国务院总理李强日前签署国务院令，公布修订后的《商用密码管理条例》（以下简称《条例》），自2023年7月1日起施行。

党中央、国务院高度重视商用密码工作。近年来，随着商用密码在网络与信息系统中广泛应用，其维护国家主权、安全和发展利益的作用越来越凸显。党的十八大以来，党中央、国务院对商用密码创新发展和行政审批制度改革提出了一系列要求，2020年施行的密码法对商用密码管理制度进行了结构性重塑。为了贯彻落实行政审批制度改革精神，细化密码法相关制度，对1999年公布的《条例》进行了全面修订。修订后的《条例》，重点规定了以下内容。

一是完善商用密码管理体制。《条例》规定县级以上密码管理部门负责管理相应行政区域的商用密码工作；网信、商务、海关、市场监督管理等有关部门在各自职责范围内负责商用密码有关管理工作；明确密码管理部门和有关部门开展商用密码监管的职权、协作配合、保密义务以及信用监管、举报等制度机制。

二是促进商用密码科技创新与标准化建设。《条例》规定建立健全商用密码科技创新促进机制，保护商用密码领域的知识产权，鼓励支持商用密码科技成果转化和产业化应用。优化现行商用密码科研成果审查鉴定审批的适用范围。明确商用密码标准的制定、实施及监督检查。

三是健全商用密码检测认证体系。《条例》明确推进商用密码检测认证体系建设，鼓励在商用密码活动中自愿接受商用密码检测认证。明确商用密码检测、认证机构资质审批条件、程序及从业规范。明确涉及国家安全、国计民生、社会公共利益的商用密码产品与使用网络关键设备和网络安全专用产品的商用密码服务应当检测认证合格。

四是加强电子认证服务使用密码和电子政务电子认证服务活动管理。《条例》明确电子认证服务使用密码要求和使用规范。明确电子政务电子认证服务机构资质审批条件、程序及从业规范。明确建立电子认证信任机制，推动电子认证服务互信互认。

五是规范商用密码进出口管理。《条例》根据密码法关于商用密码进出口的规定和国家出口管制、两用物项进出口管理制度，明确商用密码进口许可和出口管制实行清单管理，并规定了审批程序。

六是促进商用密码应用。《条例》鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全，支持网络产品和服务使用商用密码提升安全性。明确关键信息基础设施的商用密码使用要求和国家安全审查要求。

商用密码管理条例

（1999年10月7日中华人民共和国国务院令第273号发布　2023年4月27日中华人民共和国国务院令第760号修订）

第一章　总　　则

第一条　为了规范商用密码应用和管理，鼓励和促进商用密码产业发展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国密码法》等法律，制定本条例。

第二条　在中华人民共和国境内的商用密码科研、生产、销售、服务、检测、认证、进出口、应用等活动及监督管理，适用本条例。

本条例所称商用密码，是指采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。

第三条　坚持中国共产党对商用密码工作的领导，贯彻落实总体国家安全观。国家密码管理部门负责管理全国的商用密码工作。县级以上地方各级密码管理部门负责管理本行政区域的商用密码工作。

网信、商务、海关、市场监督管理等有关部门在各自职责范围内负责商用密码有关管理工作。

第四条　国家加强商用密码人才培养，建立健全商用密码人才发展体制机制和人才评价制度，鼓励和支持密码相关学科和专业建设，规范商用密码社会化培训，促进商用密码人才交流。

第五条　各级人民政府及其有关部门应当采取多种形式加强商用密码宣传教育，增强公民、法人和其他组织的密码安全意识。

第六条　商用密码领域的学会、行业协会等社会组织依照法律、行政法规及其章程的规定，开展学术交流、政策研究、公共服务等活动，加强学术和行业自律，推动诚信建设，促进行业健康发展。

密码管理部门应当加强对商用密码领域社会组织的指导和支持。

第二章　科技创新与标准化

第七条　国家建立健全商用密码科学技术创新促进机制，支持商用密码科学技术自主创新，对作出突出贡献的组织和个人按照国家有关规定予以表彰和奖励。

国家依法保护商用密码领域的知识产权。从事商用密码活动，应当增强知识产权意识，提高运用、保护和管理知识产权的能力。

国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。

第八条　国家鼓励和支持商用密码科学技术成果转化和产业化应用，建立和完善商用密码科学技术成果信息汇交、发布和应用情况反馈机制。

第九条　国家密码管理部门组织对法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统所使用的密码算法、密码协议、密钥管理机制等商用密码技术进行审查鉴定。

第十条　国务院标准化行政主管部门和国家密码管理部门依据各自职责，组织制定商用密码国家标准、行业标准，对商用密码团体标准的制定进行规范、引导和监督。国家密码管理部门依据职责，建立商用密码标准实施信息反馈和评估机制，对商用密码标准实施进行监督检查。

国家推动参与商用密码国际标准化活动，参与制定商用密码国际标准，推进商用密码中国标准与国外标准之间的转化运用，鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。

其他领域的标准涉及商用密码的，应当与商用密码国家标准、行业标准保持协调。

第十一条　从事商用密码活动，应当符合有关法律、行政法规、商用密码强制性国家标准，以及自我声明公开标准的技术要求。

国家鼓励在商用密码活动中采用商用密码推荐性国家标准、行业标准，提升商用密码的防护能力，维护用户的合法权益。

第三章　检测认证

第十二条　国家推进商用密码检测认证体系建设，鼓励在商用密码活动中自愿接受商用密码检测认证。

第十三条　从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动，向社会出具具有证明作用的数据、结果的机构，应当经国家密码管理部门认定，依法取得商用密码检测机构资质。

第十四条　取得商用密码检测机构资质，应当符合下列条件：

（一）具有法人资格；

（二）具有与从事商用密码检测活动相适应的资金、场所、设备设施、专业人员和专业能力；

（三）具有保证商用密码检测活动有效运行的管理体系。

第十五条　申请商用密码检测机构资质，应当向国家密码管理部门提出书面申请，并提交符合本条例第十四条规定条件的材料。

国家密码管理部门应当自受理申请之日起20个工作日内，对申请进行审查，并依法作出是否准予认定的决定。

需要对申请人进行技术评审的，技术评审所需时间不计算在本条规定的期限内。国家密码管理部门应当将所需时间书面告知申请人。

第十六条　商用密码检测机构应当按照法律、行政法规和商用密码检测技术规范、规则，在批准范围内独立、公正、科学、诚信地开展商用密码检测，对出具的检测数据、结果负责，并定期向国家密码管理部门报送检测实施情况。

商用密码检测技术规范、规则由国家密码管理部门制定并公布。

第十七条　国务院市场监督管理部门会同国家密码管理部门建立国家统一推行的商用密码认证制度，实行商用密码产品、服务、管理体系认证，制定并公布认证目录和技术规范、规则。

第十八条　从事商用密码认证活动的机构，应当依法取得商用密码认证机构资质。

申请商用密码认证机构资质，应当向国务院市场监督管理部门提出书面申请。申请人除应当符合法律、行政法规和国家有关规定要求的认证机构基本条件外，还应当具有与从事商用密码认证活动相适应的检测、检查等技术能力。

国务院市场监督管理部门在审查商用密码认证机构资质申请时，应当征求国家密码管理部门的意见。

第十九条　商用密码认证机构应当按照法律、行政法规和商用密码认证技术规范、规则，在批准范围内独立、公正、科学、诚信地开展商用密码认证，对出具的认证结论负责。

商用密码认证机构应当对其认证的商用密码产品、服务、管理体系实施有效的跟踪调查，以保证通过认证的商用密码产品、服务、管理体系持续符合认证要求。

第二十条　涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关键设备和网络安全专用产品目录，由具备资格的商用密码检测、认证机构检测认证合格后，方可销售或者提供。

第二十一条　商用密码服务使用网络关键设备和网络安全专用产品的，应当经商用密码认证机构对该商用密码服务认证合格。

第四章　电子认证

第二十二条　采用商用密码技术提供电子认证服务，应当具有与使用密码相适应的场所、设备设施、专业人员、专业能力和管理体系，依法取得国家密码管理部门同意使用密码的证明文件。

第二十三条　电子认证服务机构应当按照法律、行政法规和电子认证服务密码使用技术规范、规则，使用密码提供电子认证服务，保证其电子认证服务密码使用持续符合要求。

电子认证服务密码使用技术规范、规则由国家密码管理部门制定并公布。

第二十四条　采用商用密码技术从事电子政务电子认证服务的机构，应当经国家密码管理部门认定，依法取得电子政务电子认证服务机构资质。

第二十五条　取得电子政务电子认证服务机构资质，应当符合下列条件：