《学习解读2023年商用密码管理条例讲义.docx》由会员分享,可在线阅读,更多相关《学习解读2023年商用密码管理条例讲义.docx(21页珍藏版)》请在第一文库网上搜索。
1、商用密码管理条例学习解读水利部印发商用密码管理条例(讲义)5月24日,商用密码管理条例(以下简称条例)正式发布,自2023年7月1日起施行。此前,条例已在2023年4月14日国务院第4次常务会议修订通过。其中提出,国家依法保护商用密码领域的知识产权。从事商用密码活动,应当增强知识产权意识,提高运用、保护和管理知识产权的能力。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。国家鼓励和支持商用密码科学技术成果转化和产业化应用,建立和完善商用密码科学技术成果信息汇交、发布和应用情况反馈机制。第一部分:条例的修订背景党中央、
2、国务院高度重视商用密码工作。近年来,随着商用密码在网络与信息系统中广泛应用,其维护国家主权、安全和发展利益的作用越来越凸显。党的十八大以来,党中央、国务院对商用密码创新发展和行政审批制度改革提出了一系列要求,2023年施行的密码法对商用密码管理制度进行了结构性重塑。为了贯彻落实行政审批制度改革精神,细化密码法相关制度,对1999年公布的条例进行了全面修订。一是需要通过修订条例清晰界定商用密码管理范围,合理设置管理环节,明确管理条件和程序;二是需要通过修订条例依法解决商用密码技术进步和商用密码事业发展中出现的新情况新问题;三是需要通过修订条例规范商用密码应用和管理,充分发挥密码在网络空间安全中的
3、重要作用,切实维护国家安全和社会公共利益。第二部分:条例的修订内容条例修订坚持创新发展、保障安全,放宽准入、规范监管,依法立法、衔接有序的立法思路,征求意见稿共九章六十四条,修订内容主要集中于以下几个方面。(一)关于立法宗旨征求意见稿明确,为了加强商用密码管理,促进商用密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据中华人民共和国密码法,制定本条例(第一条)。(二)关于管理范围征求意见稿明确,在中华人民共和国境内的商用密码科研、生产、销售、服务、检测、认证、进出口、应用等活动及监督管理,适用本条例(第二条)。(三)关于管理体制征求意见稿明确
4、,国家、省、市、县四级密码管理部门是商用密码工作的行政主管部门;国家网信、商务、海关、市场监督管理等有关部门在各自职责范围内,负责商用密码有关管理工作(第三条)。(四)关于科技创新与标准化征求意见稿突出科技创新和标准引领,明确建立健全商用密码科学技术创新促进机制,保护商用密码领域的知识产权,促进商用密码科技成果转化(第七条、第八条)。明确国家密码管理部门根据商用密码应用需求或者安全需要,组织对密码算法、密码协议、密钥管理机制等商用密码技术进行安全性审查(第九条)。规定了商用密码标准的制定、实施、监督、国际化以及法律效力(第十条、第十一条)。(五)关于检测认证和产品、服务管理征求意见稿落实密码法
5、规定的推进商用密码检测认证体系建设,鼓励商用密码从业单位自愿接受商用密码检测认证(第十二条)。依法明确检测、认证机构资质审批条件、程序及其从业规范(第十三条至第十九条)。实行商用密码产品、服务、管理体系的国推自愿性检测认证制度(第十七条);对涉及国家安全、国计民生、社会公共利益的商用密码产品和服务,实行强制性检测认证(第二十条、第二十一条)。(六)关于电子认证征求意见稿依据密码法电子签名法,进一步明确电子认证服务使用密码要求和使用规范(第二十二条、第二十三条);电子政务电子认证服务机构的资质审批条件、程序及其从业规范(第二十四条至第二十八条);政务活动中的电子公文、电子印章、电子证照等的电子认
6、证服务要求(第三十条)。(七)关于进出口征求意见稿根据密码法关于商用密码进出口的规定,以及国家两用物项和技术进出口管理制度,明确商用密码进口许可和出口管制实行目录管理(第三十一条),以及适用范围和审批程序(第三十二条至第三十四条)。(八)关于应用促进征求意见稿突出促进应用、保障安全的导向,鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全,支持网络产品、服务使用商用密码提升安全性,支持并规范商用密码在信息领域新技术、新业态、新模式中的应用(第三十五条、第三十六条)。为保障非涉密重要网络与信息系统安全,明确其商用密码使用和安全性评估要求(第三十八条、第三十九条),同时明确关键信息基础设施
7、的商用密码国家安全审查要求(第四十条)。(九)关于监督管理征求意见稿明确密码管理部门和有关部门开展商用密码监督管理的有关职权及其协作配合、保密义务,以及信用监管、投诉举报等制度机制(第七章)。此外,征求意见稿还规定了违反本条例所应承担的法律责任(第八章)。第三部分:条例的重要内容修订后的条例,重点规定了以下内容。一是完善商用密码管理体制。条例规定县级以上密码管理部门负责管理相应行政区域的商用密码工作;网信、商务、海关、市场监督管理等有关部门在各自职责范围内负责商用密码有关管理工作;明确密码管理部门和有关部门开展商用密码监管的职权、协作配合、保密义务以及信用监管、举报等制度机制。二是促进商用密码
8、科技创新与标准化建设。条例规定建立健全商用密码科技创新促进机制,保护商用密码领域的知识产权,鼓励支持商用密码科技成果转化和产业化应用。优化现行商用密码科研成果审查鉴定审批的适用范围。明确商用密码标准的制定、实施及监督检查。三是健全商用密码检测认证体系。条例明确推进商用密码检测认证体系建设,鼓励在商用密码活动中自愿接受商用密码检测认证。明确商用密码检测、认证机构资质审批条件、程序及从业规范。明确涉及国家安全、国计民生、社会公共利益的商用密码产品与使用网络关键设备和网络安全专用产品的商用密码服务应当检测认证合格。四是加强电子认证服务使用密码和电子政务电子认证服务活动管理。条例明确电子认证服务使用密
9、码要求和使用规范。明确电子政务电子认证服务机构资质审批条件、程序及从业规范。明确建立电子认证信任机制,推动电子认证服务互信互认。五是规范商用密码进出口管理。条例根据密码法关于商用密码进出口的规定和国家出口管制、两用物项进出口管理制度,明确商用密码进口许可和出口管制实行清单管理,并规定了审批程序。六是促进商用密码应用。条例鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全,支持网络产品和服务使用商用密码提升安全性。明确关键信息基础设施的商用密码使用要求和国家安全审查要求。第三部分:条例的全文学习商用密码管理条例(1999年10月7日中华人民共和国国务院令第273号发布2023年4月27日
10、中华人民共和国国务院令第760号修订)第一章总则第一条为了规范商用密码应用和管理,鼓励和促进商用密码产业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据中华人民共和国密码法等法律,制定本条例。第二条在中华人民共和国境内的商用密码科研、生产、销售、服务、检测、认证、进出口、应用等活动及监督管理,适用本条例。本条例所称商用密码,是指采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。第三条坚持中国共产党对商用密码工作的领导,贯彻落实总体国家安全观。国家密码管理部门负责管理全国的商用密码工作。县级以上地方各级密码管理部门负
11、责管理本行政区域的商用密码工作。网信、商务、海关、市场监督管理等有关部门在各自职责范围内负责商用密码有关管理工作。第四条国家加强商用密码人才培养,建立健全商用密码人才发展体制机制和人才评价制度,鼓励和支持密码相关学科和专业建设,规范商用密码社会化培训,促进商用密码人才交流。第五条各级人民政府及其有关部门应当采取多种形式加强商用密码宣传教育,增强公民、法人和其他组织的密码安全意识。第六条商用密码领域的学会、行业协会等社会组织依照法律、行政法规及其章程的规定,开展学术交流、政策研究、公共服务等活动,加强学术和行业自律,推动诚信建设,促进行业健康发展。密码管理部门应当加强对商用密码领域社会组织的指导
12、和支持。第二章科技创新与标准化第七条国家建立健全商用密码科学技术创新促进机制,支持商用密码科学技术自主创新,对作出突出贡献的组织和个人按照国家有关规定予以表彰和奖励。国家依法保护商用密码领域的知识产权。从事商用密码活动,应当增强知识产权意识,提高运用、保护和管理知识产权的能力。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。第八条国家鼓励和支持商用密码科学技术成果转化和产业化应用,建立和完善商用密码科学技术成果信息汇交、发布和应用情况反馈机制。第九条国家密码管理部门组织对法律、行政法规和国家有关规定要求使用商用密码进
13、行保护的网络与信息系统所使用的密码算法、密码协议、密钥管理机制等商用密码技术进行审查鉴定。第十条国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准,对商用密码团体标准的制定进行规范、引导和监督。国家密码管理部门依据职责,建立商用密码标准实施信息反馈和评估机制,对商用密码标准实施进行监督检查。国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用,鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。其他领域的标准涉及商用密码的,应当与商用密码国家标准、行业标准保持协调。第十一条从事商用密码活动
14、,应当符合有关法律、行政法规、商用密码强制性国家标准,以及自我声明公开标准的技术要求。国家鼓励在商用密码活动中采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。第三章检测认证第十二条国家推进商用密码检测认证体系建设,鼓励在商用密码活动中自愿接受商用密码检测认证。第十三条从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动,向社会出具具有证明作用的数据、结果的机构,应当经国家密码管理部门认定,依法取得商用密码检测机构资质。第十四条取得商用密码检测机构资质,应当符合下列条件:(-)具有法人资格;(二)具有与从事商用密码检测活动相适应的资金、场
15、所、设备设施、专业人员和专业能力;(三)具有保证商用密码检测活动有效运行的管理体系。第十五条申请商用密码检测机构资质,应当向国家密码管理部门提出书面申请,并提交符合本条例第十四条规定条件的材料。国家密码管理部门应当自受理申请之日起20个工作日内,对申请进行审查,并依法作出是否准予认定的决定。需要对申请人进行技术评审的,技术评审所需时间不计算在本条规定的期限内。国家密码管理部门应当将所需时间书面告知申请人。第十六条商用密码检测机构应当按照法律、行政法规和商用密码检测技术规范、规则,在批准范围内独立、公正、科学、诚信地开展商用密码检测,对出具的检测数据、结果负责,并定期向国家密码管理部门报送检测实施情况。商用密码检测技术规范、规则由国家密码管理部门制定并公布。第十七条国务院市场监督管理部门会同国家密码管理部门建立国家统一推行的商用密码认证制度,实行商用密码产品、服务、管理体系认证,制定并公布认证目录和技术规范、规则。第十八条从事商用密码认证活动的机构,应当依法取得商用密码认证机构资质。申请商用密码认证机构资质,应当向国务院市场监督管理部门提出书面申请。申请人除应当符合法律、行政法规和国家有关规定要求的认证机构基本条件外,还应当具有与从事商用密码认证活动相适应的检测、检查等技术能力。国务院市场监督管理部门在审查商用密码认证机构资质申请时,应当征求国家密码管理部门的意见。第