第十三届全国人大常委会第十一次会议对《中华人民共和国密码法(草案)》进行了审议。中国人大网发布了《中华人民共和国密码法(草案)》,社会公众可以直接登录中国人大网(www.npc.gov.cn)提出意见,也可以将意见寄送全国人大常委会法制工作委员会(北京市西城区前门西大街1号,邮编:100805。信封上请注明密码法草案征求意见)。征求意见截止日期:2019年9月2日。
中华人民共和国密码法(草案)
总则
第一条 为了规范密码应用和管理,促进密码发展,保障网络与信息安全,保护公民、法人和其他组织的合法权益,维护国家安全和社会公共利益,制定本法。
第二条 本法所称密码,是指使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。
第三条 密码工作坚持总体国家安全观,遵循统一领导、分级负责,创新发展、服务大局,依法管理、保障安全的原则。
第四条 坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导,制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。
第五条 国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。
国家机关和涉及密码的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。
第六条 密码分为核心密码、普通密码和商用密码。国家对密码实行分类管理。
第七条 核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。
核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码的科研、生产、检测、装备、使用和销毁等实行严格统一管理。
第八条 商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。
第九条 国家鼓励和支持密码科学技术研究、交流,依法保护密码知识产权,促进密码科学技术进步和创新。
对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。
第十条 国家采取多种形式加强密码宣传教育,将密码安全教育纳入国民教育体系和公务员教育培训体系,鼓励和支持社会团体、公众开展和参与密码知识的普及、推广。
第十一条 县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级预算。
第十二条 任何组织或者个人不得窃取他人的加密信息,不得非法侵入他人的密码保障系统,不得利用密码从事危害国家安全、社会公共利益、他人合法权益的活动或者其他违法犯罪活动。
核心密码、普通密码
第十三条 国家加强核心密码、普通密码的科学规划和使用,加强制度建设,完善管理措施,增强密码通信服务和网络空间密码保障能力。
第十四条 在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当根据国家秘密信息的最高密级,依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护或者安全认证。
第十五条 核心密码、普通密码的科研、生产、检测、装备、使用和销毁单位(以下统称密码工作机构)应当按照法律、行政法规、国家有关规定及国家密码管理部门的要求,建立健全安全管理制度,采取严格的保密措施,确保核心密码、普通密码的安全。
第十六条 密码管理部门依法对密码工作机构的核心密码、普通密码工作进行指导、监督和检查,密码工作机构应当配合。
第十七条 密码管理部门根据工作需要会同有关部门建立核心密码、普通密码安全监测预警、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。
密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题的,应当立即采取应对措施,并及时向保密行政管理部门、密码管理部门报告,由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置或者指导有关密码工作机构及时消除安全隐患。
第十八条 国家加强密码工作机构建设,保障其履行工作职责。
国家加强核心密码、普通密码人才队伍培养、建设,建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。
第十九条 密码管理部门根据核心密码、普通密码工作需要,按照国家有关规定,可以提请公安、交通运输、海关等部门对有关物品和人员提供免检等便利。
第二十条 密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度,对其工作人员遵守法律和纪律等情况进行监督,并依法采取必要措施,定期或者不定期组织开展安全审查。
商用密码
第二十一条 国家鼓励商用密码技术的研究开发和应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。
商用密码的科研、生产、销售、服务和进出口,不得损害国家安全、社会公共利益或者公民、法人和其他组织的合法权益。
第二十二条 国家建立和完善商用密码标准体系。
国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。
国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
第二十三条 国家建立和完善商用密码标准体系。
国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。
国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
第二十四条 商用密码从业单位从事商用密码科研、生产、销售、服务、进出口等活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及从业单位公开标准的技术要求。
国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。
第二十五条 国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范和规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。
商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范和规则开展商用密码检测认证。
第二十六条 涉及国家安全、国计民生、社会公共利益的商用密码产品列入网络关键设备和网络安全专用产品目录,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
用于网络关键设备和网络安全专用产品的商用密码服务,应当由商用密码认证、检测机构安全认证合格或者安全检测符合要求后,方可提供。
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,开展商用密码应用安全性评估。
关键信息基础设施的运营者和国家机关采购、使用涉及商用密码的网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
第二十八条 国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。
大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
第二十九条 国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。
第三十条 商用密码行业协会依照法律、行政法规及其章程的规定,为商用密码从业单位提供商用密码信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码科研、生产、销售、服务、进出口等活动,加强行业自律,推动行业诚信建设,促进行业健康发展.
第三十一条 密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督.
法律责任
第三十二条 违反本法第十二条或者有关法律、行政法规规定,窃取他人的加密信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益的活动或者其他违法犯罪活动的,依法追究法律责任。
第三十三条 违反本法第十四条规定使用核心密码、普通密码的,由密码管理部门责令改正或者停止违法行为,给予警告;情节严重的,由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
第三十四条 违反本法或者有关法律、行政法规和国家有关规定,发生核心密码、普通密码泄密案件的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
第三十五条 商用密码检测、认证机构违反本法第二十五条第二款规定开展商用密码检测认证的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款;情节严重的,依法吊销相关资质。
第三十六条 违反本法第二十六条规定,销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的商用密码产品或者服务的,由市场监督管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。
第三十七条 违反本法第二十七条第一款规定使用商用密码,违反本法第二十七条第二款规定采购、使用未经安全审查或者安全审查未通过的产品或者服务的,依照《中华人民共和国网络安全法》的规定处罚。
第三十八条 违反本法第二十八条规定进出口商用密码的,由国务院商务主管部门或者海关依法予以处罚。
第三十九条 违反本法第二十九条规定,未经认定从事电子政务电子认证服务的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款。
第四十条 国家机关工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊的,依法给予处分。
第四十一条 违反本法规定,构成犯罪的,依法追究刑事责任。
附则
第四十二条 国家密码管理部门依照法律、行政法规的规定,制定密码管理规章。
第四十三条 军队密码工作管理办法,由中央军事委员会根据本法制定。
第四十四条 本法自年月日起施行。