商用密码行业市场监管办法(试行)
- 来源:
- 日期:2016-03-17 03:15
吉林省密码管理局商用密码行业市场监管办法(试行)
为贯彻落实《吉林省人民政府办公厅关于加强商事制度改革后续市场监管工作的实施意见》,进一步细化工作配套措施,强化部门协同联动,完善市场监管体系,加强事中事后监管,结合我省实际,制定本办法。
一、监管职责
吉林省密码管理局受国家密码管理局委托,承担吉林省的商用密码管理工作,对吉林省辖区内的商用密码产品的生产、销售和使用实施专控管理。主要监管内容如下:
1.监督管理本地区商用密码从业单位,对从业单位在商用密码产品生产、销售、运输、保管过程中违反安全、保密规定的,给予警告,责令立即改正,造成严重后果的,撤销其商用密码产品生产定点单位资质,吊销商用密码产品销售许可证。
2.商用密码产品必须由国家密码管理机构指定的单位生产。未经指定,任何单位或者个人不得生产商用密码产品。对未经指定擅自生产商用密码产品的,没收密码产品,有违法所得的没收违法所得;情节严重的,并处违法所得1至3倍的罚款。
3.商用密码产品必须由国家密码管理机构许可的单位销售,对未经许可擅自销售商用密码产品的,没收密码产品,有违法所得的没收违法所得;情节严重的,并处违法所得1至3倍的罚款。
4.中国公民、法人和其他组织只能使用国家密码管理机构准予销售的商用密码产品,对使用自行研制的或者境外生产的密码产品,给予警告,责令立即改正,情节严重的没收其密码产品。
5.协助国家密码管理局承办本地区商用密码产品生产单位的指定和销售许可单位的审批工作。定期考核商用密码产品生产定点单位,考核不合格的报请国家密码管理局撤销其商用密码产品生产定点单位资质。对商用密码相关资质有效期届满或者被依法撤销、吊销的从业单位,继续从事商用密码生产经营的行为进行查处。
6.商用密码产品生产定点单位生产的商用密码产品,必须经国家密码管理机构批准。对商用密码产品定点生产单位超过批准范围生产商用密码产品的,没收密码产品,有违法所得的没收违法所得;情节严重的,并处违法所得1至3倍的罚款;造成严重后果的,撤销其商用密码产品生产定点单位资质,吊销商用密码产品销售许可证。
7.境外组织或个人在中国境内使用密码产品或者含有密码技术的设备,必须报经国家密码管理机构批准。省密码管理局受理本地区的境外组织或个人使用密码产品或者含有密码技术的设备的申报。对未经批准,擅自使用密码产品或者含有密码技术的设备的,给予警告,责令改正,可以并处没收密码产品或者含有密码技术的设备。
8.进口密码产品以及含有密码技术的设备或者出口商用密码产品,必须报经国家密码管理机构批准。任何单位或个人不得销售境外的密码产品。对未经批准,擅自进口密码产品以及含有密码技术的设备、出口商用密码产品或者销售境外的密码产品的,没收密码产品或者含有密码技术的设备,责令改正,有违法所得的,没收违法所得;情节严重的,可以并处违法所得1至3倍的罚款。商用密码从业单位有上述行为,造成严重后果的,撤销其商用密码产品生产定点单位资质,吊销商用密码产品销售许可证。
9.对我省电子认证服务提供者使用密码的行为实施监督检查;对我省电子政务电子认证服务活动实施监督检查,定期对电子政务电子认证服务机构进行评估,监督检查省外电子政务电子认证服务机构跨区域开展的电子政务电子认证服务。评估不合格的,撤销其电子政务电子认证服务资格。
10.商用密码信息系统测评工作由国家密码管理机构指定的测评机构承担,对未经指定擅自对信息系统中的密码进行测评和监控的行为进行查处,对信息安全等级保护商用密码测评机构未按照《信息安全等级保护商用密码技术要求》及相关规范进行测评的行为进行查处。
11.对泄露商用密码技术秘密、非法攻击商用密码或者利用商用密码从事危害国家安全和利益的活动,情节严重,构成犯罪的,依法追究刑事责任。不构成犯罪的,由省密码管理局会同有关部门没收其使用的商用密码产品,对有危害国家安全行为的,由国家安全机关依法处以行政拘留;属于国家工作人员的,并依法给予行政处分。
二、监管依据
1.《商用密码管理条例》;
2.《中华人民共和国电子签名法》;
3.《商用密码产品生产管理规定》;
4.《商用密码产品销售管理规定》;
5.《商用密码产品使用管理规定》;
6.《境外组织和个人在华使用密码产品管理办法》;
7.《电子认证服务密码管理办法》;
8.《商用密码行政处罚实施办法(试行)》;
9.《电子政务电子认证服务管理办法(试行)》;
10.《信息安全等级保护管理办法》;
11.《信息安全等级保护商用密码管理办法》;
12.其他相关法律、法规和规定。
三、内部监管工作机制
吉林省的商用密码管理工作主要由吉林省密码管理局商用密码管理处负责,各地区密码管理机构对工作中发现的问题,报省密码管理局,视情节严重程度上报国家密码管理局。
(一)监管原则和频次要求
市场主体是商用密码产品生产和销售行为的第一责任人,国家对商用密码产品实施专控管理,市场主体从事商用密码产品生产和销售行为,依法取得商用密码相关资质后方可从事生产和销售活动。
各地区密码管理机构对发现的违规行为及时上报,由省密码管理局依法处理。
省密码管理局每年定期对商用密码产品生产定点单位进行年度考核,对电子政务电子认证服务机构进行年度评估,对其有违法行为、不满足考核评估条件的单位上报国家密码管理机构撤销其相关资质。
对流通环节,每年不定期进行一次随机抽查,实施一次监督(形式自定)。
(二)监督形式和要求
1.现场监督检查。商用密码产品生产环节监督检查,主要包括商用密码产品生产定点单位的主体资格、科研队伍、生产环境和规章制度落实情况的检查。商用密码产品销售环节监督检查,主要包括商用密码产品销售许可单位的主体资格、经营场所、服务队伍、备案信息和规章制度落实情况的检查。电子认证服务环节监督检查主要包括电子认证服务提供者的主体资格、经营场所和规章制度落实情况,电子政务电子认证服务机构的机构名称、住所、法人代表、股本结构或事业单位隶属关系、服务能力和规章制度落实情况进行评估。
2.日常抽查。对有下列情形之一的可进行不定期抽查:
(1)根据有关单位和个人举报的;
(2)根据有关部门通报的;
(3)因其他原因需要进行不定期抽查的。
抽查工作应当由2名(含2名)以上执法人员(可由主管部门委托)按照相关规定开展。
3.安全隐患排查。安全隐患排查方式主要是日常监管为主。根据上级密码管理机构要求或者行业实际需要,不定期开展相关检查工作。
4.约谈负责人。生产经营中存在安全隐患未及时采取相应措施的,或者发生重大安全事故的,或者经营管理混乱的,监管部门可以对商用密码从业单位的法定代表人或者主要负责人进行责任约谈。
5.检查自查报告。依据从事商用密码产品生产经营单位的年度自查报告,对该单位进行逐项核查,对违反有关规定的,监管部门可责令整改并提交整改报告。
6.安全宣传和培训教育。密码管理机构督促商用密码从业单位定期对从业人员进行安全教育,提高保密意识,完善各项保密制度,确保严格遵守国家有关规定不发生失泄密事故。
四、信用监管措施
(一)企业信用信息公示系统(吉林)信息应用
1.密码管理机构应当在每月10日前从企业信用信息公示系统(吉林)提取市场主体信息,并根据实际情况及时开展后续监管。
2.密码管理机构应在办理商用密码相关资质后20个工作日内,将行政许可取得、变更和延期等信息通过企业信用信息公示系统(吉林)向社会公示。
3.密码管理机构应当对新登记市场主体是否实际从事商用密码相关经营情况进行核查,并做好记录。对只登记从事商用密码相关一项经营事项的,应当在6个月内进行核查;对同时还登记了其他经营事项的,应当在1年内进行核查;在每个月25日前将市场主体核查信息录入企业信用信息公示系统(吉林),并在下一季度5个工作日内将上一季度核查情况及处理情况汇总报省级密码管理机构。
4.密码管理机构负责无证从事商用密码相关生产经营违法行为的查处。监管部门在日常检查、投诉举报、其他部门移送案件线索中发现市场主体未经许可擅自从事商用密码相关生产经营的,应当依法予以查处;涉嫌违法犯罪的,应当依法移交公安部门。
5.密码管理机构应当在做出行政处罚决定之日起20个工作日内,将行政处罚信息通过企业信用信息公示系统(吉林)向社会公示。
6.建立市场主体信用约束机制,在实施商用密码相关资质审批时,被载入经营异常名录和严重违法企业名单的主体及其相关责任人员依法予以限制或者禁入。
(二)实施商用密码行业黑名单制度
1.商用密码产品经营者有下列情形之一,且被追究行政责任或者刑事责任的,列入“商用密码行业黑名单”。
(1)因商用密码产品生产经营违法行为被追究刑事责任的;
(2)伪造商用密码产品产地,伪造或者冒用其他厂名、厂址的,伪造或者冒用认证标志等质量标志的;
(3)伪造商用密码产品型号证书的;
(4)伪造或者虚假标注商用密码产品的生产日期、审批型号的;
(5)以欺诈、贿赂等不正当手段取得商用密码产品生产资质、商用密码产品销售许可的;
(6)因商用密码产品生产经营违法行为被撤销商用密码产品生产资质和商用密码产品销售许可的;
(7)经商用密码检测机构检测不合格的产品而继续生产销售的;
(8)其他违背诚信经营义务,造成不良社会影响的违法行为。
2.对拟列入“商用密码行业黑名单”的生产经营者,监管部门应当集体讨论决定。
3.对纳入“商用密码行业黑名单”的生产经营者,由密码管理机构通过企业信用信息公示系统(吉林)对外公布,并记入市场主体信用档案。在公布“商用密码行业黑名单”时,对在规定期限内有关责任人不得从事相关活动的,应当依照相关法律、法规一并公布禁止有关责任人从事相关活动的期限。
4.对列入“商用密码行业黑名单”的生产经营者,在依法追究其法律责任的同时,密码管理机构实施重点监管。
五、协同监管机制
(一)发现市场主体未办理涉及上级机关审批事项且本部门没有初审、监督和查处权的,应当在3个工作日内告知并监督该市场主体及时办理相关资质,并在3个工作日内报请并协助上级密码管理机构进行跟进监管,落实后续监管职责。
(二)发现市场主体有如下违法行为的,由省密码管理局依法单独或会同公安、国家安全、海关、工商、保密等相关部门予以查处,并在3个工作日内通过企业信用信息公示系统(吉林)发送至工商行政管理部门依法处理。
1.未经指定,擅自生产商用密码产品的,或者商用密码产品定点生产单位超过批准范围生产商用密码产品的;
2.未经许可,擅自销售商用密码产品的;
3.未经批准,擅自进口密码产品以及含有密码技术的设备、出口商用密码产品或者销售境外的密码产品的;
4.商用密码产品销售许可单位未按照规定销售商用密码产品的;
5.商用密码产品的生产过程中违反安全、保密规定的;
6.未经国家密码管理机构指定,擅自对信息系统中的密码进行测评和监控的;
7.销售、运输、保管商用密码产品,未采取相应的安全措施的;
8.擅自转让商用密码产品的;
9.商用密码相关资质被依法撤销、注销或有效期满,未按规定重新办理行政审批手续,擅自继续从事生产经营活动的;
10.未取得电子认证服务使用密码许可,或取得后被依法撤销、注销或有效期满,未按规定重新办理行政审批手续,而擅自提供电子认证服务的;
11.工商登记、备案事项发生变化,未按规定办理变更登记、备案的;
12.采取提交虚假文件或者其他欺诈手段骗取工商登记的;
13.通过登记的住所或者经营场所无法联系的。
(三)在对市场主体开展行政许可或者监管执法过程中,发现市场主体应当办理而未办理涉及其他部门审批事项的,应当在3个工作日内将相关信息共享至企业信用信息公示系统(吉林),由其他行政许可审批部门跟进处理。
六、救济处理机制
行政相对人和利害关系人对密码管理机构在商用密码监督管理工作中做出的行政行为不服的,可以自知道该行政行为之日起60日内依法向国家密码管理机构或者本地本级人民政府申请行政复议,或者3个月内向有管辖权的人民法院提起行政诉讼。行政复议或者行政诉讼期间,行政行为不停止执行,法律另有规定的除外。
七、保障措施
全省各级密码管理机构要高度重视商事制度改革工作,加强组织领导,更新监管理念,创新监管方式,密切协调配合,完善实施方案,落实保障措施,及时研究、解决改革过程中出现的各种困难和问题,切实加强改革后商用密码监督管理工作。
八、附则
1.本办法由吉林省密码管理局负责解释。
2.本办法自下发之日起施行。
2015年12月30日