草案规定，国家对密码实行分类管理，密码分为核心密码、普通密码和商用密码。

新京报快讯（记者 王姝）21日，十三届全国人大常委会第十四次会议二次审议密码法草案，对比一审稿，二审稿对于核心密码、普通密码管理引入“保密责任制”。

草案规定，国家对密码实行分类管理，密法分为核心密码、普通密码和商用密码。核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级；核心密码、普通密码属于国家秘密，由密码管理部门依法实行严格统一管理。商用密码用于保护不属于国家秘密的信息；公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。

建立“安全风险评估机制”

此前一审，有的常委会组成人员建议进一步强化国家对核心密码、普通密码的管理，实行密码安全保密责任制，定期开展安全评估，出现安全隐患风险应当立即采取相应措施。

二审稿采纳了上述建议，规定：从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构应当建立健全安全管理制度，采取严格的保密措施和保密责任制，确保核心密码、普通密码的安全；密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全检测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制，确保核心密码、普通密码管理的协同联动和有序高效。

未按规定开展商用密码应用安全性评估可处100万罚款

草案规定了商用密码应用安全性评估和国家安全性审查制度，提出：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

如果关键信息基础设施的运营者未按照上述条款的要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责主管人员处1万元以上10万元以下罚款。

强化商用密码检测、认证机构保密义务

一审时，有的常委会组成人员建议进一步增加对商用密码检测、认证机构的保密义务要求。据此，二审稿增加规定，“商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务”；“密码管理部门和有关部门及其工作人员应当对其在履行职责中知悉的商业秘密和个人隐私严格保密，不得泄露或者非法向他人提供”。

新京报记者 王姝

编辑 李国君