商用密碼管理條例

(1999年10月7日中華人民共和國國務院令第273號發布　自發布之日起施行)

第一章　總則

第一條　為了加強商用密碼管理，保護信息安全，保護公民和組織的合法權益，維護國家的安全和利益，制定本條例。

第二條　本條例所稱商用密碼，是指對不涉及國家秘密內容的信息進行加密保護或者安全認證所使用的密碼技術和密碼產品。

第三條　商用密碼技術屬于國家秘密。國家對商用密碼產品的科研、生產、銷售和使用實行專控管理。

第四條　國家密碼管理委員會及其辦公室(以下簡稱國家密碼管理機構)主管全國的商用密碼管理工作。

省、自治區、直轄市負責密碼管理的機構根據國家密碼管理機構的委托，承擔商用密碼的有關管理工作。

第二章　科研、生產管理

第五條　商用密碼的科研任務由國家密碼管理機構指定的單位承擔。

商用密碼指定科研單位必須具有相應的技術力量和設備，能夠采用先進的編碼理論和技術，編制的商用密碼算法具有較高的保密強度和抗攻擊能力。

第六條　商用密碼的科研成果，由國家密碼管理機構組織專家按照商用密碼技術標準和技術規范審查、鑒定。

第七條　商用密碼產品由國家密碼管理機構指定的單位生產。未經指定，任何單位或者個人不得生產商用密碼產品。

商用密碼產品指定生產單位必須具有與生產商用密碼產品相適應的技術力量以及確保商用密碼產品質量的設備、生產工藝和質量保證體系。

第八條　商用密碼產品指定生產單位生產的商用密碼產品的品種和型號，必須經國家密碼管理機構批準，并不得超過批準范圍生產商用密碼產品。

第九條　商用密碼產品，必須經國家密碼管理機構指定的產品質量檢測機構檢測合格。

第三章　銷售管理

第十條　商用密碼產品由國家密碼管理機構許可的單位銷售。未經許可，任何單位或者個人不得銷售商用密碼產品。

第十一條　銷售商用密碼產品，應當向國家密碼管理機構提出申請，并應當具備下列條件：

(一)有熟悉商用密碼產品知識和承擔售后服務的人員；

(二)有完善的銷售服務和安全管理規章制度；

(三)有獨立的法人資格。

經審查合格的單位，由國家密碼管理機構發給《商用密碼產品銷售許可證》。

第十二條　銷售商用密碼產品，必須如實登記直接使用商用密碼產品的用戶的名稱(姓名)、地址(住址)、組織機構代碼(居民身份證號碼)以及每臺商用密碼產品的用途，并將登記情況報國家密碼管理機構備案。

第十三條　進口密碼產品以及含有密碼技術的設備或者出口商用密碼產品，必須報經國家密碼管理機構批準。任何單位或者個人不得銷售境外的密碼產品。

第四章　使用管理

第十四條　任何單位或者個人只能使用經國家密碼管理機構認可的商用密碼產品，不得使用自行研制的或者境外生產的密碼產品。

第十五條　境外組織或者個人在中國境內使用密碼產品或者含有密碼技術的設備，必須報經國家密碼管理機構批準；但是，外國駐華外交代表機構、領事機構除外。

第十六條　商用密碼產品的用戶不得轉讓其使用的商用密碼產品。商用密碼產品發生故障，必須由國家密碼管理機構指定的單位維修。報廢、銷毀商用密碼產品，應當向國家密碼管理機構備案。

第五章　安全、保密管理

第十七條　商用密碼產品的科研、生產，應當在符合安全、保密要求的環境中進行。銷售、運輸、保管商用密碼產品，應當采取相應的安全措施。

從事商用密碼產品的科研、生產和銷售以及使用商用密碼產品的單位和人員，必須對所接觸和掌握的商用密碼技術承擔保密義務。

第十八條　宣傳、公開展覽商用密碼產品，必須事先報國家密碼管理機構批準。

第十九條　任何單位和個人不得非法攻擊商用密碼，不得利用商用密碼危害國家的安全和利益、危害社會治安或者進行其他違法犯罪活動。

第六章　罰則

第二十條　有下列行為之一的，由國家密碼管理機構根據不同情況分別會同工商行政管理、海關等部門沒收密碼產品，有違法所得的，沒收違法所得；情節嚴重的，可以并處違法所得1至3倍的罰款：

(一)未經指定，擅自生產商用密碼產品的，或者商用密碼產品指定生產單位超過批準范圍生產商用密碼產品的；

(二)未經許可，擅自銷售商用密碼產品的；

(三)未經批準，擅自進口密碼產品以及含有密碼技術的設備、出口商用密碼產品或者銷售境外的密碼產品的。

經許可銷售商用密碼產品的單位未按照規定銷售商用密碼產品的，由國家密碼管理機構會同工商行政管理部門給予警告，責令改正。

第二十一條　有下列行為之一的，由國家密碼管理機構根據不同情況分別會同公安、國家安全機關給予警告，責令立即改正：

(一)在商用密碼產品的科研、生產過程中違反安全、保密規定的；

(二)銷售、運輸、保管商用密碼產品，未采取相應的安全措施的；

(三)未經批準，宣傳、公開展覽商用密碼產品的；

(四)擅自轉讓商用密碼產品或者不到國家密碼管理機構指定的單位維修商用密碼產品的。

使用自行研制的或者境外生產的密碼產品，轉讓商用密碼產品，或者不到國家密碼管理機構指定的單位維修商用密碼產品，情節嚴重的，由國家密碼管理機構根據不同情況分別會同公安、國家安全機關沒收其密碼產品。

第二十二條　商用密碼產品的科研、生產、銷售單位有本條例第二十條、第二十一條第一款第(一)、(二)、(三)項所列行為，造成嚴重后果的，由國家密碼管理機構撤銷其指定科研、生產單位資格，吊銷《商用密碼產品銷售許可證》。

第二十三條　泄露商用密碼技術秘密、非法攻擊商用密碼或者利用商用密碼從事危害國家的安全和利益的活動，情節嚴重，構成犯罪的，依法追究刑事責任。

有前款所列行為尚不構成犯罪的，由國家密碼管理機構根據不同情況分別會同國家安全機關或者保密部門沒收其使用的商用密碼產品，對有危害國家安全行為的，由國家安全機關依法處以行政拘留；屬于國家工作人員的，并依法給予行政處分。

第二十四條　境外組織或者個人未經批準，擅自使用密碼產品或者含有密碼技術的設備的，由國家密碼管理機構會同公安機關給予警告，責令改正，可以并處沒收密碼產品或者含有密碼技術的設備。

第二十五條　商用密碼管理機構的工作人員濫用職權、玩忽職守、徇私舞弊，構成犯罪的，依法追究刑事責任；尚不構成犯罪的，依法給予行政處分。

第七章　附則

第二十六條　國家密碼管理委員會可以依據本條例制定有關的管理規定。

第二十七條　本條例自發布之日起施行。