简述的主要内容(违反密码法罚款一至三倍)
简述的主要内容(违反密码法罚款一至三倍)
第一章 总则
第一条
为了规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法权益,制定本法。
第二条
本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
本法所称数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。
第三条
民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。
当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。
前款规定不适用下列文书:
(一)涉及婚姻、收养、继承等人身关系的;
(二)涉及土地、房屋等不动产权益转让的;
(三)涉及停止供水、供热、供气、供电等公用事业服务的;
(四)法律、行政法规规定的不适用电子文书的其他情形。
第二章 数据电文
第四条
能够有形地表现所载内容,并可以随时调取查用的数据电文,视为符合法律、法规要求的书面形式。
第五条
符合下列条件的数据电文,视为满足法律、法规规定的原件形式要求:
(一)能够有效地表现所载内容并可供随时调取查用;
(二)能够可靠地保证自最终形成时起,内容保持完整、未被更改。但是,在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。
第六条
符合下列条件的数据电文,视为满足法律、法规规定的文件保存要求:
(一)能够有效地表现所载内容并可供随时调取查用;
(二)数据电文的格式与其生成、发送或者接收时的格式相同,或者格式不相同但是能够准确表现原来生成、发送或者接收的内容;
(三)能够识别数据电文的发件人、收件人以及发送、接收的时间。
第七条
数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用。
第八条
审查数据电文作为证据的真实性,应当考虑以下因素:
(一)生成、储存或者传递数据电文方法的可靠性;
(二)保持内容完整性方法的可靠性;
(三)用以鉴别发件人方法的可靠性;
(四)其他相关因素。
第九条
数据电文有下列情形之一的,视为发件人发送:
(一)经发件人授权发送的;
(二)发件人的信息系统自动发送的;
(三)收件人按照发件人认可的方法对数据电文进行验证后结果相符的。
当事人对前款规定的事项另有约定的,从其约定。
第十条
法律、行政法规规定或者当事人约定数据电文需要确认收讫的,应当确认收讫。发件人收到收件人的收讫确认时,数据电文视为已经收到。
第十一条
数据电文进入发件人控制之外的某个信息系统的时间,视为该数据电文的发送时间。
收件人指定特定系统接收数据电文的,数据电文进入该特定系统的时间,视为该数据电文的接收时间;未指定特定系统的,数据电文进入收件人的任何系统的首次时间,视为该数据电文的接收时间。
当事人对数据电文的发送时间、接收时间另有约定的,从其约定。
第十二条
发件人的主营业地为数据电文的发送地点,收件人的主营业地为数据电文的接收地点。没有主营业地的,其经常居住地为发送或者接收地点。
当事人对数据电文的发送地点、接收地点另有约定的,从其约定。
第三章 电子签名与认证
第十三条
电子签名同时符合下列条件的,视为可靠的电子签名:
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。
当事人也可以选择使用符合其约定的可靠条件的电子签名。
第十四条
可靠的电子签名与手写签名或者盖章具有同等的法律效力。
第十五条
电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据。
第十六条
电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务。
第十七条
提供电子认证服务,应当具备下列条件:
(一)具有与提供电子认证服务相适应的专业技术人员和管理人员;
(二)具有与提供电子认证服务相适应的资金和经营场所;
(三)具有符合国家安全标准的技术和设备;
(四)具有国家密码管理机构同意使用密码的证明文件;
(五)法律、行政法规规定的其他条件。
第十八条
从事电子认证服务,应当向国务院信息产业主管部门提出申请,并提交符合本法第十七条规定条件的相关材料。国务院信息产业主管部门接到申请后经依法审查,征求国务院商务主管部门等有关部门的意见后,自接到申请之日起四十五日内作出许可或者不予许可的决定。予以许可的,颁发电子认证许可证书;不予许可的,应当书面通知申请人并告知理由。
申请人应当持电子认证许可证书依法向工商行政管理部门办理企业登记手续。
取得认证资格的电子认证服务提供者,应当按照国务院信息产业主管部门的规定在互联网上公布其名称、许可证号等信息。
第十九条
电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案。
电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。
第二十条
电子签名人向电子认证服务提供者申请电子签名认证证书,应当提供真实、完整和准确的信息。
电子认证服务提供者收到电子签名认证证书申请后,应当对申请人的身份进行查验,并对有关材料进行审查。
第二十一条
电子认证服务提供者签发的电子签名认证证书应当准确无误,并应当载明下列内容:
(一)电子认证服务提供者名称;
(二)证书持有人名称;
(三)证书序列号;
(四)证书有效期;
(五)证书持有人的电子签名验证数据;
(六)电子认证服务提供者的电子签名;
(七)国务院信息产业主管部门规定的其他内容。
第二十二条
电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确,并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。
第二十三条
电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务九十日前,就业务承接及其他有关事项通知有关各方。
电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告,并与其他电子认证服务提供者就业务承接进行协商,作出妥善安排。
电子认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的,应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。
电子认证服务提供者被依法吊销电子认证许可证书的,其业务承接事项的处理按照国务院信息产业主管部门的规定执行。
第二十四条
电子认证服务提供者应当妥善保存与认证相关的信息,信息保存期限至少为电子签名认证证书失效后五年。
第二十五条
国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法,对电子认证服务提供者依法实施监督管理。
第二十六条
经国务院信息产业主管部门根据有关协议或者对等原则核准后,中华人民共和国境外的电子认证服务提供者在境外签发的电子签名认证证书与依照本法设立的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力。
第四章 法律责任
第二十七条电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。
第二十八条电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。
第二十九条未经许可提供电子认证服务的,由国务院信息产业主管部门责令停止违法行为;有违法所得的,没收违法所得;违法所得三十万元以上的,处违法所得一倍以上三倍以下的罚款;没有违法所得或者违法所得不足三十万元的,处十万元以上三十万元以下的罚款。
第三十条电子认证服务提供者暂停或者终止电子认证服务,未在暂停或者终止服务六十日前向国务院信息产业主管部门报告的,由国务院信息产业主管部门对其直接负责的主管人员处一万元以上五万元以下的罚款。
第三十一条电子认证服务提供者不遵守认证业务规则、未妥善保存与认证相关的信息,或者有其他违法行为的,由国务院信息产业主管部门责令限期改正;逾期未改正的,吊销电子认证许可证书,其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的,应当予以公告并通知工商行政管理部门。
第三十二条伪造、冒用、盗用他人的电子签名,构成犯罪的,依法追究刑事责任;给他人造成损失的,依法承担民事责任。
第三十三条依照本法负责电子认证服务业监督管理工作的部门的工作人员,不依法履行行政许可、监督管理职责的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
第五章 附则
第三十四条
本法中下列用语的含义:
(一)电子签名人,是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人;
(二)电子签名依赖方,是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人;
(三)电子签名认证证书,是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录;
(四)电子签名制作数据,是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据;
(五)电子签名验证数据,是指用于验证电子签名的数据,包括代码、口令、算法或者公钥等。
第三十五条
国务院或者国务院规定的部门可以依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法。
第三十六条
本法自2005年4月1日起施行。[1]
法律修订
《电子签名法》起草工作的正式启动可以追溯到2002年5月,当时由国务院信息化领导小组组织。2003年4月,根据国务院立法工作计划,国务院法制办会同信息产业部、国务院信息化工作办公室开始接手《中华人民共和国电子签名法(草案)》的起草工作。该《草案》于2004年4月2日提交全国人大常委会第八次会议首次审议,经第十次二读后,第十一次会议通过。
2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过,自2005年4月1日起施行。
2015年4月24日第十二届全国人民代表大会常务委员会第十四次会议《关于修改〈中华人民共和国电力法〉等六部法律的决定》修正[2]
内容解读
中华人民共和国电子签名法被认为是中国首部真正电子商务法意义上的立法。因为自1996年联合国颁布《电子商务示范法》以来,世界各国电子商务立法如火如荼,有的国家颁布了电子商务法或交易法,有的国家颁布了电子签名或数字签名法,也有的国家兼采两种立法方式。 而我国电子商务立法最终在国家信息化战略的引导下出台,可以说是业内人士期盼已久的举措,也受到了各相关企业乃至政府部门的高度关注。
被称为“中国首部真正意义上的信息化法律”,自此电子签名与传统手写签名和盖章具有同等的法律效力。《电子签名法》是我国推进电子商务发展,扫除电子商务发展障碍的重要步骤。虽然舆论普遍认为《电子签名法》将会极大地促进电子商务在我国的快速发展,但在网络交易安全、相关法律衔接等“拦路虎”面前,有关专家认为,现阶段《电子签名法》的标志意义大于实际意义。
法律解析:
关于您的问题,是这样的: 个人信息保护法是一部保护个人信息的法律条款,现尚在制订中。涉及法律名称的确立、立法模式问题、立法的意义和重要性、立法现状以及立法依据、法律的适用范围、法律的适用例外及其规定方式、个人信息处理的基本原则、与 政府信息公开 条例的关系、对政府机关与其他个人信息处理者的不同规制方式及其效果、协调个人信息保护与促进信息自由流动的关系、个人信息保护法在特定行业的适用问题、关于敏感个人信息问题、法律的执行机构、行业自律机制、信息主体权利、跨境信息交流问题、刑事责任问题。对个人及行业有着很大的作用。
法律依据:
最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》 法释[2017]10号 为依法惩治侵犯公民个人信息犯罪活动,保护公民个人信息安全和合法权益,根据《中华人民共和国刑法》《中华人民共和国刑事诉讼法》的有关规定,现就办理此类刑事案件适用法律的若干问题解释如下: 第一条刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。 第二条违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。 第三条向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。 未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。 第四条违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。 第五条非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”: (一)出售或者提供行踪轨迹信息,被他人用于犯罪的; (二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的; (三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的; (四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的; (五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的; (六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的; (七)违法所得五千元以上的; (八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的; (九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的; (十)其他情节严重的情形。 实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”: (一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的; (二)造成重大经济损失或者恶劣社会影响的; (三)数量或者数额达到前款第三项至第八项规定标准十倍以上的; (四)其他情节特别严重的情形。 第六条为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”: (一)利用非法购买、收受的公民个人信息获利五万元以上的; (二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的; (三)其他情节严重的情形。 实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。 第七条单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。 第八条设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。 第九条网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。 第十条实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。 第十一条非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。 向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。 对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。 第十二条对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。 第十三条本解释自2017年6月1日起施行。
《密码法》规定国家对密码实行分类管理
《中华人民共和国密码法》第六条 国家对密码实行分类管理。
密码分为核心密码、普通密码和商用密码。
第七条 核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。
核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。
第八条 商用密码用于保护不属于国家秘密的信息。
公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
第九条 国家鼓励和支持密码科学技术研究和应用,依法保护密码领域的知识产权,促进密码科学技术进步和创新。
国家加强密码人才培养和队伍建设,对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。
《中.华人.民共.和国密码法》
第四章 法.律责任
第三十二条 违反本法第十二条规定,窃取他人加密保护的信息,非法侵入他人的密码保.障系统,或者利.用密码从事危害国.家安全、社.会公共利益、他人合法权益等违法活动的,由有关部门依照《中.华人.民共.和国网络安全法》和其他有关法.律、行政.法规的规定追究法.律责任。
第三十三.条 违反本法第十四条规定,未按照要求使用核心密码、普通密码的,由密码管理部门责令改正或者停止违法行为,给予警告;情节严重的,由密码管理部门建议有关国.家机.关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
第三十四条 违反本法规定,发生核心密码、普通密码泄密案.件的,由保密行政管理部门、密码管理部门建议有关国.家机.关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
违反本法第十七条第二款规定,发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未立即采取应对措施,或者未及时.报告的,由保密行政管理部门、密码管理部门建议有关国.家机.关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
第三十五条 商用密码检测、认证机.构违反本法第二十五条第二款、第三款规定开展商用密码检测认证的,由市场监.督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款;情节严重的,依法吊销相关资质。
第三十六条 违反本法第二十六条规定,销.售或者提.供未经检测认证或者检测认证不合格的商用密码产品,或者提.供未经认证或者认证不合格的商用密码服.务的,由市场监.督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。
第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审.查或者安全审.查未通.过的产品或者服.务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第三十八条 违反本法第二十八条实施进口许可、出口管.制的规定,进出口商用密码的,由国.务.院商.务主管部门或者海.关依法予以处罚。
第三十九条 违反本法第二十九条规定,未经认定从事电子政务电子认证服.务的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款。
第四十条 密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄.露、非法向他人提.供在履行职责中知悉的商业秘密和个人隐私的,依法给予处分。
第四十一条 违反本法规定,构成犯罪的,依法追究刑事责任;给他人造成损害的,依法承担民事责任。
第一条 为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定本法。
第二条 本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
第三条 密码工作坚持总体国家安全观,遵循统一领导、分级负责,创新发展、服务大局,依法管理、保障安全的原则。
第四条 坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导,制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。
第五条 国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。
国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。
第六条 国家对密码实行分类管理。
密码分为核心密码、普通密码和商用密码。
第七条 核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。
核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。
第八条 商用密码用于保护不属于国家秘密的信息。
公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
第九条 国家鼓励和支持密码科学技术研究和应用,依法保护密码领域的知识产权,促进密码科学技术进步和创新。
国家加强密码人才培养和队伍建设,对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。
第十条 国家采取多种形式加强密码安全教育,将密码安全教育纳入国民教育体系和公务员教育培训体系,增强公民、法人和其他组织的密码安全意识。
第十一条 县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级财政预算。
第十二条 任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。
任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
第二章 核心密码、普通密码
第十三条 国家加强核心密码、普通密码的科学规划、管理和使用,加强制度建设,完善管理措施,增强密码安全保障能力。
第十四条 在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。
第十五条 从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构(以下统称密码工作机构)应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全。
第十六条 密码管理部门依法对密码工作机构的核心密码、普通密码工作进行指导、监督和检查,密码工作机构应当配合。
第十七条 密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。
密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的,应当立即采取应对措施,并及时向保密行政管理部门、密码管理部门报告,由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置,并指导有关密码工作机构及时消除安全隐患。
第十八条 国家加强密码工作机构建设,保障其履行工作职责。
国家建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。
第十九条 密码管理部门因工作需要,按照国家有关规定,可以提请公安、交通运输、海关等部门对核心密码、普通密码有关物品和人员提供免检等便利,有关部门应当予以协助。
第二十条 密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度,对其工作人员遵守法律和纪律等情况进行监督,并依法采取必要措施,定期或者不定期组织开展安全审查。
第三章 商用密码
第二十一条 国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。
各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。
商用密码的科研、生产、销售、服务和进出口,不得损害国家安全、社会公共利益或者他人合法权益。
第二十二条 国家建立和完善商用密码标准体系。
国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。
国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
第二十三条 国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。
国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
第二十四条 商用密码从业单位开展商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。
国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。
第二十五条 国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。
商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。
商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。
第二十六条 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。
商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
第二十八条 国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。
大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
第二十九条 国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。
第三十条 商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。
第三十一条 密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督。
密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。
第四章 法律责任
第三十二条 违反本法第十二条规定,窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的,由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。
第三十三条 违反本法第十四条规定,未按照要求使用核心密码、普通密码的,由密码管理部门责令改正或者停止违法行为,给予警告;情节严重的,由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
第三十四条 违反本法规定,发生核心密码、普通密码泄密案件的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
违反本法第十七条第二款规定,发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未立即采取应对措施,或者未及时报告的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
第三十五条 商用密码检测、认证机构违反本法第二十五条第二款、第三款规定开展商用密码检测认证的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款;情节严重的,依法吊销相关资质。
第三十六条 违反本法第二十六条规定,销售或者提供未经检测认证或者检测认证不合格的商用密码产品,或者提供未经认证或者认证不合格的商用密码服务的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。
第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第三十八条 违反本法第二十八条实施进口许可、出口管制的规定,进出口商用密码的,由国务院商务主管部门或者海关依法予以处罚。
第三十九条 违反本法第二十九条规定,未经认定从事电子政务电子认证服务的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款。
第四十条 密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的,依法给予处分。
第四十一条 违反本法规定,构成犯罪的,依法追究刑事责任;给他人造成损害的,依法承担民事责任。
第五章 附则
第四十二条 国家密码管理部门依照法律、行政法规的规定,制定密码管理规章。
第四十三条 中国人民解放军和中国人民武装警察部队的密码工作管理办法,由中央军事委员会根据本法制定。
第四十四条 本法自2020年1月1日起施行。
关键信息基础设施的经营者违反网络安全法第三十七条规定的,处五万元以上五十万元以下罚款。
根据《中华人民共和国网络安全法》:
第六十六条关键信息基础设施经营者违反本法第三十七条规定,在中国境外存储或者提供网络数据的。
由有关主管部门责令改正,给予警告,没收违法所得,50000元到500000元的罚款,并可以责令相关业务暂停,暂停业务整改,关闭网站,撤销相关营业执照或吊销营业执照;对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下的罚款。
扩展资料:
中华人民共和国网络安全法规定:
第三十三条关键信息基础设施建设应当保证其具有支持业务稳定持续运行的性能,并保证安全技术措施的规划、建设和使用同步。
第三十七条关键信息基础设施的经营者在中华人民共和国境内经营活动中收集和产生的个人信息和重要数据,应当储存在中华人民共和国境内。因业务需要,确需对外提供的,按照国家网络信息管理局和国务院有关部门制定的办法进行安全评估。法律、行政法规另有规定的,从其规定。
第三十八条关键信息基础设施的经营者,应当由自己或委托网络安全服务机构进行测试和评估安全的网络和可能的风险至少一年一次,并提交测试和评估情况和改进措施,有关部门负责关键信息基础设施的安全与保护。
参考资料:中国人大网-中华人民共和国网络安全法
