《电子政务电子认证服务管理办法(征求意见稿)》.doc
《电子政务电子认证服务管理办法(征求意见稿)》.doc
电子政务电子认证服务管理办法 (征求意见稿) 第一章 第一条 总 则 为了规范电子政务电子认证服务行为,对电子 政务电子认证服务机构实施监督管理,根据《中华人民共和 国密码法》、《中华人民共和国电子签名法》和《商用密码管 理条例》等有关法律法规,制定本办法。 第二条 在中华人民共和国境内设立电子政务电子认 证服务机构、提供电子政务电子认证服务及其监督管理,适 用本办法。 第三条 本办法所称电子政务电子认证服务,是指采用 商用密码技术,为政务活动提供电子签名认证服务,确保电 子签名的真实性和可靠性的活动。 第四条 从事电子政务电子认证服务的机构,应当经国 家密码管理局认定,依法取得电子政务电子认证服务机构资 质。 第五条 国家密码管理局对全国电子政务电子认证服 务活动实施监督管理。 县级以上地方各级密码管理部门对本行政区域的电子 政务电子认证服务活动实施监督管理。 1 第二章 第六条 资质认定 取得电子政务电子认证服务机构资质,应当符 合下列条件: (一)具有企业法人或者事业单位法人资格; (二)具有与从事电子政务电子认证服务活动及其使用 密码相适应的资金; (三)具有固定的运营场所和满足电子政务电子认证服 务要求的物理环境; (四)具有在境内设置、符合国家密码相关标准规范的 电子认证服务系统等设备设施; (五)具有与从事电子政务电子认证服务活动及其使用 密码相适应的专业技术人员、运营管理人员、安全管理人员 和客户服务人员等专业人员不少于 30 名,并符合相应岗位 技能要求; (六)具有为政务活动提供长期电子政务电子认证服务 的能力,包括持续保持运营资金充足、财务状况良好、设备 设施稳定运行、运营人员队伍稳定,没有重大违法纪录或者 不良信用记录等; (七)具有保证电子政务电子认证服务活动及其使用密 码安全运行的管理体系。 第七条 申请电子政务电子认证服务机构资质,应当向 国家密码管理局提出书面申请,并提交下列材料: 2 (一)电子政务电子认证服务机构资质申请表; (二)法人资格证书; (三)资金情况,包括注册资金及资本结构,运营资金、 损害赔偿责任资金来源等; (四)运营场所情况以及物理环境符合国家有关安全标 准的情况; (五)电子认证服务系统相关技术材料及相关设备清单, 包括建设工作报告、技术工作报告、安全性设计报告、安全 管理策略和规范、标准符合性自评估报告以及相关软件、设 备清单等; (六)专业人员情况; (七)为用户提供长期服务和质量保障能力说明及承诺; (八)电子政务电子认证服务及其使用密码安全管理体 系建立情况。 第八条 国家密码管理局自收到申请材料之日起 5 个工 作日内,对申请材料进行形式审查,根据下列情况分别作出 处理:申请材料齐全、符合规定形式的,应当受理行政许可 申请并出具受理通知书;申请材料不齐全或者不符合规定形 式的,应当当场或者在 5 个工作日内一次告知需要补正的全 部内容;不予受理的,应当出具不予受理通知书并说明理由。 第九条 国家密码管理局应当自受理行政许可申请之 日起 20 个工作日内,对申请进行审查,并依法作出是否许 3 可的决定。准予许可的,颁发《电子政务电子认证服务机构 资质证书》,并公布取得资质证书的电子政务电子认证服务 机构名录;不予许可的,应当出具不予行政许可决定书,说 明理由并告知申请人相关权利。 需要对申请人进行技术评审的,技术评审所需时间不计 算在本条规定的期限内。国家密码管理局应当将所需时间书 面告知申请人。 第十条 国家密码管理局根据技术评审需要和专业要 求,可以组织专家或者委托专业机构实施技术评审。 技术评审包括电子认证服务系统安全性审查,运营场所 和物理环境、设备设施、管理体系建设实地查勘,专业人员 能力考核等。 专业机构应当独立、公正、科学、诚信地开展技术评审 活动,对技术评审结论的真实性、符合性负责,并承担相应 法律责任。 第十一条 外商投资电子政务电子认证服务,影响或者 可能影响国家安全的,应当依法进行外商投资安全审查。 第十二条 《电子政务电子认证服务机构资质证书》有 效期 5 年,内容包括:获证机构名称、统一社会信用代码、 住所地、证书编号、有效期限、服务范围、发证机关和发证 日期。 《电子政务电子认证服务机构资质证书》由正本和副本 4 组成。正本、副本具有同等法律效力。 第十三条 电子政务电子认证服务机构应当在其网站 和运营场所公布其资质证书的机构名称、证书编号、有效期 限、服务范围、发证机关和发证日期等内容。 第十四条 有下列情形之一的,电子政务电子认证服务 机构应当自变更之日起 30 日内向国家密码管理局申请办理 变更手续: (一)机构名称、住所、法定代表人发生变更的; (二)企业股权结构或者事业单位隶属关系发生变更的; (三)资质认定服务范围发生变更的; (四)电子认证服务系统等设备设施发生变更的; (五)依法需要办理变更的其他事项。 电子政务电子认证服务机构发生变更的事项影响其符 合资质认定条件和要求的,国家密码管理局根据申请人的实 际情况,采取书面或者现场形式开展审查。需要进行技术评 审的,依照本办法第十条规定对其开展技术评审。 第十五条 电子政务电子认证服务机构资质有效期届 满需要延续的,应当在有效期届满 60 日前向国家密码管理 局提出书面申请。国家密码管理局应当依照本办法有关规定 进行审查,并在《电子政务电子认证服务机构资质证书》有 效期届满前作出是否准予延续的决定。 第三章 行为规范 5 第十六条 电子政务电子认证服务机构应当按照法律、 行政法规和电子政务电子认证服务技术规范、规则,在批准 范围内提供电子政务电子认证服务。 第十七条 电子政务电子认证服务机构应当按照电子 政务电子认证业务规则规范等要求,制定本机构的电子政务 电子认证业务规则和相应的电子签名认证证书策略,在提供 电子政务电子认证服务前予以公布,并向住所地省、自治区、 直辖市密码管理部门备案。 本机构的电子政务电子认证业务规则和电子签名认证 证书策略发生变更的,电子政务电子认证服务机构应当予以 公布,并自公布之日起 30 日内向住所地省、自治区、直辖 市密码管理部门办理变更手续。 第十八条 电子政务电子认证服务机构应当按照本机 构的电子政务电子认证业务规则提供下列服务: (一)电子签名认证证书全生命周期管理服务; (二)确认签发的电子签名认证证书的真实性; (三)提供电子签名认证证书目录信息查询服务; (四)提供电子签名认证证书状态查询服务; (五)提供电子签名认证证书使用支持服务。 第十九条 电子政务电子认证服务机构签发的电子签 名认证证书应当准确无误,并载明下列内容: (一)电子政务电子认证服务机构名称; 6 (二)证书持有人名称; (三)证书序列号; (四)证书有效期; (五)与电子签名制作数据相对应的电子签名验证数据; (六)电子政务电子认证服务机构的电子签名; (七)国家密码管理局规定的其他内容。 第二十条 电子政务电子认证服务机构应当保证电子 签名认证证书内容在有效期内完整、准确,证书格式符合相 关规范,并保证电子签名依赖方能够证实或者了解证书所载 内容及其他有关事项。 电子签名制作数据应当由通过检测认证的商用密码设 备生成和使用。 第二十一条 电子签名人向电子政务电子认证服务机 构申请电子签名认证证书,应当提供真实、完整和准确的信 息。 电子政务电子认证服务机构在受理电子签名认证证书 申请时,应当向证书申请人告知电子签名认证证书和电子签 名的使用条件、电子签名所产生的法律责任、保存和使用证 书持有人信息的权限和责任、电子政务电子认证服务机构和 证书持有人的责任范围等事项。 电子政务电子认证服务机构收到电子签名认证证书申 请后,应当采用安全可靠的验证方式对证书申请人的身份进 7 行查验,并对证书申请材料进行审查。 电子政务电子认证服务机构在受理电子签名认证证书 申请后,应当与证书申请人签订电子政务电子认证服务协议, 明确双方的权利义务。 第二十二条 电子政务电子认证服务机构应当保障电 子政务电子认证服务密码使用安全,其电子政务电子认证服 务应当纳入统一的电子认证信任体系,遵循电子认证服务互 信互认要求。 第二十三条 电子政务电子认证服务机构应当建立完 善的保密制度,对其在工作中知悉的国家秘密、商业秘密和 个人隐私承担保密义务。 第二十四条 电子政务电子认证服务机构应当妥善保 存与电子政务电子认证服务相关的信息。信息保存期限至少 为电子签名认证证书失效后 5 年。 第二十五条 电子政务电子认证服务机构可以设立电 子签名认证证书注册机构开展电子签名认证证书注册业务。 电子签名认证证书注册机构应当具备与开展电子签名认证 证书注册业务相适应的场所、设备设施、专业人员、专业能 力和管理制度等条件。 前款所称电子签名认证证书注册机构,是指电子政务电 子认证服务机构设立的受理电子签名认证证书申请、注册登 记、下载交付、更新、恢复和注销等业务的机构。 8 第二十六条 电子政务电子认证服务机构设立电子签 名认证证书注册机构开展电子签名认证证书注册业务的,应 当自设立之日起 30 日内将电子签名认证证书注册机构名称、 地址等信息予以公告,并向电子签名认证证书注册机构住所 地省、自治区、直辖市密码管理部门备案,备案内容为电子 签名认证证书注册机构符合本办法第二十五条规定条件的 有关资料。备案内容发生变更的,应当自变更之日起 30 日 内办理变更手续。 第二十七条 电子政务电子认证服务机构应当对其设 立的电子签名认证证书注册机构开展电子签名认证证书注 册业务的行为实施有效监督管理, 并对该行为承担法律责任。 电子签名认证证书注册机构在开展电子签名认证证书 注册业务过程中,应当在电子签名认证证书注册服务场所明 示设立该电子签名认证证书注册机构的电子政务电子认证 服务机构名称及相关关系,按照法律、行政法规和电子政务 电子认证服务技术规范、规则以及合同约定开展电子签名认 证证书注册业务,并接受电子政务电子认证服务机构的监督。 电子签名认证证书注册机构应当以设立该电子签名认 证证书注册机构的电子政务电子认证服务机构名义与证书 申请人签订电子政务电子认证服务协议,不得以自身名义与 证书申请人签订协议,不得委托其他机构开展电子签名认证 证书注册业务。 9 第二十八条 电子政务电子认证服务机构应当每年至 少进行一次电子政务电子认证服务合规性评估,对发现的问 题及时整改,并及时向住所地省、自治区、直辖市密码管理 部门报送合规性评估报告。 第二十九条 电子政务电子认证服务机构应当建立投 诉处理机制,公布投诉方式,及时受理并处理有关投诉事项。 第三十条 电子政务电子认证服务机构应当对本单位 及其设立的电子签名认证证书注册机构的从业人员进行岗 位培训,建立培训制度,制定培训计划,加强考核并做好培 训记录。 第三十一条 电子政务电子认证服务机构拟暂停或者 终止电子政务电子认证服务的,应当在暂停或者终止服务 60 日前向国家密码管理局报告,并与其他电子政务电子认证服 务机构就业务承接进行协商,作出妥善安排。 电子政务电子认证服务机构未能就业务承接事项与其 他电子政务电子认证服务机构达成协议的,应当申请国家密 码管理局安排其他电子政务电子认证服务机构承接其业务。 电子政务电子认证服务机构被依法吊销电子政务电子 认证服务资质的,其业务承接事项的处理按照国家密码管理 局的规定执行。 电子政务电子认证服务机构有根据国家密码管理局的 安排承接其他机构开展的电子政务电子认证服务业务的义 10 务。 第四章 第三十二条 监督管理 密码管理部门依法对电子政务电子认证 服务活动进行监督检查。 监督检查可以采取书面检查、实地核查、网络监测等方 式,并可以组织专家或者委托专业机构开展有关检测鉴定工 作。 第三十三条 密码管理部门依法实施监督检查时,可以 调查、了解有关情况,查阅、复制有关资料。电子政务电子 认证服务机构及其设立的电子签名认证证书注册机构应当 予以配合,如实提供相关材料和技术支持。 第三十四条 密码管理部门开展监督检查,不得妨碍电 子政务电子认证服务机构及其设立的电子签名认证证书注 册机构正常的经营和服务活动,不得收取任何费用,不得泄 露在履行职责中所知悉的商业秘密和个人隐私。 第三十五条 电子政务电子认证服务机构应当于每年 1 月 15 日前向住所地省、自治区、直辖市密码管理部门报送 上一年度工作报告,包括: (一)持续符合资质认定条件和要求的情况; (二)电子政务电子认证服务业务开展情况及相关统计 数据; (三)电子认证服务系统安全运行情况; 11 (四)电子政务电子认证服务及其使用密码安全管理体 系执行情况。 第三十六条 有下列情形之一的,电子政务电子认证服 务机构应当自发生之日起 15 日内向住所地省、自治区、直 辖市密码管理部门报告: (一)重大安全风险和安全事件; (二)重要系统、关键设备事故; (三)关键岗位人员变动; (四)重大法律诉讼。 第三十七条 密码管理部门应当建立电子政务电子认 证服务机构、电子签名认证证书注册机构的信用记录制度, 并根据随机抽查、日常监督检查和投诉举报查处等情况,对 其违法违规行为及处理决定记入信用记录。 第三十八条 电子政务电子认证服务机构及其设立的 电子签名认证证书注册机构有下列情形之一的,密码管理部 门应当进行重点监督检查: (一)上一年度监督检查中发现存在严重问题; (二)因违反有关法律法规受到行政处罚; (三)有不良信用记录; (四)其他需要重点监督检查的情形。 第五章 第三十九条 法律责任 未经认定从事电子政务电子认证服务的, 12 由密码管理部门依据《中华人民共和国密码法》和《商用密 码管理条例》有关规定进行处罚。 第四十条 电子政务电子认证服务机构违反《中华人民 共和国密码法》、《商用密码管理条例》和本办法有关规定, 有下列情形之一的,由密码管理部门责令改正或者停止违法 行为,给予警告,没收违法所得;违法所得 30 万元以上的, 可以并处违法所得 1 倍以上 3 倍以下罚款;没有违法所得或 者违法所得不足 30 万元的,可以并处 10 万元以上 30 万元 以下罚款;情节严重的,责令停业整顿,直至吊销电子政务 电子认证服务机构资质: (一)超出批准范围开展电子政务电子认证服务; (二)拒不报送或者不如实报送年度报告、重大事项报 告等实施情况; (三)未履行保密义务; (四)未按照电子政务电子认证服务技术规范、规则提 供电子政务电子认证服务。 第四十一条 电子政务电子认证服务机构违反本办法 有关规定,有下列情形之一的,由密码管理部门责令改正; 逾期未改正或者改正后仍不符合要求的,处 1 万元以上 10 万元以下罚款: (一)电子签名认证证书内容和格式不符合规定要求; (二)电子签名制作数据未由通过检测认证的商用密码 13 设备生成和使用; (三)受理电子签名认证证书申请时未履行有关告知义 务,未查验证书申请人身份,或者未对证书申请材料进行审 查; (四)未与证书申请人签订电子政务电子认证服务协议; (五)未妥善保存与电子政务电子认证服务相关的信息。 第四十二条 电子政务电子认证服务机构违反本办法 有关规定,有下列情形之一的,由密码管理部门责令改正; 逾期未改正或者改正后仍不符合要求的,处 5000 元以上 3 万元以下罚款: (一)未按照要求进行资质证书信息公示; (二)未按照要求办理变更手续; (三)未按照要求履行有关备案义务; (四)未对电子政务电子认证服务每年至少进行一次合 规性评估并对发现的问题及时整改,或者未及时向住所地省、 自治区、直辖市密码管理部门报送合规性评估报告; (五)设立的电子签名认证证书注册机构未按照法律、 行政法规和电子政务电子认证服务技术规范、规则开展电子 签名认证证书注册业务; (六)设立的电子签名认证证书注册机构以自身名义与 证书申请人签订电子政务电子认证服务协议,或者委托其他 机构开展电子签名认证证书注册业务; 14 (七)未建立投诉处理机制并公布投诉方式,或者未及 时受理并处理有关投诉事项; (八)未对从业人员进行岗位培训; (九)未按照要求报送暂停或者终止电子政务电子认证 服务的情况。 第四十三条 从事电子政务电子认证服务监督管理工 作的人员滥用职权、玩忽职守、徇私舞弊,或者泄露、非法 向他人提供在履行职责中知悉的商业秘密、个人隐私、举报 人信息的,依法给予处分。 第六章 第四十四条 附 则 本办法自××××年××月××日起施行。 15