他人合法權(quán)益等違法犯罪活動(dòng)。
第三十六條 國(guó)家支持網(wǎng)絡(luò)產(chǎn)品和服務(wù)使用商用密碼提升安全性,支持并規(guī)范商用密碼在信息領(lǐng)域新技術(shù)、新業(yè)態(tài)、新模式中的應(yīng)用。
第三十七條 國(guó)家建立商用密碼應(yīng)用促進(jìn)協(xié)調(diào)機(jī)制,加強(qiáng)對(duì)商用密碼應(yīng)用的統(tǒng)籌指導(dǎo)。國(guó)家機(jī)關(guān)和涉及商用密碼工作的單位在其職責(zé)范圍內(nèi)負(fù)責(zé)本機(jī)關(guān)、本單位或者本系統(tǒng)的商用密碼應(yīng)用和安全保障工作。
密碼管理部門會(huì)同有關(guān)部門加強(qiáng)商用密碼應(yīng)用信息收集、風(fēng)險(xiǎn)評(píng)估、信息通報(bào)和重大事項(xiàng)會(huì)商,并加強(qiáng)與網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)的銜接。
第三十八條 法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施,其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),制定商用密碼應(yīng)用方案,配備必要的資金和專業(yè)人員,同步規(guī)劃、同步建設(shè)、同步運(yùn)行商用密碼保障系統(tǒng),自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估。
前款所列關(guān)鍵信息基礎(chǔ)設(shè)施通過商用密碼應(yīng)用安全性評(píng)估方可投入運(yùn)行,運(yùn)行后每年至少進(jìn)行一次評(píng)估,評(píng)估情況按照國(guó)家有關(guān)規(guī)定報(bào)送國(guó)家密碼管理部門或者關(guān)鍵信息基礎(chǔ)設(shè)施所在地省、自治區(qū)、直轄市密碼管理部門備案。
第三十九條 法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施,使用的商用密碼產(chǎn)品、服務(wù)應(yīng)當(dāng)經(jīng)檢測(cè)認(rèn)證合格,使用的密碼算法、密碼協(xié)議、密鑰管理機(jī)制等商用密碼技術(shù)應(yīng)當(dāng)通過國(guó)家密碼管理部門審查鑒定。
第四十條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國(guó)家安全的,應(yīng)當(dāng)依法通過國(guó)家網(wǎng)信部門會(huì)同國(guó)家密碼管理部門等有關(guān)部門組織的國(guó)家安全審查。
第四十一條 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求,使用商用密碼保護(hù)網(wǎng)絡(luò)安全。國(guó)家密碼管理部門根據(jù)網(wǎng)絡(luò)的安全保護(hù)等級(jí),確定商用密碼的使用、管理和應(yīng)用安全性評(píng)估要求,制定網(wǎng)絡(luò)安全等級(jí)保護(hù)密碼標(biāo)準(zhǔn)規(guī)范。
第四十二條 商用密碼應(yīng)用安全性評(píng)估、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估、網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)應(yīng)當(dāng)加強(qiáng)銜接,避免重復(fù)評(píng)估、測(cè)評(píng)。
第七章 監(jiān)督管理
第四十三條 密碼管理部門依法組織對(duì)商用密碼活動(dòng)進(jìn)行監(jiān)督檢查,對(duì)國(guó)家機(jī)關(guān)和涉及商用密碼工作的單位的商用密碼相關(guān)工作進(jìn)行指導(dǎo)和監(jiān)督。
第四十四條 密碼管理部門和有關(guān)部門建立商用密碼監(jiān)督管理協(xié)作機(jī)制,加強(qiáng)商用密碼監(jiān)督、檢查、指導(dǎo)等工作的協(xié)調(diào)配合。
第四十五條 密碼管理部門和有關(guān)部門依法開展商用密碼監(jiān)督檢查,可以行使下列職權(quán):
(一)進(jìn)入商用密碼活動(dòng)場(chǎng)所實(shí)施現(xiàn)場(chǎng)檢查;
(二)向當(dāng)事人的法定代表人、主要負(fù)責(zé)人和其他有關(guān)人員調(diào)查、了解有關(guān)情況;
(三)查閱、復(fù)制有關(guān)合同、票據(jù)、賬簿以及其他有關(guān)資料。
第四十六條 密碼管理部門和有關(guān)部門推進(jìn)商用密碼監(jiān)督管理與社會(huì)信用體系相銜接,依法建立推行商用密碼經(jīng)營(yíng)主體信用記錄、信用分級(jí)分類監(jiān)管、失信懲戒以及信用修復(fù)等機(jī)制。
第四十七條 商用密碼檢測(cè)、認(rèn)證機(jī)構(gòu)和電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)及其工作人員,應(yīng)當(dāng)對(duì)其在商用密碼活動(dòng)中所知悉的國(guó)家秘密和商業(yè)秘密承擔(dān)保密義務(wù)。
密碼管理部門和有關(guān)部門及其工作人員不得要求商用密碼科研、生產(chǎn)、銷售、服務(wù)、進(jìn)出口等單位和商用密碼檢測(cè)、認(rèn)證機(jī)構(gòu)向其披露源代碼等密碼相關(guān)專有信息,并對(duì)其在履行職責(zé)中知悉的商業(yè)秘密和個(gè)人隱私嚴(yán)格保密,不得泄露或者非法向他人提供。
第四十八條 密碼管理部門和有關(guān)部門依法開展商用密碼監(jiān)督管理,相關(guān)單位和人員應(yīng)當(dāng)予以配合,任何單位和個(gè)人不得非法干預(yù)和阻撓。
第四十九條 任何單位或者個(gè)人有權(quán)向密碼管理部門和有關(guān)部門舉報(bào)違反本條例的行為。密碼管理部門和有關(guān)部門接到舉報(bào),應(yīng)當(dāng)及時(shí)核實(shí)、處理,并為舉報(bào)人保密。
第八章 法律責(zé)任
第五十條 違反本條例規(guī)定,未經(jīng)認(rèn)定向社會(huì)開展商用密碼檢測(cè)活動(dòng),或者未經(jīng)認(rèn)定從事電子政務(wù)電子認(rèn)證服務(wù)的,由密碼管理部門責(zé)令改正或者停止違法行為,給予警告,沒收違法產(chǎn)品和違法所得;違法所得30萬(wàn)元以上的,可以并處違法所得1倍以上3倍以下罰款;沒有違法所得或者違法所得不足30萬(wàn)元的,可以并處10萬(wàn)元以上30萬(wàn)元以下罰款。
違反本條例規(guī)定,未經(jīng)批準(zhǔn)從事商用密碼認(rèn)證活動(dòng)的,由市場(chǎng)監(jiān)督管理部門會(huì)同密碼管理部門依照前款規(guī)定予以處罰。
第五十一條 商用密碼檢測(cè)機(jī)構(gòu)開展商用密碼檢測(cè),有下列情形之一的,由密碼管理部門責(zé)令改正或者停止違法行為,給予警告,沒收違法所得;違法所得30萬(wàn)元以上的,可以并處違法所得1倍以上3倍以下罰款;沒有違法所得或者違法所得不足30萬(wàn)元的,可以并處10萬(wàn)元以上30萬(wàn)元以下罰款;情節(jié)嚴(yán)重的,依法吊銷商用密碼檢測(cè)機(jī)構(gòu)資質(zhì):
(一)超出批準(zhǔn)范圍;
(二)存在影響檢測(cè)獨(dú)立、公正、誠(chéng)信的行為;
(三)出具的檢測(cè)數(shù)據(jù)、結(jié)果虛假或者失實(shí);
(四)拒不報(bào)送或者不如實(shí)報(bào)送實(shí)施情況;
(五)未履行保密義務(wù);
(六)其他違反法律、行政法規(guī)和商用密碼檢測(cè)技術(shù)規(guī)范、規(guī)則開展商用密碼檢測(cè)的情形。
第五十二條 商用密碼認(rèn)證機(jī)構(gòu)開展商用密碼認(rèn)證,有下列情形之一的,由市場(chǎng)監(jiān)督管理部門會(huì)同密碼管理部門責(zé)令改正或者停止違法行為,給予警告,沒收違法所得;違法所得30萬(wàn)元以上的,可以并處違法所得1倍以上3倍以下罰款;沒有違法所得或者違法所得不足30萬(wàn)元的,可以并處10萬(wàn)元以上30萬(wàn)元以下罰款;情節(jié)嚴(yán)重的,依法吊銷商用密碼認(rèn)證機(jī)構(gòu)資質(zhì):
(一)超出批準(zhǔn)范圍;
(二)存在影響認(rèn)證獨(dú)立、公正、誠(chéng)信的行為;
(三)出具的認(rèn)證結(jié)論虛假或者失實(shí);
(四)未對(duì)其認(rèn)證的商用密碼產(chǎn)品、服務(wù)、管理體系實(shí)施有效的跟蹤調(diào)查;
(五)未履行保密義務(wù);
(六)其他違反法律、行政法規(guī)和商用密碼認(rèn)證技術(shù)規(guī)范、規(guī)則開展商用密碼認(rèn)證的情形。
第五十三條 違反本條例第二十條、第二十一條規(guī)定,銷售或者提供未經(jīng)檢測(cè)認(rèn)證或者檢測(cè)認(rèn)證不合格的商用密碼產(chǎn)品,或者提供未經(jīng)認(rèn)證或者認(rèn)證不合格的商用密碼服務(wù)的,由市場(chǎng)監(jiān)督管理部門會(huì)同密碼管理部門責(zé)令改正或者停止違法行為,給予警告,沒收違法產(chǎn)品和違法所得;違法所得10萬(wàn)元以上的,可以并處違法所得1倍以上3倍以下罰款;沒有違法所得或者違法所得不足10萬(wàn)元的,可以并處3萬(wàn)元以上10萬(wàn)元以下罰款。
第五十四條 電子認(rèn)證服務(wù)機(jī)構(gòu)違反法律、行政法規(guī)和電子認(rèn)證服務(wù)密碼使用技術(shù)規(guī)范、規(guī)則使用密碼的,由密碼管理部門責(zé)令改正或者停止違法行為,給予警告,沒收違法所得;違法所得30萬(wàn)元以上的,可以并處違法所得1倍以上3倍以下罰款;沒有違法所得或者違法所得不足30萬(wàn)元的,可以并處10萬(wàn)元以上30萬(wàn)元以下罰款;情節(jié)嚴(yán)重的,依法吊銷電子認(rèn)證服務(wù)使用密碼的證明文件。
第五十五條 電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)開展電子政務(wù)電子認(rèn)證服務(wù),有下列情形之一的,由密碼管理部門責(zé)令改正或者停止違法行為,給予警告,沒收違法所得;違法所得30萬(wàn)元以上的,可以并處違法所得1倍以上3倍以下罰款;沒有違法所得或者違法所得不足30萬(wàn)元的,可以并處10萬(wàn)元以上30萬(wàn)元以下罰款;情節(jié)嚴(yán)重的,責(zé)令停業(yè)整頓,直至吊銷電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)資質(zhì):
(一)超出批準(zhǔn)范圍;
(二)拒不報(bào)送或者不如實(shí)報(bào)送實(shí)施情況;
(三)未履行保密義務(wù);
(四)其他違反法律、行政法規(guī)和電子政務(wù)電子認(rèn)證服務(wù)技術(shù)規(guī)范、規(guī)則提供電子政務(wù)電子認(rèn)證服務(wù)的情形。
第五十六條 電子簽名人或者電子簽名依賴方因依據(jù)電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)提供的電子簽名認(rèn)證服務(wù)在政務(wù)活動(dòng)中遭受損失,電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)不能證明自己無過錯(cuò)的,承擔(dān)賠償責(zé)任。
第五十七條 政務(wù)活動(dòng)中電子簽名、電子印章、電子證照等涉及的電子認(rèn)證服務(wù),違反本條例第三十條規(guī)定,未由依法設(shè)立的電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)提供的,由密碼管理部門責(zé)令改正,給予警告;拒不改正或者有其他嚴(yán)重情節(jié)的,由密碼管理部門建議有關(guān)國(guó)家機(jī)關(guān)、單位對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分或者處理。有關(guān)國(guó)家機(jī)關(guān)、單位應(yīng)當(dāng)將處分或者處理情況書面告知密碼管理部門。
第五十八條 違反本條例規(guī)定進(jìn)出口商用密碼的,由國(guó)務(wù)院商務(wù)主管部門或者海關(guān)依法予以處罰。
第五十九條 竊取他人加密保護(hù)的信息,非法侵入他人的商用密碼保障系統(tǒng),或者利用商用密碼從事危害國(guó)家安全、社會(huì)公共利益、他人合法權(quán)益等違法活動(dòng)的,由有關(guān)部門依照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和其他有關(guān)法律、行政法規(guī)的規(guī)定追究法律責(zé)任。
第六十條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者違反本條例第三十八條、第三十九條規(guī)定,未按照要求使用商用密碼,或者未按照要求開展商用密碼應(yīng)用安全性評(píng)估的,由密碼管理部門責(zé)令改正,給予警告;拒不改正或者有其他嚴(yán)重情節(jié)的,處10萬(wàn)元以上100萬(wàn)元以下罰款,對(duì)直接負(fù)責(zé)的主管人員處1萬(wàn)元以上10萬(wàn)元以下罰款。
第六十一條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者違反本條例第四十條規(guī)定,使用未經(jīng)安全審查或者安全審查未通過的涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的,由有關(guān)主管部門責(zé)令停止使用,處采購(gòu)金額1倍以上10倍以下罰款;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處1萬(wàn)元以上10萬(wàn)元以下罰款。
第六十二條 網(wǎng)絡(luò)運(yùn)營(yíng)者違反本條例第四十一條規(guī)定,未按照國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求使用商用密碼保護(hù)網(wǎng)絡(luò)安全的,由密碼管理部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處1萬(wàn)元以上10萬(wàn)元以下罰款,對(duì)直接負(fù)責(zé)的主管人員處5000元以上5萬(wàn)元以下罰款。
第六十三條 無正當(dāng)理由拒不接受、不配合或者干預(yù)、阻撓密碼管理部門、有關(guān)部門的商用密碼監(jiān)督管理的,由密碼管理部門、有關(guān)部門責(zé)令改正,給予警告;拒不改正或者有其他嚴(yán)重情節(jié)的,處5萬(wàn)元以上50萬(wàn)元以下罰款,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處1萬(wàn)元以上10萬(wàn)元以下罰款;情節(jié)特別嚴(yán)重的,責(zé)令停業(yè)整頓,直至吊銷商用密碼許可證件。
第六十四條 國(guó)家機(jī)關(guān)有本條例第六十條、第六十一條、第六十二條、第六十三條所列違法情形的,由密碼管理部門、有關(guān)部門責(zé)令改正,給予警告;拒不改正或者有其他嚴(yán)重情節(jié)的,由密碼管理部門、有關(guān)部門建議有關(guān)國(guó)家機(jī)關(guān)對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分或者處理。有關(guān)國(guó)家機(jī)關(guān)應(yīng)當(dāng)將處分或者處理情況書面告知密碼管理部門、有關(guān)部門。
第六十五條 密碼管理部門和有關(guān)部門的工作人員在商用密碼工作中濫用職權(quán)、玩忽職守、徇私舞弊,或者泄露、非法向他人提供在履行職責(zé)中知悉的商業(yè)秘密、個(gè)人隱私、舉報(bào)人信息的,依法給予處分。
第六十六條 違反本條例規(guī)定,構(gòu)成犯罪的,依法追究刑事責(zé)任;給他人造成損害的,依法承擔(dān)民事責(zé)任。
第九章 附 則
第六十七條 本條例自2023年7月1日起施行。
文章來源:商密君
咨詢熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號(hào)文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號(hào)清控創(chuàng)新基地A座4層