首頁 > 關(guān)于我們 > 安恒動態(tài) > 2023 > 正文

一文讀懂《商用密碼管理條例》

閱讀量：次 文章來源：安恒信息

2023年5月24日，中華人民共和國中央人民政府網(wǎng)站公開《商用密碼管理條例》（以下簡稱《條例》）2023年修訂版正式稿全文，《條例》在2023年4月14日國務(wù)院第4次常務(wù)會議修訂通過，現(xiàn)予公布，自2023年7月1日起施行。

《條例》是對《密碼法》的進一步細化闡述，也對我國商用密碼管理體系建設(shè)的系統(tǒng)性、整體性有具體的指導(dǎo)，更是我國商用密碼發(fā)展重要里程碑，極大促進我國商用密碼產(chǎn)業(yè)的蓬勃發(fā)展。

《條例》產(chǎn)生背景及發(fā)展歷程

密碼是保障網(wǎng)絡(luò)空間安全的核心技術(shù)，也是公認的維護網(wǎng)絡(luò)安全最有效、最可靠、最經(jīng)濟的技術(shù)手段。近年來，商用密碼算法、技術(shù)、產(chǎn)品及服務(wù)的應(yīng)用越來越廣泛，在維護國家主權(quán)、安全和發(fā)展利益以及保障網(wǎng)絡(luò)和信息安全方面的作用越來越凸顯。

1999年10月7日《商用密碼管理條例》（以下簡稱99年《條例》）頒布，以法規(guī)形式確定了我國商用密碼工作的方針、政策、原則；這是我國商用密碼領(lǐng)域內(nèi)第一個行政法規(guī)，標志著我國對商用密碼的管理監(jiān)督和應(yīng)用發(fā)展走上法制化的快速軌道。

2019年10月26日，十三屆全國人大常委會第十四次會議通過《中華人民共和國密碼法》（以下簡稱《密碼法》），自2020年1月1日起正式施行?！睹艽a法》是我國密碼領(lǐng)域的第一部法律，為了規(guī)范密碼應(yīng)用和管理，促進密碼事業(yè)發(fā)展，保障網(wǎng)絡(luò)與信息安全，維護國家安全和社會公共利益等，是我國密碼領(lǐng)域的綜合性、基礎(chǔ)性法律。

《密碼法》頒布對密碼管理制度進行結(jié)構(gòu)性的重塑。為適應(yīng)新時代商用密碼事業(yè)發(fā)展需求，2020年8月20日，國家密碼管理局發(fā)布《商用密碼管理條例（修訂草案征求意見稿）》，推進正式條例的快速落地。

隨著《商用密碼管理條例》2023年修訂版的正式公布，進一步規(guī)范和完善檢測認證、應(yīng)用安全性評估、進出口管理、電子服務(wù)認證等。到目前為止，在法律法規(guī)、算法標準、產(chǎn)品應(yīng)用、監(jiān)督管理、法律責任等多方面形成了密碼產(chǎn)業(yè)的基礎(chǔ)框架，更好地鼓勵和促進商用密碼產(chǎn)業(yè)發(fā)展。

《條例》要點解讀與提煉

《條例》共計九章六十七條，主要圍繞“科技創(chuàng)新與標準化、檢測認證、電子認證、進出口、應(yīng)用促進、監(jiān)督管理”提出具體要求。

安恒信息通過對《條例》進行深入解讀后，為大家提煉出以下要點。

總則

1）明確原則：堅持黨對商用密碼工作的領(lǐng)導(dǎo)，貫徹落實總體國家安全觀。

2）明確目的：規(guī)范商用密碼應(yīng)用和管理，鼓勵和促進商用密碼產(chǎn)業(yè)發(fā)展。

3）適用范圍：在中華人民共和國境內(nèi)的商用密碼科研、生產(chǎn)、銷售、服務(wù)、檢測、認證、進出口、應(yīng)用等活動及監(jiān)督管理。

4）監(jiān)管部門：國家密碼管理部門負責管理全國的商用密碼工作。縣級以上地方各級密碼管理部門負責管理本行政區(qū)域的商用密碼工作。網(wǎng)信、商務(wù)、海關(guān)、市場監(jiān)督管理等有關(guān)部門在各自職責范圍內(nèi)負責商用密碼有關(guān)管理工作。

5）人才培養(yǎng)：建立健全商用密碼人才發(fā)展體制機制和人才評價制度，鼓勵和支持密碼相關(guān)學科和專業(yè)建設(shè)，規(guī)范商用密碼社會化培訓，促進商用密碼人才交流。

6）宣傳教育：加強商用密碼宣傳教育，增強公民、法人和其他組織的密碼安全意識。

7）學術(shù)和行業(yè)自律：商用密碼領(lǐng)域的學會、行業(yè)協(xié)會等社會組織依照法律、行政法規(guī)及其章程的規(guī)定，開展學術(shù)交流、政策研究、公共服務(wù)等活動，加強學術(shù)和行業(yè)自律，推動誠信建設(shè)，促進行業(yè)健康發(fā)展。

科技創(chuàng)新與標準化

1）創(chuàng)新促進：支持商用密碼科學技術(shù)自主創(chuàng)新，對作出突出貢獻的組織和個人按照國家有關(guān)規(guī)定予以表彰和獎勵。

2）知識產(chǎn)權(quán)保護：國家依法保護商用密碼領(lǐng)域的知識產(chǎn)權(quán)。從事商用密碼活動，應(yīng)當增強知識產(chǎn)權(quán)意識，提高運用、保護和管理知識產(chǎn)權(quán)的能力。

3）鼓勵投資：國家鼓勵在外商投資過程中基于自愿原則和商業(yè)規(guī)則開展商用密碼技術(shù)合作。行政機關(guān)及其工作人員不得利用行政手段強制轉(zhuǎn)讓商用密碼技術(shù)。

4）成果轉(zhuǎn)化：國家鼓勵和支持商用密碼科學技術(shù)成果轉(zhuǎn)化和產(chǎn)業(yè)化應(yīng)用，建立和完善商用密碼科學技術(shù)成果信息匯交、發(fā)布和應(yīng)用情況反饋機制。

5）安全審查：國家密碼管理部門組織對法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的網(wǎng)絡(luò)與信息系統(tǒng)所使用的密碼算法、密碼協(xié)議、密鑰管理機制等商用密碼技術(shù)進行審查鑒定。

6）規(guī)范、引導(dǎo)和監(jiān)督標準制定：國務(wù)院標準化行政主管部門和國家密碼管理部門依據(jù)各自職責，組織制定商用密碼國家標準、行業(yè)標準，對商用密碼團體標準的制定進行規(guī)范、引導(dǎo)和監(jiān)督。國家密碼管理部門依據(jù)職責，建立商用密碼標準實施信息反饋和評估機制，對商用密碼標準實施進行監(jiān)督檢查。其他領(lǐng)域的標準涉及商用密碼的，應(yīng)當與商用密碼國家標準、行業(yè)標準保持協(xié)調(diào)。

7）推動國際化標準活動：國家推動參與商用密碼國際標準化活動，參與制定商用密碼國際標準，推進商用密碼中國標準與國外標準之間的轉(zhuǎn)化運用，鼓勵企業(yè)、社會團體和教育、科研機構(gòu)等參與商用密碼國際標準化活動。

8）強制性和推薦性標準：從事商用密碼活動，應(yīng)當符合有關(guān)法律、行政法規(guī)、商用密碼強制性國家標準，以及自我聲明公開標準的技術(shù)要求。國家鼓勵在商用密碼活動中采用商用密碼推薦性國家標準、行業(yè)標準，提升商用密碼的防護能力，維護用戶的合法權(quán)益。

檢測認證

1）明確主體責任：商用密碼檢測技術(shù)規(guī)范、規(guī)則由國家密碼管理部門制定并公布。國務(wù)院市場監(jiān)督管理部門會同國家密碼管理部門建立國家統(tǒng)一推行的商用密碼認證制度，實行商用密碼產(chǎn)品、服務(wù)、管理體系認證，制定并公布認證目錄和技術(shù)規(guī)范、規(guī)則。

2）檢測機構(gòu)：從事商用密碼產(chǎn)品檢測、網(wǎng)絡(luò)與信息系統(tǒng)商用密碼應(yīng)用安全性評估等商用密碼檢測活動，向社會出具具有證明作用的數(shù)據(jù)、結(jié)果的機構(gòu)，應(yīng)當經(jīng)國家密碼管理部門認定，依法取得商用密碼檢測機構(gòu)資質(zhì)。

檢測機構(gòu)資質(zhì)申請審批流程

3）認證機構(gòu)：從事商用密碼認證活動的機構(gòu)，應(yīng)當依法取得商用密碼認證機構(gòu)資質(zhì)。

認證機構(gòu)資質(zhì)申請審批流程

電子認證

1）明確主體責任：國家建立統(tǒng)一的電子認證信任機制。國家密碼管理部門負責電子認證信任源的規(guī)劃和管理，會同有關(guān)部門推動電子認證服務(wù)互信互認。電子認證服務(wù)密碼使用技術(shù)規(guī)范、規(guī)則由國家密碼管理部門制定并公布。

2）電子認證服務(wù)兩大要求：采用商用密碼技術(shù)提供電子認證服務(wù)，應(yīng)當具有與使用密碼相適應(yīng)的場所、設(shè)備設(shè)施、專業(yè)人員、專業(yè)能力和管理體系，依法取得國家密碼管理部門同意使用密碼的證明文件。電子認證服務(wù)機構(gòu)應(yīng)當按照法律、行政法規(guī)和電子認證服務(wù)密碼使用技術(shù)規(guī)范、規(guī)則，使用密碼提供電子認證服務(wù)，保證其電子認證服務(wù)密碼使用持續(xù)符合要求。

3）電子政務(wù)電子認證服務(wù)機構(gòu)從業(yè)規(guī)范：電子政務(wù)電子認證服務(wù)機構(gòu)應(yīng)當按照法律、行政法規(guī)和電子政務(wù)電子認證服務(wù)技術(shù)規(guī)范、規(guī)則，在批準范圍內(nèi)提供電子政務(wù)電子認證服務(wù)，并定期向主要辦事機構(gòu)所在地省、自治區(qū)、直轄市密碼管理部門報送服務(wù)實施情況。外商投資電子政務(wù)電子認證服務(wù)，影響或者可能影響國家安全的，應(yīng)當依法進行外商投資安全審查。

電子政務(wù)電子認證服務(wù)機構(gòu)資質(zhì)申請審批流程

4）政務(wù)活動：密碼管理部門會同有關(guān)部門負責政務(wù)活動中使用電子簽名、數(shù)據(jù)電文的管理。政務(wù)活動中電子簽名、電子印章、電子證照等涉及的電子認證服務(wù)，應(yīng)當由依法設(shè)立的電子政務(wù)電子認證服務(wù)機構(gòu)提供。

進出口

1）明確主體責任：商用密碼進口許可清單和商用密碼出口管制清單由國務(wù)院商務(wù)主管部門會同國家密碼管理部門和海關(guān)總署制定并公布。

2）明確進出口管制范圍：涉及國家安全、社會公共利益且具有加密保護功能的商用密碼，列入商用密碼進口許可清單，實施進口許可。涉及國家安全、社會公共利益或者中國承擔國際義務(wù)的商用密碼，列入商用密碼出口管制清單，實施出口管制。大眾消費類產(chǎn)品所采用的商用密碼不實行進口許可和出口管制制度。

應(yīng)用促進

1）應(yīng)用落地：鼓勵使用商用密碼保護網(wǎng)絡(luò)與信息安全，支持網(wǎng)絡(luò)產(chǎn)品和服務(wù)使用商用密碼提升安全性，支持并規(guī)范商用密碼在信息領(lǐng)域新技術(shù)、新業(yè)態(tài)、新模式中的應(yīng)用。

2）協(xié)調(diào)機制：加強商用密碼應(yīng)用信息收集、風險評估、信息通報和重大事項會商，并加強與網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報的銜接。

3）關(guān)鍵信息基礎(chǔ)設(shè)施要求：其運營者應(yīng)當使用商用密碼進行保護，制定商用密碼應(yīng)用方案，配備必要的資金和專業(yè)人員，同步規(guī)劃、同步建設(shè)、同步運行商用密碼保障系統(tǒng)，自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估，通過評估后方可投入運行，運行后每年至少進行一次評估。

4）網(wǎng)絡(luò)運營者要求：按照國家網(wǎng)絡(luò)安全等級保護制度要求，使用商用密碼保護網(wǎng)絡(luò)安全。

5）加強銜接：商用密碼應(yīng)用安全性評估、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評應(yīng)當加強銜接，避免重復(fù)評估、測評。

監(jiān)督管理

1）監(jiān)督檢查：依法組織對商用密碼活動進行監(jiān)督檢查，指導(dǎo)和監(jiān)督商用密碼相關(guān)工作。

2）協(xié)作機制：建立商用密碼監(jiān)督管理協(xié)作機制，加強商用密碼監(jiān)督、檢查、指導(dǎo)等工作的協(xié)調(diào)配合；推進商用密碼監(jiān)督管理與社會信用體系相銜接，依法建立推行商用密碼經(jīng)營主體信用記錄、信用分級分類監(jiān)管、失信懲戒以及信用修復(fù)等機制。

3）保密義務(wù)：商用密碼檢測、認證機構(gòu)和電子政務(wù)電子認證服務(wù)機構(gòu)及其工作人員，應(yīng)當對其在商用密碼活動中所知悉的國家秘密和商業(yè)秘密承擔保密義務(wù)。

?法律責任

1）未經(jīng)認定向社會開展商用密碼檢測活動：責令改正或者停止違法行為，給予警告，沒收違法產(chǎn)品和違法所得；違法所得30萬元以上的，可以并處違法所得1倍以上3倍以下罰款；沒有違法所得或者違法所得不足30萬元的，可以并處10萬元以上30萬元以下罰款。

2）未經(jīng)認定從事電子政務(wù)電子認證服務(wù)：責令改正或者停止違法行為，給予警告，沒收違法產(chǎn)品和違法所得；違法所得30萬元以上的，可以并處違法所得1倍以上3倍以下罰款；沒有違法所得或者違法所得不足30萬元的，可以并處10萬元以上30萬元以下罰款。

3）未經(jīng)批準從事商用密碼認證活動：責令改正或者停止違法行為，給予警告，沒收違法產(chǎn)品和違法所得；違法所得30萬元以上的，可以并處違法所得1倍以上3倍以下罰款；沒有違法所得或者違法所得不足30萬元的，可以并處10萬元以上30萬元以下罰款。

4）商用密碼檢測機構(gòu)違法開展商用密碼檢測：責令改正或者停止違法行為，給予警告，沒收違法所得；違法所得30萬元以上的，可以并處違法所得1倍以上3倍以下罰款；沒有違法所得或者違法所得不足30萬元的，可以并處10萬元以上30萬元以下罰款；情節(jié)嚴重的，依法吊銷商用密碼檢測機構(gòu)資質(zhì)。

5）商用密碼認證機構(gòu)違法開展商用密碼認證：責令改正或者停止違法行為，給予警告，沒收違法所得；違法所得30萬元以上的，可以并處違法所得1倍以上3倍以下罰款；沒有違法所得或者違法所得不足30萬元的，可以并處10萬元以上30萬元以下罰款；情節(jié)嚴重的，依法吊銷商用密碼認證機構(gòu)資質(zhì)。

6）銷售或提供未經(jīng)檢測認證/檢測認證不合格的商用密碼產(chǎn)品/服務(wù)：責令改正或者停止違法行為，給予警告，沒收違法產(chǎn)品和違法所得；違法所得10萬元以上的，可以并處違法所得1倍以上3倍以下罰款；沒有違法所得或者違法所得不足10萬元的，可以并處3萬元以上10萬元以下罰款。

7）電子認證服務(wù)機構(gòu)違規(guī)使用密碼：責令改正或者停止違法行為，給予警告，沒收違法所得；違法所得30萬元以上的，可以并處違法所得1倍以上3倍以下罰款；沒有違法所得或者違法所得不足30萬元的，可以并處10萬元以上30萬元以下罰款；情節(jié)嚴重的，依法吊銷電子認證服務(wù)使用密碼的證明文件。

8）電子政務(wù)電子認證服務(wù)機構(gòu)違法開展電子政務(wù)電子認證服務(wù)：責令改正或者停止違法行為，給予警告，沒收違法所得；違法所得30萬元以上的，可以并處違法所得1倍以上3倍以下罰款；沒有違法所得或者違法所得不足30萬元的，可以并處10萬元以上30萬元以下罰款；情節(jié)嚴重的，責令停業(yè)整頓，直至吊銷電子政務(wù)電子認證服務(wù)機構(gòu)資質(zhì)。

9）關(guān)鍵信息基礎(chǔ)設(shè)施的運營者未按照要求使用商用密碼/開展商用密碼應(yīng)用安全性評估：責令改正或停止使用，給予警告；拒不改正或有其他嚴重情節(jié)的，處10萬元以上100萬元以下罰款，對直接負責的主管人員處1萬元以上10萬元以下罰款。

10）關(guān)鍵信息基礎(chǔ)設(shè)施的運營者使用未經(jīng)安全審查/安全審查未通過的商用密碼產(chǎn)品/服務(wù)：責令停止使用，處采購金額1倍以上10倍以下罰款；對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款。

11）網(wǎng)絡(luò)運營者未按照國家網(wǎng)絡(luò)安全等級保護制度要求使用商用密碼保護網(wǎng)絡(luò)安全：責令改正，給予警告；拒不改正或?qū)е挛：W(wǎng)絡(luò)安全等后果，處1萬元以上10萬元以下罰款，對直接負責的主管人員處5000元以上5萬元以下罰款。

附則

施行時間：2023年7月1日。

《條例》施行的作用與意義

一、優(yōu)化并完善我國網(wǎng)絡(luò)安全法律體系

自黨的十八大以來，貫徹落實總體國家安全觀，相繼制定修訂了網(wǎng)絡(luò)安全法、電子簽名法、密碼法、數(shù)據(jù)安全法、個人信息保護法、出口管制法等多部網(wǎng)絡(luò)安全領(lǐng)域法律，構(gòu)建具有中國特色的網(wǎng)絡(luò)安全法律體系。

《條例》在《密碼法》框架下做了全面修訂，不僅與《密碼法》緊密銜接，而且充分吸納過往的成功經(jīng)驗與實踐成果，推進商用密碼在各領(lǐng)域、各環(huán)節(jié)、各要素的應(yīng)用落地。

二、鼓勵商用密碼創(chuàng)新與新技術(shù)的融合發(fā)展

隨著商用密碼應(yīng)用不斷深入，云計算、大數(shù)據(jù)、區(qū)塊鏈、人工智能、量子計算、數(shù)字貨幣、物聯(lián)網(wǎng)等重要領(lǐng)域與商用密碼結(jié)合越來越多；商用密碼技術(shù)研究邊界與內(nèi)涵不斷擴展，覆蓋的數(shù)據(jù)要素市場越來越龐大，需要解決的數(shù)據(jù)安全問題越來越具體。

《條例》對商用密碼的發(fā)展提出了人才培養(yǎng)、密碼學科和專業(yè)建設(shè)、密碼學術(shù)研究與交流、密碼技術(shù)審查等多方面的創(chuàng)新促進機制。中國科學院軟件研究所張振峰講到：“《條例》規(guī)定國家支持商用密碼科學技術(shù)自主創(chuàng)新，鼓勵和支持商用密碼科學技術(shù)成果轉(zhuǎn)化和產(chǎn)業(yè)化應(yīng)用，支持網(wǎng)絡(luò)產(chǎn)品、服務(wù)使用商用密碼提升安全性，支持并規(guī)范商用密碼在信息領(lǐng)域新技術(shù)、新業(yè)態(tài)、新模式中的應(yīng)用?！?

三、加強商用密碼應(yīng)用的縱深推進

《條例》通過“四級管理+專項管理”機制加強商用密碼應(yīng)用安全性評估、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評在過程中銜接以及結(jié)果的復(fù)用。綜合解決國內(nèi)商用密碼應(yīng)用不廣泛、不規(guī)范和不充分等實際問題，進一步強化商用密碼應(yīng)用的深度和廣度。

并且《條例》超過四分之一的篇幅對違反條例規(guī)定的不同違法行為明確規(guī)定相應(yīng)的法律責任、處罰力度，通過條例權(quán)威性加快密碼應(yīng)用的合規(guī)與縱深。

安恒信息針對商用密碼

應(yīng)用建設(shè)的思考

此次《條例》的修訂公布，進一步鼓勵公民、法人和其他組織依法使用商用密碼保護網(wǎng)絡(luò)與信息安全?！稐l例》根據(jù)《密碼法》相關(guān)規(guī)定，對關(guān)鍵信息基礎(chǔ)設(shè)施運營者使用商用密碼的規(guī)范要求進行了細化補充，同時針對網(wǎng)絡(luò)運營者，《條例》也提出了明確要求：“網(wǎng)絡(luò)運營者應(yīng)當按照國家網(wǎng)絡(luò)安全等級保護制度要求，使用商用密碼保護網(wǎng)絡(luò)安全”。

當前各行業(yè)開展商用密碼建設(shè)時，普遍將商用密碼應(yīng)用安全性評估（即“密評”）相關(guān)標準作為應(yīng)用建設(shè)的抓手和依據(jù)。但由于密碼應(yīng)用具有業(yè)務(wù)強關(guān)聯(lián)屬性，如何制定符合自身業(yè)務(wù)情況的應(yīng)用方案，讓商用密碼得到正確、有效的應(yīng)用，成為廣大網(wǎng)絡(luò)運營者面臨的一項挑戰(zhàn)。

正是因為商用密碼應(yīng)用方案的上述特點，使網(wǎng)絡(luò)運營者對于方案建設(shè)廠家的選擇變的尤為重要。安恒信息基于多年來在商用密碼應(yīng)用領(lǐng)域的沉淀和積累，憑借自身專業(yè)、豐富的經(jīng)驗，能夠快速幫助用戶設(shè)計出符合其業(yè)務(wù)特性、行之有效的商用密碼應(yīng)用方案，讓用戶在商用密碼應(yīng)用建設(shè)上少走彎路。

目前，安恒信息擁有5大類10余款商用密碼產(chǎn)品，20+商用密碼相關(guān)技術(shù)專利，70+商用密碼相關(guān)軟件著作權(quán)，可以為用戶提供完整的商用密碼解決方案。同時，針對密碼應(yīng)用改造難、落地難得問題，安恒信息創(chuàng)新性提出以傳輸透明加密、數(shù)據(jù)庫透明存儲加密產(chǎn)品為主的“輕改造，無感知”密碼應(yīng)用方案，幫助各行業(yè)用戶更簡單的使用商用密碼能力。針對云上場景，密碼服務(wù)平臺已和安恒云-天池平臺完成融合對接，對用戶而言僅需一套平臺，便可以同時擁有等保安全、數(shù)據(jù)安全、商用密碼的相關(guān)能力，快速解決云上安全問題。

安恒信息通過完善的商用密碼產(chǎn)品體系和專業(yè)的安全服務(wù)，已累計幫助各行業(yè)上百家用戶完成商密應(yīng)用改造，并獲得2022年工信部首屆全國商用密碼應(yīng)用優(yōu)秀案例、2022“直通烏鎮(zhèn)”全球互聯(lián)網(wǎng)大賽總決賽二等獎等多項行業(yè)獎項，充分得到市場認可。未來，安恒信息將持續(xù)在商用密碼領(lǐng)域發(fā)力，讓商用密碼更簡單的賦能千行百業(yè)。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>