本书是一部聚焦商用密码政策法律使用的工具书，主要围绕2023年修订的《商用密码管理条例》，逐条展开专业释义，直观展示条文主旨、核心概念，并辅以境内外相关立法参照，力图多维度、全视角呈现立法原意。本书通过条文内容的系统导入、深度剖析与适当展开，以期提供完整、准确的解读，协助读者构建商用密码管理的法律知识体系，提升密码安全意识。同时，本书亦系统汇编了中国现行有效的网络与数据安全、密码安全方面的法律法规，便于读者快速、便捷地进行商用密码相关的法律检索。

第一编 《商用密码管理条例》释义

第一章 总则
第一条 【立法目的】
第二条 【适用范围】
……

第二章 科技创新与标准化
……

……

第九章 附则
第六十七条 【施行日期】

第二编 我国境内密码法律汇编
第十章 法律
中华人民共和国密码法
中华人民共和国反恐怖主义法
中华人民共和国电子安全法
中华人民共和国网络安全法（节录）
中华人民共和国数据安全法（节录）
中华人民共和国个人信息保护法（节录）
……
（11 部）

第十一章 行政法规
商用密码管理条例
关键信息基础设施安全保护条例（节录）
……
（7 部）

第十二章 部门规章
商用密码检测机构管理办法
商用密码应用安全性评估管理办法
……
（7 部）

第五十二条【商用密码认证机构违法的法律责任】

商用密码认证机构开展商用密码认证，有下列情形之一的，由市场监督管理部门会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得;违法所得30万元以上的，可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的，可以并处10万元以上30万元以下罚款;情节严重的，依法吊销商用密码认证机构资质:
(一)超出批准范围;
(二)存在影响认证独立、公正、诚信的行为;
(三)出具的认证结论虚假或者失实;
(四)未对其认证的商用密码产品、服务、管理体系实施有效的跟踪调查;
(五)未履行保密义务;
(六)其他违反法律、行政法规和商用密码认证技术规范、规则开展商用密码认证的情形。

【本条主旨】
本条是商用密码认证机构违法开展商用密码认证活动的法律责任规定。

【核心概念】
超出批准范围，影响认证独立、公正、诚信的行为，虚假或者失实，保密义务。

【条文详解】
一、违法行为

本条规定了商用密码认证机构开展认证活动中涉及的违法行为与商用密码检测机构的违法行为类似，也包括六项，其中第六项为兜底规定。

其他违反行政法规的情形，主要包括违反《认证认可条例》的情形。该条例明确的违法行为还包括增加、减少、遗漏认证基本规范、认证规则规定的程序;发现其认证的产品、服务、管理体系不蔴能持续符合认证要求，不及时暂停其使用或者撤销认证证书并予公布;聘用未经认可机构注册的人员从事认证活动;未公开认证基本规范、认证规则、收费标准等信息;未对认证过程作出完整记录，归档留存等。

二、处罚措施

本条的处罚规定与《密码法》第三十五条保持一致，分为两档:一是责令改正或者停止违法行为，给予警告，没收违法所得。若违法所得30万元以上的，可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的，可以并处10万元以上30万元以下罚款。二是情节严重的，依法吊销商用密码检测机构资质。
此外，《认证认可条例》针对认证机构的违法行为也规定了相应的处罚，且具有更为细化的处罚阶次。

三、处罚主体

本条的执法主体是市场监督管理部门和密码管理部门。

【境内立法参照】
《密码法》第三十五条、《认证认可条例》(2023修订)第六章

序言

囿于密码技术的高度专业性特质，密码法治在法学研究领域内嫌生和乎仍属于颇为小众的“边缘学科”。。由于密码蕴含的神秘色彩，密码法治无疑是贯穿整个20世纪*富魅力的法学议题之一，并且在进入21世纪后，其重要性愈发显著。密码技术的“两用物项”属性天然决定了探寻其应然法治路径的复杂性，技术的“两面性”迫使各国决策者必须充分考虑国家安全、社会稳定、产业发展和隐私保护等各种法益的复杂博弈和兼容问题。全球数字化转型加速背景下嵯是中要国家和地区的密码法治也进一步调整:一方面凸显创造更安全的数据流动环境、更有利的贸易促进措施以赋能各国数字经济发展的特点;另一方面也呈现出基于密码技术提升国家科技实力和国家安全保障能力的趋势。

密码是党和国家的重要战略资源，直接关系国家政治安全、经济安全、国防安全和信息安全。我国历来高度重视密码工作，始终将其作为维护国家安全和人民利益的一项基础性工作，密码相关政澇日的年在我国密码管理工作中起到了至关重要的作用。1993年，中共中央政治局召开会议，提出对商用领域密码进行管理，随后密码分类增加了第三类“商用密码”。1996年，国家决定大力发展商用密码，加强对商用密码的管理。党中央印发《关于发展商用密码和加强对商用密码管理工作的通知》，随后商用密码发展和管理方针。1999年，国务院颁布施行《商用密码管理条例》，“商用密码”的名称开始为社会所熟知和广泛使用。此后，中央文件、党内法规及国家密码管理局制定发布的规范性文件均采用“商用密码”这一名称。1999年《商用密码管理条例》不仅奠定了我国基于商用密码生命周期的基本管理格局，也是彼时顺应国际上密码民用化重大转变和数字贸易的早期需求。

百年变局之下，密码管理范式新变革的需求现实更迫切。2019年10月26日，第十三届全国人大常委会第十四次会议审议通过《中华人民共和国密码法》(以下简称《密码法》)，自2020年1月1日起正式施行。《密码法》以总体国家安全观为指导，确立了诸多回应时代命题的密码管理制度，全面重塑具有中国特色的密码管理体系，为加强新时代密码工作提供了强大的法律武器，开启了中国密码法治新纪元。尤其是，《密码法》按照分类管理原则，将密码分为核心密码、普通密码和商业密码，并分章作出专门规定，有效回应了在统一管理模式下哪类密码可以被社会化利用的社会关注。

商用密码用于保护不属于国家秘密的信息，是密码面向社会面向市场的主要阵地和领域。从社会生产生活实践来看，人民群众日常生活所需的身份认证、交易支付、个人信息保护、通信往来环节背后都有《密码法》意义上的密码使用，重要网络与信息系统关键信息基础设施、网络数据离不开密码保护，云计算、大数据5G、物联网、数据要素流通、人工智能、区块链、量子通信、数字货币等新技术、新业态也与密码紧密相关。

2023年7月1日，新修订的《商用密码管理条例》(以下简称《条例》)正式施行。《条例》衔接并细化了《密码法》有关商用的规定，明确总体国家安全观在商用密码工作中的指导地位，将商用密码技术和应用能力从1999年《商用密码管理条例》国家秘密的定性中“释放”出来，同时总结其部分成熟经验与新时代十年实践成果，确立商用密码使用、应用和管理的法治规则。《条例》系统规范商用密码科研、生产、销售、服务、检测、认证、进出口、应用等生命周期活动，重点关注商用密码技术审查鉴定、检测认证、进出口、应用安全性评估等制度，形成了兼具密码技术共性和中国技术特性的商用密码制度创新体系。此后，《商用密码检测机构管理办法》《商用密码应用安全性评估管理办法》《电子政务电子认证服务管理办法》等多部配套规章相继出台，商用密码管理制度更具可操作性。

客观而言，无论是从政府监管的宏观视角，还是从企业合规的微观层面来审视，商用密码的法治实践都是一项颇具挑战性的工作普法和释法任务依然相对艰巨。随着《条例》的深入贯彻落实，密码从业人员、密码研究人员，尤其是网络运营者、关键信息基础设施运营者、网络数据处理者、个人信息处理者等不同主体，应当充分了解商用密码相关制度要求，正确、合规、有效使用商用密码产品、技术与服务，实现网络与信息安全。鉴于此，本书主要聚焦解释《条例》，将其放置于大网络安全格局中，结合《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》等网络空间法律体系，从条款主旨核心概念、主要内容等方面进行解析。同时，援引境外相关规定，包括国外法律、国际条约与协定等相关内容，完成比较法研究应当具备的基本要求，并寻求在法律的审慎稳定和政策的灵活弹性变化之中达到平衡。

法治兴则民族兴，法治强则国家强。”贯彻落实法律法规，推进密码法治创新，需要汇聚政产学研用各方力量，协调法治引领与产业发展，共同推动密码普法宣传、密码人才培养、密码融合应用、执法能力建设、多部门协作机制建立等工作。我国正致力于构建并践行一个更为深刻、全面且科学的商用密码法治发展体系。一个商用密码法治实践繁荣发展的新时代，值得身为法律工作者的我们在这个看似小众实则影响深远的领域持续努力，也值得政产学研用的密码界同仁们一起奋斗并见证。

因水平所限，本书难免存在疏漏与不足之处，恳请读者批评指正。

是为序。

编写组
2025年5月