電子政務電子認證服務管理辦法
(2024年9月4日國家密碼管理局令第4號公布 自2024年11月1日起施行)
第一章 總則
第一條 為了規范電子政務電子認證服務行為,對電子政務電子認證服務機構實施監督管理,保障電子政務安全可靠,維護有關各方合法權益,根據《中華人民共和國密碼法》、《中華人民共和國電子簽名法》和《商用密碼管理條例》等有關法律法規,制定本辦法。
第二條 在中華人民共和國境內設立電子政務電子認證服務機構、提供電子政務電子認證服務及其監督管理,適用本辦法。
第三條 本辦法所稱電子政務電子認證服務,是指采用商用密碼技術為政務活動提供電子簽名認證服務,保證電子簽名的真實性和可靠性的活動。
第四條 從事電子政務電子認證服務的機構,應當經國家密碼管理局認定,依法取得電子政務電子認證服務機構資質。
第五條 國家密碼管理局對全國電子政務電子認證服務活動實施監督管理。
縣級以上地方各級密碼管理部門對本行政區域的電子政務電子認證服務活動實施監督管理。
第二章 資質認定
第六條 取得電子政務電子認證服務機構資質,應當符合下列條件:
(一)具有企業法人或者事業單位法人資格;
(二)具有與從事電子政務電子認證服務活動及其使用密碼相適應的資金;
(三)具有與從事電子政務電子認證服務活動及其使用密碼相適應的運營場所;
(四)具有在境內設置、符合國家有關密碼標準的電子認證服務系統等設備設施;
(五)具有30名以上與從事電子政務電子認證服務活動及其使用密碼相適應的專業技術人員、運營管理人員、安全管理人員和客戶服務人員等專業人員;
(六)具有為政務活動提供長期電子政務電子認證服務的能力,包括持續保持財務狀況良好、運營資金充足、設備設施穩定運行、專業人員隊伍穩定,沒有重大違法記錄或者不良信用記錄等;
(七)具有保證電子政務電子認證服務活動及其使用密碼安全運行的管理體系。
第七條 申請電子政務電子認證服務機構資質,應當向國家密碼管理局提出書面申請,向國家密碼管理局委托進行受理的省、自治區、直轄市密碼管理部門提交下列材料:
(一)電子政務電子認證服務機構資質申請表;
(二)法人資格證書;
(三)資金情況,包括注冊資本、資本結構、股權結構、運營資金保障等情況;
(四)運營場所情況;
(五)電子認證服務系統相關技術材料及相關設備清單,包括電子認證服務系統建設工作報告、技術工作報告、安全性設計報告、安全管理策略和規范、標準符合性自評估報告,相關軟件、硬件清單及其符合國家有關安全標準的情況等;
(六)專業人員情況;
(七)為用戶提供長期服務和質量保障能力說明及承諾;
(八)電子政務電子認證服務及其使用密碼安全管理體系建立情況,包括業務運營管理、電子認證服務系統運行管理、人員管理、檔案管理、安全保密管理等管理體系建立情況。
第八條 受國家密碼管理局委托進行受理的省、自治區、直轄市密碼管理部門自收到申請材料之日起5個工作日內,對申請材料進行形式審查,根據下列情況分別作出處理:申請材料齊全、符合規定形式的,應當受理行政許可申請并出具受理通知書;申請材料不齊全或者不符合規定形式的,應當當場或者在5個工作日內一次告知需要補正的全部內容;不予受理的,應當出具不予受理通知書并說明理由。
第九條 國家密碼管理局應當自行政許可申請受理之日起20個工作日內,對行政許可申請進行審查,并依法作出是否許可的決定。準予許可的,頒發《電子政務電子認證服務機構資質證書》,并予以公開;不予許可的,應當出具不予行政許可決定書,說明理由并告知申請人相關權利。
需要對申請人進行技術評審的,技術評審所需時間不計算在本條規定的期限內。國家密碼管理局應當將所需時間書面告知申請人。
第十條 國家密碼管理局根據技術評審需要和專業要求,可以委托專業機構或者組織專家實施技術評審。
技術評審包括電子認證服務系統安全性審查,運營場所、設備設施、管理體系建設實地查勘,專業人員能力考核等。
專業機構和專家應當獨立、公正、科學、誠信地開展技術評審活動,對技術評審結論的真實性、符合性負責,并承擔相應法律責任。國家密碼管理局應當對技術評審活動進行監督,建立責任追究機制。
第十一條 外商投資電子政務電子認證服務,影響或者可能影響國家安全的,應當依法進行外商投資安全審查。
第十二條 《電子政務電子認證服務機構資質證書》有效期5年,內容包括:獲證機構名稱、證書編號、有效期限、發證機關和發證日期等。
《電子政務電子認證服務機構資質證書》由正本和副本組成,正本、副本具有同等法律效力。
禁止轉讓、出租、出借、偽造、變造、冒用、租借《電子政務電子認證服務機構資質證書》。
第十三條 電子政務電子認證服務機構應當在其網站和運營場所公布并及時更新其《電子政務電子認證服務機構資質證書》的機構名稱、證書編號、有效期限、發證機關和發證日期等內容。
第十四條 有下列情形之一的,電子政務電子認證服務機構應當自變更之日起30日內向國家密碼管理局辦理變更手續:
(一)機構名稱、住所、法定代表人發生變更;
(二)機構注冊資本、資本結構、股權結構、法人性質或者單位隸屬關系發生變更;
(三)電子認證服務系統等設備設施發生變化,影響或者可能影響電子政務電子認證服務使用密碼安全;
(四)新建、搬遷電子認證服務系統;
(五)依法需要辦理變更的其他事項。
電子政務電子認證服務機構發生變更的事項影響其符合資質認定條件和要求的,國家密碼管理局根據申請人的實際情況,采取書面或者現場形式開展審查。需要進行技術評審的,依照本辦法第十條規定對其開展技術評審。
第十五條 電子政務電子認證服務機構資質有效期屆滿需要延續的,應當在有效期屆滿60日前向國家密碼管理局提出書面申請。國家密碼管理局根據申請人的實際情況,采取書面或者現場形式進行審查,并在電子政務電子認證服務機構資質有效期屆滿前作出是否準予延續的決定。
第三章 行為規范
第十六條 電子政務電子認證服務機構應當按照國家密碼管理局公布的電子政務電子認證業務規則規范等要求,制定本機構的電子政務電子認證業務規則和相應的電子簽名認證證書策略,在提供電子政務電子認證服務前予以公布,并向住所地省、自治區、直轄市密碼管理部門備案。
電子政務電子認證業務規則和電子簽名認證證書策略發生變更的,電子政務電子認證服務機構應當予以公布,并自公布之日起30日內向住所地省、自治區、直轄市密碼管理部門備案。
電子政務電子認證服務機構應當保持本機構已公布的電子政務電子認證業務規則和電子簽名認證證書策略的可訪問性。
第十七條 電子政務電子認證服務機構應當按照本機構公布的電子政務電子認證業務規則提供電子政務電子認證服務。
第十八條 電子政務電子認證服務機構應當保證提供下列服務:
(一)電子簽名認證證書注冊、簽發、更新、撤銷等生命周期管理服務;
(二)電子簽名認證證書信息查詢服務;
(三)電子簽名認證證書狀態查詢服務;
(四)電子簽名認證證書使用支持服務;
(五)其他與電子簽名認證相關的服務。
第十九條 電子政務電子認證服務機構簽發的電子簽名認證證書應當載明下列內容:
(一)電子政務電子認證服務機構名稱;
(二)電子簽名認證證書持有人名稱;
(三)電子簽名認證證書序列號;
(四)電子簽名認證證書有效期;
(五)電子簽名認證證書對應的證書策略對象標識符;
(六)電子簽名制作數據對應的電子簽名驗證數據;
(七)電子政務電子認證服務機構的電子簽名;
(八)國家密碼管理局規定的其他內容。
第二十條 電子政務電子認證服務機構應當保證電子簽名認證證書內容在有效期內完整、準確,并保證電子簽名依賴方能夠證實或者了解電子簽名認證證書所載內容及其他有關事項。
第二十一條 電子簽名人向電子政務電子認證服務機構申請電子簽名認證證書,應當提供真實、完整和準確的信息。
電子政務電子認證服務機構受理電子簽名認證證書申請時,應當對申請人的身份進行查驗,對有關申請材料進行審查,并向申請人告知電子簽名認證證書和電子簽名的使用條件、電子簽名所產生的法律責任、保存和使用電子簽名認證證書持有人信息的權限和責任、電子政務電子認證服務機構和電子簽名認證證書持有人的責任范圍等事項。
電子政務電子認證服務機構受理電子簽名認證證書申請后,應當與申請人簽訂電子政務電子認證服務協議,明確雙方的權利義務。
第二十二條 電子政務電子認證服務機構應當遵守國家有關密碼管理要求,保障電子政務電子認證服務使用密碼安全。
電子政務電子認證服務機構提供的電子政務電子認證服務應當納入統一的電子認證信任體系,遵守電子認證服務互信互認要求。
第二十三條 電子政務電子認證服務機構應當建立完善的保密制度,對其在工作中知悉的國家秘密、商業秘密和個人隱私承擔保密義務,采取相應的技術措施和其他必要措施保護有關信息和數據安全。
第二十四條 電子政務電子認證服務機構應當完整記錄和保存與電子簽名認證相關的信息,保證認證過程和結果具有可追溯性,信息保存期限至少為電子簽名認證證書失效后5年。
第二十五條 電子政務電子認證服務機構委托其他機構開展電子簽名認證證書注冊業務的,應當自委托協議簽訂之日起30日內將受委托開展電子簽名認證證書注冊業務的機構(以下簡稱受委托機構)名稱、負責人,電子簽名認證證書注冊業務辦理地址,委托事項等情況向受委托機構住所地省、自治區、直轄市密碼管理部門備案。備案內容發生變更的,電子政務電子認證服務機構應當自變更之日起30日內向受委托機構住所地省、自治區、直轄市密碼管理部門備案。
電子政務電子認證服務機構應當對受委托機構開展電子簽名認證證書注冊業務的行為進行監督,并對該行為的后果承擔法律責任。
受委托機構在委托范圍內,以委托其開展電子簽名認證證書注冊業務的電子政務電子認證服務機構名義開展電子簽名認證證書注冊業務,不得再委托其他機構或者個人開展電子簽名認證證書注冊業務。
第二十六條 電子政務電子認證服務機構應當自行或者委托專業機構每年至少進行一次電子政務電子認證服務合規性評估,對評估中發現的問題及時進行整改,并向住所地省、自治區、直轄市密碼管理部門報送合規性評估報告。
第二十七條 電子政務電子認證服務機構應當建立和完善投訴處理機制,公布投訴方式,暢通投訴渠道,及時受理并妥善處理有關投訴事項。
第二十八條 電子政務電子認證服務機構應當對本單位及受委托機構的從業人員進行崗位培訓,建立培訓制度,制定培訓計劃,加強考核并做好培訓記錄。
第二十九條 電子政務電子認證服務機構擬暫停或者終止電子政務電子認證服務的,應當在暫停或者終止服務60日前向國家密碼管理局報告,并與其他電子政務電子認證服務機構就業務承接進行協商,作出妥善安排。
電子政務電子認證服務機構未能就業務承接事項與其他電子政務電子認證服務機構達成協議的,應當申請國家密碼管理局安排其他電子政務電子認證服務機構承接其業務。
電子政務電子認證服務機構被依法吊銷電子政務電子認證服務機構資質的,其業務承接事項的處理按照國家密碼管理局的規定執行。
電子政務電子認證服務機構有根據國家密碼管理局的安排承接其他機構開展的電子政務電子認證服務業務的義務。
第四章 監督管理
第三十條 密碼管理部門依法對電子政務電子認證服務活動進行監督檢查。監督檢查可以采取書面檢查、實地核查、網絡監測等方式。
第三十一條 密碼管理部門依法實施監督檢查時,可以進入電子政務電子認證服務活動場所實施現場檢查,調查、了解有關情況,查閱、復制有關資料,并可以委托專業機構或者組織專家開展有關檢測鑒定工作。
電子政務電子認證服務機構及受委托機構應當予以配合,并如實提供相關材料和技術支持。
第三十二條 密碼管理部門開展監督檢查,不得妨礙電子政務電子認證服務機構及受委托機構的正常經營和服務活動,不得收取任何費用,不得泄露或者非法向他人提供在履行職責中知悉的商業秘密和個人隱私。
第三十三條 電子政務電子認證服務機構有下列情形之一的,密碼管理部門應當進行重點監督檢查:
(一)一年內在監督檢查中發現存在嚴重問題;
(二)因違反有關法律法規受到行政處罰;
(三)其他需要進行重點監督檢查的情形。
第三十四條 電子政務電子認證服務機構應當保證其基本條件和能力能夠持續符合資質認定條件和要求。
第三十五條 電子政務電子認證服務機構應當于每年1月15日前向住所地省、自治區、直轄市密碼管理部門報送上一年度工作報告,包括:
(一)持續符合資質認定條件和要求的情況;
(二)電子政務電子認證服務業務開展情況及相關統計數據;
(三)行為規范執行情況;
(四)電子認證服務系統安全運行情況;
(五)電子政務電子認證服務及其使用密碼安全管理體系執行情況。
第三十六條 有下列情形之一的,電子政務電子認證服務機構應當自發生之日起15日內向住所地省、自治區、直轄市密碼管理部門報告:
(一)重大安全風險和安全事件;
(二)重要系統、關鍵設備事故;
(三)關鍵崗位人員變動;
(四)重大財產損失。
第五章 法律責任
第三十七條 未經認定從事電子政務電子認證服務的,由密碼管理部門依據《中華人民共和國密碼法》和《商用密碼管理條例》有關規定進行處罰。
第三十八條 電子政務電子認證服務機構違反《中華人民共和國密碼法》、《商用密碼管理條例》和本辦法有關規定,有下列情形之一的,由密碼管理部門責令改正或者停止違法行為,給予警告,沒收違法所得;違法所得30萬元以上的,可以并處違法所得1倍以上3倍以下罰款;沒有違法所得或者違法所得不足30萬元的,可以并處10萬元以上30萬元以下罰款;情節嚴重的,責令停業整頓,直至吊銷電子政務電子認證服務機構資質:
(一)超出批準范圍開展電子政務電子認證服務;
(二)轉讓、出租、出借、偽造、變造、冒用、租借《電子政務電子認證服務機構資質證書》;
(三)未按照本機構公布的電子政務電子認證業務規則提供電子政務電子認證服務;
(四)電子簽名認證證書內容不符合規定要求;
(五)電子簽名認證證書申請受理未查驗申請人身份、未審查有關申請材料、未向申請人告知有關事項,或者未與申請人簽訂電子政務電子認證服務協議;
(六)泄露或者非法向他人提供在履行職責中知悉的商業秘密、個人隱私;
(七)未按照要求完整記錄、保存與電子簽名認證相關的信息;
(八)未履行監督義務,受委托機構以自身名義開展電子簽名認證證書注冊業務,或者再委托其他機構、個人開展電子簽名認證證書注冊業務;
(九)拒不報送或者不如實報送年度工作報告、重大事項報告等實施情況。
第三十九條 電子政務電子認證服務機構違反本辦法有關規定,有下列情形之一的,由密碼管理部門責令改正;逾期未改正或者改正后仍不符合要求的,處1萬元以上10萬元以下罰款:
(一)未按照本辦法第十四條規定辦理變更手續;
(二)未按照本辦法第十六條、第二十五條規定進行備案;
(三)未按照要求進行電子政務電子認證服務合規性評估,或者未對評估中發現的問題及時進行整改;
(四)未建立投訴處理機制、公布投訴方式,或者未及時受理、妥善處理有關投訴事項;
(五)未對本單位及受委托機構的從業人員進行崗位培訓;
(六)未按照要求報告暫停或者終止電子政務電子認證服務的情況;
(七)未按照要求承接電子政務電子認證服務業務。
第四十條 電子簽名人或者電子簽名依賴方因依據電子政務電子認證服務機構提供的電子簽名認證服務在政務活動中遭受損失,電子政務電子認證服務機構不能證明自己無過錯的,承擔賠償責任。
第四十一條 從事電子政務電子認證服務監督管理工作的人員濫用職權、玩忽職守、徇私舞弊,或者泄露、非法向他人提供在履行職責中知悉的商業秘密、個人隱私、舉報人信息的,依法給予處分。
第六章 附 則
第四十二條 本辦法自2024年11月1日起施行。