密码法

公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。

第九条   国家鼓励和支持密码科学技术研究和应用，依法保护密码领域的知识产权，促

进密码科学技术进步和创新。

国家加强密码人才培养和队伍建设，对在密码工作中作出突出贡献的组织和个人，按照

国家有关规定给予表彰和奖励。

第十条   国家采取多种形式加强密码安全教育，将密码安全教育纳入国民教育体系和公

务员教育培训体系，增强公民、法人和其他组织的密码安全意识。

第十一条   县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划，所需

经费列入本级财政预算。

第十二条   任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码

保障系统。

任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违

法犯罪活动。

第二章   核心密码、普通密码

第十三条   国家加强核心密码、普通密码的科学规划、管理和使用，加强制度建设，完 善管理措施，增强密码安全保障能力。

第十四条   在有线、无线通信中传递的国家秘密信息，以及存储、处理国家秘密信息的 信息系统，应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、

安全认证。

第十五条   从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工 作的机构(以下统称密码工作机构)应当按照法律、行政法规、国家有关规定以及核心密码、 普通密码标准的要求，建立健全安全管理制度，采取严格的保密措施和保密责任制，确保核

心密码、普通密码的安全。

第十六条   密码管理部门依法对密码工作机构的核心密码、普通密码工作进行指导、监

督和检查，密码工作机构应当配合。

第十七条   密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监 测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制，确保核心密码、 普通密码安全管理的协同联动和有序高效。

密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问 题、风险隐患的，应当立即采取应对措施，并及时向保密行政管理部门、密码管理部门报告，

由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置，并指导有关密码工 作机构及时消除安全隐患。

第十八条   国家加强密码工作机构建设，保障其履行工作职责。

国家建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待

遇、奖惩、交流、退出等管理制度。

第十九条   密码管理部门因工作需要，按照国家有关规定，可以提请公安、交通运输、

海关等部门对核心密码、普通密码有关物品和人员提供免检等便利，有关部门应当予以协助。

第二十条   密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度，对 其工作人员遵守法律和纪律等情况进行监督，并依法采取必要措施，定期或者不定期组织开 展安全审查。

第三章   商用密码

第二十一条   国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用，健

全统一、开放、竞争、有序的商用密码市场体系，鼓励和促进商用密码产业发展。

各级人民政府及其有关部门应当遵循非歧视原则，依法平等对待包括外商投资企业在内 的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。国家鼓 励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人

员不得利用行政手段强制转让商用密码技术。

商用密码的科研、生产、销售、服务和进出口，不得损害国家安全、社会公共利益或者

他人合法权益。

第二十二条   国家建立和完善商用密码标准体系。

国务院标准化行政主管部门和国家密码管理部门依据各自职责，组织制定商用密码国家 标准、行业标准。

国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求 的商用密码团体标准、企业标准。

第二十三条   国家推动参与商用密码国际标准化活动，参与制定商用密码国际标准，推 进商用密码中国标准与国外标准之间的转化运用。

国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。

第二十四条   商用密码从业单位开展商用密码活动，应当符合有关法律、行政法规、商

用密码强制性国家标准以及该从业单位公开标准的技术要求。

国家鼓励商   用密码从业单位采用商用密码推荐性国家标准、行业标准，提升商用密码 的防护能力，维护用户的合法权益。

第二十五条   国家推进商用密码检测认证体系建设，制定商用密码检测认证技术规范、 规则，鼓励商用密码从业单位自愿接受商用密码检测认证，提升市场竞争力。

商用密码检测、认证机构应当依法取得相关资质，并依照法律、行政法规的规定和商用 密码检测认证技术规范、规则开展商用密码检测认证。

商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密 承担保密义务。

第二十六条   涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入 网络关键设备和网络安全专用产品目录，由具备资格的机构检测认证合格后，方可销售或者 提供。商用密码产品检测认证适用《中华人民共和国网络安全法》 的有关规定，避免重复检 测认证。

商用密码服务使用网络关键设备和网络安全专用产品的，应当经商用密码认证机构对该 商用密码服务认证合格。

第二十七条   法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基 础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密 码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络 安全等级测评制度相衔接，避免重复评估、测评。

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的 应当按照《中华人民共和国网络安全法》 的规定，通过国家网信部门会同国家密码管理部门

等有关部门组织的国家安全审查。

第二十八条   国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共 利益且具有加密保护功能的商用密码实施进口许可，对涉及国家安全、社会公共利益或者中 国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院

商务主管部门会同国家密码管理部门和海关总署制定并公布。

大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

第二十九条   国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机 构进行认定，会同有关部门负责政务活动中使用电子签名、数据电文的管理。

第三十条   商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定，为商 用密码从业单位提供信息、技术、培训等服务，引导和督促商用密码从业单位依法开展商用 密码活动，加强行业自律，推动行业诚信建设，促进行业健康发展。

第三十一条   密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事   中事后监管制度，建立统一的商用密码监督管理信息平台，推进事中事后监管与社会信用体

系相衔接，强化商用密码从业单位自律和社会监督。

密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认 证机构向其披露源代码等密码相关专有信息，并对其在履行职责中知悉的商业秘密和个人隐 私严格保密，不得泄露或者非法向他人提供。

第四章   法律责任

第三十二条   违反本法第十二条规定，窃取他人加密保护的信息，非法侵入他人的密码 保障系统，或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的， 由有关部门依照《中华人民共和国网络安全法》 和其他有关法律、行政法规的规定追究法律

责任。

第三十三条   违反本法第十四条规定，未按照要求使用核心密码、普通密码的，由密码 管理部门责令改正或者停止违法行为，给予警告； 情节严重的，由密码管理部门建议有关国 家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

第三十四条   违反本法规定，发生核心密码、普通密码泄密案件的，由保密行政管理部 门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法

给予处分或者处理。

违反本法第十七条第二款规定，发现核心密码、普通密码泄密或者影响核心密码、普通 密码安全的重大问题、风险隐患，未立即采取应对措施，或者未及时报告的，由保密行政管 理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员

依法给予处分或者处理。

第三十五条   商用密码检测、认证机构违反本法第二十五条第二款、第三款规定开展商 用密码检测认证的，由市场监督管理部门会同密码管理部门责令改正或者停止违法行为，给 予警告，没收违法所得； 违法所得三十万元以上的，可以并处违法所得一倍以上三倍以下罚 款； 没有违法所得或者违法所得不足三十万元的，可以并处十万元以上三十万元以下罚款； 情节严重的，依法吊销相关资质。

第三十六条   违反本法第二十六条规定，销售或者提供未经检测认证或者检测认证不合 格的商用密码产品，或者提供未经认证或者认证不合格的商用密码服务的，由市场监督管理 部门会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得； 违法所得十万元以上的，可以并处违法所得一倍以上三倍以下罚款； 没有违法所得或者违法 所得不足十万元的，可以并处三万元以上十万元以下罚款。

第三十七条   关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求 使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正， 给予警告； 拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对 直接负责的主管人员处一万元以上十万元以下罚款。

关键信息基础设施的运营者违反本法第二十七条第二款规定，使用未经安全审查或者安 全审查未通过的产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍

以下罚款； 对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第三十八条   违反本法第二十八条实施进口许可、出口管制的规定，进出口商用密码的，

由国务院商务主管部门或者海关依法予以处罚。

第三十九条   违反本法第二十九条规定，未经认定从事电子政务电子认证服务的，由密 码管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得； 违法所得三 十万元以上的，可以并处违法所得一倍以上三倍以下罚款； 没有违法所得或者违法所得不足

三十万元的，可以并处十万元以上三十万元以下罚款。

第四十条   密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职 守、徇私舞弊，或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的，依 法给予处分。

第四十一条   违反本法规定，构成犯罪的，依法追究刑事责任； 给他人造成损害的，依 法承担民事责任。

第五章   附    则

第四十二条   国家密码管理部门依照法律、行政法规的规定，制定密码管理规章。

第四十三条   中国人民解放军和中国人民武装警察部队的密码工作管理办法，由中央军 事委员会根据本法制定。

第四十四条   本法自 2020 年 1 月 1 日起施行。