商用密码管理法规介绍.doc

商用密码管理法规介绍大家好。按照培训安排，今天由我为大家作一次商用密码管理法规的介绍，我从三个方面给大家介绍： 一、商用密码及其管理原则历史上，密码发明之初主要是用于政治和军事目的，二战中著名的中途岛战役、日本海军大将山本五十六命丧太平洋事件，都是广为人知的密码应用故事，从中我们便可看出密码在军事斗争中的突出作用。那么，密码在社会生活中有什么作用？国家为什么要对社会上所使用的密码进行严格管理呢？这是由信息的安全需求所决定的。随着电子、信息技术的迅速发展和计算机网络应用的普及，信息的存取和传递变得越来越容易，这在给我们带来方便快捷的同时，也使信息安全时时面临着威胁。稍有不慎，我们存于电脑的信息就有可能被拷贝，我们在网上传输的信息就有可能被截获。信息被人非法利用，对信息拥有者个人而言，带来的直接后果就是劳动成果被人非法占有和财产的损失，而在公众事业和商业领域中，则可能带来巨大的经济损失和严重的社会问题，有的甚至可能危及国家安全和国家根本利益。因此，解决信息的安全问题成为各国的一大战略课题，国际上围绕信息的获取、使用和控制的斗争也愈演愈烈。密码技术是解决信息安全问题的核心技术，除了用于信息加密外，还用于数据信息签名和安全认证，在保护网络信息安全中起着不可替代的作用，例如：将密码技术应用在电子商务中，对网上交易双方的身份和商业信用进行识别，防止网上电子商务中的“黑客”和欺诈行为；应用于增值税发票中，可以防伪、防篡改，杜绝了各种利用增值税发票偷、漏、逃、骗国家税收的行为，并大大方便了税务稽查；应用于银行支票鉴别中，可以大大降低利用假支票进行金融诈骗的金融犯罪行为；应用于个人移动通信中，大大增强了通信信息的保密性等等。为满足社会对密码的广泛需求，1993年党中央就确定发展商用密码。之所以将社会上用的密码叫“商用密码”，主要是为了使其区别于党、政、军所使用的密码，将其定位于“对不涉及国家秘密内容的信息进行加密保护或者安全认证”。为保证商用密码健康有序发展，发挥好商用密码在我国信息化发展和社会经济建设中的作用，1996年党中央决定在我国大力发展商用密码，并确定了“统一领导，集中管理，定点研制，专控经营，满足使用”的商用密码管理原则。那么，对“密码”的管理都管什么呢？从行业管理的角度来说，目前我们对“密码”的管理主要是管密码技术和密码产品。国家管理密码，就是要对密码产品的研发、生产、销售、使用、进出口等行为进行管理，同时也要对生产这些产品所使用的关键密码技术进行管理。二、商用密码管理法规体系建设情况自从确定商用密码发展战略以来，我国不断建立健全商用密码监管体制，完善商用密码技术支撑体系和法律法规体系，为商用密码健康发展提供体制和法制保障。在监管体制上，最初商用密码的管理工作由国家密码管理委员会办公室负责，2005年经中央机构编制委员会批准，国家密码管理委员会办公室正式更名为国家密码管理局，2008年国务院发布国务院关于部委管理的国家局设置的通知（国发200812号），国家密码管理局作为部委管理的国家局正式列入国务院机构序列，主管全国的商用密码管理工作。同时，按照党中央关于加强新形势下密码工作的决定，各级地方政府也都规范了密码管理部门的机构和职责。经过10多年的建设，商用密码管理的法规体系逐步完善，目前，作为商用密码管理依据的法规主要包括：一部法律，一部行政法规，九个专项管理规定。“一部法律”是指电子签名法，该法赋权国家密码管理局对电子认证服务使用密码的行为依法实施管理。“一部行政法规”是指商用密码管理条例。1999年10月国务院颁布的商用密码管理条例，明确了商用密码的管理机构、管理体制以及商用密码管理工作的基本原则，对商用密码科研、生产、销售、使用、安全保密等方面的主要制度做出了规定。“九个专项管理规定”是指商用密码科研管理规定、商用密码产品生产管理规定、商用密码产品销售管理规定、商用密码产品使用管理规定、境外组织和个人在华使用密码产品管理办法、商用密码行政处罚实施办法（试行）、电子认证服务密码管理办法、信息安全等级保护商用密码管理办法、含有密码技术的信息产品政府采购规定。这九个专项管理规定是国家密码管理局根据法律法规的授权，以及商用密码管理工作的现实需要制定的，分别对商用密码科研、生产、销售、使用、行政处罚等行为做出了详细规定。此外，密码相关标准规范也是国家密码管理部门对密码依法实施管理的主要依据，目前由国家密码管理局组织制定并发布的密码相关标准规范共七个，分别是：证书认证系统密码及其相关安全技术规范、数字证书认证系统密码协议规范、数字证书认证系统检测规范、证书认证密钥管理系统检测规范、可信计算密码支撑平台功能与接口规范、IPSec VPN技术规范、SSL VPN技术规范等。这些标准规范都是在业内专家和相关企业广泛参与的基础上制定的，是商用密码技术管理的基本依据。三、商用密码管理主要法律法规介绍（一）商用密码管理条例商用密码管理条例是我国商用密码管理工作的基本法律依据，1999年10月16日的人民日报评论员文章是这样评价商用密码管理条例的：“国务院制定颁布的商用密码管理条例，是我们党和国家密码事业发展历史上的一个里程碑。它不仅标志着密码应用开始走向社会，进入市场，拓展了更加广阔的服务领域，而且标志着商用密码的使用和管理从一起步就走入了法制化轨道，坚定地贯彻了党和国家依法治国、建设社会主义法治国家的方针大略。”商用密码管理条例共七章二十七条，内容主要包括以下四个方面：1、商用密码管理的目的、原则、机构、对象（1）商用密码管理的目的大力发展和严格管理商用密码，既是国民经济建设发展的需要，也是保护公民、法人和其他组织合法权益、维护国家安全和利益的需要，因此，条例第一条就将商用密码的管理目的予以明确。即“为了加强商用密码管理，保护信息安全，保护公民和组织的合法权益，维护国家的安全和利益，制定本条例”。 （2）商用密码管理的基本原则条例第三条明确了商用密码管理的基本原则。规定：“国家对商用密码产品的科研、生产、销售和使用实行专控管理”。“专控管理”是党中央确定的发展和管理商用密码的基本方针，也是制定商用密码管理法规所坚持的一个基本原则。之所以要对商用密码实行专控管理，主要有两个方面的原因：其一，随着全球信息化程度的不断提高，密码已经成为各国利益斗争的一个重要内容。可以说，谁掌控了密码，谁就掌控了信息时代的主导权。其二，商用密码是一种特殊产品，属于“两用物项”，既可以服务于国民经济和社会信息化建设，维护国家的安全和利益，保护公民、法人和其他组织的合法权益，但也可能被违法犯罪分子所利用，给国家侦破、查处违法犯罪活动带来困难。正是由于这两方面的原因，条例才确定了专控管理的基本原则。只有坚持专控管理，保证商用密码科研、生产、销售、使用等各个环节都有序、可控，才能充分发挥商用密码的积极作用，防止其损害公民、法人和其他组织的合法权益，维护国家的安全和利益。（3）商用密码管理的机构条例第四条明确了商用密码管理的机构，同时也明确了国家密码管理机构与省区市密码管理机构之间的委托管理关系。第四条规定：国家密码管理委员会及其办公室（简称国家密码管理机构）主管全国的商用密码管理工作。条例中提到的国家密码管理委员会办公室，已于2005年1月起更名为国家密码管理局。第四条同时规定，各省、自治区、直辖市负责密码管理的机构，根据国家密码管理机构的委托，承担商用密码的有关管理工作。（4）商用密码管理的对象条例第二条明确了商用密码的定义，实际上也就是商用密码管理的对象。 “本条例所称商用密码，是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品”。这个定义首先在用途上对商用密码进行了限定，即用于保护不涉及国家秘密内容的信息，区别于保护党和国家涉密信息所使用的密码。其次，定义中还明确了商用密码的功用是对信息进行加密保护与安全认证。其中，加密保护是密码的传统应用，安全认证是现代密码的主要应用之一。第三，定义中将商用密码的物质形态归结为“技术”和“产品”。这一条我们可以理解为：凡是在非涉密领域涉及到使用密码的问题，都应当使用商用密码，都要纳入商用密码的范畴进行统一管理。2、商用密码管理的主要环节和制度措施（1）商用密码管理的主要环节根据条例规定，商用密码管理主要包括以下五个环节：一是商用密码科研环节，二是商用密码产品生产环节，三是商用密码产品销售环节，四是商用密码产品使用环节，五是商用密码产品进出口环节。（2）商用密码管理各环节的制度措施科研环节的制度措施科研环节的管理制度主要体现在两个方面：一是科研单位资质管理，二是科研成果管理。关于科研单位资质管理，条例第五条规定，商用密码的科研任务由国家密码管理机构指定的单位承担。同时第五条也规定了商用密码科研单位应当具备的条件。按照条例规定，商用密码指定科研单位必须具有相应的技术力量和设备，能够采用先进的编码理论和技术，编制的商用密码算法具有较高的保密强度和抗攻击能力。关于科研成果管理，条例第六条规定，商用密码的科研成果由国家密码管理机构组织专家，按照商用密码技术标准和技术规范审查、鉴定。这一点非常重要，在这里我就不多讲了，因为在后面的科研管理规定中还要专门讲这个问题。生产环节的制度措施生产环节的管理制度主要体现在三个方面：一是生产单位资质管理，二是商用密码产品品种和型号审批，三是商用密码产品质量检测。关于生产单位资质管理，条例第七条规定，商用密码产品由国家密码管理机构指定的单位生产。只有指定的单位才能生产商用密码产品，未经指定，任何单位或者个人不得生产商用密码产品。同时条例第七条也规定了指定生产定点单位的条件，这就是：商用密码产品指定生产单位必须具有与生产商用密码产品相适应的技术力量，以及能确保商用密码产品质量的设备、生产工艺和质量保证体系等。关于商用密码产品品种和型号审批，条例第八条规定，商用密码产品指定生产单位生产的商用密码产品的品种和型号，必须经国家密码管理机构批准，并不得超过批准范围生产商用密码产品。这条规定体现了商用密码“专控管理”的思想，即管理部门批准企业生产什么产品，企业才可以生产什么，带有“计划经济”的色彩，这也是与条例制定时商用密码当时的发展现状相符合的。同时这个规定也大大方便了商用密码的监督和检查，判断某一个产品是不是商用密码产品，是我们监督、检查中经常遇到的难题，通过查验有没有国家密码管理局批准的品种和型号来判断是否为商用密码产品，就从一定程度上解决了这个问题。关于商用密码产品质量检测，条例第九条规定，商用密码产品必须经国家密码管理机构指定的产品质量检测机构检测合格。这又是一道关口。也就是说，一款商用密码产品要想进入市场进行销售，不但要有批准的品种和型号，而且必须是经过质量检测合格的产品。这么做，既是从信息安全的角度考虑，也是为了向消费者负责任，防止那些没有安全保障的劣质产品进入市场销售，欺骗和坑害消费者。销售环节的制度措施销售环节的管理制度主要体现在两个方面：一是销售单位资质管理，二是商用密码产品销售登记备案制度。关于销售单位资质管理，条例第十条、第十一条规定了商用密码产品销售许可制度以及销售许可的条件。只有取得国家密码管理机构许可的单位才能销售商用密码产品，未经许可，任何单位或者个人都不得从事商用密码产品销售活动。销售商用密码产品应当具备的条件包括：要有熟悉商用密码产品知识和承担售后服务的人员，有完善的销售服务和安全管理规章制度，有独立的法人资格，等等。关于商用密码产品销售登记备案制度，条例第十二条规定，销售商用密码产品，必须如实登记直接用户的名称、地址和产品用途等，报国家密码管理局备案。这样做，主要是为了便于管理部门了解和掌握情况，为商用密码的可持续发展以及制定符合实际的产业管理政策等，提供第一手资料。使用环节的制度措施使用环节的管理比较简单，针对不同的使用主体提出了不同的管理要求。对中国的单位和个人有两个方面的要求：一是使用国家密码管理机构认可的商用密码产品，不得使用自行研制或者境外生产的密码产品；二是不得转让商用密码产品，维修、报废、销毁商用密码产品应遵守相应的规定。对境外组织和个人而言，条例第十五条设定了密码产品使用审批制度。除了外国驻华外交代表机构和领事机构，境外组织或者个人在中国境内使用密码产品或者含有密码技术的设备，都要报经国家密码管理机构批准，同时也应遵守相应的规定。进出口环节的制度措施进出口环节的管理制度主要体现在两个方面：一是密码产品进口审批，二是商用密码产品出口审批。条例第十三条规定，进口密码产品以及含有密码技术的设备或者出口商用密码产品，必须报经国家密码管理机构批准。任何单位和个人不得销售境外的密码产品。也就是说，商用密码产品是允许进出口的，但必须要经过批准。大家可能已经注意到了，这里讲的是进口“密码产品”，出口“商用密码产品”，出现了两个概念。是的，在我国，将用于保护不涉及国家秘密信息的密码产品称为“商用密码产品”，这是一个密码产品分类的概念，对国外的 “密码产品”而言，这种分类的概念在多数情况下是不适用的，对于国家秘密，各国是有不同的标准和保护政策的。进出口环节的管理与我们海关的业务联系非常密切。近几年，针对密码产品进出口管理工作，国家密码管理局和海关总署一起开展了很多研究，制定了进出口管理的产品目录，明确了进出口审批的工作流程。下一步，我们还将研究制定密码产品进出口管理规定，通过修订商用密码管理条例，对进出口的相关条款进行细化，增强可操作性。3、商用密码安全、保密管理的相关要求条例第五章集中规定了商用密码安全、保密管理的相关要求，共有三条规定。条例第十七条规定了安全保密的一般要求。一方面，商用密码产品的科研、生产、销售、运输、保管都要有相应的安全保密措施；另一方面，掌握商用密码技术秘密的人员应当承担保密义务。为什么要这么规定？因为总则第三条第一句话就说：商用密码技术属于国家秘密。既然是“国家秘密”，当然就存在一个保守秘密的问题，对科研、生产、销售、运输、保管以及相关人员提出安全保密要求，也是理所应当的。大家在这里要区分一个概念，就是商用密码技术属于国家秘密（主要指算法、安全协议等），但商用密码产品并不是国家秘密。这就好比说，“可口可乐”这种饮料的配方是保密的，但“可口可乐”饮料并不保密一样。条例第十八条规定，宣传、公开展览商用密码产品，必须事先报国家密码管理机构批准，主要也是为了预防商用密码技术泄密。条例第十九条规定，任何单位和个人不得非法攻击商用密码，不得利用密码危害国家的安全和利益、危害社会治安或者进行其他违法犯罪活动。这里有两层意思：一是不得非法攻击。也就是未经国家相关部门的允许，不能对社会上正在使用的合法的商用密码及相关产品进行分析破解。比如：通过分析破解网上银行所采用的密码技术进行金融诈骗，通过分析破解社会上合法使用的储值卡非法获利，这些都是非法攻击商用密码的违法行为，都要受到法律的制裁。二是不得利用密码危害国家安全和利益、危害社会治安或者进行其他违法犯罪活动。为什么要这样规定？就是因为我们前面所说的密码属于“两用物项”，既可以被公民、法人和其他组织用来保护合法的敏感信息，也可能被犯罪分子所利用，保护非法信息，掩盖犯罪事实。所以，这样规定十分必要。4、违反商用密码管理法规的处罚措施条例第六章集中规定了对违反商用密码管理法规的处罚措施。这一章规定得比较仔细，在这一章里，明确了国家密码管理机构与工商、公安、国家安全、海关、保密等部门会同执法的处罚机制。条例设定的行政处罚共有五种：一是警告；二是罚款；三是没收密码产品和违法所得；四是撤销资质和吊销许可证；五是行政拘留。从行政处罚实施主体的角度来看，这些处罚包括三种情况：（1）由国家密码管理机构单独实施处罚，这种情况比较少，仅仅限于撤销商用密码指定科研、生产单位资格，吊销商用密码产品销售许可证的处罚；（2）由国家密码管理机构会同相关部门共同实施处罚，警告、罚款、没收密码产品、没收违法所得的处罚，都要根据不同情况，分别会同工商、公安、国家安全、海关、保密等部门共同实施，条例中绝大多数处罚都属于这种情况；（3）由国家安全机关单独实施处罚，比如泄露商用密码技术秘密、非法攻击商用密码，如果有危害国家安全的行为，则由国家安全机关予以行政拘留。此外，条例还规定，商用密码管理机构工作人员滥用职权、玩忽职守、徇私舞弊，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，依法给予行政处分。以上简要介绍了条例的主要内容。应该说，条例的大部分规定都比较原则，具体操作层面的内容比较少。也正因为如此，条例第二十六条授权国家密码管理机构可以依据本条例制定有关的具体管理规定，下面我们将要介绍的商用密码科研、生产、销售、使用等几个专项管理规定就是根据条例的这项授权而制定和公布的。（二）商用密码科研管理规定商用密码科研管理规定，是国家密码管理局为了加强商用密码科研管理，促进商用密码技术进步，根据商用密码管理条例制定的专项管理规定，核心内容主要包括以下四个方面： 1商用密码科研管理的范围界定科研管理规定第二条对商用密码科研管理范围作出了界定。规定“商用密码体制、协议、算法及其技术规范的科研活动适用本规定，学术和理论研究除外”。之所以制定这条规定，主要是因为商用密码科研活动的范围很广，而需要国家管理和规范的应该限于商用密码科研中涉及商用密码体制、协议、算法及其技术规范等深层次、基础性问题，对于一般性的密码学术研究、密码基础理论研究、密码教学研究、以及商用密码产品生产过程中普通的技术研究活动等等，就不必纳入国家商用密码管理范畴。 2科研定点单位资质管理的相关要求（1）规定了科研定点单位的指定条件和程序。按照行政许可法的要求，科研管理规定第五条、第六条明确规定了科研定点单位指定的条件和程序。国家密码管理局根据商用密码发展以及科研的需要，指定商用密码科研定点单位。指定的商用密码科研定点单位必须符合科研管理规定所确定的条件：具备独立法人资格;具有从事密码科研相应的力量和设备;能够采用先进的编码理论和技术，编制具有较高保密强度和抗攻击能力的商用密码算法。国家密码管理局指定科研定点单位原则上定期集中进行，并且要按科研管理规定所确定的程序进行指定。（2）规定了科研资质证书和期限。被指定为商用密码科研定点单位的，由国家密码管理局发给商用密码科研定点单位证书并予以公布。商用密码科研定点单位证书有效期为6年。（3）规定了科研定点单位年度考核制度。国家密码管理局对科研定点单位每年考核一次，考核不合格的，撤销其科研资质。（4）规定了企业情况发生变化时资质管理的相关要求。对于单位名称、住所、法定代表人变更的，因不影响定点单位的资质条件，只需办理换证或者备案手续就可以了。单位隶属关系、资本结构、科研能力等方面的变化，可能会导致其不再符合科研定点单位的资质条件，因此，要求定点单位将这些方面的变化情况报告国家密码管理局，国家密码管理局将对其科研定点单位资质重新进行认定。3科研项目及项目成果管理的相关要求在科研项目管理上，区分国家密码管理局下达项目和科研定点单位自选项目。对于下达项目，借鉴科技部等部门的做法，采用项目任务书的方式进行管理。国家密码管理局要与项目承担单位签订任务书，明确项目名称、设计要求、技术指标、进度要求、成果形式等内容。项目研制过程中，国家密码管理局还要对项目的进展情况进行检查。项目完成后，国家密码管理局组织专家进行评审验收。对于自选项目，只要求企业将在研项目报国家密码管理局备案即可，对于项目进展情况则不予干预。在项目成果管理上，不管是下达项目还是自选项目，成果的推广应用都由国家密码管理局决定并统一组织。未通过验收或鉴定的商用密码科研项目成果，不得投入应用。科研方面的专控管理集中体现在这一条上。4科研环节安全保密的相关要求第十五条至第十九条规定了科研环节的安全保密要求。这些要求，既有针对科研定点单位及其人员的，也有针对项目评审专家和密码管理部门工作人员的。这些规定，一方面是为了保护商用密码技术秘密，维护国家利益；另一方面也是为了保护科研定点单位的商业秘密，维护企业的合法权益。这些安全保密的环节包括：商用密码科研定点单位及其人员，应当对所接触和掌握的商用密码技术承担保密义务;商用密码科研定点单位应当建立健全保密规章制度，对其人员进行保密教育;商用密码科研活动应当在符合安全保密要求的环境中进行;商用密码技术资料应当由专人保管，并采取相应的保密措施，防止商用密码技术的泄露;商用密码科研定点单位不得雇用外籍人员或者境外人员参与商用密码科研活动;参与商用密码科研项目评审、管理的专家和工作人员，应当对研究内容、技术方案和科研成果承担保密义务。（三）商用密码产品生产管理规定商用密码产品生产管理规定，是国家密码管理局为了加强商用密码产品生产管理，规范商用密码产品生产活动，根据商用密码管理条例制定的专项管理规定，核心内容主要包括以下四个方面： 1生产定点单位资质管理的相关要求（1）规定了生产定点单位的指定条件和程序。与科研管理一样，生产定点单位也是由国家密码管理局指定的。国家密码管理局根据商用密码发展的需要，指定商用密码产品生产定点单位。指定的商用密码生产定点单位必须符合产品生产管理规定所确定的条件：具备独立的法人资格;具有与开发、生产商用密码产品相适应的技术力量和场所;具有确保商用密码产品质量的设备、生产工艺和质量保证体系，同时还要满足法律、行政法规规定的其它条件。国家密码管理局指定科研定点单位原则上定期集中进行，并且要按产品生产管理规定所确定的程序进行指定。需要说明的是，企业取得生产定点单位资质后，还应当在规定期限内到当地的工商行政管理部门办理许可经营项目登记手续。第九条对此做出了规定，这与工商行政管理法规的要求也是一致的。（2）规定了生产资质的期限。目前规定生产定点单位资质证书的有效期为3年。（3）规定了生产定点单位年度考核制度。国家密码管理局对生产定点单位每年考核一次，考核不合格的，撤销其生产资质。考核方式是要求生产定点单位在规定时间内填写考核材料，并交所在地的省区市密码管理机构。未在规定时间内填报考核材料的，将视为考核不合格。（4）规定了企业情况发生变化时资质管理的相关要求。单位名称、住所、法定代表人变更的，不影响定点单位的资质条件，只需在变更后持变更证明文件直接到所在地的省区市密码管理部门办理换证或者备案手续就可以了。生产定点单位破产、解散或者被撤销的，企业作为普通民事主体的资格已经不复存在，第十一条第三款规定，出现这些情况时，企业原持有的生产定点单位证书自行失效。2商用密码产品品种和型号的审批程序商用密码产品品种和型号审批是生产管理的一项重要内容。第十二条、第十三条对产品品种和型号审批的程序做出了具体规定。审批的具体步骤和时限，都是依据行政许可法的要求规定的。关于产品品种和型号审批，要说明的一点是，产品生产管理规定强化了密码算法管理，将“采用国家密码管理局认可的密码算法”作为产品品种和型号审批的一个前提条件。第十二条第三款规定“商用密码产品所采用的密码算法应当是国家密码管理局认可的算法”。这是因为，密码算法是商用密码产品的关键，对于产品技术标准的制定与实施、产品之间的互联互通以及信息安全等级保护等都起着至关重要的作用。这一条规定反映了商用密码管理工作的实际需要，与条例的基本精神也是一致的。3商用密码产品质量管理的相关要求关于商用密码产品质量管理，产品生产管理规定第十五条对产品认证和质量检测同时做出了规定。对于列入强制性认证目录的商用密码产品，一律按照强制性认证的要求进行管理，需要经国家指定的认证机构认证合格；暂未列入强制性认证目录的产品，由国家指定的质量检测机构检测合格。因此，关于商用密码产品质量管理，采用的是“双轨制”。强制认证与产品质量检测两种管理方式并存。4生产环节安全保密的相关要求第十六条至第二十条规定了商用密码生产安全保密的具体要求。与科研环节的要求类似，既有针对生产定点单位及其人员的要求，也有针对专家和密码管理部门工作人员的要求。（四）商用密码产品销售管理规定商用密码产品销售管理规定，是国家密码管理局为了加强商用密码产品销售管理，规范商用密码产品销售行为，根据商用密码管理条例制定的专项管理规定，核心内容主要包括以下三个方面： 1销售许可单位资质管理的相关要求（1）规定了销售许可单位的审批条件和程序。国家对商用密码产品的销售实行许可制度，销售商用密码产品应当取得销售许可证。销售资质的取得方式与科研资质和生产资质不同，销售资质不是通过国家密码管理局的指定取得的，而是通过申领销售许可证取得的，这是一个典型的行政许可项目。销售管理规定依据行政许可法和条例的规定，具体规定了销售许可单位的审批条件和审批步骤、时限等。企业取得销售许可证后，同样也应当在规定期限内，到当地工商行政管理部门办理许可经营项目登记手续。目前，我们已经按照行政许可法的要求，在“国家商用密码管理办公室”网站上公布了销售许可单位的名单。（2）规定了销售资质的期限。与生产资质一样，销售许可证有效期也是3年。资质到期后，如果想继续从事商用密码产品销售活动的，应当按照行政许可法的有关规定，提前30日申请延续。如果没有申请延续，资质有效期届满后，就不能再销售商用密码产品了，国家密码管理局公布的销售许可单位名单中也将删去该单位。（3）规定了企业情况发生变化时资质管理的相关要求。单位名称、住所、法定代表人变更的，到所在地的省区市密码管理机构办理换证或者备案手续就可以了。单位破产、解散或者被撤销的，企业作为普通民事主体的资格已经不复存在，企业原持有的销售许可证也就自行失效。这条与生产资质管理的规定也是一致的。销售管理规定还对销售许可单位设立分支机构的问题做出规定，设立分支机构不需要重新申领销售许可证，只需要到分支机构所在地的省区市密码管理部门办理备案手续就可以了。2商用密码产品销售管理的相关要求销售管理规定第十三条至第十六条规定了商用密码产品销售管理的具体要求。其中最主要的要求是：第一，销售的产品必须是通过强制性认证或者经质量检测合格的产品;第二，商用密码产品销售许可单位不得销售境外研制生产的密码产品;第三，应当如实登记商用密码产品直接用户的相关信息并报密码管理部门备案;第四，商用密码产品销售许可单位将商用密码产品销售给在华的境外组织或者个人的，应当核验其持有的密码产品准用证;第五，商用密码产品销往境外的，按照密码产品出口管理规定办理。3销售环节安全保密的相关要求销售管理规定第十七条至第二十条，规定了商用密码销售安全保密的具体要求。主要是三个方面：一是宣传、展览商用密码产品须事先报批；二是销售、运输、保管商用密码产品应采取妥善安全措施；三是商用密码产品销售许可单位应当严格执行安全保密管理制度，对其人员进行保密教育。（五）商用密码产品使用管理规定商用密码产品使用管理规定，是国家密码管理局为规范商用密码产品使用行为，根据商用密码管理条例制定的专项管理规定，核心内容主要包括以下三个方面：1商用密码产品的使用主体和使用范围商用密码管理条例对商用密码产品的使用主体没有做出限定，也就是说，任何单位和个人，无论是我国的党政机关、企事业单位、社会团体、民间组织、公民个人，还是在华的境外组织、外国人，都可以合法使用商用密码产品。所谓“合法使用”，包括两个方面的含义：一是商用密码产品应当用于对不涉及国家秘密内容的信息进行加密保护或者安全认证。反过来说，如果用商用密码产品传输和保护具有国家秘密内容的信息，就超出了合法使用的范围。二是商用密码产品只能在合法的生产、经营、办公、学习等活动中使用，如果在违法犯罪活动中使用商用密码产品，也超出了合法使用的范围。关于商用密码产品的使用主体和使用范围，多数人在认识上可能会存在一个误区，认为商用密码产品是商业活动中使用的产品，只能用于保护商业信息，党政机关在政务活动中使用不合适。这个误区可能是由商用密码产品概念本身造成的，与我们管理部门的宣传解释不够也有一定关系。实际上我们对商用密码的使用主体是没有限定的，县乡党政机关等不少单位已经开始在政务活动中大量使用商用密码来保护非涉密敏感信息。2外商投资企业使用境外密码产品的审批条件、审批程序和相关要求（1）允许外商投资企业使用境外密码产品商用密码产品使用管理规定中的外商投资企业，主要是指中外合资经营企业、中外合作经营企业、外资企业、外商投资股份有限公司四种形式。为什么将外商投资企业使用密码的行为作出专门的规定呢？这是因为，随着信息技术的不断发展和国际经贸合作的日益密切，国内外贸易伙伴使用密码产品保护敏感信息的需求与日俱增，为了满足了国内外贸易伙伴之间密码通信互联互通的需求，经中央密码工作领导小组批准，在严格商用密码管理的同时，允许外商投资企业有条件地使用境外生产的密码产品，但必须按照规定的程序办理准用证。（2）外商投资企业使用境外密码产品的审批条件和程序关于外商投资企业使用境外生产的密码产品的审批条件，商用密码产品使用管理规定第九条规定：外商投资企业确因业务需要，必须使用境外生产的密码产品与境外进行互联互通的，经国家密码管理局批准，可以使用境外生产的密码产品。应该说这个条件是比较严格的，只有在有互联互通需求并且只能依靠境外生产的密码产品才能完成的情况下，外商投资企业才能申请使用境外密码产品。关于外商投资企业申请使用境外密码产品的审批程序，与我们前面提到的几个审批程序基本上是一致的，都是严格按照行政许可法规定的，包括提出申请、受理与初审、核准等几个步骤，在此我就不再详细介绍了。需要特别说明的是，如果外商投资企业申请使用的密码产品需要从境外进口，在申领准用证的同时，还应当申请办理密码产品进口许可证。如果国家密码管理局批准使用境外生产的密码产品，在发给准用证的同时，就会发给密码产品进口许可证。密码产品入境时，外商投资企业应当向海关如实申报并提交密码产品进口许可证，海关凭此办理验放手续。（3）外商投资企业使用境外密码产品的相关要求外商投资企业使用境外密码产品应遵守以下四个方面的要求：一是合法使用产品，不得利用密码产品进行违法犯罪活动。二是相关情况变化时应及时更换准用证。三是终止使用境外密码产品的应及时交回准用证。四是不得转让密码产品。3关于商用密码用户应履行的法律义务根据商用密码管理条例和商用密码产品使用管理规定，使用商用密码产品的中国公民、法人和其他组织应遵守下列几个方面的规定：（1）合法使用商用密码产品用户可以根据自身需要选用商用密码产品，法律不予限制。但用户应当遵守国家法律，不得损害国家利益、社会公共利益和其他公民的合法权益，不得利用商用密码产品进行违法犯罪活动。（2）必须使用合法产品什么是合法产品？按照条例的说法就是“国家密码管理机构认可的商用密码产品”，按照使用管理规定的说法就是“国家密码管理局准予销售的商用密码产品”。所谓“准予销售的商用密码产品”，从目前的情况看，包含两种情况：对于尚未列入强制性认证目录的商用密码产品，只要该产品通过了国家密码管理局商用密码产品品种和型号审批，经检测合格就行了；对于已经列入强制性认证目录的商用密码产品，除了要通过国家密码管理局商用密码产品品种和型号审批外，还必须通过强制性认证。（3）购买产品要出示本人身份证并提供用户相关信息购买商用密码产品应当向商用密码产品销售许可单位出示本人身份证，说明直接使用商用密码产品的用户名称（姓名）、地址（住址）以及产品用途、用户组织机构代码证（居民身份证）复印件等。这个要求与销售管理规定中的销售登记备案制度相对应，目的是为了掌握商用密码产品的去向和用途，使管理部门做到心中有数。（4）要到生产定点单位或销售许可单位维修产品商用密码管理条例第十六条规定，“商用密码产品发生故障，必须由国家密码管理机构指定的单位维修”。这条规定比较笼统，不是很明确。在使用管理规定中提出了明确要求，即商用密码产品发生故障需要维修的，应当交该产品的生产单位或销售单位进行维修。（5）不得转让其使用的密码产品如果允许用户之间转让产品，商用密码产品销售登记制度就会失去实际意义，密码管理部门就不能掌握产品的真实去向和用途，因此，使用管理规定规定用户不得转让其产品。（六）境外组织和个人在华使用密码产品管理办法境外组织和个人在华使用密码产品管理办法，是国家密码管理局为了规范境外组织和个人在中国境内使用密码产品以及含有密码技术的设备的行为，根据商用密码管理条例制定的专项管理规定，核心内容主要包括以下三个方面： 1境外组织和个人在华使用密码产品管理办法的适用范围管理办法第二条规定：境外组织和个人在中国境内使用密码产品的行为适用本办法。外国驻华使馆、领事机构，国际组织驻华代表机构等享有相应特权和豁免权的机构除外。这里所说的密码产品既包括境外密码产品，也包括我国生产的商用密码产品。关于适用主体，管理办法分别从三个角度对其做出了规定：（1）分别定义了“境外组织”和“境外个人”两个概念境外组织和个人的概念在法律上比较常见，但没有完全统一的界定。管理办法根据我国密码管理实际，借鉴其他法律法规的通常做法，分别界定了“境外组织”和“境外个人”两个概念。管理办法第三条规定，本办法所称境外组织，是指依照外国法律在中国境外成立的组织，包括这些组织在中国境内设立的分支机构、办事机构、代表机构等；本办法所称境外个人，是指依照中华人民共和国国籍法不具有中国国籍的人。（2）明确规定某些组织不适用本办法条例第十五条规定，境外组织和个人在华使用密码产品应报国家密码管理机构批准，同时将“外国驻华外交代表机构、领事机构”排除在外。大家知道，外交特权和豁免权是一个国际惯例，外交代表机构为了公务目的，可以与其本国政府等相关机构自由通信，而且可以采取包括密码通信在内的任何适当方法，他们使用密码的行为不受所在地法律管辖。管理办法从条例的立法原意出发，进一步明确了不适用我国密码管理法规的境外组织，规定“外国驻华使馆、领事机构，国际组织驻华代表机构等享有相应特权和豁免权的机构”不适用本办法。（3）明确规定某些组