本书是一本面向监管执法机构和企事业单位的双视角实用指南，构建了“规范体系脉络—监管执法思路—合规实践指引”三位一体的知识闭环体系。本书内容全面、权威，涵盖了当前中国网络安全与数据治理的十二大热点与重点领域，包含：网络安全等级保护、关键信息基础设施安全、ICT供应链安全、数据安全、数据出境安全管理、个人信息保护、网络安全审查、商用密码管理、网络安全漏洞管理、电信网络诈骗治理、人工智能安全、网络信息安全。本书打造的“双目标”价值，为监管执法机构和人员提供系统化的执法参考，同时为企业及其合规管理人员提供可操作的合规落地指南，从而架起一座沟通的智慧之桥。

第一编 行政执法与监管合规总论

第一章 网络与数据安全行政执法概述
？ 第一节 网络与数据安全行政执法的必要性
？ 第二节 网络与数据安全行政执法实体性依据
？ 第三节 网络与数据安全行政执法程序性规范
？ 第四节 行政执法与监督管理的关系
？ 第五节 网络与数据安全行政执法类型
第二章 我国网络与数据安全行政执法成效

？ 第一节 网络和数据安全行政执法情况
？ 第二节 网络和数据安全行政执法特点

第二编 网络与数据安全合规分领域

第三章 网络安全等级保护合规

？ 第一节 网络安全等级保护法律规范体系、要求与法律责任
？ 第二节 典型执法
？ 第三节 合规重点

第四章 关键信息基础设施安全保护合规

？ 第一节 关键信息基础设施安全保护法律规范体系、要求与法律责任
？ 第二节 典型案例
？ 第三节 合规展望

第五章 ICT供应链安全合规

？ 第一节 供应链安全规范体系与要求
？ 第二节 典型案例
？ 第三节 合规重点

第六章 数据安全保护合规

？ 第一节 数据安全保护法律规范体系、要求与法律责任
？ 第二节 典型案例
？ 第三节 合规展望

第七章 数据出境管理合规

？ 第一节 数据出境管理法律规范体系、要求与法律责任
？ 第二节 制度实践现状
？ 第三节 合规重点

第八章 个人信息保护合规

？ 第一节 个人信息保护法律规范体系、要求与法律责任
？ 第二节 典型案例
？ 第三节 合规重点

第九章 网络安全审查合规

？ 第一节 网络安全审查法律规范体系、要求与法律责任
？ 第二节 典型案例
？ 第三节 合规重点

第十章 商用密码管理合规

？ 第一节 商用密码管理法律规范体系、要求与法律责任
？ 第二节 典型案例
？ 第三节 合规重点

第十一章 网络安全漏洞管理合规

？ 第一节 网络安全漏洞管理法律规范体系、要求与法律责任
？ 第二节 典型案例
？ 第三节 合规重点

第十二章 电信网络诈骗治理合规

？ 第一节 电信网络诈骗治理法律规范体系、要求与法律责任
？ 第二节 典型案例
？ 第三节 合规重点

第十三章 人工智能安全合规

？ 第一节 法律法规
？ 第二节 执法司法情况
？ 第三节 合规重点

第十四章 网络信息安全合规

？ 第一节 网络信息安全法律规范体系、要求与法律责任
？ 第二节 典型执法
？ 第三节 合规重点

附件 供应链安全行政执法工作指引

第十章商用密码管理合规

1993年，中央政治局召开会议。会上提出对商用领域密码进行管理，密码分类也增加了第三类“商用密码”，商用密码管理机制正式确立。1996年，中央办公厅印发的《关于发展商用密码和加强对商用密码管理工作的通知》，确立商用密码发展和管理方针。1999年，《商用密码管理条例》制定实施。2019年《密码法》发布之后，我国商用密码管理的立法进入快速发展期，商用密码检测认证、应用安全性评估进口许可和出口管制、电子政务电子认证、使用商用密码的国家安全审查等重要制度的配套法规不断完善。2023年，新的《商用密码管理条例》发布实施。这标志着我国商用密码领域立法又一实质飞跃，我国商用密码执法也将进入新的阶段。

第一节 商用密码管理法律规范体系、要求与法律责任

2019年，我国将党管密码的历史经验转化为密码领域的综合性、基础性立法，正式颁布《密码法》。该法设计了诸多回应“时代命题”的密码管理制度，全面重塑了具有中国特色的密码管理体系，开启了中国密码法治的新纪元。《密码法》构建了完整的商用密码管理制度规则，在指导下位法制定完善方面产生了深远影响。《密码法》颁布两年来国家密码管理部门积极构建以《密码法》为核心的密码法律制度体系，全力打造依法依规推进密码管理的新格局。

2023年4月27日，新的《商用密码管理条例》正式发布，自7月1日起实施。《商用密码管理条例》细化《密码法》规定的商用密码重要制度，专门设置检测认证、电子认证、进出口、应用促进章节，进一步完善制度要求，提高法律的可操作性。《商用密码管理条例》对商用密码检测机构、商用密码认证机构、电子认证服务机构、电子政务电子认证服务机构、进出口经营者、关键信息基础设施运营者、网络运营者等主体提出明确的强制性要求。违反规定的，需要承担相应的法律责任。

一、执法事项和依据

为深入贯彻行政审批改革精神和《密码法》《商用密码管理条例》的各项制度要求，国家密码管理局、商务部、海关总署、市场监管总局、国务院办公厅等部门发布多个商用密码管理相关规范性文件，为依法行政开启新局面。

（一）行政审批
2023年11月，国家密码管理局发布行政许可事项清单，由国家密码管理局负责实施的商用密码行政许可包括四项，具体如下：1.商用密码技术审查鉴定，许可对象为企业、事业单位，公民；2.商用密码检测机构资质认定，许可对象为企业、事业单位。资质认定包括两个子项，即商用密码产品检测业务和商用密码应用安全性评估业务：3.电子认证服务使用密码许可，许可对象为企业；4.电子政务电子认证服务机构资质认定，许可对象为企业、事业单位。

国务院办公厅2023年3月公布的《法律、行政法规、国务院决定设定的行政许可事项清单》，对商用密码领域的行政许可事项和实施部门进行了如下细化和补充：对属于《商用密码进口许可清单》和《商用密码出口管制清单》的商用密码，进出口需要获得商务部批准的两用物项和技术进出口许可证，商用密码认证机构需要获得市场监管总局批准的认证机构许可证，电子认证服务需要获得工业和信息化部批准的相关电子认证服务许可证。

本书由国内在网络与数据安全法学和法律问题研究、执法实践支撑、合规实务管理等方面具有深厚功底的五家单位联合策划推出。作为深耕该领域多年且兼具情怀与使命感的一群从业者，我们深刻认识到只有将监管的刚性约束与合规的柔性治理有机结合，才能高质量构筑起网络与数据安全的防线。

本书的特色在于立足行政执法视角，构建“规范体系脉络—监管执法思路—合规实践指引”三位一体的知识体系。同时，为企业合规建设提供了可操作的方法论，从组织搭建、流程设计到工具应用，从数据全生命周期管理到重点场景合规指引，均给出了详细的解决方案。针对人工智能、网络安全漏洞、网络安全审查、商用密码应用、数据出境、供应链等领域的监管与合规难题，我们也进行了探讨，力求为行业发展提供前瞻性的思路。