来自国家密码管理局的密码政策问答（十五）

问:商用密码事中事后监管如何开展?

答:商用密码事中事后监管以日常检查为主、专项整治为辅,日常监管又以随机抽查为主。商用密码日常监管全面实行随机抽取检查对象、随机选派执法检查人员、抽查情况及查处结果及时向社会公开,原则上所有日常行政检查都通过“双随机、一公开”的方式进行。下一步,密码管理部门和有关部门将不断完善商用密码随机抽查相关配套制度和工作机制,健全跨部门联合抽查机制,避免对同一商用密码市场主体多头、重复检查。将随机抽查的比例频次、被抽查概率与抽查对象的信用等级、风险程度挂钩,对有不良信用记录、风险高的加大抽查力度,对信用较好、风险较低的适当减少抽查。抽查结果分别通过国家企业信用信息公示系统、“信用中国”网站、国家“互联网+监管”系统等进行公示。

商用密码事中事后监管的重要手段是深入推进“互联网+监管”,依托国家“互联网+监管”系统,建设统一的商用密码监督管理信息平台。加强商用密码监管信息归集共享,将各类商用密码相关的行政检查、行政处罚、行政强制等信息以及司法判决、违法失信、抽查抽检等信息进行关联整合,并归集到相关商用密码市场主体名下。充分运用大数据等技术,加强对风险的跟踪预警。提升商用密码事中事后监管的精准化、智能化水平。

问:商用密码事中事后监管如何与社会信用体系相衔接?

答:推进商用密码事中事后监管与社会信用体系相衔接,提升商用密码信用监管效能。以国家统一社会信用代码为标识,依法依规建立权威、统一、可查询的商用密码市场主体信用记录。大力推行商用密码从业单位及有关市场主体信用承诺制度,将信用承诺履行情况纳入信用记录。推进信用分级分类监管,依据商用密码从业单位信用情况,在监管方式、抽查比例和频次等方面采取差异化措施。规范认定并设立商用密码市场主体信用“黑名单”,强化失信联合惩戒,对失信主体在行业准入、获得信贷、出口退税、高消费等方面依法予以限制。建立健全信用修复、异议申诉等机制。在保护涉及国家秘密、商业秘密和个人隐私等信息的前提下,依法做好商用密码有关信用信息的公开工作。

问:如何强化商用密码从业单位自律和社会监督?

答:强化商用密码从业单位自律和社会监督,就是要充分调动社会各方力量参与商用密码监督管理,统筹社会各种资源支持商用密码社会治理,形成市场自律、社会监督和政府监管互为支撑的商用密码协同监管格局,切实管出公平、管出效率、管出活力,提高商用密码市场主体竞争力和市场效率,推动商用密码产业持续健康发展。

问:《密码法》对密码管理部门和有关部门及其工作人员提出了什么样的保密要求?

答:《密码法》第三十一条规定:密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。

问:《密码法》为什么要对密码管理部门和有关部门及其工作人员提出保密要求?

答:密码管理部门和有关部门及其工作人员对在履行职责中知悉的商业秘密和个人隐私予以严格保密,是其基本的法定义务,也体现了行政机关对自身履职的严格要求。

密码管理部门和有关部门在依法履行职责的过程中会合理知悉有关商业秘密和个人隐私,虽然其知悉途径是合法的,但是如果将这些信息泄露给他人,就会损害商业秘密权利人的利益,或者损害公民个人的合法权益。为保护当事人合法权益,并保证密码管理活动的正常进行,密码管理部门和有关部门及其工作人员必须对在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。同时,《密码法》关于源代码等密码相关专有信息保护的规定是商用密码知识产权保护原则的又一具体措施。

问:《密码法》对窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动,规定了什么样的法律责任?

答:《密码法》第三十二条规定:违反本法第十二条规定,窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的,由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。

《密码法》明确的从事密码违法活动具体包括三种情形:一是窃取他人加密保护的信息。二是非法侵入他人的密码保障系统。三是利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动。

问:《密码法》明确哪些未按照要求使用核心密码、普通密码的情形?

答:《密码法》明确了违反核心密码、普通密码使用要求的两种情形:一是在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,未使用核心密码、普通密码进行加密保护、安全认证。二是在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,虽然使用了核心密码、普通密码,但未能依照法律、行政法规和国家有关规定,合规、正确、有效地使用核心密码、普通密码进行加密保护、安全认证。

问:《密码法》对未按照要求使用核心密码、普通密码的行为,规定了什么样的法律责任?

答:《密码法》第三十三条规定:违反本法第十四条规定,未按照要求使用核心密码、普通密码的,由密码管理部门责令改正或者停止违法行为,给予警告;情节严重的,由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

此条规定的法律责任包括:

1.责令改正。所谓责令改正,是指有关主管部门依法要求违法行为人将其违法行为恢复到合法状态。

2.责令停止违法行为。所谓责令停止违法行为,是指有关主管部门依法要求违法行为人停止其实施的违法行为。

3.警告。所谓警告,是指有关主管部门对违法行为人进行训诫,使其认识到其行为的违法性。

4.处分。分为行政处分和党纪处分两种。本条中的“直接负责的主管人员”,是指在机关、单位实施的违法行为中起决定、批准、授意、指挥等作用的人员,一般是本机关、单位分管某一方面工作的负责人。“其他直接责任人员”,是指具体实施违法行为并起较大作用的人员,可以是机关、单位的管理人员、工作人员。

5.处理。所谓处理,是指对实施了相关违法行为,但不适用处分的人员,由有关主管部门依照有关法律、法规的规定作出的惩戒。这里所说的不适用处分的人员,主要是指在国家机关工作但不具有编制的聘任人员和企事业单位聘任的人员。

密码管理部门应当及时建议督促有关机关、单位对违法人员依法给予处分或者处理。

问:《密码法》明确哪些核心密码、普通密码泄密等安全问题的情形?

答:《密码法》明确了核心密码、普通密码泄密案件或者密码工作机构违反相关安全要求的具体情形:一是发生核心密码、普通密码泄密案件。二是发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未立即采取应对措施。三是发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未及时向保密行政管理部门、密码管理部门报告。

问:《密码法》明确的核心密码、普通密码泄密等安全问题的法律责任具体包括哪些?

答:《密码法》第三十四条规定:违反本法规定,发生核心密码、普通密码泄密案件的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。违反本法第十七条第二款规定,发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未立即采取应对措施,或者未及时报告的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

此条规定的法律责任包括:

1.处分。处分分为行政处分和党纪处分两种。本条中的“直接负责的主管人员”,是指在机关、单位实施的违法行为中起决定、批准、授意、指挥等作用的人员,一般是本机关、单位分管某一方面工作的负责人。“其他直接责任人员”,是指具体实施违法行为并起较大作用的人员,可以是机关、单位的管理人员、工作人员。

2.处理。所谓处理,是指对实施了相关违法行为,但不适用处分的人员,由有关主管部门依照有关法律、法规的规定作出的惩戒。这里所说的不适用处分的人员,主要是指在国家机关工作但不具有编制的聘任人员和企事业单位聘任的人员。

保密行政管理部门、密码管理部门应当及时建议督促有关机关、单位对违法人员依法给予处分或者处理。

问:《密码法》明确哪些情形属于违反商用密码检测、认证机构管理制度?

答:《密码法》明确的违反商用密码检测、认证机构管理制度,具体包括两种情形:一是商用密码检测、认证机构违反法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。二是商用密码检测、认证机构泄露其在商用密码检测认证中所知悉的国家秘密和商业秘密。本条规定的执法部门是市场监督管理部门会同密码管理部门。

问:《密码法》对商用密码检测、认证机构违法规定了什么样的法律责任?

答:《密码法》第三十五条规定:商用密码检测、认证机构违反本法第二十五条第二款、第三款规定开展商用密码检测认证的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款;情节严重的,依法吊销相关资质。

此条规定的法律责任包括:

1.责令改正。所谓责令改正,是指有关主管部门依法要求违法行为人将其违法行为恢复到合法状态。

2.责令停止违法行为。所谓责令停止违法行为,是指有关主管部门依法要求违法行为人停止其实施的违法行为。

3.警告。所谓警告,是指有关主管部门对违法行为人进行训诫,使其认识到其行为的违法性。

4.没收违法所得。所谓没收违法所得,是指有关主管部门依法将违法行为人从事非法经营等获得的利益收归国有。

5.罚款。所谓罚款,是指有关主管部门依法强制违法行为人在一定期限内向国家缴纳一定数额的金钱。对于违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款。

6.吊销相关资质。所谓吊销相关资质,是指有关主管部门依法收回违法行为人已经获得的从事某种活动的资格和权利。这里的相关资质,是指商用密码检测、认证机构资质。

原文始发于微信公众号（河南等级保护测评）：来自国家密码管理局的密码政策问答（十五）