十三屆全國人大常委會第十四次會議26日下午表決通過密碼法,將自2020年1月1日起施行。密碼法旨在規範密碼應用和管理,促進密碼事業發展,保障網絡與信息安全,提升密碼管理科學化、規範化、法治化水平,是我國密碼領域的綜合性、基礎性法律。
中華人民共和國密碼法(草案)
第一章 總則
第一條 為了規範密碼應用和管理,促進密碼發展,保障網絡與信息安全,保護公民、法人和其他組織的合法權益,維護國家安全和社會公共利益,制定本法。
第二條 本法所稱密碼,是指使用特定變換對信息等進行加密保護或者安全認證的產品、技術和服務。
第三條 密碼工作堅持總體國家安全觀,遵循統一領導、分級負責,創新發展、服務大局,依法管理、保障安全的原則。
第四條 堅持中國共產黨對密碼工作的領導。中央密碼工作領導機構對全國密碼工作實行統一領導,制定國家密碼工作重大方針政策,統籌協調國家密碼重大事項和重要工作,推進國家密碼法治建設。
第五條 國家密碼管理部門負責管理全國的密碼工作。縣級以上地方各級密碼管理部門負責管理本行政區域的密碼工作。國家機關和涉及密碼的單位在其職責範圍內負責本機關、本單位或者本系統的密碼工作。
第六條 密碼分為核心密碼、普通密碼和商用密碼。國家對密碼實行分類管理。
第七條 核心密碼、普通密碼用於保護國家秘密信息,核心密碼保護信息的最高密級為絕密級,普通密碼保護信息的最高密級為機密級。
核心密碼、普通密碼屬於國家秘密。密碼管理部門依照本法和有關法律、行政法規、國家有關規定對核心密碼、普通密碼的科研、生產、檢測、裝備、使用和銷燬等實行嚴格統一管理。
第八條 商用密碼用於保護不屬於國家秘密的信息。公民、法人和其他組織均可依法使用商用密碼保護網絡與信息安全。
第九條 國家鼓勵和支持密碼科學技術研究、交流,依法保護密碼知識產權,促進密碼科學技術進步和創新。對在密碼工作中作出突出貢獻的組織和個人,按照國家有關規定給予表彰和獎勵。
第十條 國家採取多種形式加強密碼宣傳教育,將密碼安全教育納入國民教育體系和公務員教育培訓體系,鼓勵和支持社會團體、公眾開展和參與密碼知識的普及、推廣。
第十一條 縣級以上人民政府應當將密碼工作納入本級國民經濟和社會發展規劃,所需經費列入本級預算。
第十二條 任何組織或者個人不得竊取他人的加密信息,不得非法侵入他人的密碼保障系統,不得利用密碼從事危害國家安全、社會公共利益、他人合法權益的活動或者其他違法犯罪活動。
第二章 核心密碼、普通密碼
第十三條 國家加強核心密碼、普通密碼的科學規劃和使用,加強制度建設,完善管理措施,增強密碼通信服務和網絡空間密碼保障能力。
第十四條 在有線、無線通信中傳遞的國家秘密信息,以及存儲、處理國家秘密信息的信息系統,應當根據國家秘密信息的最高密級,依照法律、行政法規和國家有關規定使用核心密碼、普通密碼進行加密保護或者安全認證。
第十五條 核心密碼、普通密碼的科研、生產、檢測、裝備、使用和銷燬單位(以下統稱密碼工作機構)應當按照法律、行政法規、國家有關規定及國家密碼管理部門的要求,建立健全安全管理制度,採取嚴格的保密措施,確保核心密碼、普通密碼的安全。
第十六條 密碼管理部門依法對密碼工作機構的核心密碼、普通密碼工作進行指導、監督和檢查,密碼工作機構應當配合。
第十七條 密碼管理部門根據工作需要會同有關部門建立核心密碼、普通密碼安全監測預警、信息通報、重大事項會商和應急處置等協作機制,確保核心密碼、普通密碼安全管理的協同聯動和有序高效。
密碼工作機構發現核心密碼、普通密碼洩密或者影響核心密碼、普通密碼安全的重大問題的,應當立即採取應對措施,並及時向保密行政管理部門、密碼管理部門報告,由保密行政管理部門、密碼管理部門會同有關部門組織開展調查、處置或者指導有關密碼工作機構及時消除安全隱患。
第十八條 國家加強密碼工作機構建設,保障其履行工作職責。
國家加強核心密碼、普通密碼人才隊伍培養、建設,建立適應核心密碼、普通密碼工作需要的人員錄用、選調、保密、考核、培訓、待遇、獎懲、交流、退出等管理制度。
第十九條 密碼管理部門根據核心密碼、普通密碼工作需要,按照國家有關規定,可以提請公安、交通運輸、海關等部門對有關物品和人員提供免檢等便利。
第二十條 密碼管理部門和密碼工作機構應當建立健全嚴格的監督和安全審查制度,對其工作人員遵守法律和紀律等情況進行監督,並依法採取必要措施,定期或者不定期組織開展安全審查。
第三章 商用密碼
第二十一條 國家鼓勵商用密碼技術的研究開發和應用,健全統一、開放、競爭、有序的商用密碼市場體系,鼓勵和促進商用密碼產業發展。
商用密碼的科研、生產、銷售、服務和進出口,不得損害國家安全、社會公共利益或者公民、法人和其他組織的合法權益。
第二十二條 國家建立和完善商用密碼標準體系。
國務院標準化行政主管部門和國家密碼管理部門依據各自職責,組織制定商用密碼國家標準、行業標準。
國家支持社會團體、企業利用自主創新技術制定高於國家標準、行業標準相關技術要求的商用密碼團體標準、企業標準。
第二十三條 國家推動參與商用密碼國際標準化活動,參與制定商用密碼國際標準,推進商用密碼中國標準與國外標準之間的轉化運用。
國家鼓勵企業、社會團體和教育、科研機構等參與商用密碼國際標準化活動。
第二十四條 商用密碼從業單位從事商用密碼科研、生產、銷售、服務、進出口等活動,應當符合有關法律、行政法規、商用密碼強制性國家標準以及從業單位公開標準的技術要求。
國家鼓勵商用密碼從業單位採用商用密碼推薦性國家標準、行業標準,提升商用密碼的防護能力,維護用戶的合法權益。
第二十五條 國家推進商用密碼檢測認證體系建設,制定商用密碼檢測認證技術規範和規則,鼓勵商用密碼從業單位自願接受商用密碼檢測認證,提升市場競爭力。
商用密碼檢測、認證機構應當依法取得相關資質,並依照法律、行政法規的規定和商用密碼檢測認證技術規範和規則開展商用密碼檢測認證。
第二十六條 涉及國家安全、國計民生、社會公共利益的商用密碼產品列入網絡關鍵設備和網絡安全專用產品目錄,由具備資格的機構安全認證合格或者安全檢測符合要求後,方可銷售或者提供。
用於網絡關鍵設備和網絡安全專用產品的商用密碼服務,應當由商用密碼認證、檢測機構安全認證合格或者安全檢測符合要求後,方可提供。
第二十七條 法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,開展商用密碼應用安全性評估。
關鍵信息基礎設施的運營者和國家機關採購、使用涉及商用密碼的網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。
第二十八條 國務院商務主管部門、國家密碼管理部門依法對涉及國家安全、社會公共利益且具有加密保護功能的商用密碼實施進口許可,對涉及國家安全、社會公共利益或者中國承擔國際義務的商用密碼實施出口管制。商用密碼進口許可和出口管制清單由國務院商務主管部門會同國家密碼管理部門和海關總署制定並公佈。
大眾消費類產品所採用的商用密碼不實行進口許可和出口管制制度。
第二十九條 國家密碼管理部門對採用商用密碼技術從事電子政務電子認證服務的機構進行認定,會同有關部門負責政務活動中使用電子簽名、數據電文的管理。
第三十條 商用密碼行業協會依照法律、行政法規及其章程的規定,為商用密碼從業單位提供商用密碼信息、技術、培訓等服務,引導和督促商用密碼從業單位依法開展商用密碼科研、生產、銷售、服務、進出口等活動,加強行業自律,推動行業誠信建設,促進行業健康發展。
第三十一條 密碼管理部門和有關部門建立日常監管和隨機抽查相結合的商用密碼事中事後監管制度,建立統一的商用密碼監督管理信息平臺,推進事中事後監管與社會信用體系相銜接,強化商用密碼從業單位自律和社會監督。
第四章 法律責任
第三十二條 違反本法第十二條或者有關法律、行政法規規定,竊取他人的加密信息,非法侵入他人的密碼保障系統,或者利用密碼從事危害國家安全、社會公共利益、他人合法權益的活動或者其他違法犯罪活動的,依法追究法律責任。
第三十三條 違反本法第十四條規定使用核心密碼、普通密碼的,由密碼管理部門責令改正或者停止違法行為,給予警告;情節嚴重的,由密碼管理部門建議有關國家機關、單位對直接負責的主管人員和其他直接責任人員依法給予處分或者處理。
第三十四條 違反本法或者有關法律、行政法規和國家有關規定,發生核心密碼、普通密碼洩密案件的,由保密行政管理部門、密碼管理部門建議有關國家機關、單位對直接負責的主管人員和其他直接責任人員依法給予處分或者處理。
第三十五條 商用密碼檢測、認證機構違反本法第二十五條第二款規定開展商用密碼檢測認證的,由市場監督管理部門會同密碼管理部門責令改正或者停止違法行為,給予警告,沒收違法所得;違法所得三十萬元以上的,可以並處違法所得一倍以上三倍以下罰款;沒有違法所得或者違法所得不足三十萬元的,可以並處十萬元以上三十萬元以下罰款;情節嚴重的,依法吊銷相關資質。
第三十六條 違反本法第二十六條規定,銷售或者提供未經安全認證、安全檢測或者安全認證不合格、安全檢測不符合要求的商用密碼產品或者服務的,由市場監督管理部門責令改正或者停止違法行為,給予警告,沒收違法產品和違法所得;違法所得十萬元以上的,可以並處違法所得一倍以上三倍以下罰款;沒有違法所得或者違法所得不足十萬元的,可以並處三萬元以上十萬元以下罰款。
第三十七條 違反本法第二十七條第一款規定使用商用密碼,違反本法第二十七條第二款規定採購、使用未經安全審查或者安全審查未通過的產品或者服務的,依照《中華人民共和國網絡安全法》的規定處罰。
第三十八條 違反本法第二十八條規定進出口商用密碼的,由國務院商務主管部門或者海關依法予以處罰。
第三十九條 違反本法第二十九條規定,未經認定從事電子政務電子認證服務的,由密碼管理部門責令改正或者停止違法行為,給予警告,沒收違法產品和違法所得;違法所得三十萬元以上的,可以並處違法所得一倍以上三倍以下罰款;沒有違法所得或者違法所得不足三十萬元的,可以並處十萬元以上三十萬元以下罰款。
第四十條 國家機關工作人員在密碼工作中濫用職權、翫忽職守、徇私舞弊的,依法給予處分。
第四十一條 違反本法規定,構成犯罪的,依法追究刑事責任。
第五章 附則
第四十二條 國家密碼管理部門依照法律、行政法規的規定,制定密碼管理規章。
第四十三條 軍隊密碼工作管理辦法,由中央軍事委員會根據本法制定。
第四十四條 本法自年月日起施行。
閱讀更多 網信內蒙古 的文章
