為加強電子政務電子認證服務管理,規范電子政務電子認證服務行為,根據《中華人民共和國密碼法》和新修訂的《商用密碼管理條例》等有關法律法規,國家密碼管理局研究起草了《電子政務電子認證服務管理辦法(征求意見稿)》,現向社會公開征求意見。公眾可以在2023年11月17日前,通過以下途徑和方式提出意見:

  1.登錄“中華人民共和國司法部 中國政府法制信息網”(網址:www.moj.gov.cn、www.chinalaw.gov.cn),進入首頁“立法意見征集”欄目提出意見。

  2.電子郵件:gmzcfg@sca.gov.cn。

  3.通信地址:北京市豐臺區靛廠路7號國家密碼管理局政策法規室,郵政編碼100036,請在信封上注明“《電子政務電子認證服務管理辦法》反饋意見”字樣。

  國家密碼管理局

  2023年10月17日

電子政務電子認證服務管理辦法(征求意見稿)

  第一章  總 則

  第一條【制定目的與依據】為了規范電子政務電子認證服務行為,對電子政務電子認證服務機構實施監督管理,根據《中華人民共和國密碼法》、《中華人民共和國電子簽名法》和《商用密碼管理條例》等有關法律法規,制定本辦法。

  第二條【適用范圍】在中華人民共和國境內設立電子政務電子認證服務機構、提供電子政務電子認證服務及其監督管理,適用本辦法。

  第三條【定義】本辦法所稱電子政務電子認證服務,是指采用商用密碼技術,為政務活動提供電子簽名認證服務,確保電子簽名的真實性和可靠性的活動。

  第四條【服務資質】從事電子政務電子認證服務的機構,應當經國家密碼管理局認定,依法取得電子政務電子認證服務機構資質。

  第五條【監管主體】國家密碼管理局對全國電子政務電子認證服務活動實施監督管理。

  縣級以上地方各級密碼管理部門對本行政區域的電子政務電子認證服務活動實施監督管理。

  第二章  資質認定

  第六條【資質認定條件】取得電子政務電子認證服務機構資質,應當符合下列條件:

 ?。ㄒ唬┚哂衅髽I法人或者事業單位法人資格;

 ?。ǘ┚哂信c從事電子政務電子認證服務活動及其使用密碼相適應的資金;

 ?。ㄈ┚哂泄潭ǖ倪\營場所和滿足電子政務電子認證服務要求的物理環境;

 ?。ㄋ模┚哂性诰硟仍O置、符合國家密碼相關標準規范的電子認證服務系統等設備設施;

 ?。ㄎ澹┚哂信c從事電子政務電子認證服務活動及其使用密碼相適應的專業技術人員、運營管理人員、安全管理人員和客戶服務人員等專業人員不少于30名,并符合相應崗位技能要求;

 ?。┚哂袨檎栈顒犹峁╅L期電子政務電子認證服務的能力,包括持續保持運營資金充足、財務狀況良好、設備設施穩定運行、運營人員隊伍穩定,沒有重大違法紀錄或者不良信用記錄等;

 ?。ㄆ撸┚哂斜WC電子政務電子認證服務活動及其使用密碼安全運行的管理體系。

  第七條【申請材料】申請電子政務電子認證服務機構資質,應當向國家密碼管理局提出書面申請,并提交下列材料:

 ?。ㄒ唬╇娮诱针娮诱J證服務機構資質申請表;

 ?。ǘ┓ㄈ速Y格證書;

 ?。ㄈ┵Y金情況,包括注冊資金及資本結構,運營資金、損害賠償責任資金來源等;

 ?。ㄋ模┻\營場所情況以及物理環境符合國家有關安全標準的情況;

 ?。ㄎ澹╇娮诱J證服務系統相關技術材料及相關設備清單,包括建設工作報告、技術工作報告、安全性設計報告、安全管理策略和規范、標準符合性自評估報告以及相關軟件、設備清單等;

 ?。I人員情況;

 ?。ㄆ撸橛脩籼峁╅L期服務和質量保障能力說明及承諾;

 ?。ò耍╇娮诱针娮诱J證服務及其使用密碼安全管理體系建立情況。

  第八條【申請受理】國家密碼管理局自收到申請材料之日起5個工作日內,對申請材料進行形式審查,根據下列情況分別作出處理:申請材料齊全、符合規定形式的,應當受理行政許可申請并出具受理通知書;申請材料不齊全或者不符合規定形式的,應當當場或者在5個工作日內一次告知需要補正的全部內容;不予受理的,應當出具不予受理通知書并說明理由。

  第九條【資質審查】國家密碼管理局應當自受理行政許可申請之日起20個工作日內,對申請進行審查,并依法作出是否許可的決定。準予許可的,頒發《電子政務電子認證服務機構資質證書》,并公布取得資質證書的電子政務電子認證服務機構名錄;不予許可的,應當出具不予行政許可決定書,說明理由并告知申請人相關權利。

  需要對申請人進行技術評審的,技術評審所需時間不計算在本條規定的期限內。國家密碼管理局應當將所需時間書面告知申請人。

  第十條【技術評審】國家密碼管理局根據技術評審需要和專業要求,可以組織專家或者委托專業機構實施技術評審。

  技術評審包括電子認證服務系統安全性審查,運營場所和物理環境、設備設施、管理體系建設實地查勘,專業人員能力考核等。

  專業機構應當獨立、公正、科學、誠信地開展技術評審活動,對技術評審結論的真實性、符合性負責,并承擔相應法律責任。

  第十一條【外商投資安全審查】外商投資電子政務電子認證服務,影響或者可能影響國家安全的,應當依法進行外商投資安全審查。

  第十二條【資質證書】《電子政務電子認證服務機構資質證書》有效期5年,內容包括:獲證機構名稱、統一社會信用代碼、住所地、證書編號、有效期限、服務范圍、發證機關和發證日期。

  《電子政務電子認證服務機構資質證書》由正本和副本組成。正本、副本具有同等法律效力。

  第十三條【資質信息公示】電子政務電子認證服務機構應當在其網站和運營場所公布其資質證書的機構名稱、證書編號、有效期限、服務范圍、發證機關和發證日期等內容。

  第十四條【事項變更】有下列情形之一的,電子政務電子認證服務機構應當自變更之日起30日內向國家密碼管理局申請辦理變更手續:

 ?。ㄒ唬C構名稱、住所、法定代表人發生變更的;

 ?。ǘ┢髽I股權結構或者事業單位隸屬關系發生變更的;

 ?。ㄈ┵Y質認定服務范圍發生變更的;

 ?。ㄋ模╇娮诱J證服務系統等設備設施發生變更的;

 ?。ㄎ澹┮婪ㄐ枰k理變更的其他事項。

  電子政務電子認證服務機構發生變更的事項影響其符合資質認定條件和要求的,國家密碼管理局根據申請人的實際情況,采取書面或者現場形式開展審查。需要進行技術評審的,依照本辦法第十條規定對其開展技術評審。

  第十五條【資質延續】電子政務電子認證服務機構資質有效期屆滿需要延續的,應當在有效期屆滿60日前向國家密碼管理局提出書面申請。國家密碼管理局應當依照本辦法有關規定進行審查,并在《電子政務電子認證服務機構資質證書》有效期屆滿前作出是否準予延續的決定。

  第三章  行為規范

  第十六條【服務范圍】電子政務電子認證服務機構應當按照法律、行政法規和電子政務電子認證服務技術規范、規則,在批準范圍內提供電子政務電子認證服務。

  第十七條【業務規則】電子政務電子認證服務機構應當按照電子政務電子認證業務規則規范等要求,制定本機構的電子政務電子認證業務規則和相應的電子簽名認證證書策略,在提供電子政務電子認證服務前予以公布,并向住所地省、自治區、直轄市密碼管理部門備案。

  本機構的電子政務電子認證業務規則和電子簽名認證證書策略發生變更的,電子政務電子認證服務機構應當予以公布,并自公布之日起30日內向住所地省、自治區、直轄市密碼管理部門辦理變更手續。

  第十八條【服務內容】電子政務電子認證服務機構應當按照本機構的電子政務電子認證業務規則提供下列服務:

 ?。ㄒ唬╇娮雍灻J證證書全生命周期管理服務;

 ?。ǘ┐_認簽發的電子簽名認證證書的真實性;

 ?。ㄈ┨峁╇娮雍灻J證證書目錄信息查詢服務;

 ?。ㄋ模┨峁╇娮雍灻J證證書狀態查詢服務;

 ?。ㄎ澹┨峁╇娮雍灻J證證書使用支持服務。

  第十九條【證書內容】電子政務電子認證服務機構簽發的電子簽名認證證書應當準確無誤,并載明下列內容:

 ?。ㄒ唬╇娮诱针娮诱J證服務機構名稱;

 ?。ǘ┳C書持有人名稱;

 ?。ㄈ┳C書序列號;

 ?。ㄋ模┳C書有效期;

 ?。ㄎ澹┡c電子簽名制作數據相對應的電子簽名驗證數據;

 ?。╇娮诱针娮诱J證服務機構的電子簽名;

 ?。ㄆ撸﹪颐艽a管理局規定的其他內容。

  第二十條【證書內容與格式】電子政務電子認證服務機構應當保證電子簽名認證證書內容在有效期內完整、準確,證書格式符合相關規范,并保證電子簽名依賴方能夠證實或者了解證書所載內容及其他有關事項。

  電子簽名制作數據應當由通過檢測認證的商用密碼設備生成和使用。

  第二十一條【證書申請審核】電子簽名人向電子政務電子認證服務機構申請電子簽名認證證書,應當提供真實、完整和準確的信息。

  電子政務電子認證服務機構在受理電子簽名認證證書申請時,應當向證書申請人告知電子簽名認證證書和電子簽名的使用條件、電子簽名所產生的法律責任、保存和使用證書持有人信息的權限和責任、電子政務電子認證服務機構和證書持有人的責任范圍等事項。

  電子政務電子認證服務機構收到電子簽名認證證書申請后,應當采用安全可靠的驗證方式對證書申請人的身份進行查驗,并對證書申請材料進行審查。

  電子政務電子認證服務機構在受理電子簽名認證證書申請后,應當與證書申請人簽訂電子政務電子認證服務協議,明確雙方的權利義務。

  第二十二條【密碼使用安全與互信互認】電子政務電子認證服務機構應當保障電子政務電子認證服務密碼使用安全,其電子政務電子認證服務應當納入統一的電子認證信任體系,遵循電子認證服務互信互認要求。

  第二十三條【保密義務】電子政務電子認證服務機構應當建立完善的保密制度,對其在工作中知悉的國家秘密、商業秘密和個人隱私承擔保密義務。

  第二十四條【信息保存】電子政務電子認證服務機構應當妥善保存與電子政務電子認證服務相關的信息。信息保存期限至少為電子簽名認證證書失效后5年。

  第二十五條【證書注冊機構設立條件】電子政務電子認證服務機構可以設立電子簽名認證證書注冊機構開展電子簽名認證證書注冊業務。電子簽名認證證書注冊機構應當具備與開展電子簽名認證證書注冊業務相適應的場所、設備設施、專業人員、專業能力和管理制度等條件。

  前款所稱電子簽名認證證書注冊機構,是指電子政務電子認證服務機構設立的受理電子簽名認證證書申請、注冊登記、下載交付、更新、恢復和注銷等業務的機構。

  第二十六條【證書注冊備案】電子政務電子認證服務機構設立電子簽名認證證書注冊機構開展電子簽名認證證書注冊業務的,應當自設立之日起30日內將電子簽名認證證書注冊機構名稱、地址等信息予以公告,并向電子簽名認證證書注冊機構住所地省、自治區、直轄市密碼管理部門備案,備案內容為電子簽名認證證書注冊機構符合本辦法第二十五條規定條件的有關資料。備案內容發生變更的,應當自變更之日起30日內辦理變更手續。

  第二十七條【注冊業務管理】電子政務電子認證服務機構應當對其設立的電子簽名認證證書注冊機構開展電子簽名認證證書注冊業務的行為實施有效監督管理,并對該行為承擔法律責任。

  電子簽名認證證書注冊機構在開展電子簽名認證證書注冊業務過程中,應當在電子簽名認證證書注冊服務場所明示設立該電子簽名認證證書注冊機構的電子政務電子認證服務機構名稱及相關關系,按照法律、行政法規和電子政務電子認證服務技術規范、規則以及合同約定開展電子簽名認證證書注冊業務,并接受電子政務電子認證服務機構的監督。

  電子簽名認證證書注冊機構應當以設立該電子簽名認證證書注冊機構的電子政務電子認證服務機構名義與證書申請人簽訂電子政務電子認證服務協議,不得以自身名義與證書申請人簽訂協議,不得委托其他機構開展電子簽名認證證書注冊業務。

  第二十八條【合規性評估】電子政務電子認證服務機構應當每年至少進行一次電子政務電子認證服務合規性評估,對發現的問題及時整改,并及時向住所地省、自治區、直轄市密碼管理部門報送合規性評估報告。

  第二十九條【投訴處理】電子政務電子認證服務機構應當建立投訴處理機制,公布投訴方式,及時受理并處理有關投訴事項。

  第三十條【崗位培訓】電子政務電子認證服務機構應當對本單位及其設立的電子簽名認證證書注冊機構的從業人員進行崗位培訓,建立培訓制度,制定培訓計劃,加強考核并做好培訓記錄。

  第三十一條【業務終止與承接】電子政務電子認證服務機構擬暫?;蛘呓K止電子政務電子認證服務的,應當在暫?;蛘呓K止服務60日前向國家密碼管理局報告,并與其他電子政務電子認證服務機構就業務承接進行協商,作出妥善安排。

  電子政務電子認證服務機構未能就業務承接事項與其他電子政務電子認證服務機構達成協議的,應當申請國家密碼管理局安排其他電子政務電子認證服務機構承接其業務。

  電子政務電子認證服務機構被依法吊銷電子政務電子認證服務資質的,其業務承接事項的處理按照國家密碼管理局的規定執行。

  電子政務電子認證服務機構有根據國家密碼管理局的安排承接其他機構開展的電子政務電子認證服務業務的義務。

  第四章  監督管理

  第三十二條【監督檢查】密碼管理部門依法對電子政務電子認證服務活動進行監督檢查。

  監督檢查可以采取書面檢查、實地核查、網絡監測等方式,并可以組織專家或者委托專業機構開展有關檢測鑒定工作。

  第三十三條【監督檢查要求】密碼管理部門依法實施監督檢查時,可以調查、了解有關情況,查閱、復制有關資料。電子政務電子認證服務機構及其設立的電子簽名認證證書注冊機構應當予以配合,如實提供相關材料和技術支持。

  第三十四條【監督檢查要求】密碼管理部門開展監督檢查,不得妨礙電子政務電子認證服務機構及其設立的電子簽名認證證書注冊機構正常的經營和服務活動,不得收取任何費用,不得泄露在履行職責中所知悉的商業秘密和個人隱私。

  第三十五條【年度報告】電子政務電子認證服務機構應當于每年1月15日前向住所地省、自治區、直轄市密碼管理部門報送上一年度工作報告,包括:

 ?。ㄒ唬┏掷m符合資質認定條件和要求的情況;

 ?。ǘ╇娮诱针娮诱J證服務業務開展情況及相關統計數據;

 ?。ㄈ╇娮诱J證服務系統安全運行情況;

 ?。ㄋ模╇娮诱针娮诱J證服務及其使用密碼安全管理體系執行情況。

  第三十六條【重大事項報告】有下列情形之一的,電子政務電子認證服務機構應當自發生之日起15日內向住所地省、自治區、直轄市密碼管理部門報告:

 ?。ㄒ唬┲卮蟀踩L險和安全事件;

 ?。ǘ┲匾到y、關鍵設備事故;

 ?。ㄈ╆P鍵崗位人員變動;

 ?。ㄋ模┲卮蠓稍V訟。

  第三十七條【信用監管】密碼管理部門應當建立電子政務電子認證服務機構、電子簽名認證證書注冊機構的信用記錄制度,并根據隨機抽查、日常監督檢查和投訴舉報查處等情況,對其違法違規行為及處理決定記入信用記錄。

  第三十八條【重點監管】電子政務電子認證服務機構及其設立的電子簽名認證證書注冊機構有下列情形之一的,密碼管理部門應當進行重點監督檢查:

 ?。ㄒ唬┥弦荒甓缺O督檢查中發現存在嚴重問題;

 ?。ǘ┮蜻`反有關法律法規受到行政處罰;

 ?。ㄈ┯胁涣夹庞糜涗?;

 ?。ㄋ模┢渌枰攸c監督檢查的情形。

  第五章  法律責任

  第三十九條【資質相關罰則】未經認定從事電子政務電子認證服務的,由密碼管理部門依據《中華人民共和國密碼法》和《商用密碼管理條例》有關規定進行處罰。

  第四十條【相關罰則】電子政務電子認證服務機構違反《中華人民共和國密碼法》、《商用密碼管理條例》和本辦法有關規定,有下列情形之一的,由密碼管理部門責令改正或者停止違法行為,給予警告,沒收違法所得;違法所得30萬元以上的,可以并處違法所得1倍以上3倍以下罰款;沒有違法所得或者違法所得不足30萬元的,可以并處10萬元以上30萬元以下罰款;情節嚴重的,責令停業整頓,直至吊銷電子政務電子認證服務機構資質:

 ?。ㄒ唬┏雠鷾史秶_展電子政務電子認證服務;

 ?。ǘ┚懿粓笏突蛘卟蝗鐚崍笏湍甓葓蟾?、重大事項報告等實施情況;

 ?。ㄈ┪绰男斜C芰x務;

 ?。ㄋ模┪窗凑针娮诱针娮诱J證服務技術規范、規則提供電子政務電子認證服務。

  第四十一條【相關罰則】電子政務電子認證服務機構違反本辦法有關規定,有下列情形之一的,由密碼管理部門責令改正;逾期未改正或者改正后仍不符合要求的,處1萬元以上10萬元以下罰款:

 ?。ㄒ唬╇娮雍灻J證證書內容和格式不符合規定要求;

 ?。ǘ╇娮雍灻谱鲾祿从赏ㄟ^檢測認證的商用密碼設備生成和使用;

 ?。ㄈ┦芾黼娮雍灻J證證書申請時未履行有關告知義務,未查驗證書申請人身份,或者未對證書申請材料進行審查;

 ?。ㄋ模┪磁c證書申請人簽訂電子政務電子認證服務協議;

 ?。ㄎ澹┪赐咨票4媾c電子政務電子認證服務相關的信息。

  第四十二條【相關罰則】電子政務電子認證服務機構違反本辦法有關規定,有下列情形之一的,由密碼管理部門責令改正;逾期未改正或者改正后仍不符合要求的,處5000元以上3萬元以下罰款:

 ?。ㄒ唬┪窗凑找筮M行資質證書信息公示;

 ?。ǘ┪窗凑找筠k理變更手續;

 ?。ㄈ┪窗凑找舐男杏嘘P備案義務;

 ?。ㄋ模┪磳﹄娮诱针娮诱J證服務每年至少進行一次合規性評估并對發現的問題及時整改,或者未及時向住所地省、自治區、直轄市密碼管理部門報送合規性評估報告;

 ?。ㄎ澹┰O立的電子簽名認證證書注冊機構未按照法律、行政法規和電子政務電子認證服務技術規范、規則開展電子簽名認證證書注冊業務;

 ?。┰O立的電子簽名認證證書注冊機構以自身名義與證書申請人簽訂電子政務電子認證服務協議,或者委托其他機構開展電子簽名認證證書注冊業務;

 ?。ㄆ撸┪唇⑼对V處理機制并公布投訴方式,或者未及時受理并處理有關投訴事項;

 ?。ò耍┪磳臉I人員進行崗位培訓;

 ?。ň牛┪窗凑找髨笏蜁和;蛘呓K止電子政務電子認證服務的情況。

  第四十三條【監管責任】從事電子政務電子認證服務監督管理工作的人員濫用職權、玩忽職守、徇私舞弊,或者泄露、非法向他人提供在履行職責中知悉的商業秘密、個人隱私、舉報人信息的,依法給予處分。

  第六章  附 則

  第四十四條【施行時間】本辦法自××××年××月××日起施行。