Ⅰ 什么情况下会触犯密码法
《中.华人.民共.和国密码法》
第四章法.律责任
第三十二条违反本法第十二条规定,窃取他人加密保护的信息,非法侵入他人的密码保.障系统,或者利.用密码从事危害国.家安全、社.会公共利益、他人合法权益等违法活动的,由有关部门依照《中.华人.民共.和国网络安全法》和其他有关法.律、行政.法规的规定追究法.律责任。
第三十三.条违反本法第十四条规定,未按照要求使用核心密码、普通密码的,由密码管理部门责令改正或者停止违法行为,给予警告;情节严重的,由密码管理部门建议有关国.家机.关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
第三十四条违反本法规定,发生核心密码、普通密码泄密案.件的,由保密行政管理部门、密码管理部门建议有关国.家机.关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
违反本法第十七条第二款规定,发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未立即采取应对措施,或者未及时.报告的,由保密行政管理部门、密码管理部门建议有关国.家机.关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
第三十五条商用密码检测、认证机.构违反本法第二十五条第二款、第三款规定开展商用密码检测认证的,由市场监.督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款;情节严重的,依法吊销相关资质。
第三十六条违反本法第二十六条规定,销.售或者提.供未经检测认证或者检测认证不合格的商用密码产品,或者提.供未经认证或者认证不合格的商用密码服.务的,由市场监.督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。
第三十七条关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审.查或者安全审.查未通.过的产品或者服.务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第三十八条违反本法第二十八条实施进口许可、出口管.制的规定,进出口商用密码的,由国.务.院商.务主管部门或者海.关依法予以处罚。
第三十九条违反本法第二十九条规定,未经认定从事电子政务电子认证服.务的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款。
第四十条密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄.露、非法向他人提.供在履行职责中知悉的商业秘密和个人隐私的,依法给予处分。
第四十一条违反本法规定,构成犯罪的,依法追究刑事责任;给他人造成损害的,依法承担民事责任。
Ⅱ 根据中华人民共和国密码法要求商用密码服务使用网络关键设备和网络安全专用产
根据中华人民共和国密码法要求,商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。
《中华人民共和国密码法》第二十六条涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。
商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。
第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
以上内容参考开封市公安局——中华人民共和国密码法
Ⅲ 求我国现有的信息网络安全有关的法规、规章
我国现行的信息网络法律体系框架分为三个层面;
1、一般性法律规定
如宪法.国家安全法、国家秘密法,治安管理处罚条例、着作权法,专利法等。这些法律法规并没有专门对网络行为进行规定,但是.它所规范和约束的对象中包括了危害信息网络安全的行为。
2、规范和惩罚网络犯罪的法律
这类法律包括《中华人民共和国刑法》.《全国人大常委会关于维护互联网安全的决定》等.这其中刑法也是一般性法律规定。这里将其独立出来。作为规范和惩罚网络犯罪的法律规定.
3、直接针对计算机信息网络安全的特别规定
这类法律法规主要有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》.《中华人民共和国计算机软件保护条例》等。
4、具体规范信息网络安全技术、信息网络安全管理等方面的规定
这一类法律主要有:《商用密码管理条例》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机病毒防治管理办法》。《计算机信息系统保密管理暂行规定》,《计算机信息系统国际联网保密管理规定》、《电子出版物管理规定》、《金融机构计算机信息系统安全保护工作暂行规定》等。
信息网络安全法应当具备以下几个特点;(1)体系性。网络改变了人们的生活观念、生活态度。生活方式等,同时也涌现出病毒.黑客、网络犯罪等以前所没有的新事物。传统的法律体系变得越来越难以适应网络技术发展的需要,在保障信息网络安全方面也显得力不从心。因此,构建一个有效、相对自成一体、结构严谨、内在和和谐统一的新的法律体系来规范网络社会.就显得十分必要。(2)开放性.信息网络技术在不断发展.信息网络安全问题层出不穷、形形色色,安全法律应当全面体现和把握信息网络的基本特点及其法律问题,适应不断发展的信息网络技术问题和不断涌现的网络安全问题(3)兼容性。网络环境虽说是一个虚拟的数字世界,但是它并不是独立于现实社会的“自由王国”;发生在网络环境中的事情只不过是现实社会和生活中的诸多问题在这个虚拟社会中的重新晨开。因此,安全法律不能脱离传统的法律原则和法律规范,大多数传统的基木法律原则和规范对信息网络安全仍然适用。同时.从维护法律体系的统一性、完整性和相对稳定性来看,安全法律也应当与传统的法律体系保持良好的兼容性。(4)可操作性.网络是一个数宁化的社会,许多概念规则难以被常人准确把握,因此,安全法律应当对一些专业术语、难以确定的问题、容易引起争议的问题等做出解释,使其更具可操作性。从这几点出发,我国的信息网络安全法律体系存在以下问题。
1、立法滞后、层次低,尚未形成完整的法律体系
在我国现行涉及网络安全的法律中,法律、法规层次的规定太少。规章过多,给人一种头重脚轻的感觉.而且.在制定规章的过程中,由于缺乏纵向的统筹考虑和横向的有效协调。制定部门往往出于自身工作的考虑,忽视了其他相关部门的职能及相互间的交叉等问题,致使出台的规章虽然数量不少但内容重复交叉。这种现状一方面造成部门问更多的职能交叉,另一方面。在一定程度上造成了法律资源的严重浪费。法律法规的欠缺、规章的混乱,常常造成这样一种奇怪的现象对网络违法行为,要么无人管.要么争着管。
2、不具开放性
我国的信息网络安全法结构比较单一、层次较低。难以适应信息网络技术发展的需要和日益严重的信息网络安全问题。我国现行的安全法律基本上是一些保护条例、管理办法之类的,缺少系统规范网络行为的基本法律如信息安全法、网络犯罪法、电子信息出版法、电子信息个人隐私法等。同时,我国的法律更多她使用了综合性的禁止性条款,如《中华人民共和国计算机信息系统安全保护条例》第七条规定:“任何单位或者个人。不得利用计算机信息系统从事危害国家利益.集体利益和公民台法利益的活动。不得危害计算机信息系统的安全。“而没有具体的许可性条款和禁止性条款。这种大一统的立法方式往往停留于口号的层次上。难以适应信息网络技术的发展和越来越多的信息网络安全问题。
3、缺乏兼容性
我国的安全法律法规有许多难以同传统的法律原则、法律规范协调的地方。比如说,根据《中华人民共和国行政处罚法》第十二条规定,规章可以在法律.行政法规规定的给予行政处罚的行为、种类和幅度范围内作出具体规定。尚未制定法律、行政法规的。规章对违反行政管理秩序的行为,可以设定警告或者一定数量罚款的行政处罚。在我国现有相关法律、行政法规中.均未设定没收从事违法经营活动的全部设备的处罚,但是依据这些行政法规制定的《互联网上网服务营业场所管理办法》的第14条,却设定了没收从事违法经营活动的全部设备的处罚种类,显然这个处罚的设定与相关法规有矛盾之处。
4、缺乏操作性
我国的信息网络安圭法中存在难以操作的现象。为丁规范网络上的行为。政府职能部门都出台了相关的规定,公安部、信息产业部、国家保密局、教育部、新闻出版署、中国证监会.国家广播电影电视总局、国家药品监督营理局、原国务院信息化工作领导小组等都制定了涉及网络的管理规定。此外,还有许多相关的地方性法规.地方政府规章。数量虽大,但是它们的弊端是明显的。由于没有法律的统一协调,各个部门出于自身利益,致使常常出现同一行为有多个行政处罚主体,处罚幅度不尽一致,行政审批部门及审批事项多等现象。这就给法律法规的实际操作带来了诸多难题。
Ⅳ 网络安全法的意义
您好,网络安全法在日后网络发生问题也将有法可依,利于网民营造更加良好的互联网氛围。网络安全法律法规体系是国家网络安全保障体系的重要组成部分。维护网络安全,就需要充分发挥法律的强制性规范作用。但长期以来,我国网络安全法律法规体系建设滞后,突出表现在,我们甚至没有一部真正意义上的网络安全法。全国人大通过《网络安全法》的重大意义在于,从此我国网络安全工作有了基础性的法律框架,有了网络安全的“基本法”。作为“基本法”,其解决了以下几个问题:一是明确了部门、企业、社会组织和个人的权利、义务和责任;二是规定了国家网络安全工作的基本原则、主要任务和重大指导思想、理念;三是将成熟的政策规定和措施上升为法律,为政府部门的工作提供了法律依据,体现了依法行政、依法治国要求;四是建立了国家网络安全的一系列基本制度,这些基本制度具有全局性、基础性特点,是推动工作、夯实能力、防范重大风险所必需。
从实际工作需求看,以下值得关注:一是提出了个人信息保护的基本原则和要求,相当于一部小型的“个人信息保护法”,使后续的相关细则、标准有了上位法;二是对网络产品和服务提供者提出了要求,针对的是当前一些企业任性停止服务或依靠垄断优势要挟用户、随意收集用户信息等问题;三是在反恐法确立的电信用户实名制基础上,规定了信息发布、即时通讯等服务的实名制要求,但这个实名是指“前台匿名、后台实名”,不影响用户隐私;四是规范了重要网络安全信息的发布服务,现在很多企业或机构都在发布漏洞、安全事件等信息,有一些不实信息造成了很大范围的不良影响,国家将制定这方面的规定;五是明确了网络运营者的执法协助义务;六是从法的层面规定了对网上非法信息的清理,使国家的互联网管理系统有了明确的法律依据;七是确立了国家关键信息基础设施保护制度,特别是规定了运营者的强制性义务,并为主管部门开展监管作了授权;八是建立了网络安全监测预警、信息通报和应急处置工作体系,有利于解决目前存在的多个部门各自发布预警通报、应急预案体系不完整不协调等问题;九是建立了通信管制制度,以支持重大突发事件的处置,但同时也将通信管制的权限严格限制在了国务院;十是进一步理顺了网络安全工作体制,规定国家网信部门负责统筹协调网络安全工作和相关监督管理工作。【法律依据】 《中华人民共和国网络安全法》第一条:为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。
第二条:在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。
第三条:国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。
Ⅳ 密码法是什么东东
中华人民共和国密码法
《中华人民共和国密码法》旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,是我国密码领域的综合性、基础性法律。
2019年10月26日,第十三届全国人民代表大会常务委员会第十四次会议表决通过密码法,将自2020年1月1日起施行。[1]
中文名:中华人民共和国密码法
外文名:Password law of the people's Republic of China
宗旨:规范密码应用和管理,促进密码事业发展,保障网络与信息安全
通过时间:2019年10月26日
施行时间:2020年1月1日
《中华人民共和国密码法》发布
10月26日,十三届全国人大常委会第十四次会议表决通过密码法,将自2020年1月1日起施行。密码法旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,是我国密码领域的综合性、基础性法律。
出台历程
2018年9月7日,十三届全国人大常委会公布立法规划(共116件),《中华人民共和国密码法》位于第一类项目:条件比较成熟、任期内拟提请审议的法律草案。[2]
2019年6月25日,《密码法草案》提请十三届全国人大常委会第十一次会议审议,旨在通过立法提升密码管理科学化、规范化、法治化水平,促进我国密码事业的稳步健康发展。[3]
2019年10月26日下午,十三届全国人大常委会第十四次会议表决通过密码法,将自2020年1月1日起施行。[1]
内容全文
目录
第一章总则
第二章核心密码、普通密码
第三章商用密码
第四章法律责任
第五章附 则
正文
第一章总则
第一条为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定本法。
第二条本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
第三条密码工作坚持总体国家安全观,遵循统一领导、分级负责,创新发展、服务大局,依法管理、保障安全的原则。
第四条坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导,制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。
第五条国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。
国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。
第六条国家对密码实行分类管理。
密码分为核心密码、普通密码和商用密码。
第七条核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。
核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。
第八条商用密码用于保护不属于国家秘密的信息。
公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
第九条国家鼓励和支持密码科学技术研究和应用,依法保护密码领域的知识产权,促进密码科学技术进步和创新。
国家加强密码人才培养和队伍建设,对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。
第十条国家采取多种形式加强密码安全教育,将密码安全教育纳入国民教育体系和公务员教育培训体系,增强公民、法人和其他组织的密码安全意识。
第十一条县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级财政预算。
第十二条任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。
任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
第二章核心密码、普通密码
第十三条国家加强核心密码、普通密码的科学规划、管理和使用,加强制度建设,完善管理措施,增强密码安全保障能力。
第十四条在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。
第十五条从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构(以下统称密码工作机构)应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全。
第十六条密码管理部门依法对密码工作机构的核心密码、普通密码工作进行指导、监督和检查,密码工作机构应当配合。
第十七条密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。
密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的,应当立即采取应对措施,并及时向保密行政管理部门、密码管理部门报告,由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置,并指导有关密码工作机构及时消除安全隐患。
第十八条国家加强密码工作机构建设,保障其履行工作职责。
国家建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。
第十九条密码管理部门因工作需要,按照国家有关规定,可以提请公安、交通运输、海关等部门对核心密码、普通密码有关物品和人员提供免检等便利,有关部门应当予以协助。
第二十条密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度,对其工作人员遵守法律和纪律等情况进行监督,并依法采取必要措施,定期或者不定期组织开展安全审查。
第三章商用密码
第二十一条国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。
各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。
商用密码的科研、生产、销售、服务和进出口,不得损害国家安全、社会公共利益或者他人合法权益。
第二十二条国家建立和完善商用密码标准体系。
国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。
国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
第二十三条国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。
国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
第二十四条商用密码从业单位开展商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。
国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。
第二十五条国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。
商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。
商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。
第二十六条涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。
商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。
第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
第二十八条国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。
大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
第二十九条国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。
第三十条商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。
第三十一条密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督。
密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。
第四章法律责任
第三十二条违反本法第十二条规定,窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的,由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。
第三十三条违反本法第十四条规定,未按照要求使用核心密码、普通密码的,由密码管理部门责令改正或者停止违法行为,给予警告;情节严重的,由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
第三十四条违反本法规定,发生核心密码、普通密码泄密案件的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
违反本法第十七条第二款规定,发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未立即采取应对措施,或者未及时报告的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
第三十五条商用密码检测、认证机构违反本法第二十五条第二款、第三款规定开展商用密码检测认证的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款;情节严重的,依法吊销相关资质。
第三十六条违反本法第二十六条规定,销售或者提供未经检测认证或者检测认证不合格的商用密码产品,或者提供未经认证或者认证不合格的商用密码服务的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。
第三十七条关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第三十八条违反本法第二十八条实施进口许可、出口管制的规定,进出口商用密码的,由国务院商务主管部门或者海关依法予以处罚。
第三十九条违反本法第二十九条规定,未经认定从事电子政务电子认证服务的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款。
第四十条密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的,依法给予处分。
第四十一条违反本法规定,构成犯罪的,依法追究刑事责任;给他人造成损害的,依法承担民事责任。
第五章附则
第四十二条国家密码管理部门依照法律、行政法规的规定,制定密码管理规章。
第四十三条中国人民解放军和中国人民武装警察部队的密码工作管理办法,由中央军事委员会根据本法制定。
第四十四条本法自2020年1月1日起施行。[4]
内容解读
密码工作直接关系国家安全。国家密码管理局局长李兆宗在向会议作说明时介绍,密码在我国革命、建设、改革各个历史时期,都发挥了不可替代的重要作用。密码工作面临着许多新的机遇和挑战,担负着更加繁重的保障和管理任务,制定一部密码领域综合性、基础性法律,十分必要。
草案明确规定,密码分为核心密码、普通密码和商用密码,实行分类管理。核心密码、普通密码用于保护国家秘密信息,属于国家秘密,由密码管理部门依法实行严格统一管理。商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。
为贯彻落实职能转变和“放管服”改革要求,规范和促进商用密码产业发展,草案规定了商用密码的主要制度,包括规定国家鼓励商用密码技术的研究开发和应用,健全商用密码市场体系,鼓励和促进商用密码产业发展;规定了商用密码标准化制度;建立了商用密码检测认证制度,并鼓励从业单位自愿接受商用密码检测认证等。
在密码发展促进和保障措施方面,按照草案规定,国家鼓励和支持密码科学技术研究、交流,依法保护密码知识产权,促进密码科学技术进步和创新,建立密码工作表彰奖励制度;国家加强密码宣传教育。草案也规定任何组织或者个人不得窃取或者非法侵入他人的加密信息或者密码保障系统,不得利用密码从事违法犯罪活动。草案同时规定了相应的法律责任。
Ⅵ 数据安全有哪些案例
“大数据时代,在充分挖掘和发挥大数据价值同时,解决好数据安全与个人信息保护等问题刻不容缓。”中国互联网协会副秘书长石现升在贵阳参会时指出。
员工监守自盗数亿条用户信息
今年初,公安部破获了一起特大窃取贩卖公民个人信息案。
被窃取的用户信息主要涉及交通、物流、医疗、社交和银行等领域数亿条,随后这些用户个人信息被通过各种方式在网络黑市进行贩卖。警方发现,幕后主要犯罪嫌疑人是发生信息泄漏的这家公司员工。
业内数据安全专家评价称,这起案件泄露数亿条公民个人信息,其中主要问题,就在于内部数据安全管理缺陷。
国外情况也不容乐观。2016年9月22日,全球互联网巨头雅虎证实,在2014年至少有5亿用户的账户信息被人窃取。窃取的内容涉及用户姓名、电子邮箱、电话号码、出生日期和部分登陆密码。
企业数据信息泄露后,很容易被不法分子用于网络黑灰产运作牟利,内中危害轻则窃财重则取命,去年8月,山东高考生徐玉玉被电信诈骗9900元学费致死案等数据安全事件,就可见一斑。
去年7月,微软Window10也因未遵守欧盟“安全港”法规,过度搜集用户数据而遭到法国数据保护监管机构CNIL的发函警告。
上海社会科学院互联网研究中心发布的《报告》指出,随着数据资源商业价值凸显,针对数据的攻击、窃取、滥用和劫持等活动持续泛滥,并呈现出产业化、高科技化和跨国化等特性,对国家和数据生态治理水平,以及组织的数据安全能力都提出了全新挑战。
当前,重要商业网站海量用户数据是企业核心资产,也是民间黑客甚至国家级攻击的重要对象,重点企业数据安全管理更是面临严峻压力。
企业、组织机构等如何提升自身数据安全能力?
企业机构亟待提升数据安全管理能力
“大数据安全威胁渗透在数据生产、流通和消费等大数据产业的各个环节,包括数据源、大数据加工平台和大数据分析服务等环节的各类主体都是威胁源。”上海社科院信息所主任惠志斌向记者分析称,大数据安全事件风险成因复杂交织,既有外部攻击,也有内部泄密,既有技术漏洞,也有管理缺陷,既有新技术新模式触发的新风险,也有传统安全问题的持续触发。
5月27日,中国互联网协会副秘书长石现升称,互联网日益成为经济社会运行基础,网络数据安全意识、能力和保护手段正面临新挑战。
今年6月1日即将施行的《网络安全法》针对企业机构泄露数据的相关问题,重点做了强调。法案要求各类组织应切实承担保障数据安全的责任,即保密性、完整性和可用性。另外需保障个人对其个人信息的安全可控。
石现升介绍,实际早在2015年国务院就发布过《促进大数据发展行动纲要》,就明确要“健全大数据安全保障体系”、“强化安全支撑,提升基础设施关键设备安全可靠水平”。
“目前,很多企业和机构还并不知道该如何提升自己的数据安全管理能力,也不知道依据什么标准作为衡量。”一位业内人士分析称,问题的症结在于国内数据安全管理尚处起步阶段,很多企业机构都没有设立数据安全评估体系,或者没有完整的评估参考标准。
“大数据安全能力成熟度模型”已提国标申请
数博会期间,记者从“大数据安全产业实践高峰论坛”上了解到,为解决此问题,全国信息安全标准化技术委员会等职能部门与数据安全领域的标准化专家学者和产业代表企业协同,着手制定一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》,该标准是基于阿里巴巴提出的数据安全成熟度模型(Data Security Maturity Model, DSMM)进行制订。
阿里巴巴集团安全部总监郑斌介绍DSMM。
作为此标准项目的牵头起草方,阿里巴巴集团安全部总监郑斌介绍说,该标准是阿里巴巴基于自身数据安全管理实践经验成果DSMM拟定初稿,旨在与同行业分享阿里经验,提升行业整体安全能力。
“互联网用户的信息安全从来都不是某一家公司企业的事。”郑斌称,《大数据安全能力成熟度模型》的制订还由中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心、公安三所、清华大学和阿里云计算有限公司等业内权威数据安全机构、学术单位企业等共同合作提出意见。
Ⅶ 人大刚刚通过的《网络安全法》都有哪些看点
网络安全法有六大看点:
第一,网络安全法明确了网络空间主权的原则。
第二,明确了网络产品和服务提供者的安全义务。
第三,明确了网络运营者的安全义务。
第四,进一步完善了个人信息保护规则。
第五,建立了关键信息基础设施安全保护制度。
第六,确立了关键信息基础设施重要数据跨境传输的规则
Ⅷ 关于网络安全的故事或事例
1、聊天陷阱
2006年2月24日晚上,上海“网虫”钱某终于见到了网上聊天认识的女网友“仇某”。然而,两人散步至一处花店附近时,突然冒出4名手持剪刀的青年男子。毫无准备的钱某不仅遭到一阵殴打,身上仅有的1部手机和300元人民币也被抢走。
3天以后,案情大白,犯罪嫌疑人裘某正是那位自称“仇某”的女网友。原来,两人在网上搭识以后,钱某经常出言不逊,裘某萌发报复念头,找到以前的男友抢劫钱某财物。
2、低价陷阱
2018年1月,徐某无意中进入一个买卖二手车的网址,发现其中一辆本田CRV车只要13000元。徐某心动不已,随即联系网站客服,按照对方要求填写信息并通过网银转账500元订金。2天后,对方告知押车员已将车子运送至天台县,要求徐某支付余款12500元。
徐某打款后兴冲冲等着去提车,结果对方又找各种理由要求他再付16870元,徐某这才恍然大悟自己是被骗了。
3、“支付宝”发邮件称需升级
小美在淘宝开了一家汽车用品店。一个“买家”来店里拍了一套汽车坐垫后发了一张截图,显示“本次支付失败”,并提示“由于卖家账号异常,已发邮件给卖家”。小美打开邮箱,果然有一封主题为“来自支付宝的安全提醒”的未读邮件。
小美没有多想就点击邮件里的链接,按提示一步步进行了“升级”,期间几次输入支付宝账号和密码。隔天,小美发现账户里的8000多元余额被人以支付红包的形式盗空。
4、代“刷信誉”先交“服务费”
阿珍在淘宝网上开了一家卖袜子的小店。去年5月,她在网上看到可以帮忙“刷信誉”的广告,便心动了。加QQ后,对方要求先付钱才能帮其代刷,阿珍就向对方账户汇了1500元“服务费”。没过多久对方又称,需要阿珍再付3000元“保证金”。
这下阿珍起了疑心,要求对方先刷一部分信誉再谈,对方却坚持要阿珍再汇款。阿珍越想越觉得可疑,要求对方退回1500元,对方却怎么都不理她了。阿珍这才明白,自己是被骗了。
5、“大客户”下单后要“回扣”
去年7月,小罗的汽车用品淘宝店来了一个“大客户”。这买家自称是公司的采购,想要长期合作,但希望小罗给“回扣”。一番沟通后,买家很快用另一个旺旺号拍下1万多元的宝贝并付款,随后要求小罗将说好的近2000元“回扣”转给他。
小罗转了回扣后,对方却申请了退款,因为“回扣”是通过支付宝直接转账的,无法申请退款,小罗因此损失近2000元。
Ⅸ 国家公民怎样使用商用密码法
第三章商用密码
第二十一条国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。
各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。
商用密码的科研、生产、销售、服务和进出口,不得损害国家安全、社会公共利益或者他人合法权益。
第二十二条国家建立和完善商用密码标准体系。
国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。
国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
第二十三条国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。
国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
第二十四条商用密码从业单位开展商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。
国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。
第二十五条国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。
商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。
商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。
第二十六条涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。
商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。
第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
第二十八条国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。
大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
第二十九条国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。
第三十条商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。
第三十一条密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督。
密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。
Ⅹ 中华人民共和国密码法遵循什么原则
法律分析:密码法重点把握以下三个原则:
1、明确对核心密码、普通密码与商用密码实行分类管理的原则。在核心密码、普通密码方面,深入贯彻总体国家安全观,将现行有效的基本制度、特殊管理政策及保障措施法治化;在商用密码方面,充分体现职能转变和“放管服”改革要求,明确公民、法人和其他组织均可依法使用。
2、注重把握职能转变和“放管服”要求与保障国家安全的平衡。在明确鼓励商用密码产业发展、突出标准引领作用的基础上,对涉及国家安全、国计民生、社会公共利益,列入网络关键设备和网络安全专用产品目录的产品,以及关键信息基础设施的运营者采购等部分,规定了适度的管制措施。
3、注意处理好密码法与网络安全法、保守国家秘密法等有关法律的关系。在商用密码管理和相应法律责任设定方面,与网络安全法的有关制度,如强制检测认证、安全性评估、国家安全审查等作了衔接;同时,鉴于核心密码、普通密码属于国家秘密,在核心密码、普通密码的管理方面与保守国家秘密法作了衔接。
法律依据:《中华人民共和国密码法》 第三条 密码工作坚持总体国家安全观,遵循统一领导、分级负责,创新发展、服务大局,依法管理、保障安全的原则。