第二十一條 國家鼓勵商用密碼技術的研究開發、學術交流、成果轉化和推廣應用，健全統一、開放、競爭、有序的商用密碼市場體系，鼓勵和促進商用密碼產業發展。

各級人民政府及其有關部門應當遵循非歧視原則，依法平等對待包括外商投資企業在內的商用密碼科研、生產、銷售、服務、進出口等單位（以下統稱商用密碼從業單位）。國家鼓勵在外商投資過程中基于自愿原則和商業規則開展商用密碼技術合作。行政機關及其工作人員不得利用行政手段強制轉讓商用密碼技術。

商用密碼的科研、生產、銷售、服務和進出口，不得損害國家安全、社會公共利益或者他人合法權益。

第二十二條 國家建立和完善商用密碼標準體系。

國務院標準化行政主管部門和國家密碼管理部門依據各自職責，組織制定商用密碼國家標準、行業標準。

國家支持社會團體、企業利用自主創新技術制定高于國家標準、行業標準相關技術要求的商用密碼團體標準、企業標準。

第二十三條 國家推動參與商用密碼國際標準化活動，參與制定商用密碼國際標準，推進商用密碼中國標準與國外標準之間的轉化運用。

國家鼓勵企業、社會團體和教育、科研機構等參與商用密碼國際標準化活動。

第二十四條 商用密碼從業單位開展商用密碼活動，應當符合有關法律、行政法規、商用密碼強制性國家標準以及該從業單位公開標準的技術要求。

國家鼓勵商用密碼從業單位采用商用密碼推薦性國家標準、行業標準，提升商用密碼的防護能力，維護用戶的合法權益。

第二十五條 國家推進商用密碼檢測認證體系建設，制定商用密碼檢測認證技術規范、規則，鼓勵商用密碼從業單位自愿接受商用密碼檢測認證，提升市場競爭力。

商用密碼檢測、認證機構應當依法取得相關資質，并依照法律、行政法規的規定和商用密碼檢測認證技術規范、規則開展商用密碼檢測認證。

商用密碼檢測、認證機構應當對其在商用密碼檢測認證中所知悉的國家秘密和商業秘密承擔保密義務。

第二十六條 涉及國家安全、國計民生、社會公共利益的商用密碼產品，應當依法列入網絡關鍵設備和網絡安全專用產品目錄，由具備資格的機構檢測認證合格后，方可銷售或者提供。商用密碼產品檢測認證適用《中華人民共和國網絡安全法》的有關規定，避免重復檢測認證。

商用密碼服務使用網絡關鍵設備和網絡安全專用產品的，應當經商用密碼認證機構對該商用密碼服務認證合格。

第二十七條 法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接，避免重復評估、測評。

關鍵信息基礎設施的運營者采購涉及商用密碼的網絡產品和服務，可能影響國家安全的，應當按照《中華人民共和國網絡安全法》的規定，通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。

第二十八條 國務院商務主管部門、國家密碼管理部門依法對涉及國家安全、社會公共利益且具有加密保護功能的商用密碼實施進口許可，對涉及國家安全、社會公共利益或者中國承擔國際義務的商用密碼實施出口管制。商用密碼進口許可清單和出口管制清單由國務院商務主管部門會同國家密碼管理部門和海關總署制定并公布。

大眾消費類產品所采用的商用密碼不實行進口許可和出口管制制度。

第二十九條 國家密碼管理部門對采用商用密碼技術從事電子政務電子認證服務的機構進行認定，會同有關部門負責政務活動中使用電子簽名、數據電文的管理。

第三十條 商用密碼領域的行業協會等組織依照法律、行政法規及其章程的規定，為商用密碼從業單位提供信息、技術、培訓等服務，引導和督促商用密碼從業單位依法開展商用密碼活動，加強行業自律，推動行業誠信建設，促進行業健康發展。

第三十一條 密碼管理部門和有關部門建立日常監管和隨機抽查相結合的商用密碼事中事后監管制度，建立統一的商用密碼監督管理信息平臺，推進事中事后監管與社會信用體系相銜接，強化商用密碼從業單位自律和社會監督。

密碼管理部門和有關部門及其工作人員不得要求商用密碼從業單位和商用密碼檢測、認證機構向其披露源代碼等密碼相關專有信息，并對其在履行職責中知悉的商業秘密和個人隱私嚴格保密，不得泄露或者非法向他人提供。