为加强电子政务电@@子认证服务管理@@,规范电子政务电@@子认证服务行为@@,根据@@《中华人民共和@@国密码法@@》和@@新修订的@@《商用密码管理条例@@》等有关法律法规@@,国家密码管理局@@研究起草了@@《电子政务电@@子认证服务管理办法@@(征求意见稿@@)》,现向社会公开征求意见@@。公众可以在@@2023年@@11月@@17日@@前@@,通过以下途径和@@方式提出意见@@:
1.登录@@“中华人民共和@@国司法部@@ 中国政府法制信息网@@”(网址@@:www.moj.gov.cn、www.chinalaw.gov.cn),进入首页@@@@“立法意见征集@@”栏目提出意见@@。
2.电子邮件@@:gmzcfg@sca.gov.cn。
3.通信地址@@:北京市丰台区靛厂路@@7号国家密码管理局@@政策法规室@@,邮政编码@@100036,请在信封上注明@@“《电子政务电@@子认证服务管理办法@@》反馈意见@@”字样@@。
国家密码管理局@@
2023年@@10月@@17日@@
电子政务电@@子认证服务管理办法@@(征求意见稿@@)
第一@@章@@ 总@@ 则@@
第一@@条@@【制定目的与依据@@】为了规范电子政务电@@子认证服务行为@@@@,对电子政务电@@子认证服务机构实施监督管理@@@@,根据@@《中华人民共和@@国密码法@@》、《中华人民共和@@国电子签名@@法@@》和@@《商用密码管理条例@@》等有关法律法规@@,制定本办法@@。
第二@@条@@【适用范围@@】在中华人民共和@@国境内设立电子政务电@@子认证服务机构@@、提供电子政务电@@子认证服务及其监督管理@@@@,适用本办法@@。
第三@@条@@【定义@@】本办法所称电子政务电@@子认证服务@@,是指采用商用密码技术@@,为政务活动提供电子签名@@认证服务@@,确保电子签名@@的真实性和@@可靠性的活动@@。
第四@@条@@【服务资质@@】从事电子政务电@@子认证服务的机构@@,应当经国家密码管理局@@认定@@,依法取得电子政务电@@子认证服务机构资质@@@@。
第五@@条@@【监管主体@@@@】国家密码管理局@@对全国电子政务电@@子认证服务活动实施监督管理@@@@。
县级以上地方各级密码管理部门对本行政区域的电子政务电@@子认证服务活动实施监督管理@@@@。
第二@@章@@ 资质认定@@
第六@@条@@【资质认定@@条件@@】取得电子政务电@@子认证服务机构资质@@,应当符合下列条件@@:
(一@@)具有企业法人或者事业单位法人资格@@;
(二@@)具有与从事电子政务电@@子认证服务活动及其使用密码相适应的资金@@;
(三@@)具有固定的运营场所和@@满足电子政务电@@子认证服务要求的物理环境@@;
(四@@)具有在境内设置@@、符合国家密码相关标@@准规范的电子认证服务系统等设备设施@@@@;
(五@@)具有与从事电子政务电@@子认证服务活动及其使用密码相适应的专业技术人员@@、运营管理人员@@、安全管理人员和@@客户服务人员等专业人员@@不少于@@30名@@,并符合相应岗位技能要求@@;
(六@@)具有为政务活动提供长期电子政务电@@子认证服务的能力@@,包括@@持续保持运营资金@@充足@@、财务状况良好@@、设备设施@@稳定运行@@、运营人员队伍稳定@@,没有重大违法纪录或者不良信用记录等@@;
(七@@)具有保证电子政务电@@子认证服务活动及其使用密码安全运行的管理体系@@。
第七@@条@@【申请材料@@】申请电子政务电@@子认证服务机构资质@@,应当向国家密码管理局@@提出书面申请@@,并提交下列材料@@:
(一@@)电子政务电@@子认证服务机构资质申请表@@;
(二@@)法人资格证书@@;
(三@@)资金情况@@,包括@@注册资金及资本结构@@,运营资金@@、损害赔偿责任资金来源等@@;
(四@@)运营场所情况以及物理环境符合国家有关安全标@@准的情况@@;
(五@@)电子认证服务系统相关技术材料及相关设备清单@@,包括@@建设工作报告@@、技术工作报告@@、安全性设计报告@@、安全管理策略和@@规范@@、标@@准符合性自评估报告以及相关软件@@、设备清单等@@;
(六@@)专业人员@@情况@@;
(七@@)为用户提供长期服务和@@质量保障能力说明及承诺@@;
(八@@)电子政务电@@子认证服务及其使用密码安全管理体系建立情况@@。
第八@@条@@【申请受理@@】国家密码管理局@@自收到申请材料@@之日@@起@@5个工作日@@内@@,对申请材料@@进行形式审查@@,根据@@下列情况分别作出处@@理@@:申请材料@@齐全@@、符合规定形式的@@,应当受理行政许可申请并出具受理通知书@@;申请材料@@不齐全或者不符合规定形式的@@@@,应当当场或者在@@5个工作日@@内@@一@@次告知需要补正的全部内容@@;不予受理的@@,应当出具不予受理通知书并说明理由@@。
第九@@条@@【资质审查@@】国家密码管理局@@应当自受理行政许可申请之日@@起@@20个工作日@@内@@,对申请进行审查@@,并依法作出是否许可的决定@@。准予许可的@@,颁发@@《电子政务电@@子认证服务机构资质证书@@@@》,并公布取得资质证书@@的电子政务电@@子认证服务机构名@@录@@;不予许可的@@,应当出具不予行政许可决定书@@,说明理由并告知申请人相关权利@@。
需要对申请人进行技术评审@@的@@,技术评审@@所需时间不计算在本条规定的期限内@@。国家密码管理局@@应当将所需时间书面告知申请人@@。
第十条@@【技术评审@@】国家密码管理局@@根据@@技术评审@@需要和@@专业要求@@,可以组织专家或者委托专业机构实施技术评审@@@@。
技术评审@@包括@@电子认证服务系统安全性审查@@,运营场所和@@物理环境@@、设备设施@@、管理体系建设实地查勘@@,专业人员@@能力考核等@@。
专业机构应当独立@@、公正@@、科学@@、诚信地开展技术评审@@活动@@,对技术评审@@结论的真实性@@、符合性负责@@,并承担相应法律责任@@@@。
第十一@@条@@【外商投资安全审查@@】外商投资电子政务电@@子认证服务@@,影响或者可能影响国家安全的@@,应当依法进行外商投资安全审查@@@@。
第十二@@条@@【资质证书@@】《电子政务电@@子认证服务机构资质证书@@@@》有效期@@5年@@,内容包括@@@@:获证机构名@@称@@@@、统一@@社会信用代码@@、住所@@地@@、证书编号@@、有效期@@限@@、服务范围@@、发证机关和@@发证日@@期@@。
《电子政务电@@子认证服务机构资质证书@@@@》由正本@@和@@副本组成@@。正本@@、副本具有同等法律效力@@。
第十三@@条@@【资质信息公示@@】电子政务电@@子认证服务机构应当在其网站和@@运营场所公布其资质证书@@的机构名@@称@@@@、证书编号@@、有效期@@限@@、服务范围@@、发证机关和@@发证日@@期@@等内容@@。
第十四@@条@@【事项变更@@】有下列情形之一@@的@@,电子政务电@@子认证服务机构应当自变更之日@@起@@@@30日@@内向国家密码管理局@@申请办理变更手续@@:
(一@@)机构名@@称@@、住所@@、法定代表人发生变更的@@;
(二@@)企业股权结构或者事业单位隶属关系发生变更的@@;
(三@@)资质认定@@服务范围@@发生变更的@@;
(四@@)电子认证服务系统等设备设施@@发生变更的@@;
(五@@)依法需要办理变更的其他事项@@。
电子政务电@@子认证服务机构发生变更的事项影响其符合资质认定@@条件@@和@@要求的@@,国家密码管理局@@根据@@申请人的实际情况@@,采取书面或者现场形式开展审查@@。需要进行技术评审@@的@@,依照本办法第十条@@规定对其开展技术评审@@@@。
第十五@@条@@【资质延续@@】电子政务电@@子认证服务机构资质有效期@@届满需要延续的@@,应当在有效期@@届满@@60日@@前@@向国家密码管理局@@提出书面申请@@。国家密码管理局@@应当依照本办法有关规定进行审查@@,并在@@《电子政务电@@子认证服务机构资质证书@@@@》有效期@@届满前作出是否准予延续的决定@@。
第三@@章@@ 行为规范@@
第十六@@条@@【服务范围@@】电子政务电@@子认证服务机构应当按照法律@@@@、行政法规和@@电子政务电@@子认证服务技术规范@@、规则@@@@,在批准范围内提供电子政务电@@子认证服务@@。
第十七@@条@@【业务规则@@@@@@】电子政务电@@子认证服务机构应当按照电子政务电@@子认证业务规则@@@@@@规范等要求@@,制定本机构的电子政务电@@子认证业务规则@@@@@@和@@相应的电子签名@@认证证书策略@@,在提供电子政务电@@子认证服务前予以公布@@,并向住所@@地@@省@@、自治区@@、直辖市密码管理部门备案@@。
本机构的电子政务电@@子认证业务规则@@@@@@和@@电子签名@@认证证书策略发生变更的@@,电子政务电@@子认证服务机构应当予以公布@@,并自公布之日@@起@@30日@@内向住所@@地@@省@@、自治区@@、直辖市密码管理部门办理变更手续@@。
第十八@@条@@【服务内容@@】电子政务电@@子认证服务机构应当按照本机构的电子政务电@@子认证业务规则@@@@@@提供下列服务@@:
(一@@)电子签名@@认证证书全生命周期管理服务@@;
(二@@)确认签发的电子签名@@认证证书的真实性@@;
(三@@)提供电子签名@@认证证书目录信息查询服务@@;
(四@@)提供电子签名@@认证证书状态查询服务@@;
(五@@)提供电子签名@@认证证书使用支持服务@@。
第十九@@条@@【证书内容@@】电子政务电@@子认证服务机构签发的电子签名@@认证证书应当准确@@无@@误@@,并载明下列内容@@:
(一@@)电子政务电@@子认证服务机构名@@称@@@@;
(二@@)证书持有人名@@称@@;
(三@@)证书序列号@@;
(四@@)证书有效期@@@@;
(五@@)与电子签名@@制作数据相对应的电子签名@@验证数据@@;
(六@@)电子政务电@@子认证服务机构的电子签名@@@@;
(七@@)国家密码管理局@@规定的其他内容@@。
第二@@十条@@【证书内容@@与格式@@】电子政务电@@子认证服务机构应当保证电子签名@@认证证书内容@@在有效期@@内完整@@、准确@@,证书格式符合相关规范@@,并保证电子签名@@依赖方能够证实或者了解证书所载内容及其他有关事项@@。
电子签名@@制作数据应当由通过检测认证的商用密码设备生成和@@使用@@。
第二@@十一@@条@@【证书申请审核@@】电子签名@@人向电子政务电@@子认证服务机构申请电子签名@@认证证书@@,应当提供真实@@、完整和@@准确@@的信息@@。
电子政务电@@子认证服务机构在受理电子签名@@认证证书申请时@@,应当向证书申请人告知电子签名@@认证证书和@@电子签名@@的使用条件@@、电子签名@@所产生的法律责任@@@@、保存和@@使用证书持有人信息的权限和@@责任@@、电子政务电@@子认证服务机构和@@证书持有人的责任范围等事项@@。
电子政务电@@子认证服务机构收到电子签名@@认证证书申请后@@,应当采用安全可靠的验证方式对证书申请人的身份进行查验@@,并对证书申请材料@@进行审查@@。
电子政务电@@子认证服务机构在受理电子签名@@认证证书申请后@@,应当与证书申请人签订电子政务电@@子认证服务协议@@,明确双方的权利义务@@。
第二@@十二@@条@@【密码使用安全与互信互认@@】电子政务电@@子认证服务机构应当保障电子政务电@@子认证服务密码使用安全@@,其电子政务电@@子认证服务应当纳入统一@@的电子认证信任体系@@,遵循电子认证服务互信互认要求@@。
第二@@十三@@条@@【保密义务@@】电子政务电@@子认证服务机构应当建立完善的保密制度@@,对其在工作中知悉的国家秘密@@、商业秘密和@@个人隐私@@承担保密义务@@@@。
第二@@十四@@条@@【信息保存@@】电子政务电@@子认证服务机构应当妥善保存与电子政务电@@子认证服务相关的信息@@。信息保存@@期限至少为电子签名@@认证证书失效后@@5年@@。
第二@@十五@@条@@【证书注册机构设立条件@@】电子政务电@@子认证服务机构可以设立电子签名@@认证证书注册机构开展电子签名@@认证证书注册业务@@。电子签名@@认证证书注册机构应当具备与开展电子签名@@认证证书注册业务相适应的场所@@、设备设施@@、专业人员@@、专业能力和@@管理制度等条件@@。
前款所称电子签名@@认证证书注册机构@@,是指电子政务电@@子认证服务机构设立的受理电子签名@@认证证书申请@@、注册登记@@、下载交付@@、更新@@、恢复和@@注销等业务的机构@@。
第二@@十六@@条@@【证书注册备案@@】电子政务电@@子认证服务机构设立电子签名@@认证证书注册机构开展电子签名@@认证证书注册业务的@@,应当自设立之日@@起@@30日@@内将电子签名@@认证证书注册机构名@@称@@@@、地址等信息予以公告@@,并向电子签名@@认证证书注册机构住所@@地@@省@@、自治区@@、直辖市密码管理部门备案@@,备案内容为电子签名@@认证证书注册机构符合本办法第二@@十五@@条@@规定条件的有关资料@@。备案内容发生变更的@@,应当自变更之日@@起@@30日@@内办理变更手续@@。
第二@@十七@@条@@【注册业务管理@@】电子政务电@@子认证服务机构应当对其设立的电子签名@@认证证书注册机构开展电子签名@@认证证书注册业务的行为实施有效监督管理@@@@,并对该行为承担法律责任@@@@。
电子签名@@认证证书注册机构在开展电子签名@@认证证书注册业务过程中@@,应当在电子签名@@认证证书注册服务场所明示设立该电子签名@@认证证书注册机构的电子政务电@@子认证服务机构名@@称@@@@及相关关系@@,按照法律@@、行政法规和@@电子政务电@@子认证服务技术规范@@、规则@@@@以及合同约定开展电子签名@@认证证书注册业务@@,并接受电子政务电@@子认证服务机构的监督@@。
电子签名@@认证证书注册机构应当以设立该电子签名@@认证证书注册机构的电子政务电@@子认证服务机构名@@义与证书申请人签订电子政务电@@子认证服务协议@@,不得以自身名@@义与证书申请人签订协议@@,不得委托其他机构开展电子签名@@认证证书注册业务@@。
第二@@十八@@条@@【合规性评估@@】电子政务电@@子认证服务机构应当每年@@至少进行一@@次电子政务电@@子认证服务合规性评估@@@@,对发现的问题@@及时整改@@,并及时向住所@@地@@省@@、自治区@@、直辖市密码管理部门报送合规性评估@@报告@@。
第二@@十九@@条@@【投诉处@@理@@】电子政务电@@子认证服务机构应当建立投诉处@@理@@机制@@,公布投诉方式@@,及时受理并处@@理有关投诉事项@@。
第三@@十条@@【岗位培训@@】电子政务电@@子认证服务机构应当对本单位及其设立的电子签名@@认证证书注册机构的从业人员进行岗位培训@@@@,建立培训制度@@,制定培训计划@@,加强考核并做好培训记录@@。
第三@@十一@@条@@【业务终止与承接@@】电子政务电@@子认证服务机构拟暂停或者终止电子政务电@@子认证服务的@@,应当在暂停或者终止服务@@60日@@前@@向国家密码管理局@@报告@@,并与其他电子政务电@@子认证服务机构就业务承接进行协商@@,作出妥善安排@@。
电子政务电@@子认证服务机构未能就业务承接事项与其他电子政务电@@子认证服务机构达成协议的@@,应当申请国家密码管理局@@安排其他电子政务电@@子认证服务机构承接其业务@@。
电子政务电@@子认证服务机构被依法吊销电子政务电@@子认证服务资质@@的@@,其业务承接事项的处@@理按照国家密码管理局@@的规定执行@@。
电子政务电@@子认证服务机构有根据@@国家密码管理局@@的安排承接其他机构开展的电子政务电@@子认证服务业务的义务@@。
第四@@章@@ 监督管理@@
第三@@十二@@条@@【监督检查@@】密码管理部门依法对电子政务电@@子认证服务活动进行监督检查@@@@。
监督检查@@可以采取书面检查@@、实地核查@@、网络监测等方式@@,并可以组织专家或者委托专业机构开展有关检测鉴定工作@@。
第三@@十三@@条@@【监督检查@@要求@@】密码管理部门依法实施监督检查@@时@@,可以调查@@、了解有关情况@@,查阅@@、复制有关资料@@。电子政务电@@子认证服务机构及其设立的电子签名@@认证证书注册机构应当予以配合@@,如实提供相关材料和@@技术支持@@@@。
第三@@十四@@条@@【监督检查@@要求@@】密码管理部门开展监督检查@@@@,不得妨碍电子政务电@@子认证服务机构及其设立的电子签名@@认证证书注册机构正常的经营和@@服务活动@@,不得收取任何费用@@,不得泄露在履行职责中所知悉的商业秘密和@@个人隐私@@@@。
第三@@十五@@条@@【年@@度报告@@】电子政务电@@子认证服务机构应当于每年@@@@1月@@15日@@前@@向住所@@地@@省@@、自治区@@、直辖市密码管理部门报送上一@@年@@度工作报告@@,包括@@:
(一@@)持续符合资质认定@@条件@@和@@要求的情况@@;
(二@@)电子政务电@@子认证服务业务开展情况及相关统计数据@@;
(三@@)电子认证服务系统安全运行情况@@;
(四@@)电子政务电@@子认证服务及其使用密码安全管理体系执行情况@@。
第三@@十六@@条@@【重大事项报告@@】有下列情形之一@@的@@,电子政务电@@子认证服务机构应当自发生之日@@起@@15日@@内向住所@@地@@省@@、自治区@@、直辖市密码管理部门报告@@:
(一@@)重大安全风险和@@安全事件@@;
(二@@)重要系统@@、关键设备事故@@;
(三@@)关键岗位人员变动@@;
(四@@)重大法律诉讼@@。
第三@@十七@@条@@【信用监管@@】密码管理部门应当建立电子政务电@@子认证服务机构@@、电子签名@@认证证书注册机构的信用记录制度@@,并根据@@随机抽查@@、日@@常监督检查@@和@@投诉举报查处@@等情况@@,对其违法违规行为及处@@理决定记入信用记录@@。
第三@@十八@@条@@【重点监管@@】电子政务电@@子认证服务机构及其设立的电子签名@@认证证书注册机构有下列情形之一@@的@@@@,密码管理部门应当进行重点监督检查@@@@:
(一@@)上一@@年@@度监督检查@@中发现存在严重问题@@@@;
(二@@)因违反有关法律法规受到行政处@@罚@@;
(三@@)有不良信用记录@@;
(四@@)其他需要重点监督检查@@的情形@@。
第五@@章@@ 法律责任@@
第三@@十九@@条@@【资质相关罚则@@@@@@】未经认定从事电子政务电@@子认证服务的@@,由密码管理部门依据@@《中华人民共和@@国密码法@@》和@@《商用密码管理条例@@》有关规定进行处@@罚@@。
第四@@十条@@【相关罚则@@@@】电子政务电@@子认证服务机构违反@@《中华人民共和@@国密码法@@》、《商用密码管理条例@@》和@@本办法有关规定@@,有下列情形之一@@的@@,由密码管理部门责令改正@@或者停止违法行为@@,给予警告@@,没收违法所得@@@@;违法所得@@30万元以上@@@@的@@,可以并处@@@@违法所得@@@@1倍以上@@3倍以下罚款@@;没有违法所得@@或者违法所得@@不足@@30万元的@@,可以并处@@@@10万元以上@@@@30万元以下罚款@@;情节严重的@@,责令停业整顿@@,直至吊销电子政务电@@子认证服务机构资质@@:
(一@@)超出批准范围开展电子政务电@@子认证服务@@;
(二@@)拒不报送或者不如实报送年@@度报告@@@@、重大事项报告@@等实施情况@@;
(三@@)未履行保密义务@@@@;
(四@@)未按照电子政务电@@子认证服务技术规范@@、规则@@@@提供电子政务电@@子认证服务@@。
第四@@十一@@条@@【相关罚则@@@@】电子政务电@@子认证服务机构违反@@本办法有关规定@@,有下列情形之一@@的@@,由密码管理部门责令改正@@;逾期未改正或者改正后仍不符合要求的@@,处@@1万元以上@@@@10万元以下罚款@@:
(一@@)电子签名@@认证证书内容@@和@@格式不符合规定要求@@;
(二@@)电子签名@@制作数据未由通过检测认证的商用密码设备生成和@@使用@@;
(三@@)受理电子签名@@认证证书申请时未履行有关告知义务@@,未查验证书申请人身份@@,或者未对证书申请材料@@进行审查@@;
(四@@)未与证书申请人签订电子政务电@@子认证服务协议@@;
(五@@)未妥善保存与电子政务电@@子认证服务相关的信息@@。
第四@@十二@@条@@【相关罚则@@@@】电子政务电@@子认证服务机构违反@@本办法有关规定@@,有下列情形之一@@的@@,由密码管理部门责令改正@@;逾期未改正或者改正后仍不符合要求的@@,处@@5000元以上@@3万元以下罚款@@:
(一@@)未按照要求进行资质证书@@信息公示@@;
(二@@)未按照要求办理变更手续@@;
(三@@)未按照要求履行有关备案义务@@;
(四@@)未对电子政务电@@子认证服务每年@@至少进行一@@次合规性评估@@并对发现的问题@@及时整改@@@@,或者未及时向住所@@地@@省@@、自治区@@、直辖市密码管理部门报送合规性评估@@报告@@;
(五@@)设立的电子签名@@认证证书注册机构未按照法律@@@@、行政法规和@@电子政务电@@子认证服务技术规范@@、规则@@@@开展电子签名@@认证证书注册业务@@;
(六@@)设立的电子签名@@认证证书注册机构以自身名@@义与证书申请人签订电子政务电@@子认证服务协议@@,或者委托其他机构开展电子签名@@认证证书注册业务@@;
(七@@)未建立投诉处@@理@@机制并公布投诉方式@@@@,或者未及时受理并处@@理有关投诉事项@@@@;
(八@@)未对从业人员进行岗位培训@@@@;
(九@@)未按照要求报送暂停或者终止电子政务电@@子认证服务的情况@@。
第四@@十三@@条@@【监管责任@@】从事电子政务电@@子认证服务监督管理@@工作的人员滥用职权@@、玩忽职守@@、徇私舞弊@@,或者泄露@@、非法向他人提供在履行职责中知悉的商业秘密@@、个人隐私@@、举报人信息的@@,依法给予处@@分@@。
第六@@章@@ 附@@ 则@@
第四@@十四@@条@@【施行时间@@】本办法自@@××××年@@××月@@××日@@起施行@@。
