電子政務電子認證服務管理辦法
(2024年9月4日國家密碼管理局令第4號公布 自2024年11月1日起施行)
第一章 總則
第一條 為了規(guī)范電子政務電子認證服務行為,對電子政務電子認證服務機構實施監(jiān)督管理,保障電子政務安全可靠,維護有關各方合法權益,根據(jù)《中華人民共和國密碼法》、《中華人民共和國電子簽名法》和《商用密碼管理條例》等有關法律法規(guī),制定本辦法。
第二條 在中華人民共和國境內設立電子政務電子認證服務機構、提供電子政務電子認證服務及其監(jiān)督管理,適用本辦法。
第三條 本辦法所稱電子政務電子認證服務,是指采用商用密碼技術為政務活動提供電子簽名認證服務,保證電子簽名的真實性和可靠性的活動。
第四條 從事電子政務電子認證服務的機構,應當經(jīng)國家密碼管理局認定,依法取得電子政務電子認證服務機構資質。
第五條 國家密碼管理局對全國電子政務電子認證服務活動實施監(jiān)督管理。
縣級以上地方各級密碼管理部門對本行政區(qū)域的電子政務電子認證服務活動實施監(jiān)督管理。
第二章 資質認定
第六條 取得電子政務電子認證服務機構資質,應當符合下列條件:
(一)具有企業(yè)法人或者事業(yè)單位法人資格;
(二)具有與從事電子政務電子認證服務活動及其使用密碼相適應的資金;
(三)具有與從事電子政務電子認證服務活動及其使用密碼相適應的運營場所;
(四)具有在境內設置、符合國家有關密碼標準的電子認證服務系統(tǒng)等設備設施;
(五)具有30名以上與從事電子政務電子認證服務活動及其使用密碼相適應的專業(yè)技術人員、運營管理人員、安全管理人員和客戶服務人員等專業(yè)人員;
(六)具有為政務活動提供長期電子政務電子認證服務的能力,包括持續(xù)保持財務狀況良好、運營資金充足、設備設施穩(wěn)定運行、專業(yè)人員隊伍穩(wěn)定,沒有重大違法記錄或者不良信用記錄等;
(七)具有保證電子政務電子認證服務活動及其使用密碼安全運行的管理體系。
第七條 申請電子政務電子認證服務機構資質,應當向國家密碼管理局提出書面申請,向國家密碼管理局委托進行受理的省、自治區(qū)、直轄市密碼管理部門提交下列材料:
(一)電子政務電子認證服務機構資質申請表;
(二)法人資格證書;
(三)資金情況,包括注冊資本、資本結構、股權結構、運營資金保障等情況;
(四)運營場所情況;
(五)電子認證服務系統(tǒng)相關技術材料及相關設備清單,包括電子認證服務系統(tǒng)建設工作報告、技術工作報告、安全性設計報告、安全管理策略和規(guī)范、標準符合性自評估報告,相關軟件、硬件清單及其符合國家有關安全標準的情況等;
(六)專業(yè)人員情況;
(七)為用戶提供長期服務和質量保障能力說明及承諾;
(八)電子政務電子認證服務及其使用密碼安全管理體系建立情況,包括業(yè)務運營管理、電子認證服務系統(tǒng)運行管理、人員管理、檔案管理、安全保密管理等管理體系建立情況。
第八條 受國家密碼管理局委托進行受理的省、自治區(qū)、直轄市密碼管理部門自收到申請材料之日起5個工作日內,對申請材料進行形式審查,根據(jù)下列情況分別作出處理:申請材料齊全、符合規(guī)定形式的,應當受理行政許可申請并出具受理通知書;申請材料不齊全或者不符合規(guī)定形式的,應當當場或者在5個工作日內一次告知需要補正的全部內容;不予受理的,應當出具不予受理通知書并說明理由。
第九條 國家密碼管理局應當自行政許可申請受理之日起20個工作日內,對行政許可申請進行審查,并依法作出是否許可的決定。準予許可的,頒發(fā)《電子政務電子認證服務機構資質證書》,并予以公開;不予許可的,應當出具不予行政許可決定書,說明理由并告知申請人相關權利。
需要對申請人進行技術評審的,技術評審所需時間不計算在本條規(guī)定的期限內。國家密碼管理局應當將所需時間書面告知申請人。
第十條 國家密碼管理局根據(jù)技術評審需要和專業(yè)要求,可以委托專業(yè)機構或者組織專家實施技術評審。
技術評審包括電子認證服務系統(tǒng)安全性審查,運營場所、設備設施、管理體系建設實地查勘,專業(yè)人員能力考核等。
專業(yè)機構和專家應當獨立、公正、科學、誠信地開展技術評審活動,對技術評審結論的真實性、符合性負責,并承擔相應法律責任。國家密碼管理局應當對技術評審活動進行監(jiān)督,建立責任追究機制。
第十一條 外商投資電子政務電子認證服務,影響或者可能影響國家安全的,應當依法進行外商投資安全審查。
第十二條 《電子政務電子認證服務機構資質證書》有效期5年,內容包括:獲證機構名稱、證書編號、有效期限、發(fā)證機關和發(fā)證日期等。
《電子政務電子認證服務機構資質證書》由正本和副本組成,正本、副本具有同等法律效力。
禁止轉讓、出租、出借、偽造、變造、冒用、租借《電子政務電子認證服務機構資質證書》。
第十三條 電子政務電子認證服務機構應當在其網(wǎng)站和運營場所公布并及時更新其《電子政務電子認證服務機構資質證書》的機構名稱、證書編號、有效期限、發(fā)證機關和發(fā)證日期等內容。
第十四條 有下列情形之一的,電子政務電子認證服務機構應當自變更之日起30日內向國家密碼管理局辦理變更手續(xù):
(一)機構名稱、住所、法定代表人發(fā)生變更;
(二)機構注冊資本、資本結構、股權結構、法人性質或者單位隸屬關系發(fā)生變更;
(三)電子認證服務系統(tǒng)等設備設施發(fā)生變化,影響或者可能影響電子政務電子認證服務使用密碼安全;
(四)新建、搬遷電子認證服務系統(tǒng);
(五)依法需要辦理變更的其他事項。
電子政務電子認證服務機構發(fā)生變更的事項影響其符合資質認定條件和要求的,國家密碼管理局根據(jù)申請人的實際情況,采取書面或者現(xiàn)場形式開展審查。需要進行技術評審的,依照本辦法第十條規(guī)定對其開展技術評審。
第十五條 電子政務電子認證服務機構資質有效期屆滿需要延續(xù)的,應當在有效期屆滿60日前向國家密碼管理局提出書面申請。國家密碼管理局根據(jù)申請人的實際情況,采取書面或者現(xiàn)場形式進行審查,并在電子政務電子認證服務機構資質有效期屆滿前作出是否準予延續(xù)的決定。
第三章 行為規(guī)范
第十六條 電子政務電子認證服務機構應當按照國家密碼管理局公布的電子政務電子認證業(yè)務規(guī)則規(guī)范等要求,制定本機構的電子政務電子認證業(yè)務規(guī)則和相應的電子簽名認證證書策略,在提供電子政務電子認證服務前予以公布,并向住所地省、自治區(qū)、直轄市密碼管理部門備案。
電子政務電子認證業(yè)務規(guī)則和電子簽名認證證書策略發(fā)生變更的,電子政務電子認證服務機構應當予以公布,并自公布之日起30日內向住所地省、自治區(qū)、直轄市密碼管理部門備案。
電子政務電子認證服務機構應當保持本機構已公布的電子政務電子認證業(yè)務規(guī)則和電子簽名認證證書策略的可訪問性。
第十七條 電子政務電子認證服務機構應當按照本機構公布的電子政務電子認證業(yè)務規(guī)則提供電子政務電子認證服務。
第十八條 電子政務電子認證服務機構應當保證提供下列服務:
(一)電子簽名認證證書注冊、簽發(fā)、更新、撤銷等生命周期管理服務;
(二)電子簽名認證證書信息查詢服務;
(三)電子簽名認證證書狀態(tài)查詢服務;
(四)電子簽名認證證書使用支持服務;
(五)其他與電子簽名認證相關的服務。
第十九條 電子政務電子認證服務機構簽發(fā)的電子簽名認證證書應當載明下列內容:
(一)電子政務電子認證服務機構名稱;
(二)電子簽名認證證書持有人名稱;
(三)電子簽名認證證書序列號;
(四)電子簽名認證證書有效期;
(五)電子簽名認證證書對應的證書策略對象標識符;
(六)電子簽名制作數(shù)據(jù)對應的電子簽名驗證數(shù)據(jù);
(七)電子政務電子認證服務機構的電子簽名;
(八)國家密碼管理局規(guī)定的其他內容。
第二十條 電子政務電子認證服務機構應當保證電子簽名認證證書內容在有效期內完整、準確,并保證電子簽名依賴方能夠證實或者了解電子簽名認證證書所載內容及其他有關事項。
第二十一條 電子簽名人向電子政務電子認證服務機構申請電子簽名認證證書,應當提供真實、完整和準確的信息。
電子政務電子認證服務機構受理電子簽名認證證書申請時,應當對申請人的身份進行查驗,對有關申請材料進行審查,并向申請人告知電子簽名認證證書和電子簽名的使用條件、電子簽名所產(chǎn)生的法律責任、保存和使用電子簽名認證證書持有人信息的權限和責任、電子政務電子認證服務機構和電子簽名認證證書持有人的責任范圍等事項。
電子政務電子認證服務機構受理電子簽名認證證書申請后,應當與申請人簽訂電子政務電子認證服務協(xié)議,明確雙方的權利義務。
第二十二條 電子政務電子認證服務機構應當遵守國家有關密碼管理要求,保障電子政務電子認證服務使用密碼安全。
電子政務電子認證服務機構提供的電子政務電子認證服務應當納入統(tǒng)一的電子認證信任體系,遵守電子認證服務互信互認要求。
第二十三條 電子政務電子認證服務機構應當建立完善的保密制度,對其在工作中知悉的國家秘密、商業(yè)秘密和個人隱私承擔保密義務,采取相應的技術措施和其他必要措施保護有關信息和數(shù)據(jù)安全。
第二十四條 電子政務電子認證服務機構應當完整記錄和保存與電子簽名認證相關的信息,保證認證過程和結果具有可追溯性,信息保存期限至少為電子簽名認證證書失效后5年。
第二十五條 電子政務電子認證服務機構委托其他機構開展電子簽名認證證書注冊業(yè)務的,應當自委托協(xié)議簽訂之日起30日內將受委托開展電子簽名認證證書注冊業(yè)務的機構(以下簡稱受委托機構)名稱、負責人,電子簽名認證證書注冊業(yè)務辦理地址,委托事項等情況向受委托機構住所地省、自治區(qū)、直轄市密碼管理部門備案。備案內容發(fā)生變更的,電子政務電子認證服務機構應當自變更之日起30日內向受委托機構住所地省、自治區(qū)、直轄市密碼管理部門備案。
電子政務電子認證服務機構應當對受委托機構開展電子簽名認證證書注冊業(yè)務的行為進行監(jiān)督,并對該行為的后果承擔法律責任。
受委托機構在委托范圍內,以委托其開展電子簽名認證證書注冊業(yè)務的電子政務電子認證服務機構名義開展電子簽名認證證書注冊業(yè)務,不得再委托其他機構或者個人開展電子簽名認證證書注冊業(yè)務。
第二十六條 電子政務電子認證服務機構應當自行或者委托專業(yè)機構每年至少進行一次電子政務電子認證服務合規(guī)性評估,對評估中發(fā)現(xiàn)的問題及時進行整改,并向住所地省、自治區(qū)、直轄市密碼管理部門報送合規(guī)性評估報告。
第二十七條 電子政務電子認證服務機構應當建立和完善投訴處理機制,公布投訴方式,暢通投訴渠道,及時受理并妥善處理有關投訴事項。
第二十八條 電子政務電子認證服務機構應當對本單位及受委托機構的從業(yè)人員進行崗位培訓,建立培訓制度,制定培訓計劃,加強考核并做好培訓記錄。
第二十九條 電子政務電子認證服務機構擬暫停或者終止電子政務電子認證服務的,應當在暫停或者終止服務60日前向國家密碼管理局報告,并與其他電子政務電子認證服務機構就業(yè)務承接進行協(xié)商,作出妥善安排。
電子政務電子認證服務機構未能就業(yè)務承接事項與其他電子政務電子認證服務機構達成協(xié)議的,應當申請國家密碼管理局安排其他電子政務電子認證服務機構承接其業(yè)務。
電子政務電子認證服務機構被依法吊銷電子政務電子認證服務機構資質的,其業(yè)務承接事項的處理按照國家密碼管理局的規(guī)定執(zhí)行。
電子政務電子認證服務機構有根據(jù)國家密碼管理局的安排承接其他機構開展的電子政務電子認證服務業(yè)務的義務。
第四章 監(jiān)督管理
第三十條 密碼管理部門依法對電子政務電子認證服務活動進行監(jiān)督檢查。監(jiān)督檢查可以采取書面檢查、實地核查、網(wǎng)絡監(jiān)測等方式。
第三十一條 密碼管理部門依法實施監(jiān)督檢查時,可以進入電子政務電子認證服務活動場所實施現(xiàn)場檢查,調查、了解有關情況,查閱、復制有關資料,并可以委托專業(yè)機構或者組織專家開展有關檢測鑒定工作。
電子政務電子認證服務機構及受委托機構應當予以配合,并如實提供相關材料和技術支持。
第三十二條 密碼管理部門開展監(jiān)督檢查,不得妨礙電子政務電子認證服務機構及受委托機構的正常經(jīng)營和服務活動,不得收取任何費用,不得泄露或者非法向他人提供在履行職責中知悉的商業(yè)秘密和個人隱私。
第三十三條 電子政務電子認證服務機構有下列情形之一的,密碼管理部門應當進行重點監(jiān)督檢查:
(一)一年內在監(jiān)督檢查中發(fā)現(xiàn)存在嚴重問題;
(二)因違反有關法律法規(guī)受到行政處罰;
(三)其他需要進行重點監(jiān)督檢查的情形。
第三十四條 電子政務電子認證服務機構應當保證其基本條件和能力能夠持續(xù)符合資質認定條件和要求。
第三十五條 電子政務電子認證服務機構應當于每年1月15日前向住所地省、自治區(qū)、直轄市密碼管理部門報送上一年度工作報告,包括:
(一)持續(xù)符合資質認定條件和要求的情況;
(二)電子政務電子認證服務業(yè)務開展情況及相關統(tǒng)計數(shù)據(jù);
(三)行為規(guī)范執(zhí)行情況;
(四)電子認證服務系統(tǒng)安全運行情況;
(五)電子政務電子認證服務及其使用密碼安全管理體系執(zhí)行情況。
第三十六條 有下列情形之一的,電子政務電子認證服務機構應當自發(fā)生之日起15日內向住所地省、自治區(qū)、直轄市密碼管理部門報告:
(一)重大安全風險和安全事件;
(二)重要系統(tǒng)、關鍵設備事故;
(三)關鍵崗位人員變動;
(四)重大財產(chǎn)損失。
第五章 法律責任
第三十七條 未經(jīng)認定從事電子政務電子認證服務的,由密碼管理部門依據(jù)《中華人民共和國密碼法》和《商用密碼管理條例》有關規(guī)定進行處罰。
第三十八條 電子政務電子認證服務機構違反《中華人民共和國密碼法》、《商用密碼管理條例》和本辦法有關規(guī)定,有下列情形之一的,由密碼管理部門責令改正或者停止違法行為,給予警告,沒收違法所得;違法所得30萬元以上的,可以并處違法所得1倍以上3倍以下罰款;沒有違法所得或者違法所得不足30萬元的,可以并處10萬元以上30萬元以下罰款;情節(jié)嚴重的,責令停業(yè)整頓,直至吊銷電子政務電子認證服務機構資質:
(一)超出批準范圍開展電子政務電子認證服務;
(二)轉讓、出租、出借、偽造、變造、冒用、租借《電子政務電子認證服務機構資質證書》;
(三)未按照本機構公布的電子政務電子認證業(yè)務規(guī)則提供電子政務電子認證服務;
(四)電子簽名認證證書內容不符合規(guī)定要求;
(五)電子簽名認證證書申請受理未查驗申請人身份、未審查有關申請材料、未向申請人告知有關事項,或者未與申請人簽訂電子政務電子認證服務協(xié)議;
(六)泄露或者非法向他人提供在履行職責中知悉的商業(yè)秘密、個人隱私;
(七)未按照要求完整記錄、保存與電子簽名認證相關的信息;
(八)未履行監(jiān)督義務,受委托機構以自身名義開展電子簽名認證證書注冊業(yè)務,或者再委托其他機構、個人開展電子簽名認證證書注冊業(yè)務;
(九)拒不報送或者不如實報送年度工作報告、重大事項報告等實施情況。
第三十九條 電子政務電子認證服務機構違反本辦法有關規(guī)定,有下列情形之一的,由密碼管理部門責令改正;逾期未改正或者改正后仍不符合要求的,處1萬元以上10萬元以下罰款:
(一)未按照本辦法第十四條規(guī)定辦理變更手續(xù);
(二)未按照本辦法第十六條、第二十五條規(guī)定進行備案;
(三)未按照要求進行電子政務電子認證服務合規(guī)性評估,或者未對評估中發(fā)現(xiàn)的問題及時進行整改;
(四)未建立投訴處理機制、公布投訴方式,或者未及時受理、妥善處理有關投訴事項;
(五)未對本單位及受委托機構的從業(yè)人員進行崗位培訓;
(六)未按照要求報告暫停或者終止電子政務電子認證服務的情況;
(七)未按照要求承接電子政務電子認證服務業(yè)務。
第四十條 電子簽名人或者電子簽名依賴方因依據(jù)電子政務電子認證服務機構提供的電子簽名認證服務在政務活動中遭受損失,電子政務電子認證服務機構不能證明自己無過錯的,承擔賠償責任。
第四十一條 從事電子政務電子認證服務監(jiān)督管理工作的人員濫用職權、玩忽職守、徇私舞弊,或者泄露、非法向他人提供在履行職責中知悉的商業(yè)秘密、個人隱私、舉報人信息的,依法給予處分。
第六章 附 則
第四十二條 本辦法自2024年11月1日起施行。
