来自国家密码管理局的密码政策问答（十六）

问:《密码法》明确什么情形属于违反商用密码产品、服务市场准入制度?

答:《密码法》明确了违反商用密码产品、服务市场准入制度的两种情形:一是销售或者提供列入网络关键设备和网络安全专用产品目录的商用密码产品,未经具备资格的机构检测认证或者检测认证不合格。二是提供使用网络关键设备和网络安全专用产品的商用密码服务,未经商用密码认证机构认证或者认证不合格。本条规定的执法部门是市场监督管理部门会同密码管理部门。

问:《密码法》对商用密码产品、服务市场准入违法规定了什么样的法律责任?

答:《密码法》第三十六条规定:违反本法第二十六条规定,销售或者提供未经检测认证或者检测认证不合格的商用密码产品,或者提供未经认证或者认证不合格的商用密码服务的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。

此条规定的法律责任包括:

1.责令改正。所谓责令改正,是指有关主管部门依法要求违法行为人将其违法行为恢复到合法状态。

2.责令停止违法行为。所谓责令停止违法行为,是指有关主管部门依法要求违法行为人停止其实施的违法行为。

3.警告。所谓警告,是指有关主管部门对违法行为人进行训诫,使其认识到其行为的违法性。

4.没收违法产品和违法所得。所谓没收违法产品,是指没收违法销售、提供的产品以及违法提供的服务中使用的产品,包括尚未销售、提供和尚未使用的产品,以防止这些产品销售、提供或使用后,给使用者造成财产损失,危害国家安全和社会公共利益。所谓没收违法所得,是指有关主管部门依法将违法行为人从事非法经营等获得的利益收归国有。

5.罚款。所谓罚款,是指有关主管部门依法强制违法行为人在一定期限内向国家缴纳一定数额的金钱。对于违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。

问:《密码法》明确关键信息基础设施的运营者违反商用密码使用要求的情形有哪些?

答:《密码法》明确了关键信息基础设施的运营者违反商用密码使用要求的具体情形:一是关键信息基础设施的运营者未按照要求使用商用密码。二是关键信息基础设施的运营者未按照要求开展商用密码应用安全性评估。三是关键信息基础设施的运营者使用未经国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查或者国家安全审查未通过的涉及商用密码的网络产品或者服务。

问:《密码法》对关键信息基础设施的运营者未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估,规定了哪些法律责任?

答:《密码法》第三十七条规定:关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

此条规定的法律责任包括:

1.责令改正。所谓责令改正,是指有关主管部门依法要求违法行为人将其违法行为恢复到合法状态。

2.警告。所谓警告,是指有关主管部门对违法行为人进行训诫,使其认识到其行为的违法性。

3.罚款。所谓罚款,是指有关主管部门依法强制违法行为人在一定期限内向国家缴纳一定数额的金钱。对于关键信息基础设施的运营者拒不改正或者导致危害网络安全等后果的,对关键信息基础设施的运营者处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

问:《密码法》对关键信息基础设施的运营者使用未经国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查或者国家安全审查未通过的涉及商用密码的网络产品或者服务,规定了哪些法律责任?

答:《密码法》第三十七条第二款规定:关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

此条规定的法律责任包括:

1.责令停止使用。所谓责令停止使用,是指有关主管部门依法要求违法行为人停止使用未经安全审查或者安全审查未通过的产品或者服务。

2.罚款。所谓罚款,是指有关主管部门依法强制违法行为人在一定期限内向国家缴纳一定数额的金钱。对于关键信息基础设施的运营者违法使用未经安全审查或者安全审查未通过的产品或者服务的,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

问:《密码法》对商用密码进出口违法的法律责任做了什么样的规定?

答:《密码法》第三十八条规定:违反本法第二十八条实施进口许可、出口管制的规定,进出口商用密码的,由国务院商务主管部门或者海关依法予以处罚。

《密码法》明确了违反商用密码进口许可和出口管制制度的两种情形:一是未经许可,进口涉及国家安全、社会公共利益且具有加密保护功能的商用密码。二是未经许可,出口涉及国家安全、社会公共利益或者中国承担国际义务的商用密码。本条规定的执法部门是国务院商务主管部门或者海关,执法依据是《密码法》《对外贸易法》等法律、行政法规的规定。

问:《密码法》对未经认定从事电子政务电子认证服务的行为,规定了什么样的法律责任?

答:《密码法》第三十九条规定:违反本法第二十九条规定,未经认定从事电子政务电子认证服务的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款。

此条规定的法律责任包括:

1.责令改正。所谓责令改正,是指有关主管部门依法要求违法行为人将其违法行为恢复到合法状态。

2.责令停止违法行为。所谓责令停止违法行为,是指有关主管部门依法要求违法行为人停止其实施的违法行为。

3.警告。所谓警告,是指有关主管部门对违法行为人进行训诫,使其认识到其行为的违法性。

4.没收违法产品和违法所得。所谓没收违法产品,是指没收违法提供的、不符合强制性标准和要求的产品,包括尚未提供的产品,以防止这些产品提供后,给使用者造成财产损失,危害国家安全和社会公共利益。所谓没收违法所得,是指有关主管部门依法将违法行为人从事非法经营等获得的利益收归国有。

5.罚款。所谓罚款,是指有关主管部门依法强制违法行为人在一定期限内向国家缴纳一定数额的金钱。

问:《密码法》对密码管理部门和有关部门、单位的工作人员在密码工作中违法的法律责任做了什么样的规定?

答:《密码法》第四十条规定:密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的,依法给予处分。

《密码法》赋予了密码管理部门和有关部门、单位的工作人员的密码管理职责。本法第三十一条规定了密码管理部门和有关部门及其工作人员对在履行职责中知悉的商业秘密和个人隐私的保密义务。本条是对密码管理部门和有关部门、单位的工作人员违法的法律责任,具体包括:一是密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊。密码管理部门和有关部门、单位的工作人员应当依照《密码法》和其他行政法规规定的权限、程序等履行职责,不得怠于履行或者超越法定权限履行职责。二是密码管理部门和有关部门、单位的工作人员泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私。

本条规定的法律责任是处分。处分分为行政处分和党纪处分两种。

问:《密码法》对违反本法行为的刑事责任和民事责任做了什么样的衔接性规定?

答:《密码法》第四十一条规定:违反本法规定,构成犯罪的,依法追究刑事责任;给他人造成损害的,依法承担民事责任。

法律责任分为民事责任、行政责任和刑事责任三类。同一违法行为,依法可能同时应承担民事责任、行政责任和刑事责任。《密码法》第三十二条至第四十条对违反本法规定应当承担的行政责任作了具体规定,本条对违反本法规定应当承担的民事责任和刑事责任作了衔接性规定。

问:《密码法》关于密码管理规章制定权做了什么样的规定?

答:《密码法》第四十二条规定:国家密码管理部门依照法律、行政法规的规定,制定密码管理规章。

本条明确了国家密码管理部门的规章制定权。《密码法》是密码工作的基本法律,针对密码和网络信息技术发展日新月异的突出特点,《密码法》中对密码管理制度只作了原则性规定。《密码法》出台后,国家密码管理局需要依照《密码法》等相关法律、行政法规,针对密码生产、销售、服务、进出口、检测认证等环节,制定公布一系列密码管理规章,及时补充、细化法律、行政法规的相关规定,增强密码法律法规的可操作性。

问:国家密码管理部门将建立什么样的密码法律制度体系?

答:《密码法》颁布实施后,国家密码管理局将深入贯彻落实党中央全面依法治国基本方略,在国家安全法治建设的总体框架下进一步推进密码法律制度体系建设,加强顶层设计和整体规划,按照党管密码、科学立法、民主立法的原则,统筹推进《商用密码管理条例》等配套行政法规、规章的制修订工作,及时制定出台一系列与《密码法》相互协调和衔接的规章,确保密码法规规章符合《密码法》确定的立法原则和基本制度,全方位扎紧织密法律制度的笼子,建立一个以《密码法》为核心,以《商用密码管理条例》等行政法规为基础,以核心密码、普通密码、商用密码等方面的规章和规范性文件为分支,权责明确、功能互补、协调一致的密码法律制度体系。

问:《密码法》对于解放军和武警部队密码立法做了什么样的规定?

答:《密码法》第四十三条规定:中国人民解放军和中国人民武装警察部队的密码工作管理办法,由中央军事委员会根据本法制定。

中央军事委员会是国家的最高军事机关,按照《立法法》规定,中央军事委员会根据宪法和法律制定军事法规。

中国人民解放军和中国人民武装警察部队的密码工作作为密码工作的重要组成部分,有其自身的特点和规律,法律规定由中央军事委员会根据本法的基本精神,结合解放军和武警部队自身实际,对解放军和武警部队的密码工作作出全面、系统的规定。

问:《密码法》从何时开始施行?

答:《密码法》第四十四条规定:本法自2020年1月1日起施行。

法律的施行日期,即法律的生效日期,是一部法律的重要组成部分。《立法法》第五十七条规定,法律应当明确规定施行日期。为了给法律的实施留出一定的准备时间,我国多数法律都规定法律公布一段时间后的一个具体日期作为法律的施行日期,《密码法》亦采用这一方式。

 

原文始发于微信公众号（河南等级保护测评）：来自国家密码管理局的密码政策问答（十六）