中華人民(mín)共和國(guó)密碼法

　　全國(guó)人民(mín)代表大會常務(wù)委員會

　　中華人民(mín)共和國(guó)主席令 

　　第三十五号

　　《中華人民(mín)共和國(guó)密碼法》已由中華人民(mín)共和國(guó)第十三屆全國(guó)人民(mín)代表大會常務(wù)委員會第十四次會議于2019年10月26日通過，現予公布，自2020年1月1日起施行。

　　中華人民(mín)共和國(guó)主席 習近平

　　2019年10月26日

　　中華人民(mín)共和國(guó)密碼法

　　第一章　總　　則

　　第一條　為(wèi)了規範密碼應用(yòng)和管理(lǐ)，促進密碼事業發展，保障網絡與信息安(ān)全，維護國(guó)家安(ān)全和社會公共利益，保護公民(mín)、法人和其他(tā)組織的合法權益，制定本法。

　　第二條　本法所稱密碼，是指采用(yòng)特定變換的方法對信息等進行加密保護、安(ān)全認證的技(jì )術、産品和服務(wù)。

　　第三條　密碼工作(zuò)堅持總體(tǐ)國(guó)家安(ān)全觀，遵循統一領導、分(fēn)級負責，創新(xīn)發展、服務(wù)大局，依法管理(lǐ)、保障安(ān)全的原則。

　　第四條　堅持中國(guó)共産黨對密碼工作(zuò)的領導。中央密碼工作(zuò)領導機構對全國(guó)密碼工作(zuò)實行統一領導，制定國(guó)家密碼工作(zuò)重大方針政策，統籌協調國(guó)家密碼重大事項和重要工作(zuò)，推進國(guó)家密碼法治建設。

　　第五條　國(guó)家密碼管理(lǐ)部門負責管理(lǐ)全國(guó)的密碼工作(zuò)。縣級以上地方各級密碼管理(lǐ)部門負責管理(lǐ)本行政區(qū)域的密碼工作(zuò)。

　　國(guó)家機關和涉及密碼工作(zuò)的單位在其職責範圍内負責本機關、本單位或者本系統的密碼工作(zuò)。

　　第六條　國(guó)家對密碼實行分(fēn)類管理(lǐ)。

　　密碼分(fēn)為(wèi)核心密碼、普通密碼和商用(yòng)密碼。

　　第七條　核心密碼、普通密碼用(yòng)于保護國(guó)家秘密信息，核心密碼保護信息的最高密級為(wèi)絕密級，普通密碼保護信息的最高密級為(wèi)機密級。

　　核心密碼、普通密碼屬于國(guó)家秘密。密碼管理(lǐ)部門依照本法和有關法律、行政法規、國(guó)家有關規定對核心密碼、普通密碼實行嚴格統一管理(lǐ)。

　　第八條　商用(yòng)密碼用(yòng)于保護不屬于國(guó)家秘密的信息。

　　公民(mín)、法人和其他(tā)組織可(kě)以依法使用(yòng)商用(yòng)密碼保護網絡與信息安(ān)全。

　　第九條　國(guó)家鼓勵和支持密碼科(kē)學(xué)技(jì )術研究和應用(yòng)，依法保護密碼領域的知識産權，促進密碼科(kē)學(xué)技(jì )術進步和創新(xīn)。

　　國(guó)家加強密碼人才培養和隊伍建設，對在密碼工作(zuò)中作(zuò)出突出貢獻的組織和個人，按照國(guó)家有關規定給予表彰和獎勵。

　　第十條　國(guó)家采取多(duō)種形式加強密碼安(ān)全教育，将密碼安(ān)全教育納入國(guó)民(mín)教育體(tǐ)系和公務(wù)員教育培訓體(tǐ)系，增強公民(mín)、法人和其他(tā)組織的密碼安(ān)全意識。

　　第十一條　縣級以上人民(mín)政府應當将密碼工作(zuò)納入本級國(guó)民(mín)經濟和社會發展規劃，所需經費列入本級财政預算。

　　第十二條　任何組織或者個人不得竊取他(tā)人加密保護的信息或者非法侵入他(tā)人的密碼保障系統。

　　任何組織或者個人不得利用(yòng)密碼從事危害國(guó)家安(ān)全、社會公共利益、他(tā)人合法權益等違法犯罪活動。

　　第二章　核心密碼、普通密碼

　　第十三條　國(guó)家加強核心密碼、普通密碼的科(kē)學(xué)規劃、管理(lǐ)和使用(yòng)，加強制度建設，完善管理(lǐ)措施，增強密碼安(ān)全保障能(néng)力。

　　第十四條　在有線(xiàn)、無線(xiàn)通信中傳遞的國(guó)家秘密信息，以及存儲、處理(lǐ)國(guó)家秘密信息的信息系統，應當依照法律、行政法規和國(guó)家有關規定使用(yòng)核心密碼、普通密碼進行加密保護、安(ān)全認證。

　　第十五條　從事核心密碼、普通密碼科(kē)研、生産、服務(wù)、檢測、裝(zhuāng)備、使用(yòng)和銷毀等工作(zuò)的機構（以下統稱密碼工作(zuò)機構）應當按照法律、行政法規、國(guó)家有關規定以及核心密碼、普通密碼标準的要求，建立健全安(ān)全管理(lǐ)制度，采取嚴格的保密措施和保密責任制，确保核心密碼、普通密碼的安(ān)全。

　　第十六條　密碼管理(lǐ)部門依法對密碼工作(zuò)機構的核心密碼、普通密碼工作(zuò)進行指導、監督和檢查，密碼工作(zuò)機構應當配合。

　　第十七條　密碼管理(lǐ)部門根據工作(zuò)需要會同有關部門建立核心密碼、普通密碼的安(ān)全監測預警、安(ān)全風險評估、信息通報、重大事項會商和應急處置等協作(zuò)機制，确保核心密碼、普通密碼安(ān)全管理(lǐ)的協同聯動和有序高效。

　　密碼工作(zuò)機構發現核心密碼、普通密碼洩密或者影響核心密碼、普通密碼安(ān)全的重大問題、風險隐患的，應當立即采取應對措施，并及時向保密行政管理(lǐ)部門、密碼管理(lǐ)部門報告，由保密行政管理(lǐ)部門、密碼管理(lǐ)部門會同有關部門組織開展調查、處置，并指導有關密碼工作(zuò)機構及時消除安(ān)全隐患。

　　第十八條　國(guó)家加強密碼工作(zuò)機構建設，保障其履行工作(zuò)職責。

　　國(guó)家建立适應核心密碼、普通密碼工作(zuò)需要的人員錄用(yòng)、選調、保密、考核、培訓、待遇、獎懲、交流、退出等管理(lǐ)制度。

　　第十九條　密碼管理(lǐ)部門因工作(zuò)需要，按照國(guó)家有關規定，可(kě)以提請公安(ān)、交通運輸、海關等部門對核心密碼、普通密碼有關物(wù)品和人員提供免檢等便利，有關部門應當予以協助。

　　第二十條　密碼管理(lǐ)部門和密碼工作(zuò)機構應當建立健全嚴格的監督和安(ān)全審查制度，對其工作(zuò)人員遵守法律和紀律等情況進行監督，并依法采取必要措施，定期或者不定期組織開展安(ān)全審查。

　　第三章　商用(yòng)密碼

　　第二十一條　國(guó)家鼓勵商用(yòng)密碼技(jì )術的研究開發、學(xué)術交流、成果轉化和推廣應用(yòng)，健全統一、開放、競争、有序的商用(yòng)密碼市場體(tǐ)系，鼓勵和促進商用(yòng)密碼産業發展。

　　各級人民(mín)政府及其有關部門應當遵循非歧視原則，依法平等對待包括外商投資企業在内的商用(yòng)密碼科(kē)研、生産、銷售、服務(wù)、進出口等單位（以下統稱商用(yòng)密碼從業單位）。國(guó)家鼓勵在外商投資過程中基于自願原則和商業規則開展商用(yòng)密碼技(jì )術合作(zuò)。行政機關及其工作(zuò)人員不得利用(yòng)行政手段強制轉讓商用(yòng)密碼技(jì )術。

　　商用(yòng)密碼的科(kē)研、生産、銷售、服務(wù)和進出口，不得損害國(guó)家安(ān)全、社會公共利益或者他(tā)人合法權益。

　　第二十二條　國(guó)家建立和完善商用(yòng)密碼标準體(tǐ)系。

　　國(guó)務(wù)院标準化行政主管部門和國(guó)家密碼管理(lǐ)部門依據各自職責，組織制定商用(yòng)密碼國(guó)家标準、行業标準。

　　國(guó)家支持社會團體(tǐ)、企業利用(yòng)自主創新(xīn)技(jì )術制定高于國(guó)家标準、行業标準相關技(jì )術要求的商用(yòng)密碼團體(tǐ)标準、企業标準。

　　第二十三條　國(guó)家推動參與商用(yòng)密碼國(guó)際标準化活動，參與制定商用(yòng)密碼國(guó)際标準，推進商用(yòng)密碼中國(guó)标準與國(guó)外标準之間的轉化運用(yòng)。

　　國(guó)家鼓勵企業、社會團體(tǐ)和教育、科(kē)研機構等參與商用(yòng)密碼國(guó)際标準化活動。

　　第二十四條　商用(yòng)密碼從業單位開展商用(yòng)密碼活動，應當符合有關法律、行政法規、商用(yòng)密碼強制性國(guó)家标準以及該從業單位公開标準的技(jì )術要求。

　　國(guó)家鼓勵商　用(yòng)密碼從業單位采用(yòng)商用(yòng)密碼推薦性國(guó)家标準、行業标準，提升商用(yòng)密碼的防護能(néng)力，維護用(yòng)戶的合法權益。

　　第二十五條　國(guó)家推進商用(yòng)密碼檢測認證體(tǐ)系建設，制定商用(yòng)密碼檢測認證技(jì )術規範、規則，鼓勵商用(yòng)密碼從業單位自願接受商用(yòng)密碼檢測認證，提升市場競争力。

　　商用(yòng)密碼檢測、認證機構應當依法取得相關資質(zhì)，并依照法律、行政法規的規定和商用(yòng)密碼檢測認證技(jì )術規範、規則開展商用(yòng)密碼檢測認證。

　　商用(yòng)密碼檢測、認證機構應當對其在商用(yòng)密碼檢測認證中所知悉的國(guó)家秘密和商業秘密承擔保密義務(wù)。

　　第二十六條　涉及國(guó)家安(ān)全、國(guó)計民(mín)生、社會公共利益的商用(yòng)密碼産品，應當依法列入網絡關鍵設備和網絡安(ān)全專用(yòng)産品目錄，由具備資格的機構檢測認證合格後，方可(kě)銷售或者提供。商用(yòng)密碼産品檢測認證适用(yòng)《中華人民(mín)共和國(guó)網絡安(ān)全法》的有關規定，避免重複檢測認證。

　　商用(yòng)密碼服務(wù)使用(yòng)網絡關鍵設備和網絡安(ān)全專用(yòng)産品的，應當經商用(yòng)密碼認證機構對該商用(yòng)密碼服務(wù)認證合格。

　　第二十七條　法律、行政法規和國(guó)家有關規定要求使用(yòng)商用(yòng)密碼進行保護的關鍵信息基礎設施，其運營者應當使用(yòng)商用(yòng)密碼進行保護，自行或者委托商用(yòng)密碼檢測機構開展商用(yòng)密碼應用(yòng)安(ān)全性評估。商用(yòng)密碼應用(yòng)安(ān)全性評估應當與關鍵信息基礎設施安(ān)全檢測評估、網絡安(ān)全等級測評制度相銜接，避免重複評估、測評。

　　關鍵信息基礎設施的運營者采購(gòu)涉及商用(yòng)密碼的網絡産品和服務(wù)，可(kě)能(néng)影響國(guó)家安(ān)全的，應當按照《中華人民(mín)共和國(guó)網絡安(ān)全法》的規定，通過國(guó)家網信部門會同國(guó)家密碼管理(lǐ)部門等有關部門組織的國(guó)家安(ān)全審查。

　　第二十八條　國(guó)務(wù)院商務(wù)主管部門、國(guó)家密碼管理(lǐ)部門依法對涉及國(guó)家安(ān)全、社會公共利益且具有加密保護功能(néng)的商用(yòng)密碼實施進口許可(kě)，對涉及國(guó)家安(ān)全、社會公共利益或者中國(guó)承擔國(guó)際義務(wù)的商用(yòng)密碼實施出口管制。商用(yòng)密碼進口許可(kě)清單和出口管制清單由國(guó)務(wù)院商務(wù)主管部門會同國(guó)家密碼管理(lǐ)部門和海關總署制定并公布。

　　大衆消費類産品所采用(yòng)的商用(yòng)密碼不實行進口許可(kě)和出口管制制度。

　　第二十九條　國(guó)家密碼管理(lǐ)部門對采用(yòng)商用(yòng)密碼技(jì )術從事電(diàn)子政務(wù)電(diàn)子認證服務(wù)的機構進行認定，會同有關部門負責政務(wù)活動中使用(yòng)電(diàn)子簽名、數據電(diàn)文(wén)的管理(lǐ)。

　　第三十條　商用(yòng)密碼領域的行業協會等組織依照法律、行政法規及其章程的規定，為(wèi)商用(yòng)密碼從業單位提供信息、技(jì )術、培訓等服務(wù)，引導和督促商用(yòng)密碼從業單位依法開展商用(yòng)密碼活動，加強行業自律，推動行業誠信建設，促進行業健康發展。

　　第三十一條　密碼管理(lǐ)部門和有關部門建立日常監管和随機抽查相結合的商用(yòng)密碼事中事後監管制度，建立統一的商用(yòng)密碼監督管理(lǐ)信息平台，推進事中事後監管與社會信用(yòng)體(tǐ)系相銜接，強化商用(yòng)密碼從業單位自律和社會監督。

　　密碼管理(lǐ)部門和有關部門及其工作(zuò)人員不得要求商用(yòng)密碼從業單位和商用(yòng)密碼檢測、認證機構向其披露源代碼等密碼相關專有信息，并對其在履行職責中知悉的商業秘密和個人隐私嚴格保密，不得洩露或者非法向他(tā)人提供。

　　第四章　法律責任

　　第三十二條　違反本法第十二條規定，竊取他(tā)人加密保護的信息，非法侵入他(tā)人的密碼保障系統，或者利用(yòng)密碼從事危害國(guó)家安(ān)全、社會公共利益、他(tā)人合法權益等違法活動的，由有關部門依照《中華人民(mín)共和國(guó)網絡安(ān)全法》和其他(tā)有關法律、行政法規的規定追究法律責任。

　　第三十三條　違反本法第十四條規定，未按照要求使用(yòng)核心密碼、普通密碼的，由密碼管理(lǐ)部門責令改正或者停止違法行為(wèi)，給予警告；情節嚴重的，由密碼管理(lǐ)部門建議有關國(guó)家機關、單位對直接負責的主管人員和其他(tā)直接責任人員依法給予處分(fēn)或者處理(lǐ)。

　　第三十四條　違反本法規定，發生核心密碼、普通密碼洩密案件的，由保密行政管理(lǐ)部門、密碼管理(lǐ)部門建議有關國(guó)家機關、單位對直接負責的主管人員和其他(tā)直接責任人員依法給予處分(fēn)或者處理(lǐ)。

　　違反本法第十七條第二款規定，發現核心密碼、普通密碼洩密或者影響核心密碼、普通密碼安(ān)全的重大問題、風險隐患，未立即采取應對措施，或者未及時報告的，由保密行政管理(lǐ)部門、密碼管理(lǐ)部門建議有關國(guó)家機關、單位對直接負責的主管人員和其他(tā)直接責任人員依法給予處分(fēn)或者處理(lǐ)。

　　第三十五條　商用(yòng)密碼檢測、認證機構違反本法第二十五條第二款、第三款規定開展商用(yòng)密碼檢測認證的，由市場監督管理(lǐ)部門會同密碼管理(lǐ)部門責令改正或者停止違法行為(wèi)，給予警告，沒收違法所得；違法所得三十萬元以上的，可(kě)以并處違法所得一倍以上三倍以下罰款；沒有違法所得或者違法所得不足三十萬元的，可(kě)以并處十萬元以上三十萬元以下罰款；情節嚴重的，依法吊銷相關資質(zhì)。

　　第三十六條　違反本法第二十六條規定，銷售或者提供未經檢測認證或者檢測認證不合格的商用(yòng)密碼産品，或者提供未經認證或者認證不合格的商用(yòng)密碼服務(wù)的，由市場監督管理(lǐ)部門會同密碼管理(lǐ)部門責令改正或者停止違法行為(wèi)，給予警告，沒收違法産品和違法所得；違法所得十萬元以上的，可(kě)以并處違法所得一倍以上三倍以下罰款；沒有違法所得或者違法所得不足十萬元的，可(kě)以并處三萬元以上十萬元以下罰款。

　　第三十七條　關鍵信息基礎設施的運營者違反本法第二十七條第一款規定，未按照要求使用(yòng)商用(yòng)密碼，或者未按照要求開展商用(yòng)密碼應用(yòng)安(ān)全性評估的，由密碼管理(lǐ)部門責令改正，給予警告；拒不改正或者導緻危害網絡安(ān)全等後果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

　　關鍵信息基礎設施的運營者違反本法第二十七條第二款規定，使用(yòng)未經安(ān)全審查或者安(ān)全審查未通過的産品或者服務(wù)的，由有關主管部門責令停止使用(yòng)，處采購(gòu)金額一倍以上十倍以下罰款；對直接負責的主管人員和其他(tā)直接責任人員處一萬元以上十萬元以下罰款。

　　第三十八條　違反本法第二十八條實施進口許可(kě)、出口管制的規定，進出口商用(yòng)密碼的，由國(guó)務(wù)院商務(wù)主管部門或者海關依法予以處罰。

　　第三十九條　違反本法第二十九條規定，未經認定從事電(diàn)子政務(wù)電(diàn)子認證服務(wù)的，由密碼管理(lǐ)部門責令改正或者停止違法行為(wèi)，給予警告，沒收違法産品和違法所得；違法所得三十萬元以上的，可(kě)以并處違法所得一倍以上三倍以下罰款；沒有違法所得或者違法所得不足三十萬元的，可(kě)以并處十萬元以上三十萬元以下罰款。

　　第四十條　密碼管理(lǐ)部門和有關部門、單位的工作(zuò)人員在密碼工作(zuò)中濫用(yòng)職權、玩忽職守、徇私舞弊，或者洩露、非法向他(tā)人提供在履行職責中知悉的商業秘密和個人隐私的，依法給予處分(fēn)。

　　第四十一條　違反本法規定，構成犯罪的，依法追究刑事責任；給他(tā)人造成損害的，依法承擔民(mín)事責任。

　　第五章　附　　則

　　第四十二條　國(guó)家密碼管理(lǐ)部門依照法律、行政法規的規定，制定密碼管理(lǐ)規章。

　　第四十三條　中國(guó)人民(mín)解放軍和中國(guó)人民(mín)武裝(zhuāng)警察部隊的密碼工作(zuò)管理(lǐ)辦法，由中央軍事委員會根據本法制定。

　　第四十四條　本法自2020年1月1日起施行。