密碼政策問答

　　密碼政策問答

　　1. 問：《密碼法》施行後，商用密碼產品的管理方式有什麼變化?

　　答：根據《密碼法》第二十五條、第二十六條的規定，商用密碼產品管理方式將由行政審批調整為檢測認證管理，國家密碼管理局不再實施「商用密碼產品品種和型號審批」。市場監管總局會同國家密碼管理局建立國家統一推行的商用密碼認證制度，採取支持措施，鼓勵商用密碼產品獲得認證。對列入網絡關鍵設備和網絡安全專用產品目錄的商用密碼產品實施強制性檢測認證，由具備資質的機構檢測認證合格後，方可銷售或者提供。

　　2. 問：《密碼法》施行後，已發放的《商用密碼產品型號證書》是否仍然有效?

　　答：《密碼法》施行後，市場監管總局將會同國家密碼管理局建立國家統一推行的商用密碼認證制度，國家密碼管理局將不再受理商用密碼產品品種和型號申請，停止發放《商用密碼產品型號證書》，已發放的《商用密碼產品型號證書》自2020年7月1日起自動失效。本著便民利企原則，對於在有效期內的《商用密碼產品型號證書》，持證單位可於2020年6月30日前自願申請轉換國推商用密碼產品認證證書，換發的認證證書有效期與原《商用密碼產品型號證書》有效期保持一致。同時，為方便證書轉換，持證單位可向所在地省(區、市)密碼管理部門提交轉換認證申請。

　　3. 問：《密碼法》施行後，尚未完成商用密碼產品品種和型號審批的產品應該如何處理?

　　答：本著便民利企原則，對於尚未完成商用密碼產品品種和型號審批的，原產品品種和型號申請單位可於2020年6月30日前，自願轉為認證申請：審批期間已經開展的審查及檢測，認證機構不再重複審查、檢測，切實減輕申請單位負擔，簡化辦事流程。

　　4. 問：《密碼法》施行後，如何向具備資質的商用密碼認證機構提交認證申請?

　　答：市場監管總局、國家密碼管理局正在抓緊制定國推商用密碼認證的產品目錄、認證規則和有關實施要求。待相關內容發布後，自認證規則實施之日起，商用密碼從業單位便可自願向具備資質的商用密碼認證機構提交認證申請。有關認證的適用範圍、申請受理、基本流程、證書管理等內容將在認證規則中予以明確。

　　5. 問：《密碼法》施行後，商用密碼進出口有哪些管理要求?

　　答：根據《密碼法》第二十八條的規定，《密碼法》施行後，商用密碼進出口將納入兩用物項進出口管理，由商務部、國家密碼管理局依法實施進口許可和出口管制。商務部、國家密碼管理局、海關總署正在抓緊制定商用密碼進口許可清單和出口管制清單。清單公布實施前，商用密碼進出口暫時按照目前公布的許可條件和程序實施進出口許可管理，保持現行工作方式不變。詳見國家密碼管理局、商務部、海關總署第38號公告。

　　6. 問：《密碼法》中「密碼」的概念是什麼?

　　答：《密碼法》中的密碼(cryptography)，是指採用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務。而人們日常接觸的計算機或手機開機「密碼」、微信「密碼」、QQ「密碼」、電子郵箱登錄「密碼」、銀行卡支付「密碼」等，實際上是口令(password)。口令是進入個人計算機、手機、電子郵箱或銀行帳戶的「通行證」，是一種簡單、初級的身份認證手段，「口令」不在《密碼法》的管理範圍之內。

　　7. 問：《密碼法》有什麼樣的法律地位?

　　答：密碼是國家重要戰略資源，是保障網絡與信息安全的核心技術和基礎支撐。密碼工作是黨和國家的一項特殊重要工作，直接關係國家政治安全、經濟安全、國防安全和信息安全，在我國革命、建設、改革各個歷史時期，都發揮了不可替代的重要作用。進入新時代，以習近平同志為核心的黨中央堅持總體國家安全觀，在完善國家安全體系的總體布局中對加強密碼工作和密碼立法作出了重要部署。

　　《密碼法》是我國國家安全法律制度體系的重要組成部分，是密碼領域的綜合性、基礎性法律，也是一部技術性、專業性較強的專門法律。《密碼法》以法律的形式明確了黨管密碼的根本原則，確立了密碼工作領導和管理體制，明確了密碼分類管理原則以及核心密碼、普通密碼、商用密碼管理的各項制度措施，為保障網絡與信息安全，維護國家安全、社會公共利益，以及公民、法人和其他組織的合法權益提供了堅實有力的法律保障，為構建系統完備、科學規範、運行高效的密碼法律制度體系奠定了基礎。

　　8. 問：《密碼法》的立法目的是什麼?

　　答：一、規範密碼應用和管理，促進密碼事業發展

　　目前，有關部門、單位和社會公眾對密碼的作用認識不夠全面，使用密碼保護網絡與信息安全的意識還不夠強，特別是重要網絡與信息系統密碼應用規範性、有效性不夠的問題還比較突出，嚴重威脅國家網絡與信息安全、企業商業秘密以及公民個人隱私保護。國家對涉密信息系統和關鍵信息基礎設施商用密碼的應用、基礎支撐能力的提升以及安全性評估、審查制度等不斷提出明確要求，需要上升為法律規範，為維護國家網絡與信息安全提供法治保障。在核心密碼、普通密碼方面，需要將現行有效的安全管理制度、特殊管理政策及保障措施法治化，增強核心密碼、普通密碼安全保障能力。在商用密碼方面，傳統上對商用密碼實行全環節許可管理，已經不適應政府職能轉變和「放管服」改革要求，亟需通過立法對現行的商用密碼管理制度作出調整，切實為企業鬆綁減負，促進密碼科技進步和創新，促進密碼產業健康有序發展。

　　二、保障網絡與信息安全，維護國家安全和社會公共利益，保護公民、法人和其他組織的合法權益

　　在網絡與資訊時代，每天都會產生大量涉密和敏感信息，網絡竊密、網絡詐騙、侵犯隱私等事件層出不窮，亟需有效的安全防護措施。密碼是保障網絡與信息安全的核心技術和基礎支撐。制定《密碼法》，就是要更好地促進密碼產業發展，營造良好的市場秩序，為社會提供更多優質高效的密碼，引導全社會正確、合規、有效使用密碼，充分發揮密碼在網絡空間中信息加密、安全認證等方面的重要作用，維護國家安全和社會公共利益，保護公民、法人和其他組織的合法權益。

　　9. 問：《密碼法》經歷了怎樣的立法過程?

　　答：黨和國家高度重視密碼立法工作，2018年至2019年，全國人大常委會和國務院都將《密碼法》列入了立法工作規劃。

　　2014年12月，國家密碼管理局正式啟動《密碼法》的立法工作。

　　2017年4月至5月，《中華人民共和國密碼法(草案徵求意見稿)》在國家密碼管理局商用密碼管理辦公室網站首次面向社會公開徵求意見。

　　2017年6月，《中華人民共和國密碼法(草案送審稿)》正式報送國務院。

　　2019年6月10日，《中華人民共和國密碼法(草案)》(以下簡稱草案)經國務院第52次常務會議會討論通過。6月15日，李克強總理籤署議案，正式將草案提請全國人大常委會審議。

　　2019年6月25日至29日，十三屆全國人大常委會第十一次會議對草案進行了首次審議。

　　2019年7月5日至9月2日，草案在中國人大網面向社會公開徵求意見。

　　2019年10月21日至26日，十三屆全國人大常委會第十四次會議對草案進行了二次審議。

　　10月26日，十三屆全國人大常委會第十四次會議表決通過《密碼法》，習近平主席籤署第三十五號主席令正式頒布，自2020年1月1日起施行。

　　10. 問：密碼有哪些主要功能?

　　答：密碼的主要功能有兩個，一個是加密保護，另一個是安全認證。

　　加密保護是指採用特定變換的方法，將原來可讀的信息變成不能直接識別的符號序列。簡單地說，加密保護就是將明文變成密文。例如，古希臘軍隊使用一種叫做「斯巴達棒」的圓木棍來進行加密通信，使用方法是：把一根長帶狀羊皮紙纏繞在圓木棍上，然後在上面寫字：解下羊皮紙後，上面只有亂序的字符，只有再次以同樣的方式纏繞到同樣粗細的木棍上，才能看出所寫的內容。

　　安全認證是指採用特定變換的方法，確認信息是否完整、是否被篡改、是否可靠以及行為是否真實。簡單地說，安全認證就是確認主體和信息的真實可靠性。例如，增值稅防偽稅控系統採用商用密碼技術保護涉稅信息，增值稅發票信息經密碼算法進行加解密處理，確定該發票的明文信息是否真實，從而遏制增值稅犯罪，減少稅款流失。

　　11. 問：《密碼法》的管理對象有哪些?

　　答：作為本法的管理對象，密碼包括密碼技術、密碼產品和密碼服務。

　　密碼技術，是指採用特定變換的方法對信息等進行加密保護、安全認證的技術，包括密碼編碼、實現、協議、安全防護、分析破譯，以及密鑰產生、分發、傳送、使用、銷毀等技術。分組密碼算法(如SM4算法)、公鑰密碼算法(如SM2算法)等是典型的密碼算法，密鑰交換協議、密鑰分發協議等是典型的密碼協議。

　　密碼產品，是指採用密碼技術並以加密保護、安全認證的產品，即承載密碼技術、實現密碼功能的實體。典型的密碼產品包括：密碼機，如鏈路密碼機、網絡密碼機、伺服器密碼機、傳真密碼機、電話密碼機等：密碼晶片和模塊，如第二代居民身份證、智能電卡、社會保障卡、金融晶片卡中使用的密碼晶片、可信計算密碼模塊等。

　　密碼服務，是指基於密碼專業技術、技能和設施，為他人提供集成、運營、監理等密碼支持和保障的活動，即基於密碼技術和產品，實現密碼功能，提供密碼保障的行為。典型的密碼服務包括：密碼保障系統集成(如數字證書認證系統集成)，是指為他人集成建設實現密碼功能的系統，保護他人網絡與信息系統的安全：密碼保障系統運營(如增值稅發票防偽稅控系統運營)，是指為保證他人實現密碼功能系統的正常運行提供安全管理和維護。

　　12. 問：密碼工作的基本原則是什麼?

　　答：總體國家安全觀要求推動建立新的安全體制，在密碼工作中具體體現為統一領導、分級負責，創新發展、服務大局，依法管理、保障安全的基本原則，這是密碼工作歷史經驗和實踐的深刻總結。

　　13. 問：密碼工作的基本原則中「統一領導、分級負責」是指什麼?

　　答：「統一領導、分級負責」是密碼工作的首要原則。統一領導，是指全國密碼工作在黨中央領導下，由中央密碼工作領導機構統一領導。《密碼法》把「統一領導」作為密碼工作的一項基本原則，就是要堅持黨的絕對領導，這是密碼工作最重要、最根本、最核心的原則，也是密碼工作的優良傳統和寶貴經驗。

　　分級負責，是指國家和省、市、縣四級密碼管理部門分別負責管理全國和本行政區域的密碼工作。根據密碼工作的現實需要，參考其他工作領域管理體制改革發展的經驗，《密碼法》明確了各級密碼管理部門的行政主體地位，確立了分級負責的密碼工作管理體制。

　　14. 問：密碼工作的基本原則中「創新發展、服務大局」是指什麼?

　　答：創新發展是密碼工作的發展之基、力量之源。黨的密碼工作從誕生的第一天起，正是憑藉不斷地自主創新，走出了一條從無到有、從小到大、從弱到強的中國特色密碼發展之路。堅持創新發展，就是要以科技創新為核心，以管理創新為推動，以制度創新為保證，支持密碼科學技術研究，推動密碼產業發展，使密碼工作始終體現時代性、把握規律性、富於創造性，為保障網絡與信息安全、維護國家網絡空間主權提供有力的技術支撐。

　　服務大局是密碼工作的價值所在，更是其宗旨要求。密碼工作與黨和國家的事業血肉相連、命運休戚相關，在革命、建設和改革各個歷史時期，都緊緊圍繞黨和國家的中心任務和奮鬥目標，發揮著不可替代的特殊重要作用。進入新時代，堅持服務大局，就是要緊緊圍繞國家創新驅動發展戰略，部署好密碼科技自主創新，實現密碼科技跨越式發展：要緊緊圍繞國家安全戰略，加大密碼核心關鍵技術攻關和密碼應用，充分發揮密碼在保安全促發展中的支撐作用：要緊緊圍繞中央全面深化改革的戰略部署，全面深化密碼管理體制改革，加快政府職能轉變：要緊緊圍繞經濟結構調整，加快推進密碼產業發展，為經濟社會持續健康發展，為實現「兩個一百年」奮鬥目標、實現中華民族偉大復興的中國夢做出貢獻。

　　15. 問：密碼工作的基本原則中「依法管理、保障安全」是指什麼?

　　答：黨的十九大把堅持全面依法治國確立為習近平新時代中國特色社會主義思想和新時代堅持和發展中國特色社會主義的基本方略的重要內容，提出「必須堅持厲行法治，推進科學立法、嚴格執法、公正司法、全民守法」。將密碼管理的各個方面納入法治軌道，是密碼工作的基本要求，是提高密碼工作科學化、規範化、制度化水平的必由之路。堅持依法管理，就是各級密碼管理部門要嚴格按照《密碼法》和有關法規、規章和規範性文件的規定，依法全面履行密碼行政管理職能。依法管理是核心密碼、普通密碼、商用密碼三類密碼管理的共同要求。

　　密碼安全關乎黨和國家的根本利益，是密碼工作的生命。堅持保障安全，就是要加強密碼安全制度建設，完善密碼安全管理措施，對密碼管理重點關鍵環節實施有效監管，增強密碼安全保障能力：要加強關鍵信息基礎設施密碼應用監管，建立完善密碼安全性評估和安全審查制度，有效預防和化解密碼安全風險：要加強密碼安全協作機制建設，確保密碼安全管理的協同聯動和有序高效。

　　16. 問：密碼工作堅持黨的絕對領導體現在哪些方面?

　　答：堅持黨對密碼工作的絕對領導，是在任何時候、任何情況下都必須毫不動搖堅持的根本原則。《密碼法》規定，堅持中國共產黨對密碼工作的領導，旗幟鮮明地把黨管密碼這一根本原則寫入法律。黨的密碼工作創建於1930年，一直由黨中央直接領導和管理，黨管密碼原則是密碼工作長期實踐和歷史經驗的深刻總結，是密碼工作最重要、最根本、最核心的要求。

　　堅持黨的絕對領導，主要體現在：一是密碼工作的重大事項向中央報告，密碼工作的重大決策由中央決定。二是堅決貫徹執行中央關於密碼工作的方針政策，落實中央確定的密碼工作領導和管理體制。三是充分發揮黨的領導核心作用，各級黨委(黨組)和密碼工作領導機構要認真履行黨管密碼的政治責任。

　　17. 問：我國的密碼工作領導體制是什麼?

　　答：《密碼法》明確規定，中央密碼工作領導機構，即中央密碼工作領導小組，對全國密碼工作實行統一領導，把中央確定的密碼工作領導體制，通過法律形式固化下來，為密碼工作沿著正確方向發展提供根本保證。中央密碼工作領導小組統一領導全國密碼工作，負責制定國家密碼工作重大方針政策，統籌協調國家密碼重大事項和重要工作，推進國家密碼法治建設。

　　18. 問：我國的密碼工作管理體制是什麼?

　　答：根據密碼工作依法管理的需要，參考其他工作領域管理體制改革發展的經驗，《密碼法》明確了密碼工作管理體制，包括兩個方面的內容：一是國家、省、市、縣四級密碼工作管理體制，二是國家機關和涉及密碼工作的單位的密碼工作職責。

　　19. 問：四級密碼工作管理體制的含義?

　　答：《密碼法》賦予了國家、省、市、縣四級密碼管理部門行政管理職責。

　　國家密碼管理部門是指國家密碼管理局。為更好地履行對全國的密碼管理職能，2005年1月，中央機構編制委員會批准成立國家密碼管理局。2008年3月，國家密碼管理局列入國務院部委管理的國家局序列。2018年3月，《國務院關於部委管理的國家局設置的通知》(國發〔2018〕7號)明確規定，國家密碼管理局與中央密碼工作領導小組辦公室，一個機構兩塊牌子，列入中共中央直屬機關的下屬機構序列。

　　國家密碼管理局的主要職責是：組織貫徹落實黨和國家關於密碼工作的方針政策和法律法規，研究提出解決密碼工作發展中重大問題的建議：擬訂密碼工作發展規劃，起草密碼工作法規並負責密碼法規的解釋，組織擬訂密碼相關標準：依法履行密碼行政管理職能，管理密碼科研、生產、裝備(銷售)、檢測認證及使用，查處密碼洩密事件和違法違規研製、使用密碼行為，負責有關密碼的涉外事宜：對密碼工作機構實施業務領導：負責網絡與信息系統中密碼保障體系的規劃和管理，規劃、建設和管理國家密碼基礎設施：指導密碼專業教育和密碼學術交流，組織密碼專業人才教育培訓，對高等院校、科研機構、學術團體開展密碼基礎理論與應用技術研究、交流進行指導：承辦中央密碼工作領導小組的日常工作。

　　縣級以上地方各級密碼管理部門是指省(自治區、直轄市)、市(地、州、盟)、縣(市、區、旗)密碼管理局。為規範和加強密碼管理部門的行政管理職能，《密碼法》明確了國家、省、市、縣四級分級負責的密碼工作管理體制，賦予了國家、省、市、縣四級密碼管理部門行政管理職責，從體制機制上為密碼管理部門依法履行密碼管理職能提供了堅實的法治保障。

　　各級密碼管理部門要認真貫徹落實《密碼法》的明確要求，依法確立行政主體地位，全面履行《密碼法》賦予的行政管理職能，加快建立權力清單、責任清單和負面清單，完善監督執法機制，規範執法方式，推動管理職能轉變和管理方式創新，自覺做到「職權法定」、「權依法使」。

　　20. 問：國家機關和涉及密碼工作的單位的密碼工作職責是什麼?

　　答：國家機關和涉及密碼工作的單位根據工作需要，承擔相應的密碼工作職責，是密碼工作管理體制的重要組成部分。國家機關是指中央、省、市、縣各級國家機關。涉及密碼工作的單位是指除國家機關以外，承擔密碼管理職責的企事業單位等。這些機關、單位在其職責範圍內負責本機關、本單位或本系統的密碼工作。

　　21. 問：密碼是如何分類的?

　　答：《密碼法》將密碼分為核心密碼、普通密碼和商用密碼，實行分類管理。核心密碼用於保護國家絕密級、機密級、秘密級信息，普通密碼用於保護國家機密級、秘密級信息，商用密碼用於保護不屬於國家秘密的信息。

　　22. 問：為什麼要對密碼實行分類管理?

　　答：將密碼分為核心密碼、普通密碼和商用密碼，實行分類管理，是黨中央確定的密碼管理根本原則，是保障密碼安全的基本策略，也是長期以來密碼工作經驗的科學總結。三類密碼保護的對象不同，對其進行明確劃分，有利於確保密碼安全保密，有利於密碼管理部門根據不同信息等級和使用對象，對密碼實行科學管理，充分發揮三類密碼在保護網絡與信息安全中的核心支撐作用。對密碼施行分類管理，也是國際通行做法。

　　23. 問：什麼是核心密碼、普通密碼?

　　答：核心密碼、普通密碼用於保護國家秘密信息，有力保障了中央政令軍令安全，為維護國家網絡空間主權、安全和發展利益構築起密碼屏障。按照《保守國家秘密法》的規定，國家秘密是指關係國家安全和利益，依照法定程序確定，在一定時間內只限一定範圍的人員知悉的事項。《密碼法》根據保護對象的不同，對核心密碼、普通密碼進行劃分。核心密碼用於保護國家絕密級、機密級、秘密級信息，普通密碼用於保護國家機密級、秘密級信息。

　　24. 問：為什麼要對核心密碼、普通密碼實行嚴格統一管理?

　　答：密碼管理部門按照中央要求，對核心密碼、普通密碼實行嚴格統一管理，針對核心密碼、普通密碼的科研、生產、服務、檢測、裝備、使用和銷毀等各個環節制定了一系列嚴格的安全管理制度和保密措施，對核心密碼、普通密碼實行全生命周期的嚴格統一管理，明確了一系列保障措施。這是因為：第一，核心密碼、普通密碼用於保護國家秘密信息，直接關係國家安全和利益。第二，核心密碼、普通密碼本身也屬於國家秘密，一旦洩密，將危害國家安全和利益。黨政機關應當嚴格按照法律法規的有關規定使用核心密碼、普通密碼保護國家秘密信息，在法律範圍內從事相關活動。第三，核心密碼、普通密碼的管理措施以及密碼管理部門、密碼工作機構及其工作人員開展核心密碼、普通密碼工作的保障措施等，需要通過國家立法提供法律依據，進一步提升密碼工作的法治化保障水平。

　　25. 問：什麼是商用密碼?

　　答：商用密碼用於保護不屬於國家秘密的信息。也就是說，商用密碼可以用於保護除國家秘密之外的所有信息，既可以保護企業商業秘密、公民個人隱私，也可以保護政務領域中不屬於國家秘密的工作信息。關於商用密碼的名稱，1996年，中央決定在我國大力發展商用密碼，加強對商用密碼的管理。1999年，國務院頒布施行《商用密碼管理條例》(國務院令第273號)，商用密碼的名稱開始為社會所熟知和廣泛使用。此後，中央文件和黨內法規以及國家密碼管理局制定發布的規範性文件均採用了「商用密碼」這一名稱。

　　26. 問：《密碼法》在商用密碼使用方面提出了什麼樣的管理要求?

　　答：《密碼法》規定公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全，對一般用戶使用商用密碼沒有提出強制性要求。同時，為了保障關鍵信息基礎設施安全穩定運行，維護國家安全和社會公共利益，《密碼法》第二十七條規定了關鍵信息基礎設施的商用密碼使用要求。

　　公民、法人和其他組織可以依法使用商用密碼，既是《密碼法》賦予公民、法人和其他組織自主選擇使用商用密碼的權利，也是鼓勵公民、法人和其他組織依法使用商用密碼保護網絡與信息安全。

　　27. 問：《密碼法》為什麼要鼓勵和支持密碼科學技術進步和創新?

　　答：黨的十九大報告指出，創新是引領發展的第一動力，是建設現代化經濟體系的戰略支撐。密碼科學技術進步和創新是密碼事業發展的靈魂，也是密碼實現持續健康快速發展的動力源泉。緊緊牽住核心技術自主創新這個「牛鼻子」，牢牢掌握密碼關鍵核心技術，是密碼事業高質量發展的必由之路。堅持走中國特色密碼自主創新道路，著眼密碼科技前沿、立足網絡空間安全、面向國家戰略需求，加快創新驅動發展，是推進密碼科技創新的基本要求。

　　28. 問：《密碼法》在密碼智慧財產權保護方面作了哪些具體規定?

　　答：依法保護智慧財產權，對於激勵科技創新，提高創新能力，促進創新成果合理分享，推動科技進步和經濟社會發展，具有重要意義。

　　在密碼工作實踐中，無論是密碼技術研究，還是密碼檢測認證、密碼應用安全性評估、安全審查，都涉及密碼智慧財產權保護。《密碼法》在多個條款中對依法保護密碼領域的智慧財產權作了具體規定。在商用密碼檢測認證方面，《密碼法》對檢測、認證機構在檢測認證中所知悉的國家秘密、商業秘密和技術秘密的保密義務作了明確規定，並且規定了相應的法律責任。《密碼法》還對密碼管理部門和有關部門及其工作人員對在履行職責中知悉的商業秘密和個人隱私的保密義務作了明確規定，並且規定了相應的法律責任。

　　密碼智慧財產權保護對國內外產品、服務以及內外資企業一視同仁、同等適用，對外商投資企業的智慧財產權實行同等保護。

　　29. 問：為什麼要加強密碼人才培養和隊伍建設?

　　答：人才是核心競爭力，密碼事業的發展，歸根結底要靠密碼人才。密碼人才隊伍是一支特殊的隊伍，承擔著密碼科研、密碼管理、密碼服務保障等重要任務，肩負著保障國家網絡與信息安全的重要職責。隨著網絡與信息化的飛速發展和密碼的廣泛應用，密碼人才需求呈現快速增長態勢，密碼專業人才培養和學科建設取得重要進展。目前，國內已有超過100所高校開設了密碼學專業或者密碼學相關課程，培育了大量的密碼專業人才，湧現出一批具有國際知名度的優秀領軍人才。將加強密碼人才培養和隊伍建設寫進《密碼法》也是貫徹落實相關中央文件和黨內法規的明確要求，與《網絡安全法》關於加強網絡安全人才培養的規定也是銜接一致的。

　　30. 問：《密碼法》規定了什麼樣的密碼工作表彰獎勵制度?

　　答：為充分調動廣大密碼工作人員做好密碼工作的積極性和創造性，推動密碼工作創新發展，貫徹落實黨和國家功勳榮譽表彰獎勵制度要求，黨和國家設立了全國密碼工作先進集體和先進工作者、密碼科學技術進步獎勵等密碼工作表彰獎勵制度。《密碼法》第九條規定：「對在密碼工作中作出突出貢獻的組織和個人，按照國家有關規定給予表彰和獎勵。」將這一系列表彰獎勵制度保留、固化下來。

　　31. 問：密碼工作表彰獎勵的對象有哪些?

　　答：密碼工作表彰獎勵的對象主要是在服務黨和國家工作大局中發揮重要作用以及在密碼科技進步中作出重要貢獻的密碼管理部門、密碼工作機構、商用密碼從業單位和密碼工作人員等。表彰獎勵工作貫徹「尊重勞動、尊重知識、尊重人才、尊重創造」的方針，注重面向一線，注重工作實績，遵循鼓勵創新、促進發展、公平公正、嚴格把關的原則，堅持精神獎勵與物質獎勵相結合、以精神獎勵為主，體現先進性、代表性和時代性。

　　32. 問：為什麼要加強密碼安全教育?

　　答：密碼安全事關國家安全，密碼安全意識是國家安全意識的重要內容。密碼安全教育是密碼工作的重要組成部分，對密碼工作高質量發展起著重要的導向和促進作用。做好密碼安全教育工作，對於正確貫徹中央關於密碼工作的方針政策，提高全民密碼安全意識，引導全社會合規、正確、有效使用密碼，確保密碼使用優質高效、確保密碼管理安全可靠，具有重要意義。

　　33. 問：如何加強密碼安全教育?

　　答：密碼安全教育要與學習貫徹總體國家安全觀緊密結合起來，以學習宣傳貫徹《密碼法》為重要抓手，面向不同人群，開展不同形式的密碼安全教育，增強安全教育的針對性和實效性。

　　一是充分利用「全民國家安全教育日」「國家網絡安全宣傳周」等平臺，深入開展《密碼法》普及宣傳活動，推動密碼安全教育進社會、進課堂、進教材、進網絡。

　　二是充分利用傳統媒體和新興媒體，充分發揮中國密碼學會、商用密碼領域的行業協會等社會團體和全國商用密碼展覽會、《密碼學報》、全國密碼技術競賽等學術、產業交流平臺的作用，創新宣傳方式和手段，加大密碼知識科普工作的力度，增強密碼社會認知度和應用密碼保護信息安全的意識。

　　三是各級教育主管部門和公務員主管部門將密碼安全教育納入國民教育體系和公務員教育培訓體系，加強對大中小學生密碼常識和密碼安全意識的培養，加大對各級領導幹部進行密碼培訓的力度，推動密碼知識進校園，進黨校(行政學院)、幹部學院。

　　34. 問：為什麼要把密碼安全教育納入國民教育體系和公務員教育培訓體系?

　　答：將密碼安全教育納入國民教育體系，在各階段的教育過程中，開展密碼常識、密碼安全意識的教育，有利於提高全民密碼安全意識，提高全社會自覺使用密碼保護網絡與信息安全、維護國家密碼安全的意識。

　　在公務員培訓中，密碼安全教育主要是關於密碼常識、密碼安全意識和密碼工作的教育，將密碼安全教育納入公務員教育培訓體系，有利於公務員在履行職責過程中更好地貫徹總體國家安全觀，提高密碼安全意識與履職能力。

　　35. 問：《密碼法》對密碼工作規劃和經費做了什麼樣的規定?

　　答：為保障密碼工作順利開展，充分發揮密碼在網絡與信息安全中的基礎支撐作用，《密碼法》第十一條規定：「縣級以上人民政府應當將密碼工作納入本級國民經濟和社會發展規劃，所需經費列入本級財政預算。」

　　36. 問：《密碼法》對禁止利用密碼從事違法犯罪活動做了什麼樣的規定?

　　答：密碼是一把「雙刃劍」，既可以用於合法的信息保護，也可能被用來從事違法犯罪活動。密碼一旦被用來從事違法犯罪活動，將嚴重危害國家安全、社會公共利益和公民個人合法權益。因此，《密碼法》第十二條明確規定：「任何組織或者個人不得竊取他人加密保護的信息或者非法侵入他人的密碼保障系統。任何組織或者個人不得利用密碼從事危害國家安全、社會公共利益、他人合法權益等違法犯罪活動。」

　　37. 問：什麼是「竊取他人加密保護的信息或者非法侵入他人的密碼保障系統」?

　　答：竊取他人加密保護的信息，是指未經他人授權，採用非法攻擊密碼等方式獲取他人加密保護的信息的違法行為。

　　非法侵入他人的密碼保障系統，是指未經他人授權，採用非法攻擊密碼等方式進入他人的密碼保障系統。這裡的「密碼保障系統」，是指採用密碼技術、產品或者服務集成建設的，實現加密保護、安全認證功能的系統。

　　38. 問：《密碼法》為什麼規定「任何組織和個人不得利用密碼從事危害國家安全、社會公共利益、他人合法權益等違法犯罪活動」?

　　答：隨著網絡信息技術的不斷發展，利用密碼從事違法犯罪活動的案例屢見不鮮，造成了廣泛的社會影響。例如，2017年5月，一款名為「魔哭」(WannaCry)的蠕蟲勒索軟體襲擊全球網絡。它加密受害者電腦內的重要文件，除非受害者通過比特幣交出贖金，否則加密文件無法恢復。「魔哭」勒索軟體的影響範圍覆蓋全球150多個國家和地區，超過30萬臺設備受到感染和影響。我國有3萬多家機構、數十萬臺設備受到該軟體襲擊，給國家、社會和公民個人財產造成巨大損失，嚴重危害了國家安全和社會穩定。

　　此外，《密碼法》關於不得利用密碼從事危害國家安全、社會公共利益、他人合法權益等違法犯罪活動的規定也是與《刑法》、《治安管理處罰法》、《網絡安全法》等有關法律、行政法規的規定相銜接的。

　　39. 問：核心密碼和普通密碼遵循什麼樣的管理原則?

　　答：核心密碼、普通密碼用於保護國家秘密信息，其本身也屬於國家秘密，直接關係國家安全。

　　《密碼法》從以下幾個方面規定了核心密碼、普通密碼的管理原則。

　　一是國家加強核心密碼、普通密碼的科學規劃、管理和使用。為深入貫徹落實黨中央對密碼工作的決策部署，國家著眼密碼工作長遠發展，加強核心密碼、普通密碼的科學規劃、管理和使用，確保核心密碼、普通密碼安全。

　　二是加強制度建設，完善管理措施。國家密碼管理部門和有關部門制定印發了核心密碼、普通密碼管理的一系列法規制度和標準規範，對核心密碼、普通密碼的科研、生產、服務、檢測、裝備、使用和銷毀等各個環節實行全生命周期的嚴格統一管理。

　　三是增強密碼安全保障能力。國家加強密碼保障體系和密碼安全監管能力建設，強化密碼安全監測預警、安全風險評估、應急處置和監督管理等工作，夯實密碼安全基礎。

　　40. 問：《密碼法》對核心密碼、普通密碼使用作了哪些規定?

　　答：《密碼法》第十四條明確規定：在有線、無線通信中傳遞的國家秘密信息，以及存儲、處理國家秘密信息的信息系統，應當依照法律、行政法規和國家有關規定使用核心密碼、普通密碼進行加密保護、安全認證。

　　41. 問：密碼工作機構需要承擔哪些安全保密管理責任?

　　答：《密碼法》第十五條規定：從事核心密碼、普通密碼科研、生產、服務、檢測、裝備、使用和銷毀等工作的機構(以下統稱密碼工作機構)，應當按照法律、行政法規、國家有關規定以及核心密碼、普通密碼標準的要求，建立健全安全管理制度，採取嚴格的保密措施和保密責任制，確保核心密碼、普通密碼的安全。

　　《密碼法》中所稱密碼工作機構，是指從事核心密碼、普通密碼科研、生產、服務、檢測、裝備、使用和銷毀等工作的機構。密碼工作機構應當按照《密碼法》和相關法律法規的要求，在科研、生產、服務、檢測、裝備、使用和銷毀等各個環節建立健全安全管理制度，將保密措施和保密責任制規範化、制度化和體系化，有效保證核心密碼、普通密碼自身的安全，進而實現其所保護的國家秘密信息的安全。

　　42. 問：《密碼法》對核心密碼、普通密碼工作的監督檢查作了哪些規定?

　　答：《密碼法》第十六條規定：密碼管理部門依法對密碼工作機構的核心密碼、普通密碼工作進行指導、監督和檢查，密碼工作機構應當配合。

　　密碼工作機構是密碼管理部門的管理對象。密碼管理部門按照《密碼法》和其他有關法律法規的規定，對密碼工作機構開展核心密碼、普通密碼工作的情況進行指導、監督和檢查。主要內容是，密碼工作機構是否嚴格依照法律、法規和國家有關規定開展核心密碼、普通密碼工作，正當行使權利和履行義務。《密碼法》同時規定密碼管理部門在行使上述監督檢查職權時，必須以法律法規和有關政策為依據，不能隨意擴大其職權。配合密碼管理部門的指導、監督和檢查，屬於密碼工作機構的法定義務，必須履行。

　　43. 問：為什麼要建立核心密碼、普通密碼安全協作機制?

　　答：《密碼法》第十七條第一款規定：密碼管理部門根據工作需要會同有關部門建立核心密碼、普通密碼的安全監測預警、安全風險評估、信息通報、重大事項會商和應急處置等協作機制，確保核心密碼、普通密碼安全管理的協同聯動和有序高效。

　　為貫徹落實總體國家安全觀，確保核心密碼、普通密碼安全，全天候全方位感知密碼安全態勢，就必須統籌協調國家有關部門共同推進密碼安全管理工作，建立密碼管理部門和有關部門間的監測預警、風險評估、信息通報、重大事項會商、應急處置等協作機制，準確把握密碼安全風險發生的規律、動向、態勢，實現密碼情報信息的及時收集、準確分析、有效使用和共享，提高密碼安全事件的應對處置能力。

　　44. 問：核心密碼、普通密碼安全協作機制具體包括哪些內容?

　　答：《密碼法》規定的密碼管理部門會同有關部門建立的核心密碼、普通密碼安全協作機制主要包括安全監測預警、安全風險評估、信息通報、重大事項會商和應急處置等協作機制。

　　密碼安全監測預警，是指針對包括竊取加密保護的信息，非法攻擊、侵入密碼保障系統等密碼安全風險進行持續性監測，收集相關信息，發出預警信號，報告危險情況，最大程度降低密碼安全事件造成的損害。

　　密碼安全風險評估，是指對密碼安全風險以及密碼安全事件造成的影響進行科學的分析、研判和評估。

　　密碼安全信息通報，是指密碼管理部門和公安、國家安全、網信、工業和信息化、保密等有關部門相互通報密碼安全風險以及密碼安全事件等相關信息，通過整合多方資源、交流共享密碼安全信息，實現密碼安全的綜合防控和主動防範。

　　密碼安全重大事項會商，是指密碼管理部門和公安、國家安全、網信、工業和信息化、保密等有關部門，共同研究、協商解決密碼安全重大問題。

　　密碼安全應急處置，是指通過制定應急預案、組織應急演練、開展應急響應等措施，將密碼安全事件造成的危害後果和不利影響降低到最低限度。

　　45. 問：密碼工作機構發現密碼洩密等安全問題時如何處置?

　　答：《密碼法》第十七條第二款規定：密碼工作機構發現核心密碼、普通密碼洩密或者影響核心密碼、普通密碼安全的重大問題、風險隱患的，應當立即採取應對措施，並及時向保密行政管理部門、密碼管理部門報告，由保密行政管理部門、密碼管理部門會同有關部門組織開展調查、處置，並指導有關密碼工作機構及時消除安全隱患。

　　核心密碼、普通密碼屬於國家秘密。密碼工作具有很強的系統性，牽一髮而動全身，凡是涉及密碼安全的重大問題、風險隱患，都必須高度重視，及時進行處理，防止任何隱患演化為全局性問題和風險。

　　46. 問：核心密碼、普通密碼洩密主要指哪些情形?

　　答：核心密碼、普通密碼洩密既包括核心密碼、普通密碼故意洩密，也包括核心密碼、普通密碼過失洩密，主要有以下三種情形：一是使核心密碼、普通密碼被不應知悉者知悉：二是使核心密碼、普通密碼超出了限定的接觸範圍，而不能證明未被不應知悉者知悉：三是核心密碼、普通密碼丟失，下落不明。

　　47. 問：影響核心密碼、普通密碼安全的重大問題、風險隱患是指什麼?

　　答：影響核心密碼、普通密碼安全的重大問題、風險隱患，是指核心密碼、普通密碼設備、部件、系統等發生損毀、中斷、被攻擊侵入等情況，已經或可能對密碼安全構成威脅。

　　48. 問：出現密碼安全問題時，密碼工作機構要立即採取什麼樣的應對措施?

　　答：採取應對措施是指為避免核心密碼、普通密碼洩密或減輕洩密後果而採取的一切合法和必要的措施。究竟如何採取應對措施以及採取何種應對措施，應根據當時的具體情況和現實條件作出決定。要求密碼工作機構在發生核心密碼、普通密碼洩密等安全問題時及時報告，是為了讓保密行政管理部門、密碼管理部門及時了解情況，以便採取相應措施，及時組織查處，最大限度地減少可能造成的損害。

　　49. 問：核心密碼、普通密碼洩密案件查處由哪些部門負責?

　　答：為規範和加強密碼洩密案件等安全問題查處工作，參照《保守國家秘密法》的規定，同時考慮到密碼工作的特性和密碼管理部門的管理實踐，《密碼法》規定，由保密行政管理部門、密碼管理部門會同有關部門組織開展核心密碼、普通密碼洩密案件等安全問題的調查、處置工作。

　　50. 問：查處核心密碼、普通密碼洩密案件，主要包括哪些工作內容?

　　答：核心密碼、普通密碼洩密案件查處的主要工作內容包括：一是查明核心密碼、普通密碼洩密事項的內容與密級，對於密碼下落不明的，分析研判去向：二是查明案件事實、主要情節和有關責任人員：三是要求有關機關、單位及時採取必要的補救措施：四是根據有關法律法規和國家有關規定對責任人員提出處理建議，並督促機關、單位作出處理：五是針對案件暴露出的問題，指導有關密碼工作機構及時消除安全隱患。

　　51. 問：《密碼法》對核心密碼、普通密碼工作機構和人員管理作了哪些規定?

　　答：《密碼法》第十八條規定：國家加強密碼工作機構建設，保障其履行工作職責。國家建立適應核心密碼、普通密碼工作需要的人員錄用、選調、保密、考核、培訓、待遇、獎懲、交流、退出等管理制度。

　　52. 問：為什麼要加強核心密碼、普通密碼工作機構建設?

　　答：密碼工作機構承擔著核心密碼、普通密碼的科研、生產、服務、檢測、裝備、使用和銷毀等重要任務，肩負著保障國家網絡與信息安全的重要職責，應當加強密碼工作機構建設，在人力、物力、財力等方面加大保障力度，保障其有效履行工作職責。

　　53. 問：核心密碼、普通密碼工作人員要遵守哪些管理規定?

　　答：核心密碼、普通密碼工作人員直接接觸和掌握著國家秘密，崗位特殊、責任重大。加強對這些特殊工作人員的培養、使用和激勵，對其進行更嚴格的管理，直接關係到我國密碼事業的健康發展。

　　《密碼法》將現行有關中央文件和黨內法規中關於核心密碼、普通密碼工作人員管理的制度轉化為法律規定，主要包括：(1)密碼工作人員按照涉密程度實行分類管理。(2)密碼工作人員應當具有良好的政治素質和品行，具有勝任密碼工作崗位所要求的工作能力。(3)密碼工作人員上崗應當經過密碼教育培訓，掌握密碼知識技能，籤訂保密承諾書，嚴格遵守密碼管理規章制度，不得以任何方式洩露國家秘密。(4)密碼工作人員出境應當經有關部門批准。(5)密碼工作人員離崗離職實行脫密期管理。

　　54. 問：《密碼法》為什麼規定對核心密碼、普通密碼有關物品和人員提供免檢等便利?

　　答：《密碼法》第十九條規定：密碼管理部門因工作需要，按照國家有關規定，可以提請公安、交通運輸、海關等部門對核心密碼、普通密碼有關物品和人員提供免檢等便利，有關部門應當予以協助。

　　密碼管理部門在工作中，需要配發遞送核心密碼、普通密碼。由於核心密碼、普通密碼屬於國家秘密，應當嚴格控制接觸和知悉範圍，並按照有關規定嚴格做到密不離人，有關物品、人員進出國(邊)境、限制區域、場所，或者乘坐火車、飛機、輪船等交通工具時，不宜對有關物品和人員進行檢查，否則可能造成洩密，危害國家安全。

　　55. 問：密碼管理部門提請有關部門對核心密碼、普通密碼有關物品和人員提供免檢等便利，必須符合什麼條件?

　　答：根據《密碼法》規定，提請免檢必須符合以下條件：

　　一是必須基於密碼工作需要。提請免檢必須為開展密碼工作所必需，如果提出免檢的要求與密碼工作無關，則不能適用這一規定。

　　二是必須按照國家有關規定向有關部門提請。這裡的「國家有關規定」，是指法律、行政法規和國家有關規定中關於免檢的規定，以及國家密碼管理部門與國家有關部門關於免檢的具體條件、提請的程序、免檢的具體範圍等方面的規定。這裡的「有關部門」，是指公安、交通運輸、海關等履行法定檢查職責的部門。這裡規定的「提請」是一個必經的程序，密碼管理部門在要求對有關物品和人員免檢時，在一般情況下應事先向有關部門提出予以協助的請求。在一些特別緊急來不及事先提出請求的情況下，密碼管理部門應向有關部門說明情況，取得支持。

　　三是提請免檢的對象限於核心密碼、普通密碼有關物品和人員。

　　符合上述條件，公安、交通運輸、海關等有關部門應當予以協助。

　　56. 問：密碼管理部門和密碼工作機構為什麼要對其工作人員進行監督和安全審查?

　　答：《密碼法》第二十條規定：密碼管理部門和密碼工作機構應當建立健全嚴格的監督和安全審查制度，對其工作人員遵守法律和紀律等情況進行監督，並依法採取必要措施，定期或者不定期組織開展安全審查。

　　對核心密碼、普通密碼工作人員進行監督和開展安全審查，是確保密碼工作人員純潔可靠的一項有效措施，也是涉密人員管理的通行做法。密碼管理部門和密碼工作機構的工作人員經常接觸核心密碼、普通密碼，掌握著國家秘密，性質特殊、責任重大，應當對其遵守法律和紀律等情況進行監督，並依法採取必要措施，定期或者不定期組織開展安全審查。

　　57. 問：密碼管理部門和密碼工作機構應當如何對其工作人員開展監督和安全審查?

　　答：《密碼法》要求密碼管理部門和密碼工作機構建立健全嚴格的密碼工作人員監督管理制度，明確密碼工作人員的權利、崗位責任和要求，對密碼工作人員遵紀守法和履行職責等情況開展經常性的監督檢查。

　　密碼管理部門和密碼工作機構在錄用、選調密碼工作人員前，必須按照有關規定組織開展安全審查，同時定期或者不定期對在職的密碼工作人員組織開展安全審查。審查內容主要包括本人的政治條件、個人品行、家庭社會關係等。對密碼工作人員要按照先審後用的原則，嚴把資格審查和錄用關，不符合條件者堅決不予錄用：審查不合格的密碼工作人員，應當及時調離密碼工作崗位。

　　58. 問：為什麼要對商用密碼實施管理?

　　答：雖然商用密碼用於保護不屬於國家秘密的信息，但商用密碼可用於保護工作秘密、商業秘密、個人信息等，用途非常廣泛，直接關係國家安全、社會公共利益以及公民、法人和其他組織的合法權益，應當依法進行管理。

　　首先，商用密碼是國際公認的兩用物項，對商用密碼實施管理，是國際通行做法。同時，商用密碼廣泛用於金融、電子政務、通信、能源、交通等關鍵信息基礎設施的網絡和信息系統，應當對其實施必要監管，對商用密碼的合規、正確、有效應用提出明確要求，保障關鍵信息基礎設施的安全穩定運行，維護國家安全和社會公共利益。

　　59. 問：《密碼法》在商用密碼管理方面的立法思路主要有哪些?

　　答：《密碼法》在商用密碼管理方面的立法思路主要有以下三個方面：

　　一是堅決貫徹落實「放管服」改革要求，充分體現非歧視和公平競爭原則，進一步削減行政許可數量，最大限度減少對市場活動的直接幹預，切實降低制度性交易成本，更好地激發市場活力和社會創造力，增強商用密碼產業發展動力。

　　二是以轉變政府職能為核心，管理方式由重事前審批更多地轉為事中事後監管，以市場主體需求為導向，重視發揮標準化和檢測認證的支撐作用，進一步創新監管方式，提升監管效能。

　　三是對於關係國家安全和社會公共利益，又難以通過市場機制或者事中事後監管方式進行有效管理的少數事項，規定了必要的行政許可和管制措施，堅決守住安全底線。

　　60. 問：國家在鼓勵商用密碼技術的研究開發方面，採取了哪些舉措，取得了哪些成績?

　　答：《密碼法》明確規定：國家鼓勵商用密碼技術的研究開發、學術交流、成果轉化和推廣應用。

　　在鼓勵商用密碼技術研究開發方面，國家設立密碼發展基金，面向社會公開申報研究課題，鼓勵社會力量參與商用密碼技術的研究開發。密碼發展基金累計支持課題近200個，多個課題成果達到了國際先進或國內領先水平，有力促進了我國商用密碼基礎理論研究、技術轉化和產業應用。

　　同時，國家密碼管理局推薦社會各方面所開發的優秀商用密碼科研科技成果申報國家科技進步獎和密碼科技進步獎(省部級)，鼓勵商用密碼技術研究開發，激發創新活力。截至2019年12月，商用密碼領域共獲得國家科技進步獎一等獎1項、二等獎5項，省部級密碼科技進步獎60餘項。

　　61. 問：國家在鼓勵商用密碼技術學術交流方面，採取了哪些舉措，取得了哪些成績?

　　答：在鼓勵商用密碼技術學術交流方面，中國密碼學會等學術組織充分發揮平臺作用，創建密碼科普館，舉辦科技展覽，積極開展密碼科普活動，出版50多種密碼相關書籍刊物，大力普及密碼知識，密碼學術交流活動日益豐富。同時，全國商用密碼展覽會、中國密碼學會年會、《密碼學報》、全國密碼技術競賽等已成為我國密碼學術研究和產業對接的高端平臺。在努力提升全民密碼科學文化素質的同時，一批密碼學術研究領軍人才、青年密碼學家開始在國際舞臺上嶄露頭角，為商用密碼的可持續發展提供了可靠的人才保障。

　　中國密碼學會等學術組織還積極開展國際密碼學術交流活動，加強與國際密碼協會等國際組織及相關企業的聯繫與交流。2012年，中國密碼學會成功承辦國際密碼協會三大密碼學術年會之——亞洲密碼年會，來自歐美亞非洲等31個國家和地區的325位正式代表參會，參會人數創歷年亞密會之最，極大地促進了國內密碼學者與國際密碼學者間的學習和交流。2012年以來，中國密碼學會連續多年與美國信息技術產業理事會聯合舉辦商用密碼技術國際學術研討會，極大地促進了國內外密碼學界和產業界之間的溝通交流。

　　62. 問：國家在鼓勵商用密碼技術的成果轉化方面，取得了什麼樣的成績?

　　答：商用密碼科研成果主要包括商用密碼算法、協議、密鑰管理方案等，而成果轉化活動是一個複雜過程，轉化的最終目的是形成新技術、新工藝、新材料、新產品，乃至發展新產業。也就是說，要形成現實的生產力，只有這樣，才能實現該科研成果的價值。

　　以商用密碼算法為例，我國自主設計的SM4分組密碼算法、祖衝之(ZUC)密碼算法、SM2橢圓曲線公鑰密碼算法、SM3密碼雜湊算法，以及SM9標識密碼算法等已成為商用密碼國家標準或行業標準，標誌著我國商用密碼算法體系已經基本形成。SM系列算法經過了多輪安全性分析評估，在設計、實現方面均有各自特點和優勢，有力地支撐了商用密碼產業化、規模化發展，得到了越來越廣泛的認可和應用。

　　63. 問：我國商用密碼技術的推廣應用取得了哪些成績?

　　答：得益於商用密碼技術研發和成果轉化的有力支撐，商用密碼的應用領域不斷擴大，應用程度不斷加深，應用認可度不斷提升，在維護國家安全、促進經濟社會發展、保護公民、法人和其他組織合法權益方面發揮著越來越重要的作用。我國金融信息系統、第二代居民身份證管理系統、國家電力信息系統、社會保障信息系統、全國中小學學籍管理等系統中，都應用商用密碼技術構建了密碼保障體系。同時，商用密碼的廣泛應用也對高質量商用密碼技術、產品和服務提出了迫切需求，反過來極大促進了商用密碼技術的研發交流和轉化運用。

　　64. 問：我國要健全什麼樣的商用密碼市場體系?

　　答：《密碼法》第二十一條明確規定：「國家健全統一、開放、競爭、有序的商用密碼市場體系。」這不僅確立了我國商用密碼市場體系的基本特徵，也是我國商用密碼市場體系建設的根本目標。

　　統一是指商用密碼市場體系在全國範圍內應該是統一的，必須打破條塊分割、地區封鎖，商用密碼可以在行業、地區之間自由流通。

　　開放是指商用密碼市場體系既要對內開放，允許商用密碼從業單位和商用密碼產品、服務在全國範圍內自由地跨地區流動，又要對外開放，依法平等對待包括外商投資企業在內的商用密碼從業單位，通過與國際市場廣泛聯繫，積極參與國際分工與競爭。

　　競爭是指商用密碼市場體系必須在一個公平競爭的環境下運行。只有通過充分競爭、優勝劣汰，形成合理正面的價格信號，才能有效引導商用密碼的進步和流通，實現資源優化配置。

　　有序是指有一定的規則來維持商用密碼市場的正常秩序，保證公平競爭和資源合理流動。這種規則既包括法律法規，也包括行業規範、國際慣例、商業信用等。

　　建立統一、開放、競爭、有序的商用密碼市場體系，是市場經濟所追求的「公平與效率」原則的體現，是促進商用密碼持續發展的內在要求，也是商用密碼國際化的題中之義。

　　65. 問：我國商用密碼產業的基礎怎麼樣?

　　答：經過多年發展，我國商用密碼產業取得長足進步，滿足網絡空間條件下差異化、多樣化應用需求的能力不斷提升，產業支撐能力顯著增強。

　　首先，商用密碼產業隊伍持續壯大。截至2019年12月，商用密碼從業單位已達1000多家。隨著信息化發展對密碼需求的不斷增長，以商用密碼為主業的上市公司越來越多，一批具有國際影響力的旗艦企業，踴躍進入商用密碼產業領域，按照商用密碼管理政策法規和標準規範研製商用密碼產品、提供商用密碼服務。這些企業活躍在商用密碼產業鏈條的各個領域，形成了分布合理、競爭有序、創新力強的商用密碼產業隊伍，創造了巨大的經濟效益和社會效益。

　　其次，商用密碼產品種類不斷豐富。截至2019年12月，通過國家密碼管理局審批的商用密碼通用產品有2000餘款。2019年，全年共銷售商用密碼產品19億臺/套。從產品形態上，覆蓋晶片、板卡、整機、系統等全產業鏈：從功能性能上，一批關鍵、基礎、高性能商用密碼產品推向市場，基本形成層次分明、功能完善、性能優異的產品體系：從應用領域上，更多滿足電力、公安、交通、稅務、金融等領域密碼應用需求的產品可供選擇，也有一批針對移動網際網路、物聯網、雲計算、大數據等新興領域的特定商用密碼產品研製成功並得到應用。

　　此外，商用密碼檢測和電子認證服務能力進一步增強。密碼檢測基礎理論、技術平臺建設、運行機制等方面都取得新突破，多項成果達到國際先進水平，較好地滿足了商用密碼管理和產業發展對檢測評估的需求。電子認證服務正在逐步構建一個以國家電子認證根CA為認證源點，輻射全國各地區各行業、連接上億用戶的電子認證體系。

　　66. 問：《密碼法》在對待外商投資企業方面遵循什麼樣的管理原則?

　　答：《密碼法》第二十一條第二款規定：各級人民政府及其有關部門應當遵循非歧視原則，依法平等對待包括外商投資企業在內的商用密碼科研、生產、銷售、服務、進出口等單位(以下統稱商用密碼從業單位)。國家鼓勵在外商投資過程中基於自願原則和商業規則開展商用密碼技術合作。行政機關及其工作人員不得利用行政手段強制轉讓商用密碼技術。

　　《密碼法》充分體現非歧視和公平競爭原則，按照「放管服」改革要求，進一步削減行政許可數量，發揮標準引領作用，加強檢測認證體系建設，激發市場主體活力和社會創造力，有關許可和檢測認證體系對國內外產品、服務以及內外資企業一視同仁、同等適用。

　　智慧財產權保護也是《密碼法》突出強調的內容。《密碼法》對商用密碼技術合作的智慧財產權保護進行具體規定，明確商用密碼技術合作的前提是基於自願原則和商業規則，行政機關及其工作人員不得利用行政手段強制轉讓商用密碼技術。

　　《密碼法》一方面回應了各有關方面對我國外商投資過程中智慧財產權保護尤其是技術合作、轉讓的關切，澄清問題，消除疑慮：另一方面，也表明了我國不利用行政強制手段強制轉讓商用密碼技術的態度，依法平等保護包括外商投資企業在內所有市場主體的商用密碼智慧財產權，切實健全統一、開放、競爭、有序的商用密碼市場體系。

　　67. 問：《密碼法》關於商用密碼標準體系的規定有哪些?

　　答：《密碼法》第二十二條規定：國家建立和完善商用密碼標準體系。國務院標準化行政主管部門和國家密碼管理部門依據各自職責，組織制定商用密碼國家標準、行業標準。國家支持社會團體、企業利用自主創新技術制定高於國家標準、行業標準相關技術要求的商用密碼團體標準、企業標準。

　　商用密碼標準化是實現商用密碼技術自主創新、促進商用密碼產業發展、構建商用密碼應用體系的重要支撐。《密碼法》明確商用密碼標準體系包括商用密碼國家標準、行業標準、團體標準和企業標準。

　　商用密碼國家標準、行業標準屬於政府主導制定的標準，商用密碼團體標準、企業標準屬於市場主體自主制定的標準。其中，商用密碼國家標準由國家標準化管理委員會組織制定，代號為GB。商用密碼行業標準由國家密碼管理局組織制定，報國家標準化管理委員會備案，代號為GM。商用密碼團體標準由商用密碼領域的學會、協會等社會團體制定，商用密碼企業標準由商用密碼企業制定或者企業聯合制定。

　　68. 問：什麼是密碼行業標準化技術委員會，它的主要職責是什麼?

　　答：2011年10月，經國家標準化管理委員會批准，國家密碼管理局設立了密碼行業標準化技術委員會。密碼行業標準化技術委員會作為我國密碼行業唯一標準化組織，受國家密碼管理局委託，主要職責包括：(1)提出密碼行業標準規劃和年度標準制定、修訂計劃的建議：(2)組織密碼行業標準的編寫、審查、覆審等工作：(3)組織密碼領域的國家和行業標準的宣傳貫徹，推薦密碼領域標準化成果申報科技進步獎勵，或向國家標準化管理委員會提出項目獎勵建議：(4)受國家標準化管理委員會委託，對相關國際標準文件進行表決、審查我國提案，並組織開展國際技術交流與合作等。

　　69. 問：當前商用密碼行業標準分為哪幾類?

　　答：當前，商用密碼的行業標準分為基礎類標準、應用類標準、檢測類標準和管理類標準。基礎類標準為其他三類標準提供了底層、共性支撐(如術語、算法、協議、產品等)：檢測類標準為基礎類標準和應用類標準提供了合法性檢測的功能，保障商用密碼使用的合法性：管理類標準為其他三類標準提供了管理功能：應用類標準為上層具體的密碼產品、服務應用提供支持。

　　70. 問：目前我國商用密碼標準體系建設情況如何?

　　答：截至2019年12月，國家標準化管理委員會已發布商用密碼國家標準29項，國家密碼管理局已發布商用密碼行業標準91項，覆蓋商用密碼技術、產品、服務、應用、檢測和管理等多個領域，構建了較為齊全完備的商用密碼標準體系，有效發揮了商用密碼標準在引領科技進步、推動產業發展、促進互聯互通、助力應用推進、優化管理服務等方面的重要作用。

　　71. 問：我國商用密碼國際標準化開展情況如何?

　　答：《密碼法》第二十三條第一款規定：國家推動參與商用密碼國際標準化活動，參與制定商用密碼國際標準，推進商用密碼中國標準與國外標準之間的轉化運用。

　　我國高度重視商用密碼國際標準化工作，大力推進以我國自主設計研製的SM系列密碼算法為代表的中國商用密碼標準納入國際標準，積極參與國際標準化活動，加強國際交流合作。2011年9月，我國設計的祖衝之(ZUC)算法納入國際第三代合作夥伴計劃組織(3GPP)的4G移動通信標準，用於移動通信系統空中傳輸信道的信息加密和完整性保護，這是我國密碼算法首次成為國際標準。2015年5月起，我國陸續向ISO提出了將SM2、SM3、SM4和SM9算法納入國際標準的提案。2017年，SM2和SM9算法正式成為ISO/IEC國際標準。2018年，SM3算法正式成為ISO/IEC國際標準。我國商用密碼國際標準體系已初步成型，為密碼在全球範圍的發展與應用提供了中國方案，貢獻了中國智慧。

　　在轉化運用國際標準方面，商用密碼行業標準GM/T0028《密碼模塊安全技術要求》和GM/T0039《密碼模塊安全檢測要求》，分別參考國際標準ISO19790和ISO24759編制，為規範商用密碼產品管理、提升商用密碼產品安全防護能力發揮了重要作用，充分體現了商用密碼標準制定的開放性。

　　72. 問：為什麼要鼓勵企業、社會團體和教育、科研機構等參與商用密碼國際標準化活動?

　　答：《密碼法》第二十三條第二款規定：國家鼓勵企業、社會團體和教育、科研機構等參與商用密碼國際標準化活動。

　　企業、社會團體和教育、科研機構等全面深入地參與商用密碼國際標準的制修訂等國際標準化活動，是全球化的必然趨勢和要求，有利於提升商用密碼技術的全球影響力，同時也為降低包括密碼脆弱性在內的全球網絡安全整體風險貢獻中國智慧和提供中國方案。

　　73. 問：商用密碼標準具備什麼樣的法律效力?

　　答：《密碼法》第二十四條規定：商用密碼從業單位開展商用密碼活動，應當符合有關法律、行政法規、商用密碼強制性國家標準以及該從業單位公開標準的技術要求。國家鼓勵商用密碼從業單位採用商用密碼推薦性國家標準、行業標準，提升商用密碼的防護能力，維護用戶的合法權益。

　　商用密碼從業單位開展商用密碼活動應當依照有關法律、行政法規的規定行使權利和履行義務，是遵守法律的必然要求。商用密碼從業單位開展商用密碼活動，除了遵守法律、行政法規，還應當符合商用密碼強制性國家標準以及該從業單位公開標準的技術要求。此外，國家鼓勵商用密碼從業單位採用商用密碼推薦性國家標準、行業標準。

　　74. 問：什麼是商用密碼強制性國家標準和推薦性國家標準、行業標準?

　　答：我國標準按照實施效力分為強制性標準和推薦性標準。強制性標準僅有國家標準一級。推薦性標準包括推薦性國家標準和行業標準。也就是說，商用密碼行業標準都是推薦性標準。

　　強制性標準必須執行，不符合強制性標準的產品、服務，不得生產、銷售、進口或者提供。違反強制性標準的，依法承擔相應的法律責任。

　　國家鼓勵採用推薦性標準，即從業單位自願採用推薦性標準。同時國家還會採取一些正向激勵措施，鼓勵企業採用推薦性標準。但在有些情況下，推薦性標準的效力會發生轉化，必須執行，例如：(1)推薦性標準被相關法律、法規、規章等引用，則該推薦性標準具有相應的強制約束力，應當按照法律、法規、規章的相關規定予以實施。(2)推薦性標準被企業進行了自我聲明公開的，企業必須執行該推薦性標準。企業生產的產品與明示標準不一致的，根據《產品質量法》等法律法規承擔相應的法律責任。(3)推薦性標準被合同雙方作為產品或服務交付的質量依據的，該推薦性標準對合同雙方具有約束力，雙方必須執行該推薦性標準，並依據《合同法》的規定承擔法律責任。

　　75. 問：什麼是商用密碼從業單位公開標準的技術要求，它有什麼作用?

　　答：《密碼法》規定了企業標準自我聲明公開和監督制度，調整的對象是企業生產的產品和提供的服務所執行的標準，這類標準規定了企業生產的產品和提供的服務所應達到的各類技術指標和要求，是企業對其產品和服務質量的硬承諾，應當公開並接受市場監督。

　　企業生產的商用密碼產品和提供的商用密碼服務，如果執行國家標準、行業標準和團體標準，企業應該公開相應的標準名稱和標準編號：如果企業生產的產品和提供的服務所執行的標準是本企業制定的企業標準，企業除了公開相應的標準名稱和標準編號，還應當公開企業產品、服務的技術指標。公開指標的類別和內容由企業根據自身特點自主確定，企業應對公開的產品和服務標準的真實性、準確性、合法性負責。

　　企業生產的產品和提供的服務應當符合企業自我聲明公開標準提出的技術要求，不符合企業自我聲明公開標準提出的技術要求的，應依法承擔相應的責任。

　　76. 問：建設商用密碼檢測認證體系的意義是什麼?

　　答：商用密碼檢測認證是商用密碼治理體系的重要基礎，在商用密碼市場準入、事中事後監管、應用推進等方面發揮著關鍵支撐作用：面向商用密碼從業單位能夠引導提質升級，增加市場有效供給：面向管理部門能夠支持行政監管，提高市場監管效能：面向社會各方能夠推動誠信建設，營造良好市場環境：面向國際市場能夠促進規則對接，提升市場開放程度。《密碼法》第二十五條第一款明確提出推進商用密碼檢測認證體系建設，這是深化商用密碼行政審批制度改革的重要內容，是依法管理商用密碼、規範和促進商用密碼應用、加強密碼監管、增強商用密碼安全保障能力的重要支撐。同時《密碼法》第二十五條還明確了在商用密碼檢測認證中，自願檢測認證是主要方式。

　　77. 問：我國商用密碼檢測機構和認證機構現狀如何?

　　答：截至2019年12月，通過審批的商用密碼產品檢測機構共有3家，開展了智能密碼鑰匙、智能IC卡、POS密碼應用系統、PCI-E密碼卡、IPSecVPN安全網關、SSLVPN安全網關、安全認證網關、密碼鍵盤、金融數據密碼機、伺服器密碼機、籤名驗籤伺服器、時間戳伺服器、安全門禁系統、動態令牌認證系統、安全電子籤章系統、電子文件密碼應用系統、可信計算類密碼產品等的檢測工作，完成了近2000款產品的密碼檢測、數百個信息系統的安全性評估。

　　目前，商用密碼領域已有1家專門認證機構。與此同時，有關部門通過建立跨領域、跨行業的網絡關鍵設備和網絡安全專用產品、信息安全產品和密碼應用系統密碼檢測認證機制，加強與金融、電力、通信、社保、交通等重點領域、行業的檢測與認證技術交流，聯合金融領域檢測認證機構開展金融系統密碼測評和認證，共同推動商用密碼檢測認證能力提升。

　　78. 問：商用密碼檢測、認證機構應取得什麼資質?

　　答：《密碼法》第二十五條規定：商用密碼檢測、認證機構應當依法取得相關資質，並依照法律、行政法規的規定和商用密碼檢測認證技術規範、規則開展商用密碼檢測認證。

　　按照「放管服」改革要求，《密碼法》將商用密碼檢測、認證機構資質納入《認證認可條例》規定的認證認可制度體系中，由市場監管總局(國家認證認可監督管理委員會)會同國家密碼管理局進行管理。商用密碼檢測、認證機構應當分別取得商用密碼檢測、認證機構資質。商用密碼檢測、認證機構依照《認證認可條例》等法律法規的規定和商用密碼檢測認證技術規範、規則開展檢測認證活動。將商用密碼檢測認證制度納入國家統一的檢測認證制度體系，有利於增強商用密碼檢測認證制度的權威性、統一性。

　　79. 問：商用密碼檢測、認證機構是否應承擔保密義務?

　　答：在從事商用密碼檢測、認證活動的過程中，由於工作需要，商用密碼檢測、認證機構能夠深入到所檢測認證的商用密碼產品、服務及其相關產品生產單位、服務提供單位中去，有可能接觸到有關商業秘密乃至國家秘密。雖然商用密碼檢測、認證機構知悉國家秘密和商業秘密的途徑是合法的，是在依法或依約定進行檢測認證活動的過程中獲取的，但是如果將這些秘密洩露給他人，就會損害國家安全和利益，或者損害商業秘密權利人的利益。因此，參照《認證認可條例》的規定，《密碼法》第二十五條規定：商用密碼檢測、認證機構應當對其在商用密碼檢測認證中所知悉的國家秘密和商業秘密承擔保密義務。

　　80. 問：商用密碼產品的概念與範圍是什麼?

　　答：商用密碼產品，是指採用商用密碼技術進行加密保護、安全認證的產品。商用密碼產品可分為軟體、晶片、模塊、板卡、整機、系統六類。典型的商用密碼產品包括：密碼機，如鏈路密碼機、網絡密碼機、伺服器密碼機、傳真密碼機、電話密碼機等;密碼晶片和模塊，如第二代居民身份證、智能電卡、社會保障卡、金融晶片卡中使用的密碼晶片、可信計算密碼模塊等。

　　81. 問：為什麼要對特定商用密碼產品實行強制性檢測認證制度?

　　答：《密碼法》第二十六條規定：涉及國家安全、國計民生、社會公共利益的商用密碼產品，應當依法列入網絡關鍵設備和網絡安全專用產品目錄，由具備資格的機構檢測認證合格後，方可銷售或者提供。

　　對特定商用密碼產品實行強制性檢測認證，主要有三個方面的考慮：

　　一是該制度是維護國家安全和社會公共利益的需要。商用密碼產品是一種專業技術性很強的特殊產品，廣泛應用於國民經濟和社會發展各領域，應用於關鍵信息基礎設施，其質量與安全性直接關係國家安全和社會公共利益，需要通過檢測認證的方式對其質量與安全性進行技術把關，規範商用密碼產品市場準入。

　　二是該制度與《網絡安全法》規定的網絡關鍵設備和網絡安全專用產品強制性檢測認證制度銜接一致。涉及國家安全、國計民生、社會公共利益的商用密碼產品作為網絡關鍵設備和網絡安全專用產品的一部分，依法列入網絡關鍵設備和網絡安全專用產品目錄，由國家密碼管理局會同國家網際網路信息辦公室、國家認證認可監督管理委員會等部門共同制定目錄，共同認定檢測、認證機構，共同開展檢測認證。

　　三是強制性檢測認證實施範圍有限。強制性檢測認證制度僅適用於涉及國家安全、國計民生、社會公共利益的商用密碼產品，並通過制定產品目錄明確界定管理範圍，不會對市場和產業構成不必要的限制。

　　82. 問：商用密碼產品檢測認證避免重複檢測認證的做法有哪些?

　　答：為充分體現「放管服」改革精神，切實降低企業負擔，節約檢測認證資源，《密碼法》第二十六條規定：商用密碼產品檢測認證適用《中華人民共和國網絡安全法》的有關規定，避免重複檢測認證。具體做法包括：一是制定並公布網絡關鍵設備和網絡安全專用產品目錄，提高檢測認證的透明度，避免適用檢測認證制度的產品的重複。二是推動檢測認證結果互認，減少某一類產品檢測認證項目的重複。

　　83. 問：商用密碼服務的概念與範圍是什麼?

　　答：商用密碼服務，是指基於商用密碼專業技術、技能和設施，為他人提供集成、運營、監理等商用密碼支持和保障的活動。典型的商用密碼服務包括：密碼保障系統集成(如數字證書認證系統集成)，是指為他人集成建設實現密碼功能的系統，保護他人網絡與信息系統的安全。密碼保障系統運營(如增值稅發票防偽稅控系統運營)，是指為保證他人實現密碼功能的系統的正常運行提供安全管理和維護。

　　84. 問：為什麼要對使用網絡關鍵設備和網絡安全專用產品的商用密碼服務實行強制性認證制度?

　　答：《密碼法》第二十六條規定：商用密碼服務使用網絡關鍵設備和網絡安全專用產品的，應當經商用密碼認證機構對該商用密碼服務認證合格。

　　對使用網絡關鍵設備和網絡安全專用產品的商用密碼服務實行強制性認證制度，主要有兩個方面的考慮：一是該制度是維護國家安全和社會公共利益的需要。商用密碼服務是一種專業技術性很強的特殊服務，廣泛應用於國民經濟和社會發展各領域，應用於關鍵信息基礎設施，其質量與安全性直接關係國家安全和社會公共利益。由於密碼功能實現的特殊性，網絡關鍵設備和網絡安全專用產品本身合格，並不意味著使用這些產品的商用密碼服務就一定是安全的，需要通過認證的方式對其質量與安全性進行技術把關，規範商用密碼服務市場準入。二是強制性認證實施範圍有限。強制性認證制度僅適用於使用網絡關鍵設備和網絡安全專用產品的商用密碼服務，並通過制定服務目錄明確界定管理範圍，不會對市場和產業構成不必要的限制。

　　85. 問：關鍵信息基礎設施必須使用商用密碼進行保護嗎?

　　答：《密碼法》第二十七條規定：法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護。

　　《密碼法》規定的關鍵信息基礎設施商用密碼使用要求是《網絡安全法》規定的關鍵信息基礎設施安全保護義務的重要組成部分。密碼是保障網絡與信息安全的核心技術和基礎支撐。法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者必須使用商用密碼進行保護，而且使用的商用密碼必須是合規、正確、有效的。

　　關鍵信息基礎設施的運營者如果不使用或者不合規正確有效使用商用密碼進行保護，將嚴重威脅關鍵信息基礎設施的安全穩定運行，威脅國家安全和社會公共利益。因此，《密碼法》對關鍵信息基礎設施使用商用密碼提出明確要求，有效保障關鍵信息基礎設施安全。

　　86. 問：商用密碼應用安全性評估的目的是什麼?

　　答：商用密碼應用安全性評估，是指在採用商用密碼技術、產品和服務集成建設的網絡和信息系統中，對其密碼應用的合規性、正確性和有效性進行評估。

　　建立完善商用密碼應用安全性評估制度，對關鍵信息基礎設施商用密碼應用的合規性、正確性和有效性進行評估，對於有效規範密碼應用，切實保障國家網絡和信息安全，具有重要作用。

　　商用密碼應用安全性評估同時也是網絡安全等級保護和關鍵信息基礎設施安全保護制度的重要內容和技術手段。關鍵信息基礎設施的運營者作為關鍵信息基礎設施網絡安全保護和密碼使用的第一責任人，《密碼法》要求其履行相應的義務，按照相關法律法規和標準規範對關鍵信息基礎設施密碼應用的合規性、正確性、有效性和運維管理人員基本能力進行評估。

　　為有效控制安全風險，關鍵信息基礎設施的運營者應當在規劃、建設等必要階段進行評估，系統投入運行後，還應當定期開展評估。

　　87. 問：商用密碼應用安全性評估會造成重複評估、測評嗎?

　　答：為降低關鍵信息基礎設施運營者負擔，節約評估、測評資源，《密碼法》第二十七條規定：商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接，避免重複評估、測評。商用密碼應用安全性評估與關鍵信息基礎設施網絡安全檢測評估、網絡安全等級測評在內容上有所區分，在實施中統籌考慮、協調開展，相互銜接，避免重複評估、測評。

　　88. 問：為什麼對關鍵信息基礎設施的運營者採購涉及商用密碼的網絡產品和服務實行國家安全審查制度?

　　答：《密碼法》第二十七條規定：關鍵信息基礎設施的運營者採購涉及商用密碼的網絡產品和服務，可能影響國家安全的，應當按照《中華人民共和國網絡安全法》的規定，通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。

　　對關鍵信息基礎設施的運營者採購涉及商用密碼的網絡產品和服務實行國家安全審查制度，主要有以下考慮：一是該制度是維護國家安全和社會公共利益的需要，符合世貿組織規則，也是國際通行做法。國家安全審查可以防止關鍵信息基礎設施因使用的產品和服務存在安全缺陷或隱患而受到攻擊、破壞，或者存儲的數據資源被竊取、洩露，從而提高關鍵信息基礎設施安全可控水平，有效保障關鍵信息基礎設施安全。二是該制度是《國家安全法》《網絡安全法》中明確規定的制度，與《網絡安全法》關於網絡安全審查制度的規定銜接一致。本條中的「國家安全審查」是網絡安全審查的一部分，安全審查由國家網際網路信息辦公室會同國家密碼管理局等有關部門共同組織開展，不存在制度交叉和重複審查問題。

　　89. 問：《密碼法》對商用密碼進出口有哪些規定?

　　答：《密碼法》第二十八條規定：國務院商務主管部門、國家密碼管理部門依法對涉及國家安全、社會公共利益且具有加密保護功能的商用密碼實施進口許可，對涉及國家安全、社會公共利益或者中國承擔國際義務的商用密碼實施出口管制。商用密碼進口許可清單和出口管制清單由國務院商務主管部門會同國家密碼管理部門和海關總署制定並公布。

　　大眾消費類產品所採用的商用密碼不實行進口許可和出口管制制度。

　　90. 問：為什麼要對商用密碼實行進口許可和出口管制?

　　答：對商用密碼實行進口許可和出口管制主要有三個方面的考慮：

　　一是該制度是維護國家安全和社會公共利益的需要。商用密碼是一把「雙刃劍」，既可以用於合法的信息保護，也可能被用來從事違法犯罪活動，應當對其實行進口許可和出口管制，維護國家安全和社會公共利益。

　　二是該制度符合世貿組織規則，也是國際通行做法。商用密碼是國際公認的兩用物項，對其實行進口許可和出口管制，符合世貿組織「安全例外」原則和我國《對外貿易法》的規定，也是國際通行做法。

　　三是該制度實施範圍有限。進口許可制度僅適用於涉及國家安全、社會公共利益且具有加密保護功能的商用密碼，出口管制制度僅適用於涉及國家安全、社會公共利益或者中國承擔國際義務的商用密碼，對大眾消費類產品所採用的商用密碼不實行進口許可和出口管制，並通過制定清單明確界定管理範圍，不會對貿易造成影響。

　　91. 問：大眾消費類產品所採用的商用密碼是否實行進口許可和出口管制?

　　答：《密碼法》第二十八條規定：大眾消費類產品所採用的商用密碼不實行進口許可和出口管制制度。

　　大眾消費類產品所採用的商用密碼，是指社會公眾可以不受限制地通過常規零售渠道購買、供個人使用、不能輕易改變密碼功能的產品或技術。大眾消費類產品所採用的商用密碼對國家安全、社會公共利益帶來的風險較小且可控，對大眾消費類產品所採用的商用密碼不實行進口許可和出口管制制度，可最大限度減少對貿易的影響。這既是國際社會的通行做法，也符合我國現有商用密碼進出口管理實踐。

　　92. 問：《密碼法》中關於電子政務電子認證服務管理的規定是什麼?

　　答：《密碼法》第二十九條規定：國家密碼管理部門對採用商用密碼技術從事電子政務電子認證服務的機構進行認定，會同有關部門負責政務活動中使用電子籤名、數據電文的管理。

　　電子政務電子認證服務是一種專業技術性很強的特殊服務，直接服務於政務部門的政務活動，涉及範圍廣，敏感信息多，其質量與安全性直接關係國家安全和社會公共利益，應當採取行政許可的方式對服務機構的電子政務電子認證服務能力進行評估，加強對建設、運維、應用和服務等各環節的行政監管和技術把關，確保其質量與安全性。《密碼法》基於維護國家安全和社會公共利益的需要，設立了電子政務電子認證服務機構認定製度。

　　93. 問：國家密碼管理部門對政務活動中使用電子籤名、數據電文的管理要求有哪些?

　　答：《密碼法》第二十九條規定：國家密碼管理部門會同有關部門負責政務活動中使用電子籤名、數據電文的管理。

　　《電子籤名法》第三十五條也規定：「國務院或者國務院規定的部門可以依據本法制定政務活動和其他社會活動中使用電子籤名、數據電文的具體辦法。」目前，國家密碼管理局依據該條的規定管理政務活動中電子籤名、數據電文的使用，制定的GM/T0014—2012《數字證書認證系統密碼協議規範》、GM/T0047—2016《安全電子籤章密碼檢測規範》、GM/T0044.2—2016《SM9標識密碼算法第2部分：數字籤名算法》、GM/T0031—2014《安全電子籤章密碼應用技術規範》等商用密碼行業標準，對使用電子籤名、數字電文提出了管理要求。

　　94. 問：《密碼法》對商用密碼領域的行業協會等組織作出了哪些規定?

　　答：《密碼法》第三十條規定：商用密碼領域的行業協會等組織依照法律、行政法規及其章程的規定，為商用密碼從業單位提供信息、技術、培訓等服務，引導和督促商用密碼從業單位依法開展商用密碼活動，加強行業自律，推動行業誠信建設，促進行業健康發展。

　　95. 問：建立發展商用密碼領域的行業協會等組織有什麼意義?

　　答：《密碼法》結合商用密碼發展實際，深化商用密碼領域「放管服」改革，構建起現代化商用密碼治理體系。商用密碼治理體系作為一個有機整體，除了各有關管理部門要加強服務和管理外，還需要從業單位、社會組織、公民等各方面共同努力，參與商用密碼社會共治。行業協會等組織作為介於密碼管理部門和商用密碼從業單位之間的社會組織，既是溝通管理部門和從業單位的橋梁與紐帶，又是社會多元利益的協調機構，也是實現行業自律、規範行業行為、開展行業服務、保障公平競爭的社會組織，在社會管理、行業治理、行業自律中發揮了重要作用，既大大減少了政府的管理成本，又促進了行業自身的發展，顯示了巨大的社會效益。

　　96. 問：商用密碼領域的行業協會等組織的宗旨是什麼?

　　答：商用密碼行業協會等組織代表本行業從業單位的利益，切實為從業單位服務。商用密碼行業協會等組織根據授權進行行業統計，掌握國內外行業發展動態，收集、發布行業信息;依照有關規定創辦刊物和網站，開展法律、政策、技術、管理、市場等諮詢服務;參與行業資質認證、新技術和新產品鑑定及推廣等相關工作;組織人才、技術、管理、法規等培訓，幫助會員企業提高素質、增強創新能力、改善經營管理;受管理部門委託承辦或根據市場和行業發展需要舉辦交易會、展覽會等，為企業開拓市場創造條件。

　　97. 問：商用密碼領域的行業協會等組織如何發揮橋梁紐帶作用?

　　答：通過積極向密碼管理部門反映行業、會員訴求，提出商用密碼行業發展和立法等方面的意見和建議，積極參與相關法律法規、宏觀調控和產業政策的研究、制定，參與制定修訂商用密碼國家標準、行業標準和行業發展規劃、行業準入條件，完善行業管理，促進行業發展。

　　98. 問：目前我國商用密碼領域的行業協會等組織發展情況如何?

　　答：隨著我國商用密碼的快速發展，商用密碼領域的行業協會等組織也在不斷發展壯大。截至2019年12月，北京、天津、上海、江蘇、福建、江西、山東、廣東、重慶、四川、陝西、深圳等地已經成立了區域性商用密碼行業協會。此外，全國性和一些地方性商用密碼領域的行業協會等組織也在抓緊建立。這些組織在服務商用密碼從業單位、加強行業自律、推動誠信建設、促進產業發展方面發揮了重要的作用。

　　99. 問：商用密碼行業協會等組織的行業自律職能主要是什麼?

　　答：行業自律是商用密碼從業單位為維護共同利益、促進共同發展而開展的訂立行業規範、規範行業行為、協調利益關係、維護公平競爭的自我管理、自我約束行為。商用密碼行業自律的主要內容是圍繞規範商用密碼市場秩序，健全各項自律性管理制度，制定並組織實施行業職業道德準則，大力推動行業誠信建設，建立完善行業自律性管理約束機制，規範會員行為，協調會員關係，維護公平競爭的市場環境。

　　100. 問：《密碼法》關於商用密碼事中事後監管制度的要求是什麼?

　　答：《密碼法》第三十一條規定：密碼管理部門和有關部門建立日常監管和隨機抽查相結合的商用密碼事中事後監管制度。

　　《密碼法》在商用密碼領域深化「放管服」改革，堅持放管結合，在取消一批商用密碼行政許可事項的基礎上，把更多行政資源從事前審批轉到事中事後監管上來，著力構建權責明確、公平公正、公開透明、簡約高效的商用密碼事中事後監管體系，確保監管「不缺位、不錯位、不越位」。

　　商用密碼事中事後監管的實施主體，是密碼管理部門和其他涉及商用密碼監督管理的有關部門，主要包括市場監管、網信、商務、海關等部門。密碼管理部門和有關部門依法開展商用密碼事中事後監管，對涉及多個部門的商用密碼監管事項，主責部門發揮牽頭作用，相關部門協同配合。

　　101. 問：商用密碼事中事後監管如何開展?

　　答：商用密碼事中事後監管以日常檢查為主、專項整治為輔，日常監管又以隨機抽查為主。商用密碼日常監管全面實行隨機抽取檢查對象、隨機選派執法檢查人員、抽查情況及查處結果及時向社會公開，原則上所有日常行政檢查都通過「雙隨機、一公開」的方式進行。下一步，密碼管理部門和有關部門將不斷完善商用密碼隨機抽查相關配套制度和工作機制，健全跨部門聯合抽查機制，避免對同一商用密碼市場主體多頭、重複檢查。將隨機抽查的比例頻次、被抽查概率與抽查對象的信用等級、風險程度掛鈎，對有不良信用記錄、風險高的加大抽查力度，對信用較好、風險較低的適當減少抽查。抽查結果分別通過國家企業信用信息公示系統、「信用中國」網站、國家「網際網路+監管」系統等進行公示。

　　商用密碼事中事後監管的重要手段是深入推進「網際網路+監管」，依託國家「網際網路+監管」系統，建設統一的商用密碼監督管理信息平臺。加強商用密碼監管信息歸集共享，將各類商用密碼相關的行政檢查、行政處罰、行政強制等信息以及司法判決、違法失信、抽查抽檢等信息進行關聯整合，並歸集到相關商用密碼市場主體名下。充分運用大數據等技術，加強對風險的跟蹤預警。提升商用密碼事中事後監管的精準化、智能化水平。

責任編輯：龐玉偉