商(shāng)用密碼應用安全性評估正式由“推薦性”轉爲“強制性”
編輯:2023-05-26 15:18:03
黨中(zhōng)央、國務院高度重視商(shāng)用密碼工(gōng)作。近年來,生(shēng)成式人工(gōng)智能、數據交易、數據全生(shēng)命周期安全管理等業務場景的快速發展,關鍵信息基礎設施安全重要性突顯,複雜(zá)的應用場景和嚴峻的網絡安全形勢對商(shāng)用密碼提出了更高的保障需求。随着商(shāng)用密碼在網絡與信息系統中(zhōng)廣泛應用,其維護國家主權、安全和發展利益的作用越來越凸顯。
黨的十八大(dà)以來,黨中(zhōng)央、國務院對商(shāng)用密碼創新發展和行政審批制度改革提出了一(yī)系列要求,2020年施行的密碼法對商(shāng)用密碼管理制度進行了結構性重塑。爲了貫徹落實行政審批制度改革精神,細化密碼法相關制度,對1999年公布的《條例》進行了******修訂。有網絡安全從業者表示,商(shāng)用密碼市場規模近年來快速增長,在多個領域成爲行業“剛需”,本次公布修訂的《條例》将進一(yī)步推動商(shāng)業密碼在數字化進程中(zhōng)的推廣速度,促進行業加快技術與産品創新。修訂後的《條例》,重點規定了以下(xià)内容。
一(yī)是完善商(shāng)用密碼管理體(tǐ)制。《條例》規定縣級以上密碼管理部門負責管理相應行政區域的商(shāng)用密碼工(gōng)作;網信、商(shāng)務、海關、市場監督管理等有關部門在各自職責範圍内負責商(shāng)用密碼有關管理工(gōng)作;明确密碼管理部門和有關部門開(kāi)展商(shāng)用密碼監管的職權、協作配合、保密義務以及信用監管、舉報等制度機制。
二是促進商(shāng)用密碼科技創新與标準化建設。《條例》規定建立健全商(shāng)用密碼科技創新促進機制,保護商(shāng)用密碼領域的知(zhī)識産權,鼓勵支持商(shāng)用密碼科技成果轉化和産業化應用。優化現行商(shāng)用密碼科研成果審查鑒定審批的适用範圍。明确商(shāng)用密碼标準的制定、實施及監督檢查。
三是健全商(shāng)用密碼檢測認證體(tǐ)系。《條例》明确推進商(shāng)用密碼檢測認證體(tǐ)系建設,鼓勵在商(shāng)用密碼活動中(zhōng)自願接受商(shāng)用密碼檢測認證。明确商(shāng)用密碼檢測、認證機構資(zī)質審批條件、程序及從業規範。明确涉及國家安全、國計民生(shēng)、社會公共利益的商(shāng)用密碼産品與使用網絡關鍵設備和網絡安全專用産品的商(shāng)用密碼服務應當檢測認證合格。
四是加強電(diàn)子認證服務使用密碼和電(diàn)子政務電(diàn)子認證服務活動管理。《條例》明确電(diàn)子認證服務使用密碼要求和使用規範。明确電(diàn)子政務電(diàn)子認證服務機構資(zī)質審批條件、程序及從業規範。明确建立電(diàn)子認證信任機制,推動電(diàn)子認證服務互信互認。
五是規範商(shāng)用密碼進出口管理。《條例》根據密碼法關于商(shāng)用密碼進出口的規定和國家出口管制、兩用物(wù)項進出口管理制度,明确商(shāng)用密碼進口許可和出口管制實行清單管理,并規定了審批程序。
2023年4月14日,國務院常務會議審議通過《商(shāng)用密碼管理條例(修訂草案)》。本次修訂的《商(shāng)用密碼管理條例》予以回應,進行了較大(dà)幅度的修改,凸顯促進商(shāng)用密碼應用與保障安全相統一(yī)的價值導向,其中(zhōng)對商(shāng)用密碼的管理、認證和檢測等方面都進行了較爲具體(tǐ)的規定,更加突出了促進商(shāng)用密碼發展的立法原意。
政策核心亮點:擴大(dà)密評範圍,變“推薦性”爲“強制化”,推進商(shāng)用密碼應用安全性評估。《條例》(征求意見稿)對于網絡安全等級保護第三級以上網絡,要求運營者應當使用商(shāng)用密碼進行護。但是由于等保 2.0 國家标準僅爲推薦性标準,并不具備強制力,因此若《條例》(征求意見稿)生(shēng)效,将會将網絡安全等級保護的推薦性的要求上升爲具有強制力的國家規範。
此外(wài),《條例》(征求意見稿)也将密評的範圍予以擴展,《密碼法》僅規定關鍵信息基礎設施進行密評。而在《條例》(征求意見稿)中(zhōng),非涉密的關鍵信息基礎設施、等級保護第三級以上網絡、國家政務信息系統等網絡與信息系統都被要求進行密評。密評有望在政策的帶動下(xià),在推進速度和落地廣度上實現雙拓展。
商(shāng)用密碼作爲 AI、數據要素和數據安全的三重基礎 空間廣闊
對于生(shēng)成式AI而言,商(shāng)用密碼一(yī)方面有望用于對輸入模型的數據本身進行加密******等防護工(gōng)作,甚至未來結合隐私計算等技術實現AI模型訓練的數據可用不可見。另一(yī)方面,針對模型輸出的生(shēng)成式文字、圖片和視頻(pín),密碼技術也有望賦能,實現内容的******性、完整性和不可抵賴性的認證。
對于數據要素和數據交易而言,商(shāng)用密碼同樣有望通過隐私計算等技術實現數據交易過程中(zhōng)的可用不可見。另一(yī)方面,針對企業和政府的數據資(zī)産,商(shāng)用密碼也有望實現資(zī)産本身的******性、完整性和不可抵賴,從而在資(zī)産的确權等方面有所助力。
對于數據安全而言,商(shāng)用密碼是主動性的數據安全防護技術,也是數據安全的基礎技術。數據庫******、數據防洩漏、網絡通信加密等有望成爲數據安全率先落地的産品和應用,而此次《商(shāng)用密碼管理條例(修訂草案)》進一(yī)步明确了密評作爲等保的前置條件,将推動密碼在數據安全中(zhōng)起到更重要的作用。
密碼安全行業的主要産品構成
按産品形态分(fēn)共六類,包括:密碼軟件類、密碼芯片類、密碼模塊累、密碼闆卡類、密碼整機類及密碼系統類。
密碼軟件類:指以純軟件形态出現的産品,主要包含信息加密軟件、密碼算法實現軟件等産品;
密碼芯片類:指以集成電(diàn)路芯片形态出現的密碼産品,主要包含密碼算法芯片、密碼SOC芯片等産品;
密碼模塊類:指以多芯片組裝的背闆形态出現,具備專用密碼功能,但本身不能完成完整的密碼功能的産品,主要包含加解密模塊、安全控制模塊等産品;
密碼闆卡類:指以闆卡形态出現,具備完整密碼功能的産品,主要包含USB 密碼鑰匙、PCI 密碼卡等産品;
密碼整機類:指以整機形态出現,具備完整密碼功能的産品,主要包含VPN、網絡密碼機、服務器密碼機、簽名驗簽服務器等産品;
密碼系統類:指以密碼形态出現,有密碼功能支撐的産品,主要包含安全認證系統、密鑰管理系統等産品。
密碼安全應用場景:
密碼安全技術已廣泛應用于社會生(shēng)活中(zhōng)的各個重大(dà)領域,包括黨政、金融、電(diàn)力、航空航天,爲維護國家安全、促進經濟發展、保護人民群衆利益作出了重要貢獻。密碼安全技術一(yī)共有七大(dà)應用場景分(fēn)别爲:物(wù)聯網、車(chē)聯網、工(gōng)業互聯網、智慧城市、區塊鏈、5G安全、雲計算。
密碼安全行業市場規模:
全球市場:據IDC數據,2020年全球IT安全産業規模達到1348.60億美元。受疫情影響,全球網絡安全市場增速回落,2021年市場規模爲1483.31億美元,同比增長9.84%,預計2022年将達到1675.81億美元,同比增長13.13%。Canalys預測,2023年全球網絡安全支出達到2238億美元,同比增長33.55%。
全球範圍内,商(shāng)用密碼市場主要集中(zhōng)在北(běi)美、西歐以及亞太三大(dà)地區。全球商(shāng)用密碼市場規模處于增長态勢,據賽迪統計數據,2021年全球商(shāng)用密碼産業規模爲375.7億美元,實現年增速22.18%,預計2027年将達到1026.4億美元,期間CAGR達18.23%。随着新興經濟體(tǐ)崛起,亞太将成爲預期内全球增長***快的地區。
中(zhōng)國市場:
據IDC,2020年我(wǒ)國IT安全産業規模達到82.62億美元(約570.66億元),2022年預計爲115.41億美元(約797.12億元),同比增長18.05%;2023年預計達136.26億美元(約941.16億元),同比增長18.07%。
密碼作爲網絡信任體(tǐ)系的重要基石,涵蓋數據加密、身份認證、消息認證三大(dà)場景。伴随我(wǒ)國網安建設由“合規驅動”向“事件驅動”轉型,密碼技術重要性有望凸顯,據賽迪研究院預測,2022年我(wǒ)國商(shāng)用密碼市場規模有望達到707.64億元,同比增長36.14%,2023年有望達985.85億元,同比增長39.32%。
密碼安全行業競争格局:
全球區域來看,以美國爲主導的北(běi)美市場仍然占據全球******的市場份額。在排名前10的網絡安全公司中(zhōng),美國公司占據了7個席位,表現出強大(dà)的國際競争力。以中(zhōng)國、日本和印度爲代表的亞太地區,受益于近期國家安全戰略的發布以及日益增長的信息安全需求,市場也呈現出高速發展的态勢。
我(wǒ)國密碼早先以國家政府部門使用爲主,近年來,随着網絡空間安全意識增強,我(wǒ)國逐步向商(shāng)用領域拓展,目前,我(wǒ)國主要廠商(shāng)已在國際舞台嶄露頭角。
根據MarketResearchIntellect統計,2020年全球密碼硬件安全市場排名前九的公司爲:Gemalto、Yubico、AtosSE、THALES、UltraElectronics、衛士通(002268)、江南(nán)天安、Ultimaco、三未信安(688489)。
據數觀天下(xià)發布的《2021-2022商(shāng)用密碼行業分(fēn)析報告》統計,國産商(shāng)用密碼廠商(shāng)數量衆多,商(shāng)用密碼技術推陳出新,密碼從業單位數量和規模不斷增加。2020年,《商(shāng)用密碼産品認證目錄》頒布後,全國擁有認證商(shāng)密産品的企業共551家;營收體(tǐ)量相對較小(xiǎo),行業集中(zhōng)度CR5爲25%,CR9爲40.4%,市場競争格局相對分(fēn)散。
以身份與數字信任軟件細分(fēn)市場爲例,據IDC發布的《2022年上半年中(zhōng)國IT安全軟件市場跟蹤報告》,2022年上半年身份與數字信任軟件市場份額前五名分(fēn)别爲亞信安全(688225)、數字認證(300579)、吉大(dà)正元(003029)、格爾軟件(603232)、信安世紀(688201),市場占有率分(fēn)别爲8.0%、6.6%、6.3%、6.0%、3.8%,合計市占率僅爲30.7%。
國産替代逐步推進 對國外(wài)供應商(shāng)依賴降低
密碼安全産業上遊以國産玩家爲主。受我(wǒ)國密碼政策的影響,對行業上遊企業實施市場準入制度,上遊企業均爲内資(zī)企業,數量衆多。國産替代穩步進行,逐漸擁有元器件供應自主權。随着國産自主可替代計劃的推進,電(diàn)子元器件、集成電(diàn)路、安全芯片趨于國産化,對國外(wài)提供商(shāng)的依賴有所降低。
但與此同時,我(wǒ)國芯片這一(yī)核心産業仍未打破國際壟斷局面;國産操作系統暫能滿足基本辦公需求,與多場景多樣化應用的結合能力還有待提升;産業鏈整體(tǐ)創新能力不足、産品品類和供給質量難以适應需求變化,密碼應用随時面臨“卡脖子危險”。
随着我(wǒ)國密碼安全産品建設逐步完善,我(wǒ)國主要廠商(shāng)也開(kāi)始進入國際舞台,開(kāi)始展露風采。電(diàn)科網安(002268)、三未信安(688489)、數字認證(300579)、信安世紀(688201)、飛天誠信(300386)等公司開(kāi)始進入國際主流供應商(shāng)名單。
近年來,全球商(shāng)用密碼市場呈現高速增長态勢。據統計, 2021年全球商(shāng)用密碼産業規模爲375.7億美元,實現年增速22.18%,預計2027年将達到1026.4億美元。随着新興經濟體(tǐ)崛起,亞太将成爲預期内全球增長***快的地區。
市場高速增長的主要原因在于新興數字化場景對于商(shāng)用密碼安全保障能力需求的擴張。西南(nán)證券研報顯示,在5G、工(gōng)業互聯網、數據中(zhōng)心等關鍵信息基礎設施領域的安全保障顯得尤爲重要,密碼的應用将成爲“剛需”,促進商(shāng)用密碼與新一(yī)代信息網絡、量子信息、人工(gōng)智能、物(wù)聯網、先進制造、工(gōng)業控制、區塊鏈、智能網聯汽車(chē)、數字貨币等融合創新。
以近期頗受關注的生(shēng)成式AI爲例,通過商(shāng)用密碼對AI輸入模型數據進行針對性加密及******,對模型訓練的過程數據、模型輸出的生(shēng)成式文件、圖片等數據進行内容加密、完整性保護。
在數據交易、數據全生(shēng)命周期安全管理等業務場景,商(shāng)用密碼亦具有廣闊的應用空間。例如,在數據采集中(zhōng)進行真實性認證,在數據存儲中(zhōng)保證敏感重要數據加密存儲,在數據處理中(zhōng)保證數據認證與訪問控制及數據使用行爲不可抵賴。數據交易方面,通過隐私計算、區塊鏈等技術,可以實現數據交易過程可用不可見、交易行爲不可抵賴,達成數據資(zī)産的确權,促進數據要素安全流通。
“(修訂草案的推出)爲促進數字經濟快速發展,建立健全商(shāng)用密碼科技創新促進機制,推動商(shāng)用密碼科技成果轉化和産業化應用,促進商(shāng)用密碼市場持續健康發展。”國聯證券在研報中(zhōng)指出。
随着《密碼法》《商(shāng)用密碼管理條例(修訂草案)》《信息安全技術信息系統密碼應用基本要求》等法律法規及标準規範的發布,密碼使用由行政推進向依法規範應用轉變,強化了密碼應用建設要求,進一(yī)步推動商(shāng)用密碼應用快速發展。政策合規及安全業務雙驅動對密碼需求不斷增長,尤其信創産業、數字經濟大(dà)發展帶來千億規模商(shāng)用密碼市場。
雲密碼服務能夠爲各類業務系統提供質量相同的密碼保護,是解決業務系統不斷雲化、複雜(zá)化的必然技術路線,适配零散的本地密碼服務難以支撐雲上業務系統的新場景和新業态。業務系統需要密碼服務“貼身”保護,但業務系統雲化趨勢導緻本地密碼服務與雲上業務被切割,雲密碼服務建設迫在眉睫性,其必要性和必然性分(fēn)析如下(xià):
業務系統雲化是當前趨勢
密碼服務上雲需要改變産品形态
雲密碼服務管理系統需要滿足合規性要求
雲密碼服務建設痛點與用戶難點
雲密碼服務管理系統自身在建設時,爲了達到“集中(zhōng)、集成、集約”的效果,導緻需要打通不同形态不同功能的商(shāng)用密碼産品之間的互聯互通以提供完備的密碼服務全集,進而導緻建設初期設備采購的成本的增加,以及由于多種商(shāng)用密碼産品之間的擴展性和兼容性差異導緻的改造成本增加,将成爲主要的難點問題。
密碼設備采購投入成本大(dà):用戶訪問量大(dà)、業務使用量大(dà)、密碼服務功能的複雜(zá)性高等原因,直接導緻整體(tǐ)采購難度大(dà)、費(fèi)用高
雲密碼服務管理系統的改造成本高:雲密碼服務管理系統不是對各類合規的商(shāng)用密碼設備的簡單堆疊,需要能夠對其從安全和性能兩方面通盤考慮整個系統的運行和優化機制。
雲密碼服務難以“貼身”的問題:密碼服務與業務系統上雲的異步性差異,使得在雲密碼服務管理系統建立完成提供密碼服務時,業務系統存在未上雲、全部上雲和部分(fēn)上雲三種可能。
相關上市公司:
專注于密碼行業的廠商(shāng):三未信安(688489)、信安世紀(688201)、格爾軟件(603232)、吉大(dà)正元(003029)、數字認證(300579)、電(diàn)科網安(002268);
遠期有望帶動整個數據安全行業的景氣度上行:啓明星辰(002439)、奇安信(688561)、安恒信息(688023)、深信服(300454)、美亞柏科(300188)、迪普科技(300768)、安博通(688168)、永信至誠(688244)、天融信(002212)等。
附:修訂版《商(shāng)用密碼管理條例》
中(zhōng)華人民共和國國務院令
第760号
《商(shāng)用密碼管理條例》已經2023年4月14日國務院第4次常務會議修訂通過,現予公布,自2023年7月1日起施行。
總理 李強
2023年4月27日
商(shāng)用密碼管理條例
(1999年10月7日中(zhōng)華人民共和國國務院令第273号發布 2023年4月27日中(zhōng)華人民共和國國務院令第760号修訂)
******章 總 則
******條 爲了規範商(shāng)用密碼應用和管理,鼓勵和促進商(shāng)用密碼産業發展,保障網絡與信息安全,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益,根據《中(zhōng)華人民共和國密碼法》等法律,制定本條例。
第二條 在中(zhōng)華人民共和國境内的商(shāng)用密碼科研、生(shēng)産、銷售、服務、檢測、認證、進出口、應用等活動及監督管理,适用本條例。
本條例所稱商(shāng)用密碼,是指采用特定變換的方法對不屬于國家秘密的信息等進行加密保護、安全認證的技術、産品和服務。
第三條 堅持中(zhōng)國*********對商(shāng)用密碼工(gōng)作的領導,貫徹落實總體(tǐ)國家安全觀。國家密碼管理部門負責管理全國的商(shāng)用密碼工(gōng)作。縣級以上地方各級密碼管理部門負責管理本行政區域的商(shāng)用密碼工(gōng)作。
網信、商(shāng)務、海關、市場監督管理等有關部門在各自職責範圍内負責商(shāng)用密碼有關管理工(gōng)作。
第四條 國家加強商(shāng)用密碼人才培養,建立健全商(shāng)用密碼人才發展體(tǐ)制機制和人才評價制度,鼓勵和支持密碼相關學科和專業建設,規範商(shāng)用密碼社會化培訓,促進商(shāng)用密碼人才交流。
第五條 各級人民政府及其有關部門應當采取多種形式加強商(shāng)用密碼宣傳教育,增強公民、法人和其他組織的密碼安全意識。
第六條 商(shāng)用密碼領域的學會、行業協會等社會組織依照法律、行政法規及其章程的規定,開(kāi)展學術交流、政策研究、公共服務等活動,加強學術和行業自律,推動誠信建設,促進行業健康發展。
密碼管理部門應當加強對商(shāng)用密碼領域社會組織的指導和支持。
第二章 科技創新與标準化
第七條 國家建立健全商(shāng)用密碼科學技術創新促進機制,支持商(shāng)用密碼科學技術自主創新,對作出突出貢獻的組織和個人按照國家有關規定予以表彰和獎勵。
國家依法保護商(shāng)用密碼領域的知(zhī)識産權。從事商(shāng)用密碼活動,應當增強知(zhī)識産權意識,提高運用、保護和管理知(zhī)識産權的能力。
國家鼓勵在外(wài)商(shāng)投資(zī)過程中(zhōng)基于自願原則和商(shāng)業規則開(kāi)展商(shāng)用密碼技術合作。行政機關及其工(gōng)作人員(yuán)不得利用行政手段強制轉讓商(shāng)用密碼技術。
第八條 國家鼓勵和支持商(shāng)用密碼科學技術成果轉化和産業化應用,建立和完善商(shāng)用密碼科學技術成果信息彙交、發布和應用情況反饋機制。
第九條 國家密碼管理部門組織對法律、行政法規和國家有關規定要求使用商(shāng)用密碼進行保護的網絡與信息系統所使用的密碼算法、密碼協議、密鑰管理機制等商(shāng)用密碼技術進行審查鑒定。
第十條 國務院标準化行政主管部門和國家密碼管理部門依據各自職責,組織制定商(shāng)用密碼國家标準、行業标準,對商(shāng)用密碼團體(tǐ)标準的制定進行規範、引導和監督。國家密碼管理部門依據職責,建立商(shāng)用密碼标準實施信息反饋和評估機制,對商(shāng)用密碼标準實施進行監督檢查。
國家推動參與商(shāng)用密碼國際标準化活動,參與制定商(shāng)用密碼國際标準,推進商(shāng)用密碼中(zhōng)國标準與國外(wài)标準之間的轉化運用,鼓勵企業、社會團體(tǐ)和教育、科研機構等參與商(shāng)用密碼國際标準化活動。
其他領域的标準涉及商(shāng)用密碼的,應當與商(shāng)用密碼國家标準、行業标準保持協調。
第十一(yī)條 從事商(shāng)用密碼活動,應當符合有關法律、行政法規、商(shāng)用密碼強制性國家标準,以及自我(wǒ)聲明公開(kāi)标準的技術要求。
國家鼓勵在商(shāng)用密碼活動中(zhōng)采用商(shāng)用密碼推薦性國家标準、行業标準,提升商(shāng)用密碼的防護能力,維護用戶的合法權益。
第三章 檢測認證
第十二條 國家推進商(shāng)用密碼檢測認證體(tǐ)系建設,鼓勵在商(shāng)用密碼活動中(zhōng)自願接受商(shāng)用密碼檢測認證。
第十三條 從事商(shāng)用密碼産品檢測、網絡與信息系統商(shāng)用密碼應用安全性評估等商(shāng)用密碼檢測活動,向社會出具具有證明作用的數據、結果的機構,應當經國家密碼管理部門認定,依法取得商(shāng)用密碼檢測機構資(zī)質。
第十四條 取得商(shāng)用密碼檢測機構資(zī)質,應當符合下(xià)列條件:
(一(yī))具有法人資(zī)格;
(二)具有與從事商(shāng)用密碼檢測活動相适應的資(zī)金、場所、設備設施、專業人員(yuán)和專業能力;
(三)具有保證商(shāng)用密碼檢測活動有效運行的管理體(tǐ)系。
第十五條 申請商(shāng)用密碼檢測機構資(zī)質,應當向國家密碼管理部門提出書(shū)面申請,并提交符合本條例第十四條規定條件的材料。
國家密碼管理部門應當自受理申請之日起20個工(gōng)作日内,對申請進行審查,并依法作出是否準予認定的決定。
需要對申請人進行技術評審的,技術評審所需時間不計算在本條規定的期限内。國家密碼管理部門應當将所需時間書(shū)面告知(zhī)申請人。
第十六條 商(shāng)用密碼檢測機構應當按照法律、行政法規和商(shāng)用密碼檢測技術規範、規則,在批準範圍内獨立、公正、科學、誠信地開(kāi)展商(shāng)用密碼檢測,對出具的檢測數據、結果負責,并定期向國家密碼管理部門報送檢測實施情況。
商(shāng)用密碼檢測技術規範、規則由國家密碼管理部門制定并公布。
第十七條 國務院市場監督管理部門會同國家密碼管理部門建立國家統一(yī)推行的商(shāng)用密碼認證制度,實行商(shāng)用密碼産品、服務、管理體(tǐ)系認證,制定并公布認證目錄和技術規範、規則。
第十八條 從事商(shāng)用密碼認證活動的機構,應當依法取得商(shāng)用密碼認證機構資(zī)質。
申請商(shāng)用密碼認證機構資(zī)質,應當向國務院市場監督管理部門提出書(shū)面申請。申請人除應當符合法律、行政法規和國家有關規定要求的認證機構基本條件外(wài),還應當具有與從事商(shāng)用密碼認證活動相适應的檢測、檢查等技術能力。
國務院市場監督管理部門在審查商(shāng)用密碼認證機構資(zī)質申請時,應當征求國家密碼管理部門的意見。
第十九條 商(shāng)用密碼認證機構應當按照法律、行政法規和商(shāng)用密碼認證技術規範、規則,在批準範圍内獨立、公正、科學、誠信地開(kāi)展商(shāng)用密碼認證,對出具的認證結論負責。
商(shāng)用密碼認證機構應當對其認證的商(shāng)用密碼産品、服務、管理體(tǐ)系實施有效的跟蹤調查,以保證通過認證的商(shāng)用密碼産品、服務、管理體(tǐ)系持續符合認證要求。
第二十條 涉及國家安全、國計民生(shēng)、社會公共利益的商(shāng)用密碼産品,應當依法列入網絡關鍵設備和網絡安全專用産品目錄,由具備資(zī)格的商(shāng)用密碼檢測、認證機構檢測認證合格後,方可銷售或者提供。
第二十一(yī)條 商(shāng)用密碼服務使用網絡關鍵設備和網絡安全專用産品的,應當經商(shāng)用密碼認證機構對該商(shāng)用密碼服務認證合格。
第四章 電(diàn)子認證
第二十二條 采用商(shāng)用密碼技術提供電(diàn)子認證服務,應當具有與使用密碼相适應的場所、設備設施、專業人員(yuán)、專業能力和管理體(tǐ)系,依法取得國家密碼管理部門同意使用密碼的證明文件。
第二十三條 電(diàn)子認證服務機構應當按照法律、行政法規和電(diàn)子認證服務密碼使用技術規範、規則,使用密碼提供電(diàn)子認證服務,保證其電(diàn)子認證服務密碼使用持續符合要求。
電(diàn)子認證服務密碼使用技術規範、規則由國家密碼管理部門制定并公布。
第二十四條 采用商(shāng)用密碼技術從事電(diàn)子政務電(diàn)子認證服務的機構,應當經國家密碼管理部門認定,依法取得電(diàn)子政務電(diàn)子認證服務機構資(zī)質。
第二十五條 取得電(diàn)子政務電(diàn)子認證服務機構資(zī)質,應當符合下(xià)列條件:
(一(yī))具有企業法人或者事業單位法人資(zī)格;
(二)具有與從事電(diàn)子政務電(diàn)子認證服務活動及其使用密碼相适應的資(zī)金、場所、設備設施和專業人員(yuán);
(三)具有爲政務活動提供長期電(diàn)子政務電(diàn)子認證服務的能力;
(四)具有保證電(diàn)子政務電(diàn)子認證服務活動及其使用密碼安全運行的管理體(tǐ)系。
第二十六條 申請電(diàn)子政務電(diàn)子認證服務機構資(zī)質,應當向國家密碼管理部門提出書(shū)面申請,并提交符合本條例第二十五條規定條件的材料。
國家密碼管理部門應當自受理申請之日起20個工(gōng)作日内,對申請進行審查,并依法作出是否準予認定的決定。
需要對申請人進行技術評審的,技術評審所需時間不計算在本條規定的期限内。國家密碼管理部門應當将所需時間書(shū)面告知(zhī)申請人。
第二十七條 外(wài)商(shāng)投資(zī)電(diàn)子政務電(diàn)子認證服務,影響或者可能影響國家安全的,應當依法進行外(wài)商(shāng)投資(zī)安全審查。
第二十八條 電(diàn)子政務電(diàn)子認證服務機構應當按照法律、行政法規和電(diàn)子政務電(diàn)子認證服務技術規範、規則,在批準範圍内提供電(diàn)子政務電(diàn)子認證服務,并定期向主要辦事機構所在地省、自治區、直轄市密碼管理部門報送服務實施情況。
電(diàn)子政務電(diàn)子認證服務技術規範、規則由國家密碼管理部門制定并公布。
第二十九條 國家建立統一(yī)的電(diàn)子認證信任機制。國家密碼管理部門負責電(diàn)子認證信任源的規劃和管理,會同有關部門推動電(diàn)子認證服務互信互認。
第三十條 密碼管理部門會同有關部門負責政務活動中(zhōng)使用電(diàn)子簽名、數據電(diàn)文的管理。
政務活動中(zhōng)電(diàn)子簽名、電(diàn)子印章、電(diàn)子證照等涉及的電(diàn)子認證服務,應當由依法設立的電(diàn)子政務電(diàn)子認證服務機構提供。
第五章 進出口
第三十一(yī)條 涉及國家安全、社會公共利益且具有加密保護功能的商(shāng)用密碼,列入商(shāng)用密碼進口許可清單,實施進口許可。涉及國家安全、社會公共利益或者中(zhōng)國承擔國際義務的商(shāng)用密碼,列入商(shāng)用密碼出口管制清單,實施出口管制。
商(shāng)用密碼進口許可清單和商(shāng)用密碼出口管制清單由國務院商(shāng)務主管部門會同國家密碼管理部門和海關總署制定并公布。
大(dà)衆消費(fèi)類産品所采用的商(shāng)用密碼不實行進口許可和出口管制制度。
第三十二條 進口商(shāng)用密碼進口許可清單中(zhōng)的商(shāng)用密碼或者出口商(shāng)用密碼出口管制清單中(zhōng)的商(shāng)用密碼,應當向國務院商(shāng)務主管部門申請領取進出口許可證。
商(shāng)用密碼的過境、轉運、通運、再出口,在境外(wài)與綜合保稅區等海關特殊監管區域之間進出,或者在境外(wài)與出口監管倉庫、保稅物(wù)流中(zhōng)心等保稅監管場所之間進出的,适用前款規定。
第三十三條 進口商(shāng)用密碼進口許可清單中(zhōng)的商(shāng)用密碼或者出口商(shāng)用密碼出口管制清單中(zhōng)的商(shāng)用密碼時,應當向海關交驗進出口許可證,并按照國家有關規定辦理報關手續。
進出口經營者未向海關交驗進出口許可證,海關有證據表明進出口産品可能屬于商(shāng)用密碼進口許可清單或者出口管制清單範圍的,應當向進出口經營者提出質疑;海關可以向國務院商(shāng)務主管部門提出組織鑒别,并根據國務院商(shāng)務主管部門會同國家密碼管理部門作出的鑒别結論依法處置。在鑒别或者質疑期間,海關對進出口産品不予放(fàng)行。
第三十四條 申請商(shāng)用密碼進出口許可,應當向國務院商(shāng)務主管部門提出書(shū)面申請,并提交下(xià)列材料:
(一(yī))申請人的法定代表人、主要經營管理人以及經辦人的身份證明;
(二)合同或者協議的副本;
(三)商(shāng)用密碼的技術說明;
(四)***終用戶和***終用途證明;
(五)國務院商(shāng)務主管部門規定提交的其他文件。
國務院商(shāng)務主管部門應當自受理申請之日起45個工(gōng)作日内,會同國家密碼管理部門對申請進行審查,并依法作出是否準予許可的決定。
對國家安全、社會公共利益或者外(wài)交政策有重大(dà)影響的商(shāng)用密碼出口,由國務院商(shāng)務主管部門會同國家密碼管理部門等有關部門報國務院批準。報國務院批準的,不受前款規定時限的限制。
第六章 應用促進
第三十五條 國家鼓勵公民、法人和其他組織依法使用商(shāng)用密碼保護網絡與信息安全,鼓勵使用經檢測認證合格的商(shāng)用密碼。
任何組織或者個人不得竊取他人加密保護的信息或者非法侵入他人的商(shāng)用密碼保障系統,不得利用商(shāng)用密碼從事危害國家安全、社會公共利益、他人合法權益等違法犯罪活動。
第三十六條 國家支持網絡産品和服務使用商(shāng)用密碼提升安全性,支持并規範商(shāng)用密碼在信息領域新技術、新業态、新模式中(zhōng)的應用。
第三十七條 國家建立商(shāng)用密碼應用促進協調機制,加強對商(shāng)用密碼應用的統籌指導。國家機關和涉及商(shāng)用密碼工(gōng)作的單位在其職責範圍内負責本機關、本單位或者本系統的商(shāng)用密碼應用和安全保障工(gōng)作。
密碼管理部門會同有關部門加強商(shāng)用密碼應用信息收集、風險評估、信息通報和重大(dà)事項會商(shāng),并加強與網絡安全監測預警和信息通報的銜接。
第三十八條 法律、行政法規和國家有關規定要求使用商(shāng)用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商(shāng)用密碼進行保護,制定商(shāng)用密碼應用方案,配備必要的資(zī)金和專業人員(yuán),同步規劃、同步建設、同步運行商(shāng)用密碼保障系統,自行或者委托商(shāng)用密碼檢測機構開(kāi)展商(shāng)用密碼應用安全性評估。
前款所列關鍵信息基礎設施通過商(shāng)用密碼應用安全性評估方可投入運行,運行後每年至少進行一(yī)次評估,評估情況按照國家有關規定報送國家密碼管理部門或者關鍵信息基礎設施所在地省、自治區、直轄市密碼管理部門備案。
第三十九條 法律、行政法規和國家有關規定要求使用商(shāng)用密碼進行保護的關鍵信息基礎設施,使用的商(shāng)用密碼産品、服務應當經檢測認證合格,使用的密碼算法、密碼協議、密鑰管理機制等商(shāng)用密碼技術應當通過國家密碼管理部門審查鑒定。
第四十條 關鍵信息基礎設施的運營者采購涉及商(shāng)用密碼的網絡産品和服務,可能影響國家安全的,應當依法通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。
第四十一(yī)條 網絡運營者應當按照國家網絡安全等級保護制度要求,使用商(shāng)用密碼保護網絡安全。國家密碼管理部門根據網絡的安全保護等級,确定商(shāng)用密碼的使用、管理和應用安全性評估要求,制定網絡安全等級保護密碼标準規範。
第四十二條 商(shāng)用密碼應用安全性評估、關鍵信息基礎設施安全檢測評估、網絡安全等級測評應當加強銜接,避免重複評估、測評。
第七章 監督管理
第四十三條 密碼管理部門依法組織對商(shāng)用密碼活動進行監督檢查,對國家機關和涉及商(shāng)用密碼工(gōng)作的單位的商(shāng)用密碼相關工(gōng)作進行指導和監督。
第四十四條 密碼管理部門和有關部門建立商(shāng)用密碼監督管理協作機制,加強商(shāng)用密碼監督、檢查、指導等工(gōng)作的協調配合。
第四十五條 密碼管理部門和有關部門依法開(kāi)展商(shāng)用密碼監督檢查,可以行使下(xià)列職權:
(一(yī))進入商(shāng)用密碼活動場所實施現場檢查;
(二)向當事人的法定代表人、主要負責人和其他有關人員(yuán)調查、了解有關情況;
(三)查閱、複制有關合同、票(piào)據、賬簿以及其他有關資(zī)料。
第四十六條 密碼管理部門和有關部門推進商(shāng)用密碼監督管理與社會信用體(tǐ)系相銜接,依法建立推行商(shāng)用密碼經營主體(tǐ)信用記錄、信用分(fēn)級分(fēn)類監管、失信懲戒以及信用修複等機制。
第四十七條 商(shāng)用密碼檢測、認證機構和電(diàn)子政務電(diàn)子認證服務機構及其工(gōng)作人員(yuán),應當對其在商(shāng)用密碼活動中(zhōng)所知(zhī)悉的國家秘密和商(shāng)業秘密承擔保密義務。
密碼管理部門和有關部門及其工(gōng)作人員(yuán)不得要求商(shāng)用密碼科研、生(shēng)産、銷售、服務、進出口等單位和商(shāng)用密碼檢測、認證機構向其披露源代碼等密碼相關專有信息,并對其在履行職責中(zhōng)知(zhī)悉的商(shāng)業秘密和個人隐私嚴格保密,不得洩露或者非法向他人提供。
第四十八條 密碼管理部門和有關部門依法開(kāi)展商(shāng)用密碼監督管理,相關單位和人員(yuán)應當予以配合,任何單位和個人不得非法幹預和阻撓。
第四十九條 任何單位或者個人有權向密碼管理部門和有關部門舉報違反本條例的行爲。密碼管理部門和有關部門接到舉報,應當及時核實、處理,并爲舉報人保密。
第八章 法律責任
第五十條 違反本條例規定,未經認定向社會開(kāi)展商(shāng)用密碼檢測活動,或者未經認定從事電(diàn)子政務電(diàn)子認證服務的,由密碼管理部門責令改正或者停止違法行爲,給予警告,沒收違法産品和違法所得;違法所得30萬元以上的,可以并處違法所得1倍以上3倍以下(xià)罰款;沒有違法所得或者違法所得不足30萬元的,可以并處10萬元以上30萬元以下(xià)罰款。
違反本條例規定,未經批準從事商(shāng)用密碼認證活動的,由市場監督管理部門會同密碼管理部門依照前款規定予以處罰。
第五十一(yī)條 商(shāng)用密碼檢測機構開(kāi)展商(shāng)用密碼檢測,有下(xià)列情形之一(yī)的,由密碼管理部門責令改正或者停止違法行爲,給予警告,沒收違法所得;違法所得30萬元以上的,可以并處違法所得1倍以上3倍以下(xià)罰款;沒有違法所得或者違法所得不足30萬元的,可以并處10萬元以上30萬元以下(xià)罰款;情節嚴重的,依法吊銷商(shāng)用密碼檢測機構資(zī)質:
(一(yī))超出批準範圍;
(二)存在影響檢測獨立、公正、誠信的行爲;
(三)出具的檢測數據、結果虛假或者失實;
(四)拒不報送或者不如實報送實施情況;
(五)未履行保密義務;
(六)其他違反法律、行政法規和商(shāng)用密碼檢測技術規範、規則開(kāi)展商(shāng)用密碼檢測的情形。
第五十二條 商(shāng)用密碼認證機構開(kāi)展商(shāng)用密碼認證,有下(xià)列情形之一(yī)的,由市場監督管理部門會同密碼管理部門責令改正或者停止違法行爲,給予警告,沒收違法所得;違法所得30萬元以上的,可以并處違法所得1倍以上3倍以下(xià)罰款;沒有違法所得或者違法所得不足30萬元的,可以并處10萬元以上30萬元以下(xià)罰款;情節嚴重的,依法吊銷商(shāng)用密碼認證機構資(zī)質:
(一(yī))超出批準範圍;
(二)存在影響認證獨立、公正、誠信的行爲;
(三)出具的認證結論虛假或者失實;
(四)未對其認證的商(shāng)用密碼産品、服務、管理體(tǐ)系實施有效的跟蹤調查;
(五)未履行保密義務;
(六)其他違反法律、行政法規和商(shāng)用密碼認證技術規範、規則開(kāi)展商(shāng)用密碼認證的情形。
第五十三條 違反本條例第二十條、第二十一(yī)條規定,銷售或者提供未經檢測認證或者檢測認證不合格的商(shāng)用密碼産品,或者提供未經認證或者認證不合格的商(shāng)用密碼服務的,由市場監督管理部門會同密碼管理部門責令改正或者停止違法行爲,給予警告,沒收違法産品和違法所得;違法所得10萬元以上的,可以并處違法所得1倍以上3倍以下(xià)罰款;沒有違法所得或者違法所得不足10萬元的,可以并處3萬元以上10萬元以下(xià)罰款。
第五十四條 電(diàn)子認證服務機構違反法律、行政法規和電(diàn)子認證服務密碼使用技術規範、規則使用密碼的,由密碼管理部門責令改正或者停止違法行爲,給予警告,沒收違法所得;違法所得30萬元以上的,可以并處違法所得1倍以上3倍以下(xià)罰款;沒有違法所得或者違法所得不足30萬元的,可以并處10萬元以上30萬元以下(xià)罰款;情節嚴重的,依法吊銷電(diàn)子認證服務使用密碼的證明文件。
第五十五條 電(diàn)子政務電(diàn)子認證服務機構開(kāi)展電(diàn)子政務電(diàn)子認證服務,有下(xià)列情形之一(yī)的,由密碼管理部門責令改正或者停止違法行爲,給予警告,沒收違法所得;違法所得30萬元以上的,可以并處違法所得1倍以上3倍以下(xià)罰款;沒有違法所得或者違法所得不足30萬元的,可以并處10萬元以上30萬元以下(xià)罰款;情節嚴重的,責令停業整頓,直至吊銷電(diàn)子政務電(diàn)子認證服務機構資(zī)質:
(一(yī))超出批準範圍;
(二)拒不報送或者不如實報送實施情況;
(三)未履行保密義務;
(四)其他違反法律、行政法規和電(diàn)子政務電(diàn)子認證服務技術規範、規則提供電(diàn)子政務電(diàn)子認證服務的情形。
第五十六條 電(diàn)子簽名人或者電(diàn)子簽名依賴方因依據電(diàn)子政務電(diàn)子認證服務機構提供的電(diàn)子簽名認證服務在政務活動中(zhōng)遭受損失,電(diàn)子政務電(diàn)子認證服務機構不能證明自己無過錯的,承擔賠償責任。
第五十七條 政務活動中(zhōng)電(diàn)子簽名、電(diàn)子印章、電(diàn)子證照等涉及的電(diàn)子認證服務,違反本條例第三十條規定,未由依法設立的電(diàn)子政務電(diàn)子認證服務機構提供的,由密碼管理部門責令改正,給予警告;拒不改正或者有其他嚴重情節的,由密碼管理部門建議有關國家機關、單位對直接負責的主管人員(yuán)和其他直接責任人員(yuán)依法給予處分(fēn)或者處理。有關國家機關、單位應當将處分(fēn)或者處理情況書(shū)面告知(zhī)密碼管理部門。
第五十八條 違反本條例規定進出口商(shāng)用密碼的,由國務院商(shāng)務主管部門或者海關依法予以處罰。
第五十九條 竊取他人加密保護的信息,非法侵入他人的商(shāng)用密碼保障系統,或者利用商(shāng)用密碼從事危害國家安全、社會公共利益、他人合法權益等違法活動的,由有關部門依照《中(zhōng)華人民共和國網絡安全法》和其他有關法律、行政法規的規定追究法律責任。
第六十條 關鍵信息基礎設施的運營者違反本條例第三十八條、第三十九條規定,未按照要求使用商(shāng)用密碼,或者未按照要求開(kāi)展商(shāng)用密碼應用安全性評估的,由密碼管理部門責令改正,給予警告;拒不改正或者有其他嚴重情節的,處10萬元以上100萬元以下(xià)罰款,對直接負責的主管人員(yuán)處1萬元以上10萬元以下(xià)罰款。
第六十一(yī)條 關鍵信息基礎設施的運營者違反本條例第四十條規定,使用未經安全審查或者安全審查未通過的涉及商(shāng)用密碼的網絡産品或者服務的,由有關主管部門責令停止使用,處采購金額1倍以上10倍以下(xià)罰款;對直接負責的主管人員(yuán)和其他直接責任人員(yuán)處1萬元以上10萬元以下(xià)罰款。
第六十二條 網絡運營者違反本條例第四十一(yī)條規定,未按照國家網絡安全等級保護制度要求使用商(shāng)用密碼保護網絡安全的,由密碼管理部門責令改正,給予警告;拒不改正或者導緻危害網絡安全等後果的,處1萬元以上10萬元以下(xià)罰款,對直接負責的主管人員(yuán)處5000元以上5萬元以下(xià)罰款。
第六十三條 無正當理由拒不接受、不配合或者幹預、阻撓密碼管理部門、有關部門的商(shāng)用密碼監督管理的,由密碼管理部門、有關部門責令改正,給予警告;拒不改正或者有其他嚴重情節的,處5萬元以上50萬元以下(xià)罰款,對直接負責的主管人員(yuán)和其他直接責任人員(yuán)處1萬元以上10萬元以下(xià)罰款;情節特别嚴重的,責令停業整頓,直至吊銷商(shāng)用密碼許可證件。
第六十四條 國家機關有本條例第六十條、第六十一(yī)條、第六十二條、第六十三條所列違法情形的,由密碼管理部門、有關部門責令改正,給予警告;拒不改正或者有其他嚴重情節的,由密碼管理部門、有關部門建議有關國家機關對直接負責的主管人員(yuán)和其他直接責任人員(yuán)依法給予處分(fēn)或者處理。有關國家機關應當将處分(fēn)或者處理情況書(shū)面告知(zhī)密碼管理部門、有關部門。
第六十五條 密碼管理部門和有關部門的工(gōng)作人員(yuán)在商(shāng)用密碼工(gōng)作中(zhōng)濫用職權、玩忽職守、徇私舞弊,或者洩露、非法向他人提供在履行職責中(zhōng)知(zhī)悉的商(shāng)業秘密、個人隐私、舉報人信息的,依法給予處分(fēn)。
第六十六條 違反本條例規定,構成犯罪的,依法追究刑事責任;給他人造成損害的,依法承擔民事責任。
第九章 附 則
第六十七條 本條例自2023年7月1日起施行。
文章來源:商(shāng)密君
咨詢熱線:0351-4073466
地址:(北(běi)區)山西省太原市迎澤區新建南(nán)路文源巷24号文源公務中(zhōng)心5層
(南(nán)區)太原市小(xiǎo)店(diàn)區南(nán)中(zhōng)環街529 号清控創新基地A座4層