电子政务电子认证服务管理办法 (国家密码管理局令第4号)
国家密码管理局令
第 4 号
《电子政务电子认证服务管理办法》已经2024年8月26日国家密码管理局局务会议审议通过,现予公布,自2024年11月1日起施行。
局 长 刘东方
2024年9月4日
电子政务电子认证服务管理办法
第一章 总则
第一条 为了规范电子政务电子认证服务行为,对电子政务电子认证服务机构实施监督管理,保障电子政务安全可靠,维护有关各方合法权益,根据《中华人民共和国密码法》、《中华人民共和国电子签名法》和《商用密码管理条例》等有关法律法规,制定本办法。
第二条 在中华人民共和国境内设立电子政务电子认证服务机构、提供电子政务电子认证服务及其监督管理,适用本办法。
第三条 本办法所称电子政务电子认证服务,是指采用商用密码技术为政务活动提供电子签名认证服务,保证电子签名的真实性和可靠性的活动。
第四条 从事电子政务电子认证服务的机构,应当经国家密码管理局认定,依法取得电子政务电子认证服务机构资质。
第五条 国家密码管理局对全国电子政务电子认证服务活动实施监督管理。
县级以上地方各级密码管理部门对本行政区域的电子政务电子认证服务活动实施监督管理。
第二章 资质认定
第六条 取得电子政务电子认证服务机构资质,应当符合下列条件:
(一)具有企业法人或者事业单位法人资格;
(二)具有与从事电子政务电子认证服务活动及其使用密码相适应的资金;
(三)具有与从事电子政务电子认证服务活动及其使用密码相适应的运营场所;
(四)具有在境内设置、符合国家有关密码标准的电子认证服务系统等设备设施;
(五)具有30名以上与从事电子政务电子认证服务活动及其使用密码相适应的专业技术人员、运营管理人员、安全管理人员和客户服务人员等专业人员;
(六)具有为政务活动提供长期电子政务电子认证服务的能力,包括持续保持财务状况良好、运营资金充足、设备设施稳定运行、专业人员队伍稳定,没有重大违法记录或者不良信用记录等;
(七)具有保证电子政务电子认证服务活动及其使用密码安全运行的管理体系。
第七条 申请电子政务电子认证服务机构资质,应当向国家密码管理局提出书面申请,向国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门提交下列材料:
(一)电子政务电子认证服务机构资质申请表;
(二)法人资格证书;
(三)资金情况,包括注册资本、资本结构、股权结构、运营资金保障等情况;
(四)运营场所情况;
(五)电子认证服务系统相关技术材料及相关设备清单,包括电子认证服务系统建设工作报告、技术工作报告、安全性设计报告、安全管理策略和规范、标准符合性自评估报告,相关软件、硬件清单及其符合国家有关安全标准的情况等;
(六)专业人员情况;
(七)为用户提供长期服务和质量保障能力说明及承诺;
(八)电子政务电子认证服务及其使用密码安全管理体系建立情况,包括业务运营管理、电子认证服务系统运行管理、人员管理、档案管理、安全保密管理等管理体系建立情况。
第八条 受国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门自收到申请材料之日起5个工作日内,对申请材料进行形式审查,根据下列情况分别作出处理:申请材料齐全、符合规定形式的,应当受理行政许可申请并出具受理通知书;申请材料不齐全或者不符合规定形式的,应当当场或者在5个工作日内一次告知需要补正的全部内容;不予受理的,应当出具不予受理通知书并说明理由。
第九条 国家密码管理局应当自行政许可申请受理之日起20个工作日内,对行政许可申请进行审查,并依法作出是否许可的决定。准予许可的,颁发《电子政务电子认证服务机构资质证书》,并予以公开;不予许可的,应当出具不予行政许可决定书,说明理由并告知申请人相关权利。
需要对申请人进行技术评审的,技术评审所需时间不计算在本条规定的期限内。国家密码管理局应当将所需时间书面告知申请人。
第十条 国家密码管理局根据技术评审需要和专业要求,可以委托专业机构或者组织专家实施技术评审。
技术评审包括电子认证服务系统安全性审查,运营场所、设备设施、管理体系建设实地查勘,专业人员能力考核等。
专业机构和专家应当独立、公正、科学、诚信地开展技术评审活动,对技术评审结论的真实性、符合性负责,并承担相应法律责任。国家密码管理局应当对技术评审活动进行监督,建立责任追究机制。
第十一条 外商投资电子政务电子认证服务,影响或者可能影响国家安全的,应当依法进行外商投资安全审查。
第十二条 《电子政务电子认证服务机构资质证书》有效期5年,内容包括:获证机构名称、证书编号、有效期限、发证机关和发证日期等。
《电子政务电子认证服务机构资质证书》由正本和副本组成,正本、副本具有同等法律效力。
禁止转让、出租、出借、伪造、变造、冒用、租借《电子政务电子认证服务机构资质证书》。
第十三条 电子政务电子认证服务机构应当在其网站和运营场所公布并及时更新其《电子政务电子认证服务机构资质证书》的机构名称、证书编号、有效期限、发证机关和发证日期等内容。
第十四条 有下列情形之一的,电子政务电子认证服务机构应当自变更之日起30日内向国家密码管理局办理变更手续:
(一)机构名称、住所、法定代表人发生变更;
(二)机构注册资本、资本结构、股权结构、法人性质或者单位隶属关系发生变更;
(三)电子认证服务系统等设备设施发生变化,影响或者可能影响电子政务电子认证服务使用密码安全;
(四)新建、搬迁电子认证服务系统;
(五)依法需要办理变更的其他事项。
电子政务电子认证服务机构发生变更的事项影响其符合资质认定条件和要求的,国家密码管理局根据申请人的实际情况,采取书面或者现场形式开展审查。需要进行技术评审的,依照本办法第十条规定对其开展技术评审。
第十五条 电子政务电子认证服务机构资质有效期届满需要延续的,应当在有效期届满60日前向国家密码管理局提出书面申请。国家密码管理局根据申请人的实际情况,采取书面或者现场形式进行审查,并在电子政务电子认证服务机构资质有效期届满前作出是否准予延续的决定。
第三章 行为规范
第十六条 电子政务电子认证服务机构应当按照国家密码管理局公布的电子政务电子认证业务规则规范等要求,制定本机构的电子政务电子认证业务规则和相应的电子签名认证证书策略,在提供电子政务电子认证服务前予以公布,并向住所地省、自治区、直辖市密码管理部门备案。
电子政务电子认证业务规则和电子签名认证证书策略发生变更的,电子政务电子认证服务机构应当予以公布,并自公布之日起30日内向住所地省、自治区、直辖市密码管理部门备案。
电子政务电子认证服务机构应当保持本机构已公布的电子政务电子认证业务规则和电子签名认证证书策略的可访问性。
第十七条 电子政务电子认证服务机构应当按照本机构公布的电子政务电子认证业务规则提供电子政务电子认证服务。
第十八条 电子政务电子认证服务机构应当保证提供下列服务:
(一)电子签名认证证书注册、签发、更新、撤销等生命周期管理服务;
(二)电子签名认证证书信息查询服务;
(三)电子签名认证证书状态查询服务;
(四)电子签名认证证书使用支持服务;
(五)其他与电子签名认证相关的服务。
第十九条 电子政务电子认证服务机构签发的电子签名认证证书应当载明下列内容:
(一)电子政务电子认证服务机构名称;
(二)电子签名认证证书持有人名称;
(三)电子签名认证证书序列号;
(四)电子签名认证证书有效期;
(五)电子签名认证证书对应的证书策略对象标识符;
(六)电子签名制作数据对应的电子签名验证数据;
(七)电子政务电子认证服务机构的电子签名;
(八)国家密码管理局规定的其他内容。
第二十条 电子政务电子认证服务机构应当保证电子签名认证证书内容在有效期内完整、准确,并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。
第二十一条 电子签名人向电子政务电子认证服务机构申请电子签名认证证书,应当提供真实、完整和准确的信息。
电子政务电子认证服务机构受理电子签名认证证书申请时,应当对申请人的身份进行查验,对有关申请材料进行审查,并向申请人告知电子签名认证证书和电子签名的使用条件、电子签名所产生的法律责任、保存和使用电子签名认证证书持有人信息的权限和责任、电子政务电子认证服务机构和电子签名认证证书持有人的责任范围等事项。
电子政务电子认证服务机构受理电子签名认证证书申请后,应当与申请人签订电子政务电子认证服务协议,明确双方的权利义务。
第二十二条 电子政务电子认证服务机构应当遵守国家有关密码管理要求,保障电子政务电子认证服务使用密码安全。
电子政务电子认证服务机构提供的电子政务电子认证服务应当纳入统一的电子认证信任体系,遵守电子认证服务互信互认要求。
第二十三条 电子政务电子认证服务机构应当建立完善的保密制度,对其在工作中知悉的国家秘密、商业秘密和个人隐私承担保密义务,采取相应的技术措施和其他必要措施保护有关信息和数据安全。
第二十四条 电子政务电子认证服务机构应当完整记录和保存与电子签名认证相关的信息,保证认证过程和结果具有可追溯性,信息保存期限至少为电子签名认证证书失效后5年。
第二十五条 电子政务电子认证服务机构委托其他机构开展电子签名认证证书注册业务的,应当自委托协议签订之日起30日内将受委托开展电子签名认证证书注册业务的机构(以下简称受委托机构)名称、负责人,电子签名认证证书注册业务办理地址,委托事项等情况向受委托机构住所地省、自治区、直辖市密码管理部门备案。备案内容发生变更的,电子政务电子认证服务机构应当自变更之日起30日内向受委托机构住所地省、自治区、直辖市密码管理部门备案。
电子政务电子认证服务机构应当对受委托机构开展电子签名认证证书注册业务的行为进行监督,并对该行为的后果承担法律责任。
受委托机构在委托范围内,以委托其开展电子签名认证证书注册业务的电子政务电子认证服务机构名义开展电子签名认证证书注册业务,不得再委托其他机构或者个人开展电子签名认证证书注册业务。
第二十六条 电子政务电子认证服务机构应当自行或者委托专业机构每年至少进行一次电子政务电子认证服务合规性评估,对评估中发现的问题及时进行整改,并向住所地省、自治区、直辖市密码管理部门报送合规性评估报告。
第二十七条 电子政务电子认证服务机构应当建立和完善投诉处理机制,公布投诉方式,畅通投诉渠道,及时受理并妥善处理有关投诉事项。
第二十八条 电子政务电子认证服务机构应当对本单位及受委托机构的从业人员进行岗位培训,建立培训制度,制定培训计划,加强考核并做好培训记录。
第二十九条 电子政务电子认证服务机构拟暂停或者终止电子政务电子认证服务的,应当在暂停或者终止服务60日前向国家密码管理局报告,并与其他电子政务电子认证服务机构就业务承接进行协商,作出妥善安排。
电子政务电子认证服务机构未能就业务承接事项与其他电子政务电子认证服务机构达成协议的,应当申请国家密码管理局安排其他电子政务电子认证服务机构承接其业务。
电子政务电子认证服务机构被依法吊销电子政务电子认证服务机构资质的,其业务承接事项的处理按照国家密码管理局的规定执行。
电子政务电子认证服务机构有根据国家密码管理局的安排承接其他机构开展的电子政务电子认证服务业务的义务。
第四章 监督管理
第三十条 密码管理部门依法对电子政务电子认证服务活动进行监督检查。监督检查可以采取书面检查、实地核查、网络监测等方式。
第三十一条 密码管理部门依法实施监督检查时,可以进入电子政务电子认证服务活动场所实施现场检查,调查、了解有关情况,查阅、复制有关资料,并可以委托专业机构或者组织专家开展有关检测鉴定工作。
电子政务电子认证服务机构及受委托机构应当予以配合,并如实提供相关材料和技术支持。
第三十二条 密码管理部门开展监督检查,不得妨碍电子政务电子认证服务机构及受委托机构的正常经营和服务活动,不得收取任何费用,不得泄露或者非法向他人提供在履行职责中知悉的商业秘密和个人隐私。
第三十三条 电子政务电子认证服务机构有下列情形之一的,密码管理部门应当进行重点监督检查:
(一)一年内在监督检查中发现存在严重问题;
(二)因违反有关法律法规受到行政处罚;
(三)其他需要进行重点监督检查的情形。
第三十四条 电子政务电子认证服务机构应当保证其基本条件和能力能够持续符合资质认定条件和要求。
第三十五条 电子政务电子认证服务机构应当于每年1月15日前向住所地省、自治区、直辖市密码管理部门报送上一年度工作报告,包括:
(一)持续符合资质认定条件和要求的情况;
(二)电子政务电子认证服务业务开展情况及相关统计数据;
(三)行为规范执行情况;
(四)电子认证服务系统安全运行情况;
(五)电子政务电子认证服务及其使用密码安全管理体系执行情况。
第三十六条 有下列情形之一的,电子政务电子认证服务机构应当自发生之日起15日内向住所地省、自治区、直辖市密码管理部门报告:
(一)重大安全风险和安全事件;
(二)重要系统、关键设备事故;
(三)关键岗位人员变动;
(四)重大财产损失。
第五章 法律责任
第三十七条 未经认定从事电子政务电子认证服务的,由密码管理部门依据《中华人民共和国密码法》和《商用密码管理条例》有关规定进行处罚。
第三十八条 电子政务电子认证服务机构违反《中华人民共和国密码法》、《商用密码管理条例》和本办法有关规定,有下列情形之一的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款;情节严重的,责令停业整顿,直至吊销电子政务电子认证服务机构资质:
(一)超出批准范围开展电子政务电子认证服务;
(二)转让、出租、出借、伪造、变造、冒用、租借《电子政务电子认证服务机构资质证书》;
(三)未按照本机构公布的电子政务电子认证业务规则提供电子政务电子认证服务;
(四)电子签名认证证书内容不符合规定要求;
(五)电子签名认证证书申请受理未查验申请人身份、未审查有关申请材料、未向申请人告知有关事项,或者未与申请人签订电子政务电子认证服务协议;
(六)泄露或者非法向他人提供在履行职责中知悉的商业秘密、个人隐私;
(七)未按照要求完整记录、保存与电子签名认证相关的信息;
(八)未履行监督义务,受委托机构以自身名义开展电子签名认证证书注册业务,或者再委托其他机构、个人开展电子签名认证证书注册业务;
(九)拒不报送或者不如实报送年度工作报告、重大事项报告等实施情况。
第三十九条 电子政务电子认证服务机构违反本办法有关规定,有下列情形之一的,由密码管理部门责令改正;逾期未改正或者改正后仍不符合要求的,处1万元以上10万元以下罚款:
(一)未按照本办法第十四条规定办理变更手续;
(二)未按照本办法第十六条、第二十五条规定进行备案;
(三)未按照要求进行电子政务电子认证服务合规性评估,或者未对评估中发现的问题及时进行整改;
(四)未建立投诉处理机制、公布投诉方式,或者未及时受理、妥善处理有关投诉事项;
(五)未对本单位及受委托机构的从业人员进行岗位培训;
(六)未按照要求报告暂停或者终止电子政务电子认证服务的情况;
(七)未按照要求承接电子政务电子认证服务业务。
第四十条 电子签名人或者电子签名依赖方因依据电子政务电子认证服务机构提供的电子签名认证服务在政务活动中遭受损失,电子政务电子认证服务机构不能证明自己无过错的,承担赔偿责任。
第四十一条 从事电子政务电子认证服务监督管理工作的人员滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的,依法给予处分。
第六章 附 则
第四十二条 本办法自2024年11月1日起施行。